|
Функция
|
Англоязычное название
|
Описание
|
|
Традиционная маршрутизация IP-пакетов
|
IP routing
|
Входящие IP-пакеты маршрутизируются на основе таблицы
маршрутизации.
|
|
Назначение метки
|
label imposing
|
Если устройство функционирует в качестве E-LSR, то для
входящего IP-пакета на базе таблицы IP-маршрутизации определяется метка,
которая должна быть назначена, и выходной интерфейс, через который должен
быть переслан пакет (1)
|
|
Коммутация по метке
|
label swapping
|
Входящие IP-пакеты с метками обрабатываются процессом
коммутации по меткам, который на основании таблицы коммутации по меткам
определяет, какое из действий будет выполнено.
|
|
Снятие метки
|
label poping
|
|
|
Снятие метки (PHP)
|
label poping with PHP
|
|
1.4.4
Описание MPLS/VPN сети
Для того чтобы экономично выделить технические ресурсы, необходимые для
поддержки сетей IP VPN с богатыми функциями, сервис-провайдерам нужны средства,
способные распознавать разные типы приложений, чтобы провайдер мог
гарантировать определенное качество услуг (QoS) и обеспечивать безопасность
данных, причем делать это нужно в сетях, которые будут менее сложными, чем
оверлейные IP-туннели и узловые сети с виртуальными каналами (VC-meshed
networks). Оверлейные решения VPN, надстроенные поверх IP, требуют
туннелирования или шифрования. Кроме того, поскольку IP-трафик передается по
виртуальным каналам, оверлейная сеть VPN не знает, какой трафик по ней
передается. Оверлейное решение сосредоточено на соединениях и не очень хорошо
поддается масштабированию. Более того, оно конфликтует с бизнес-приложениями
IP, которые не зависят от соединений и ориентированы на протокол TCP/IP.
Сеть VPN должна распознавать, к какому типу приложений
относится трафик (голос, SNA, видеопотоки или электронная почта). Она должна
уметь быстро отделять трафик одного приложения от другого. Далее, сеть должна
быть VPN-осведомленной (VPN-aware), чтобы сервис-провайдер мог легко
группировать пользователей и услуги, в сетях интранет и экстранет. MPLS - это
та технология, которая придает коммутирующим и маршрутизирующим сетям
VPN-осведомленность. Она дает возможность сервис-провайдерам быстро и
экономично создавать защищенные сети VPN любого размера - в единой инфраструктуре.
В отличие от оверлейных решений, сеть MPLS может
разделять трафик и обеспечивать его защиту без шифрования и туннелирования.
Технология MPLS поддерживает безопасность в каждой отдельной сети, точно так
же, как сети Frame Relay и ATM поддерживают ее для каждого отдельного
соединения. Если традиционная сеть VPN предоставляет базовые услуги сетевого
транспорта, то сеть с технологией MPLS - это масштабируемые услуги VPN,
допускающие поддержку IP-приложений с добавленной ценностью поверх базовой транспортной
сети VPN. Этот сценарий отражает переход сервис-провайдеров от
транспортно-ориентированной модели бизнеса к модели, ориентированной на услуги.
MPLS-VPN - это одноранговая VPN, которая разделяет трафик на третьем
уровне (Layer 3 модели OSI) с помощью раздельных IP VPN таблиц передачи.
MPLS-VPN может отделить трафик одного заказчика от другого, потому что каждой
сети VPN каждого заказчика присваивается уникальный идентификатор (VPN ID). Это
создает такие же условия безопасности, как в сетях ATM и Frame Relay, потому
что пользователь сети VPN не может видеть трафик, передающийся за пределами
этой сети.
Сетей MIPLS-VPN характеризуются рядом параметров.
Используются многопротокольных расширений BGP для преобразования префиксов
адреса IPv4 в уникальные VPN-IPv4 NLRI. С каждым маршрутом заказчика связана
определенная метка MPLS. Ее присваивает РЕ-маршрутизатор, стоящий в начале
маршрута. Эта метка используется для того, чтобы направить пакет данных к
нужному оконечному РЕ-маршрутизатору. В процессе передачи пакета данных по
магистрали используются две метки. Верхняя метка направляет пакет к нужному
оконечному РЕ-маршрутизатору. Вторая метка показывает, куда этот
РЕ-маршрутизатор должен направить пакет. В каналах связи между
РЕ-маршрутизаторами и СЕ-маршрутизаторами используются стандартные схемы
передачи (IP forwarding). РЕ связывает каждый СЕ с таблицей передачи
(forwarding table), в которой хранятся только те маршруты, которые доступны
данному СЕ-маршрутизатору.
На рисунке 1.9 представлен типичный пример одноранговой сети MPLS VPN.
Рисунок 1.9 - Топология сети MPLS VPN
Функционирование маршрутизаторов PE.
Для обслуживания клиентов разных VPN на устройстве PE (к которому эти
клиенты присоединены) создается несколько виртуальных объектов (по одной на
каждый VPN). Называются такие объекты - VPN Routing and Forwarding (VRF). VRF
образовываются:
– отдельной таблицей IP-маршрутизации, использующейся для
маршрутизации пакетов VPN (далее VRF-таблица);
– множеством интерфейсов устройства PE, по которым подключены
устройства CE, принадлежащие одной VPN.
Таким образом, интерфейс на устройстве PE, к которому подключен узел,
входящий в VPN Х, принадлежит VRF Х.
Между устройствами CE и PE необходима настройка статической маршрутизации
или протокола динамической маршрутизации. В качестве протокола динамической
маршрутизации может быть использован RIP, OSPF или BGP. Маршрутная информация,
полученная от устройства CE устанавливается в соответствующую VRF-таблицу.
1.4.5 Обзор
протокола LDP
Архитектура MPLS определяет протокол рассылки меток как набор процедур, с
помощью которых один LSR (Label Switched Router) информирует другого о значении
меток, используемых для переадресации трафика между ними и через них.
Архитектура MPLS не предполагает наличия одного протокола рассылки меток.
В действительности, стандартизовано несколько различных протоколов. Некоторые
существующие протоколы были расширены так, чтобы позволить рассылку меток.
Протокол рассылки меток LDP (Label Distribution Protocol), является новым
протоколом для рассылки меток. Это набор процедур и сообщений, с помощью
которых LSR формирует сетевой LSP (Label Switched Path) путем установления
соответствия между маршрутной информацией и каналами передачи данных. Эти LSP
могут иметь оконечные точки непосредственно у партнера (сопоставимо с IP
переадресацией шаг-за-шагом), или могут иметь оконечную точку в выходном узле
сети, позволяя коммутацию через все промежуточные узлы.ставит в соответствие
FEC (Forwarding Equivalence Class) каждому LSP, который он создает. FEC
ассоциированный с LSP определяет, какие пакеты должны следовать по этому LSP.
LSP прокладываются через сеть так, что каждый LSR обеспечивает стыковку входной
метки для FEC с выходной меткой, соответствующей следующему шагу для данного
FEC.
Обмен сообщениями LDP.
Существует четыре категории сообщений LDP:
– cообщения выявления (Discovery), используются для объявления и
поддержания присутствия LSR в сети;
– сообщения сессий, используются для установления, поддержки и
завершения сессий между LDP партнерами;
– сообщения анонсирования (Advertisement), используются для
формирования, изменения и ликвидации соответствия между меткой и FEC;
– сообщения уведомления (Notification), используются для
предоставления рекомендаций и уведомления об ошибках.
Сообщения выявления предоставляют механизм, посредством которого LSR
оповещает о своем присутствии в сети посредством периодической посылки
сообщения Hello. Оно посылается в виде UDP-пакета на вход LDP-порта всем
маршрутизаторам субсети через групповой мультикастинг-адрес. Когда LSR решает
установить сессию с другим LSR, опознанным с помощью сообщения Hello, он
использует процедуру инициализации LDP с привлечением протокола TCP. При
успешном завершении процедуры инициализации, два LSR становятся LDP-партнерами,
и могут обмениваться сообщениями анонсирования.
Момент запроса или анонсирования метки партнеру, определяется локальными
соображениями LSR. Вообще, LSR запрашивает метку у соседнего LSR, когда она ему
нужна, и анонсирует метку соседнему LSR, когда он хочет, чтобы сосед
использовал эту метку.
Корректная работа LDP требует надежной и упорядоченной доставки
сообщений. Чтобы удовлетворить этим требованиям LDP использует в качестве
транспортного протокола TCP для сообщений сессий, предупреждений и
анонсирования; т.e., для любых обменов кроме механизмов выявления, базирующихся
на UDP.
Структура сообщений LDP.
Все сообщения LDP имеют общую структуру, которая использует схему
кодирования TLV (Type-Length-Value) тип-длина-значение. Значение является объектом,
кодируемым по схеме TLV, и может содержать одно или более TLV.
Работа LDP.
Необходимо точно определить, какие пакеты могут быть поставлены в
соответствие каждому LSP. Это делается с помощью FEC-спецификации для каждого
LSP FEC идентифицирует набор пакетов, которые могут быть ассоциированы с данным
LSP.
Каждый FEC специфицируется как набор из одного или более элементов FEC.
Каждый FEC-элемент определяет набор пакетов, которые могут быть ассоциированы с
соответствующим LSP. Когда LSP пользуется несколькими элементами FEC, такой LSP
завершается в узле (или раньше), где элементы FEC не могут более следовать
одним путем.
Ниже определяются типы элементов FEC:
– адресный префикс, этот элемент является адресным префиксом
произвольной длины от 0 до полного адреса включительно;
– адрес ЭВМ, этот элемент является полным адресом ЭВМ.
Определенный адрес согласуется с заданным адресным префиксом, если и
только если адрес начинается с этого префикса. Мы также говорим, что
определенный пакет соответствует заданному LSP, если и только если LSP имеет
адресный префикс FEC элемента, который согласуется с адресом места назначения
пакета.
Процедура установления соответствия конкретного пакета с заданным LSP
использует следующие правила. Каждое правило применяется последовательно до тех
пор, пока пакет не сможет быть отнесен к заданному LSP.
Если имеется только один LSP, который содержит FEC элемент адреса ЭВМ,
идентичный адресу места назначения пакета, тогда пакет ассоциируется с данным
LSP.
Если имеется несколько LSP, содержащих FEC элемент адреса ЭВМ, который
идентичен адресу назначения пакета, тогда пакет ассоциируется с одним из этих
LSP. Процедура выбора одного из этих LSP в данном документе не рассматривается.
Если пакет в точности соответствует одному LSP, пакет ассоциируется с
этим LSP.
Если пакет соответствует нескольким LSP, он ассоциируется с LSP, чей
префикс длиннее. Если более длинного префикса выявить не удается, пакет
ассоциируется с одним из LSP, чей префикс длиннее других. Процедура выбора
одного из этих LSP в данном документе не рассматривается.
Если известно, что пакет должен пройти через определенный выходной
маршрутизатор, и имеется LSP, который имеет элемент FEC адресного префикса,
являющийся адресом этого маршрутизатора, тогда пакет ассоциируется с этим LSP.
Отметим несколько следствий этих правил:
– пакет может быть послан по LSP, чей адресный префикс элемента FEC
является адресом выходного маршрутизатора, только если нет LSP, согласующихся с
адресом места назначения пакета;
– пакет может соответствовать двум LSP, одному с FEC элементом
адреса ЭВМ, а другому с FEC элементом префикса адреса. В этом случае пакеты
ассоциируются всегда со вторым из этих LSP;
– пакет, который не соответствует определенному FEC-элементу адреса
ЭВМ, не может быть послан по соответствующему LSP, даже если FEC элемент адреса
ЭВМ идентифицирует выходной маршрутизатор для данного пакета.
.4.6
Безопасность в сетях MPLS/VPN
Функциональность MPLS-VPN поддерживает уровень
безопасности, эквивалентный безопасности оверлейных виртуальных каналов в сетях
Frame Relay и ATM. Безопасность в сетях MPLS-VPN поддерживается с помощью
сочетания протокола BGP и системы разрешения IP-адресов.
BGP-протокол отвечает за распространение информации о маршрутах. Он
определяет, кто и с кем может связываться с помощью многопротокольных
расширений и атрибутов community. Членство в VPN зависит от логических портов,
которые объединяются в сеть VPN и которым BGP присваивает уникальный параметр
Route Distinguisher (RD). Параметры RD неизвестны конечным пользователям, и
поэтому они не могут получить доступ к этой сети через другой порт и
перехватить чужой поток данных. В состав VPN входят только определенные
назначенные порты. В сети VPN с функциями MPLS протокол BGP распространяет
таблицы FIB (Forwarding Information Base) с информацией о VPN только участникам
данной VPN, обеспечивая таким образом безопасность передачи данных с помощью
логического разделения трафика.
Именно провайдер, а не заказчик присваивает порты
определенной VPN во время ее формирования. В сети провайдера каждый пакет
ассоциирован с RD, и поэтому попытки перехвата пакета или потока трафика не
могут привести к прорыву хакера в VPN. Пользователи могут работать в сети
интранет или экстранет, только если они связаны с нужным физическим или
логическим портом и имеют нужный параметр RD. Эта схема придает сетям Cisco
MPLS-VPN очень высокий уровень защищенности.
В опорной сети информация о маршрутах передается с помощью стандартного
протокола Interior Gateway Protocol (IGP), такого как OSPF или IS-IS. Пограничные
устройства РЕ в сети провайдера устанавливают между собой связи-пути, используя
LDP для назначения меток. Назначения меток для внешних (пользовательских)
маршрутов распространяется между РЕ-маршрутизаторами не через LDP, а через
многопротокольные расширения BGP. Атрибут Community BGP ограничивает рамки
информации о доступности сетей и позволяет поддерживать очень крупные сети, не
перегружая их информацией об изменениях маршрутной информации. Протокол BGP не
обновляет информацию на всех периферийных устройствах РЕ, находящихся в
провайдерской сети, а приводит в соответствие таблицы FIB только тех РЕ,
которые принадлежат к конкретной VPN.
Если виртуальные каналы создаются при оверлейной модели, исходящий
интерфейс любого индивидуального пакета данных является функцией только
входящего интерфейса. Это означает, что IP-адрес пакета не определяет маршрута
его передачи по магистральной сети. Это позволяет предотвратить попадание
несанкционированного трафика в сеть VPN и передачу несанкционированного трафика
из нее.
В сетях MPLS-VPN пакет, поступающий в магистраль, в первую очередь
ассоциируется с конкретной сетью VPN на основании того, по какому интерфейсу
(подынтерфейсу) пакет поступил на РЕ-маршругизатор. Затем IP-адрес пакета
сверяется с таблицей передачи (forwarding table) данной VPN. Указанные в
таблице маршруты относятся только к VPN принятого пакета. Таким образом,
входящий интерфейс определяет набор возможных исходящих интерфейсов. Эта
процедура также предотвращает как попадание несанкционированного трафика в сеть
VPN, так и передачу несанкционированного трафика из нее.
metro
ethernet кабель оптический
2. Разработка
корпоративной сети организации
Проектирование компьютерной сетей является сложной задачей. Для
облегчения решения эту задачу принято разбивать на части. В соответствии с
предложенным фирмой Cisco Systems подходом компьютерные сети удобно
представлять в виде модели, которая включает в себя три уровня иерархии:
ядра;
распределения;
доступа.
Уровень ядра (core) отвечает за высокоскоростную передачу сетевого
трафика. Первичное предназначение устройств уровня ядра - коммутация пакетов. В
соответствии с указанными принципами на устройствах уровня ядра запрещается
вводить различные технологии, такие, как, например, списки доступа или
маршрутизация по правилам, мешающие быстрой коммутации пакетов.
На уровне распределения происходит суммирование маршрутов и агрегация
трафика. Под суммированием маршрутов понимается представление нескольких сетей
в виде одной большой сети с короткой маской. Это позволяет уменьшить таблицу
маршрутизации в устройствах уровня ядра, а также изолировать изменения, которые
происходят внутри большой сети.
Уровень доступа предназначен для формирования сетевого трафика и контроля
за доступом к сети. Маршрутизаторы уровня доступа служат для подключения
отдельных пользователей (серверы доступа) или отдельных локальных сетей к
глобальной вычислительной сети.
.1 Анализ
структуры организации
Управление Федеральной налоговой службы (УФНС) по городу Омску
представляет собой сеть из пяти филиалов и одно центральное управление.
Филиалами являются инспекции Федеральной налоговой службы по административным
округам Омска (ИФНС).
ИФНС распределены по административным округам(АО) города Омска, для
обслуживания налогоплательщиков, зарегистрированных данном административном
округе. Центральный офис УФНС по Омску выполняет функции единого управления
сетью филиалов, в пределах Омска, а также является структурной единицей единой
сети УФНС в субъектах Российской Федерации (РФ).
Все структурные подразделения логически связаны в одну корпоративную
информационную систему. Каждый филиал имеет собственную базу данных и ряд
специальных программных продуктов для работы, но филиалы связаны с омским
управлением (через него с московским) единой базой данных по налогоплательщикам,
что обеспечивает целостное функционирование всей системы.
Приведем в таблице 2.1 ориентировочные сводные данные о количестве
служащих налоговой службы, а также о минимальном числе запланированных точек
подключения по технологии FTTH.
Таблица 2.1 - Сводные данные организации
|
Филиал
|
Число служащих
|
Количество АРМ
|
Количество точек подключения FTTH клиентов
|
|
ИФНС по Кировскому АО
|
131
|
125
|
140
|
|
ИФНС по Советскому АО
|
123
|
95
|
110
|
|
ИФНС по Центральному АО
|
110
|
100
|
125
|
125
|
120
|
135
|
|
ИФНС по Октябрьскому АО
|
150
|
132
|
147
|
|
УФНС по Омску (Центральный офис)с
|
242
|
229
|
240
|
.2 Описание
разрабатываемой сети
В настоящее время в каждом филиале УФНС по городу Омску используются
локальные вычислительные сети построенные по технологии Fast Ethernet. Если
рассматривать существующую сетевую архитектуру, то она представляет собой
совокупность разрозненных сетей масштаба одной инспекции. Взаимодействие
инспекций осуществляется посредством сети Internet (корпоративный сайт,
корпоративный почтовый сервер), с использованием ADSL канала шириной 216 Кбит/с
.
Существующая организация сети не отвечает современным требования
безопасности IP трафика, также не считается возможным создание
видеоконференций, работы в WEB приложениях, снижена общая производительность
корпоративной сети.
Необходимо разработать вариант корпоративной информационной сети,
отвечающей следующим требованиям:
безопасность и конфиденциальность трафика;
возможность легкой масштабируемости сети;
объединение разнородного трафика;
обеспечение высокой скорости передачи данных.
В качестве линий связи между филиалами организации в пределах города
используем транспортную сеть одного из субпровайдеров. Условная схема
корпоративной сети филиалов в городе Омске изображена на рисунке 2.1.
Корпоративная сеть основывается на трехуровневой иерархической модели
(верхний уровень - ядро (core), середний - уровень распределения(distribution),
нижний - уровень доступа (access)).
На уровне ядра располагается центральный офис организации. Центральные офисы
организации являются узлами ядра глобальной корпоративной сети. Центральные
маршрутизаторы узлов (соединены между собой (каждый - с каждым) по одной из
технологий для глобальных вычислительных сетей, образуя кольцевое ядро сети с
избыточными путями. К узловому маршрутизатору ядра подключаются маршрутизаторы
филиалов.
В каждом филиале к маршрутизатору уровня распределения подключаются
коммутаторы уровня доступа. В соответствии с технологией FTTH на каждом участке
сети в пределах города используются оптоволоконные линии связи, вплоть до
конечного пользователя.
Рисунок 2.1 - Схема организации сети
Маршрутизатор уровня ядра оснащается двумя типами интерфейсов. Для
объединения центрального офиса с центральными офисами других субъектов РФ
используется сеть DWDM SDH магистрального провайдера.
Для объединения филиалов в пределах Омска, находящихся под единым
административным подчинением, через публичную сеть оператора будет применено
построение VPN на базе MPLS.
Определим следующие понятия:
– CE - маршрутизатор со стороны узла клиента, который непосредственно
подключается к маршрутизатору оператора;
– PE - граничный маршрутизатор со стороны оператора (MPLS домена),
к которому подключаются устройства CE. Устройства PE выполняют функции E-LSR;
– P - маршрутизатор внутри сети оператора (MPLS домена). P
устройства выполняют функции LSR.
Сеть оператора использует технологию MPLS/VPN. Маршрутизаторы сети
оператора образуют MPLS домен. К сети оператора подключены несколько филиалов.
Каждому филиалу организован его личный VPN. Список узлов филиалов представлен в
таблице 2.2, схема их подключения на рисунке 2.2. Для организации корпоративной
сети УФНС провайдером транспортной сети MPLS было предложена схема реализации
сети как объединение нескольких VPN.Формирование VPN сетей будут осуществляться
по принципу «центр - периферия» (hub-and-spoke). Данная схема подразумевает
объединение нескольких узлов, один или несколько из которых объявляется
центральным, а остальные периферийными. Центральные узлы могут обмениваться IP
трафиком друг с другом. Периферийные узлы могут обмениваться трафиком с
центральными. Периферийные узлы не могут обмениваться трафиком друг с другом.
Таблица2.2 - Описание распределения VPN
|
Филиал
|
Обозначение VPN
|
Тип VPN
|
|
ИФНС по Кировскому АО
|
VPN_4
|
Периферийная сеть
|
|
ИФНС по Советскому АО
|
VPN_3
|
Периферийная сеть
|
|
ИФНС по Центральному АО
|
VPN_1
|
Периферийная сеть
|
|
ИФНС по Ленинскому АО
|
VPN_2
|
Периферийная сеть
|
|
ИФНС по Октябрьскому АО
|
VPN_5
|
Периферийная сеть
|
|
УФНС по Омску (Центральный офис)
|
VPN_6
|
Центральная сеть
|
Рисунок 2.2 - Схема MPLS домена и подключенных узлов клиента
В нашем случае центральным узлом VPN будет являться - управлением
Федеральной налоговой службы в г.Омске, периферийными VPN (spokes) - инспекции
налоговой службы в административных округах города.
.3 Разработка
адресного пространства сети
Для создания адресного пространства корпоративной сети будем использовать
адреса, рекомендованные провайдером для использования - 192.168.000.000 /26.
При этом для возможного расширения сети и сохранения уникальности адресного
пространства разделим сети головного офиса и филиалов на подсети, используя
третий и четвертый октеты.
Адресное пространство является единым для территориального подразделения
УФНС. Для города Омска количество филиалов равно шести. Таким образом, для
определения филиала достаточно 3 битов в третьем октете (число адресуемых узлов
составляет 8), весь четвертый октет выделяем под адресацию хостов, если число
адресуемых хостов превышает максимально возможное, то используют дополнительный
резерв из третьего октета. В таблице 2.3 указано разбиение всего адресного
пространства.
Таблица 2.3 - Принцип разбиения адресного пространства
|
Тип адресуемого пространства
|
Количество адресуемых элементов
|
Диапазон IP-адресов
|
Примечание
|
|
ИФНС по Кировскому АО
|
140
|
192.168.4.0/26
|
|
|
ИФНС по Советскому АО
|
110
|
192.168.8.0/26
|
|
|
ИФНС по Центральному АО
|
125
|
192.168.12.0/26
|
|
|
ИФНС по Ленинскому АО
|
135
|
192.168.16.0/26
|
|
|
ИФНС по Октябрьскому АО
|
147
|
192.168.20.0/26
|
|
|
УФНС по Омску (Центральный офис)
|
240
|
192.168.24.0/26 - 192.168.25.0/26
|
|
Рассмотрим принцип распределения адресов в пределах одной ИФНС на примере
ИФНС по Кировскому АО, который приведен в таблице 2.4.
Таблица 2.4 - Принцип назначения IP-адресов
|
Филиал
|
Символ
|
Диапазон адресов
|
Число устройств
|
Назначение диапазона
|
|
ИФНС по Кировскому АО Омска
|
B (begin)
|
192.168.4.0/26
|
0
|
Не применяется для устройства сети
|
|
R (routers)
|
192.168.4.1 /26 - 192.168.4.11 /26
|
10
|
Устройства взаимодействия
|
|
S (servers)
|
192.168.4.12 /26 - 192.168.4.32 /26
|
20
|
Адреса серверов
|
|
F (fixed)
|
192.168.4.33 /26-192.168.4.142 /26
|
140
|
Адреса компьютеров с фиксированными IP - адресами
|
|
D (dynamic)
|
192.168.4.142 /26 - 192.168.4.254 /26
|
113
|
Резервный запас адресов
|
|
E (end)
|
192.168.42.255 /24
|
|
Не применяется для устройства сети
|
.4 Выбор
активного оборудования сети
.4.1
Магистральный маршрутизатор сети
Магистральные маршрутизаторы располагаются в центре сети. Они
предназначены для быстрой маршрутизации всех потоков данных, приходящих с
нижних уровней иерархии сети.
Маршрутизаторы серии Cisco 7600 реализуют надежные и
высокопроизводительные функции IP/MPLS и предназначены для использования в
качестве граничного маршрутизатора в сетях провайдеров услуг, а также в сетях
MAN/WAN крупных предприятий. Поддерживая различные интерфейсы и технологию
адаптивной обработки сетевого трафика, маршрутизаторы серии Cisco 7600
предлагают интегрированные услуги Ethernet, частных линий и агрегации
абонентских подключений.
Маршрутизаторы серии Cisco 7600, которые приходят на смену существующим
маршрутизаторам серии Cisco 7500, обладают таким же набором функций
программного обеспечения Cisco IOS и поддерживают имеющиеся адаптеры портов для
маршрутизаторов Cisco 7200/7500 (технология FlexWAN). Кроме того,
маршрутизаторы серии Cisco 7600 обеспечивают производительность на уровне
нескольких Гбит/с в расчете на слот, выпускаются в различных форм-факторах и
поддерживают улучшенные модули оптических интерфейсов для предоставления
высокопроизводительных услуг.
Мультипроцессорный модуль WAN-приложений обеспечивает интеллектуальное
агрегирование широкополосных Ethernet-соединений и позволяет использовать
маршрутизатор серии Cisco 7600 в качестве концентратора доступа Ethernet L2TP
или в качестве сетевого сервера L2TP с высокой плотностью абонентских
подключений. Сравнительная характеристика маршрутизаторов сети Cisco 7600
представлена в таблице 2.5.
Таблица 2.5 - Общие характеристики серии маршрутизаторов Cisco 7600
|
Модель
|
Cisco 7603
|
Cisco 7606
|
Cisco 7609
|
Cisco 7613
|
|
Высота шасси
|
4RU
|
7RU
|
20RU
|
18RU
|
|
Слоты для модулей
|
3 (гориз.)
|
6 (гориз.)
|
9 (вертик.)
|
13 (гориз.)
|
|
Резервирование блоков питания
|
Да
|
Да
|
Да
|
Да
|
|
Резервирование системного модуля
|
Да
|
Да
|
Да
|
Да
|
|
Макс. производительность, Гбит/с
|
240
|
480
|
720
|
720
|
|
Макс. производительность, млн. пакетов/с
|
30
|
|
|
|
Основываясь на сравнении характеристик линейки маршрутизатров Cisco 7600,
было решено выбрать в качестве маршрутизатора уровня ядра предприятия модель
Cisco 7609. Данный маршрутизатор наиболее полно отвечает требованиям
создаваемой сети
Возможные варианты использования маршрутизатора Cisco 7609 в сетях
IP/MPLS:
городские сети Metro Ethernet;
агрегирование каналов Ethernet;
многоточечные услуги Ethernet VPLS;
услуги 10 Gigabit Ethernet высокой плотности (IPv4 и IPv6);
агрегирование частных линий ;
высокоскоростные и низкоскоростные интерфейсы (от OC-48/STM-16 до DS0);
витая пара или оптоволокно;
виртуальные частные сети уровня 3 на базе MPLS;
транспорт Ethernet/Frame Relay/ATM по сети MPLS на схеме «точка-точка»;
агрегирование абонентов Ethernet;
протокол PPPoE;
сетевой сервер L2TP;
шлюз абонентских услуг;
агрегирование распределенных сетей;
опорный маршрутизатор сети головного офиса.
Рассмотрим некоторые технические характеристики маршрутизатора Cisco 7609
(таблица 2.6).
Таблица 2.6 - Технические характеристики модели Cisco 7609
|
Характеристики
|
Значения
|
|
Размер шасси
|
20 RU
|
|
|
Слоты для модулей
|
9 вертикально
|
|
|
Резервный блок питания
|
Есть
|
|
|
Резервный процессорный модуль
|
Возможно
|
|
|
Производительность шины
|
256 Гбит/с
|
|
|
Производительность коммутации
|
30 Mpps
|
|
|
Flash PCMCIA Memory
|
16 Mb / 24 Mb
|
|
|
System DRAM Memory
|
128 MB / 512 MB
|
|
|
Minimum Cisco IOS
|
12.1.8AEX
|
|
Маршрутизатор Cisco7609 необходимо оснастить слотами, представленными в
таблице 2.7.
Таблица 2.7 - Модули расширения для маршрутизатора уровня ядра
|
Модуль
|
Описание
|
Примечание
|
Количество
|
|
WS-G6483=
|
1550nm Extended Reach 10 Gigabit Ethernet (For
WS-X6502-1OGE)
|
IOS12.1(11)EX
|
1
|
|
CWDM-GBIC-1490=
|
1000BASE-CWDM 1490 nm GBIC
|
single mode
|
1
|
.4.2
Маршрутизатор филиала
Маршрутизатор филиала должен поддерживать высокую скорость коммутации
пакетов, обеспечивать поддержку сервисов мультимедийного трафика.
Архитектура маршрутизаторов с интегрированными услугами семейства Cisco
3800 базируется на архитектуре мощных мультисервисных маршрутизаторов доступа
серии Cisco 3700.
Серия Cisco 3800, благодаря Cisco IOS Software Advanced Security Feature
Set, может выполнять функции по обеспечению сетевой безопасности, среди которых
стоит отметить firewall, intrusion prevention, IPSec VPN, Secure Shell (SSH)
2.0 и SNMP v3, network admissions control (NAC), Voice and Video Enabled VPN
(V3PN), Dynamic Multipoint VPN (DMVPN) и Easy VPN.
Маршрутизаторы серии Cisco 3800 может легко интегрироваться в
корпоративные сети крупного уровня для обеспечения сервисов IP на базе одной
платформы.
Рассмотрим две модели маршрутизаторов серии Cisco 3800, их основные
технические характеристики представлены в таблице 2.8.
Таблица 2.8 - Технические характеристики
|
Свойства Cisco 3800 Series
|
Cisco 3825
|
Cisco 3845
|
|
Разъемы для подключения сетевых карт Разъемы поддерживают
подключения стандартных сетевых модулей (NM), расширенных сетевых модулей
(NME, NME-X), расширенных модулей высокой концентрации (EVM-HD), double-wide
сетевые модули (NMD, NME-XD).
|
NM NME NME-X NMD NME-XD EVM-HD
|
NM NME NME-X NMD NME-XD EVM-HD
|
|
Максимальное количество подключаемых карт NM, NME, NME-X
|
2
|
4
|
|
Максимальное количество NMD/NME-XD
|
1
|
2
|
|
Максимальное количество EVM-HD
|
1
|
2
|
|
HWIC-разъемы с поддержкой VIC, VWIC, и WIC-карт.
|
4
|
4
|
|
Порты LAN (RJ-45)
|
2 Gigabit Ethernet (10/100/1000)
|
2 Gigabit Ethernet (10/100/1000)
|
|
SFP-разъемы
|
1
|
1
|
|
AIM-разъемы
|
2
|
2
|
|
PVDM разъемы
|
4
|
4
|
|
Порты USB 1.1
|
2
|
2
|
|
Аппаратное ускорение VPN шифрования
|
Да
|
Да
|
|
Консольный порт
|
1
|
1
|
|
Дополнительный порт AUX
|
1
|
1
|
|
Память - внешняя флэш-память Compact Flash и внутренняя ОЗУ
DDR SDRAM
|
64-512 Мб Compact Flash; 256 Mб-1Гб DDR SDRAM
|
64-512 Мб Compact Flash; 512 Mб-1Гб DDR SDRAM
|
|
|
|
|
|
2.4.3 Выбор
коммутатора уровня доступа
В качестве коммутаторов уровня доступа наиболее подходящими можно считать
коммутаторы Cisco серии ME-6500. Коммутаторы этой серии применяются для
реализации уровня доступа компаний среднего размера. Характеристики моделей
коммутаторов данной серии представлены в таблице 2.9.
Таблица 2.9 Сравнительные технические характеристики коммутаторов
|
Основные характеристики
|
ME-C6524GS-8S
|
ME-C6524GT-8S
|
|
Количество портов Gigabit Ethernet 10/100/1000 TX
|
нет
|
24
|
|
Количество портов Gigabit Ethernet SFP
|
32
|
8
|
|
Пропускная способность, Гбит/с
|
32
|
|
Производительность маршрутизации, млн. пакетов/с
|
15
|
|
Объем flash-памяти for the route (for the switch), Мб
|
64(128)
|
|
Объем ОЗУ for the route (for the switch), Мб
|
512(256)
|
|
Источник питания
|
400W DC
|
|
Размеры (В х Ш х Г), см
|
6,7 x 44,3 x 48,3 (1,5 RU)
|
|
Вес, кг
|
13,21
|
|
Время наработки на отказ (MTBF), час
|
58481
|
59172
|
Исходя из особенности построения сети на основе технологии FTTH, моделью,
применяемой в нашем случае, будет коммутатор Cisco MEC6524GS-8S.
.3.4 Выбор
коммутатора здания
Для уровня распределения сети филиала необходим высокопроизводительный
оптический коммутатор, отвечающий требованиям качественной передачи
мультимедийного трафика.
Таким коммутатором может служить коммутатор Cisco ME 4924-10GE это
агрегирующий коммутатор уровня Layer 2-4 для высокопроизводительных сетей
оптических сетей. Коммутаторы серии ME4900 основаны на технологии серии
Catalyst 4900 и обеспечивает производительность, необходимую линиям связи
организаций крупных и средних размеров, предоставляющим пользователям услуги
triple play (голос, видео и данные).
Технические характеристики коммутатора Cisco ME-4924-10GE представлены в
таблице 2.10.
Таблица 2.10
Основные характеристики коммутатора Cisco ME-4924-10GE
|
Основные характеристики
|
ME-4924-10GE
|
|
Количество портов SFP Gigabit Ethernet 10/100/1000
|
24
|
|
Количество портов 10 Gigabit Ethernet XENPAK
|
2
|
|
Пропускная способность, Гбит/с
|
48
|
|
Производительность маршрутизации, млн. пакетов/с
|
71
|
|
Тип транков VLAN
|
802.1x
|
|
Объем flash-памяти, Мб
|
164
|
|
Объем ОЗУ, Мб
|
256
|
|
CPU, МГц
|
266
|
|
Размеры (В x Ш x Г), см
|
4,45 x 44,5 x 40,9
|
|
Вес, кг
|
7,48
|
.4.5 Выбор
оборудования CPE
В силу специфики работы инспекции Федеральной налоговой службы, филиал в
АО, представляет собой объединение большого числа подразделений с небольшим
числом сотрудников (3-4 служащих). Учитывая данную особенность структурной
организации ИФНС, наиболее подходящим представляется установка в кабинетах
организации устройств CPE с несколькими совмещенными портами RJ-45, RJ-11, что
позволит сократить расходы, связанные с приобретением и обслуживанием активного
оборудования уровня распределения.
В качестве устройства CPE, для рассматриваемого случая, наиболее подходит
модель фирмы Nateks Networks - NetXpert 3016 (Triple Service). Технические
характеристики модели представлены в таблице 2.11.
Таблица 2.11 - Технические характеристики NetXpert 3016 (Triple Service)
|
Основные характеристики
|
NetXpert 3016 (Triple Service
|
|
Наименование интерфейсов
|
1x1000Base-LX 4x100Base-Tx 2xRJ-11
|
|
Спецификации
|
IEEE 802.3 10Base-T IEEE 802.3z 1000Base-X/LX IEEE 802.3x
Flow Control (Full Duplex), Back pressure (Half Duplex) Фильтрация
широковещательного шторма OAM (Operation, Administration and Management)
|
|
Спецификации VOIP
|
Протокол VoIP: H.323 V2/V3 Обработка голоса: - кодеки:
G.711, G.723.1 G.729; - определение тона; - подавление эха; - DTMF Tone Generation/Detection;
- Channel Cross-switch, конференция; - Gain Control; - Dynamic Jitter Buffer;
- VAD (Voice Activity Detection); - G.168 & Embedded GIPS TM; - PLC
(Packet Loss Compensation).
|
|
Тип питания
|
Внешний адаптер питания (5V / 4A) , 90 ~240 VAC
|
|
Габариты
|
250(W) × 40 (H) × 190 (D)
|
.5
Проектирование структурированной кабельной системы сети
.5.1 Внешняя
кабельная система
В соответствии с возможными применениями оптические волокна собираются в
кабели, в которых обеспечивается более надежная защита от механических
повреждений, а также от воздействий окружающей среды таких как влага, пыль и
высокие температуры. Кроме того, в кабеле не может быть таких сильных изгибов
волокон, которые привели бы к их разрыву и, следовательно, к утере сигнала.
Волоконно-оптический кабель состоит из оптических волокон, силовых
элементов (арматуры) и защитных оболочек. В большинстве случаев используются
обычные оптические волокна. Волокна могут собираться в жгуты, которые могут
быть обмотаны арамидной пряжей и заключены в оболочки. Несколько таких жгутов
объединяются в одну или несколько свивок и покрываются одной общей оболочкой и,
таким образом, получается кабель. Световоды в жгуте могут различаются по цвету
оболочки или по ее цветовой маркировке, что позволяет легко находить нужный,
особенно при большой длине кабеля, и избежать ошибки при соединении.
Упрочняющие элементы могут быть в виде жил или прутков цилиндрического
или специального профиля, изготовленных в основном из кевлара, хотя могут
использоваться и другие полимерные материалы, а также сталь или стекловолокно,
которые располагаются или в центре или по периферии кабеля. Все эти материалы
применяются также для изготовления брони. Защитные наружные оболочки кабеля
изготавливаются преимущественно из полимерных материалов, таких как полиэтилен,
поливинилхлорид, фторопласт.
При конструировании оптических кабелей учитываются величины внешних
воздействий, особенно механических нагрузок, которые возникают при прокладке и
эксплуатации, износоустойчивость, долговечность, гибкость, размеры,
температурный диапазон и внешний вид.
Следует обратить внимание на прочность волокнно-оптического кабеля,
которая определяется максимально допустимыми механическими нагрузками. Прежде
всего, это - кратковременные нагрузки, которые могут возникать в ходе прокладки
кабеля, например, тяговое усилие при протягивании кабеля в трубах, изгибах и
т.п. Их значения определяются длиной кабеля и условиями его прокладки.
Механические нагрузки, которые возникает в ходе эксплуатации кабеля, - не менее
важны, их величина будет, конечно же, намного меньше, чем максимальные тяговые
нагрузки при прокладке. Поэтому, в ряде случаев их можно не учитывать.
Поскольку возможно множество применений в различных условиях, имеется
множество конструкций кабелей. Как и обычные медные кабели, могут быть
волоконно-оптические кабели для прокладки непосредственно в грунте и в
канализации, кабели общего назначения, кабели для воздушной прокладки
(подвески), многожильные кабели с одним или несколькими жгутами, бронированные
и много других. На одном объекте, как правило, возникает необходимость
прокладки кабелей нескольких типов. Например, для нескольких зданий необходимы
магистральные кабели для наружной прокладки (причем, кабель можно проложить по
коммуникациям, непосредственно в земле или по воздуху), внутри здания -
вертикальные для разводки по этажам и для разводки непосредственно по рабочим
местам. Поэтому важное значение приобретает правильный выбор кабеля для
реализации конкретнго участка проводки в конкретном месте.
Для прокладки вне помещений преимущественно используются кабели со
свободным буфером различных конструкций в т.ч.: для воздушной прокладки (или
подвески) - такие кабели проводятся между строениями или подвешиваются на
опорах; для прокладки непосредственно в грунте, такие кабели укладываются в
предварительно выкопанных канавах и, затем, засыпаются землей; подземные,
которые прокладываются в трубах или кабелепроводах и подводные, включая
трансокеанские. Для обеспечения необходимой прочности в них могут использоваться
мощные силовые элементы нескольких типов, что позволяет избежать повреждений
при протяжке в канализации, а также различная броня, которая служит надежной
защитой кабеля при непосредственном вкапывании или подвеске. Поскольку
стоимость таких кабелей - выше, экономия достигается за счет простоты
прокладки.
Для прокладки в помещениях применяются волоконно-оптические кабели с
плотным буфером следующих типов: симплексные, дуплексные, многожильные и
другие.
Создание структурированной кабельной системы рассмотрено на примере ИФНС
Кировского АО (приложение Б).
2.5.2 Выбор
ВОК для наружной прокладки
Наружная прокладка волоконно-оптического кабеля ведется воздушным
способом от магистральной линии провайдера по опорам до здания ИФНС.
Для наружной прокладки ВОК предполагается использовать кабель марки
ИК/Д2-Т-А4-1.2, производства компании «Интегра-Кабель». Данный кабель
соответствует декларации о соответствии требованиям Минсвязи РФ кабеля марки
ИК/Д за номером №Д-КБ-0851.
Оптические кабели марки ИК/Д предназначены для подвески на опорах линий
связи, между зданиями и сооружениями. Допускается подвешивать кабель на
контактной сети железных дорог, опорах линий электропередач в точках с
максимальной величиной потенциала электрического поля до 12 кВ, а также с
максимальной величиной потенциала электрического поля до 25 кВ (ИКТ/Д). Внешний
вид кабеля представлен на рисунке 2.3.
- внешний несущий элемент кабеля; 2 - оптические волокна; 3 - оптический
модуль; 4 - внутримодульный гидрофобный заполнитель; 5 - защитная оболочка.
Рисунок 2.3 - Внешний вид кабеля ИК/Д2-Т-А4-1.2
2.5.3
Внутренняя кабельная система
Внутренняя кабельная система состоит и двух основных частей:
горизонтальной подсистемы и вертикальной подсистемы. Так как создаваемая мультисервисная
сеть не является вновь создаваемой, а строится на основе существовавшей
вычислительной сети, то внутренняя кабельная система не требует какой-либо
серьезной модернизации.
Таким образом, для организации внутренней кабельной системы необходимо
демонтировать из кабель-каналов кабель UTP и уложить в кабель-каналы
волоконно-оптический кабель для прокладки.
.5.4 Выбор
ВОК для внутренней прокладки
В качестве ВОК для прокладки от коммутатора рабочей группы до
абонентского устройства CPE будем применять ВОК компании «Интегра-Кабель» марки
ИКВА-ПО1-0.05, рисунок 2.4.
- оптическое волокно; 2 - плотное полимерное покрытие ОВ не
распространяющее горение; 3 - защитный покров из арамидных или иных упрочняющих
нитей; 4 - защитная оболочка
Рисунок 2.4 - Структура кабеля марки ИКВА-ПО1-0.05
2.6 Настройка
активного сетевого оборудования
Конфигурации для оборудования одного функционального типа аналогичны и
отличаются только названиями устройств, адресами и паролями. Поэтому для
описания настроек всего оборудования достаточно указать шаблоны для каждого
типа.
.6.1 Базовые
настройки
Одинаковым для всех устройств является настройка служебных параметров и
сетевых интерфейсов.
Для всех устройств необходимо настроить следующие служебные параметры:
имя устройства;
пароль на вход с консоли;
пароль на вход по сети;
Настройка сетевых интерфейсов зависит не от типа и функций сетевого
устройства, а от технологий физического и канального уровня интерфейса. В
простейшем случае (например, при использовании технологии Ethernet) интерфейс
будет работать с установками по умолчанию. В более сложных случаях (характерных
для технологий глобальных вычислительных сетей) требуется настройка.
После физического подключения через консольный порт маршрутизатора или
коммутатора к компьютеру для настройки запускается программа эмуляции терминала
(Hyper Terminal) и настраиваются параметры соединения (9600-8N1). Затем
включается само устройство. На маршрутизаторе (коммутаторе) начинает
выполняться загрузочное программное обеспечение, которое находит загрузочное
устройство (обычно это флэш-память), в котором содержится образ ОС Cisco IOS.
После этого ОС запускает программу пошаговой настройки устройства: System Configuration
Dialog. Программа пошаговой настройки предлагает варианты ответов по умолчанию
в квадратных скобках.
В процессе настройки предлагается изменить имя устройства:host name
[Router]: ИМЯ (вводим имя устройства, оно не должно содержать более 63 символов
и начинаться с цифры).
После ввода будет предложено ввести пароли:
на вход с консоли: Enter: ПАРОЛЬ;
на вход по сети: Enter virtual terminal password: ПАРОЛЬ;
на вход в привилегированный режим: Enter enable secret: ПАРОЛЬ, Enter
enable password: ПАРОЛЬ.
Система именования оборудования также стандартизирована и формируется по
следующему принципу: [модель]-[Код ИФНС]-[порядковый номер], например
С6524-A-5.
Далее программа пошаговой настройки дает возможность задать параметры
интерфейсов.
.6.2
Настройка PE-маршрутизаторов MPLS домена
Р-маршрутизаторы подключаются к другим
Р-маршрутизаторам и к РЕ-маршрутизаторам. Р-маршрутизаторы выполняют функции
коммутации по меткам. При этом пакеты передаются только по меткам MPLS. В сетях
MPLS-VPN для Р-маршрутизаторов используется двухуровневый стек меток, с помощью
которого пакеты передаются по магистрали из одного сайта VPN в другой. Обычно
Р-маршрутизаторы связываются друг с другом с помощью IGP-протокола
маршрутизации (например, IS-IS или OSPF) и не имеют никакой информации о других
маршрутах, кроме маршрутов, ведущих к РЕ-маршрутизаторам.
РЕ-маршрутизаторы вводят префиксы своих IР-адресов/32
в магистральные таблицы маршрутизации IGP. Это позволяет MPLS на каждом узле
магистральной сети присваивать метки, указывающие на маршрут, ведущий к тому
или иному РЕ-маршрутизатору.
Когда устройство РЕ получает пакет от устройства СЕ,
оно выбирает определенную таблицу VRF для поиска адреса назначения для этого
пакета. Если такой адрес найден и если пакет предназначен для устройства СЕ,
подключенного к данному РЕ-маршрутизатору, пакет направляется прямо на
устройство СЕ и не передается в магистраль.
Если же пакет не предназначен для устройства СЕ,
подключенного к данному устройству РЕ, для него находится следующий узел (BGP
Next Hop), а также метка, которую этот узел BGP next-hop присвоил адресу
назначения. Эта метка записывается в стек меток данного пакета и становится его
внутренней меткой.
Если следующий узел IGP (IBGP или OSPF) отличается от
следующего узла BGP, в стек записывается дополнительная метка. Эта метка,
указывающая на следующий узел BGP, становится Внешней меткой. (Если следующий
узел BGP совпадает со следующим узлом IGP, вторая метка может не
присваиваться).
После этого MPLS доставляет пакет по магистрали до соответствующего
устройства СЕ в соответствии с Внешней меткой MPLS. Это значит, что все решения
Р-маршрутизаторов и РЕ-маршрутизаторов принимаются на основе данных MPLS, a
IP-заголовок пакета не рассматривается, пока пакет не поступит на оконечный
РЕ-маршрутизатор.
Р-маршрутизатор (или РЕ-маршрутизатор), находящийся
перед оконечным РЕ-маршрутизатором, удаляет Внешнюю метку из стека MPLS и
направляет пакет оконечному РЕ-маршрутизатору. Оконечный РЕ-маршрутизатор
просматривает Внутреннюю метку и отправляет пакет соответствующему устройству
СЕ. Таким образом, до устройства СЕ доходит обычный IP-пакет, который не несет
на себе никаких следов MPLS.
Чтобы изолировать сети VPN друг от друга, нужно
сделать так, чтобы ни один магистральный маршрутизатор не принимал никаких пакетов
с метками от соседних немагистральных устройств, кроме следующих случаев:
– когда внешняя метка в стеке меток была сообщена
Р-маршрутизатором (магистральным маршрутизатором) немагистральному устройству;
– когда Р-маршрутизатор (магистральный маршрутизатор)
определяет, что в результате использования данной метки пакет покинет
магистраль до считывания Внутренней метки в сетке и до считывания заголовка IP.
Эти ограничения необходимы для того, чтобы исключить передачу в VPN
пакетов, которые для нее не предназначены.
После настройки параметров, общих для всех устройств выполняем настройку
сетевых интерфейсов в режиме конфигурации и серверов демилитаризованной зоны.
Схема разрабатываемой сети представлена в приложении В.
В качестве внутреннего протокола маршрутизации MPLS домена был выбран
протокол EIGRP. Данный протокол маршрутизации является гибридным протоколом
маршрутизации. Создание EIGRP есть попытка соединить в одном протоколе
достоинства «дистанционно-векторных» (distance-vector) протоколов маршрутизации
и протоколов «состояния канала» (link-state) без недостатков присущих этим
протоколам. Протокол EIGRP комбинирует простоту и надежность
«дистанционно-векторных» протоколов, а также быструю сходимость протоколов
«состояния канала». Так же протокол EIGRP поддерживает маршрутизацию протоколов
IP, IPX, Aplletalk. С версии IOS 12.3 поддерживает VPN/MPLS с использованием
EIGRP
В качестве протокола распространения меток был выбран протокол TDP.
Настройка EIGRP и CEF.
Для начала необходимо запустить на всех маршрутизаторах входящих в MPLS
домен протокол маршрутизации (в нашем случае EIGRP) и включить на этих
маршрутизаторах коммутации Cisco Express Forwarding (CEF).
(config)# router eigrp 1.
Запускаем процесс маршрутизации EIGRP 1.
(config)# network 192.168.0.0.
Данной командой указываем устройствам маршрутизировать все сети,
подключенные к этому маршрутизатору с адресами, попадающими в диапазон
192.168.0.0/16.
Следующим шагом необходимо отключить автоматическую суммаризацию. ip cef:
(config)# no auto-summary.
Включена коммутация Cisco Express Forwarding. Проверить функционирование
протокола EIGRP можно командой show ip protocols (команда также покажет
основные параметры протокола EIGRP на маршрутизаторе) и командой show ip eigrp
neighbors убедится в создание соседских отношений между маршрутизаторами.
Проверить работу CEF можно выполнив команду - show ip cef summary.
Настройка TDP.
По умолчанию Cisco IOS использует протокол TDP, но можно выбрать LDP
командой mpls label protocol ldp. Можно также этой командой включить или
выключить на отдельном интерфейсе любой из протоколов. При выполнении команды
mpls label protocol both на интерфейсах соседей маршрутизаторов маршрутизаторы
будут использовать протокол LDP.
Так как настройка протокола LDP является типовым процессом, для упрощения
рассмотрим настройку только маршрутизатора PE Router_A, предполагая, что на
остальных маршрутизаторах MPLS домена протокол LDP уже функционирует.
Изначально маршрутизатор Router_A имеет следующую конфигурацию.
Current configuration : 1122 bytes
!12.3
!Router_A
!ceftag-switching ip
!Loopback0address 192.168.254.45 255.255.255.255
!GE0/0address 192.168.24.1 255.255.255.0
!GE0/0:0Router_Baddress 192.1688.253.190 255.255.255.252
!GE0/1:0Router_Caddress 192.168.253.201 255.255.255.252
!eigrp 1192.168.0.0auto-summary
!
На маршрутизаторе Router_B поднят Loopback0 с сетью 192.168.254.39/32, на
маршрутизаторе Router_C поднят Loopback0 с сетью 192.168.254.40/32.
Запускаем поддержку MPLS используя команду mpls ip.
Router_A(config)# mpls ip
Создание Label Information Base и запуск TDP/LDP произойдет только после
запуска MPLS на одном из интерфейсов. Предварительно запустим на маршрутизаторе
команду debug.
Router_A#show debug:events debugging is ondata structure changes debugging
is onenable/disable state debugging is onadjacency debugging is onldp:Label
Information Base (LIB) changes debugging is onreceived messages, excluding
periodic Keep Alives debugging is onsent PDUs, excluding periodic Keep Alives
debugging is ontransport events debugging is ontransport connection events
debugging is onsession state machine (low level) debugging is on
Далее производим запускаем MPLS на интерфейсе:
Router_А(config)#interface GE0/0:0._Аconfig-if)#tag-switching ip.
:32:07: mpls: Add mpls app; GE0/0:0
:32:07: mpls: Add mpls app; GE0/0:0
:32:07: mpls: Add mpls app; i/f status change; GE0/0:0
:32:07: ldp: enabling ldp on GE0/0:0
Произведена подготовка к запуску MPLS на интерфейсе.
01:32:07: LFIB: enable entered, table does not exist,enabler type=0x1
:32:07: LFIB: enable, TFIB allocated, size 6032 bytes, maxtag = 500
Произведено создание базы LFIB.
01:32:07: tib: find route tags: 192.168.1.0/24, GE0/0, nh 0.0.0.0, res nh
0.0.0.0
:32:07: tagcon: tibent(192.168.24.0/26): created; find route tags request
:32:07: tagcon: tibent(10.168.25.0/26): label 1 (#2) assigned
:32:07: tagcon: announce labels for: 192.168.24.0/26; nh 0.0.0.0,
GE0/0,inlabel imp-null, outlabel unknown (from 0.0.0.0:0), find route tags
:32:07: tib: find route tags: 192.168.253.188/30, GE0/0:1, nh 0.0.0.0,
res nh 0.0.0.0
:32:07: tagcon: tibent(192.168.253.188/30): created; find route tags
request
:32:07: tagcon: tibent(192.168.253.188/30): label 1 (#4) assigned
:32:07: tagcon: announce labels for: 192.168.253.188/30; nh 0.0.0.0,
GE0/0:0, inlabel imp-null outlabel unknown (from 0.0.0.0:0), find route tags
:32:07: tib: find route tags: 192.168.253.200/30, GE0/1:0, nh 0.0.0.0,
res nh 0.0.0.0
:32:07: tagcon: tibent(192.168.253.200/30): created; find route tags
request
:32:07: tagcon: tibent(192.168.253.200/30): label 1 (#6) assigned
:32:07: tagcon: announce labels for: 192.168.253.200/30; nh 0.0.0.0,
GE0/1:0, inlabel imp-null, outlabel unknown (from 0.0.0.0:0), find route tags
:32:07: tib: find route tags: 192.168.254.40/32, GE0/0:0, nh
192.168.253.189, res nh 192.1688.253.189
:32:07: tagcon: tibent(10.108.254.40/32): created; find route tags
request
:32:07: tagcon: tibent(10.108.254.40/32): label 16 (#8) assigned
Далее маршрутизатор начинает расставлять локальные метки на маршруты
находящиеся в таблице маршрутизации
01:32:07: mpls: Enable MPLS forwarding on GE1 0/0:0
:32:07: ldp: enabling ldp on GE0/0:0
После привязки меток маршрутизатор готов к работе по MPLS на интерфейсе
GE0/0:0. Стартует LDP/TDP.
01:32:07: ldp: Got LDP Id, ctx 0
:32:07: ldp: LDP Hello process inited
:32:07: ldp: Start MPLS discovery Hellos for GE0/0:0
:32:07: ldp: Got TDP UDP socket for port 711
:32:07: ldp: Got LDP UDP socket for port 646
Видно из сообщений, что IOS открывает порты для обоих протоколов
распространения меток, внезависимости от значения команды mpls label protocol.
Для установления соседских отношений маршрутизатры обмениваются сообщениями
Hello.
:32:07: ldp: Send tdp hello; GE 0/0:0, src/dst 192.168.253.190
/255.255.255.255, inst_id 0
:32:08: ldp: Ignore Hello from 192.108.253.202, GE0/1:0; no intf
На интерфейсе GE0/1:0 нет разрешения для MPLS, поэтому пакеты LDP/TDP
игнорируются. После установки разрешающей команды для данного интерфейса, маршрутизаторы
обмениваются пакетами Hello.
:32:09: ldp: Rcvd tdp hello; GE0/1:0, from 192.168.253.189
(192.168.254.40:0), intf_id 0, opt 0x4
:32:09: ldp: tdp Hello from 192.168.253.189 (192.168.254.40:0) to
255.255.255.255, opt 0x4
:32:09: ldp: New adj 0x82EA0510 for 192.168.254.40:0, GEl0/0:0
:32:09: ldp: adj_addr/xport_addr 192.168.253.189/192.168.254.40
:32:09: ldp: local idb = GE0/1:0, holdtime = 15000, peer 192.168.253.189
holdtime = 15000
:32:09: ldp: Link intvl min cnt = 2, intvl = 5000, idb = GE0/0:0
:32:09: ldp: Opening tdp conn; adj 0x82EA0510, 192.168.254.45 <->
192.168.254.40; with normal priority
Произведен обмен IDмежду маршрутизаторами, после чего осуществляется
установление соединение по TDP.
:32:09: ldp: ptcl_adj:192.168.253.189(0x82EA0A60): Non-existent ->
Opening Xport
:32:09: ldp: create ptcl_adj: tp = 0x82EA0A60, ipaddr = 192.168.253.189
:32:09: ldp: ptcl_adj:10.108.253.189(0x82EA0A60): Event: Xport
openedXport -> Init sent
:32:09: ldp: tdp conn is up; adj 0x82EA0510, 192.168.254.45:11000 <->
192.168.254.40:711
:32:09: ldp: Sent open PIE to 192.1688.254.40 (pp 0x0)
:32:09: ldp: Rcvd open PIE from 192.168.254.40 (pp 0x0)
:32:09: ldp: ptcl_adj:10.108.253.189(0x82EA0A60): Event: Rcv Init;sent
-> Init rcvd actv
:32:09: ldp: Rcvd keep_alive PIE from 10.108.254.40:0 (pp 0x0)
:32:09: ldp: ptcl_adj:10.108.253.189(0x82EA0A60): Event: Rcv KA;rcvd actv
-> Oper
:32:09: tagcon: Assign peer id; 192.168.254.40:0: id 0
:32:09: %LDP-5-NBRCHG: TDP Neighbor 192.168.254.40:0 is UP
Маршрутизаторы договорились между собой, установили соседские отношения,
и теперь информацию о соседе можно получить, выполнив команду show mpls ldp
neighbor.
:32:09: ldp: Sent address PIE to 192.168.254.40:0 (pp 0x82EA0C10)
:32:09: ldp: Sent bind PIE to 192.168.254.40:0 (pp 0x82EA0C10)
:32:09: ldp: Rcvd address PIE from 192.168.254.40:0 (pp 0x82EA0C10)
:32:09: tagcon: 192.168.254.40:0: 192.1688.254.40 added to
addr<->ldp ident map
:32:09: tagcon: 192.168.254.40:0: 192.168.253.189 added to
addr<->ldp ident map
:32:09: ldp: Rcvd bind PIE from 192.168.254.40:0 (pp 0x82EA0C10)
:32:09: tagcon: tibent(192.168.253.188/30): label imp-null from
192.168.254.40:0 added
В следующем шаге получаем метки от соседа и передаем их в LFIB
:32:09: tib: Not OK to announce label; nh 0.0.0.0 not bound to 192.168.254.40:0
:32:09: tagcon: omit announce labels for: 192.168.253.188/30; nh 0.0.0.0,
GE0/0:0, from 192.168.254.40:0: add rem binding: connected route
:32:09: tagcon: tibent(192.168.254.40/32): label imp-null from
192.168.254.40:0 added
:32:09: tagcon: announce labels for: 192.168.254.40/32; nh
192.168.253.189, GE0/0:0, inlabel 16, outlabel imp-null (from
192.168.254.40:0), add rem binding
:32:09: LFIB: set loadinfo,tag=16,no old loadinfo,no new loadinfo
:32:09: LFIB: delete tag rew, incoming tag 16
:32:09: LFIB: create tag rewrite: inc 16,outg Imp_null
------------------------------------------------
:32:09: tagcon: tibent(192.168.254.39/32): label 19 from 192.168.254.40:0
added
:32:09: tib: Not OK to announce label; nh 192.168.253.202 not bound to 192.168.254.40:0
:32:09: tagcon: omit announce labels for: 192.168.254.39/32; nh
192.168.253.202, GE0/1:0, from 192.168.254.40:0: add rem binding: next hop =
192.168.253.202
:32:11: ldp: Send tdp hello; GE0/0:0, src/dst
192.168.253.190/255.255.255.255, inst_id 0
:32:13: ldp: Rcvd tdp hello; GE0/0:0, from 192.168.253.189
(192.168.254.40:0), intf_id 0, opt 0x4
:32:15: ldp: Send tdp hello; GE0/0:0, src/dst
192.108.253.190/255.255.255.255, inst_id 0
:32:17: ldp: Rcvd tdp hello; GE0/0:0, from 192.168.253.189 (192.168.254.40:0),
intf_id 0, opt 0x4g
Процесс установления соседских отношений завершен, обмен необходимой
информацией закончен и маршрутизаторы обмениваются пакетами Hello.
В качестве идентификатора выбирается наибольший IP адрес из интерфейсов
Loopback. Если интерфейсы Loopback отсутствуют, то в качестве идентификатора
выбирается наибольший IP адрес с любого интерфейса. Можно установить
идентификатор вручную, используя команду mpls ldp router-id interface с
необязательным параметром force. Только с параметром force ID будет изменен для
существующих сессий и повлечет за собой переустановление соседских отношений.
Для пакетной MPLS (MPLS/VPN) сети параметр сходимости сети является особо
важным, так как он может повлечь увеличение задержки распространения меток. В
пакетных сетях при использовании режима обмена информацией о метках без запроса
(Downstream Unsolicited), независимого контроля над распространением меток
(Independent Label Distribution Control) и свободного режима сохранения меток
(Liberal Label Retention Mode) время сходимости сведено до минимума, позволяя
находить метки после завершения процесса сходимости IGP без опрашивания соседа.
Но это быстро и хорошо работает при падении канала, но не при более глубоких
изменениях сети. Необходимо, чтобы сначала завершалась работа по поиску
маршрутов IGP, и только после завершения данной работы происходило начало
работы по поиску меток MPLS.
Выполним еще раз команду show mpls forwarding-table на маршрутизаторе
Router_A._B#show mpls forwarding-table
Local Outgoing Prefix Bytes tag Outgoing Next Hop tag
or VC or Tunnel Id switched interface
Pop tag 192.168.254.40/32 214 GE0/0:0
point2point
Pop tag 192.168.254.39/32 170 GE0/1:0
point2point
.6.3 Создание
VRF таблицы на PE - маршрутизаторе
Введем следующее различие определений.
Каждый РЕ-маршрутизатор поддерживает одну или
несколько таблиц маршрутов и передачи (route/forwarding tables - VRF). Такая
таблица поддерживается для каждого сайта, подключенного к РЕ-маршрутизатору.
Если IP-адрес пакета указывает на то, что его нужно передать в сайт А, его ищут
в таблице (forwarding table) сайта А только в том случае, когда пакет прибывает
из сайта, ассоциированного с таблицей (forwarding table) сайта А.
Если сайт связан с несколькими сетями VPN, его таблица VRF может включать
данные о маршрутах всех этих сетей. К примеру, сайт СЕ1 принадлежит к сетям
VPNA и VPNB. В этом случае таблица VRF устройства РЕ1 будет содержать
информацию о маршрутах сети VPNA и VPNB. Другими словами, на устройстве РЕ1 не
будет двух отдельных таблиц VRF. Обычно на устройстве РЕ поддерживается по
одной таблице VRF на сайт, даже если с этим сайтом у данного устройства имеется
несколько соединений. Кроме того, если разные сайты пользуются одним и тем же
набором маршрутов, они также будут объединяться в одну таблицу VRF.
Таблицы VRF на устройствах РЕ используются только для пакетов,
поступающих из сайта, напрямую подключенного к данному устройству РЕ. Они не
используются для маршрутизации пакетов, поступающих с других маршрутизаторов,
установленных в магистрали сервис-провайдера. В результате к одному и тому же
адресу в сети могут вести несколько маршрутов, потому что маршрут для передачи
каждого пакета определяется в точке, через которую пакет попадает в магистраль.
Так, например, один маршрут может использоваться для передачи пакетов из сети
экстранет (где установлен межсетевой экран), а другой маршрут - для передачи
пакетов по тому же адресу из сети интранет.
В состав VRF, как объекта, входят:
множество интерфейсов PE, к которым подключаются CE из одного VPN;
VRF-таблица;
атрибуты и правила распространения маршрутной информации.локален для
каждого устройства PE. Понятие VPN распространяется на всю сеть. Таким образом,
VPN не равно VRF, VRF это, скорее, описание VPN в рамках одного устройства PE.
Потому, сколько различных узлов VPN подключено к PE, столько и VRF необходимо
создать.
Настроим маршрутизатор Router_С для работы в MPLS сети с VPN vpn_4.
Для определения VPN комплекса маршрутизации на маршрутизаторе Router_С
для VPN vpn_4 выполним следующие действия: Назначим имя vrf._С(config)# ip vrf
vpn_4.
Назначим Route Distinguisher._С(config-vrf)# rd 1:1.
Указываем какие сообщества маршрутов должен импортировать и
экспортировать vrf._С(config-vrf)# route-target export 1:1._С(config-vrf)#
route-target import 1:1.
Подход к формированию значения RT такой же, как и к RD. Возможно
использование различных правил обработки для импортируемых маршрутов с помощью
команды import map route-map. Параметры VRF локальны и распространяются только
на конфигурируемый маршрутизатор.
Указываем интерфейсы, входящие в vrf комплекс, используя команду ip vrf
forwarding vrf-name._С(config)# interface Ge0/1_С(config-interface)# ip vrf
forwarding vpn_4
Так как при связывание интерфейса с vrf удаляется адрес интерфейса,
назначаем интерфейсу адрес._С(config-interface)# ip address 192.168.12.1
255.255.252.0
Для того что бы просмотреть результат настройки таблицы для текущего VPN,
введем команду show ip route vrf vpn_4._С# show ip route vrf vpn_4Table: vpn_4:
C - connected, S - static, R - RIP, M - mobile, B - BGP- EIGRP, EX - EIGRP
external, O - OSPF, IA - OSPF inter area- OSPF NSSA external type 1, N2 - OSPF
NSSA external type 2- OSPF external type 1, E2 - OSPF external type 2- IS-IS,
su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2- IS-IS inter area, *
- candidate default, U - per-user static route- ODR, P - periodic downloaded
static routeof last resort is not set
.168.0.0/16 is variably subnetted, 9 subnets, 4 masks192.168.12.0/26 is
directly connected, Ge0/1
Для создания всех VRF таблиц, на других интерфейсах необходимо провести
аналогичные настройки.
.6.4
Настройка MP-BGP
Для работы сети необходимо, что бы был сконфигурирован обмен маршрутной
информацией VRF между всеми PE маршрутизаторами. Для этого требуется настроить
протокол маршрутизации MP-BGP.
Первым шагом назначаем номер автономной системы:_B(config)#router bgp 1.
Назначаем идентификатор для BGP. Обычно это, как в нашем случае, адрес
интерфейса Loopback0:_B(config-router)# bgp router-id 192.168.254.39.
Отключаем одноадресатные аносы префиксов протокола IP v4. Теперь BGP
будет переносить только информацию о VRF:_A(config-router)# no bgp default
ipv4-unicast.
Описываем соседа по протоколу BGP. IP адрес 192.168.254.40 принадлежит
маршрутизатору Router_B, на котором будет настроен рефлектор маршрутной
информации. Настройка рефлектора маршрутной информации будет рассмотрена ниже,
а на этом этапе рассмотрим вариант точка-точка:_B(config-router)# neighbor
192.168.254.40 remote-as 1.
Посылать пакеты будем от имени Loopback0:_B(config-router)# neighbor
192.168.254.40 update-source Loopback0.
Поднимаемся в режим конфигурирования VPN:_B(config-router)#
address-family vpnv4.
Разрешаем обмен информацией с соседом 192.168.254.40:_B(config-router-af)#
neighbor 192.168.254.40 activate.
Разрешаем рассылку только расширенных атрибутов BGP:_B(config-router-af)#
neighbor 192.168.254.40 send-community extended.
При настройке маршрутизатора Router_C мы получим следующую
конфигурацию._C#show running-configvrf vpn_11:1target export 1:1target import
1:1cefLoopback0address 192.168.254.40 255.255.255.255GE0/0vrf forwarding
vpn_4address 192.1168.12.1 255.254.255.0Ge0/0:1Router_Baddress 192.168.253.185
255.255.255.252switching ipGE0/1:0Router_Baddress 192.168.253.189
255.255.255.252switching ipeigrp 1192.168.0.0auto-summaryfamily ipv4 vrf
vpn_1bgp 1 metric 1000 1000 1 255 1500192.168.0.0auto-summarysystem
3address-familybgp 1router-id 192.168.254.40bgp default
ipv4-unicastlog-neighbor-changes192.168.254.39 remote-as 1192.168.254.39
update-source Loopback0family vpnv4192.168.254.39 activate192.168.254.39
send-community extendedaddress-familyfamily ipv4 vrf vpn_1eigrp
3auto-summarysynchronizationaddress-family
После ввода команды neighbor 192.168.254.39 send-community extended
возможно отсутствие каких либо изменений в таблице маршрутизации vrf vpn_1.
Протокол BGP отличается некоторой инертностью, возможна временная задержка
обмена маршрутной информацией. Обмен маршрутной информацией между PE осуществляется
через протокол MP-BGP. Самый простой вариант настроить соединения точка-точка
между маршрутизаторами PE.За простоту приходится платить сложностью
администрирования. Второй вариант заключается в настройке двух(редко более)
маршрутизаторов как рефлекторов маршрутной информации. Режим рефлектора
включается для каждого соседа BGP командой neighbor x.x.x.x peer-group
route-reflector-client. Так как настройки для большинства соседей BGP
однотипны, рекомендовано объединять соседей в группы, а уже группам присваивать
необходимые настройки. В нашем случае в качестве рефлектора настроен
маршрутизатор Router_C. Рассмотрим настройку протокола BGP на маршрутизаторе
Router_Cbgp 1.
Далее запускаем процесс маршрутизации BGP для автономной системы
1.router-id 192.168.254.40.
Назначаем идентификатор маршрутизатора для протокола BGP:bgp default
ipv4-unicast.
Отключаем передачу одноадресатных анонсов протокола IPv4. Сейчас BGP
будет переносить информацию только о VPN.log-neighbor-changesclients peer-group
Объявляем группу соседей clients:clients remote-as 1.
Объявляем, что члены группы clients принадлежат автономной системе
1:clients update-source Loopback0.
Весь обмен с членами группы clients будет происходить от адреса
интерфейса Loopback0:192.168.253.252 peer-group clients.
Адрес 192.168.253.252 объявляется членом группы clients.192.168.254.39
peer-group clients192.168.254.45 peer-group clients192.168.254.254 peer-group
clients
!family vpnv4clients activate
Объявляется группа clients:clients route-reflector-client
Для всех членов группы clients маршрутизатор Roгter_C является
отражателем маршрутной информации:clients send-community extended.
Разрешить посылать расширенные атрибуты членам группы
clients.192.168.253.252 peer-group clients192.168.254.39 peer-group clients192.168.254.45
peer-group clients192.168.254.254 peer-group clientsaddress-family
!family ipv4 vrf vpn_1
Произведем настройка BGP для vpn_1eigrp 3
Настраиваем передачу информацию о маршрутах vpn_1 в процесс EIGRP
3.auto-summarysynchronizationaddress-familyfamily ipv4 vrf vpn_3eigrp
2auto-summarysynchronizationaddress-family
!
Практически всю необходимую информацию о настроенных на маршрутизаторе
VPN можно получить из вывода команды show ip bgp vpnv4 all.
2.6.5
Соединение PE-CE с использованием EIGRP
Для того что бы настроить маршрутизацию между маршрутизаторами PE и CE
необходимо указать следующие настройки. Приведем пример конфигурирования
маршрутизации на участке Router_С - CE_5._С(config)#router eigrp 1
Следующей командой объявляем семейств адресов vrf vpn_1._С(config-router)#address-family
ipv4 vrf vpn_4
Разрешаем перераспределять маршруты из BGP в EIGRP, без указания метрики
EIGRP, будем назначать полученным маршрутам метрику infinity, то есть
бесконечность._С(config-router-af)# redistribute bgp 1 metric 1000 1000 1 255
1500_С(config-router-af)# network 192.168.0.0_С(config-router-af)# no
auto-summary
Указываем номер автономной системы для процесса маршрутизации для VRF
vpn_4:_C(config-router-af)# autonomous-system 3.
Далее следует настроить BGP для VRF vpn_4:_C(config)#router bgp 1.
Объявлем семейство адресов vpn_1 для bgp:_С(config-router)#address-family
ipv4 vrf vpn_1.
Так же необходимо произвести настройку обмена маршрутов в схеме
MP-BGP._С(config-router-af)#redistribute eigrp 3_С(config-router-af)#no
auto-summary
Отключаем синхронизацию:_С(config-router-af)#no synchronization.
Конфигурирование маршрутизатора CE достаточно типично, а так же пример
настройки был частично рассмтрен выше. Представляется достаточным привести
результат выполнения команды show-running config, для просмотра настроек
маршрутизатора CE - Cisco3845-C-1.-C-1(config)# show-running configRouter_M
!cef
!Ge0/2address 192.168.12.1 255.255.255.0
!eigrp 3192.168.12.0 0.0.255.255summary
!
Маршрутизаторы Cisco3845-C-1 и Router_С установили соседские отношения
между собой по протоколу EIGRP. Выполнив команду show ip eigrp neighbors на
маршрутизаторе Cisco3845-C-1 и команду show ip eigrp vrf vpn_4 neighbors на
маршрутизаторе Router_С, мы удостоверимся в этом. Команда show ip route vrf vpn_4
выполняемая на маршрутизаторе Router_С покажет таблицу маршрутизации для VRF
vpn_4. Команды show ip cef vrf vpn_4 и show ip vrf vpn_4 выведут,
соответственно, таблицу CEF для vrf vpn_4 и общую информацию о vrf vpn_4.
.6.6
Соединение PE - CE с использованием RIP
Возможно использование в качестве протокола маршрутизации на участке сети
PE - CE протокола RIP. В этом случае конфигурирование маршрутизаторов
достаточно схоже на процесс настройки EIGRP, только отсутствует необходимость
указывать номер процесса и другие значения метрик. Так как процесс
конфигурирования EIGRP был рассмотрен ранее, то достаточно привести
конфигурацию маршрутизатора, для рассмотрения соединения с использованием RIP.
Конфигурация соединения PE - CE рассмотрена на маршрутизаторе Router_D._D#show
running config
!Router_D
!vrf vpn_21003:1003target export 1003:1003target import 1003:1003target
import 1:1
!vrf vpn_11:1target export 1:1target import 1:1target import 1003:1003
!Loopback0address 192.168.4.45 255.255.255.255clns route-cache
!Ge0/0vrf forwarding vpn_1address 192.168.24.1 255.255.255.0
!Ge0/2Router_Avrf forwarding vpn_2address 192.168.4. 5
255.255.255.25264000clns route-cache
!eigrp 1192.168.0.0auto-summary
!rip2
!family ipv4 vrf vpn_22bgp 1 metric 1192.168.4.0auto-summaryaddress-family
!family ipv4 vrf vpn12bgp 1 metric
1192.168.24.0auto-summaryaddress-family
!bgp 1router-id 192.168.24.45bgp default
ipv4-unicastlog-neighbor-changes192.168.24.40 remote-as 1192.168.24.40
update-source Loopback0
!family vpnv2192.168.24.40 activate192.168.24.40 send-community
extendedaddress-family
!family ipv4 vrf vpn_2rip metric
1auto-summarysynchronizationaddress-family
!family ipv4 vrf vpn1rip metric
1auto-summarysynchronizationaddress-family
.6.7
Настройка коммутаторов
Для всех коммутаторов корпоративной сети в общем случае необходимо
выполнить следующие настройки:
настройка общих параметров и сетевых интерфейсов;
виртуальных локальных сетей;
протокола покрывающего дерева.
.6.8
Настройка коммутаторов рабочих групп
При условии большого числа подключений к коммутаторам рабочих групп,
необходимо создать должный уровень безопасности и обеспечить эффективное
функционирование сети, достичь этих критериев проще всего организовав, на
коммутаторах виртуальные локальные сети (VLAN).
Портам GiagabitEthernet присваиваем номера VLAN’ов исходя из того, к
какому подразделению будет отнесен хост подключенный к конкретному интерфейсу
коммутатора. Порты GigabiEthernet, подключенные к коммутатору здания или к
маршрутизизатору здания, настраиваем как транковые, указываем тип инкапсуляции
dot1q. Повторяем эти действия для каждого коммутатора рабочей группы.
Примерная последовательность команд.
(config) # interface Ge0/XX
(config - if)# switchport access vlan YY- номер интерфейса коммутатора,-
номер подразделения, к которому относится хост, подключенный к указанному выше
интерфейсу.
(config) # interface GigabitEthernet0/0
(config - if) # switchport mode trunk
(config - if) # switchport trunk encapsulation dot1q
.6.9
Настройка коммутатора здания
Для коммутаторов корпоративных серверов и серверов демилитаризованной
зоны требуется настроить только общие параметры интерфейсов.
Необходимо назначит коммутаторам IP адреса, пример ввода команды
установки IP-адреса устройства выглядит следующим образом:
(config) #ip address 192.168.24.10 255.255.254.0
Настройка интерфейсов коммутаторов здания сводится к установке транкового
режима работы для всех его интерфейсов. Также нужно установить инкапсуляцию
dot1q.
(config) # interface GigabitEthernet 0/0
(config - if) # switchport mode trunk
(config - if) # switchport trunk encapsulation dot1q
2.6.10
Настройка коммутатора кампуса
Существует также возможность соединить виртуальные сети, это можно
сделать через коммутатор здания. Для этого нужно настроить коммутатор
соответствующим образом.
На коммутаторе должна присутствовать функция маршрутизации
(маршрутизирующий коммутатор). На интерфейсах к которым подключены коммутаторы
зданий создаются подинтерфейсы, им задаются адреса и включается инкапсуляция
dot1q.
(config) # interface GE0/1.1
(config - sub if) # encapsulation dot1q
(config - sub if) # ip address 192.168.12.20 255.255.255.0
(config) # interface GE0/1.2
(config - sub if) # encapsulation dot1q
(config - sub if) # ip address 192.168.1.21 255.255.225.0
.6.11
Настройка протокола покрывающего дерева
При создании избыточных линий связи в топологии сети обязательно
появляются петли. В то же время коммутируемые сети не будут функционировать,
если в их топологии присутствует петля.
Для решения этой проблемы используется протокол покрывающего дерева
(spanning tree protocol). Коммутаторы, работающие по этому протоколу, отключают
запасные пути. В случае, если одна из линий связи перестанет работать,
коммутаторы перестраивают топологию сети таким образом, чтобы она имела вид
покрывающего дерева - охватывала бы все узлы, но при этом не имела петель.
Покрывающее дерево строится отдельно для каждой виртуальной локальной сети.
Работа протокола покрывающего дерева происходит в два этапа. Сначала,
исходя из установленных приоритетов, выбирается корневой коммутатор. Далее,
исходя из приоритетов линий связи, от корневого коммутатора строится
покрывающее дерево.
Настройка протокола состоит из трех этапов:
включение протокола покрывающего дерева для нужных VLAN’ов;
настройка приоритетов коммутаторов;
настройка приоритетов линий связи.
Включение протокола для конкретного VLAN’а производится следующей
командой:
(config - if) # spanning-tree VLAN Х.
Приоритет коммутатора устанавливается таким образом:
(config) # spanning-tree VLAN Х priority хх
Приоритет линий связи состоит из двух составляющих: собственно приоритета
и стоимости.
(config - if) # spanning-tree VLAN 1 port-priority хх
(config - if) # spanning-tree VLAN 1 port-cost хх
Необходимо на коммутаторах этажа и на маршрутизирующих коммутаторах для
каждого VLAN’а, прежде всего, включить протокол Spanning Tree и затем задать
приоритеты.
Коммутирующему маршрутизатору кампуса задаем самый высокий приоритет.
Двум коммутаторам здания задаем одинаковые приоритеты, но ниже, чем у коммутирующего
маршрутизатора. Коммутаторам рабочих групп - еще более низкие приоритеты. Все
линии связи имеют одинаковую стоимость и приоритет - 1.
Такие настройки нужно произвести на каждом коммутаторе для каждого
VLAN’а.
3. Расчет
стоимости внедрения и годовой эксплуатации корпоративной сети на базе FTTH
.1 Расчет
затрат на внедрение
Произведем экономический расчет стоимости внедрения корпоративной
мультисервисной сети УФНС г.Омска на базе технологии FTTH. Расчет будет
производиться для сети, содержащей 5 филиалов и центральное управление, с общим
числом абонентских отводов составляющим 897 подключений.
При проведении расчета на внедрение мультисервисной сети для организации
принимаем ряд допущений. Полностью учитывается стоимость активного оборудования
всей сети. Стоимость материалов будет определяться из номинальной стоимости
материалов для организации мультисервисной сети одной инспекции, умноженной на
соответствующее число ИФНС:
. (3.1)
В таблице 3.1 представлена смета затрат на покупку всей необходимой
продукции и оборудования для построения сети одного филиала на примере ИФНС
города Омска по Кировскому АО, включающей организацию 140 абонентских
подключений. Цены оборудования и материалов приняты по прайс-листам компаний
поставщиков оборудования и актуальны по состоянию на май 2009 года, все цены
приведены с учетом налога на добавленную стоимость (НДС).
Таблица 3.1 - Затраты на материалы В рублях
|
Наименование
|
Ед. изм.
|
Кол-во
|
Цена
|
Сумма.
|
|
ВОК для внешней прокладки марки ИК/Д2-Т-А4-1.2, 8 жил
|
м.
|
500
|
21
|
10500
|
|
Шнур соединительный UTP, категория 5e, 5м
|
шт.
|
140
|
65
|
9100
|
|
Пигтейл SC SM 9.5/125, 1 м
|
шт.
|
10
|
88
|
880
|
|
Шнур оптический монтажный SM 9/125, SC-SC, duplex, 1 м
|
шт.
|
10
|
428
|
4280
|
|
ВОК внутриобъектовый марки ИКВА-ПО1-0.05
|
м.
|
4000
|
23
|
92000
|
|
Итого
|
116760
|
В таблице 3.2 произведен расчет количества и стоимости всего
телекоммуникационного оборудования, необходимого для организации сети.
Таблица 3.2 - Затраты на активное оборудование сети В рублях
|
Наименование
|
Ед. изм
|
Кол-во
|
Цена
|
Сумма.
|
|
Шкаф напольный телекоммуникационный Miracel" 41U
600x800d NS19.6G
|
шт.
|
7
|
79110
|
553770
|
|
Блок электических розеток, 220B, 19", 1U, 8 розеток
|
шт.
|
7
|
1190
|
8330
|
|
(PD2W) Модуль вентиляторный, потолочный, 210 x 380 mm, 2
вент.
|
шт.
|
7
|
4597
|
32179
|
|
Маршрутизатор Cisco 2821
|
шт.
|
7
|
79000
|
553000
|
|
Модуль HWIC-1GE-SFP
|
шт.
|
7
|
70749
|
495243
|
|
Маршрутизатор Cisco 7609
|
шт.
|
1
|
217600
|
217600
|
|
Модуль WS-G6483=
|
шт.
|
2
|
50241
|
100482
|
|
Модуль CWDM-GBIC-1550=
|
шт.
|
1
|
62910
|
62910
|
|
Модуль питания Cisco 7609 PWR-1900-AC/6=
|
шт.
|
1
|
10107
|
10107
|
|
Болок питания Cisco 7609 PWR-1900-AC/6=
|
шт.
|
1
|
60642
|
|
Коммутатор Cisco ME-4924-10GE
|
шт.
|
21
|
1056689
|
22190469
|
|
Коммутатор Cisco ME-C6524GS-8S.
|
шт.
|
84
|
655876
|
55093584
|
|
Устрйство CPE NetXpert 3016 (Triple Service)
|
шт.
|
897
|
2100
|
1883700
|
|
Источник бесперебойного питания APC Smart-UPS SC 420VA 230V
|
шт.
|
7
|
4650
|
32550
|
|
Полка для телекоммуникационного шкафа 19"
|
шт.
|
7
|
408
|
2856
|
|
Оптический органайзер 19"
|
шт.
|
21
|
351
|
7371
|
|
Итого
|
|
81304793
|
|
|
|
|
|
|
|
|
Для расчета стоимости проведения монтажных работ, тестирования сети, а
так же работ связанных с введением сети в эксплуатацию стоимость принимаем
равной удвоенной стоимости материалов и стоимости активного и
телекоммуникационного оборудования, представленной в таблице 3.2, используемого
для организации данной сети:
. (3.2)
Используя данные таблицы 3.1, произведем расчет стоимости материалов,
необходимых для организации мультисервисной сети УФНС г.Омска:
CМат=116760*6=700560 руб. Стоимость проведения монтажных работ и других видов работ
по вводу сети в эксплуатацию составляет: СМР=2*700560+81304793=82705913 руб.
Конечная стоимость ввода в эксплуатацию корпоративной сети рассматриваемой
организации рассчитывается путем суммированием стоимости материалов,
телекоммуникационного оборудования и проведения монтажных работ:
. (3.3)
Таким образом, стоимость создания сети равна:
СКИС=82705913+700560+81304793=164711266 руб.
.2 Расчет
стоимости годовой эксплуатации сети
Расходы по эксплуатации корпоративной мультисервисной сети рассчитываются
по формуле:
, (3.4)
где СА - амортизационные отчисления, руб.;
СЗП - расходы на заработную плату, руб.;
СЕСН - единый социальный налог, руб.;
СЭ - расходы на электроэнергию, руб.;
СН - накладные и прочие расходы, руб.
Значения амортизационных отчислений зависят от принятого на предприятии
способа начисления амортизации. Существует несколько способов расчета:
– линейный - расчет производится исходя из фактической стоимости
предмета и нормы амортизации, исчисленной с учетом срока полезного
использования;
– снижение стоимости - расчет производится пропорционально объему
продукции (работ), производимой (выполняемой) с использованием предмета, и
предполагаемой продукции (работ) за весь срок полезного использования;
– процентный - расчет производится исходя из фактической
себестоимости предмета и ставки в 50% или 100% при передаче предмета в
производство или эксплуатацию. При этом в первом случае оставшиеся 50%
списываются при выбытии предмета из производства или эксплуатации из-за
невозможного использования (непригодности).
Для расчета амортизационных отчислений применим линейный способ расчета.
Расходы на амортизационные отчисления вычисляются исходя из стоимости
используемого телекоммуникационного сетевого оборудования, приведенного в
таблице 3.2, стоимость которого составляет 81304793 руб.
Расходы на амортизацию вычисляются по формуле:
, (3.5)
где К - первоначальная стоимость телекоммуникационного оборудования,
рублей;
НА - норма амортизационных отчислений, процент;
ТОбщ - время работы оборудования;
ТГ - календарный годовой фонд времени, дни (действительный фонд времени
работы оборудования за год);
Норма амортизационных отчислений при применении линейного метода
определяется по формуле:
, (3.4)
где n - срок полезного использования активного сетевого оборудования,
лет.
В разрабатываемом проекте применяется современное, отвечающее всем
технологическим требованиям оборудование, с высокими показателями надежности.
Учитывая это, предполагается принять срок эксплуатации данного оборудования,
без необходимости его замены, равным 5 годам.
Таким образом, норма амортизации составит 20%, а затраты на амортизацию
будут равны: СА=80667737*0,2*365*24/365*24=16133547 руб.
Расход на заработную плату осуществляется для обслуживающего персонала
корпоративной мультисервисной сети УФНС, который состоит из шести
инженеров-администраторов сети.
Основная заработная плата работников, в общем случае, рассчитывается по
формуле:
, (3.5)
где ЧЯВ - явочная численность работников, чел.;
О - оклад (месячная тарифная ставка), руб.;
ТОбщ - общая трудоемкость, чел.-дней;
КН.Д. - коэффициент, учитывающий надбавку и доплату.
При расчете примем сумму месячного оклада инженера-администратора равной
9000 руб., а так же размер премиальных выплат равный 10% и коэффициент,
учитывающий надбавку и доплату - 15%. Сумма оклада инженера равна 9000 руб. в
месяц или 429 руб. в день, районный коэффициент для Омской области равен 15% и
также учитывается при расчете заработной платы.
Фонд основной заработной платы рассчитывается как сумма перечисленных
составляющих:
, (3.6)
где ФЗПОКЛ - фонд заработанной платы оклада;
ФЗППР - фонд заработанной платы премиальных выплат;
ФЗПРК - фонд заработанной платы надбавки районного коэффициента.
ФЗПОКЛ=6*429*21*12*1.2=778378 руб.
ФЗППР=ФЗПОКЛ*0,1=77838 руб.
ФЗПРК=(ФЗПОКЛ+ФЗППР)*0.15=(778378+77838)*0,15=128432 руб.
ФЗПОСН=778378+77838+128432=984648 руб.
Дополнительная заработная плата устанавливается в процентах от основной и
может быть принята в размере 10 %.
ФЗПДОП=ФЗПОСН*0,1=984648*0,1=98465 руб.
Таким образом, общий годовой фонд заработной платы шести
инженеров-администраторов сети составит:
СЗП=ФЗПОСН+ФЗПДОП=984648+98465=1083113 руб.
Отчисления по единому социальному налогу (выплаты в пенсионный фонд
Российской Федерации, федеральный бюджет, фонд социального страхования, а также
в фонд обязательного медицинского страхования) в процентном отношении от общего
фонда заработной платы принимаются в размере 26,2%. Таким образом:
СЕСН=СЗП*0,262=1083113*0,262=283776 руб.
Расходы на электрическую энергию рассчитываются по формуле:
, (3.7)
где ЦЭ - тариф на электрическую энергию, руб/кВт*ч;
ЭЭ - расчетное потребление количества электрической энергии, кВт*ч.
, (3.6)
где Пу - количество оборудования данного вида;
Ру - установленная мощность оборудования, кВт;
Ту - фонд работы оборудования, часов.
Разрабатываемая сеть содержит активное коммуникационное оборудование,
потребляющее электроэнергию согласно спецификациям предприятия изготовителя,
при максимальной нагрузке на сеть, не более 80 Вт/ч. Расчетную нагрузку на
активное оборудование примем равным 70 процентам от максимальной - 56 Вт/ч.
Энергопотребление всей корпоративной сети по ориентировочным оценкам
составляет приблизительно 6100 Вт/ч.
Расчетное потребление электрической энергии составит :
ЭЭ=120*0,61*365*24=641230кВт*ч.
Следовательно, годовой расход на электрическую энергию при текущем тарифе
на электрическую энергию 2,55 руб./кВт*ч будет равен:
СЭ=2,55*641230=1603075 руб.
Под накладными и прочими расходами принимаем затраты на содержание
аппарата управления, проведение технических осмотров оборудования, замену и
модернизацию текущего оборудования, а так же затраты на произведение мелкого
ремонта. Величину накладных расходов условно принимаем равной 25% от суммы всех
затрат на содержание и эксплуатацию корпоративной мультисервисной сети и
составляет 1686988 руб.
Таким образом, суммарная итоговая стоимость годовой эксплуатации
инфраструктуры корпоративной сети составит:
СГЭ=16133547+1083113+283776+1603075+1686988=20790499 руб.
Результаты расчета основных затрат на эксплуатацию корпоративной
мультисервисной сети Управления Федеральной налоговой службы г.Омска
представлены в таблице 3.3
Таблица 3.3 - Структура затрат на эксплуатацию сети провайдера связи
|
Наименование статьи затрат
|
Сумма, руб.
|
Удельный вес, %
|
|
Амортизационные отчисления
|
16133547
|
77
|
|
Фонд основной заработной платы
|
1083113
|
5
|
|
Отчисления по ЕСН
|
283776
|
1
|
|
Электроэнергия
|
1603075
|
9
|
|
Накладные и прочие расходы
|
1686988
|
8
|
|
Годовые расходы на эксплуатацию
|
20790499
|
100
|
Таким образом, результирующая стоимость создания корпоративной
мультисервисной сети на базе технологии FTTH составляет - СКИС=164711266 руб.
Расходы организации связанные с годовой стоимостью эксплуатации разработанной
сети составляют - СГЭ=20790499 руб.
4.
Обеспечение требований безопасности труда при организации рабочих мест
С развитием научно-технического прогресса немаловажную роль играет
возможность безопасного исполнения людьми своих трудовых обязанностей.
Охрана здоровья трудящихся, обеспечение безопасности условий труда,
ликвидация профессиональных заболеваний и производственного травматизма
составляет одну из главных забот человеческого общества. Обращается внимание на
необходимость широкого применения прогрессивных форм научной организации труда,
сведения к минимуму ручного, малоквалифицированного труда, создания обстановки,
исключающей профессиональные заболевания и производственный травматизм.
На рабочем месте должны быть предусмотрены меры защиты от возможного
воздействия опасных и вредных факторов производства. Уровни этих факторов не
должны превышать предельных значений, оговоренных правовыми, техническими и
санитарно-техническими нормами. Эти нормативные документы обязывают к созданию
на рабочем месте условий труда, при которых влияние опасных и вредных факторов
на работающих либо устранено совсем, либо находится в допустимых пределах.
.1
Определение вредных факторов
Произведем определение вредных факторов при работе в помещении с ПК
согласно ГОСТ 12.0.003-74 рассмотрены ниже.
Воздействие опасных веществ. Взрывчатые, окисляющиеся, ядовитые, агрессивные,
самовоспламеняющиеся, легковоспламеняющиеся, сжатые, сжиженные и растворенные
под давлением опасные вещества отсутствуют в помещении.
Воздействие вредных веществ. В помещении из вредных веществ присутствуют
фиброгены, аллергены, малоопасные вещества с концентрацией более 10 мг/м3.
Канцерогенов, различных медицинских препаратов и веществ, опасных для развития
острого отравления в помещении не выделяется.
Идентификация механических опасностей. Рабочее помещение характеризуется
отсутствием различного рода движущихся механизмов, деталей машин,
перемещающихся изделий. Звуковые раздражения, вызываемые посторонними шумами
(работа кондиционеров, принтеров, печатных машинок) сведены к минимуму. Так же
помещение характеризуется отсутствием источников инфразвука и ультразвука.
Общая и локальная вибрации не проявляют себя. Оператор ПК не подвергается
никаким физическим перегрузкам, связанным с различного рода перенесением
тяжестей.
Идентификация электрических опасностей. Наиболее часто в помещениях с
вычислительными средствами человек подвержен электрическим опасностям, так как
при работе с ЭВМ или иными электроустановками (кондиционерами, вентиляторами,
компрессорами, светильниками и т.п.) возможно соприкосновение с проводниками,
находящимися под напряжением. Проходя через организм человека, электрический
ток оказывает термическое, электролитическое и биологическое воздействие на его
различные органы и системы. Так, термическое воздействие тока проявляется в
ожогах отдельных участков тела и нагреве до высокой температуры сосудов,
нервов, сердца и мозга. Электролитическое воздействие проявляется в разложении
органической жидкости, в том числе и крови. Биологическое воздействие
проявляется в раздражении и возбуждении живых тканей организма человека.
Наиболее распространенными видами опасностей, связанных с электричеством,
являются высокое напряжение ЭО (электрооборудование) и возможность
кратковременного контакта с металлическими корпусами или элементами ЭО. Так же
существует опасность воздействия статического электричества.
Идентификация термических опасностей. ПК и работающая оргтехника выделяет
среднее количество тепла. Степень его выделения нельзя назвать интенсивной. ПК
являются причиной повышения температуры и снижения влажности воздуха на рабочем
месте, вызывающих раздражение кожи. Однако повышения температуры незначительны
и системы кондиционирования воздуха и регулярное проветривание помещения с ПК и
другой оргтехникой способствуют поддержанию нормального здорового микроклимата
в помещении рабочей зоны.
Идентификация биологических факторов. Рассматриваемое помещение не
содержит источников выделения и развития микроорганизмов, патогенных и
непатогенных организмов, белковых препаратов, а так же гормонов, ферментов и
фармацевтических веществ.
Идентификация ЭМИ. Помещение с ПК и оргтехникой является источником
различных электромагнитных излучений, приводящих к различным изменениям и
отклонениям в физиологии человека, развитием различного рода болезней и
снижению сопротивляемости заболеваниям при длительном непосредственном
облучении. Работающие в помещении подвергаются воздействию электростатического
поля, ЭМИ от ЭВМ, ионизации воздуха и различным полям (магнитным и
электрическим).
Идентификация психофизиологических факторов. Деятельность оператора,
работающего на ПК, требует напряжения воли для обеспечения необходимого уровня
внимания, что заставляет прилагать большие усилия и сопровождается последующим
истощением энергетических ресурсов организма. Труд оператора характеризуется
высоким уровнем психической нагрузки, так как на оператора возлагаются функции
контролера, координатора. Поэтому у работающих на ПК людей могут отмечаться
головные боли, плохой сон, снижение бодрости, работоспособности. Оператор ПК
подвергается различного рода интеллектуальным, эмоциональным, зрительным
нагрузкам.
По предварительным оценкам с учетом рассмотренных выше факторов работа
оператора ПК характеризуется наличием следующих вредных и опасных факторов:
- недостаточная освещенность рабочей зоны;
- повышенная температура и пониженная относительная влажность
воздуха;
- повышенный уровень статического электричества;
- отсутствие или недостаток естественного света;
- средняя запыленность воздуха рабочей зоны;
- пониженная контрастность;
- повышенная информационная, статическая и нервно-эмоциональная
нагрузка.
.2 Оценка
условий труда
Принципы классификации условий труда изложены в РД 2.2.755-99. Исходя из
гигиенических критериев, условия труда (УТ) подразделяются на 4 класса:
оптимальные, допустимые, вредные и опасные.
Произведем анализ основных факторов УТ.
Химический фактор. В помещении, оснащенном ПК, присутствуют вредные
вещества 3 и 4 классов опасности (пыль, этиловый спирт) с концентрациями (0,7
мг/м, 1000 мг/м3) . По содержанию данных вредных веществ, при сравнении с
нормами, делаем вывод о классе УТ: допустимый, так как их концентрации меньше
ПДК. Для пыли ПДК составляет 0,75 мг/м3, а для спирта ПДК составляет мг/м3. Так
же пыль и пары этилового спирта относятся и к группе аллергенов одновременно.
Других вредных веществ в помещении не обращается. Следовательно, по химическому
фактору делаем вывод, что помещение относится ко второму классу УТ -
допустимому.
Биологический фактор. Патогенные организмы - возбудители инфекционных
заболеваний чрезвычайно малы по размерам, не имеют цвета, запаха, вкуса. Они не
определяются органами чувств человека.
В помещении, оборудованном ПК, вещества биологического происхождения не
присутствуют. По биологическому фактору делаем вывод, что класс УТ первый -
оптимальный.
Физический фактор. Наиболее многочисленными и весьма разнообразными
являются физические факторы окружающей среды. К ним относят: природные факторы,
антропогенные факторы. Оценка условий труда по физическому фактору
осуществляется в несколько этапов:
Этап 1. Оценка УТ по содержанию в воздухе рабочей зоны (РЗ) фиброгенов.В
помещении обращается пыль. Ее можно отнести к аэрозолям фиброгенного действия.
Концентрация пыли составляет 0,7 мг/м3, в то время как ПДК для зала с ПК
составляет 0,75 мг/м3. Других веществ в помещении зала с ПК не обращается. Поэтому
класс УТ в помещении по содержанию в воздухе РЗ фиброгенов принимаем
допустимым.
Этап 2. Оценка УТ по показателям световой среды РЗ. Для освещения рабочих
мест применяются естественное, искусственное и совмещенное освещение. Помещения
с постоянным пребыванием людей должны иметь естественное и искусственное
освещение. Естественное освещение создается прямым солнечным светом и/или
диффузионным светом небосвода. Искусственное освещение проектируется двух
видов: общее и комбинированное.
В зависимости от вида выполняемых работ и освещенности для каждого
помещения можно установить разряд зрительной работы. При выполнении работ
высокой и очень высокой точности следует предусматривать совмещенное освещение
в помещении. Категория зрительной работы и ее подразряд определяются наименьшим
размером объекта различения в мм.
На основе вышеприведенных положений и вида выполняемых работ в
рассматриваемом помещении компьютерного класса можно установить разряд
зрительной работы. Оператор воспринимает изображения на экране, должен
постоянно следить за динамикой изображения, различать текст рукописных или
печатных материалов, выполнять машинописные, графические работы и другие
операции, программирует. Очень часто работы ведутся при фиксированном
направлении линии зрения оператора на рабочую поверхность. На основе этого
разряд зрительной работы устанавливается как I.
Естественная освещенность допустимая, обеспечивается в помещении с
четырьмя большими окнами. Искусственное освещение составляет 350 лк, что
соответствует установленным нормам по освещенности для помещений
административных и общественных, по которым освещенность помещений должна
находиться в пределах от 300 до 500 лк. Общий класс условий труда по
показателям световой среды можно считать оптимальным.
Этап 3. Оценка УТ по уровням шума, вибрации, инфразвука, ультразвука в
РЗ. На человека воздействуют различные акустические факторы (шум, ультразвук и
инфразвук) и вибрация. Шумы беспорядочно изменяются во времени и вызывают
неприятные субъективные ощущения. Они бывают широкополосные, тональные,
постоянные, непостоянные. Шум вредно действует на здоровье и труд людей. Он
является общебиологическим раздражителем. В результате воздействия шума
снижается производительность труда, растет число ошибок при работе, повышается
опасность травмирования. С шумом борются ослаблением в источнике, по пути
распространения.
Особенности распространения и поглощения ультразвуковых колебаний
практически ничем не отличаются от аналогичных характеристик высокочастотного
шума. Инфразвук распространяется практически без потерь на значительные
расстояния, поэтому с ним борются в источнике. Вибрация бывает общая и
локальная. Борьба вибрацией осуществляется при проектировании, изготовлении и
эксплуатации технических объектов.
Из перечисленных механических факторов на оператора в помещении,
оборудованном ПК, воздействует шум. Источниками шума являются различные
печатающие устройства, кондиционеры. Однако их уровень шума сведен к минимуму,
благодаря использованию звукоизолирующих корпусов. Если оператор и подвергается
воздействию шума, то лишь кратковременно при работе печатающих устройств. На
этой основе делаем вывод, что класс УТ допустимый.
Этап 4. Оценка УТ по параметрам микроклимата. Оценку микроклиматических
параметров проводят с учетом наличия (или отсутствия) избытков явной теплоты,
категории тяжести работы и периода года путем сравнения полученных значений
температуры, влажности воздуха и скорости его движения.
Нормирование микроклимата проводят на рабочих местах по комплексным
показателям, учитывающим одновременное воздействие двух и более факторов, или
раздельно по каждому фактору. Различают оптимальные (комфортные) значения
факторов (не вызывают напряжения системы терморегуляции человека), допустимые
значения факторов (вызывают напряжения системы терморегуляции человека, но не
ухудшают здоровья работающего), переносимые значения факторов (исключают
трудовую деятельность, но обеспечивают выживание человека).
Температура воздуха в помещении, оборудованном компьютерами, в холодное
время года составляет плюс 21 oC, в теплое время года плюс 24 oC. Скорость
движения воздуха в помещении составляет менее 1.5 м/с. Влажность менее 65%.
Таким образом, класс условий труда по показателям микроклимата можно считать
допустимым.
Если значение микроклиматического параметра выходит за пределы,
установленные нормативными документами (ГОСТ 12.1.005-88, РД 2.2.755-99), то
нужно разработать предложения по нормализации микроклиматических условий.
Сначала устанавливают причину отклонения параметра от нормативного значения, затем
разрабатывают конкретные технические решения по обеспечению
санитарно-гигиенических требований. При отклонениях параметров микроклимата, их
необходимо регулировать местными системами кондиционирования воздуха.
Этап 5. Оценка УТ по неионизирующим ЭМИ. Источником неионизирующих ЭМИ в
помещении с ПК являются ЭУ (компьютеры, множительная техника). Их воздействие
на человека происходит в процессе работы с оборудованием. Однако, оргтехника
сертифицирована для работы с ней людей, поэтому на определенном расстоянии от
оборудования ЭМИ не превышает ПДУ. Обычно это значение колеблется от 60 до 90
см.
В помещении, оборудованном компьютерами, на оператора действуют
электростатическое поле напряженностью до 18 кВ/м, постоянные магнитные поля
напряженностью до 0,2 А/м, ЭМИ от ПК напряженностью менее 10 В/м, которые на
расстоянии долее 60 см уже не превышают ПДУ. Так же на оператора действует в
небольших допустимых количествах ультрафиолетовое излучение. На основе
перечисленных факторов итоговая оценка УТ по неионизирующим излучениям в
помещении с ПК допустимая.
Этап 6. Оценка УТ по ионизирующим ЭМИ. Источниками ионизации воздуха в
помещении с ПК являются мониторы, а в частности их электроннолучевые трубки.
При этом дозы облучения от электроннолучевых трубок не превышают ПДУ. Но,
несмотря на это ионизирующее излучение с выделением положительных ионов
оказывает на организм человека некоторое неблагоприятное воздействие. Очень
часто при продолжительной работе оператор может почувствовать, что температура
его тела несколько возросла. В таких случаях говорят, что «лицо горит».
Причиной ионизации является высокое напряжение на токоведущих частях
схемы электроннолучевой трубки (примерно менее 20 кВ). Оно вызывает ионизацию
воздуха положительными ионами. В 1 см3 содержится от 200 до 6000 положительных
ионов. Итоговая оценка условий труда по ионизирующему ЭМИ допустимая.
Тяжесть трудового процесса. Оценка УТ. Тяжесть трудового процесса
характеризуется физической динамической нагрузкой (по показателю УТ
оптимальные), массой поднимаемого и перемещаемого груза в ручную (по показателю
УТ оптимальные), стереотипными рабочими движениями за смену (по показателю УТ
допустимые), рабочей позой (по показателю УТ допустимые), перемещениями в
пространстве (по показателю УТ оптимальные). Итоговая оценка УТ по всем
перечисленным показателям: класс УТ 2-й допустимый.
Напряженность трудового процесса. Оценка УТ. Индивидуальная защищенность
работника при воздействии опасных психологических факторов производственной
среды обеспечивается собственными системами защитных реакций, соответствием
свойств и состояний человека требованиям, предъявляемым данной деятельностью,
профессиональными навыками и умениями (прежде всего в применении безопасных
приемов работы), отношением работника к труду и собственной безопасности.
Особенности характера и режима труда, значительное умственное напряжение
и другие психоэмоциональные нагрузки могут привести к изменению функционального
состояния центральной нервной системы, нервно-мышечного аппарата рук.
Нерациональная конструкция и расположение элементов рабочего места вызывают
необходимость поддержания вынужденной рабочей позы, что ведет к различным
формам заболеваний опорно-двигательного аппарата человека. Отсутствие
физической нагрузки и неподвижность оператора - явления, не соответствующие
естественному (физиологическому) состоянию человека. При этом не стимулируется
деятельность внутренних органов, что ведет к застойным явлениям, неблагоприятно
отражающимся на общем тонусе организма и психической деятельности.
Работа оператора связана с восприятием изображения на экране,
необходимостью постоянного слежения за динамикой изображения, различением
текста рукописных или печатных материалов, выполнением машинописных,
графических работ и других операций.
К показателям напряженности трудового процесса относятся такие, как
интеллектуальные нагрузки (по показателю УТ допустимые), нагрузки на зрительные
органы (по показателю УТ вредные 1 степени), эмоциональное перенапряжение (по
показателю УТ допустимые), монотонность работы (по показателю УТ допустимые),
режим работы (по показателю УТ оптимальный). Итоговая оценка по напряженности
трудового процесса: класс 2-й допустимый. В таблице 4.1 приведено распределение
факторов в соответствии с классом опасности.
Таблица 4.1 - Распределение факторов условий труда
|
Фактор
|
Класс условий труда
|
|
Оптимальный
|
Допустимый
|
Вредный
|
Опасный
|
|
|
|
Степень 1
|
Степень 2
|
Степень 3
|
Степень 4
|
|
|
Химический
|
|
+
|
|
|
|
|
|
|
Биологический
|
+
|
|
|
|
|
|
|
|
Аэрозоли - Фиброгены
|
|
+
|
|
|
|
|
|
|
Шум
|
|
+
|
|
|
|
|
|
|
Вибрация локальная
|
+
|
|
|
|
|
|
|
|
Вибрация общая
|
+
|
|
|
|
|
|
|
|
Инфразвук
|
+
|
|
|
|
|
|
|
|
Ультразвук
|
+
|
|
|
|
|
|
|
|
ЭМИ
|
|
+
|
|
|
|
|
|
|
Ионизирующее излучение
|
|
+
|
|
|
|
|
|
|
Микроклимат
|
+
|
|
|
|
|
|
|
|
Освещенность
|
+
|
|
|
|
|
|
|
|
Тяжесть труда
|
|
+
|
|
|
|
|
|
|
Напряженность труда
|
|
+
|
|
|
|
|
|
|
Общая оценка условий труда
|
|
+
|
|
|
|
|
|
.3
Эргономические требования к рабочему месту
Проектирование рабочих мест, снабженных видеотерминалами, относится к
числу важных проблем эргономического проектирования в области вычислительной
техники.
Рабочее место и взаимное расположение всех его элементов должно
соответствовать антропометрическим, физическим и психологическим требованиям.
Большое значение имеет также характер работы. В частности, при организации
рабочего места программиста должны быть соблюдены следующие основные условия:
оптимальное размещение оборудования, входящего в состав рабочего места и
достаточное рабочее пространство, позволяющее осуществлять все необходимые
движения и перемещения.
Эргономическими аспектами проектирования видеотерминальных рабочих мест,
в частности, являются: высота рабочей поверхности, размеры пространства для
ног, требования к расположению документов на рабочем месте (наличие и размеры
подставки для документов, возможность различного размещения документов,
расстояние от глаз пользователя до экрана, документа, клавиатуры и т.д.), характеристики
рабочего кресла, требования к поверхности рабочего стола, регулируемость
элементов рабочего места.
Главными элементами рабочего места программиста являются стол и кресло.
Основным рабочим положением является положение сидя.
Рабочая поза сидя вызывает минимальное утомление оператора. Рациональная
планировка рабочего места предусматривает четкий порядок и постоянство
размещения предметов, средств труда и документации. То, что требуется для
выполнения работ чаще, расположено в зоне легкой досягаемости рабочего
пространства.
Моторное поле - пространство рабочего места, в котором могут
осуществляться двигательные действия человека.
Максимальная зона досягаемости рук - это часть моторного поля рабочего
места, ограниченного дугами, описываемыми максимально вытянутыми руками при
движении их в плечевом суставе.
Оптимальная зона - часть моторного поля рабочего места, ограниченного
дугами, описываемыми предплечьями при движении в локтевых суставах с опорой в
точке локтя и с относительно неподвижным плечом.
Оптимальное размещение предметов труда и документации в зонах
досягаемости:
– дисплей размещается в зоне «а» (в центре);
– системный блок размещается в предусмотренной нише стола;
– клавиатура - в зоне «г/д»;
– манипулятор «мышь» - в зоне «в» справа;
– сканер в зоне «а/б» (слева);
– принтер находится в зоне «а» (справа);
– документация: необходимая при работе - в зоне легкой досягаемости
ладони - «в», а в выдвижных ящиках стола - литература, неиспользуемая
постоянно.
а - зона максимальной досягаемости; б - зона досягаемости пальцев при
вытянутой руке; в - зона легкой досягаемости ладони; г - оптимальное
пространство для грубой ручной работы; д - оптимальное пространство для тонкой
ручной работы
Рисунок 4.1 Зоны досягаемости рук в горизонтальной плоскости
Оптимальное размещение предметов труда и документации в зонах
досягаемости:
– дисплей размещается в зоне «а» (в центре);
– системный блок размещается в предусмотренной нише стола;
– клавиатура - в зоне «г/д»;
– манипулятор «мышь» - в зоне «в» справа;
– сканер в зоне «а/б» (слева);
– принтер находится в зоне «а» (справа);
– документация: необходимая при работе - в зоне легкой досягаемости
ладони - «в», а в выдвижных ящиках стола - литература, неиспользуемая
постоянно.
На рисунке 4.2 показан пример размещения основных и периферийных
составляющих ПК на рабочем столе программиста.
Для комфортной работы стол должен удовлетворять следующим условиям:
·
высота стола
должна быть выбрана с учетом возможности сидеть свободно, в удобной позе, при
необходимости опираясь на подлокотники;
·
нижняя часть
стола должна быть сконструирована так, чтобы программист мог удобно сидеть, не
был вынужден поджимать ноги;
·
поверхность стола
должна обладать свойствами, исключающими появление бликов в поле зрения
программиста;
·
конструкция стола
должна предусматривать наличие выдвижных ящиков (не менее 3 для хранения
документации, листингов, канцелярских принадлежностей).
·
высота рабочей
поверхности рекомендуется в пределах 680-760мм. Высота поверхности, на которую
устанавливается клавиатура, должна быть около 650мм.
1 - сканер, 2 - монитор, 3 - принтер, 4 - поверхность рабочего стола, 5 -
клавиатура, 6 - манипулятор типа «мышь»
Рисунок 4.2 -