RU103202U1 - Устройство моделирования процессов передачи пакетного трафика на основе межсетевого экрана с динамическим управлением параметрами виртуальных соединений - Google Patents

Устройство моделирования процессов передачи пакетного трафика на основе межсетевого экрана с динамическим управлением параметрами виртуальных соединений Download PDF

Info

Publication number
RU103202U1
RU103202U1 RU2010115465/08U RU2010115465U RU103202U1 RU 103202 U1 RU103202 U1 RU 103202U1 RU 2010115465/08 U RU2010115465/08 U RU 2010115465/08U RU 2010115465 U RU2010115465 U RU 2010115465U RU 103202 U1 RU103202 U1 RU 103202U1
Authority
RU
Russia
Prior art keywords
network
local area
segments
interfaces
virtual connections
Prior art date
Application number
RU2010115465/08U
Other languages
English (en)
Inventor
Владимир Сергеевич Заборовский
Михаил Юрьевич Гук
Александр Витальевич Силиненко
Original Assignee
Государственное научное учреждение "Центральный научно-исследовательский и опытно-конструкторский институт робототехники и технической кибернетики" (ГНУ ЦНИИ РТК)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Государственное научное учреждение "Центральный научно-исследовательский и опытно-конструкторский институт робототехники и технической кибернетики" (ГНУ ЦНИИ РТК) filed Critical Государственное научное учреждение "Центральный научно-исследовательский и опытно-конструкторский институт робототехники и технической кибернетики" (ГНУ ЦНИИ РТК)
Priority to RU2010115465/08U priority Critical patent/RU103202U1/ru
Application granted granted Critical
Publication of RU103202U1 publication Critical patent/RU103202U1/ru

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Устройство моделирования процессов передачи пакетного трафика в распределенной системе на основе межсетевого экрана, содержащее от трех до пяти сетевых интерфейсов, из которых от двух до четырех интерфейсов подключены через соединители к сегментам локальных вычислительных сетей, отличающееся тем, что устройство дополнительно содержит, по меньшей мере, один сетевой интерфейс, подключенный через соединитель к персональному компьютеру и используемый в качестве интерфейса управления для изменения программы управления передачей пакетного графика между сетевыми узлами, подключенными к сегментам локальной вычислительной сети таким образом, чтобы источники и получатели сетевых пакетов каждой взаимодействующей пары сетевых узлов располагались в сегментах локальной вычислительной сети, присоединенных к различным сетевым интерфейсам устройства, формируя виртуальные соединения между парой сетевых узлов, причем сетевые пакеты, относящиеся к каждому виртуальному соединению, поступают в устройство из одного сегмента локальной вычислительной сети и передаются в другой, при этом программа управления расширена таким образом, чтобы обеспечивать моделирование процессов передачи пакетного трафика в части возможности установки временной задержки передачи, изменение порядка передачи, уничтожения или размножения сетевого пакетов, относящихся к виртуальным соединениям, а также внесения преднамеренной ошибки в тело сетевых пакетов, относящихся к виртуальным соединениям.

Description

Настоящая полезная модель относится к сфере создания инструментальных средств моделирования процессов передачи пакетного графика в компьютерной сети для отладки сетевых протоколов и приложений реального времени для распределенных технических систем. К таким системам, в частности, относятся средства телеуправления и телеметрии для территориально распределенных и удаленных объектов. Сложные системы включают множество управляемых объектов, требующих как централизованного, так и распределенного управления из различных точек системы, возможно, территориально разобщенных и значительно удаленных друг от друга. Широкое распространение глобальных коммуникационных сетей, включая Интернет, располагает к их использованию для нужд организации вышеописанных распределенных систем. При этом обеспечивается в значительной степени произвольная топология взаимного размещения объектов и пунктов управления, существенно удешевляется процесс создания систем за счет экономии на коммуникационной инфраструктуре. Однако связь через сети общего пользования, которые представляют возможности коммутации и маршрутизации пакетов, основана на их статистическом мультиплексировании, что приводит к вероятностному характеру значений пропускной способности и вносимых задержек предоставляемых виртуальных каналов. Эти свойства обуславливают существенное влияние среды доставки на работу систем в реальном времени.
Задачи отладки и испытаний проектируемых распределенных систем значительно облегчаются, а в ряде случаев и становятся реализуемыми в приемлемые сроки только при наличии средств физического моделирования коммуникационной среды. Такие средства позволяют собирать целевые системы или их макеты в ограниченном пространстве, в пределе - на рабочем столе. При этом решается ряд задач организационного, технического и методологического характера, например, определение временных соотношений между событиями в компонентах распределенной системы.
Устройство моделирования процессов передачи пакетного графика должно обеспечивать имитацию реальных условий функционирования распределенных телесистем. Идентификация и воспроизведение параметров моделируемой среды обеспечивает замену дорогостоящих и трудно организуемых натурных испытаний на этапе разработки и отладки. Функцией устройства моделирования является обеспечение управляемой передачи пакетов между сетевыми узлами распределенной системы. При этом под управляемостью подразумевается возможность задержки передачи пакетов, размножения, уничтожения, искажения и изменения порядка их доставки.
Функции управляемой передачи пакетов выполняют, например, межсетевые экраны, которые в настоящее время широко применяются в качестве сетевых средств обеспечения информационной безопасности. Межсетевой экран (МЭ) представляет собой специализированное сетевое устройство, которое включается между двумя сегментами локальной вычислительной сети (ЛВС) таким образом, что весь обмен сетевыми пакетами между этими сегментами происходит через это устройство и ограничивается с помощью специальных правил фильтрации входящих и исходящих потоков данных. Такое устройство может быть также установлено между защищаемым сегментом ЛВС и маршрутизатором, один из портов которого подключен к сети Интернет. При этом используемые правила фильтрации пакетного графика могут включать запрет на передачу информации как изнутри, так и вовнутрь защищаемого сегмента ЛВС, включая контроль определенных пользователей в установленные интервалы времени суток, недель или месяцев. Для моделирования процессов передачи пакетного графика при исследовании, отладки и испытаниях распределенной системы ее узлы должны быть подключены к сегментам ЛВС, которые в свою очередь подключаются к портам МЭ так, чтобы потоки пакетов взаимодействующих друг с другом узлов могли проходить только через МЭ. При этом МЭ должен обеспечивать фильтрацию пакетного графика по правилам, учитывающим различные характеристики взаимодействующих узлов. Потоки данных между сетевыми узлами могут рассматриваться как виртуальные соединения. При этом набор действий, предписываемых правилами, должен быть расширен относительно базового набора (пропускать или не пропускать пакет). Дополнительные действия должны включать задержку пересылки на определенное время, размножение, уничтожение, искажения и изменение порядка доставки пакетов. Таким образом, моделирование процессов передачи пакетного графика между узлами целевой системы может быть сведено к динамическому управлению параметрами виртуальных соединений, проходящих через МЭ. При этом во время исследования, отладки и испытаний будет обеспечено влияние процессов передачи пакетного графика на поведение целевой системы, аналогичное влиянию реальных сетей, используемых при ее штатном функционировании.
Прототипом настоящей полезной модели является межсетевой экран, описанный в патенте РФ №2214623. В основу его положен принцип гарантированной безопасности межсетевого экрана, основанный на не использовании или полном сокрытии адресов сетевых интерфейсов этого устройства защиты.
В соответствии с упомянутым выше патентом межсетевой экран, обладая сетевыми фильтрующими интерфейсами для обмена данными между сегментами сети, рассматривается как неадресуемый (пассивный) сетевой узел, который не использует при своем функционировании логических и физических адресов, ассоциируемых с этими сетевыми интерфейсами. По этой причине наличие такого межсетевого экрана в сетевой среде не может быть обнаружено никакими техническими средствами, расположенными в одном из подключенных сегментов сети. Для управления процессами обработки пакетного графика межсетевой экран дополнительно содержит специальный интерфейс управления, изолированный от фильтрующих сетевых интерфейсов. Основной задачей вышеупомянутого межсетевого экрана является разграничение доступа абонентов к ресурсам локальной вычислительной сети путем фильтрации (блокирования) пакетного графика, не соответствующего реализованной в виде набора правил фильтрации политике доступа. При этом все изменения настроек программы фильтрации пакетного графика, в том числе касающиеся набора правил фильтрации и управления виртуальными соединениями, могут быть выполнены исключительно через интерфейс управления, что полностью устраняет возможность несанкционированного доступа к межсетевому экрану со стороны абонентов, расположенных в сегментах ЛВС, которые подключены к фильтрующим интерфейсам МЭ. При этом МЭ сохраняет неизменной информацию об адресах отправителя и/или получателя обрабатываемого с помощью правил фильтрации пакетов, что позволяет полностью скрыть факт существования межсетевого экрана от абонентов, подключенных к защищаемым сегментам ЛВС.
Вышеупомянутые свойства позволяют рассматривать МЭ как устройство, пропускающее (или не пропускающее) через себя все пакеты, передаваемые между парой узлов компьютерной сети, подключенных к его разноименным интерфейсам.
Недостатком прототипа с точки зрения моделирования процессов передачи пакетного графика является детерминированный характер принятия решения об удалении пакетов. Другими словами, если правило фильтрации предписывает блокирование доступа, то сетевые пакеты, удовлетворяющие условиям данного правила, будут удаляться с вероятностью 1 (100%). В рамках настоящей полезной модели используемый прототип дополняется функциями настраиваемой задержки при передаче пакетов из одного сетевого сегмента в другой, настраиваемым процентом и количеством размноженных пакетов, настраиваемой вероятности уничтожения пакетов, настраиваемой вероятностью изменения порядка передачи пакета из одного сетевого сегмента в другой и настраиваемой вероятностью искажения пакетов. Использование этих функций позволит моделировать процессы передачи пакетного графика в компьютерных сетях в целях имитации реальных условий для отладки функционирования распределенных систем. При этом, в силу неадресуемости сетевых интерфейсов, унаследованной от прототипа, устройство моделирования пакетного графика не будет рассматриваться, как узел в логической структуре сети. Это позволит избежать изменений данных в обрабатываемых пакетах, что характерно для адресуемых сетевых устройств.
Настоящая полезная модель подробно рассмотрена далее на примере ее реализации со ссылками на чертежи, на которых:
Фиг.1 изображает внешний вид выполненного согласно настоящей полезной модели устройства моделирования процессов передачи пакетного графика для ограничения доступа к сетевым ресурсам на основе межсетевого экрана с динамическим управлением параметрами виртуальных соединений, на которой расположены органы управления и интерфейсы внешних соединений;
Фиг.2 - схему соединения двух локальных вычислительных сетей между собой через устройства моделирования процессов передачи пакетного трафика, выполненное в соответствии с настоящей полезной моделью.
Описание, приведенное ниже, предполагает знакомство с наиболее употребительными терминами и понятиями, относящимися к вычислительной технике, и в частности, к вычислительным сетям.
В соответствии с предпочтительной реализацией настоящей полезной модели изображение на Фиг.1 устройства моделирования процессов передачи пакетного графика 1 (далее - устройство 1) представляет собой специализированный вычислитель со встроенной операционной системой. Такой вычислитель может быть выполнен с использованием серийно выпускаемых материнских плат персональных компьютеров, в которой предусмотрена возможность подключения до 5-ти периферийных устройств к внутренней системной шине PCI. Вычислитель устройства моделирования процессов передачи пакетного графика может быть выполнен на базе нескольких типов процессоров общего назначения. Устройство моделирования процессов передачи пакетного графика содержит сетевые интерфейсы для обмена пакетными данными, в качестве которых могут быть использованы сетевые адаптеры Ethernet различного типа со скоростью передачи 10/100/1000/10000 Мбит/с. На лицевой панели 2 устройства 1 расположены соединители для трех интерфейсов обмена данными, обозначенных позициями 3, 4, 5. К каждому из сетевых адаптеров подключен сегмент ЛВС, построенный на архитектуре общей шины и использующий протокол Ethernet. Если в ЛВС используется другой протокол, то применяемые сетевые адаптеры устройства должны поддерживать этот протокол взаимодействия.
На панели 2 установлены также соединитель 6, аналогичный соединителям 3, 4, 5, который используется в качестве интерфейса управления для изменения программы управления информационным обменом между сетевыми сегментами ЛВС, соединяемыми через устройство 1. Сегменты ЛВС, в зависимости от их количества, могут быть подключены к интерфейсам 3, 4, или 3, 4, 5, соответственно. На панели 2 установлен также соединитель 8 и выключатель 9 электропитания.
В рассматриваемом примере реализации полезной модели в устройстве 1 используется операционная система UNIX, обеспечивающая многозадачную работу программы управления в соответствии с конфигурационным файлом, сохраняемым в энергонезависимом устройстве памяти устройства 1.
Фиг.2 иллюстрирует один из вариантов использования устройства моделирования процессов передачи пакетного трафика 1. В этом примере устройство 1 делит ЛВС 10 на сегменты 11 и 12, которые подключаются, соответственно, к сетевым адаптерам 3 и 4. Такая структура ЛВС 10 может использоваться для отладки распределенных сетевых приложений, компоненты которых запускаются на сетевых узлах 16 и 17, подключенных к сегментам 11 и 12. Эти приложения производят информационный обмен между собой через устройство 1 путем установления виртуальных соединений. При этом устройство 1 моделирует поведение крупной сети путем внесения задержек, изменения порядка доставки, размножения, искажения и уничтожения отдельных пакетов согласно управляющей программе, запущенной в управляющей операционной системе устройства 1. Для внесения изменений в программу управления передачей сетевых пакетов и моделирования процессов передачи пакетного графика между интерфейсами 3, 4 и 5, к управляющему интерфейсу 6 подключают персональный компьютер 19. Редактирование программы управления осуществляется на компьютере 19 с помощью стандартной программы Web навигатора (браузера), например, Mozilla Firefox, путем установления авторизованного с помощью пароля соединения между компьютером 19 и устройством 1. Программа управления обеспечивает передачу сетевых пакетов между сетевыми интерфейсами с заданными параметрами задержки, размножения, искажения, уничтожения и изменения порядка следования. Так как устройство не имеет адресов, ассоциируемых с его сетевыми интерфейсами, то оно не может являться получателем никаких сетевых пакетов, а выступает в роли пассивного транзитного узла между сетевыми интерфейсами. Программа управления, которая контролирует работу интерфейсов 3, 4, 5 обмена пакетными данными (драйвер сетевых адаптеров Ethernet) настроена таким образом, что содержимое поля адреса отправителя в информационных блоках, передаваемых устройством 1 через интерфейсы 3, 4, 5, сохраняется неизменным.
Сетевые узлы моделируемой распределенной системы подключаются к сегментам 11 или 12 так, чтобы источники и получатели пакетов каждой взаимодействующей пары узлов располагались в сегментах, присоединенных к разным сетевым интерфейсам устройства 1. При необходимости могут быть организованы дополнительные сегменты, подключенные к соответствующим интерфейсам устройства 1. В данном примере дополнительный сегмент может быть подключен к интерфейсу 5. Для настройки устройства моделирования используются списки сетевых адресов узлов, подключенных к каждому из сегментов 11 и 12, а также таблица параметров виртуальных соединений, соответствующих моделируемым сетевым соединениям. Списки составляются в соответствии с топологией информационных связей узлов моделируемой системы. Каждое виртуальное соединение идентифицируется связкой сетевых адресов узлов источника и получателя пакетов, при этом двунаправленное взаимодействие узлов транспортного соединения (например, TCP) будет моделироваться парой виртуальных соединений. В таблице параметров для каждого виртуального соединения задаются параметры моделируемых свойств: значение задержки, вероятности уничтожения, размножения, изменения порядка и искажения пакетов. Эти параметры могут быть заданы как статическими величинами, которые могут быть изменены в любой момент функционирования устройства по команде, поступающей через интерфейс управления 6, так и ссылками на описатели процессов их динамического изменения по законам, заданным в аналитической или табличной форме.
Описанный выше характер функционирования устройства не исчерпывает очевидных специалисту вариантов применения настоящей полезной модели, не выходящих за пределы существа предложенного решения, которые определяются формулой полезной модели.

Claims (1)

  1. Устройство моделирования процессов передачи пакетного трафика в распределенной системе на основе межсетевого экрана, содержащее от трех до пяти сетевых интерфейсов, из которых от двух до четырех интерфейсов подключены через соединители к сегментам локальных вычислительных сетей, отличающееся тем, что устройство дополнительно содержит, по меньшей мере, один сетевой интерфейс, подключенный через соединитель к персональному компьютеру и используемый в качестве интерфейса управления для изменения программы управления передачей пакетного графика между сетевыми узлами, подключенными к сегментам локальной вычислительной сети таким образом, чтобы источники и получатели сетевых пакетов каждой взаимодействующей пары сетевых узлов располагались в сегментах локальной вычислительной сети, присоединенных к различным сетевым интерфейсам устройства, формируя виртуальные соединения между парой сетевых узлов, причем сетевые пакеты, относящиеся к каждому виртуальному соединению, поступают в устройство из одного сегмента локальной вычислительной сети и передаются в другой, при этом программа управления расширена таким образом, чтобы обеспечивать моделирование процессов передачи пакетного трафика в части возможности установки временной задержки передачи, изменение порядка передачи, уничтожения или размножения сетевого пакетов, относящихся к виртуальным соединениям, а также внесения преднамеренной ошибки в тело сетевых пакетов, относящихся к виртуальным соединениям.
    Figure 00000001
RU2010115465/08U 2010-04-20 2010-04-20 Устройство моделирования процессов передачи пакетного трафика на основе межсетевого экрана с динамическим управлением параметрами виртуальных соединений RU103202U1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2010115465/08U RU103202U1 (ru) 2010-04-20 2010-04-20 Устройство моделирования процессов передачи пакетного трафика на основе межсетевого экрана с динамическим управлением параметрами виртуальных соединений

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2010115465/08U RU103202U1 (ru) 2010-04-20 2010-04-20 Устройство моделирования процессов передачи пакетного трафика на основе межсетевого экрана с динамическим управлением параметрами виртуальных соединений

Publications (1)

Publication Number Publication Date
RU103202U1 true RU103202U1 (ru) 2011-03-27

Family

ID=44053200

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2010115465/08U RU103202U1 (ru) 2010-04-20 2010-04-20 Устройство моделирования процессов передачи пакетного трафика на основе межсетевого экрана с динамическим управлением параметрами виртуальных соединений

Country Status (1)

Country Link
RU (1) RU103202U1 (ru)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU182849U1 (ru) * 2017-12-19 2018-09-04 Федеральное государственное бюджетное образовательное учреждение высшего образования "Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича" (СПбГУТ) Устройство моделирования доверенной сетевой маршрутизации

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU182849U1 (ru) * 2017-12-19 2018-09-04 Федеральное государственное бюджетное образовательное учреждение высшего образования "Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича" (СПбГУТ) Устройство моделирования доверенной сетевой маршрутизации

Similar Documents

Publication Publication Date Title
CN105976031B (zh) 多个语义推理引擎对数据的并行处理
US10699026B2 (en) Internal controls engine and reporting of events generated by a network or associated applications
CN103930882B (zh) 具有中间盒的网络架构
Quan et al. OpenTSN: an open-source project for time-sensitive networking system development
CN100369423C (zh) 网络仿真测试系统及方法
US20150082417A1 (en) Firewall configured with dynamic collaboration from network services in a virtual network environment
Harbour et al. Modeling distributed real-time systems with MAST 2
US10164908B2 (en) Filtration of network traffic using virtually-extended ternary content-addressable memory (TCAM)
CN114363021A (zh) 网络靶场系统、网络靶场系统的虚拟网络实现方法及装置
Qiao et al. Preliminary interference study about job placement and routing algorithms in the fat-tree topology for HPC applications
Uyyala et al. THE ROLE OF AI IN THE DEVELOPMENT OF NEXT-GENERATION NETWORKING SYSTEMS
Bezahaf et al. Flowos: A flow-based platform for middleboxes
Koldehofe et al. Tutorial: Event-based systems meet software-defined networking
CN102045256B (zh) 一种基于cots的带宽预分配保证网络功能演示系统
RU103202U1 (ru) Устройство моделирования процессов передачи пакетного трафика на основе межсетевого экрана с динамическим управлением параметрами виртуальных соединений
WO2023116268A1 (zh) 网络隔离方法和系统及代理设备
Alshareef et al. Using DEVS for full life cycle model-based system engineering in complex network design
CN107210975A (zh) 软件定义网络的网元
Sainz et al. Software defined networking opportunities for intelligent security enhancement of industrial control systems
CN114338193B (zh) 一种流量编排方法、装置及ovn流量编排系统
Taher Testing of floodlight controller with mininet in sdn topology
You et al. OpenFlow security threat detection and defense services
Cao et al. A study on application-towards bandwidth guarantee based on SDN
Brahimi et al. Modelling and simulation of scheduling policies implemented in ethernet switch by using coloured petri nets
An et al. Optimal configuration of virtual links for avionics network systems