Первая страница
Наша команда
Контакты
О нас

    Головна сторінка



Інфокомунікації – сучасність та майбутнє”

Інфокомунікації – сучасність та майбутнє”




Сторінка14/16
Дата конвертації16.03.2017
Розмір2.87 Mb.
1   ...   8   9   10   11   12   13   14   15   16

Основные характеристики IP-оборудования


Применение IP-технологии в системах связи позволило улучшить следующие характеристики оборудования:

  • Масштабируемость

  • Гибкость

  • Эргономичность

  • Экономичность

  • Простота внедрения

  • Унификация протоколов связи и передачи данных

Телефонная сеть была создана таким образом, чтобы гарантировать высокое качество услуги даже при больших нагрузках. IP-телефония, напротив, не гарантирует качества, причем при больших нагрузках оно значительно падает.

Качество связи можно оценить, используя следующие основные характеристики:



  • уровень искажения голоса;

  • частота "пропадания" голосовых пакетов;

  • время задержки (между произнесением фразы первого абонента и моментом, когда она будет услышана вторым абонентом).

Качество связи по первым двум характеристикам значительно увеличилось в сравнении с первыми версиями решений IP-телефонии, которые допускали искажение и прерывание речи. Улучшение кодирования голоса и восстановление потерянных пакетов позволило достичь уровня, когда речь понимается абонентами достаточно легко. Понятно, что задержки влияют на темп беседы. Известно, что для человека задержка до 250 миллисекунд практически незаметна. Существующие на сегодняшний день решения IP-телефонии превышают этот предел, так что разговор похож на связь по обычной телефонной сети через спутник, которую обычно оценивают как связь вполне удовлетворительного качества, требующую лишь некоторого привыкания, после которого задержки для пользователя становятся неощутимы. Отметим, что даже в таком виде связи решения IP-телефонии вполне подходят для многих приложений.

Кроме этого, задержки уменьшаются благодаря следующим трем факторам:



  • во-первых, совершенствуются телефонные серверы (их разработчики борются с задержками, улучшая алгоритмы работы);

  • во-вторых, развиваются частные (корпоративные) сети (их владельцы могут контролировать ширину полосы пропускания и, следовательно, величины задержки);

  • в-третьих, развивается сама сеть Интернет, — современный Интернет не был рассчитан на коммуникации в режиме реального времени.

Оценить качество при использовании различных протоколов сжатия можно различными способами. Один из подходов для таких измерений - использование субъективных методов. В субъективных методах группа людей, обычно достаточно большая, оценивает качество связи по определенной стандартной процедуре. Самый известный субъективный метод - это метод общего мнения (Мean Оpinion Score - MOS). В этом методе, качество связи оценивается большой группой разных людей, и затем их мнение усредняется. Оценки (табл. 1) могли колебаться от 1 (неприемлемо) до 5 (отлично - нет дискомфорта при прослушивании).

На рис. 1 показана оценка методом общего мнения популярных звуковых кодеков. По горизонтальной оси отложена требуемая ширина канала для передачи речи, сжатой определенным кодеком, по вертикальной оси - собственно оценка.


Таблица 1 – Оценки качества MOS.



Качество

Оценка MOS

Высокое

4.0 - 5.0

Стандартное телефонное

3.5 - 4.0

Приемлемое

3.0 - 3.5

Синтезированный звук

2.5 - 3.0

 

Рисунок 1 – Оценки качества MOS для различных кодеков


Среди каналов, на которых может быть организована IP-телефонная связь, особый интерес представляют каналы Интернет. Реально действующие каналы Интернет характеризуются:

  • действительной пропускной способностью, определяемой наиболее "узким местом" в виртуальном канале в данный момент времени;

  • трафиком, также являющимся функцией времени;

  • задержкой пакетов, что определяется трафиком, числом маршрутизаторов, реальными физическими свойствами каналов передачи, образующими в данный момент времени виртуальный канал, задержками на обработку сигналов, возникающими в речевых кодеках и других устройствах шлюзов; все это также обеспечивает зависимость задержки от времени;

  • потерей пакетов, обусловленной наличием "узких мест", очередями;

  • перестановкой пакетов, пришедших разными путями.



ANALYSIS OF LTE IMPLEMENTATION DYNAMICS
Rudenko O.M., undergraduate of the 5th course, IN faculty, e-mail: oleksiirudenko90@gmail.com

Supervisor – senior teacher E.S. Shulakova

Odessa National Academy of Telecommunications after A.S. Popov
Abstract. Consider the concept of mobile networks of 4th generation in order to upgrate existing mobile networks for high-quality voice traffic transmission, increase data rates up to 326.4 Mbps and comparing different 4G network technologies such as LTE and WiMAX. LTE, selection of mathematical models for predicting implementation new services.

3GPP Long Term Evolution (LTE), targets capacity and data rate speed, data throughput enhancements and low latency, to support new services, and features requiring higher levels of capability and performance. Business users and consumers today browse the Internet or send and receive e-mails using HSPA-enabled notebooks, or with HSPA modems and dongles, and send/receive video or music on 3G/HSPA phones. LTE is the next step in the user experience, which will enhance more demanding applications such as interactive TV, mobile video blogging, advanced games and professional services. Downlink and uplink data rates are significantly higher, supported by the necessary network architecture and technology enhancements. LTE reduces the cost per Gigabyte delivered, essential for addressing the mass market. The new system supports a full IP-based network, and harmonization with other radio access technologies.

LTE standardization is complete and approved by 3GPP within Release 8, and is the basis for initial LTE deployments worldwide. The LTE standard supports both FDD and TDD modes with the same specification and hardware components.

LTE is on track, attracting global industry support. With the HSPA mobile broadband eco-system in place, LTE is the natural migration choice for GSM/HSPA network operators. As a result of collaboration between 3GPP, 3GPP2 and IEEE, there is a roadmap for CDMA operators to evolve to LTE. It is clear that LTE is the next generation mobile broadband system of choice also for many CDMA operators, particularly leading players. Successful handovers between CDMA and LTE networks were demonstrated and announced in August 2009, showing how activities such as video downloading and web surfing were maintained as the user moved between LTE & CDMA coverage areas.

The LTE-TDD mode, (TD-LTE) provides a future- proof evolutionary path for TD-SCDMA, another 3GPP standard.

The services offered by LTE:



  • High-bandwidth networks;

  • Great sensitivity;

  • Support for gaming due to the low response time;

  • High interactivity;

  • Higher speed data downloads;

  • Opportunity to voice over IP / IMS;

  • Higher quality of service;

  • More channels of mobile TV;

  • Better image quality of mobile TV;

  • Fully IP e2e network;

  • Channel width to 20 MHz;

  • And the TDD, and FDD profiles;

  • Flexible network access;

  • Improved technique of antennas;

  • On the line to the base of one carrier with a frequency access (SC-FDMA),modulation optional up to 64QAM;

- LTE technology problems :

Problems of transition to LTE include the need for new spectrum to take advantage of the wide channel. In addition, a subscriber device able to simultaneously work in networks of LTE and 3G subscribers for a smooth transition from old to new networks. The price on equipment is too high and also is not available in Ukraine for now. It requires lots of time to build LTE upon the 3G networks

Selection of mathematical models for predicting implementation new services:

Exponential function :

To confirm that it is necessary to prove that the intensity of growth in that period remained constant: (1)

where – actual expected value at the end of the observation period;



– the beginning of the observation period;;

T – the duration of the observation period.

Figure 1 - Process of development and saturation

After transformation , we obtain

. (2 )

If with reasonable accuracy can be confirmed by consistency, the ratio (3.2) can be used to predict: meets expected value, was statistically be the last as the tested and meets the period forecasts.


Table 1 – Comparing of key parameters of LTE and WiMAX

Parameters

LTE

WiMAX verison 1.5

Duplexing

FDD and TDD

FDD and TDD

Frequency range

2000 МHz

2500 МHz

Bandwidth

Up to 20 МHz

Up to  20 МHz

From base

OFDM А

OFDMA

To base

SC-FDMA

OFDMA

DownstreamMIMO (2×2)

1,57

1,59

Maximum speed of mobile station, km/ч

350

120

Frame rate, ms

1

5

Downstream

2×2, 2×4. 4×2, 4×4

2×2, 2×4, 4×2, 4×4

Upstream

1×2, 1×4, 2×2, 2×4

1×2, 1×4. 2×2. 2×1

Figure 2 – Network structure LTE:



Figure 3 – LTE architecture


Conclusion

After Analyzing of all the benefits and disadvantages of LTE technology and comparing LTE with WiMAX and realized that for mobile operators LTE is more suitable, because it builds upon existing networks 3G, so it is more acceptable for mobile companies. Then I fond the best mathematical model for predicting implementation new services. I considered exponential function logistic function.




List of literature:

1. http://pc.uz/publish/doc/text49131_tehnologiya_lte_preimushchestva_i_perspektivy

2. 3GPP TR 36.913 V8.0.0. Requirements for Fur-ther Advancements for E-UTRA (LTE-Advanced), Release 8. –3GPP, 06.2008

3. 3GPP TS 36.101 v8.4.0 (2008—12). Technical Specification Group Radio Access Network; Evolved Universal Terrestrial Radio Access (E-UTRA); User Equipment (UE) radio transmission and reception (Re-lease 8).

4. Дрововозов В. І., Гребіниченко К. С. Застосування технології LTE у системах реального часу, Національний авіаційний університет, 2009 – 25 ст.

5. http://securos.org.ua/perspektivy-razvitiya-4g-lte-v-ukraine/

6. http://www.mforum.ru/news/article/093817.htm

7. http://mobileinternet.com.ua/stati/perexod-na-4g-perspektivy-v-ukraine/

УДК 621
Research of quality indicators of program cluster functioning

on the base of Kerrighed 3.0.0
Drumova G.I., magistrate, LaMomeRien@gmail.com,

Nikitchenko V.V., associate professor,

Odessa national academy named after A.S.Popov


Annotation. The total content of the work is research quality indicators of program functioning on the base of Kerrighed on the basis of actual initial data.
Nowadays the range of problems, requiring for their solution the usage of powerful computing resources is constantly growing in such fields like software,

cryptography, machine intelligence, financial modeling and commerce. The main reasons for the popularity of clusters include the improvements in interconnection network technology and availability of high performance desktop computers. The cost performance of clusters is better than the traditional supercomputers. Cluster technology is more available than custom built supercomputers for the market.[1]

A  cluster is a group of linked computers (computational nodes), connected to each other through fast local area networks and working together as a single virtual computer. Generally cluster refers to a collection of individual systems or processor platforms linked together by a network or interconnect to operate co-operatively on one or more computational platforms. Each of the processor platforms/individual nodes in a cluster is capable of operating alone. This ability of the nodes to work alone makes clusters different from other multiprocessor systems. [2]

The cluster for test consists of 3 similar PC computers(nodes), cluster` server and switch.Each of node was working under the control of Kerrighed version 3.0.0, based on Debian GNU/Linux operating system, version 6 , kernel version 2.6.32-5 because of project group of Kerrighed was desinged this cluster for such operational system as Debian and Ubuntu.[3]On the physical level cluster nodes are connected by star network topology, in which nodes are switched to central switch by using communicational channels FastEthernet with a throughput 100 Mb/s. Operational system on the computational nodes is loaded from cluster` server.Architecture of the cluster is represnted on figure 1.

Testing of cluster performance were executed such testing programs: Flops, Netpipe, Transfer, Nettest, Mpitest, Nfstest.


Figure 1 – Architecture of cluster
According to the testing results (figure 2), see, that with increasing cluster nodes the cluster performance proportionally increases too. It is connected with that, with increase the quantity of nodes overhead on organization of parallel computing is increased too, particularly, the throughput of communication environment.

Figure 2 – Cluster performance at the different quantity of nodes


Overhead due to migration on the process execution time comprises the transfer time and the overhead on the execution time of the migrated process on destination node. From the figure 3 we can make following conclusion: higher the computation time of the application is, the lower the migration overhead is. Moreover, migration overhead in Kerrighed is between 0,5 and 7 percents of the execution time. The less pages on the remote node are accessed, the less overhead is.

Figure 3 – Overhead of the process migration on the application execution time

The main characteristics of the network performance are the latency and bandwidth. Under network bandwidth  (R) we understand  the amount of information(L) transferred between network nodes(N) per time unit (T) (byte per second).The bandwidth is defined as:

 (1)

Latency (time delay)(S) is a time, during of which software and network devices are required to prepare for transfer of information via the given channel. [4]Complete latency is composed of software and hardware components. So, latency id defined as:

 (2)

The results of cluster latency test at the message transmission from zero node to other three is represented in figure 4 .Testing of latency shows, that latency scattering at the message transmission between cluster nodes is less than 7 %.

Figure 4 – Time delay of the message transmission from zero cluster node to others


In the test about bandwidth (figure 5), maximum efficiency 2,9 Mb/s is reached at the bidirectional data transmission and message length 32 Kb. At message length greater than 32 Kb , we see that bandwidth is decreased , that is related with saturation of data transmission channels.

Figure 5 – Throughput at the bidirectional transfer of message


In the figure 6 the results of the network bandwidth, that is used to check of network equipment “survivability” at the peak loads and to determine peak bandwidth of switch network in the logical topologies “star”, “ring” and “chaos” at the unidirectional and bidirectional messages exchange, are represented and are marked as Star, Chaos, Ring for unidirectional message exchanges and as Star2, Chaos2 and Ring2 - for bidirectional ones.

Figure 6 – Bandwidth of the network in the logical topologies “star”, “ring” and “chaos” at the unidirectional and bidirectional message exchanges
From the figure 6 can make such conclusion: best network bandwidth from 4 nodes is at “Chaos” topology at bidirectional mode and it equals 39,4 Mb/s . Less bandwidth is at logical topology “Star” that can be explained by channel load to basic node, in another topologies the given problem does not occur. And the most stable topology is “Ring”.

So, received cluster according to performance can be compared with modern dual-core processor of medium level. The results received during the test tell us that idea of parallel computing is actual and can be used during the education for investigation projects.


List of references:

  1. Hennessy, J. L., D. Patterson, Computer Architecture: A Quantitative Approach, Morgan Kaufmann, 3rd Edition, 2003.

  2. Marsh, P., High Performance Horizons, IEE Computer and Control Engineering, December/January 2004/2005.

  3. http://www.kerrighed.org/

  4. http://parallel.ru/computers/benchmarks/perf.ht

УДК- 621.395.


Ефективні методи керування трафіком,

Traffic Engineering. Механізм RED
Куліш В.Г., студентка 5-го курсу магістратури, vikuse4ka89@mail.ru

Одеська національна академія зв’язку ім. О.С. Попова


Анотація. В роботі описується рішення відносно ефективних методів керування трафіком і контролю завантаженості - Traffic Engineering. Розповідаєтся про основні цілі та принципи роботи механізму RED. Описано два алгоритми, на яких ґрунтується механізм довільного раннього виявлення. Приводиться основні команди для налаштування алгоритму RED на практиці, а також формули для розрахунків основних параметрів, якими оперує даний алгоритм – середнього розміру черги та ймовірності відкидання пакетів.
Канали територіально розподілених мереж (ТРМ) стають рік від року швидше, але для більшості вузлів все ще зберігається значна невідповідність між швидкостями передачі даних. Для уникнення таких невідповідностей ефективно використовувати системи управління трафіком , що ще називаються, як менеджери смуги пропускання. Вони розміщуються по периферії ТРС та під час перевантажень регулюють проходження трафіку, забезпечуючи пріоритетне обслуговування найбільш важливих потоків.

Задачі, які орієнтовані на управління трафіком, включають в себе аспекти поліпшення QoS інформаційних потоків. Ключовою задачею управління трафіком являється мінімізація втрат пакетів і затримок, оптимізація пропускної здатності і узгодження найвищого рівня послуг.



Технологія керування трафіком – достатньо ефективний механізм використання ресурсів мережі. Під терміном “Traffic Engineering” розуміють методи і механізми збалансованого завантаження всіх ресурсів мережі. Всі ці процеси реалізується за допомогою сукупності алгоритмів, що безпосередньо дозволяють контролювати навантаження мережі. Одним із них являється механізм RED (Random Early Detect).

Алгоритм RED представляє собою механізм управління трафіком, розроблений спільнотою Internet для запобігання перевантажень на магістральних мережах. Даний механізм документований IETF (Internet Engineering Task Force) і володіє суттєвими перевагами по зрівнянню із традиційним механізмом “відкидання хвоста”.

На сьогодні алгоритм RED рекомендований до використання в Internet (RFC 2309) став практично стандартною функцією маршрутизаторів ТСР/ІР, реалізованою в більшості пристроях масштабних виробників.

Механізм RED використовує превентивний підхід відносно запобігання перевантажень мережі. Це пояснюється тим, що замість очікування фактичного переповнення черги, він починає відкидати пакети з ненульовою ймовірністю, коли середній розмір черги перевищить певне мінімальне порогове значення. Даний механізм використовується в швидкісних мережах, особливо для TCP-трафіка. Шляхом випадкового відкидання пакетів із найбільш потужних потоків RED примушує відправляючу сторону зменшувати швидкість передачі.

Використання алгоритму RED вкрай не бажано при присутності UDP-трафіку, так як при випадковому видаленні пакетів з черги і принципом роботи UDP-протоколу, дані можуть не дійти до одержувача. Таким чином, механізм довільного раннього виявлення доцільніше використовувати для TCP-трафіка.

До основних цілей роботи алгоритму RED відносять:

- Запобігання перевантажень мережі за допомогою повідомлення джерел трафіку про необхідність зниження інтенсивності передачі інформації. Якщо джерела проявлять здатність до взаємодії і одночасно зменшать інтенсивність переданого трафіку, це допоможе запобігти перевантаження мережі. В іншому випадку середній розмір черги досить скоро досягне максимального порогового значення, що призведе до відкидання всіх поступаючих пакетів.

- Запобігання ефекту "глобальної синхронізації" трафіку, який виникає, коли декілька джерел, що працюють через один і той же перевантажений сегмент мережі, виявляють втрати пакетів. Як наслідок, ці джерела одночасно знижують швидкість, а потім (також одночасно) поступово її збільшують, що призводить до нового перевантаження, втрати пакетів і повторення всієї процедури. Таким чином, стан мережі періодично змінюється від простою до перевантаження.

- Забезпечення неупередженого обслуговування трафіку. Так як, визначення ймовірності відкидання пакету базується на зваженому експоненційному значенні середнього розміру черги, це дозволяє уникнути упередженого ставлення механізму RED до характерних короткочасними сплесками потоків трафіку в умовах тривалого перевантаження мережі.

- Мінімізація затримки пакетів на вузлі (маршрутизаторі) шляхом контролю за середнім розміром черги.
Механізм довільного раннього виявлення базується на двох наступних алгоритмах:

- Алгоритм обчислення середнього розміру черги, який визначає допустимий рівень сплеску трафіку в черзі.

Середній розмір черги обчислюється за наступною формулою:
(1)
де – попередній середній розмір черги;

– поточний розмір черги;

n − експоненціально ваговий коефіцієнт, що визначається користувачем.

- Алгоритм обчислення ймовірності відкидання пакетів, який визначає ймовірність (частоту) відкидання пакетів для заданого середнього розміру черги.

При визначенні ймовірності відкидання пакетів механізм RED обчислює не поточний, а експоненціально зважений середній розмір черги. Поточний середній розмір черги визначається на підставі попереднього середнього та поточного дійсного розміру. Імовірність відкидання пакетів представляє собою функцію, що лінійно залежить від середнього розміру черги.

(2)
де – середній розмір черги;

,– мінімальне і максимальне порогові значення середнього розміру черги;

Kзнаменник граничної імовірності, що визначає частину пакетів, що відкидаються при досягненні середнім розміром черги максимального порогового значення.

Відповідно до принципу роботи механізму RED, ймовірність відкидання пакетів зростає прямо пропорційно збільшенню середнього розміру черги в діапазоні від мінімального до максимального порогових значень. Дану пропорційну залежність можна побачити із формули знаходження ймовірністі відкидання пакетів.

Алгоритм налаштування механізму RED

Налаштування полягає в активації RED на інтерфейсі:



interface FastEthernet0/0

random-detect

При роботі алгоритму RED, можливо використовувати такий обмежувач інтенсивності трафіку як Policе, який відповідно обмежує потік трафіку до потрібної величини методом простого відкидання поступаючих пакетів, швидкість надходження яких виходить за установлені рамки. Він може працювати як на вхідному, так і на вихідному інтерфейсах. Частіше всього він може використовуватись на вхідних, так як в даному випадку пакети, що відкидаються не доходять до процесу маршрутизації, що сприяє економії ресурсів мережі.

На сьогоднішній день одним із проблемних питань, що стоять перед провайдерами являється мінімізація втрат пакетів, ефективне використання пропускної здатності існуючих мереж ТСР/ІР та узгодження найвищого рівня послуг. Для цього явно необхідно використовувати ефективні методи керування трафіком і контроль завантаженості. Механізм RED саме і являється одним із таких методів.
Список літератури:

1. Кучерявый, Е.А. Управление трафиком и качество обслуживания в сети Интернет / Е.А. Кучерявый. – СПб.: Наука и техника, 2004. – 336 с.

2. Lee G. M. A survey of multipath routing for traffic engineering // Proc. of LNCS 3391. Springer-Verlag, 2005. Vol. 4. – P. 635-661 с.

3. Макаренко, А. В. Синтез адаптивной системы управления потоком кадров в сетях Gigabit Ethernet /A.B. Макаренко // Журнал радиоэлектроники. – М. – 2002. – №2 (http://jre.cplire.ru/ jre/feb02/2/text.html).

4. Столингс, В. Современные компьютерные сети / В. Столингс. 2-е изд.; пер. с англ. А.Леонтьева. – СПб.: Питер, 2003. – 784 с.

5. Нейман, В.И. Новое направление в теории телетрафика / В.И. Нейман // Электросвязь. – 1998. – №7. – С. 27-30.

6. Шмелев, И.В. Исследование и разработка метода оперативного управления мультисервисной сетью для потоков трафика с фрактальными свойствами: дис. канд. техн. наук: 05.12.13 – М., 2004. – 224 с.

7. Руденко И. Маршрутизаторы CISCO для IP-сетей. М.: КУДИС-ОБРАЗ, 2003. 656 с.

УДК 004
Исследование протокола IPv6
Дзюняк В.Л. магистрант факультета ИС, Dzyunyak@gmail.com

Науковий керівник - Шнайдер С.П.


Ключевые особенности протокола IPv6

  • Расширенные возможности адресации;

  • Упрощенный формат заголовка;

  • Изъятие из заголовка поля контрольной суммы;

  • Поддержка дополнительных заголовков;

  • Усиленные механизмы аутентификации;

  • Уменьшение размеров таблиц маршрутизации;

  • Возможность смены положения узла с сохранением его адреса;

Тоннели и проблемы безопасности

Для обеспечения обратной совместимости большинство узлов, поддерживающих IPv6, также поддерживают и IPv4. Данная технология получила название "двойного стека" (dual stack) и описана RFC 4213. Ее достоинство в том, что сервер, оснащенный двойным стеком, может обслуживать как IPv6, так и IPv4 клиентов, правда с одной небольшой оговоркой. Старшие разряды IPv6-адреса заполняются нулями и мы получаем обыкновенный 32-битный IPv4 адрес (про дефицит которых уже говорилось выше), только записанный в IPv6 нотации. К "полноценному" IPv6 адресу IPv4 клиент подключиться не сможет.

С маршртутизаторами - та же самая история. Поскольку IPv4 в ближайшие несколько лет умирать не собирается, IPv6 маршрутизатор вынужден поддерживать технологию двойного стека, что а) предъявляет повышенные требования к ресурсам; б) увеличивает сложность реализации, а значит и вероятность возникновения ошибок. Теоретически можно выключить стек IPv4, создав "чистый" IPv6 узел для общения с себе подобными, однако в существующих операционных системах это сделать очень непросто, а потому "чистых" IPv6 узлов в природе не наблюдается, несмотря на то, что количество "гибридных" стеков неуклонно растет, поскольку в последних версиях BSD, Linux, Mac OS X и Windows стек IPv6 автоматически включается инсталлятором по умолчанию.

Вот только.. если между двумя IPv6 узлами окажется расположен хотя бы один IPv4 маршрутизатор, то "совокупляться" им придется либо по технологии двойного стека, либо же использовать тоннели IPv6 over IPv4. Таких тоннелей много, но принцип действия у них один - IPv6 пакет укладывается в IPv4, передаваемый обычным путем, а получатель проделывает обратную операцию. Стоп! Как мы сможем отправить IPv4 пакет узлу, имеющему только IPv6 адрес? Единственный выход заключается в установке специального сервера, устроенного наподобие Proxy. Отправитель берет IPv6 пакет, кладет его внутрь IPv4 пакета, отправляет его одному из глобальных Proxy-серверов с двойным IPv6/IPv4 стеком. Сервер извлекает IPv6 пакет, смотрит на адрес получателя и передает его следующему Proxy-серверу, соединенным с получателем только IPv6/IPv4 маршрутизаторами. Естественно, таких Proxy серверов должно быть много (в противном случае они просто лягут под нагрузкой) и далеко не во всех случаях удается отыскать подходящий маршрут.

Сырость IPv6 и атаки на него

Протокол IPv6 очень молод. Настолько молод, что окончательно не стандартизован. Реализации стека IPv6 едва вылезли из пеленок и до сих пор остаются не протестированными в "промышленных" условиях. Значительная часть ошибок, обнаруживаемых в Linux и BSD, относится именно к IPv6. Старик Google по запросу "IPv6 Vulnerability" выдает около миллиона (!) ссылок и хотя большинство дырок уже давно исправлено, окончательно вылизанный IPv6 стек мы получим лет... через несколько. В BSD/Linux системах. Что же касается Microsoft, то здесь очень трудно найти повод для оптимизма.

Самое неприятное, что от атак на IPv6 нельзя защититься брандмауэром/маршрутизатором, поскольку брандмауэр/маршрутизатор, поддерживающий IPv6, сам по себе представляет нехилый объект для удаленных атак.

Внутри маршрутизатора

Большинство аппаратных маршрутизаторов и брандмауэров (в том числе и CICSO) строятся на базе BSD-подобных операционных систем с минимальной адаптацией под конкретную архитектуру или даже без таковой. Чем же они тогда отличаются от обычного ПК с установленной Free/Net/OpenBSD?! Ответ - на ПК BSD еще поставить надо, и железо правильное подобрать, и еще программное обеспечение для управления всей этой системой написать. К тому же ПК содержит много лишнего. Зачем маршрутизатору интегрированная видеокарта, AC3-звук и прочие компоненты? К тому же, x86-процессоры - далеко не самое лучшее средство для обработки сетевых пакетов. Но это, так сказать, сугубо техническая сторона вопроса. С точки же зрения безопасности, код, основанный на BSD, наследует все ошибки IPv6 стека, причем исправить их значительно труднее, чем в ПК-версии. Как минимум, потребуется дождаться заплатки от производителя маршрутизатора/брандмауэра, а потом "залить" ее внутрь "железки", если, конечно, она вообще предусматривает возможность обновления.

Основные методы защиты от атак

Какую выгоду можно извлечь из IPv6 протокола? Первое, что приходит в голову - покупаем один IPv4-адрес и разворачиваем за ним огромную сеть со множеством IPv6 адресов, доступных благодаря туннельным протоколам, из любой точки планеты. Даже из Антарктиды. Правда, с одной небольшой оговоркой - IPv6 адреса смогут увидеть лишь IPv6 клиенты, поддерживающие тот же самый тоннельный протокол, что установлен на нашем IPv4/IPv6 узле. В настоящий момент таких узлов практически нет и очень немногие пользователи согласятся совершать дополнительные телодвижения только затем, чтобы зайти на наш IPv6 сервер. Уж лучше "посадить" все серверы на один IPv4, используя виртуальные хосты, NAT'ы или другие технологии подобного типа.

В настоящий момент практической отдачи от IPv6 никакой, а вот проблем с безопасностью он создает немало. Поэтому лучше отключить поддержку IPv6, перекомпилировав ядра Linux/BSD. А что же на счет Висты? Увы, полностью отключить поддержку IPv6 нельзя и даже при выключенном IPv6 компоненты IPv6 стека будут по прежнему принимать пакеты, что позволит атаковать систему при наличии в ней дыр (а в том, что такие дыры есть, можно не сомневаться). А IPv6 можно заблокировать на IPv4 брандмауэре, построенном на базе BSD с "вырезанным" IPv6 стеком.

Конечно, отказ от использования IPv6 - слишком радикальная мера защиты, но на данный момент она, увы, единственная. Все остальные решения - ненадежны.

УДК 621


1   ...   8   9   10   11   12   13   14   15   16



  • Качество Оценка MOS
  • ANALYSIS OF LTE IMPLEMENTATION DYNAMICS Rudenko O.M.
  • Research of quality indicators of program cluster functioning on the base of Kerrighed 3.0.0 Drumova G.I.
  • Ефективні методи керування трафіком, Traffic Engineering. Механізм RED Куліш В.Г.
  • Технологія керування трафіком
  • До основних цілей роботи алгоритму RED відносять
  • Механізм довільного раннього виявлення базується на двох наступних алгоритмах
  • Алгоритм налаштування механізму RED
  • Сп исок літератури
  • Исследование протокола IPv6 Дзюняк В.Л.
  • Тоннели и проблемы безопасности
  • Сырость IPv6 и атаки на него
  • Внутри маршрутизатора
  • Основные методы защиты от атак