Устройство моделирования процессов передачи пакетного трафика на основе межсетевого экрана с динамическим управлением параметрами виртуальных соединений

Авторы патента:

G06F15/163 - межпроцессорная коммуникация

Устройство моделирования процессов передачи пакетного графика на основе межсетевого экрана, содержащего, по меньшей мере, два сетевых интерфейса для управляемой пакетной коммутации данных между присоединенными к ним сегментами вычислительной сети, а также специальный сетевой интерфейс управления. Правила фильтрации, управляющие пакетной коммутацией, определяются на основе идентификатора виртуального соединения, образованного из адресов источника и получателя пакетов и описывают набор управляемых параметров виртуального соединения, состоящий из значения задержки доставки и признаков необходимости размножения, уничтожения, искажения и изменения порядка доставки. Управляемые параметры могут изменяться динамически по предварительно заданным законам, а также по командам, поступающим на упомянутый интерфейс управления. Сетевые узлы моделируемой распределенной системы подключаются к вычислительной сети так, чтобы источники и получатели пакетов каждой взаимодействующей пары узлов располагались в сегментах, присоединенных к разным сетевьм интерфейсам межсетевого экрана.

Настоящая полезная модель относится к сфере создания инструментальных средств моделирования процессов передачи пакетного графика в компьютерной сети для отладки сетевых протоколов и приложений реального времени для распределенных технических систем. К таким системам, в частности, относятся средства телеуправления и телеметрии для территориально распределенных и удаленных объектов. Сложные системы включают множество управляемых объектов, требующих как централизованного, так и распределенного управления из различных точек системы, возможно, территориально разобщенных и значительно удаленных друг от друга. Широкое распространение глобальных коммуникационных сетей, включая Интернет, располагает к их использованию для нужд организации вышеописанных распределенных систем. При этом обеспечивается в значительной степени произвольная топология взаимного размещения объектов и пунктов управления, существенно удешевляется процесс создания систем за счет экономии на коммуникационной инфраструктуре. Однако связь через сети общего пользования, которые представляют возможности коммутации и маршрутизации пакетов, основана на их статистическом мультиплексировании, что приводит к вероятностному характеру значений пропускной способности и вносимых задержек предоставляемых виртуальных каналов. Эти свойства обуславливают существенное влияние среды доставки на работу систем в реальном времени.

Задачи отладки и испытаний проектируемых распределенных систем значительно облегчаются, а в ряде случаев и становятся реализуемыми в приемлемые сроки только при наличии средств физического моделирования коммуникационной среды. Такие средства позволяют собирать целевые системы или их макеты в ограниченном пространстве, в пределе - на рабочем столе. При этом решается ряд задач организационного, технического и методологического характера, например, определение временных соотношений между событиями в компонентах распределенной системы.

Устройство моделирования процессов передачи пакетного графика должно обеспечивать имитацию реальных условий функционирования распределенных телесистем. Идентификация и воспроизведение параметров моделируемой среды обеспечивает замену дорогостоящих и трудно организуемых натурных испытаний на этапе разработки и отладки. Функцией устройства моделирования является обеспечение управляемой передачи пакетов между сетевыми узлами распределенной системы. При этом под управляемостью подразумевается возможность задержки передачи пакетов, размножения, уничтожения, искажения и изменения порядка их доставки.

Функции управляемой передачи пакетов выполняют, например, межсетевые экраны, которые в настоящее время широко применяются в качестве сетевых средств обеспечения информационной безопасности. Межсетевой экран (МЭ) представляет собой специализированное сетевое устройство, которое включается между двумя сегментами локальной вычислительной сети (ЛВС) таким образом, что весь обмен сетевыми пакетами между этими сегментами происходит через это устройство и ограничивается с помощью специальных правил фильтрации входящих и исходящих потоков данных. Такое устройство может быть также установлено между защищаемым сегментом ЛВС и маршрутизатором, один из портов которого подключен к сети Интернет. При этом используемые правила фильтрации пакетного графика могут включать запрет на передачу информации как изнутри, так и вовнутрь защищаемого сегмента ЛВС, включая контроль определенных пользователей в установленные интервалы времени суток, недель или месяцев. Для моделирования процессов передачи пакетного графика при исследовании, отладки и испытаниях распределенной системы ее узлы должны быть подключены к сегментам ЛВС, которые в свою очередь подключаются к портам МЭ так, чтобы потоки пакетов взаимодействующих друг с другом узлов могли проходить только через МЭ. При этом МЭ должен обеспечивать фильтрацию пакетного графика по правилам, учитывающим различные характеристики взаимодействующих узлов. Потоки данных между сетевыми узлами могут рассматриваться как виртуальные соединения. При этом набор действий, предписываемых правилами, должен быть расширен относительно базового набора (пропускать или не пропускать пакет). Дополнительные действия должны включать задержку пересылки на определенное время, размножение, уничтожение, искажения и изменение порядка доставки пакетов. Таким образом, моделирование процессов передачи пакетного графика между узлами целевой системы может быть сведено к динамическому управлению параметрами виртуальных соединений, проходящих через МЭ. При этом во время исследования, отладки и испытаний будет обеспечено влияние процессов передачи пакетного графика на поведение целевой системы, аналогичное влиянию реальных сетей, используемых при ее штатном функционировании.

Прототипом настоящей полезной модели является межсетевой экран, описанный в патенте РФ 2214623. В основу его положен принцип гарантированной безопасности межсетевого экрана, основанный на не использовании или полном сокрытии адресов сетевых интерфейсов этого устройства защиты.

В соответствии с упомянутым выше патентом межсетевой экран, обладая сетевыми фильтрующими интерфейсами для обмена данными между сегментами сети, рассматривается как неадресуемый (пассивный) сетевой узел, который не использует при своем функционировании логических и физических адресов, ассоциируемых с этими сетевыми интерфейсами. По этой причине наличие такого межсетевого экрана в сетевой среде не может быть обнаружено никакими техническими средствами, расположенными в одном из подключенных сегментов сети. Для управления процессами обработки пакетного графика межсетевой экран дополнительно содержит специальный интерфейс управления, изолированный от фильтрующих сетевых интерфейсов. Основной задачей вышеупомянутого межсетевого экрана является разграничение доступа абонентов к ресурсам локальной вычислительной сети путем фильтрации (блокирования) пакетного графика, не соответствующего реализованной в виде набора правил фильтрации политике доступа. При этом все изменения настроек программы фильтрации пакетного графика, в том числе касающиеся набора правил фильтрации и управления виртуальными соединениями, могут быть выполнены исключительно через интерфейс управления, что полностью устраняет возможность несанкционированного доступа к межсетевому экрану со стороны абонентов, расположенных в сегментах ЛВС, которые подключены к фильтрующим интерфейсам МЭ. При этом МЭ сохраняет неизменной информацию об адресах отправителя и/или получателя обрабатываемого с помощью правил фильтрации пакетов, что позволяет полностью скрыть факт существования межсетевого экрана от абонентов, подключенных к защищаемым сегментам ЛВС.

Вышеупомянутые свойства позволяют рассматривать МЭ как устройство, пропускающее (или не пропускающее) через себя все пакеты, передаваемые между парой узлов компьютерной сети, подключенных к его разноименным интерфейсам.

Недостатком прототипа с точки зрения моделирования процессов передачи пакетного графика является детерминированный характер принятия решения об удалении пакетов. Другими словами, если правило фильтрации предписывает блокирование доступа, то сетевые пакеты, удовлетворяющие условиям данного правила, будут удаляться с вероятностью 1 (100%). В рамках настоящей полезной модели используемый прототип дополняется функциями настраиваемой задержки при передаче пакетов из одного сетевого сегмента в другой, настраиваемым процентом и количеством размноженных пакетов, настраиваемой вероятности уничтожения пакетов, настраиваемой вероятностью изменения порядка передачи пакета из одного сетевого сегмента в другой и настраиваемой вероятностью искажения пакетов. Использование этих функций позволит моделировать процессы передачи пакетного графика в компьютерных сетях в целях имитации реальных условий для отладки функционирования распределенных систем. При этом, в силу неадресуемости сетевых интерфейсов, унаследованной от прототипа, устройство моделирования пакетного графика не будет рассматриваться, как узел в логической структуре сети. Это позволит избежать изменений данных в обрабатываемых пакетах, что характерно для адресуемых сетевых устройств.

Настоящая полезная модель подробно рассмотрена далее на примере ее реализации со ссылками на чертежи, на которых:

Фиг.1 изображает внешний вид выполненного согласно настоящей полезной модели устройства моделирования процессов передачи пакетного графика для ограничения доступа к сетевым ресурсам на основе межсетевого экрана с динамическим управлением параметрами виртуальных соединений, на которой расположены органы управления и интерфейсы внешних соединений;

Фиг.2 - схему соединения двух локальных вычислительных сетей между собой через устройства моделирования процессов передачи пакетного трафика, выполненное в соответствии с настоящей полезной моделью.

Описание, приведенное ниже, предполагает знакомство с наиболее употребительными терминами и понятиями, относящимися к вычислительной технике, и в частности, к вычислительным сетям.

В соответствии с предпочтительной реализацией настоящей полезной модели изображение на Фиг.1 устройства моделирования процессов передачи пакетного графика 1 (далее - устройство 1) представляет собой специализированный вычислитель со встроенной операционной системой. Такой вычислитель может быть выполнен с использованием серийно выпускаемых материнских плат персональных компьютеров, в которой предусмотрена возможность подключения до 5-ти периферийных устройств к внутренней системной шине PCI. Вычислитель устройства моделирования процессов передачи пакетного графика может быть выполнен на базе нескольких типов процессоров общего назначения. Устройство моделирования процессов передачи пакетного графика содержит сетевые интерфейсы для обмена пакетными данными, в качестве которых могут быть использованы сетевые адаптеры Ethernet различного типа со скоростью передачи 10/100/1000/10000 Мбит/с. На лицевой панели 2 устройства 1 расположены соединители для трех интерфейсов обмена данными, обозначенных позициями 3, 4, 5. К каждому из сетевых адаптеров подключен сегмент ЛВС, построенный на архитектуре общей шины и использующий протокол Ethernet. Если в ЛВС используется другой протокол, то применяемые сетевые адаптеры устройства должны поддерживать этот протокол взаимодействия.

На панели 2 установлены также соединитель 6, аналогичный соединителям 3, 4, 5, который используется в качестве интерфейса управления для изменения программы управления информационным обменом между сетевыми сегментами ЛВС, соединяемыми через устройство 1. Сегменты ЛВС, в зависимости от их количества, могут быть подключены к интерфейсам 3, 4, или 3, 4, 5, соответственно. На панели 2 установлен также соединитель 8 и выключатель 9 электропитания.

В рассматриваемом примере реализации полезной модели в устройстве 1 используется операционная система UNIX, обеспечивающая многозадачную работу программы управления в соответствии с конфигурационным файлом, сохраняемым в энергонезависимом устройстве памяти устройства 1.

Фиг.2 иллюстрирует один из вариантов использования устройства моделирования процессов передачи пакетного трафика 1. В этом примере устройство 1 делит ЛВС 10 на сегменты 11 и 12, которые подключаются, соответственно, к сетевым адаптерам 3 и 4. Такая структура ЛВС 10 может использоваться для отладки распределенных сетевых приложений, компоненты которых запускаются на сетевых узлах 16 и 17, подключенных к сегментам 11 и 12. Эти приложения производят информационный обмен между собой через устройство 1 путем установления виртуальных соединений. При этом устройство 1 моделирует поведение крупной сети путем внесения задержек, изменения порядка доставки, размножения, искажения и уничтожения отдельных пакетов согласно управляющей программе, запущенной в управляющей операционной системе устройства 1. Для внесения изменений в программу управления передачей сетевых пакетов и моделирования процессов передачи пакетного графика между интерфейсами 3, 4 и 5, к управляющему интерфейсу 6 подключают персональный компьютер 19. Редактирование программы управления осуществляется на компьютере 19 с помощью стандартной программы Web навигатора (браузера), например, Mozilla Firefox, путем установления авторизованного с помощью пароля соединения между компьютером 19 и устройством 1. Программа управления обеспечивает передачу сетевых пакетов между сетевыми интерфейсами с заданными параметрами задержки, размножения, искажения, уничтожения и изменения порядка следования. Так как устройство не имеет адресов, ассоциируемых с его сетевыми интерфейсами, то оно не может являться получателем никаких сетевых пакетов, а выступает в роли пассивного транзитного узла между сетевыми интерфейсами. Программа управления, которая контролирует работу интерфейсов 3, 4, 5 обмена пакетными данными (драйвер сетевых адаптеров Ethernet) настроена таким образом, что содержимое поля адреса отправителя в информационных блоках, передаваемых устройством 1 через интерфейсы 3, 4, 5, сохраняется неизменным.

Сетевые узлы моделируемой распределенной системы подключаются к сегментам 11 или 12 так, чтобы источники и получатели пакетов каждой взаимодействующей пары узлов располагались в сегментах, присоединенных к разным сетевым интерфейсам устройства 1. При необходимости могут быть организованы дополнительные сегменты, подключенные к соответствующим интерфейсам устройства 1. В данном примере дополнительный сегмент может быть подключен к интерфейсу 5. Для настройки устройства моделирования используются списки сетевых адресов узлов, подключенных к каждому из сегментов 11 и 12, а также таблица параметров виртуальных соединений, соответствующих моделируемым сетевым соединениям. Списки составляются в соответствии с топологией информационных связей узлов моделируемой системы. Каждое виртуальное соединение идентифицируется связкой сетевых адресов узлов источника и получателя пакетов, при этом двунаправленное взаимодействие узлов транспортного соединения (например, TCP) будет моделироваться парой виртуальных соединений. В таблице параметров для каждого виртуального соединения задаются параметры моделируемых свойств: значение задержки, вероятности уничтожения, размножения, изменения порядка и искажения пакетов. Эти параметры могут быть заданы как статическими величинами, которые могут быть изменены в любой момент функционирования устройства по команде, поступающей через интерфейс управления 6, так и ссылками на описатели процессов их динамического изменения по законам, заданным в аналитической или табличной форме.

Описанный выше характер функционирования устройства не исчерпывает очевидных специалисту вариантов применения настоящей полезной модели, не выходящих за пределы существа предложенного решения, которые определяются формулой полезной модели.

Устройство моделирования процессов передачи пакетного трафика в распределенной системе на основе межсетевого экрана, содержащее от трех до пяти сетевых интерфейсов, из которых от двух до четырех интерфейсов подключены через соединители к сегментам локальных вычислительных сетей, отличающееся тем, что устройство дополнительно содержит, по меньшей мере, один сетевой интерфейс, подключенный через соединитель к персональному компьютеру и используемый в качестве интерфейса управления для изменения программы управления передачей пакетного графика между сетевыми узлами, подключенными к сегментам локальной вычислительной сети таким образом, чтобы источники и получатели сетевых пакетов каждой взаимодействующей пары сетевых узлов располагались в сегментах локальной вычислительной сети, присоединенных к различным сетевым интерфейсам устройства, формируя виртуальные соединения между парой сетевых узлов, причем сетевые пакеты, относящиеся к каждому виртуальному соединению, поступают в устройство из одного сегмента локальной вычислительной сети и передаются в другой, при этом программа управления расширена таким образом, чтобы обеспечивать моделирование процессов передачи пакетного трафика в части возможности установки временной задержки передачи, изменение порядка передачи, уничтожения или размножения сетевого пакетов, относящихся к виртуальным соединениям, а также внесения преднамеренной ошибки в тело сетевых пакетов, относящихся к виртуальным соединениям.

Система централизованного автоматизированного функционально-экономического управления в режиме реального времени консорциумом по созданию космических систем дистанционного зондирования земной поверхности // 88168

Устройство коммутации пакетов информации ethernet // 112802

Устройство контроля целостности и конфиденциальности сетевого кадра // 39416

Мультисервисный сетевой узел // 73574

Устройство для тестирования и автоматизированной отладки программного обеспечения // 136904

Устройство для моделирования процесса разработки открытых информационных систем // 83150

Автоматизированная система верхнего уровня обеспечения комплексной безопасности территориально-распределенных объектов // 113031

Техническим результатом предлагаемой полезной модели является повышение точности и качества регулирования в технологических процессах с электрическими исполнительными механизмами постоянной скорости за счет обеспечения возможности формирования пропускной характеристики регулирующего органа, с учетом особенностей конкретной системы регулирования

Телематический прибор для измерения и генерации сигналов в распределенных системах // 119891

Универсальная укладка для забора и транспортировки материала от людей, животных и из объектов окружающей среды для исследования на особо опасные инфекционные болезни // 125976

Блок вычислительной системы // 108661

Интегрированная система внутренней и внешней связи корабля // 89312

Устройство разграничения доступа между двумя сетями передачи данных в протоколе ip-межсетевой экран без операционной системы (варианты) // 53522

Стенд мобильного программирования элементов программируемых постоянных запоминающих устройств // 46379

Автоматизированная система проектирования электронных устройств // 132297

Полезная модель относится к производству и проектированию сложных электротехнических изделий на основе печатных плат, в частности, на основе маршрута проектирования печатных плат Expedition PCB, вокруг которого формируется единая среда проектирования от моделирования до верификации с учетом результатов трассировки и особенностей производства.