FTTx texnologiyasi uchun xavfsizlik tizimi

5. FTTx texnologiyasi uchun xavfsizlik tizimi

5.1 Umumiy

To'g'ri topologiyani tanlash

VoIP infratuzilmasi uchun xublardan foydalanish tavsiya etilmaydi, bu tajovuzkorlarga ma'lumotni ushlashni osonlashtiradi. Bunga qo'shimcha ravishda, raqamli ovoz odatda bir xil kabel tizimi orqali va odatdagi ma'lumotlar bilan bir xil tarmoq uskunalari bo'ylab harakatlanadiganligi sababli, ular orasidagi ma'lumot oqimlari to'g'ri ajratilgan bo'lishi kerak. Bu, masalan, VLAN mexanizmi yordamida amalga oshirilishi mumkin (ammo, siz faqatgina ularga ishonmasligingiz kerak). IP-telefoniya infratuzilmasida ishtirok etadigan serverlar, faqat kalitlarga va marshrutizatorlarga o'rnatilgan himoya mexanizmlari (kirish nazorati ro'yxatlari, manzillarni tarjima qilish va hujumni aniqlash) bilan emas, balki qo'shimcha o'rnatilgan vositalar (xavfsizlik devorlari, hujumlarni aniqlash tizimlari, autentifikatsiya tizimlari va boshqalar).

Jismoniy xavfsizlik

Tarmoq uskunalariga, shu jumladan kalitlarga ruxsatsiz kirishni taqiqlash va iloji bo'lsa, barcha abonent bo'lmagan uskunalarni maxsus jihozlangan server xonalariga joylashtirish maqsadga muvofiqdir. Bu buzg'unchi kompyuterning ruxsatsiz ulanishiga yo'l qo'ymaydi. Bundan tashqari, siz muntazam ravishda to'g'ridan-to'g'ri tarmoq kabeliga "kesilishi" mumkin bo'lgan tarmoqqa ulangan ruxsatsiz qurilmalarni tekshirishingiz kerak. Bunday qurilmalarni turli xil usullar bilan aniqlash mumkin, masalan, tarmoqdagi "begona" qurilmalarning mavjudligini masofadan tan oladigan skanerlar (InternetScanner, Nessus) yordamida.

Kirish nazorati

VoIP infratuzilmani himoya qilishning yana bir oddiy usuli bu MAC manzillarini boshqarish. MAC-manzillari noma'lum bo'lgan IP-telefonlarga ovozli ma'lumotlarni olib o'tuvchi shlyuzlar va IP-tarmoqning boshqa elementlariga kirishlariga yo'l qo'ymang. Bu "o'zgalarning" IP-telefonlarini ruxsatsiz ulanishining oldini oladi, bu sizning suhbatlaringizni tinglashi yoki sizning hisobingizdan telefon aloqalarini o'rnatishi mumkin. Albatta, MAC-manzilni soxtalashtirish mumkin, ammo baribir siz zamonaviy himoya vositalarining ko'pchiligida va hublarda osonlikcha amalga oshiriladigan bunday oddiy himoya chorasini e'tiborsiz qoldirmasligingiz kerak. Tugunlar (asosan shlyuzlar, dispetcherlar va monitorlar) ularga ruxsatsiz kirishning barcha urinishlarini to'sib qo'yadigan tarzda tuzilgan bo'lishi kerak. Buning uchun operatsion tizimlarga o'rnatilgan ikkala imkoniyatdan ham foydalanishingiz mumkin, va uchinchi tomon mahsulotlari. Va biz Rossiyada ishlayotganimiz sababli, Rossiya Davlat Texnik Komissiyasi tomonidan tasdiqlangan mablag'lardan foydalanishimiz kerak, ayniqsa bunday mablag'lar juda ko'p.

VLAN

Shifrlash

Shifrlash nafaqat shlyuzlar o'rtasida, balki IP-telefon va shlyuz o'rtasida ham qo'llanilishi kerak. Bu ovozli ma'lumotlarning bir uchidan ikkinchi uchiga o'tadigan butun yo'lini himoya qiladi. Maxfiylik nafaqat H.323 standartining ajralmas qismi, balki ba'zi ishlab chiqaruvchilarning uskunalarida ham qo'llaniladi. Biroq, bu mexanizm deyarli hech qachon ishlatilmaydi. Nima uchun? Ma'lumotlarni uzatish sifati eng ustuvor vazifa ekanligi va ovozli ma'lumotlar oqimini uzluksiz shifrlash / parolini hal qilish vaqtni talab qiladi va trafikni uzatish va qabul qilish jarayonida ko'pincha qabul qilinishi mumkin bo'lmagan kechikishlarni keltirib chiqaradi (200-250 ms kechikish sifatini sezilarli darajada pasaytirishi mumkin) muzokaralar). Bundan tashqari, yuqorida aytib o'tilganidek, bitta standartning etishmasligi barcha ishlab chiqaruvchilarga bitta shifrlash algoritmini qabul qilishga imkon bermaydi. Biroq, adolat uchun aytish kerakki, hozirgacha ovozli trafikni ushlab qolishdagi qiyinchiliklar uning shifrlanishiga ko'z yumishga imkon beradi. Shifrlashdan butunlay voz kechmasligingiz kerak - muzokaralaringizni ta'minlashingiz kerak. Bundan tashqari, siz faqat VoIP paketlaridagi ma'lum maydonlar uchun tanlangan shifrlashdan foydalanishingiz mumkin.

Xavfsizlik devori

Korporativ tarmoq odatda VoIP infratuzilmasi uchun muvaffaqiyatli ishlatilishi mumkin bo'lgan xavfsizlik devorlari (ITU) bilan himoyalangan. Sizga faqat tarmoq topologiyasiga, o'rnatilgan IP telefoniya komponentlarining joylashishiga va boshqalarga asoslangan bir qator qoidalarni qo'shishingiz kerak.Ip telefoniya komponentlarini himoya qilish uchun ikkita turdagi xavfsizlik devorlaridan foydalanish mumkin. Birinchisi, korporativ, korporativ tarmoqdan chiqishda joylashtirilgan va barcha resurslarini birdan himoya qiladi. Ikkinchi tur - bu faqat bitta aniq tugunni himoya qiladigan shaxsiy ITU, bu erda abonent stantsiyasi, shlyuz yoki Protector dispetcheri turishi mumkin. Bundan tashqari, ba'zi operatsion tizimlarda (Linux yoki Windows 2000) VoIP infratuzilmasi xavfsizligini oshirish uchun ishlatilishi mumkin bo'lgan shaxsiy xavfsizlik devorlari mavjud. Amaldagi IP telefoniya standartiga qarab, xavfsizlik devorlaridan foydalanish turli xil muammolarga olib kelishi mumkin. Abonent stantsiyalari SIP protokoli yordamida ulanish parametrlari to'g'risida ma'lumot almashgandan so'ng, barcha o'zaro ta'sirlar 1023 dan katta raqamlarga ega dinamik ravishda ajratilgan portlar orqali amalga oshiriladi. Bunday holda XEI qaysi port uchun ishlatilishini oldindan "bilmaydi". ovozli ma'lumotlar almashinuvi va bunday almashinuvni blokirovka qiladi. Shuning uchun, xavfsizlik devori aloqa uchun ishlatiladigan portlarni aniqlash va uning qoidalarini dinamik ravishda yaratish yoki o'zgartirish uchun SIP paketlarini tahlil qilishi kerak. Shunga o'xshash talab boshqa IP telefoniya protokollariga ham tegishli. Yana bir muammo shundaki, barcha ITUlar nafaqat IP telefoniya protokoli sarlavhasini, balki uning ma'lumotlar bazasini ham malakali ravishda qayta ishlashga qodir emas, chunki ko'pincha muhim ma'lumotlar, masalan, SIP protokolidagi abonent manzillari haqidagi ma'lumotlar ma'lumotlar tanasida joylashgan. Xavfsizlik devorining "mohiyatini anglay olmasligi" xavfsizlik devori orqali ovozli ma'lumot almashish yoki undagi juda katta teshikni "ochish" mumkin emasligiga olib kelishi mumkin, bu esa tajovuzkorlar tomonidan ishlatilishi mumkin.

Autentifikatsiya

Turli xil IP-telefonlar autentifikatsiya qilish mexanizmlarini qo'llab-quvvatlaydi, bu uning imkoniyatlaridan faqat parol yoki shaxsiy PIN-kod taqdim etilgandan va tekshirilgandan so'ng foydalanuvchiga IP-telefonga kirishga imkon beradi. Ammo shuni ta'kidlash kerakki, ushbu echim har doim ham oxirgi foydalanuvchi uchun qulay emas, ayniqsa IP-telefondan kundalik foydalanish sharoitida. Xavfsizlik va qulaylik o'rtasida odatiy qarama-qarshilik paydo bo'ladi.

RFC 1918 va manzil tarjimasi

VoIP uchun Internetda mavjud bo'lgan IP-manzillardan foydalanish tavsiya etilmaydi, chunki bu infratuzilma xavfsizligining umumiy darajasini sezilarli darajada pasaytiradi. Shuning uchun, iloji bo'lsa, RFC 1918 (10.xxx, 192.168.xx va boshqalar) da ko'rsatilgan va Internetda yo'naltirilmaydigan manzillardan foydalaning. Agar buning iloji bo'lmasa, siz o'zingizning korporativ tarmog'ingizni himoya qiladigan xavfsizlik devoridagi networkaddresstranslation (NAT) mexanizmidan foydalanishingiz kerak.

Kirishni aniqlash tizimlari

Yuqorida biz VoIP infratuzilmasining ishlashini buzishi mumkin bo'lgan ba'zi hujumlarni muhokama qildik. Ulardan himoya qilish uchun siz Rossiyada yaxshi isbotlangan va taniqli kirib borishni aniqlash tizimlaridan (intrusiondetectsystem) foydalanishingiz mumkin, ular nafaqat hujumlarni o'z vaqtida aniqlabgina qolmay, balki ularni to'sib qo'yishadi, ularning korporativ tarmoq resurslariga zarar etkazishlariga yo'l qo'ymaydi. Bunday vositalar butun tarmoq segmentlarini (masalan, RealSecureNetworkSensor yoki Snort) va alohida tugunlarni (CiscoSecure IDS HostSensor yoki RealSecureServerSensor) himoya qilishi mumkin. Mavzuning ko'p qirraliligi va kengligi IP-telefoniyaning axborot xavfsizligini batafsil ko'rib chiqishga imkon bermaydi. Shunga qaramay, men ta'kidlab o'tgan jihatlar shuni ko'rsatadiki, VoIP bir qarashda ko'rinadigan darajada yopiq va tushunarsiz maydon emas. Bunga odatdagi telefoniya va IP tarmoqlaridan ma'lum bo'lgan hujum usullari qo'llanilishi mumkin. Va ularni amalga oshirishning nisbatan osonligi IP-telefoniya xizmatining sifatini ta'minlash bilan birga xavfsizlikni birinchi o'ringa qo'yadi.
5.2 Buzg'unchilarga qarshi xavfsizlik tizimi (Tsenzuraga asoslangan)
"Passiv" FTTH shkaflarini himoya qilish (PON)

PON texnologiyasiga ega keng polosali tarmoqlarning asosiy xususiyati shundaki, markaziy tugun va uzoqdagi abonent tugunlari o'rtasida daraxt topologiyasiga ega bo'lgan butunlay passiv optik tarmoq yaratiladi. Passiv optik splitterlar (splitterlar) kuch va texnik xizmat ko'rsatishni talab qilmaydigan daraxtning oraliq tugunlarida joylashgan. Splitters, qoida tariqasida, vandalga qarshi shkaflarga joylashtirilgan, ular o'g'rilik va foyda olish mavzusi sifatida tajovuzkorlarni qiziqtirmaydi. Biroq, ko'p qavatli uylarning kirish joylariga o'rnatilayotganda, ular ko'pincha "ishonchsiz kontingent" tomonidan aniq maqsadsiz sodir etilgan buzg'unchilik harakatlariga duch kelishadi. Shuningdek, operatorning vijdonsiz raqobatchilari tomonidan bunday mulkka ataylab zarar etkazish aktlari mavjud. Binobarin, "passiv" shkaflarning xavfsizligi va himoyasini ta'minlash masalasi ham dolzarb emas,

Shu bilan birga, FTTH shkafi na elektr ta'minotiga ega, na uskunani markaz bilan aloqa qilish uchun jismoniy Ethernet portiga ega - shuning uchun u "passiv". Elektr ta'minoti kabel yotqizish, uzluksiz quvvat manbai, elektr hisoblagich va boshqalarni o'rnatish bilan bog'liq. Ethernet portini asosan obunachilardan daromad olish uchun ishlab chiqarilgan optik tugatishdan qurish iqtisodiy jihatdan juda samarasiz. Bunday tashkiliy va texnik tadbirlarning barchasi bilan xavfsizlik tizimida vandalga qarshi alohida kabinet talab etilishi, bu esa barcha himoyalangan shkaflardan qimmatga tushishi mumkinligi haqida gapirmasa ham bo'ladi. Shuning uchun har bir shkafga elektr ta'minoti va aloqa kanalini talab qiladigan mustaqil kuzatuv moslamasini o'rnatish bilan himoya qilish printsipi bu erda mos emas. Ha, bu tavsiya etilmaydi, Axir, bunday shkafda nazorat qilish uchun maxsus narsa yo'q - faqat otopsi. Shunday qilib, muammoning echimi yo'qmi? Ma'lum bo'lishicha, echim bor va juda muvaffaqiyatli! Bundan tashqari, "Svyazinvest" OAJ operatorlari va o'zlarining an'anaviy statsionar tarmoqlariga ega bo'lgan alternativ operatorlar uchun bu juda oqlangan ko'rinadi! Va uni xaridorlarning o'zi - CENSOR agrosanoat majmuasi foydalanuvchilari taklif qilishdi.

Bugungi kunda ishlab chiqarilgan va xaridorlarga etkazib berilayotgan mavjud uskunalar yordamida APK CENSOR yordamida FTTH (PON) shkaflarini himoya qilishni amalga oshirish mumkin - bu SOKOL noyob quduqni himoya qilish tizimi asosida o'zining dizayni va ishlab chiqarish bo'yicha YoAJ Ilmiy va Kompyuter texnologiyalari ishlab chiqarish markazi.

Eslatib o'tamiz, SOKOL - bu datchiklarni kuzatishning manzil-parallel usuli asosida kabel kanallarini himoya qilish bo'yicha professional rus echimi. Tizim "Uralsvyazinform" Perm TUEES PFE OAJning haqiqiy ob'ektlarida yillik sinov tsiklidan muvaffaqiyatli o'tdi. SOKOL tizimining o'ziga xosligi shundaki, u har qanday sonli tarmoq (parallel ulanish) va har qanday topologiya (yulduz, daraxt, halqa, aralash, chiziqli) bilan 20 km uzunlikdagi bitta ikkita simli chiziqdagi 60 ta buzg'ich datchiklarini manzilli boshqarish imkonini beradi. Tizim analoglar bilan ishlash paytida tasdiqlangan eng yuqori ishonchliligi, o'rnatish va texnik xizmat ko'rsatishning qulayligi, tanaffuslar va qisqa tutashuvlardan himoya mavjudligi hamda samaradorligi bilan yaxshi taqqoslanadi.

Uskuna tizimi moslamali qurilmalardan iborat (qoida tariqasida, bu kabellar va aloqa quduqlarini himoya qilish uchun bloklar BOX (Moskva halqa yo'lining manzil sensorlari uchun o'rnatilgan boshqaruv modullari bilan)) avtomat telefon stantsiyasida joylashgan. bo'limi va atrofga o'rnatilgan, masalan, quduqlarda joylashtirilgan intruziya sensorlari (DAK). Shuningdek, tsikllarni qisqa tutashuvdan himoya qilishni ta'minlaydigan izolyatsiya bloklari (BI) mavjud. DAKni buzish sensorlari faol, ya'ni. o'rnatilgan mikroprotsessorga va ma'lum bir ishlash algoritmiga ega, shuningdek tsiklga ulanish nuqtai nazaridan qutbsiz. Bundan tashqari, ulanganda, manzil ularga avtomatik ravishda belgilanadi - siz hech narsa dasturlashingiz shart emas. Adresli sensorlar bir-biridan mustaqil ravishda ishlaydi, ya'ni. biri ishga tushirilganda, qolganlari qurollanib qolaveradi. Bundan tashqari, SOKOL quyi tizimida yulduzlar topologiyasini tashkil qilish imkoniyati tufayli tsiklni buzilishdan himoya qilish mumkin: bitta joyda sinish bo'lsa, barcha sensorlar himoyalangan bo'lib qoladi, agar ikki yoki undan ortiq joylarda singan bo'lsa, faqat uzilgan segment ishlaydi. nazoratdan chiqib ketish. Ixtiyoriy BI izolyatsiya bloklaridan foydalanib, pastadirni qisqa tutashuvdan himoya qilish mumkin: qisqa tutashuv bo'lsa, tizim avtomatik ravishda tsiklning shikastlangan qismini uzib qo'yadi va boshqa barcha sensorlar nazorat qilinadi.

Shunday qilib, "SOKOL" shunchaki shkaf kabi kichik va guruhlangan narsalarni himoya qilishning ideal vositasidir. Agar siz bu masalani chuqurroq o'rgansangiz, u zamonaviy texnologiyalar va mantiq nuqtai nazaridan mumkin bo'lgan yagona narsadir.

Darhaqiqat, kabel yo'nalishidagi quduqlarni turar-joy binolarining kirish qismidagi "passiv" shkaflarning muhofazasidan himoya qilish o'rtasidagi farq nimada? Umuman olganda, hech narsa, faqat kirish joyidagi shkaflarni qo'riqlash KKSni qo'riqlashdan ko'ra osonroq bo'lishi mumkin bo'lgan yagona shart bilan. Binobarin, bu ham arzon. Bu simni kamroq sarflanishi va muhrga ehtiyoj yo'qligi va tizimni o'rnatish va sozlash qulayligi bilan bog'liq.

Bitta savol - datchiklarni bir necha kilometr uzoqlikda joylashgan ATSga o'rnatilgan boshqaruv bloki bilan turar-joy binosi ichidagi umumiy tsiklga kiritilgan bo'lsa ham qanday bog'lash kerak? Svyazinvest operatorlari va an'anaviy tarmoqlarga ega bo'lgan boshqa operatorlar nima uchun bunday echimni eng maqbul deb topishlari ayon bo'ladi. Bunday operatorlar, qoida tariqasida, ulangan simli aloqa abonent liniyalarining o'rnatilgan quvvatiga ega - mis stantsiyadan tarqatish shkaflari va qutilar orqali to'g'ridan-to'g'ri abonentlarning kvartiralariga. Ushbu juftliklar orasida, aksariyat hollarda, ilgari bepul juftlarni topish mumkin edi va so'nggi yillarda, abonentlarning doimiy aloqa turlaridan boshqa turlariga o'tish paytida bu resurs yanada erkinlashdi. Bir so'z bilan aytganda, avtomatik telefon stantsiyalaridan turar-joy binolariga abonent kabellarida bepul mis juftlarini ajratishda deyarli hech qanday muammo yo'q. Aynan shu juftlik turar-joy binosidagi shkaflarni himoya qilish uchun ko'chadan tashkil qilish uchun ishlatilishi mumkin. Ushbu juftlikni to'g'ridan-to'g'ri signal signaliga KRTP kalit qutisiga yuborish kifoya, va stantsiyada krossdan uni boshqaruv blokiga ulang va shu bilan tizim tayyor!

Ma'lum bo'lishicha, PON shkaflaridagi buzilish uchun faol xavfsizlik uskunalari o'rniga SOKOL quyi tizimining manzilli DAK datchiklaridan foydalaniladi, ular ikkita simli tsikl orqali ishlaydi. Loop datchiklardan signallarni uzatish va shu bilan birga ularni kuchaytirish uchun ishlatiladi. Datchiklarni muhrlash talab qilinmaydi, birlashtirilgan sim uchlarini elektr izolyatsiyasi etarli. Datchiklarning o'zi shunday o'rnatiladiki, ular o'rnatish va ulanish bosqichida hech qanday murakkab operatsiyalarni talab qilmaydi. Bino ichidagi tsikl bir juft mis sim bilan yotqizilgan, masalan, KSPV 2x0.5 yoki PRPPM 2x0.9, yoki hatto oddiy telefon noodle. Simlarni binoning ichki kommunikatsiyalari bo'ylab qulay joylarda (konlarda, ko'targichlarda, kabel kanallarida, osma shiftlarda va boshqalarda), shuningdek tashqarida yotqizish mumkin. Bu chiqarib tashlanmagan buning uchun faqat "makaron" eng qulay sim bo'ladi. Nima edi? Tel kuchli, oddiy tirnoqlarga mixlangan, mos xususiyatlarga va kesimga ega, eng muhimi - minimal narx. Va operatorlarda bunday sim deyarli har doim mavjud.

KRTP-ning kalit qutisida tsikl ajratilgan juftlikka ulanadi va bu, o'z navbatida, ATS-ga o'rnatilgan BOX uskunasiga ulanadi.

BOX blokining SOKOL quyi tizimining funktsiyalarini amalga oshirish imkoniyatlari har qanday shoxlari va har xil topologiyalari (halqa, yulduz, daraxt, chiziqli, aralash) bilan 20 km uzunlikdagi bitta ikkita simli tsiklda 60 ta manzilli sensorni kuzatishga imkon beradi. Bir blokda BOX konfiguratsiyasiga qarab 1 dan 4 tagacha bunday ko'chadan bo'lishi mumkin. O'sha. bitta qurilmada 60, 120, 180, 240 gacha manzilli boshqarish punktlari. Qurilma ma'lumotlarni uzatish funktsiyalari bo'yicha ham to'laqonli hisoblanadi, chunki BOX bortida TCP / IP protokoli o'rnatilgan standart Ethernet porti mavjud bo'lib, u serverga va ish joylariga ma'lumotlarni uzatish uchun operatorning multiservis tarmog'iga kiritilishi mumkin.

Biz avtomat telefon stantsiyasidan shkafga qadar 20 km masofada bitta ikkita simli tsikl ustida ishlaydigan manzilga parallel bo'lgan PON shkafi himoya tizimini olamiz, u qisqa tutashuv va uzilishlardan himoya qiladi. Bundan tashqari, tizim operatorlar tomonidan etkazib beruvchilar tomonidan qo'yiladigan eng qat'iy zamonaviy mezonlarga va talablarga javob beradi:

- yechim juda samarali: himoya qilishdan voz kechish va "gugurtda" tejash o'rniga (tez-tez uchraydigan pozitsiyadan "avval ko'rib chiqamiz, agar buzg'unchilik bo'lsa, biz himoya qilamiz"), endi bu osonroq Dastlab shkaflarni mos keladigan datchiklar bilan to'ldirishni, standart signalizatsiya bilan tayyor echimni qabul qilishni va keyinchalik o'z mutaxassislarining ishlashi paytida nostandart himoya vositalarini o'rnatish uchun operator o'z ichiga olishi yanada foydali uskunalar.

- echimni o'rnatish oson va texnik xizmat ko'rsatishda oddiy: maksimal texnologik operatsiyalar datchiklar va shkaflarni ishlab chiqarish bosqichida amalga oshiriladi va foydalanuvchi tugatilgan tizimni eng sodda asbob va materiallar yordamida, masalan, radio dizayner va kelajakda uni saqlab qolish shunchalik oson.

- echim arzon: xavfsizlik tizimi va datchiklarning mavjudligi shkafning narxiga sezilarli ta'sir ko'rsatmaydi, operatorlar va ishlab chiqaruvchilar keng polosali ulanish bozoridagi yuqori raqobat tufayli minimal darajaga tushirishga harakat qilmoqdalar. aloqa operatorining mavjud resurslaridan maksimal darajada foydalaniladi - "ikkinchi umr" oladigan mis simlar, bu qo'shimcha xarajatlarni bartaraf etadi.

Uskunaning narxi to'g'ridan-to'g'ri rasmda ko'rsatilgan va agar biz o'rtacha ko'rsatkichlarni olsak, unda bitta qo'riqlanadigan PON shkafi uchun tizim narxi 1000 rublni tashkil etadi, bu himoya qilishning eng oddiy echimidan ikki-uch baravar tejamli. faol FTTB shkaflari. Va bundan xursand bo'lish mumkin emas, chunki PON tarmoqlarini qurishda barcha komponentlarning arzonligi keng polosali ulanish xizmatlarining raqobatbardoshligi va operatorning bozorda muvaffaqiyat qozonishining asosiy iqtisodiy omili hisoblanadi.

FTTx keng polosali kirish tarmoqlarida mis abonent kabellarini himoya qilishning noyob texnologiyasi

Keng polosali kirish tarmoqlarini (BBA) qurishda FTTx texnologiyasi keng tarqalgan bo'lib, turar-joy binolari kirish qismidagi mis kabellarni o'g'irlash ham keng tarqalgan. Mis kabellarining katta kesilishi tiklangan qayta tiklash ishlari, tarmoqning ishlashay qolishi, ta'minlanmagan trafik bilan bog'liq moddiy zararni, balki operator obro'si, imidji va obro'siga ham zarar etkazish.

Aloqa tarmoqlarini kuzatish va xavfsizligini ta'minlash bo'yicha ixtisoslashgan tizimlarning birinchi rus ishlab chiqaruvchisi bo'lgan ZAO NPTs Computer Technologies har doim kabel inshootlari va LCSni muhofaza qilish uskunalari ishlab chiqaruvchilarining oldingi qatorida bo'lgan. Biz ishlab chiqaradigan AIC "CENSOR" tarkibida bepul va band bo'lgan abonent juftliklari uchun uzilish nuqtasini aniqlagan holda magistral va tarqatish kabellarini himoya qilish bo'yicha texnologiyalarni taklif qildik va patentladik - bu aloqalarni kompleks boshqarish va himoya qilish bo'yicha birinchi professional rus echimi. kabellar va LKS.

Mijozlarimiz - telekom operatorlari va keng polosali ulanish xizmatlarining manfaatlari haqida qayg'urish va bizning sohamizda kashshof maqomini tasdiqlash, biz FTTx keng polosali ulanish tarmoqlarida tarqatuvchi abonent kabellarini boshqarish uchun innovatsion va noyob CRAB texnologiyasini ishlab chiqdik.

FTTx keng polosali kirish tarmoqlarining xususiyati - turar-joy binolari va ofis binolari ichida yoki yonida o'rnatilgan uskunalar shkaflarining mavjudligi. Operator tomonidan optik tolali kabel shkafga kiradi va mis kabellar shkafdan abonentlarga o'tadi. Ko'pincha bitta shkaf butun uy uchun yoki bir nechta kirish joylari uchun o'rnatiladi, shuning uchun kirish va qavatlararo ulanishlar yuqori quvvatli ko'p juftlik kabeli bilan yotqizilgan bo'lib, ular to'rt juft o'ralgan juft chekilgan kabellarga taqsimlanadi ( UTP kat. 5e 4x2x0.53 yoki shunga o'xshash).

ZAO NPTs Computer Technologies-ning yangi rivojlanishi 100 Mbit / s yoki 1 Gbit / s gacha bo'lgan abonent kirish tezligi bo'lgan FTTx keng polosali kirish tarmoqlarida "o'ralgan juftlik" turidagi mis taqsimlovchi abonent kabellarini himoya qilishga qaratilgan.

"CRAB" kichik tizimni boshqarishdan iborat (rasmda yashil rangda bo'lishi mumkin): FTTx shkafiga qilingan maxsus patch panel, quvvat manbai ishlab chiqarilgan va abonentga mos mos modul''l'ot mazig APC Bunday holda, bu faqat keng polosali kirish shkaflarini kuzatish va himoya qilish uchun foydalanish USI-8F "LIGHTHOUSE".

Shunday qilib, "CRAB" quyi tizimi USI-8F sotib olishni amalga oshirayotgan yangi mijozlar uchun ham, boshqaruv tizimlaridan ham o'z tarmoqlarida foydalanadigan barcha mijozlar uchun ham javob berishadi. Umuman olganda, CRAB texnologiyasini bizning qatorimizdagi barcha binolarni qurish-quvvatlaydi.

Abonent kabellarini himoya qilish uchun USI-8F kerakli umumiy miqdordagi bepul kirish joylariga ega bo'lishi kerak (himoyalangan kabellar soniga ko'ra). Har bir ASIda ulardan 8tadan bor, shuning uchun hatto eshik qamish tugmachasi va harorat sensori ulangan bo'lsa ham, aloqa liniyalarini himoya qilish uchun ishlatilishi mumkin bo'lgan 6 ta kirish mavjud. Shu bilan birga, har bir abonent liniyasini himoya qilishning hojati yo'qligini anglash kerak, lekin har bir ko'p juftlikdagi o'zaro bog'lanish kabelida kamida bitta shunday liniyani himoya qilish kerak, bu ko'pincha o'g'irlik mavzusiga aylanadi. Keyinchalik, taxminiy hisob-kitoblarga ko'ra, biz bitta USI-8F moslamasi bilan turar-joy binosining 6-8 kirish qismida kabellarni himoya qilish uchun echim topamiz, bu ham iqtisodiy, ham ish haqi jihatidan juda tejamli.

ASI yozuvlari jihoz bilan ta'minlangan sxemaga muvofiq yamoq paneliga ulangan. Himoyalangan simi ham xuddi shu yamoq paneliga ulangan. Texnologiyaning o'ziga xosligi shundaki, u himoya qilish uchun band bo'lgan abonent liniyasi bo'lib, aloqa liniyalarini tejashga imkon beradi.

Abonent va uning jihozlari bunday aloqani hech qanday tarzda sezmaydi. Chiziq ma'lumotlarni uzatish jarayoniga aralashmasdan va faqat jismoniy darajada kuzatiladi va kuzatuv uskunalari oxiridan oxirigacha trafik uchun to'liq "shaffof". Shu maqsadda, ZAO NPTs Computer Technologies-da maxsus ishlab chiqilgan, ulanish sxemasi va mos keladigan modulga birlashtirilgan noyob ulanish sxemasidan foydalaniladi.

Oddiy elektr manbai shaklida tayyorlangan CRAB mos keladigan modul kabelning himoyalangan uchi qismida to'g'ridan-to'g'ri abonentning kvartirasida yoki ofisida o'rnatiladi. Bunga abonent uskunasidan tarmoq kabeli ulangan. Shu bilan birga, "CRAB" "rivojlangan" ulanish sxemasi, hatto abonent uskunalari tarmoqdan uzilib qolganda ham kabelni himoya qilishga imkon beradi, ya'ni. masofaviy port ulanmagan.

Agar simi yamoq panelidan mos keladigan modulgacha bo'lgan qismda uzilib qolsa, ASI tizimga tegishli signal beradi va bu signal zudlik bilan dispetcherga uzatiladi.

Shunday qilib, operator turar-joy binolari kirish qismidagi aloqa kabellarini ommaviy ravishda o'g'irlanishini oldini olish va shu bilan bog'liq yo'qotishlarni oldini olish bo'yicha samarali va byudjet echimiga ega.

FTTx loyihalarini amalga oshirishning ko'rsatkichi ularning rentabelligi va iqtisodiy samaradorligi qanchalik muhimligini aytishga hojat yo'q. Kabel kesilsa, bu ko'rsatkichlar xavf ostida qolishi mumkin, bu esa uni qayta tiklash uchun operatordan qo'shimcha xarajatlarni talab qiladi. Endi ushbu xavflarni bartaraf etish va keng polosali ulanish tarmoqlarini qurish loyihalarining rentabelligini oshirish uchun haqiqiy vosita mavjud - bu CENSOR apparat-dasturiy kompleksining CRAB quyi tizimi.

USI-4x4 yangi qurilmasi:

FTTV telekommunikatsion shkaflari (binoga optik) asosida keng polosali ulanish tarmoqlarini qurish operator uchun yangi imkoniyatlar va abonent uchun yangi xizmatlarni ochib beradi. Shu bilan birga, operator murakkab va qimmat tarmoq iqtisodiyotiga ega bo'lib, uning barqarorligi va rentabelligi nazorat qilish va boshqarish sifatiga va tashqi tahdidlardan himoya qilishning ishonchliligiga bog'liq.

Keng polosali kirish tarmoqlarida ommaviy monitoring va nazorat qilish uchun hayotni qo'llab-quvvatlash parametrlarini boshqarish va boshqarish va resurslarni hisobga olish funktsiyalari bilan chekilgan tarmoq orqali faol FTTB keng polosali kirish shkaflarini himoya qilishni, ochiq SNMP protokolini qo'llab-quvvatlashni ta'minlaydigan sodda va ishonchli echim talab qilinadi. va xususiy dasturiy ta'minot. U etakchi mavjud echimlarning afzalliklariga ega bo'lishi va eng yaqin rus hamkasblari narxining kamida yarmi bo'lishi kerak.

SPC Computer Technologies YoAJ bu vazifani muvaffaqiyatli uddaladi va foydalanuvchilarning e'tiboriga supernova - faol FTTB shkaflarini kuzatish uchun USI-4x4 ma'lumotlarini yig'ish uchun tejamkor qurilmani taqdim etadi!

CENSOR apparat-dasturiy kompleksi tarkibiga kiruvchi yangi USI-4x4 kuzatuv moslamasi faol uskunalar bilan keng polosali ulanish shkaflaridagi (FTTB) resurslarni kompleks texnologik boshqarish va himoya qilish, boshqarish va hisobga olish uchun mo'ljallangan.

"Yo'lsiz" formulasi "4x4" yangi USI-4x4 ning asosiy xususiyatini tavsiflaydi: qurilmada foydalanuvchi tomonidan mavjud vazifalar uchun sozlanishi to'rtta umumiy maqsadli kirish / chiqish portlari mavjud. Har bir port "Kirish" rejimida ishlashi mumkin - har qanday sensorni boshqarish yoki "Chiqish" rejimida - tashqi uskunani boshqarish. Shunday qilib, USI-4x4 har qanday foydalanuvchilarning Internet-shkaflarini kuzatish va himoya qilish bo'yicha har qanday vazifalar va talablarga javob beradi - haqiqiy "er usti transport vositasi"!

Kichik tizim optik keng polosali ulanish tarmoqlarining faol shkaflarini kuzatish va himoya qilish uchun mo'ljallangan. MAYAK-FTTx boshqa ishlab chiqaruvchilarni ham o'z ichiga olgan mavjud aloqa operatorlarining monitoring tizimlari bilan mosligini ta'minlaydi.

5.3 SIP telefoniyasiga ruxsatsiz kirishdan boshqarish tizimi

SIP telefoni - zamonaviy telefoniya uchun zamonaviy alternativ.

SIP-telefoniyaning asosiy afzalligi belgilab qo'yilgan shahar raqamiga ega telefonlarni rivojlantirish va shaharlararo va xalqaro qo'ng'iroqlarda katta miqdordagi mablag'ni tejash bilan shug'ullanmoqda.

Internetga 64 Kb / s va undan yuqori tezlikda ulangan har qanday abonent SIP telefoniya xizmatlariga ulanishi mumkin. Buning uchun kompyuteringizga, noutbukga yoki PDA-ga standart softfonlardan birini o'rnatish yoki an'anaviy telefonlarga juda o'xshash, shuningdek qulay va foydalanishda qulay bo'lgan IP-shlyuzni yoki IP-shlyuzni sotib olish kifoya. (oddiy telefon, faks yoki ATS bilan integratsiyani ulash uchun).

Ulanish odamning joylashgan joyidan mustaqil bo'lib, uni elektron pochta xabarlarini qabul qilish jarayoni bilan taqqoslash mumkin.optik kirish tolali kabel

SIP protokoli telefon suhbatlarini telefon tinglash va ruxsatsiz kirishdan yuqori darajada himoya qiladi.

IP-telefoniya standartlari va ularning xavfsizlik mexanizmlari

Ushbu sohada yagona qabul qilingan standartlarning yo'qligi IP-telefoniya qurilmalarini himoya qilish bo'yicha universal tavsiyalar ishlab chiqishga imkon bermaydi. Har bir ishchi guruh yoki ishlab chiqaruvchi xavfsizlik choralari to'g'risida qaror qabul qilishdan oldin ularni diqqat bilan sinchkovlik bilan o'rganib chiqib, shlyuzlar va dispetcherlarni xavfsizligini ta'minlash vazifasini o'z zimmasiga oladi.

SIP xavfsizligi

HTTP-ga o'xshash va abonent stantsiyalari tomonidan ulanishni o'rnatish uchun foydalaniladigan ushbu protokol (telefon aloqasi emas, balki, masalan, o'yinlar uchun ham) jiddiy xavfsizlikka ega emas va uchinchi tomon echimlaridan foydalanishga qaratilgan (masalan, , PGP). RFC 2543 autentifikatsiya mexanizmi sifatida bir nechta variantlarni taklif qiladi, xususan asosiy autentifikatsiya (HTTP kabi) va PGP-ga asoslangan autentifikatsiya. Ushbu protokol xavfsizligini kuchaytirish maqsadida CiscoSystems kompaniyasidan Maykl Tomas SIP protokoliga tashqi va ichki tahdidlarni va ulardan qanday himoya qilishni tavsiflovchi "SIP xavfsizlik ramkasi" deb nomlangan IETF standarti loyihasini ishlab chiqdi. Ushbu usullarga TLS yoki IPSec yordamida transport qatlami xavfsizligi kiradi.

Xulosa
Xulosa: Ushbu kurs loyihasida biz FTTB / FTTH texnologiyasidan foydalangan holda optik tolali aloqa liniyalari qurilishini amalga oshirdik.

Download 1,6 Mb.

Do'stlaringiz bilan baham: