Preview

Моделирование и анализ информационных систем

Расширенный поиск
Том 26, № 1 (2019)
Скачать выпуск PDF

Editorials

 
5-6 88
Аннотация

Этот номер журнала “Моделирование и анализ информационных систем” содержит расширенные версии избранных докладов, представленных на 2-й Международной научно-технической конференции «Modern Network Technologies 2018» (MoNeTec-2018), которая проходила 25-26 октября 2018 года в Москве, в Сколковском институте науки и технологии (Сколтех). В ней приняли участие представители международного научного сообщества, исследовательских подразделений и корпораций, стартапов, промышленности и бизнеса России, институтов развития и органов государственной власти в сфере компьютерных сетей, виртуализации сетевых ресурсов и облачных вычислений.
Организаторами и спонсорами научного ИТ-форума выступили Сколтех, МГУ им. М.В. Ломоносова, Центр прикладных исследований компьютерных сетей, университет Иннополис, ФГАУ ГНИИ ИТТ «Информика», АО "Концерн "Автоматика", Объединенный институт ядерных исследований, Институт инженеров электротехники и электроники IEEE и другие.
Конференция была нацелена на совместное обсуждение актуальных вопросов исследования, разработки и внедрения современных телекоммуникационных технологий, основанных на технологии построения современных компьютерных сетей и информационных инфраструктур SDN и NFV. Программно-конфигурируемая сеть – SDN (Software Defined Networking) — сеть передачи данных, в которой уровень управления сетью отделён от устройств передачи данных и реализуется программно. Ключевые принципы программно-конфигурируемых сетей — разделение процессов передачи и управления данными, централизация управления сетью при помощи унифицированных программных средств, виртуализация физических сетевых ресурсов.
Тематика конференции отражала следующие направления:
- построение современных компьютерных сетей;
- виртуализация сервисов в SDN сетях;
- применение современных сетевых технологий;
- организация облачных вычислений;
- применение облачных технологий.
В состав Программного комитета конференции вошли ведущие учёные и разработчики из более чем 10 стран мира. Руководство Программным комитетом осуществляли:
Р.Л. Смелянский, чл.-корр. РАН, профессор МГУ им. М.В. Ломоносова (председатель), А.П. Кулешов, академик РАН, Президент Сколковского института науки и технологий (сопредседатель).
В настоящее время в мире начато применение на практике ключевых технологий SDN и NFV построения современных компьютерных сетей и информационных инфраструктур в целом, но остаётся ещё много проблем для исследования, разработки и внедрения. Вошедшие в данный номер журнала статьи в той или иной мере отражают эти проблемы.

Computer System Organization

7-22 305
Аннотация

Виртуализация сетевых функций (NFV) – перспективная технология предоставления качественного, гибкого и масштабируемого сервиса для клиентов телекоммуникационных компаний и операторов центров обработки данных. Одной из важных возможностей этой технологии является предоставление “сложного” (состоящего из нескольких виртуальных функций) сервиса. Есть два типа виртуальных функций: те, которые ориентированы на работу с конкретным пользователем (далее su-VF); и те, которые используют разные пользователи (далее mu-VF). Если выход mu-VF соединен с входами нескольких su-VF, то возникает необходимость в механизме идентификации и разделения трафика разных пользователей в NFV-инфраструктуре. В облачной среде идентификация пользователей традиционными способами через VLAN теги, IP и MAC-адреса не всегда возможна. В статье рассматривается описанная выше проблема идентификации трафика конкретного пользователя NFV-инфраструктуры, и представлено ее решение, реализованное на MANO-платформе С2.

23-38 290
Аннотация

В интегрированных модульных комплексах бортового оборудования (КБО) используются коммутируемые сети AFDX и FC-AE-ASM-RT, реализующие основанный на виртуальных каналах подход к передаче данных в реальном времени. Основным недостатком этих сетей являются ограниченные или отсутствующие возможности динамической реконфигурации виртуальных каналов, что приводит к невозможности динамического формирования режимов функционирования КБО, в частности при множественных отказах оборудования. Для снятия выявленных ограничений в данной работе предложен подход к использованию программно-конфигурируемых сетей (ПКС) для построения бортовых сетей реального времени. Предложенный подход основан на реализации в сети ПКС, поддерживающей протокол OpenFlow1.3, механизма виртуальных каналов, аналогичного используемому в сетях AFDX и FC-AE-ASM-RT. Подход реализован в виде функционального прототипа и экспериментально апробирован в виртуальной сетевой среде, основанной на программных ПКС-коммутаторах Ofsoftswitch13 и сетевом контроллере RUNOS. Эксперименты показали, что предложенная схема передачи данных позволяет передавать сообщения с соблюдением заданных ограничений на задержку и джиттер, а также не допускает превышения ограничения на пропускную способность виртуального канала. Эксперименты также подтвердили, что динамическая реконфигурация виртуальных каналов в ПКС не нарушает передачу данных по не изменяемым виртуальным каналам. Важным направлением дальнейших исследований является разработка алгоритмов динамического формирования новых маршрутов виртуальных каналов в процессе реконфигурации КБО. Конечной целью работ является создание на основе ПКС сетевой технологии, обеспечивающей как передачу данных в реальном времени, так и автоматическое переконфигурирование сети при смене режимов функционирования КБО, в том числе при парировании множественных отказов.

39-62 282
Аннотация

В работе предложена архитектура и основные требования к сетевому процессору для OpenFlow коммутаторов программно-конфигурируемых сетей (ПКС). Представлен анализ архитектур известных сетевых процессоров – NP-5 компании EZchip (в настоящее время Mellanox) и Tofino компании Barefoot Networks. Рассмотрены достоинства и недостатки двух разных вариантов архитектур сетевого процессора: на основе конвейеров, ячейки которых представлены набором процессорных ядер общего назначения, и на основе конвейеров, ячейкам которых соответствуют ядра, специализированные под конкретные операции обработки пакета. На основе выделенного набора наиболее общих сценариев обработки пакетов предложена новая архитектура сетевого процессорного устройства (СПУ) с функционально специализированными ячейками (стадиями) конвейера. В статье представлено описание имитационной модели СПУ предложенной архитектуры. Имитационная модель построена на языке C++ с использованием открытой библиотеки SystemC. Для проведения функционального тестирования полученной модели СПУ были реализованы описанные сценарии обработки пакетов на языке С. Для оценки производительности предложенной архитектуры СПУ в ходе исследования были использованы программные средства компании KM211, а также семейство микроконтроллеров KMX32. Оценка производительности СПУ проводилась на основе имитационной модели. Получены оценки времени обработки одного пакета и средняя пропускная способность модели СПУ для каждого сценария. Эти оценки показали, что полученная скорость СПУ позволяет их использование в коммутаторах уровня распределения (агрегации).

63-74 223
Аннотация

В настоящее время в области компьютерных сетей (КС) широкую популярность получают инновационные подходы, основанные на технологии программно-конфигурируемых сетей (ПКС). ПКС позволяют обеспечить гибкий подход в обработке и управлении потоков данных в КС за счет разделения плоскости управления и передачи данных, а также централизации представления всей сети. В данной работе предложен прототип программной инфраструктуры и визуальной веб-ориентированной среды (ПИВС) динамического управления потоками данных в ПКС на основе протокола OpenFlow. Предложено использовать ПИВС в качестве интегрированного сегмента кампусной сети Рязанского государственного радиотехнического университета. Целью работы является разработка архитектуры ПИВС в виде описания UML диаграмм классов, а также создание программных методов для организации эффективного сетевого взаимодействия различных программных систем в ПКС на основе протокола OpenFlow. Для подтверждения эффективности и надежности предложенной ПИВС разработан программно-аппаратный стенд на базе оборудования HP Aruba 2920-24G. Предлагаемая в работе ПИВС является основой для разработки большого класса программных систем и компонентов ПКС на основе протокола OpenFlow.

75-89 218
Аннотация

Межсетевой экран является основным классическим инструментом для контроля и управления сетевым трафиком в локальной сети. Его задача — сравнивать проходящий через него сетевой трафик с установленными правилами безопасности. Эти правила, которые часто также называют политикой безопасности, могут быть определены как до, так и во время работы межсетевого экрана. Управление политикой безопасности крупных корпоративных сетей является сложной задачей. Для того чтобы правильно ее реализовать, правила фильтрации межсетевого экрана должны быть написаны и организованы аккуратно и без ошибок. Кроме того, процесс изменения или вставки новых правил должен выполняться только после тщательного анализа отношений между изменяемыми или вставляемыми правилами, а также правилами, которые уже существуют в политике безопасности. В данной статье авторы рассматривают классификацию отношений, в которых могут находиться правила политики безопасности между собой, и дают определение возможных коллизий между ними. Авторы представляют также новый эффективный алгоритм обнаружения и устранения коллизий в правилах межсетевого экрана на примере контроллера ПКС Floodlight.

90-100 222
Аннотация

В рамках исследования рассмотрены существующие решения, направленные на обеспечение безопасности сетевого периметра мультиоблачной платформы. Установлено, что наиболее острой является проблема эффективного формирования правил на межсетевых экранах. Существующие подходы не позволяют оптимизировать список правил на узлах, контролирующих доступ к сети. Целью исследования является повышение эффективности средств межсетевого экрана путем бесконфликтной оптимизации правил безопасности и применения нейросетевого подхода в программно-определяемых сетях. Предлагаемое решение основано на совместном использовании интеллектуальных математических подходов и современных технологий виртуализации сетевых функций. В ходе экспериментальных исследований проведен сравнительный анализ традиционных средств формирования правил, нейросетевого подхода, а также генетического алгоритма. Для автоматического построения правил сетевой безопасности рекомендуется применять нейросетевой классификатор архитектуры «многослойный персептрон», поскольку он даёт лучшие результаты с точки зрения производительности, и уменьшать размерность списка правил безопасности межсетевого экрана при помощи сети Кохонена, поскольку это средство показывает лучшую производительность. В спроектированную архитектуру был внедрен алгоритм бесконфликтной оптимизации, который производит конечную оптимизацию путем ранжирования и выведения наиболее часто встречаемых исключений из больших запретительных правил, что позволяет увеличить защиту от атак, которые направлены на выявление правил безопасности, находящихся внизу списка межсетевого экрана. На базе предложенного решения в рамках исследования реализован модуль адаптивного межсетевого экрана.

101-121 223
Аннотация

В рамках исследования рассматривается проблема обеспечения отказоустойчивости распределенной платформы управления для программно-конфигурируемых сетей. Целью исследования является разработка архитектуры и принципов организации отказоустойчивой распределенной платформы управления для ПКС. Отказоустойчивость распределенной платформы управления ПКС достигается за счет резервирования контроллеров, резервирования активных соединений между коммутатором и несколькими контроллерами, резервирования вычислительных ресурсов и использования дополнительных программных инструментов для обнаружения отказов, предотвращения перегрузок и восстановления управления сетью. В работе приводится алгоритм распределения управления коммутаторами между контроллерами платформы управления, выбора резервных контроллеров для каждого коммутатора, что позволяет минимизировать время восстановления в случае одиночных отказов контроллеров. Алгоритм балансировки нагрузки между контроллерами позволяет динамически переконфигурировать платформу управления с минимальным количеством операций передачи управления коммутаторами, чтобы предотвратить перегрузку контроллера. Представлены результаты экспериментального исследования предложенных алгоритмов.

122-133 203
Аннотация

Архитектура ПКС (программно-конфигурируемые сети) предоставляет новые возможности по управлению сетью при помощи физического разделения уровня передачи данных (Data-Plane) от уровня управления данными (Control-Plane). Такое разделение достигается при помощи передачи функций управления сетью на отдельный сетевой элемент — контроллер. Архитектура ПКС позволяет устанавливать на контроллер сетевые приложения, которые могут использовать протокол OpenFlow для реализации множества различных сетевых функций, например для маршрутизации или анализа сетевой статистики. Анализ сетевой статистики производится при помощи счетчиков, установленных на правилах маршрутизации. Чтобы собирать информацию о числе пакетов в различных потоках, ПКС приложения могут устанавливать дополнительные правила маршрутизации, единственной целью которых является подсчет пакетов с определенными заголовками. Для полноценного анализа сетевой статистики приложения должны устанавливать в сеть большое количество дополнительных правил, что может привести к снижению производительности сети. В силу ограниченного размера таблиц маршрутизации, большое число дополнительных правил может мешать другим приложениям устанавливать свои правила. Таким образом, необходимо разработать алгоритм, который будет минимизировать число дополнительных правил. В данной работе рассмотрена задача минимизации числа дополнительных правил, устанавливаемых на ПКС коммутаторы приложениями для анализа сетевой статистики. Был разработан эвристический алгоритм минимизации количества правил маршрутизации, основанный на алгоритме Блейка нахождения сокращенной дизъюнктивной нормальной формы (ДНФ). Экспериментальные исследования показали, что алгоритм уменьшает число правил более чем в 2.2 раза на равномерно распределенных входных данных.

134-145 353
Аннотация

«Общие критерии» (ISO 15408) – общепризнанный и широко применимый подход к управлению и оценке решений в области информационной безопасности. «Общие критерии» опираются на разработку общей концептуальной основы для ключевых решений безопасности, включая профили защиты и целевые объекты безопасности. Концептуальная основа разработки подразумевает определение следующих элементов: цели и предположения безопасности (для среды и объекта), угрозы и политики безопасности, а также функциональные требования и требования к обеспечению безопасности. Специфика решений по обеспечению безопасности SDN во многом обусловлена фундаментальными архитектурными принципами самой технологии SDN – в первую очередь разделением потоков управления и данных, а также условиями применения протокола OpenFlow. Тем не менее, проактивные (угрозы и политики), пассивные (цели и предположения) и реактивные (требования) аспекты управления безопасностью остаются весьма актуальными для такого типа решений безопасности. В статье рассматриваются особенности применения единых критериев оценки безопасности SDN и практического опыта Московского технического университета связи и информатики при разработке профиля защиты. Новый класс сетевых атак на коммутаторы и контроллеры SDN может использовать как данные, так и компоненты управления. В дополнение к традиционным уязвимостям централизация функций управления открывает путь для новых угроз безопасности путем изоляции деятельности контроллера и обмена управляющими сообщениями. Поэтому выявление и анализ угроз, политик и требований, специфичных для безопасности модуля управления SDN, становится новым приоритетом.

146-169 237
Аннотация

На смену вычислительной парадигме, основанной на giant-like ЦОДах, идет новая, основанная на сети мелких ЦОДов, образующих инфраструктуру для облачных вычислений. Эта смена объективна. Её актуальность обусловлена требованиями новых приложений, активно использующих видео, интерактивность в реальном времени, новые технологии мобильной связи, которые сегодня невозможно реализовать без облачных вычислений и виртуализации на основе технологий SDN&NFV. В статье рассмотрены требования, предъявляемые этими приложениями, предложена архитектура новой парадигмы, которую мы называем «Иерархическими периферийными вычислениями» (Hierarchical Edge Computing – HEC). Показано, что большинство современных приложений являются распределенными совокупностями сервисов реального времени, которые требуют гарантированного качества обслуживания и возможности динамически быть размещенными при работе на периферии сетей разных операторов. Обсуждаются основные научные проблемы, которые необходимо решить для реализации предлагаемой новой парадигмы.

170-190 190
Аннотация

Известно, что разделение отдельного транспортного потока на несколько независимых транспортных подпотоков может повысить скорость этого потока. Справедливость этого утверждения, верная для одного потока, не очевидна для массового случая, когда демультиплексированию (разделению на подпотоки) подвергают все транспортные потоки в сети одного ISP оператора. Возникает вопрос, какое влияние окажет массовое демультиплексирование транспортных потоков на пропускную способность сети ISP оператора. В статье этот вопрос рассмотрен для статического случая, когда каждый поток разделяется статически, т.е. перед его запуском, на одинаковое число подпотоков. Была предложена математическая модель, на основе которой построена имитационная модель с целью получения более точных оценок производительности сети с демультиплексированием потоков и без него. С помощью имитационной модели определены свойства сети, при которых применение демультиплексирования транспортных потоков оправдано. Корректность полученных результатов обосновывается при помощи эмуляции сети и нагрузки в ней на основе виртуализации стека протоколов при тех же входных данных. В статье рассмотрены разные политики маршрутизации, которые могут быть использованы при массовом демультиплексировании. Особое внимание уделяется алгоритмам, позволяющим строить маршруты с минимальными пересечениями, так как использование неоптимальных по длине, но непересекающихся маршрутов может повысить производительность сети. Маршруты, построенные при помощи этих алгоритмов, использовались как для анализа производительности сети на предложенной имитационной модели с демультиплексированными потоками, так и в случае балансировки недемультиплексированных потоков.



Creative Commons License
Контент доступен под лицензией Creative Commons Attribution 4.0 License.


ISSN 1818-1015 (Print)
ISSN 2313-5417 (Online)