Информационные сети

Министерство образование и науки Республики Казахстан Колледж международной академии бизнеса «УТВЕРЖДАЮ» Зам.директора по УР ________А.К. Калмагамбетова «_____»____________2017 г. лекционный комплекс по дисциплине «Информационные сети» для специальности 1305000 “Информационные системы” Составитель: Камалбеков М.К. Рассмотрено на заседании ПЦК «Информационных систем» Протокол №___от «__» ___________2017 г. Председатель ПЦК Коштаева Г.Е.__________ Тема 1. Введение. Предмет изучения и структура дисциплины Курс лекций по компьютерным сетям базируется на типовой учебной программе, разработанной Казахским национальным техническим университетом имени К.И.Сатпаева и рекомендованным данным учебным заведением для изучения данной дисциплины учебным пособием «Основы сетевых технологий» В.Г. Олифер, Н.А. Олифер, размещенной по виртуальному адресу: http://www.citmgu.ru/courses/f9101.html. Курс представляет собой введение в сетевую тематику и дает базовые знания по организации и функционированию сетей. В лекциях даются общие понятия компьютерных сетей, их структуры, сетевых компонентов в простой и доступной форме. В лекциях приведены виды топологии, используемые для физического соединения компьютеров в сети, методы доступа к каналу связи, физические среды передачи данных. Передача данных в сети рассматривается на базе эталонной базовой модели, разработанной Международной организацией по стандартам взаимодействия открытых сетей. Описываются правила и процедуры передачи данных между информационными системами. Приводятся типы сетевого оборудования, их назначение и принципы работы. Описывается сетевое программное обеспечение, используемое для организации сетей. Изучаются наиболее популярные сетевые операционные системы, их достоинства и недостатки. Рассматриваются принципы межсетевого взаимодействия. Приводятся основные понятия из области сетевой безопасности. Для подготовки курса проработан большой объем информации, расположенной на информационно-поисковых серверах Internet, и использовалась литература, рекомендованная мною для студентов приведенная в списке. Основные термины и определения в лекциях взяты из справочника Якубайтиса «Информационные сети и системы». В первой лекции даны основные понятия сетевой терминологии, территориальное разделение сетей, понятие информационной и коммуникационной сетей и основные типы архитектуры. За основу лекции были взяты материалы сервера http://www.citmgu.ru. Во второй лекции даны понятия физической среды передачи данных, виды сред. Перечисляются типы кабелей и объясняется назначение кабельной структурированной системы. В третьей лекции рассматривается аппаратное сетевое обеспечение: платы сетевого адаптера, устройства межсетевого обмена (концентраторы, коммутаторы, репитеры, мосты и маршрутизаторы) и аппаратное обеспечение сетевых компьютеров (материнские платы, процессоры, жесткие диски и различные типы ОЗУ). В четвертой лекции объясняется передача данных в сети на основе семиуровневой базовой эталонной модели связи открытых систем (OSI). Представлен каждый уровень, его функции и протоколы, используемые на каждом уровне, а также рассматриваются спецификации стандартов IEEE802. Здесь же дано понятие стеков протоколов и приведены наиболее популярные стеки протоколов. В стеках протоколов перечислены протоколы каждого уровня. За основу лекции были взяты материалы сервера http://www.citmgu.ru. В пятой лекции рассматриваются технологии построения и функционирования локальных сетей: технологии Ethernet и другие технологии локальных сетей: Стандарт Token Ring. Стандарт FDDI и CDDI. Стандарт 100VG-AnyLAN. Стандарты ARCnet и TCNS. Стандарт Token Bus и Local Talk. В шестой лекции описывается принцип действия сети Internet: аппаратное обеспечение для организации подключения к сети Internet, получение доменного имени и IP-адреса и работа с proxy-серверами. Седьмая лекция посвящена сетевым операционным системам, их назначению, перечислены их функции, приведены популярные СОС (NetWare фирмы Novell, Windows NT фирмы Microsoft, UNIX фирмы Bell Laboratory), их структура и применение. В восьмой лекции даются понятия администрирования TCP/IP-сетей: настройка IP-адресов, настройка DNS-сервера, маршрутизация и разбиение на подсети в IP-сетях. В девятой лекции рассматриваются требования, предъявляемые к сетям: производительность, надежность и безопасность, расширяемость и масштабируемость, прозрачность, поддержка трафика, управляемость, совместимость, т.е. диагностика аппаратных проблем и проблем связанных с сетевой ОС. И в десятой лекции рассматриваются вопросы защиты сети от внешних вторжений, такие как полномочия совместно используемых ресурсов, брандмауэры и защита данных. «Курс лекций по компьютерным сетям» предназначен для студентов и преподавателей высших учебных заведений. Тема 2. Основные сведения о сетях Цель лекции: Изучить основные понятия сетевой терминологии, территориальное разделение сетей, понятие информационной и коммуникационной сетей и основные типы архитектуры. Основные вопросы: 1.1. Компьютерные сети: основные понятия, элементы и структуры. 1.2. Классификация компьютерных сетей. Локальные и глобальные сети. 1.3. Описание трех основных топологий сетей 1.1. Компьютерные сети: основные понятия, элементы и структуры. Компьютерная сеть – это совокупность нескольких взаимосвязанных ЭВМ или вычислительных сетей, которые находятся в соответствующем территориальном пространстве и объединены между собой каналами передачи данных в единую систему Компьютерные сети – это сложный комплекс, являющейся результатом развития ВТ и ПО включающая в себя: один или несколько ПК (суперЭВМ, мэйнфреймы, серверы); ПО; информационное обеспечение периферийное оборудование терминалы средства передачи данных физическая передающая среда Рассмотрим основные понятия: Мэйнфрейм – это компьютер высокой мощности, разработанный для наиболее интенсивных вычислительных задач; Сервер – компьютер, подключенный к сети и обеспечивающий ее пользователей определенными услугами, таких как хранение данных, управление БД, печать заданий, удаленную обработку заданий, запросов и другие услуги, т.е. сервер есть источник ресурсов сети; Рабочая станция – это компьютер, подключенный к сети, через который пользователь получает доступ к ее ресурсам. Рабочая станция сети функционирует как в сетевом, так и в локальном режиме. Она оснащена собственной ОС, обеспечивает пользователя всеми необходимыми инструментами для решения прикладных задач. Терминал – это конечное устройство для оперативного ввода вывода данных, подключенное к процессору ПК, который управляет этим процессом. Ресурсы больших ЭВМ распределяются между терминалами; Физическая передающая среда – линии связи или пространство, в котором распространяются электрические сигналы и аппаратура передачи данных. Для передачи информации между абонентами сети на основе физической передающей среды строится коммуникационная сеть (совокупность абонентских систем). 1.2. Классификация компьютерных сетей: По принципу территориального размещения абонентских систем, компьютерные сети делятся на: 1.локальные сети – объединяют абонентов, размещенных в пределах небольшой локальной территории (одно здание или несколько рядом расположенных); 2. региональные сети – связывают абонентов, расположенных на значительном расстоянии один от другого (город, район, страна); 3. корпоративные сети – связывают отдельные объекты крупной корпорации. Сеть замкнута в границах корпорации; 4. глобальные сети – объединяют абонентов, размещенных по всему земному шару. Главные отличия между локальными и глобальными сетями: в локальных сетях существует только один путь передачи информации в радиусе 10 км. В глобальных сетях между узлами существует множество путей доставки информации. Глобальная сеть сама выбирает маршрут движения информации, может пересылать информацию по частям. Радиус действия не ограничен. ЛВС могут входить в состав региональных вычислительных сетей, а региональные в состав глобальных. По архитектуре вычислительных сетей есть два варианта ее организации: одноранговая сеть и сеть с выделенным сервером: 1. Одноранговая сеть (равноправная). Все компьютеры имеют одинаковый вес. Для повышения надежности работы сети 1 ПК повышается в ранге и называется сервером и выполняет функцию рабочей станции, т.е. пользователь через него получает доступ к ресурсам сети . Положительные свойства одноранговых сетей: а) высокая надежность (при выходе из строя одной рабочей станции доступ прекращается лишь к некоторой части информации) б) низкая стоимость (используются все компьютеры, подключенные к сети и умеренные цены на ПО для работы в сети). Недостатки одноранговых сетей: а) сложность управления сетью б) зависимость эффективности работы сети от количества рабочих станций в)сложность в обеспечении защиты информации г) трудности обновления и смены ПО сервера 2. Сеть с выделенным сервером. Выделенный сервер – это не обычный ПК в локальной сети, а специальный (без клавиатуры и дисплея). На нем установлена сетевая ОС. К нему подключаются все общие внешние устройства (принтеры, модемы, HDD). Выделенный сервер выполняет функцию хранения данных и предоставляет их ко всем рабочим станциям (LAN, VINES, NETWare, Novell Inc). Достоинства: а) высокая скорость обработки данных (на сервере установлена специальная сетевая ОС, расчитанная на обработку и выполнение запросов, поступающих одновременно от нескольких пользователей); б)надежная система защиты информации и обеспечение секретности; в)простота управления по сравнению с одноранговой сетью. Недостатки: а) такая сеть дороже из-за отдельного компьютера под сервер; б) обладает меньшей гибкостью по сравнению с равноправной. Локально вычислительные сети ЛВС представляют собой разновидность сетей, объединяющих группу ПК или связывающих их с более мощным компьютером, выполняющим роль сетевого сервера. Все ПК в локальной сети могут использовать специализированные приложения, хранящиеся на сетевом сервере, и работать с общими устройствами: принтерами, факсами и другой периферией. Каждый ПК в локальной сети называется рабочей станцией, или сетевым узлом, т.е. ЛВС – это совокупность серверов и рабочих станций. Особое внимание следует обратить на один из типов серверов – файл-сервер, который хранит данные пользователей сети и обеспечивает им доступ к этим данным. Это ПК с большой ОЗУ, большим HDD, и дополнительными накопителями на магнитной ленте (стриммеры). Файл-сервер работает под управлением специальной ОС, которая обеспечивает одновременный доступ пользователей сети к расположенным на нем данным. Файл-сервер выполняет следующие функции: хранение данных, архивирование данных, передачу данных. Для многих задач одного файл-сервера бывает недостаточно, тогда в сеть могут включаться несколько серверов. Назначение ЛВС – реализовывать НИТ в системах организационно-экономического управления. Широкое применение ЛВС получили при разработке коллективных проектов, сложных программных комплексов. В ВУЗах ЛВС позволяет повысить качество обучения и внедрить современное интеллектуальные технологии обучения. Среда передачи является общим ресурсом для всех узлов сети. Чтобы получить возможность доступа к этому ресурсу из узла сети, необходимы специальные механизмы – методы доступа, обеспечивающие выполнение совокупности правил, по которым узлы сети получают доступ к ресурсу. Существуют два метода доступа: 1. Детерминированный, который используется в сетях звездообразной и кольцевой топологии; 2. Недетерминированный – случайный метод доступа, при этом методе возможны одновременные попытки передачи со стороны нескольких узлов, используется при шинной топологии. 1.3. Основные топологии ЛВС Топология ЛВС – это усредненная геометрическая схема соединений узлов сети. Для ЛВС существуют 3 базовые сетевые топологии: 1. кольцевая; 2. шинная; 3. звездообразная Любую компьютерную сеть можно рассматривать как совокупность узлов, а узел – это устройство, непосредственно подключенное к передающей среде сети. Звездообразная топология – базируется на концепции центрального узла, к которому подключаются периферийные устройства. Каждый периферийный узел имеет свою отдельную линию связи с центральным узлом. Вся информация передается через центральный узел, который ретранслирует, переключает и маршрутизирует информационные потоки в сети. Рис.1. Топология «Звезда» Достоинства: самая быстродействующая из всех топологий ЛВС; значительно упрощает взаимодействие узлов ЛВС друг с другом, позволяет использовать более простые сетевые адаптеры. Недостатки: работоспособность ЛВС целиком зависит от центрального узла. Кольцевая топология предусматривает соединение узлов сети замкнутой кривой – кабелем передающей среды. Выход одного узла сети соединяется со входом другого. Информация передается по кольцу от узла к узлу. Рис.2. Топология «Кольцо» Достоинства: Кольцевая топология является идеальной для сетей, занимающих сравнительно небольшое пространство. В ней отсутствует центральный узел, что повышает надежность сети. Ретрансляция информации позволяет использовать в качестве передающей среды – любые типы кабелей. Недостатки: последовательность обслуживания узлов снижает ее быстродействие, а выход из строя одного из узлов нарушает целостность узла и требует принятия специальных мер для сохранения передачи информации. Шинная топология – одна из наиболее простых. Для передачи информации используется специальный кабель(коаксиальный). Данные от передающего узла распространяются по шине в обе стороны на все узлы, но принимает сообщение только то, кому оно адресовано. Рис.3. Топология «Шина» Достоинства: высокая надежность сети, сеть легко наращивать и конфигурировать, а также адаптировать к различным системам. Сеть шинной топологии устойчива к неисправностям отдельных узлов. Недостатки: имеют малую протяженность и не позволяют использовать другие типы кабеля в пределах одной сети. В случае повреждения кабеля нарушается работа всей сети. При создании сети в зависимости от задач, которые она должна будет выполнять, может быть реализована одна из трех базовых топологий: «звезда», «кольцо» и «шина» (табл.1). Таблица 1. Основные характеристики сетей разной топологии Характеристики Топология «Звезда» «Кольцо» «Шина» 1. Стоимость расширения Незначительная Средняя Средняя 2. Присоединение абонентов Пассивное Активное Пассивное 3. Защита от отказов Незначительная Незначительная Высокая 4. Размеры системы Любые Любые Ограничены 5.Защищенность от прослушивания Хорошая Хорошая Незначительная 6. Стоимость подключения Незначительная Незначительная Высокая 7.Поведение системы при высоких нагрузках Хорошее Удовлетворительное Плохое 8. Возможность работы в реальном режиме работы Очень хорошая Хорошая Плохая 9. Разводка кабеля Хорошая Удовлетворительная Хорошая 10. Обслуживание Очень хорошее Среднее Среднее Вопросы для самоконтроля: 1. Раскройте основные понятия компьютерных сетей, элементы и структуры. 2. Как классифицируются компьютерные сети? 3. По архитектуре вычислительных сетей, какие существуют варианты ее организации? 4. Какие существуют механизмы, обеспечивающие выполнение совокупности правил, по которым узлы сети получают доступ к ресурсу. 5. Опишите три основные топологии сетей, достоинства, недостатки. 6. Перечислите основные характеристики сетей разной топологии. Тема 3. Физическая передающая среда Цель лекции: Изучить основные понятия физической среды передачи данных, виды сред. Основные вопросы: 2.1. Коаксиальный кабель 2.2. Витая пара 2.3. Оптоволоконный кабель 2.4. Передача сигналов 2.5. Кабельная система IBM На сегодняшний день подавляющая часть компьютерных сетей использует для соединения провода или кабели. Они выступают в качестве среды передачи сигналов между компьютерами. Существуют различные типы кабелей, которые удовлетворяют потребности всевозможных сетей, от малых до больших. В широком ассортименте кабелей нетрудно запутаться. Так, фирма Belden, ведущий производитель кабелей, публикует каталог, где предлагает более 2200 их типов. К счастью, в большинстве сетей применяются только три основные группы кабелей: 1. Коаксиальный кабель (coaxial cable): • тонкий коаксиальный кабель; • толстый коаксиальный кабель. 2. Витая пара (twisted pair): а) неэкранированная (unshielded); б) экранированная (shielded); 3. Оптоволоконный кабель (fiber optic). 2.1. Коаксиальный кабель Не так давно коаксиальный кабель был самым распространенным типом кабеля. Это объяснялось двумя причинами. Во-первых, он был относительно недорогим, легким, гибким и удобным в применении. А во-вторых, широкая популярность коаксиального кабеля привела к тому, что он стал безопасным и простым в установке. Самый простой коаксиальный кабель состоит из медной жилы (core), изоляции, ее окружающей, экрана в виде металлической оплетки и внешней оболочки. Если кабель, кроме металлической оплетки, имеет и слой фольги, он называется кабелем с двойной экранизацией. При наличии сильных помех можно воспользоваться кабелем с учетверенной экранизацией. Он состоит из двойного слоя фольги и двойного слоем металлической оплетки. Рис. 2.1. Структура коаксиального кабеля Некоторые типы кабелей покрывает металлическая сетка — экран (shield). Он защишает передаваемые по кабелю данные, поглощая внешние электромагнитные сигналы, называемые помехами или шумом. Таким образом, экран не позволяет помехам исказить данные. Электрические сигналы, кодирующие данные, передаются по жиле. Жила - это один провод (сплошной) или пучок проводов. Сплошная жила изготавливается, как правило, из меди. Жила окружена изоляционным слоем, который отделяет ее от металлической оплетки. Оплетка играет роль заземления и защищает жилу от электрических шумов (noise) и перекрестных помех (crosstalk). Перекрестные помехи — это электрические наводки, вызванные сигналами в соседних проводах. Проводящая жила и металлическая оплетка не должны соприкасаться, иначе произойдет короткое замыкание, помехи проникнут в жилу, и данные разрушатся. Снаружи кабель покрыт непроводящим слоем — из резины, тефлона или пластика. Коаксиальный кабель более помехоустойчив, затухание сигнала в нем меньше чем в витой паре. Затухание (attenuation) — это уменьшение величины сигнала при его перемещении по кабелю, что приводит к ухудшению качества сигнала. Как уже говорилось, плетеная защитная оболочка поглощает внешние электромагнитные сигналы, не позволяя им влиять на передаваемые по жиле данные, поэтому коаксиальный кабель можно использовать при передаче на большие расстояния и в тех случаях, когда высокоскоростная передача данных осуществляется на несложном оборудовании. Типы коаксиальных кабелей Существует два типа коаксиальных кабелей: • тонкий коаксиальный кабель; • толстый коаксиальный кабель. Выбор того или иного типа кабеля зависит от потребностей конкретной сети. Тонкий коаксиальный кабель Тонкий коаксиальный кабель — гибкий кабель диаметром около 0,5 см (около 0.25 дюймов). Он прост в применении и годится практически для любого типа сети. Подключается непосредственно к платам сетевого адаптера компьютеров. Рис. 2.3. Подключение тонкого коаксиального кабеля к компьютеру Тонкий (thin) коаксиальный кабель способен передавать сигнал на расстояние до 185 м (около 607 футов) без его заметного искажения, вызванного затуханием. Производители оборудования выработали специальную маркировку для различных типов кабелей. Тонкий коаксиальный кабель относится к группе, которая называется семейством RG-58, его волновое сопротивление равно 50 0м. Волновое сопротивление (impedance) — это сопротивление переменному току, выраженное в омах. Основная отличительная особенность этого семейства — медная жила (жила — переплетенные провода или сплошной медный провод). Она может быть сплошной или состоять из нескольких переплетенных проводов. Кабель Описание RG-58 /L J Сплошная медная жила RG-58 A/U Переплетенные провода RG-58 С/и Военный стандарт для RG-58 A/U RG-59 Используется для широкополосной передачи (например, в кабельном телевидении) RG-6 Имеет больший диаметр по сравнению с RG-59, предназначен для более высоких частот, но может применяться и для широкополосной передачи RG-62 Используется в сетях ArcNet Толстый коаксиальный кабель Толстый (thick) коаксиальный кабель — относительно жесткий кабель с диаметром около 1 см (около 0,5 дюймов). Иногда его называют «стандартный Ethernet», поскольку он был первым типом кабеля, применяемым в Ethernet — популярной сетевой архитектуре. Медная жила этого кабеля толще, чем у тонкого коаксиального кабеля. Чем толще жила у кабеля, тем большее расстояние способен преодолеть сигнал. Следовательно, толстый коаксиальный кабель передает сигналы дальше, чем тонкий, — до 500 м (около 1 640 футов). Поэтому толстый коаксиальный кабель иногда используют в качестве основного кабеля [магистрали (backbone)], который соединяет несколько небольших сетей, построенных на тонком коаксиальном кабеле. Для подключения к толстому коаксиальному кабелю применяют специальное устройство — трансивер (transceiver). Трансивер снабжен специальным коннектором, который назван весьма впечатляюще — «зуб вампира» (vampire tap) или «пронзающий ответвитель» (piercing tap). Этот «зуб» проникает через изоляционный слой и вступает в непосредственный физический контакт с проводящей жилой. Чтобы подключить трансивер к сетевому адаптеру, надо кабель трансивера подключить к коннектору AUI-порта сетевой платы. Этот коннектор известен также как DIX-коннектор (Digital Intel Xerox^), в соответствии с названиями фирм-разработчиков, или коннектор DB-15. Сравнение двух типов коаксиальных кабелей Как правило, чем толще кабель, тем сложнее с ним работать. Тонкий коаксиальный кабель гибок, прост в установке и относительно недорог. Толстый кабель трудно гнуть, и, следовательно, его сложнее устанавливать. Это очень существенный недостаток, особенно если необходимо проложить кабель по трубам или желобам. Толстый коаксиальный кабель дороже тонкого, но при этом он передает сигналы на большие расстояния. Оборудование для подключения коаксиального кабеля Для подключения тонкого коаксиального кабеля к компьютерам используются так называемые BNC-коннекторы (British Naval Connector, BNC). В семействе BNC несколько основных компонентов: BNC-коннектор. BNC - коннектор либо припаивается, либо обжимается на конце кабеля. Рис. 2.7. ВNС-коннектор BNC Т-коннектор. Т-коннектор соединяет сетевой кабель с сетевой платой компьютера. Рис. 2.8. BNC Т-коннектор BNC 6appeл - коннектор. Баррел-коннектор применяется для сращивания двух отрезков тонкого коаксиального кабеля. Рис. 2.9. BNC баррел-коннектор В сети с топологией «шина» для поглощения «свободных» сигналов терминаторы устанавливаются на каждом конце кабеля. Иначе сеть не будет работать. Рис. 2.10. BNC-терминатор 2.2. Витая пара Самая простая витая пара (twisted pair) — это два перевитых вокруг друг друга изолированных медных провода. Существует два типа тонкого кабеля: неэкранированная (unshielded) витая пара (LJTP) и экранированная (shielded) витая пара (STP). Несколько витых пар часто помещают в одну защитную оболочку. Их количество в таком кабеле может быть разным. Завивка проводов позволяет избавиться от электрических помех, наводимых соседними парами и другими источниками, например двигателями, реле и трансформаторами. Неэкранированная витая пара Неэкранированная витая пара (спецификация lOBaseT) широко используется в ЛВС, максимальная длина сегмента составляет 100 м (328 футов). Неэкранированная витая пара состоит из двух изолированных медных проводов. Существует несколько спецификаций, которые регулируют количество витков на единицу длины — в зависимости от назначения кабеля. В Северной Америке UTP повсеместно используется в телефонных сетях. Неэкранированная витая пара определена в особом стандарте — Electronic Industries Association and the Telecommunications Industries Association (EIA/TIA) 568 Commercial Building Wiring Standart. EIA/TIA 568 — на основе UTP — устанавливает стандарты для различных случаев, гарантируя единообразие продукции. Эти стандарты включают пять категорий LJTP. Категория 1 Традиционный телефонный кабель, по которому можно передавать только речь, но не данные. Большинство телефонных кабелей, произведенных до 1983 года, относится к категории 1. Категория 2 Кабель, способный передавать данные со скоростью до 4 Мбит/с. Состоит из четырех витых пар. Категория 3 Кабель, способный передавать данные со скоростью до 10 Мбит/с. Состоит из четырех витых пар с девятью витками на метр. Категория 4 Кабель, способный передавать данные со скоростью до 16 Мбит/с. Состоит из четырех витых пар. Категория 5 Кабель, способный передавать данные со скоростью до 100 Мбит/с. Состоит из четырех витых пар медного провода. Большинство телефонных систем использует неэкранированную витую пару. Это одна из причин ее широкой популярности. Причем во многих зданиях, при строительстве, UTP прокладывают не только для сегодняшних нужд телефонизации, но и, предусматривая запас кабеля, в расчете на будущие потребности. Если установленные во время строительства провода рассчитаны на передачу данных, их можно использовать и в компьютерной сети. Однако надо быть осторожным, так как 1 обычный телефонный провод не имеет витков, и его электрические характеристики могут не соответствовать тем, какие требуются для надежной и безопасной передачи данных между компьютерами. Одной из потенциальных проблем для всех типов кабелей являются перекрестные помехи (т.е. электрические наводки со стороны соседних линий). Неэкранированная витая пара особенно страдает от перекрестных помех. Для уменьшения их влияния необходимо использовать экран. Экранированная витая пара Кабель экранированной витой пары (STP) имеет медную оплетку, которая обеспечивает большую защиту, чем неэкранированная витая пара. Кроме того, пары проводов STP обмотаны фольгой. В результате экранированная витая пара обладает прекрасной изоляцией, защищающей передаваемые данные от внешних помех. Все это означает, что STP, по сравнению с LJTP, меньше подвержена воздействию электрических помех и может передавать сигналы с более высокой скоростью и на большие расстояния. 2.3. Оптоволоконный кабель В оптоволоконном кабеле цифровые данные распространяются по оптическим волокнам в виде модулированных световых импульсов. Это относительно надежный (защищенный) способ передачи, поскольку электрические сигналы при этом не передаются. Следовательно, оптоволоконный кабель нельзя вскрыть и перехватить данные, от чего не застрахован любой кабель, проводящий электрические сигналы. Оптоволоконные линии предназначены для перемещения больших объемов данных на очень высоких скоростях, так как сигнал в них практически не затухает и не искажается. Строение Оптическое волокно — чрезвычайно тонкий стеклянный цилиндр, называемый жилой (core), покрытый слоем стекла, называемого оболочкой, с иным, чем у жилы, коэффициентом преломления. Иногда оптоволокно производят из пластика. Пластик проще в использовании, но он передает световые импульсы на меньшие расстояния по сравнению со стеклянным оптоволокном. Каждое стеклянное оптоволокно передает сигналы только в одном направлении, поэтому кабель состоит из двух волокон с отдельными коннекторами. Одной из них служит для передачи, а другое — для приема. Жесткость волокон увеличен i покрытием из пластика, а прочность — волокнами из кевлара. Кевларовые волокна располагаются между двумя кабелями, заключенными в пластик. Рис. 2.18. Оптоволоконный кабель Передача по оптоволоконному кабелю не подвержена электрическим помехам и ведется на чрезвычайно высокой скорости (в настоящее время до 100 Мбит/с, теоретически возможная скорость — 200000 Мбит/с). По нему можно передавать световой импульс на многие километры. Компоненты кабельной системы Соединители (connectors). Для подключения витой пары к компьютеру используются телефонные коннекторы RJ-45. На первый взгляд, они похожи на RJ-11, но в действительности между ними есть существенные отличия. Во-первых, вилка RJ-45 чуть больше по размерам и не подходит для гнезда RJ-11. Во-вторых, коннектор RJ-45 имеет восемь контактов, а RJ-11 — только четыре. Рис. 2.16. Вилка RJ-45 • Построить развитую кабельную систему и в то же время упростить работу с ней Вам поможет ряд очень полезных компонентов: • Распределительные стойки и полки (distribution racks, shelves), предназначены для монтажа кабеля. Они позволяют централизованно организовать множество соединений и при этом занимают достаточно мало места; • Коммутационные панели (patch panels), т.е. различные типы панелей расширения. Они поддерживают до 96 портов и скорость передачи до 100 Мбит/с. • Соединители. Одинарные или двойные вилки RJ-45 подключаются к панелям расширения или настенным розеткам. Они обеспечивают скорость передачи до 100 Мбит/с; • Настенные розетки. К настенным розеткам можно подключить два (и более) соединителя. 2.4. Передача сигналов Для передачи по кабелю кодированных сигналов используют две технологии — узкополосную передачу и широкополосную передачу. Узкополосная передача Узкополосные (baseband) системы передают данные в виде цифрового сигнала одной частоты. Сигналы представляют собой дискретные электрические или световые импульсы. При таком способе вся емкость коммуникационного канала используется для передачи одного импульса, или, другими словами, цифровой сигнал использует всю полосу пропускания кабеля. Полоса пропускания — это разница между максимальной и минимальной частотой, которая может быть передана по кабелю. Каждое устройство в сетях с узкополосной передачей посылает данные в обоих направлениях, а некоторые могут одновременно и передавать их, и принимать. Продвигаясь по кабелю, сигнал постепенно затухает и. как следствие, может исказиться. Если кабель слишком длинный, на дальнем его конце передаваемый сигнал может исказиться до неузнаваемости или просто пропасть. Чтобы избежать этого, в узкополосных системах используют репитеры, которые усиливают сигнал и ретранслируют его в дополнительные сегменты, позволяя тем самым увеличить общую длину кабеля. Широкополосная передача Широкополосные (broadband) системы передают данные в виде аналогового сигнала, который использует некоторый интервал частот. Сигналы представляют собой непрерывные (а не дискретные) электромагнитные или оптические волны. При таком способе сигналы передаются по физической среде в одном направлении. Если обеспечить необходимую полосу пропускания, то по одному кабелю одновременно может идти вещание нескольких систем, таких, как кабельное телевидение и передача данных. Каждой передающей системе выделяется часть полосы пропускания. Все устройства, связанные с данной системой (например, компьютеры), должны быть настроены таким образом, чтобы работать именно с выделенной частью полосы пропускания. Если в узкополосных системах для восстановления сигнала используют репитеры, то в широкополосных — усилители (amplifiers). В широкополосной системе сигнал передается только в одном направлении, поэтому, чтобы все устройства могли и принимать, и передавать данные, необходимо обеспечить два пути для прохождения сигнала. Разработано два основных решения: • разбить полосу пропускания на два канала, которые работают с различными частотами; один канал предназначен для передачи сигналов, другой — для приема; • использовать два кабеля; один кабель предназначен для передачи сигналов, другой - для приема. 2.5. Кабельная система IBM IBM разработала собственную кабельную систему, со своими номерами, стандартами, спецификациями и назначениями. Многие из этих параметров близки к спецификациям других разработчиков. Кабельная система IBM была представлена в 1984 году. Она определила следующие компоненты: • соединители кабелей, • лицевые щиты, • распределительные панели; • типы кабелей. Уникальным компонентом стал соединитель кабеля. Он отличается от стандартного BNC-коннектора и других соединителей тем, что является не «папой», не «мамой», а «гермафродитом»: любые два можно соединить друг с другом. Эти соединители требуют использования лицевых щитов и распределительных панелей специальной конструкции. Кабельная система IBM классифицирует кабели по типам. Например, кабель категории 3 (речевая DTP) представляет собой тип 3. Классификация помогает правильно выбрать кабель, т.е. тот. который в наибольшей степени подходит к конкретным условиям. Провода, указанные в системе, cooтветствуют стандартам AWG. AWG — стандартная система измерений кабеля Читая физическую характеристику кабеля. Вы будете часто встречать слово "калибр" (gage) с последующей аббревиатурой AWG. AWG — это система измерений, определяющая толщину проводов. Чем больше толщина провода, тем меньше его AWG-номер В качестве точки отсчета часто используют толщину телефонного провода. Она равна 22 AWG. Следовательно, провод толщиной 14 AWG толще телефонного провода, а толщина 26 AWG - тоньше. Классификация кабелей IBM Тип Стандартное наименование Описание Тип 1 Экранированная витая пара (STP) Две пары проводов 22 AWG, покрытых плетеным экраном — для компьютеров и модулей множественною доступа (MALJ) Тип 2 Кабель для передачи речи и данных Экранированный кабель для передачи речи и данных; состоит из двух витых пар проводов 22 AWG. заключенных в экранирующую оплетку, — для передачи данных, из четырех витых пар проводов 26 AWG — для передачи речи Тип 3 Кабель для передачи речи Неэкранированный кабель для передачи речи; состоит из четырех витых пар проводов 22 или 24 AWG со сплошной жилой Тип 4 Еще не определен Тип 5 Оптоволокон-ный кабель Два 62.5/125-микронных оптоволокна — промышленный стандарт Тип 6 Комутационный кабель Две витые пары проводов 26 AWG с двойным слоем фольги и оплетки Тип 7 Еще не определен Тип 8 Ковровый кабель Имеет плоский соединитель для прокладки под коврами. Две витые пары проводов 26 AWG. Длина кабеля не превышает половину длины кабеля типа 1 Тип 9 Пленумный Огнеупорный. Две экранированные витые пары проводов Выбор кабеля Прежде чем выбрать наиболее подходящий для Вас тип кабеля, ответьте на следующие вопросы. Они помогут Вам сориентироваться среди огромного разнообразия кабельной продукции. Насколько интенсивным планируется сетевой - график? Каковы требования защиты данных? На какое максимальное расстояние будет проложен кабель? Каковы требуемые характеристики кабеля? Сколько средств выделено на реализацию проекта? Чем надежнее защищен кабель от внешних и внутренних электрических помех, тем дальше и на большей скорости он сможет передавать данные. Но чем выше скорость передачи, надежность и безопасность кабеля, тем выше и его стоимость. При покупке кабеля (как, впрочем, и любых других сетевых компонентов) Вы должны найти некий компромисс между его стоимостью и характеристиками. Если, работая в крупной организации, Вы выбрали относительно дешевый кабель, бухгалтерия будет очень довольна, но вскоре Вы заметите, что локальная сеть не обеспечивает ни должной скорости передачи данных, ни должного уровня их защиты. Кабельная система должна соответствовать условиям ее применения. Требования, выдвигаемые небольшими фирмами, могут значительно отличаться от требований со стороны крупных организаций, например банков. К числу факторов, влияющих на стоимость и пропускную способность кабеля относятся следующие: Простота установки. Насколько прост кабель в установке, насколько просто работать с ним? В небольших сетях, с небольшими расстояниями, где безопасность данных не самый главный вопрос, нет смысла прокладывать толстый, громоздкий и дорогой кабель. Экранирование. Экранирование кабеля приводит к его удорожанию, тем не менее практически любая сеть использует одну из форм экранированного кабеля. Чем больше помех в месте прокладки кабеля, тем большее экранирование требуется. Прокладка пленумного кабеля существенно увеличивает стоимость проекта. Перекрестные помехи. Перекрестные помехи и внешние шумы могут вызвать серьезные проблемы в больших сетях, где критическим вопросом является вопрос защиты данных. Недорогие кабели слабо защищены от внешних электрических полей, генерируемых электропроводкой, двигателями, реле и радиопередатчиками. Скорость передачи (часть полосы пропускания). Скорость передачи измеряется в мегабитах в секунду (Мбит/с). Для медных кабелей сегодня самым распространенным значением является 10 Мбит/с, хотя последние стандарты позволяют передавать данные со скоростью 100 Мбит/с. Толстый коаксиальный кабель передает сигналы на большие расстояния, чем тонкий. Но с ним сложнее работать. По оптоволоконному кабелю данные передаются со скоростью более 100 Мбит/с, и для его установки нужны специальные навыки, к тому же он сравнительно дорог. Стоимость. Стоимость кабелей, которые обеспечивают высокую степень защиты, передавая данные на большие расстояния, гораздо выше стоимости тонкого коаксиального кабеля, простого в установке и эксплуатации. Затухание сигнала. Затухание сигнала — причина, которая ограничивает максимальную длину кабеля так как значительно ослабленный сигнал может быть не распознан принимающим компьютером. Кабели разных типов имеют разную максимальную длину. Большинство сетей использует системы проверки ошибок: при искажении принятого сигнала они требуют его повторной передачи. Однако на это уходит дополнительное время, и, главное, снижается общая пропускная способность сети. Сравнение кабелей Характерис-тика Тонкий коаксиальный кабель (IOBase2) Толстый коаксиальный кабель (IOBase5) Витая пара (lOBaseT) Оптоволоконный кабель Стоимость Дороже витой пары Дороже тонкого коаксиального кабеля Самый дешевый Самый дорогой Эффективня длина кабеля 185 м(около 607 футов) 500 м(около 1640 футов) 100 м(около 328 футов) 2 км(6562 фута) Скорость передачи 10 Мбит/с 10 Мбит/с 4—100 Мбит/с 100 Мбит/с и выше Гибкость Довольно гибкий Менее гибкий Самый гибкий Не гибкий Простота установки Прост в установке Прост в установке Очень прост в установке; может быть установлен при строитель-стве Труден в установке Подвержен-ность помехам Хорошая зашита от помех Хорошая защита от помех Подвержен помехам Не подвержен помехам Особые свойства Электронные компоненты дешевле, чем у витой пары Электронные компоненты дешевле, чем у витой пары Телефонный провод; часто проложен во время строительства Поддерживает речь, видео и данные Рекомендуемое применение Средние или большие сети с высокими требованиями к защите данных Средние или большие сети с высокими требованиями к защите данных UTP — самый дешевый вариант; STP —Token Ring любого размера Сети любого размера с высокими требованиями к скорости передачи, уровню защиты и целостности данных Вопросы для самоконтроля: 1. Перечислите основные типы кабелей и объясните назначение кабельной структурированной системы. 2. В чем отличие тонкого от толстого коаксиального кабеля? 3. В чем отличие экранированной от неэкранированной витой пары? 4. Каково строение оптоволоконного кабеля? 5. Перечислите оптимальные длины всех типов кабелей. 6. Какие технологии используют для передачи по кабелю кодированных сигналов? 7. Как классифицируется кабельная система IBM? 8. Что такое AWG? 9. Перечислите факторы, влияющие на стоимость и пропускную способность кабеля? Тема 4. Аппаратное сетевое обеспечение Цель лекции: Изучить аппаратное сетевое обеспечение: платы сетевого адаптера, устройства межсетевого обмена (концентраторы, коммутаторы, репитеры, мосты и маршрутизаторы) и аппаратное обеспечение сетевых компьютеров (материнские платы, процессоры, жесткие диски и различные типы ОЗУ). Основные вопросы: 3. 1. Платы сетевого адаптера 3.2. Устройства межсетевого обмена (концетраторы, коммутаторы, репитеры, мосты, маршрутизаторы). 3.3. Аппаратное обеспечение сетевых компьютеров (материнские платы, процессоры, жесткие диски и различные типы ОЗУ). 3.1. Платы сетевого адаптера Платы сетевого адаптера выступают в качестве физического интерфейса, или соединения, между компьютером и сетевым кабелем. Платы вставляются в слоты расширения всех сетевых компьютеров и серверов. Чтобы обеспечить физическое соединение между компьютером и сетью, к соответствующему разъему, или порту платы (после ее установки) подключается сетевой кабель. Назначение платы сетевого адаптера: - подготовка данных, поступающих от компьютера, к передаче по сетевому кабелю; - передача данных другому компьютеру; - управление потоком данных между компьютером и кабельной системой. Плата сетевого адаптера, кроме того, принимает данные из кабеля и переводит их в форму, понятную центральному процессору компьютера. Плата сетевого адаптера состоит из аппаратной части и встроенных программ, записанных в ПЗУ. Эти программы реализуют функции подуровней Управления логической связью и Управления доступом к среде Канального уровня модели OSI. Подготовка данных Перед тем как послать данные в сеть, плата сетевого адаптера должна перевести их из формы, понятной компьютеру, в форму, в которой они могут передаваться по сетевому кабелю. Внутри компьютера данные передаются по типам. Как правило, это несколько проводников, расположенных близко друг к другу. Так как линий несколько, то и биты данных могут передаваться по ним группами, а не последовательно. Шины, которые использовались в первых персональных компьютерах IBM, были известны как 8-разрядные шины: они могли передавать группы по 8 битов данных. IBM PC/AT" имеет 16-разрядную шину, это означает, что она способна передавать сразу 16 битов. Многие современные компьютеры оснащены уже 32-разрядной шиной. Часто говорят, что данные по шине компьютера передаются параллельно (parallel), так как 16 битов или 32 бита движутся параллельно друг другу. Представьте, что 16-разрядная шина — это 16-полосная автострада, по которой рядом (параллельно) движутся 16 машин, каждая из которых перевозит один бит. В сетевом кабеле данные должны перемещаться в виде потока битов. При этом говорят, что происходит последовательная передача, потому что биты следуют друг за другом. Иными словами, кабель — это дорога с одной полосой. По таким «дорогам» данные в каждый момент времени движутся в одном направлении. Плата сетевого адаптера принимает параллельные данные и организует их для последовательной (serial), побитовой, передачи. Этот процесс завершается переводом цифровых данных компьютера в электрические и оптические сигналы, которые и передаются по сетевым кабелям. Отвечает за это преобразование трансивер. Сетевой адрес Помимо преобразования данных, плата сетевого адаптера должна указать свое местонахождение, или адрес, — чтобы ее могли отличить от остальных плат. Сетевые интерфейсные карты обеспечивают стандартную систему адресации, которая используется при передаче данных в сети от одного ПК к другому. Уникальный аппаратный адрес (МАС-адрес) хранится в ПЗУ сетевой платы. Он называется МАС-адресом (Media Access Control – МАС). Аппаратный адрес сетевой интерфейсной карты является уникальным адресом компьютера в сети. Различные наборы протоколов, например TCP/IP, ис­пользуют логическую систему адресации (для протокола TCP/IP это IP-adpeca). В этом случае перед приемом информации логические адреса должны быть преобразованы в аппаратные адреса сетевых карт. Сетевые адреса (network address) определены комитетом IEEE. Этот комитет закрепляет за каждым производителем плат сетевого адаптера некоторый интервал адресов. Производители «зашивают» эти адреса в микросхемы. Благодаря этому каждая плата и, следовательно, каждый компьютер имеют уникальный адрес в сети. При приеме данных от компьютера и подготовке их к передаче по сетевому ка6елю плата сетевого адаптера участвует также в других операциях. 1. Компьютер и плата сетевого адаптера должны быть связаны друг с другом, чтобы осуществлять передачу данных (от компьютера к плате). Если плата может использовать прямой доступ к памяти, компьютер выделяет ей некоторую область своей памяти. 2. Плата сетевого адаптера запрашивает у компьютера данные. 3. Шина компьютера передает данные из его памяти плате сетевого адаптера. Часто данные поступают быстрее, чем их способна передать плата сетевого адаптера, поэтому они помещаются в буфер. Передача и управление данными Перед тем как послать данные по сети, плата сетевого адаптера проводит электронный диалог с принимающей платой, во время которого они «обговаривают»: • максимальный размер блока передаваемых данных; • объем данных, передаваемых без подтверждения о получении; • интервалы между передачами блоков данных; • интервал, в течение которого необходимо послать подтверждение; • объем данных, который может принять каждая плата, не переполняясь; • скорость передачи данных. Если новой (более сложной и быстрой) плате необходимо взаимодействовать со старой (медленной) платой, они должны найти общую для обеих скорость передачи. Схемы некоторых современных плат сетевого адаптера позволяют им приспособиться к медленной скорости старых плат. Каждая плата оповещает другую о своих параметрах, принимая «чужие» параметры и подстраиваясь к ним. После того как все детали определены, платы начинают обмен данными. Параметры конфигурации Параметры платы сетевого адаптера должны быть корректно установлены, чтобы ее работа протекала правильно. В их число входят: • прерывание; • базовый адрес порта ввода/вывода; • базовый адрес памяти; • используемый трансивер. Примечание. Параметры платы сетевого адаптера иногда устанавливаются в программном обеспечении, но они должны совпадать с установками, заданными на плате перемычками или DIP-переключателями. Дополнительную информацию о настройке платы с помощью переключателей можно получить из ее документации. Прерывание Линии запроса прерывания — это физические линии, по которым различные устройства (например, порты ввода/вывода, клавиатура, драйверы дисков и платы сетевого адаптера) могут послать микропроцессору компьютера запросы на обслуживание, или на прерывание. Линии запроса прерывания встроены в аппаратуру компьютера, они имеют различные уровни приоритетов, что позволяет процессору определить наиболее важный из запросов. Посылая компьютеру запрос, плата сетевого адаптера использует прерывание (interrupt) — электрический сигнал, который направляется центральному процессору компьютера. Все устройства в компьютере должны пользоваться разными линиями запроса прерывания, или прерыванием (IRQ). Линия запроса прерывания задается при настройке устройства. (Примеры см. в таблице.) В большинстве случаев платы сетевого адаптера используют прерывание IRQ3, IRQ5, IRQIO или IRQII. Если есть выбор, рекомендуем отдать предпочтение IRQ5, тем более что это значение установлено по умолчанию во многих системах. Чтобы определить, какие значения прерываний установлены по умолчанию в Вашей системе воспользуйтесь диагностическими программными утилитами, например Microsoft Diagnostic (MSD). Если ни IRQ3, ни IRQ5 недоступны, выберите другой доступный номер прерывания (никакое другое устройство Вашего компьютера не должно его использовать) из таблицы. IRQ Компьютер с процессором 80286 (и выше) 1 Клавиатура 2 Контроллер монитора(VGA) 3 Доступен (если не занят вторым последовательным портом (COM2, COM4) или мышью) 4 СОМ 1, COM3(последовательные порты) 5 Доступен (если не занят вторым параллельным портом (LPT2) или звуковой платой) 6 Контроллер дисковода 7 Параллельный порт (LPT1) 8 Часы 9 Доступен 10 Доступен 11 Доступен 12 Мышь (PS/2) 13 Математический сопроцессор 14 Контроллер жесткого диска 15 Вторичный контроллер жесткого диска (или свободен) Базовый порт ввода/вывода Базовый порт ввода/вывода (base i/o port) определяет канал, по которому курсируют данные между устройством компьютера (например, платой сетевого адаптера) и его центральным процессором. Для центрального процессора порт выглядит как адрес. Каждое устройство системы должно иметь уникальный адрес базового порта ввода/вывода. Адреса портов (в шестнадцатеричном формате), представленные в следующей таблице, если они не заняты, могут быть выделены плате сетевого адаптера. 3десь перечислены адреса портов и соответствующие им устройства. Сверьтесь с документацией компьютера, чтобы уточнить занятые адреса. Базовый адрес памяти Базовый адрес памяти (base address) указывает на ту область памяти компьютера (RAM), которая используется платой сетевого адаптера в качестве буфера для входящих и исходящих кадров данных. Этот адрес иногда называют начальным адресом RAM. Часто базовым адресом памяти у платы сетевого адаптера является D8000. (Для некоторых плат последний нуль не указывается: вместо D8000 пишется D800.) Запомните, необходимо выбирать базовый адрес памяти, не занятый другим устройством. Примечание. У плат сетевого адаптера, которые не используют оперативную память системы, отсутствует такой параметр, как базовый адрес памяти. Некоторые платы сетевого адаптера имеют параметр, позволяющий выделить определенный объем памяти для хранения кадров данных. Например, есть платы, в которых Вы можете выделить 16 Кб или 32 Кб памяти. Чем больше памяти Вы выделяете, тем выше скорость сети, но тем меньше памяти остается для других целей. Выбор трансивера Трансивер – электронное устройство, которое подключает сетевую карту компьютера к физической передающей среде. Трансиверы бывают встроенные и внешние. Внешние трансиверы применяются в сети Ethernet с толстым коаксиальным кабелем. Выбор трансивера производится с помощью перемычек на сетевой карте. Трансивер (приемопередатчик) сетевой карты осуществляет преобразование параллельного потока данных в последовательный и обратно. Это похоже на поток автомобилей, которые двигались по многополосному шоссе, а затем им пришлось выстроиться в один ряд. Совместимость Чтобы обеспечить совместимость компьютера и сети, плата сетевого адаптера должна отвечать следующим требованиям: • соответствовать внутренней структуре компьютера (архитектуре шины данных); • иметь соединитель (он должен подходить к типу кабельной системы) для подключения сетевого кабеля. Например, плата, которая должна работать в компьютере Apple в сети с топологией «шина», не будет работать в компьютере IBM в сети с топологией «кольцо», Сеть топологии «кольцо» требует плату, которая физически отличается от применяемой в сети топологии «шина», к тому же Apple использует другой метод взаимодействия по сети и внутреннюю системную шину. Архитектура шины данных К распространенным типам архитектуры шины данных относятся ISA, EISA, MCA, и PCI. Каждая из них физически отличается от остальных. Плата сетевого адаптера должна соответствовала шине. ISA (Industry Standard Architecture). ISA — это архитектура, используемая в компьютерах IBM PC, XT™, AT и совместимых с ними. Чтобы дополнить систему различными адаптерами, необходимо установить платы в слоты расширения. В 1984 году (когда IBM представила IBM PC/AT) ISA была расширена с 8 разрядов до 16. ISA — это название самого слота (8- или 16-разрядного), 8-разрядные слоты короче 16-разрядных, которые состоят из двух слота следующих один за другим. Поэтому 8-разрядная плата может быть вставлена в 16-разрядные слоты, но не наоборот. ISA была стандартной архитектурой персональных компьютеров, пока Compaq и несколько других компаний не разработали шину EISA. EISA (Extended Industry Standard Architecture). Этот стандарт шины был представлен в 1988 году консорциумом из девяти компьютерных компаний: AST Research, Inc., Compaq, Epson, Hewlett-Packard®, NEC Olivetti, Tandy, Wyse Technology и Zenith. EISA предлагает 32-разрядную шину, совместимую с ISA. Кроме того, она поддерживает дополнительные возможности, которыми обладает шина MCA (Micro Channel Architecture), разработанная IBM. IBM представила этот стандарт в 1988 году как часть своего проекта PS/2. Эта архитектура электрически и физически несовместима с шиной ISA. В отличие от ISA, Micro Channel работает и как 16-разрядная, и как 32-разрядная шина. Несколько процессоров контроля шины могут независимо управлять ею. PCI (Peripheral Component Interconnect). Это 32-разрядная локальная шина, которая используется в большинстве компьютеров с процессором Pentium и в компьютерах Apple Power Macintosh*. Современная архитектура PCI удовлетворяет большинству требований технологии Plug and Play. Plug and Play — это одновременно и философия построения персонального компьютера, и набор спецификаций его архитектуры. Цель технологии Plug and Play — возможность изменить конфигурацию персонального компьютера без вмешательства пользователя, т.е. максимально упростить подключение любого устройства. Примечание. Матплаты с разъемами ISA(Industry Standard Architecture) и ЕISA (Extended Industry Standard Architecture) в новых компьютерах практически не встречаются. Сетевые кабели и соединители Координируя взаимодействие сетевого кабеля и компьютера, плата сетевого адаптера выполняет три важные функции: • организует физическое соединение с кабелем; • генерирует электрические сигналы, передаваемые по кабелю; • следует определенным правилам, регламентирующим доступ к сетевому кабелю. Прежде чем выбрать плату сетевого адаптера, соответствующую Вашей сети. Вы должны определить тип кабеля и соединителей, которые будете использовать. Каждый тип кабеля имеет различные физические характеристики, которым должна соответствовать плата. Поэтому плата сетевого адаптера рассчитана для работы с определенным типом кабеля (коаксиальным, витой парой или оптоволокном). Некоторые платы сетевого адаптера имеют несколько типов соединителей. Например, есть платы, разъемы которых подходят для тонкого и толстого коаксиальных кабелей или для витой пары и толстого коаксиального кабеля. Если у платы сетевого адаптера более одного интерфейсного разъема, выбор каждого из них производится с помощью перемычек или DIP-переключателей, расположенных на самой плате, либо программно. Чтобы правильно сконфигурировать сетевую плату, обращайтесь к ее документации. Для подключения толстого коаксиального кабеля применяется 15-контактный ALJI-кабель, соединяющий 15-контактный (DB-15) разъем платы сетевого адаптера с внешним трансивером. Внешний трансивер использует для подключения к толстому коаксиальному кабелю так называемый «зуб вампира». Для подключения витой пары применяется разъем RJ-45, с виду RJ-45 напоминает телефонный разъем RJ-11, но он больше по размеру, поскольку имеет 8 контактов, а разъем RJ-11 — только 4. Некоторые сетевые технологии с витой парой используют разъем RJ-11. Такие технологии иногда называют pre-IOBaseT. Разъем RJ-11 — это разъем, используемый в телефонных сетях. Производительность сети Поскольку плата сетевого адаптера оказывает существенное влияние на передачу данных, естественно, она влияет и на производительность всей сети. Если плата медленная, то и скорость передачи данных по сети не будет высокой. В сети с топологией «шина», где нельзя начать передачу, пока кабель занят, медленная сетевая плата увеличивает время ожидания для всех пользователей. После определения физических требований к плате сетевого адаптера — типа разъема и типа сети, в которой она будет использоваться, — необходимо рассмотреть ряд факторов, влияющих на возможности платы. Хотя все платы сетевого адаптера удовлетворяют определенным минимальным стандартам и спецификациям, некоторые из плат имеют дополнительные возможности, повышающие производительность сервера, клиента и всей сети. Итак, к факторам, от которых зависит скорость передачи данных, относят следующие: • Прямой доступ к памяти. Данные напрямую передаются из буфера платы сетевого адаптера в память компьютера, не затрагивая при этом центральный процессор. • Разделяемая память адаптера. Плата сетевого адаптера имеет собственную оперативную память, которую она использует совместно с компьютером. Компьютер воспринимает эту память как часть собственной. • Разделяемая системная память. Процессор платы сетевого адаптера использует для обработки данных часть памяти компьютера. • Управление шиной. К плате сетевого адаптера временно переходит управление шиной компьютера, и минуя центральный процессор, плата передает данные непосредственно в системную память компьютера. При этом повышается производительность компьютера, так как его процессор в это время может решать другие задачи. Подобные платы дороги, но они способны повысить производительность сети на 20 — 70 процентов. Архитектуры EISA, МСА и РС1 поддерживают этот метод. • Буферизация. Для большинства плат сетевого адаптера современные скорости передачи данных по сети слишком высоки. Поэтому на плате сетевого адаптера устанавливают буфер — с помощью микросхем памяти. В случае, когда плата принимает данных больше, чем способна обработать, буфер сохраняет данные до тех пор, пока они не будут обработаны адаптером. Буфер повышает производительность платы, не давая ей стать узким местом системы. • Встроенный микропроцессор. С таким микропроцессором плате сетевого адаптера для обработки данных не требуется помощь компьютера. Большинство сетевых плат имеет свои микропроцессоры, которые увеличивают скорость сетевых операций. С серверами связана значительная часть сетевого трафика, поэтому они должны быть оборудованы платами сетевого адаптера с наибольшей производительностью. Рабочие станции могут использовать менее дорогие сетевые платы, если их работа с сетью ограничена приложениями, генерирующими небольшой объем сетевого трафика (например, текстовыми процессорами). Другие приложения (например, базы данных или инженерные приложения) довольно быстро перегрузят сетевые платы. не отвечающие их требованиям. Специализированные платы сетевого адаптера: платы сетевого адаптера беспроводных сетей Платы сетевого адаптера беспроводных сетей разработаны для большинства основных сетевых операционных систем. Вместе с такими платами часто поставляют: • излучающую антенну и кабель для подключения к ней; • программное обеспечение, позволяющее настроить плату для работы с определенной сетью; • диагностическое программное обеспечение; • программное обеспечение для установки; Указанные платы сетевого адаптера могут быть использованы: • для построения беспроводных локальных сетей; • беспроводного подключения станций к кабельной ЛВС. Часто подобные платы применяются вместе с так называемым беспроводным концентратором. Это устройство функционирует как трансивер — для передачи и приема сигналов. ПЗУ удаленной загрузки Бывают ситуации, когда безопасность данных настолько важна, что рабочие станции не оборудуются жесткими и гибкими дисками. Эта мера гарантирует, что пользователи не смогут ни скопировать данные на какой-либо магнитный носитель, ни вынести диск с рабочего места. Однако (поскольку обычно компьютер загружается с дискеты или с жесткого диска) необходимо иметь другой источник загрузки программного обеспечения, запускающего компьютер и подключающего его к сети. В таких случаях плата сетевого адаптера снабжается специальной микросхемой ПЗУ удаленной загрузки (remote-boot PROM), которая содержит код для загрузки компьютера и для подключения его к сети (зависит от сетевой операционной системы). С такой микросхемой бездисковые рабочие станции при запуске могут подключаться к сети. Вопросы для самоконтроля: 1. Назначение платы сетевого адаптера? 2. Что означает: подготовка данных перед отправкой? 3. Что такое MAC-адрес? 4. Что входит в параметры конфигурации платы сетевого адаптера? 5. Что такое «линии запроса прерывания»? 6. Что такое трансивер, и как его выбрать? 7. Перечислите распространенные типы архитектуры шины данных. 8. Чем отличаются платы сетевого адаптера беспроводных сетей от проводных? 9. Что такое ПЗУ удаленной загрузки? Тема 5. Стандартизация сетевых решений Цель лекции: Изучить передачу данных в сети на основе семиуровневой базовой эталонной модели связи открытых систем (OSI), а также рассмотреть спецификации стандартов IEEE802. Основные вопросы: 4.1. Базовая модель организации взаимодействия открытых систем (модель OSI). Сетевая модель комитета IEEE - Project 802. 4.2. Стандартные стеки коммуникационных протоколов. Стек OSI. Стек TCP/IP. Стек IPX/SPX. Стек NETBIOS/SMB. Стек SNA. Стек DECnet. Стандарты IEEE 802.x. 4.1. Базовая модель организации взаимодействия открытых систем (модель OSI). Работа сети заключается в передаче данных от одного компьютера к другому. В этом процессе можно выделить несколько отдельных задач: - распознать данные; • разбить данные на управляемые блоки; • добавить информацию к каждому блоку, чтобы указать местонахождение данных и указать получателя; • добавить информацию синхронизации и информацию для проверки ошибок; • поместить данные в сеть и отправить их по заданному адресу. Сетевая операционная система при выполнении всех задач следует строгому набору процедур. Эти процедуры называются протоколами или правилами поведения. Протоколы регламентируют каждую сетевую операцию. Стандартные протоколы позволяют программному и аппаратному обеспечению различных производителей нормально взаимодействовать. Существует два главных набора стандартов: модель OSI и ее модификация, называемая Project 802. Чтобы изучить техническую сторону функционирования сетей, необходимо иметь четкое представление об этих моделях. Модель OSI В 1978 году International Standards Organization (ISO) выпустила набор спецификаций, описывающих архитектуру сети с неоднородными устройствами. Исходный документ относился к открытым системам, чтобы все они могли использовать одинаковые протоколы и стандарты для обмена информацией. В 1984 году ISO выпустила новую версию своей модели, названную эталонной моделью взаимодействия открытых систем (Open System Interconnection reference model, OSI). Версия 1984 года стала международным стандартом: именно ее спецификации используют производители при разработке сетевых продуктов, именно ее придерживаются при построении сетей. Эта модель — широко распространенный метод описания сетевых сред. Являясь многоуровневой системой, она отражает взаимодействие программного и аппаратного обеспечения при осуществлении сеанса связи, а также помогает решить разнообразные проблемы. Многоуровневая архитектура В модели OSI сетевые функции распределены между семью уровнями. Каждому уровню соответствуют различные сетевые операции, оборудование и протоколы. Уровень 7 Прикладной уровень Уровень 6 Представительский уровень Уровень 5 Сеансовый уровень Уровень 4 Транспортный уровень Уровень 3 Сетевой уровень Уровень 2 Канальный уровень Уровень 1 Физический уровень Рис.1. Историческая семиуровневая модель OSI, представляющая собой инструментальное средство, позволяющее разработчикам протоколов создать набор протоколов, который решает все задачи связи. На рис. 1 представлена многоуровневая архитектура модели OS1. На каждом уровне выполняются определенные сетевые функции, которые взаимодействуют с функциями соседних уровней, вышележащего и нижележащего. Например, Сеансовый уровень должен взаимодействовать только с Представительским и Транспортным уровнем и т.п. Нижние уровни — 1-й и 2-й — определяют физическую среду передачи данных и сопутствующие задачи (такие, как передача битов данных через плату сетевого адаптера и кабель). Самые верхние уровни определяют, каким способом осуществляется доступ приложений к услугам связи. Чем выше уровень, тем более сложную задачу он решает. Каждый уровень предоставляет несколько услуг (т.е. выполняет несколько операций), подготавливающих данные для доставки по сети на другой компьютер. Уровни отделяются друг от друга границами — интерфейсами. Все запросы от одного уровня к другому передаются через интерфейс. Каждый уровень использует услуги нижележащего уровня. Взаимодействие уровней модели OS1 Задача каждого уровня — предоставление услуг вышележащему уровню, «маскируя» детали реализации этих услуг. При этом каждый уровень на одном компьютере работает так, будто он напрямую связан с таким же уровнем на другом компьютере. Однако в действительности связь осуществляется между смежными уровнями одного компьютера — программное обеспечение, работающее на каждом уровне, реализует определенные сетевые функции в соответствии с набором протоколов. Перед подачей в сеть данные разбиваются на пакеты. Пакет (packet) — это единица информации, передаваемая между устройствами сети как единое целое. Пакет проходит последовательно через все уровни программного обеспечения. На каждом уровне к пакету добавляется некоторая информация, форматирующая или адресная, которая необходима для успешной передачи данных по сети. На принимающей стороне пакет проходит через все уровни в обратном порядке. Программное обеспечение на каждом уровне читает информацию пакета, затем удаляет информацию, добавленную к пакету на этом же уровне отправляющей стороной, и передает пакет следующему уровню. Когда пакет дойдет до Прикладного уровня, вся адресная информация будет удалена и данные примут свой первоначальный вид. Таким образом, за исключением самого нижнего уровня сетевой модели, никакой иной уровень не может непосредственно послать информацию соответствующем) уровню другого компьютера. Информация на компьютере-отправителе должна пройти через все уровни. Затем она передается по сетевому кабелю на компьютер-получатель и опять проходит сквозь все слои, пока не достигнет того же уровня, с которого она была послана на компьютере-отправителе. Например, если Сетевой уровень передает информацию с компьютера А, она спускается через Канальный и Физический уровень) в сетевой кабель, далее по нему попадает в компьютер В, где поднимается через Физический и Канальный уровни и достигает Сетевого уровня. В клиент-серверной среде примером информации, переданной Сетевым уровне) компьютера А Сетевому уровню компьютера В, мог бы служить адрес и, очевидно информация контроля ошибок, добавленные к пакету. Взаимодействие смежных уровней осуществляется через интерфейс. Интерфейс определяет услуги, которые нижний уровень предоставляет верхнему, и способ доступа к ним. Поэтому каждому уровню одного компьютера «кажется», что он непосредственно взаимодействует с таким же уровнем другого компьютера. Краткое описание каждого из семи уровней модели OS1 и определение услуг, которые они предоставляют смежным уровням. Прикладной уровень Уровень 7: Прикладной (Application), — самый верхний уровень модели OS1. Он представляет собой окно для доступа прикладных процессов к сетевым услугам. Этот уровень обеспечивает услуги, напрямую поддерживающие приложения пользователя, т кие, как программное обеспечение для передачи файлов, доступа к базам данных электронная почта. Нижележащие уровни поддерживают задачи, выполняемые Прикладном уровне. Прикладной уровень управляет общим доступом к сети, потоком данных и обработкой ошибок. Представительский уровень Уровень 6: Представительский (Presentation), определяет формат, используемый для обмена данными между сетевыми компьютерами. Этот уровень можно назвать переводчиком. На компьютере-отправителе данные, поступившие от Прикладного уровня переводятся в общепонятный ПРОМЕЖУТОЧНЫЙ формат, на компьютере-получателе на этом уровне происходит перевод из промежуточного формата в тот, который используется Прикладным уровнем данного компьютера. Представительский уровень отвечает за преобразование протоколов, трансляцию данных, их шифрование, смену или преобразование применяемого набора символов (кодовой таблицы) и расширение графических команд. Представительский уровень, кроме того, управляет сжатием данных для уменьшения передаваемых битов. На этом уровне работает утилита, называемая редиректором (redirector). Ее назначение — переадресовать операции ввода/вывода к ресурсам сервера. Сеансовый уровень Уровень 5: Сеансовый (Session), позволяет двум приложениям на разных компьютерах устанавливать, использовать и завершать соединение, называемое сеансом. На этом уровне выполняются такие функции, как распознавание имен и защита, необходимые для связи двух приложений в сети. Сеансовый уровень обеспечивает синхронизацию между пользовательскими задачами посредством расстановки в потоке данных контрольных точек (chekpoints). Таким образом, в случае сетевой ошибки, потребуется заново передать только данные, следующие за последней контрольной точкой. На этом уровне выполняется управление диалогом между взаимодействующими процессами, т.е. регулируется, какая из сторон осуществляет передачу, когда, как долго и т.д. Транспортный уровень Уровень 4: Транспортный (Transport), обеспечивает дополнительный уровень соединения — ниже Сеансового уровня. Транспортный уровень гарантирует доставку пакетов без ошибок, в той же последовательности, без потерь и дублирования. На этом уровне сообщения переупаковываются: длинные разбиваются на несколько пакетов, а короткие объединяются в один. Это увеличивает эффективность передачи пакетов по сети. На Транспортном уровне компьютера-получателя сообщения распаковываются, восстанавливаются в первоначальном виде, и обычно посылается сигнал подтверждения приема. Транспортный уровень управляет потоком, проверяет ошибки и участвует в решении проблем, связанных с отправкой и получением пакетов. Сетевой уровень Уровень 3: Сетевой (Network), отвечает за адресацию сообщений и перевод логических адресов и имен в физические адреса. Одним словом, исходя из конкретных сетевых условий, приоритета услуги и других факторов здесь определяется маршрут от компьютера-отправителя к компьютеру-получателю. На этом уровне решаются также такие задачи и проблемы, связанные с сетевым графиком, как коммутация пакетов, маршрутизация и перегрузки. Если сетевой адаптер маршрутизатора не может передавать большие блоки дан- ных, посланные компьютером-отправителем, на Сетевом уровне эти блоки разбиваются на меньшие. А Сетевой уровень компьютера-получателя собирает эти данные в исходное состояние. Канальный уровень Уровень 2: Канальный, осуществляет передачу кадров (frames) данных от Сетевого уровня к Физическому. Кадры — это логически организованная структура, в которую можно помещать данные. Канальный уровень компьютера-получателя упаковывает «сырой» поток битов, поступающих от Физического уровня, в кадры данных. На рис. 3.3 представлен простой кадр данных, где идентификатор отправителя — адрес компьютера-отправителя, а идентификатор получателя — адрес компьютера- получателя. Управляющая информация используется для маршрутизации, а также указывает на тип пакета и сегментацию. Данные — собственно передаваемая информация. CRC (остаток избыточной циклической суммы) — это сведения, которые помогут выявить ошибки, что, в свою очередь, гарантирует правильный прием информации. Идентификатор Данные отправителя Рис. 3.3. Простой кадр данных Канальный уровень (Data link) обеспечивает точность передачи кадров между компьютерами через Физический уровень. Это позволяет Сетевому уровню считать передачу данных по сетевому соединению фактически безошибочной. Обычно, когда Канальный уровень посылает кадр, он ожидает со стороны получателя подтверждения приема. Канальный уровень получателя проверяет наличие возможных ошибок передачи. Кадры, поврежденные при передаче, или кадры, получение которых не подтверждено, посылаются вторично. Физический Уровень 1: Физический Уровень 1 — самый нижний в модели OSI. Этот уровень осуществляет передачу неструктурированного, «сырого» потока битов по физической среде (напри- мер, по сетевому кабелю). Здесь реализуются электрический, оптический, механический и функциональный интерфейсы с кабелем. Физический уровень также формирует сигналы, которые переносят данные, поступившие от всех вышележащих уровней. На этом уровне определяется способ соединения сетевого кабеля с платой сетевого адаптера, в частности, количество контактов в разъемах и их функции. Кроме того, здесь определяется способ передачи данных по сетевому кабелю. Физический (Physical) уровень предназначен для передачи битов (нулей и единиц) от одного компьютера к другому. Содержание самих битов на данном уровне значения не имеет. Этот уровень отвечает за кодирование данных и синхронизацию битов, гарантируя, что переданная единица будет воспринята именно как единица, а не как ноль. Наконец, Физический уровень устанавливает длительность каждого бита и способ перевода бита в соответствующие электрические или оптические импульсы, передаваемые по сетевому кабелю. Стандартные стеки коммуникационных протоколов: Стек TCP/IP. Стек IPX/SPX. Стек NETBIOS/SMB. Стек SNA. Стек DECnet. Стандарты IEEE 802.x. Основные понятия Протокол - совокупность четко сформулированных правил, которые должны соблюдаться при организации взаимодействия и передачи данных. Стек протоколов - иерархически организованный набор протоколов, достаточный для организации взаимодействия узлов в сети. Синонимом понятия "стек протоколов" является набор протоколов, хотя часто под стеком протоколов понимают реализацию набора протоколов. Набор протоколов - совокупность взаимосвязанных протоколов, функциональность которых полностью или частично соответствует всем уровням используемой сетевой модели. ARPAnet (Advanced Research Projects Agency Network, сеть управления перспективных исследований и разработок) - сеть ARPAnet была первой крупномасштабной глобальной компьютерной сетью с коммутацией пакетов. В 1991 году сеть ARPAnet была официально расформирована, однако некоторые ее части вошли в состав сети Интернет. ЮР (Interior Gateway Protocol, протокол внутреннего шлюзования) - термин, которым в наборе протоколов TCP/IP обозначаются протоколы, используемые для организации взаимодействия маршрутизаторов, относящихся к одной и той же автономной системе. Хост (host, главный узел) - компьютер, через который пользователи могут связываться с другими компьютерами. Запросы на комментарии и предложения, RFC (Requests for Comments) - наборы документов проблемной группы IETF, содержащие описания протоколов и моделей, результаты экспериментов и другую информацию. Совет по архитектуре Интернет, IAB (Internet Architecture Board) - международная организация, занимающаяся разработкой и рассмотрением стандартов и направления развития сети Интернет (ранее называлась Internet Activities Board). Стек протоколов TCP/IP Сегодня, пожалуй, каждого производителя или поставщика сетевого оборудования и программного обеспечения волнует вопрос о возможности взаимодействия различных сетей. Однако так было не всегда. Долгое время объединение компьютеров в сеть было "вотчиной" фирм-производителей. Но со временем разработчики начали осознавать необходимость создания программных и аппаратных средств, которые позволили бы объединять в единую сеть компьютеры с разными операционными системами. Для этой цели были разработаны различные наборы протоколов, в том числе и наиболее популярный в настоящее время стек протоколов TCP/IP (Transmission Control Protocol/In­ternet Protocol - протокол управления передачей/протокол Интернет). При этом под стеком протоколов чаще всего понимается реализация набора, хотя эти термины часто употребляются как синонимы. История набора TCP/IP начинается с того момента, когда Министерство обороны США столкнулось с проблемой объединения большого числа компьютеров с различными операционными системами. В 1970 году был сформирован необходимый набор стандартов, и протоколы, разработанные на базе этих стандартов, получили обобщенное название TCP/IP. И хотя первоначально стек TCP/IP разрабатывался для экспериментальной сети ARPAnet, в дальнейшем он был принят в промышленную эксплуатацию, а затем в течение нескольких лет расширялся и адаптировался. Позже набор адаптировали для использования в локальных сетях, а в начале 1980 года появилась и объединенная сеть Интернет. Переход к Интернет-технологии был завершен в 1983 году, когда Министерство обороны США решило, что все компьютеры, присоединенные к глобальной сети, будут использовать набор протоколов TCP/IP. Хотя протоколы TCP/IP неразрывно связаны с Интернетом, существует большое число локальных, корпоративных и территориальных сетей, непосредственно не являющихся частями Интернета, в которых также используют протоколы TCP/IP. Чтобы отличить их от Интернета, эти сети называют сетями TCP/IP или просто IP-сетями. Предназначение Само название набора протоколов TCP/IP состоит из названий двух основных протоколов стека - TCP (Transmission Control Protocol, протокол управления передачей) и IP (Internet Protocol, межсетевой протокол, или протокол Интернет). Этот набор включает ряд протоколов, который обеспечивает различные услуги и возможности, необходимые для взаимодействия разнородных компьютеров и сетей и управления ими. Набор протоколов TCP/IP представляет пользователям две основные службы, которые используют прикладные программы: дейтаграммное средство доставки пакетов и надежное потоковое транспортное средство. Использование дейтаграммного средства доставки пакетов означает, что протоколы TCP/IP определяют маршрут передачи небольшого сообщения, основываясь только на адресной информации, находящейся в этом сообщении. Доставка осуществляется без установки логического соединения. Это делает протоколы TCP/IP адаптируемыми к широкому диапазону сетевого оборудования. Надежное потоковое транспортное средство. Большинство приложений требует от коммуникационного программного обеспечения автоматического восстановления при ошибках передачи, потере пакетов или сбоях в промежуточных маршрутизаторах. Надежное транспортное средство позволяет устанавливать логическое соединение между приложениями, а затем посылать большие объемы данных по этому соединению. Структура TCP/IP Структура набора протоколов TCP/IP имеет четыре уровня: уровень сетевого интерфейса (уровень доступа к сети), сетевой уровень (межсетевой уровень), транспортный уровень (уровень взаимодействия хостов) и прикладной уровень (уровень обработки). Эта структура отражена на рисунке. Прежде чем более детально рассмотреть каждый из четырех уровней, важно сначала разобраться в некоторых понятиях. Следует заметить, что физический уровень эталонной модели OS1 (Open System Interconnection, взаимодействия открытых систем) остается вне набора TCP/IP, поэтому при сопоставлении с моделью OSI к набору TCP/IP придется добавить пятый - физический уровень. Этот уровень, разумеется, участвует в процессе передачи информации, но не имеет протоколов в наборе TCP/IP (как, впрочем, и в других наборах, поскольку характеризует физическую среду передачи данных: кабели, разъемы и т.д.). Сотрудники Министерства обороны США, разработавшие TCP/IP, основывали свою модель передачи данных на трех агентах, называемых процессами, хостами или сетями, с процессами, являющимися основными связующими сущностями. Процессы исполняются на хостах, представляющих собой компьютеры, которые могут поддерживать множество процессов. Хосты, в свою очередь, соединяются друг с другом через сеть. Для передачи данных от одного процесса к другому необходимо сначала передать данные на хост, в котором этот процесс реализуется, а затем исполнить процесс с указанными данными внутри этого хоста. В такой модели средство связи должно заниматься только маршрутизацией данных между хостами, а хосты - направлением данных в соответствующие процессы. Уровень доступа к сети управляет обменом данных внутри хостов и между хостами в пределах одной сети. Передающий хост снабжает сеть сетевым адресом принимающего хоста, чтобы гарантировать правильность передачи данных. Функции уровня доступа к сети протоколов TCP/IP соответствуют функциям физического, канального и частично сетевого уровней эталонной модели OSI (см. рисунок). Для передачи данных стека TCP/IP в физическую среду используется специальный протокол, называемый также протоколом доступа к среде, который не зависит от трех верхних уровней этого стека. Это означает, что TCP/IP может использовать фактически любой протокол доступа к среде, включая Ethernet, Token Ring или FDD1. Изоляция функций физического уровня от более высоких уровней означает также, что на функции сетевого, транспортного и прикладного уровней не оказывают влияния особенности используемого протокола более низкого уровня. Программное обеспечение, функционирующее на более высоком уровне, будет работать так же, независимо от типа сети, с которой связан хост. Сетевой уровень - уровень межсетевого взаимодействия; он обеспечивает передачу данных между хостами различных сетей. Сетевой протокол, осуществляющий маршрутизацию, выполняется не только на "локальных" хостах, но также и на шлюзах, которые соединяют две сети. Сетевой уровень принимает запрос на посылку пакета от транспортного уровня вместе с указанием адреса получателя. Уровень инкапсулирует пакет в дейтаграмму, заполняет ее заголовок и при необходимости использует алгоритм маршрутизации. На стороне получателя на сетевом уровне удаляется заголовок дейтаграммы и определяется, какой из транспортных протоколов будет обрабатывать пакет. Под дейтаграммой принято понимать пакет данных, адреса отправителя и получателя которых устанавливаются не сетью, а конечным пользователем. Дейтаграмма состоит из адресного поля (полей) и поля данных. Транспортный уровень гарантирует надежность данных и между двумя ТСР/1Р-хостами. Основной его задачей является обеспечение взаимодействия между прикладными программами. Транспортный уровень управляет потокам информации и обеспечивает высокую надежность передачи. Он принимает данные от нескольких прикладных программ и посылает их более низкому уровню. При этом транспортный уровень добавляет каждому пакету дополнительную информацию, в том числе контрольную сумму. Прикладной уровень обеспечивает протоколы всем необходимым для поддержания различных прикладных программ конечного пользователя, таких, как пересылка файла или электронная почта. Каждая прикладная программа выбирает тип транспортировки либо последовательность отдельных сообщений, либо их непрерывный поток. Протоколы TCP/IP Каждый протокол TCP/IP предоставляет одну конкретную услугу или ряд услуг для передачи данных от одного компьютера по сети к другому. При этом одни услуги более очевидны, другие - менее. Соответствие уровней стека и протоколов TCP/IP уровням эталонной модели OSI Модель OSI протокол TCP/IP Уровни стека TCP/IP Прикладной Telnet, FTP, SMMP, WWW, HTTP, MIME Прикладной(обработки) Транспортный Сеансовый TCP, UCP Транспортный (взаимодействие хостов) Транспортный Сетевой IP, ICMP, AMP, RARP, BGP, EGP Сетевой (межсетевой) Канальный SLIP, PPP Сетевого интерфейса (доступа к сети) Физический Физическая среда передачи данных *Примечание: 1.На верхних уровнях стека TCP/IP могут использоваться протоколы, работающие на канальном уровне эталонной модели OSI и не входящие в стек TCP/IP, Ethernet., Token­ Ring, FDDI, Fast Ethernet. 2. Протокол IP может использовать для передачи дейтаграмм сети Ethernet., Token­ Ring, FDDI, Fast Ethernet, АТМ. 4.2. Стандарты IEEE Project 802.х В конце 70-х годов, когда ЛВС стали восприниматься в качестве потенциального инструмента для ведения бизнеса, IEEE пришел к выводу: необходимо определить для них стандарты. В результате был выпущен Project 802, названный в соответствии с годом и месяцем своего издания (1980 год, февраль). Хотя публикация стандартов IEEE опередила публикацию стандартов ISO, оба проекта велись приблизительно в одно время и при полном обмене информацией, что и привело к рождению двух совместимых моделей. Project 802 установил стандарты для физических компонентов сети — интерфейсных плат и кабельной системы, — с которыми имеют дело Физический и Канальный уровни модели OSI. Итак, эти стандарты, называемые 802-спецификациями, распространяются: • на платы сетевых адаптеров; • компоненты глобальных вычислительных сетей; • компоненты сетей, при построении которых используют коаксиальный кабель и витую пару. 802-спецификации определяют способы, в соответствии с которыми платы сетевых адаптеров осуществляют доступ к физической среде и передают по ней данные. Сюда относятся соединение, поддержка и разъединение сетевых устройств. Категории Стандарты ЛВС, определенные Project 802, делятся на 12 категорий, каждая из которых имеет свой номер: 802.1 — объединение сетей. 802.2 — Управление логической связью. 802.3 — ЛВС с множественным доступом, контролем несущей и обнаружением коллизий (Ethernet). 802.4 — ЛВС топологии «шина» с передачей маркера. 802.5 — ЛВС топологии «кольцо» с передачей маркера. 802.6 — сеть масштаба города (Metropolitan Area Network, MAN). 802.7 — Консультативный совет по широковещательной технологии (Broadcast Technical Advisory Group). 802.8 — Консультативный совет по оптоволоконной технологии (Fiber-Optic Technical Advisory Group). 802.9 — Интегрированные сети с передачей речи и данных (Integrated Voice/Data Networks). 802.10 — Безопасность сетей. 802.11 — Беспроводная сеть. 802.12 — ЛВС с доступом по приоритету запроса (Demand Priority Access LAN, lOObaseVG- AnyLan). Вопросы для самоконтроля: 1. Базовая модель организации взаимодействия открытых систем (модель OSI). 2. Сетевая модель комитета IEEE - Project 802. 3. Перечислите стандартные стеки коммуникационных протоколов. Тема 6. Технологии построения и функционирования локальных сетей Цель лекции: Изучить технологии построения и функционирования локальных сетей: технологии Ethernet и другие технологии локальных сетей: Стандарт Token Ring. Стандарт FDDI и CDDI. Стандарт 100VG-AnyLAN. Стандарты ARCnet и TCNS. Стандарт Token Bus и Local Talk. Основные вопросы: 1. Технологии Ethernet 2. Другие технологии локальных сетей Топология лишь в общих чертах описывает организацию локальной сети. Зато сетевая архитектура предоставляет более подробную информацию не только о физическом расположении, но и о спецификациях используемых кабелей, и о методе, посредством которого компьютеры и прочие устройства получают доступ к сети. Сетевые архитектуры определяются строгими спецификациями, предложенными Институтом электротехники и элек­троники (Institute of Electrical and Electronics Engineers - IEEE), международной организацией, распространяющей по всему миру спецификации в области элект­ротехники и информационных технологий. В следующей лекции мы рассмотрим модель OSI, которая теоретически отражает процесс передачи данных в сети между передающим и принимающим устройствами. Хотя стандарты IEEE относятся к реальным функциональным возможностям сети, эти спецификации сгруппированы на уровне канала передачи данных тео­ретической модели OSI. Сотрудники IEEE внесли свои спецификации сетевой архитектуры в модель, которая теоретически объясняет взаимодействие сетей. Как и любые технологии, сетевые архитектуры переживают свой рассвет и закат. Например, вычислительная сеть с присоединенными ресурсами (Atta­ched Resource Computer Network -ARCnet), старейшая сетевая топология (старейшая - понятие относительное, поскольку эта архитектура была создана в 1977 году), использует топологию «кольцо», где от компьютера к компьютеру передается электронный маркер. Компьютер с маркером получал доступ к сети и мог передавать данные. Чтобы найти сеть ARCnet, вам придется искать очень долго (возможно, что такие сети еще существуют); ей на смену пришли новые сетевые архитекту­ры, такие как Ethernet (самая распространенная в мире) и IBM Token-Ring. Бо­лее того, новейшие архитектуры, такие как сеть с распределенным интерфей­сом передачи данных по оптоволоконным каналам (Fiber Distributed Data Interface - FDDI) и сеть с асинхронным режимом передачи (Asynchronous Transfer Mode - ATM), обеспечивают более быструю передачу данных по маги­стралям сети (об ATM речь пойдет в главе 13). Прежде чем уделить внимание наиболее распространенным сетевым архи­тектурам и их постоянному развитию, надо дать определение терминам ско­рость передачи данных и полоса пропускания. Скорость передачи данных измеряется в битах в секунду (бит/с). Бит - это один двоичный разряд, равный или единице (1), или нулю (0) (это наименьшая единица информации; 8 бит равны одному байту). Во всех сетевых архитектурах, которые мы будем рассматри­вать, скорость передачи данных превышает 1000000 бит/с (1 Мбит/с). В сетевых терминах полосой пропускания принято считать количество бит, пересылаемое по сетевому носителю за единицу времени. Таким образом, термины скорость передачи данных и полоса пропускания являются взаимозаменяемыми, когда речь идет о пропускной способности сетевой архитектуры. Еще одним важным моментом является расстояние, которое может пройти информационный сигнал по носителю определенного типа. Например, в сетях Ethernet длина медной витой пары не должна превышать 100 м (без использования усилителей сигнала, таких как репитеры, о которых речь пойдет далее). Если используется оптоволоконный кабель, его длина может достигать 2000 м. 6.1. Технологии Ethernet Как многие компьютерные и сетевые технологии, которыми мы пользуемся, сетевая архитектура Ethernet разработана в научно-исследовательском центре Palo Alto Research Center (PARC) компании Xerox в 1972 г. Коммерческая вер­сия Ethernet была выпущена в 1975 г. и обеспечивала скорость передачи дан­ных на уровне 3 Мбит/с. Ethernet получила всеобщее признание, и компании Xerox, Intel и Digital Equipment Corporation (DEC) объединили свои усилия, чтобы улучшить технические характеристики Ethernet и довести скорость передачи данных до 10 Мбит/с. Именно эта версия Ethernet, обеспечивающая скорость передачи данных на уровне 10 Мбит/с, прошла стандартизацию в институте IEEE, и ей была присвоена спецификация 802.3 (о которой речь пойдет дальше ). Это самая популярная сетевая архитектура в мире. Ethernet - пассивная сетевая архитектура. Компьютерам приходится соперни­чать друг с другом за право воспользоваться подходящим моментом для пере­дачи данных по сетевым носителям. Ethernet часто называют архитектурой с состязательным методом доступа. Эта архитектура обеспечивает множественный доступ к сети с контролем несущей и обнаружением конфликтов (Carrier Sense Multiple Access with Collision Detection -CSMA/CD). Такая стратегия доступа к сети означает, что устройство (компьютер) дожидается освобождения линии; «почувствовав», что линия свободна, он получает возможность передавать данные. Затем компьютер посылает свои пакеты данных в сеть. Если в это время начинает передачу еще один компьютер, возникает конфликт. Узнав о конфликте, компьютеры прекращают передачу информации и ждут освобождения линии. Затем один из компьютеров возобнов­ит передачу, получает контроль над линией и заканчивает передавать данные. Чтобы получить данные, компьютер просто ждет и «прослушивает» линию вязи. Узнав, что данная передача предназначается ему, он получает информа­цию посредством своей сетевой карты. Конфликты в сети Ethernet случаются очень часто. У таких устройств, как концентраторы, есть индикатор конфликтов на передней панели, и вам часто придется видеть мигающую лампочку, свидетельствующую о конфликте в локальной сети. Конфликты превращаются в серьезную проблему, только если их чрезмерно много. Конфликты в сети Ethernet - обычное явление, но проблемы возникает лишь тогда, когда их слишком много. Множественные конфликты могут быть вызваны неисправностью сетевой карты или другого устройства в сети. Кабели, превышающие максимально возможную длину, также могут привести к возникновению конфликтов, поскольку компьютеры не «чувствуют» деятельности компьютеров на противоположном конце сети. К тому же, чем боль­ше устройств в сети Ethernet, тем больше будет конфликтов. Существуют способы уменьшения числа конфликтов в локальной сети Ethernet, например ис­пользование маршрутизаторов и коммутаторов. Главное преимущество сети Ethernet заключается в ее дешевизне. Сетевые интерфейсные карты, кабели и концентраторы довольно дешевы по сравне­нию с оборудованием, необходимым для развертывания прочих сетевых архи­тектур, таких как IBM Token-Ring. Главнейший недостаток сети Ethernet связан с конфликтами в сети. Чем больше конфликтов, тем медленнее сеть, а чрезмер­ное количество конфликтов может даже привести к ее отключению. Что касается сетевых топологий, то обычно в сетях Ethernet используется шин­ная или звездообразная конфигурация в зависимости от типа кабелей. С распро­странением кабелей типа «витая пара» и падением цен на концентраторы все боль­шее распространение получает топология «звезда», показанная на рис.1. Сервер Лазерный принтер Рис.1. – Локальные сети Ethernet обычно используют топологию «звезда» с концентратором, расположенным в центре 6.2. Другие технологии локальных сетей Технология Fast Ethernet Существуют и более быстрые версии Ethernet – гораздо быстрее, чем оригинальная версия со скоростью передачи данных на уровне 10 Мбит/с. Технология Fast Ethernet получила свое название из=за более высокой скорости передачи данных. Fast Ethernet обеспечивает полосу пропускания 100 Мбит/с. Увеличение полосы пропускания связано с тем, что время, требуемое на передачу одного бита информации по сетевым носителям, уменьшено в 10 раз. То есть сеть Fast Ethernet в 10 раз быстрее, чем сеть Ethernet, и обеспечивает скорость передачи данных на уровне 100 Мбит/с. Технология Fast Ethernet не может быть реализована, если сетевые карты концентраторы рассчитаны на использование в сети Ethernet со скоростью передачи данных 10 Мбит/с. Однако многие современные концентраторы,коммутаторы и сетевые карты Ethernet имеют переключатель 10/1001, то есть могут подстраиваться под обе версии. Gigabit Ethernet Еще более быстрой версией Ethernet является Gigabit Ethernet, использующая те же спецификации IEEE и тот же формат данных, что и остальные версии Ethernet. Технология Gigabit Ethernet обеспечивает скорость передачи данных на уровне 1000 Мбит/с. Если в локальных сетях Fast Ethernet могут применяться и витые пары, и оптоволоконные кабели, то архитектура Gigabit Ethernet изначально рассчи­тана на использование только оптоволоконных кабелей и требует высокоско­ростных коммутаторов и специализированных серверов. Gigabit Ethernet заду­мывалась как высокоскоростная технология для крупных сетей. Однако в настоящее время технология Gigabit Ethernet используется в ло­кальных сетях, а сетевые карты, ее поддерживающие, могут устанавливаться в сетевых клиентах и серверах. Также в качестве носителей в сети Gigabit Ether­net могут использоваться кабели пятой категории. Сейчас разрабатывается еще более быстрая версия Gigabit Ethernet - lOGigabit Ethernet. Она также рассчитана как на оптоволоконные, так и на медные кабели. Спецификации IEEE и кабели для технологии Ethernet Институт IEEE разработал спецификации для многих сетевых технологий, ключая Ethernet. Некоторые из этих спецификаций: 802.3 - локальная сеть Ethernet (CSMA/CD); 802.5 - локальная сеть Token-Ring; 802.7 - отчет технической консультативной группы (Technical Advisory Group) по широкополосным сетям; 802.8 - отчет технической консультативной группы по оптоволоконные сетям; 802.9 - сети с интеграцией голоса и данных; 802.10 - сетевая безопасность; 802.11 - беспроводные сети. Как мы видим, технологии Ethernet соответствует спецификация 802.3 Ethernet действует на уровне канала передачи данных концептуальной модели OSI. Количество существующих типов Ethernet зависит от разновидностей используемых в сети кабелей. Технология Token-Ring Данная технология разработана в компании IBM в середине 1980-х гг. с целью соз­дания быстрой и надежной альтернативы сетям Ethernet. Хотя сети IBM Token­ Ring имеют звездообразную конфигурацию, в действительности такая архи­тектура функционирует по логической кольцевой схеме. Модуль множественного доступа (Multistation Access Unit - MAU) - центральное устройство, соединяющее компьютеры, формирует внутреннее кольцо, в котором доступ к сетевой среде управляется маркером, передаваемым от компьютера к компьютеру по кольцу. MAU - это аналог концентратора, который используется в сетях Ethernet. Он пред­ставляет собой центральный соединительный пункт для компьютеров локальной сети. Однако устроены MAU намного сложнее (да и стоят дороже), чем концентра­торы Ethernet. MAU формирует логическое кольцо, обеспечивающее топологию «кольцо», которая используется компьютерами локальной сети при передаче маркера.. Спецификации Token-Ring можно найти в категории IEEE 802.5. Token-Ring действует на уровне канала передачи данных модели OSI (а именно, на под. уровне управления доступом к носителю). В сетях Token-Ring используются экранированные кабели первого типа (с ограничением числа участников до 250 устройств) или витая пара пятой категории (с ограничением числа участ­ников до 72 устройств). Аппаратное обеспечение Token-Ring (сетевые платы и MAU) обычно стоят до роже, чем аппаратное обеспечение Ethernet, но сети Token-Ring считаются более надежными при высоком трафике, поскольку при доступе компьютеров к сетевым носителям конфликты не возникают, в отличие от сетей Ethernet. Давайте рас­смотрим подробнее стратегию доступа к сетевой среде в сети Token-Ring. Стратегия доступа в сети Token-Ring Сети Token-Ring строятся в виде звезды, причем функ­цию центрального соединительного пункта для устройств локальной сети выполняет модуль множественного доступа (MAU). MAU в сети Token-Ring пред­ставляет собой аналог концентратора, который используется в сетях Ethernet,хотя MAU - гораздо более сложное (и дорогое) устройство. В сетях Token-Ringиспользуется топология «кольцо», где данные движутся в одном направлении. Однако на самом деле кольцо, по которому передается маркер, является логи­ческим кольцом внутри MAU. Доступом к сетевой среде управляет маркер. Он передается по кольцу, пока компьютер, желающий переслать информацию в сеть, не получит этот маркер. Компьютер, передающий маркер следующему компьютеру в логическом кольце, называется предыдущим активным соседом (Nearest Active Down-earn Neighbor - NAUN). Компьютер, получающий маркер, называется последующим активным соседом (Nearest Active Upstream Neighbor - NADN). Получив маркер и передав информацию, компьютер создает новый маркер и передает его следующему активному соседу. Маркер будет перемещаться по сети, пока не попадет в компьютер, желающий воспользоваться им для пере­дачи информации. Данные, поступающие от компьютера в сеть, также движутся по логическому кольцу. Когда компьютер «видит» данные в сети, он получает их посредством сво­ей сетевой карты. Стандарты IEEE и кабели для технологии Token-Ring Спецификации для использования архитектуры Token-Ring определены инсти­тутом IEEE и обозначены как IEEE 802.5. Token-Ring, как Ethernet и прочие се­тевые архитектуры (например, FDDI), действуют на уровне канала передачи данных модели OSI. Так как благодаря стратегии передачи маркера компьютеры могут трансли­ровать данные, только когда обладают им, архитектура Token-Ring характери­зуется отсутствием конфликтов. Еще одним преимуществом стратегии Token-Ring является более равномерный доступ к сетевой среде по сравнению со стратегией, которую использует архитектура Ethernet (устройство в сети Ether­net может полностью «засорить» сеть, наводнив ее данными). То обстоятель­ство, что сети Token-Ring обеспечивают равные возможности для пересылки данных, сделало их популярными в определенных отраслях, например в бан­ковском деле, поскольку они организуют своевременную доставку важной ин­формации. В архитектуре Token-Ring предусмотрена одна важная функция, позволяющая компьютерам в сети диагностировать проблемы в логическом кольце. Этот про­цесс называется испусканием маяка (beaconing). Как только между сетевыми компьютерами устанавливается связь, первый подключенный к сети компьютер начинает исполнять функции активного монитора (Active Monitor). Ак­тивный монитор через каждые семь секунд посылает пакет данных, который движется по сети и выявляет узлы, задействованные в ней. Например, если ка­кой-то компьютер не получил пакет от предыдущего активного соседа, в сеть отправляется пакет данных, содержащий адреса этого компьютера и его предыду­щего соседа. Информация, находящаяся в этом пакете, позволяет автоматически перенастроить кольцо и поддержать сетевой трафик. Обычно сети Token-Ring отличаются меньшей скоростью, чем Ethernet (oсобенно Fast Ethernet). Token-Ring разработаны в двух вариантах: со скоростью передачи данных 4 Мбит/с и 16 Мбит/с. Однако появляются и более быстрые варианты сетей Token-Ring. Компания IBM и другие производители аппаратного обеспечения для сетей Token- Ring, такие как корпорация Olicom, выпускают сетевые интерфейсное карты Token-Ring, рассчитанные на 100 Мбит/с. Новый вариант архитектуры Token- Ring со скоростью передачи данных 100 Мбит/с называется High Speed Token-Rim (HSTR). Кроме того, корпорация Olicom разработала в дополнение к сетевым интерфейсным платам HSTR высокоскоростной коммутатор для установки в сети Token-Ring. Высокоскоростные сетевые карты и коммутаторы могут ис­пользоваться в существующих инфраструктурах Token-Ring, не требуя замены сетевых кабелей. Архитектура Gigabit Token-Ring используется в высокоскоростных магистралях, соединяющих локальные сети Token-Ring. Скорость передачи данных на уровне 1000 Мбит/с (1 Гбит/с) обеспечивается благодаря коммутаторам Giga­bit Token-Ring, разработанным компанией Madge. Они позволяют установить канал связи между двумя локальными сетями Token-Ring, причем в качестве свя­зующей магистрали используется оптоволоконный кабель. Хотя сети Ethrenet наиболее распространены по сравнению с сетями Token-Ring технологию Token-Ring нельзя назвать умирающей. Новые технологии коммута­ции и более быстрые версии архитектуры Token-Ring успешно повышают скорость передачи данных в сети. Подсчитано, что сети этого типа объединяют более 12 миллионов компьютеров по всему миру. Что касается спецификаций кабелей, архитектура Token-Ring использует со­вершенно иную систему нумерации и классификации. Самые распространенные типы кабелей обозначаются как тип 1 и тип 3. Тип 1 - это витая пара с экраниру­ющей оплеткой. Такой тип кабеля известен как экранированная витая пара (Shielded Twisted Pair - STP). Тип 3 - это неэкранированная витая пара. Он не­сколько дешевле, чем экранированный кабель первого типа, но может использо­ваться только в сетях со скоростью передачи данных 4 Мбит/с. Для соединения модулей MAU в сети Token-Ring также может служить опто­волоконный кабель. Поскольку его максимальная длина очень велика, соедине­ние модулей MAU позволяет распространять локальную сеть на значительное I расстояние. Такой тип кабеля обозначается как тип 5. Сети F DD I Хотя мы уже рассматривали сетевые архитектуры, используемые в малых и сред­них сетях (и даже в некоторых крупных сетях), нам следует обсудить архитектуру, которая встречается исключительно в сетях большого размера. Распределенный интерфейс передачи данных по оптоволоконным каналам (Fiber Distributed Data I Interface - FDDI) - это архитектура, обеспечивающая высокоскоростные сетевые магистрали, предназначенные для соединения и расширения локальных сетей. Она использует оптоволоконные кабели и топологию «звезда». Для доступа к сетевой среде используется маркер, а скорости передачи данных в таких сетях достаточно велики (самая распространенная скорость 100 Мбит/с, но это далеко не предел). Архитектуре FDDI не присвоена спецификация IEEE, но Национальный институт стандартизации США (American National Standards Institute - ANSI) обозначил ее как ANSI X3T9.5. Поскольку в сетях FDDI используется стратегия доступа с передачей маркера, они достаточно надежны и обеспечивают равный доступ для всех компьютеров в сети. К тому же в сети FDDI вы вправе установить уровень приоритета, чтобы серверы могли пересылать данные чаще, чем клиентские компьютеры. Развертывание сети FDDI обойдется недешево, так как для компьютеров требуются специальные сетевые карты, а оптоволоконные кабели стоят гораз­до дороже медных витых пар. Поскольку во многих сетях FDDI используется резервное второе кольцо, кабелей требуется вдвое больше. Так как сети FDDI используют топологию «кольцо», всегда существует опасность разрыва кольца. Для решения этой проблемы сеть FDDI строится в виде двух ко­лец. В них маркер передается по различным направлениям, а некоторые ключевые компьютеры подсоединены к обоим кольцам одновременно. Затем, если в одном из колец произошел разрыв, данные передаются в противоположном направлении по другому кольцу. Поскольку обычно сети FDDI используются в качестве высокоско­ростных магистралей, объединяющих различные типы локальных сетей, очень важно, чтобы они обеспечивали непрерывную связь между локальными сетями. Для этого предназначено резервное кольцо. Вопросы для самоконтроля: 1. Какие существуют технологии построения и функционирования локальных сетей? 2. Технология Ethernet. 3. Другие технологии локальных сетей: Стандарт Token Ring. Стандарт FDDI и CDDI. 4. Стандарт 100VG-AnyLAN. Стандарты ARCnet и TCNS. 5.Стандарт Token Bus и Local Talk. Тема 7. Сетевое программное обеспечение Цель лекции: Изучить сетевые операционные системы, их назначение, функции. Рассмотреть популярные СОС (NetWare фирмы Novell, Windows NT фирмы Microsoft, UNIX фирмы Bell Laboratory), их структура и применение. Основные вопросы: 7.1. Понятие сетевых ОС 7.2. Структура сетевых ОС 7.3. Клиентское и серверное ПО 7.4. Обзор сетевых ОС Клиент для сетей обеспечивает связь с другими компьютерами и серверами, а также доступ к файлам и принтерам. Сетевая карта является устройством, физически соединяющим компьютер с сетью. Для каждой сетевой карты устанавливаются свои драйверы, значение IRQ (требования к прерыванию) и адреса ввода/вывода. Протоколы используются для установления правил обмена информацией в сетях. Служба удаленного доступа позволяет делать файлы и принтеры доступными для компьютеров в сети. Применение многопользовательских версий прикладных программ резко увеличивают производительность. Многие системы управления базами данных позволяют нескольким рабочим станциям работать с общей базой данных. Большинство деловых прикладных программ также являются многопользовательскими. 7.1. Понятие сетевых ОС Сетевые операционные системы (Network Operating System –NOS) – это комплекс программ, обеспечивающих обработку, хранение и передачу данных в сети. Сетевая операционная система выполняет функции прикладной платформы, предоставляет разнообразные виды сетевых служб и поддерживает работу прикладных процессов, выполняемых в абонентских системах. Сетевые операционные системы используют клиент серверную либо одноранговую архитектуру. Компоненты NOS располагаются на всех рабочих станциях, включенных в сеть. NOS определяет взаимосвязанную группу протоколов верхних уровней, обеспечивающих выполнение основных функций сети. К ним, в первую очередь, относятся: -адресация объектов сети; -функционирование сетевых служб; -обеспечение безопасности данных; -управление сетью. При выборе NOS необходимо рассматривать множество факторов. Среди них: -набор сетевых служб, которые предоставляет сеть; -возможность наращивания имен, определяющих хранимые данные и прикладные программы; -механизм рассредоточения ресурсов по сети; -способ модификации сети и сетевых служб; -надежность функционирования и быстродействие сети; -используемые или выбираемые физические средства соединения; -типы компьютеров, объединяемых в сеть, их операционные системы; -предлагаемые системы, обеспечивающие управление сетью; -используемые средства защиты данных; -совместимость с уже созданными прикладными процессами; -число серверов, которое может работать в сети; -перечень ретрансляционных систем, обеспечивающих сопряжение локальных сетей с различными территориальными сетями; -способ документирования работы сети, организация подсказок и поддержек. 7.2. Структура сетевой операционной системы Сетевая операционная система составляет основу любой вычислительной сети. Каждый компьютер в сети автономен, поэтому под сетевой операционной системой в широком смысле понимается совокупность операционных систем отдельных компьютеров, взаимодействующих с целью обмена сообщениями и разделения ресурсов по единым правилам – протоколам. В узком смысле сетевая ОС – это операционная система отдельного компьютера, обеспечивающая ему возможность работать в сети. Рис. 7. 1. Структура сетевой ОС В соответствии со структурой, приведенной на рис. 7.1, в сетевой операционной системе отдельной машины можно выделить несколько частей. 1. Средства управления локальными ресурсами компьютера: функции распределения оперативной памяти между процессами, планирования и диспетчеризации процессов, управления процессорами, управления периферийными устройствами и другие функции управления ресурсами локальных ОС. 2. Средства предоставления собственных ресурсов и услуг в общее пользование – серверная часть ОС (сервер). Эти средства обеспечивают, например, блокировку файлов и записей, ведение справочников имен сетевых ресурсов; обработку запросов удаленного доступа к собственной файловой системе и базе данных; управление очередями запросов удаленных пользователей к своим периферийным устройствам. 3. Средства запроса доступа к удаленным ресурсам и услугам – клиентская часть ОС (редиректор). Эта часть выполняет распознавание и перенаправление в сеть запросов к удаленным ресурсам от приложений и пользователей. Клиентская часть также осуществляет прием ответов от серверов и преобразование их в локальный формат, так что для приложения выполнение локальных и удаленных запросов неразличимо. 4. Коммуникационные средства ОС, с помощью которых происходит обмен сообщениями в сети. Эта часть обеспечивает адресацию и буферизацию сообщений, выбор маршрута передачи сообщения по сети, надежность передачи и т.п., т. е. является средством транспортировки сообщений. Клиентское программное обеспечение Для работы с сетью на клиентских рабочих станциях должно быть установлено клиентское программное обеспечение. Это программное обеспечение обеспечивает доступ к ресурсам, расположенным на сетевом сервере. Тремя наиболее важными компонентами клиентского программного обеспечения являются редиректоры (redirector), распределители (designator) и имена UNC (UNC pathnames).[5] Редиректоры Редиректор – сетевое программное обеспечение, которое принимает запросы ввода/вывода для удаленных файлов, именованных каналов или почтовых слотов и затем переназначает их сетевым сервисам другого компьютера. Редиректор перехватывает все запросы, поступающие от приложений, и анализирует их. Фактически существуют два типа редиректоров, используемых в сети: 1. клиентский редиректор (client redirector) 2. серверный редиректор (server redirector). Оба редиректора функционируют на представительском уровне модели OSI. Когда клиент делает запрос к сетевому приложению или службе, редиректор перехватывает этот запрос и проверяет, является ли ресурс локальным (находящимся на запрашивающем компьютере) или удаленным (в сети). Если редиректор определяет, что это локальный запрос, он направляет запрос центральному процессору для немедленной обработки. Если запрос предназначен для сети, редиректор направляет запрос по сети к соответствующему серверу. По существу, редиректоры скрывают от пользователя сложность доступа к сети. После того как сетевой ресурс определен, пользователи могут получить к нему доступ без знания его точного расположения. Распределители Распределитель (designator) представляет собой часть программного обеспечения, управляющую присвоением букв накопителя (drive letter) как локальным, так и удаленным сетевым ресурсам или разделяемым дисководам, что помогает во взаимодействии с сетевыми ресурсами. Когда между сетевым ресурсом и буквой локального накопителя создана ассоциация, известная также как отображение дисковода (mapping a drive), распределитель отслеживает присвоение такой буквы дисковода сетевому ресурсу. Затем, когда пользователь или приложение получат доступ к диску, распределитель заменит букву дисковода на сетевой адрес ресурса, прежде чем запрос будет послан редиректору. Имена UNC Редиректор и распределитель являются не единственными методами, используемыми для доступа к сетевым ресурсам. Большинство современных сетевых операционных систем, так же как и Windows 95, 98, NT, распознают имена UNC (Universal Naming Convention — Универсальное соглашение по наименованию). UNC представляют собой стандартный способ именования сетевых ресурсов. Эти имена имеют форму \\Имя_сервера\имя_ресурса. Способные работать с UNC приложения и утилиты командной строки используют имена UNC вместо отображения сетевых дисков. Серверное программное обеспечение Для того чтобы компьютер мог выступать в роли сетевого сервера необходимо установить серверную часть сетевой операционной системы, которая позволяет поддерживать ресурсы и распространять их среди сетевых клиентов. Важным вопросом для сетевых серверов является возможность ограничить доступ к сетевым ресурсам. Это называется сетевой защитой (network security). Она предоставляет средства управления над тем, к каким ресурсам могут получить доступ пользователи, степень этого доступа, а также, сколько пользователей смогут получить такой доступ одновременно. Этот контроль обеспечивает конфиденциальность и защиту и поддерживает эффективную сетевую среду. В дополнение к обеспечению контроля над сетевыми ресурсами сервер выполняет следующие функции: - предоставляет проверку регистрационных имен (logon identification) для пользователей; - управляет пользователями и группами; - хранит инструменты сетевого администрирования для управления, контроля и аудита; - обеспечивает отказоустойчивость для защиты целостности сети. 7.3. Клиентское и серверное программное обеспечение Некоторые из сетевых операционных систем, в том числе Windows NT, имеют программные компоненты, обеспечивающие компьютеру как клиентские, так и серверные возможности. Это позволяет компьютерам поддерживать и использовать сетевые ресурсы и преобладает в одноранговых сетях. В общем, этот тип сетевых операционных систем не так мощен и надежен, как законченные сетевые операционные системы. Главное преимущество комбинированной клиентско–серверной сетевой операционной системы заключается в том, что важные ресурсы, расположенные на отдельной рабочей станции, могут быть разделены с остальной частью сети. Недостаток состоит в том, что если рабочая станция поддерживает много активно используемых ресурсов, она испытывает серьезное падение производительности. Если такое происходит, то необходимо перенести эти ресурсы на сервер для увеличения общей производительности. В зависимости от функций, возлагаемых на конкретный компьютер, в его операционной системе может отсутствовать либо клиентская, либо серверная части. На рис. 7.2 компьютер 1 выполняет функции клиента, а компьютер 2 – функции сервера, соответственно на первой машине отсутствует серверная часть, а на второй - клиентская. Рис. 7.1. Взаимодействие компонентов NOS Если выдан запрос к ресурсу данного компьютера, то он переадресовывается локальной операционной системе. Если же это запрос к удаленному ресурсу, то он переправляется в клиентскую часть, где преобразуется из локальной формы в сетевой формат, и передается коммуникационным средствам. Серверная часть ОС компьютера 2 принимает запрос, преобразует его в локальную форму и передает для выполнения своей локальной ОС. После того, как результат получен, сервер обращается к транспортной подсистеме и направляет ответ клиенту, выдавшему запрос. Клиентская часть преобразует результат в соответствующий формат и адресует его тому приложению, которое выдало запрос. Выбор сетевой операционной системы При выборе сетевой операционной системы необходимо учитывать: - совместимость оборудования; - тип сетевого носителя; - размер сети; - сетевую топологию; - требования к серверу; - операционные системы на клиентах и серверах; - сетевая файловая система; - соглашения об именах в сети; - организация сетевых устройств хранения. 7.4. Обзор сетевых ОС Одноранговые NOS и NOS с выделенными серверами В зависимости от того как распределены функции между компьютерами сети, сетевые операционные системы, а следовательно, и сети делятся на два класса: одноранговые и сети с выделенными серверами. Если компьютер предоставляет свои ресурсы другим пользователям сети, то он играет роль сервера. При этом компьютер, обращающийся к ресурсам другой машины, является клиентом. Компьютер, работающий в сети, может выполнять функции либо клиента, либо сервера, либо совмещать обе эти функции. На рис. 7.3, 7.4 приведены примеры структур одноранговых сетей и сетей с выделенными серверами. Рис.7.2. Одноранговая сеть Если выполнение каких-либо серверных функций является основным назначением компьютера, то такой компьютер называется выделенным сервером. В зависимости от того, какой ресурс сервера является разделяемым, он называется файл–сервером, факс–сервером, принт–сервером, сервером приложений, сервером БД, Web–сервером и т. д. На выделенных серверах устанавливается ОС для выполнения тех или иных серверных функций. Выделенный сервер не принято использовать в качестве компьютера для выполнения текущих задач, не связанных с его основным назначением, так как это может уменьшить производительность его работы как сервера. В одноранговых сетях все компьютеры равны в правах доступа к ресурсам друг друга. Каждый пользователь может по своему желанию объявить какой-либо ресурс своего компьютера разделяемым, после чего другие пользователи могут его эксплуатировать. В таких сетях на всех компьютерах устанавливается одна и та же ОС, которая предоставляет всем компьютерам в сети потенциально равные возможности. Одноранговые сети могут быть построены, например, на базе ОС LANtastic, Personal Ware, Windows for Workgroup, Windows NT Workstation. Одноранговые сети проще в организации и эксплуатации. Но они применяются в основном для объединения небольших групп пользователей, не предъявляющих больших требований к объемам хранимой информации, ее защищенности от несанкционированного доступа и к скорости доступа. Рис. 7.3. Клиент - серверная сеть При повышенных требованиях к этим характеристикам более подходящими являются сети с выделенными серверами, где сервер лучше решает задачу обслуживания пользователей своими ресурсами, так как его аппаратура и сетевая операционная система специально спроектированы для этой цели. В сетях с выделенными серверами чаще всего используются сетевые операционные системы, в состав которых входит нескольких вариантов ОС, отличающихся возможностями серверных частей. Например, сетевая операционная система Novell NetWare имеет серверный вариант, оптимизированный для работы в качестве файл-сервера, а также варианты оболочек для рабочих станций с различными локальными ОС, причем эти оболочки выполняют исключительно функции клиента. Другим примером ОС, ориентированной на построение сети с выделенным сервером, является операционная система Windows NT. В отличие от NetWare, оба варианта данной сетевой ОС – Windows NT Server (для выделенного сервера) и Windows NT Workstation (для рабочей станции) - могут поддерживать функции и клиента и сервера. Но серверный вариант Windows NT имеет больше возможностей для предоставления ресурсов своего компьютера другим пользователям сети, так как может выполнять более широкий набор функций, поддерживает большее количество одновременных соединений с клиентами, реализует централизованное управление сетью, имеет более развитые средства защиты. NOS для сетей масштаба предприятия Сетевые операционные системы имеют разные свойства в зависимости от того, предназначены они для сетей масштаба рабочей группы (отдела), для сетей масштаба кампуса или для сетей масштаба предприятия. Сети отделов используются небольшой группой сотрудников, решающих общие задачи. Главной целью сети отдела является разделение локальных ресурсов, таких как приложения, данные, лазерные принтеры и модемы. Сети отделов обычно не разделяются на подсети. Сети кампусов соединяют несколько сетей отделов внутри отдельного здания или одной территории предприятия. Эти сети являются все еще локальными сетями, хотя и могут покрывать территорию в несколько квадратных километров. Сервисы такой сети обеспечивают взаимодействие между сетями отделов, доступ к базам данных предприятия, доступ к факс–серверам, высокоскоростным модемам и высокоскоростным принтерам. Сети предприятия (корпоративные сети) объединяют все компьютеры всех территорий отдельного предприятия. Они могут покрывать город, регион или даже континент. В таких сетях пользователям предоставляется доступ к информации и приложениям, находящимся в других рабочих группах, отделах, подразделениях и штаб-квартирах корпорации. Сети отделов Главной задачей операционной системы, используемой в сети масштаба отдела, является организация разделения ресурсов, таких как приложения, данные, лазерные принтеры и, возможно, низкоскоростные модемы. Обычно сети отделов имеют один или два файловых сервера и не более чем 30 пользователей. Задачи управления на уровне отдела относительно просты. В задачи администратора входит добавление новых пользователей, устранение простых отказов, инсталляция новых узлов и установка новых версий программного обеспечения. Операционные системы сетей отделов хорошо отработаны и разнообразны, так же, как и сами сети отделов, уже давно применяющиеся и достаточно отлаженные. Такая сеть обычно использует одну или максимум две сетевые ОС. Чаще всего это сеть с выделенным сервером NetWare или Windows NT, или же одноранговая сеть, например сеть Windows for Workgroups. Сети кампусов Операционная система, работающая в сети кампуса, должна обеспечивать для сотрудников одних отделов доступ к некоторым файлам и ресурсам сетей других отделов. Услуги, предоставляемые ОС сетей кампусов, не ограничиваются простым разделением файлов и принтеров, а часто предоставляют доступ и к серверам других типов, например к факс–серверам и серверам высокоскоростных модемов. Важным сервисом, предоставляемым операционными системами данного класса, является доступ к корпоративным базам данных. Именно на уровне сети кампуса начинаются проблемы интеграции. В общем случае, отделы уже выбрали для себя типы компьютеров, сетевого оборудования и сетевых операционных систем. Очень часто сеть кампуса соединяет разнородные компьютерные системы, в то время как сети отделов используют однотипные компьютеры. Корпоративные сети Корпоративная сеть соединяет сети всех подразделений предприятия даже находящихся на значительных расстояниях. Корпоративные сети используют глобальные связи (WAN links) для соединения локальных сетей или отдельных компьютеров. Пользователям корпоративных сетей требуются все те приложения и услуги, которые имеются в сетях отделов и кампусов, плюс некоторые дополнительные приложения и услуги, например доступ к приложениям мейнфреймов и миникомпьютеров и к глобальным связям. Наряду с базовыми сервисами, связанными с разделением файлов и принтеров, сетевая ОС, которая разрабатывается для корпораций, должна поддерживать более широкий набор сервисов, в который обычно входят почтовая служба, средства коллективной работы, поддержка удаленных пользователей, факс-сервис, обработка голосовых сообщений, организация видеоконференций и др. К признакам корпоративных ОС могут быть отнесены также следующие особенности. 1. Поддержка приложений. В корпоративных сетях выполняются сложные приложения, требующие для выполнения большой вычислительной мощности. Приложения будут выполняться более эффективно, если их наиболее сложные в вычислительном отношении части перенести на специально предназначенный для этого мощный компьютер – сервер приложений. 2. Справочная служба. Корпоративная ОС должна хранить информацию обо всех пользователях и ресурсах. Например, в Windows NT имеется по крайней мере пять различных типов справочных баз данных. Главный справочник домена (NT Domain Directory Service) хранит информацию о пользователях, которая используется при организации их логического входа в сеть. Данные о тех же пользователях могут содержаться и в другом справочнике, используемом электронной почтой Microsoft Mail. Еще три базы данных поддерживают разрешение низкоуровневых адресов: WINS устанавливает соответствие Netbios-имен IP-адресам, справочник DNS – сервер имен домена – оказывается полезным при подключении NT-сети к Internet, и, наконец, справочник протокола DHCP используется для автоматического назначения IP-адресов компьютерам сети. Наличие единой справочной службы для сетевой операционной системы – один из важнейших признаков ее корпоративности. 3. Безопасность. Особую важность для ОС корпоративной сети приобретают вопросы безопасности данных. Для защиты данных в корпоративных сетях наряду с различными аппаратными средствами используется средства защиты, предоставляемые операционной системой: избирательные или мандатные права доступа, сложные процедуры аутентификации пользователей, программная шифрация. Сетевые ОС NetWare фирмы Novell Назначение ОС NetWare Файловый сервер в ОС NetWare является обычным ПК, сетевая ОС которого осуществляет управление работой ЛВС. Функции управления включают координацию рабочих станций и регулирование процесса разделения файлов и принтеров в ЛВС. Сетевые файлы всех рабочих станций хранятся на жестком диске файлового сервера, а не на дисках рабочих станций. Сетевая операционная система NetWare допускает использование более двухсот типов сетевых адаптеров, более ста типов дисковых подсистем для хранения данных, а также устройств дублирования данных и файловых серверов. ОС NetWare версий 3 и 4 предназначены для обеспечения доступа к общим ресурсам сети со стороны нескольких пользователей. В качестве таких ресурсов выступают файлы данных, принтеры, модемы, модули и т. д. NetWare поддерживает возможность описания различных типов объектов: пользователей, групп, файловых серверов, очередей печати, серверов печати и т. д. Каждый из этих типов объектов имеет свой набор свойств. Например, объект–пользователь характеризуется следующими атрибутами: пароль, балансовый счет, список групп. Значением атрибута является та совокупность данных, которая содержится в полях этого атрибута. Системная база данных представляет собой множество файлов, хранящихся на томе SYS файлового сервера. Структурная схема OC Структурная схема OC приведена на рис. 7.5. Ядро ОС NetWare загружается в ОП файлового сервера из-под DOS. В процессе функционирования ядро выполняет также роль диспетчера нитей (задач) операционной системы. Каждая нить или связана с каким-либо NLM-модулем (NetWare Loadable Module – загружаемый модуль NetWare), или представляет собой внутреннюю задачу ОС. NLM-модуль – это исполняемый файл ОС NetWare 3 и 4. Системная база данных сетевых ресурсов является частью операционной системы и играет роль надежного хранилища системной информации: - об объектах; - об их свойствах (атрибутах); - о значениях этих свойств. Рис. 7.4. Укрупненная структурная схема ОС NetWare Сетевая файловая система Одна из основных целей использования сетей – это обеспечение доступа всех пользователей к общим устройствам хранения информации, в основном, к жестким дискам. Организация файловой системы во многом схожа с организацией файловой системы DOS, но также имеет отличия. Как и в DOS, информация хранится в файлах. Файлы размещаются в древовидной структуре каталогов и подкаталогов. Корнем такого дерева, в отличие от DOS, является том. Тома располагаются на серверах. При наличии соответствующих прав пользователь может получить доступ к томам всех серверов, доступных в сети. Войдя в сеть, можно создавать другие каталоги. Пользователи могут обмениваться файлами через эти каталоги и хранить в них свои собственные файлы. Однако прежде чем использовать созданные каталоги, необходимо, во-первых, описать пользователей в системе и, во-вторых, наделить их правами, необходимыми для доступа к каталогам. Пользователь осуществляет доступ к файлам и каталогам NetWare с рабочей станции, на которой установлена своя операционная система, например DOS Основные сетевые возможности NetWare поддерживает следующие уровни протоколов по классификации OSI: -канальный, обрабатывающий заголовок кадра (драйвер сетевого адаптера); -сетевой (протоколы IPX, SPX, NetBIOS, TLI); -транспортный (протоколы SPX, NetBIOS, TLI, NCP); -сеансовый (протоколы NetBIOS, NCP); -прикладной (протоколы RIP, NLSP, SAP). Протокол IPX (Internetwork Packet eXchange) обрабатывает пакеты, являющиеся основным средством, которое используется при передаче данных в сетях NetWare. Протокол IPX определяет самый быстрый уровень передачи данных в сетях NetWare. Он относится к классу дейтаграммных протоколов типа "точка–точка" без установления соединения. Это означает, что вашей прикладной программе не требуется устанавливать специальное соединение с получателем. Впрочем, IPX имеет несколько недостатков: -не гарантирует доставку данных; -не гарантирует сохранения правильной последовательности при приёме пакетов; -не подавляет прием дублированных пакетов, т. е. обработка ошибок, возникающих при передаче пакетов IPX, возлагается на прикладную программу, принимающую пакеты. Указанных недостатков не имеет протокол транспортного уровня SPX (Sequenced Packet eXchange), ориентированный на установление соединения. Протокол SPX обрабатывает пакет SPX. Оценивая протоколы IPX и SPX, можно сказать, что протокол IPX быстр, но SPX надёжен. В NetWare протокол NETBIOS является надстройкой над протоколом IPX и используется для организации обмена данными между рабочими станциями. Протокол NetBIOS реализован в виде резидентной программы NetBIOS.EXE, входящей в комплект поставки NetWare. Сравнивая методы адресации, используемые протоколами IPX/SPX и NetBIOS, можно заметить, что метод адресации протокола NetBIOS более удобен. Вы можете адресовать данные не только одной станции (как в IPX и SPX) или всем станциям сразу (как в IPX), но и группе станций, имеющих одинаковое групповое имя. Защита информации Средства защиты информации встроены в NetWare на базовых уровнях операционной системы, а не являются надстройкой в виде какого-либо приложения. Поскольку NetWare использует на файл-сервере особую структуру файлов, то пользователи не могут получить доступ к сетевым файлам, даже если они получат физический доступ к файл-серверу. Операционные системы NetWare содержат механизмы защиты следующих уровней: -защита информации о пользователе; -защита паролем; -защита каталогов; -защита файлов; -межсетевая защита. С точки зрения защиты ОС NetWare не делает различия между операционными системами рабочих станций. Станции, работающие под управлением DOS, Windows, OS/2, Macintosh и UnixWare, обслуживаются совершенно одинаково, и все функции защиты применяются ко всем операционным системам, которые могут использоваться в сети NetWare. Семейство сетевых ОС Windows NT В июле 1993 г. появились первые ОС семейства NT – Windows NT 3.1 и Windows NT Advanced Server 3.1. Выход версии 3.5, заметно снизившей требования, предъявляемые к технике, и включавшей ряд полезных функций, положил начало стремительному росту популярности ОС Windows NT. Сегодня она широко применяется самыми разными организациями, в том числе банками, заводами и индивидуальными пользователями. Операционная система Windows NT Server сертифицирована на соответствие уровню безопасности C-2. А также имеет встроенный криптографический интерфейс, позволяющий приложениям стандартным образом обращаться к системам криптозащиты разных производителей. Структура Windows NT Структурно Windows NT может быть представлена в виде двух частей: часть операционной системы, работающая в режиме пользователя, и часть операционной системы, работающая в режиме ядра (рис. 7.6). Windows NT Server может выступать как: • файл-сервер; • сервер печати; • сервер приложений; • контроллер домена; • сервер удаленного доступа; • сервер Internet; • сервер обеспечения безопасности данных; • сервер резервирования данных; • сервер связи сетей; • сервер вспомогательных служб. • Рис. 7.5. Структура ОС на базе микроядра Сетевые средства Средства сетевого взаимодействия Windows NT направлены на реализацию взаимодействия с существующими типами сетей, обеспечение возможности загрузки и выгрузки сетевого программного обеспечения, а также на поддержку распределенных приложений. Windows NT с точки зрения реализации сетевых средств имеет следующие особенности: -встроенность на уровне драйверов, обеспечивает быстродействие; -открытость, предполагает легкость динамической загрузки/выгрузки и мультиплексируемость протоколов. -наличие сервиса вызова удаленных процедур (RPC – Remote Procedure Call), именованных конвейеров и почтовых ящиков для поддержки распределенных приложений. Наличие дополнительных сетевых средств, позволяющих строить сети в масштабах корпорации: дополнительные средства безопасности, централизованное администрирование, отказоустойчивость (источник бесперебойного питания, зеркальные диски). Состав Windows NT Windows NT представляет из себя модульную операционную систему. Основными модулями являются: Уровень аппаратных абстракций (Hardware Abstraction Layer – HAL); Ядро (Kernel); Исполняющая система (Windows NT executive); Защитные подсистемы (Protected subsystems); Подсистемы среды (Environment subsystems). Рис. 7.6. Структура Windows NT Свойства Windows NT Улучшенное авто распознавание аппаратуры, возможность ручного выбора и конфигурирования сетевых адаптеров, если автоматическое распознавание не дает положительного результата. Встроенная совместимость с NetWare. Возможность выполнения роли шлюза к сетям NetWare, так что Windows NT-компьютеры могут получать доступ к файлам, принтерам и серверам приложений NetWare. Встроенная поддержка TCP/IP. Новая высокопроизводительная реализация протоколов TCP/IP, которая обеспечивает простое, мощное решение для межсетевого взаимодействия. Помимо этого, имеются базовые утилиты, такие как ftp, tftp, telnet, команды rarp , arp, route и finger. Значительные улучшения средств удаленного доступа RAS, включающие поддержку IPX/SPX и TCP/IP, использование стандартов Point to Point Protocol (PPP) и Serial Line IP (SLIP). Сервер RAS может теперь поддерживать до 256 соединений (вместо 64 в версии 3.1). Полная поддержка хранения встроенных объектов OLE 2.x и поиска составных документов. К этим возможностям относятся связывание, встраивание, связывание со встроенными объектами, технологии "drag-and-drop" и OLE-Automation. Надежность. Приложения, разработанные для MS Windows 3.x и MS-DOS, выполняются более надежно, так как каждое приложение теперь работает в своем адресном пространстве. Поддержка различных ОС. Клиентами в сети с Windows NT Server могут являться компьютеры с различными операционными системами. Стандартно поддерживаются: MS-DOS, OS/2, Windows for Workgroups, UNIX, Macintosh, Windows NT Workstation. Программное обеспечение возможных клиентов включается в стандартную поставку Windows NT Server. Взаимодействие с UNIX в Windows NT обеспечивается посредством поддержки общих стандартных сетевых протоколов (включая TCP/IP), стандартных способов распределенной обработки, стандартных файловых систем и совместного использования данных, а также благодаря простоте переноса приложений. Несмотря на то, что система Windows NT была разработана для поддержки работы по схеме клиент–сервер, для совместимости с UNIX-хостами встроена эмуляция терминалов. SNMP. В Windows NT имеется ряд средств для интеграции в системы, использующие протокол SNMP (Simple Network Management Protocol), что позволяет выполнять удаленное администрирование Windows NT с помощью, например, SUN Net Manager и HP Open View. Обеспечивается поддержка графических и текстовых терминалов. Области использования Windows NT Сетевая операционная система Windows NT Workstation может использоваться как клиент в сетях Windows NT Server, а также в сетях NetWare, UNIX. Она может быть рабочей станцией и в одноранговых сетях, выполняя одновременно функции и клиента, и сервера. А также Windows NT Workstation может применяться в качестве ОС автономного компьютера при необходимости обеспечения повышенной производительности, секретности, а также при реализации сложных графических приложений, например в системах автоматизированного проектирования. Сетевая операционная система Windows NT Server может быть использована, прежде всего, как сервер в корпоративной сети. Здесь весьма полезной оказывается его возможность выполнять функции контроллера доменов, позволяя структурировать сеть и упрощать задачи администрирования и управления. Он используется также в качестве файл-сервера, принт–сервера, сервера приложений, сервера удаленного доступа и сервера связи (шлюза). Кроме того, Windows NT Server может быть использован как платформа для сложных сетевых приложений, особенно тех, которые построены с использованием технологии клиент–сервер. Семейство ОС UNIX Операционная система UNIX с самого своего возникновения была по своей сути сетевой операционной системой. С появлением многоуровневых сетевых протоколов TCP/IP компания AT&T реализовала механизм потоков (Streams), обеспечивающий гибкие и модульные возможности для реализации драйверов устройств и коммуникационных протоколов. Streams представляют собой связанный набор средств общего назначения, включающий системные вызовы и подпрограммы, а также ресурсы ядра. В совокупности эти средства обеспечивают стандартный интерфейс символьного ввода/вывода внутри ядра, а также между ядром и соответствующими драйверами устройств, предоставляя гибкие и развитые возможности разработки и реализации коммуникационных сервисов. Большая часть коммуникационных средств ОС UNIX основывается на использовании протоколов стека TCP/IP. В UNIX System V Release 4 протокол TCP/IP реализован как набор потоковых модулей плюс дополнительный компонент TLI (Transport Level Interface - Интерфейс транспортного уровня). TLI является интерфейсом между прикладной программой и транспортным механизмом. Приложение, пользующееся интерфейсом TLI, получает возможность использовать TCP/IP. Простейшая форма организации потокового интерфейса показана на рисунке 7.7. Рис. 7.7. Простая форма потокового интерфейса Одним из достоинств ОС UNIX является то, что система базируется на небольшом числе интуитивно ясных понятий. С самого начала ОС UNIX замышлялась как интерактивная система. Другими словами, операционная система UNIX предназначена для терминальной работы. Чтобы начать работать, человек должен "войти" в систему, введя со свободного терминала свое учетное имя (account name) и, возможно, пароль (password). Человек, зарегистрированный в учетных файлах системы и, следовательно, имеющий учетное имя, называется зарегистрированным пользователем системы. Регистрацию новых пользователей обычно выполняет администратор системы. Пользователь не может изменить свое учетное имя, но может установить и/или изменить свой пароль. Программы ОС UNIX одновременно является операционной средой использования существующих прикладных программ и средой разработки новых приложений. Новые программы могут писаться на разных языках (Фортран, Паскаль, Модула, Ада и др.). Однако стандартным языком программирования в среде ОС UNIX является язык Си (который в последнее время все больше заменяется на Си++). Это объясняется тем, что, во-первых, сама система UNIX написана на языке Си, а, во-вторых, язык Си является одним из наиболее качественно стандартизованных языков. Ядро ОС UNIX Как и в любой другой многопользовательской операционной системе, обеспечивающей защиту пользователей друг от друга и защиту системных данных от любого непривилегированного пользователя, в ОС UNIX имеется защищенное ядро, которое управляет ресурсами компьютера и предоставляет пользователям базовый набор услуг. К основным функциям ядра ОС UNIX принято относить следующие: 1. Инициализация системы – функция запуска и раскрутки. Ядро системы обеспечивает средство раскрутки (bootstrap), которое обеспечивает загрузку полного ядра в память компьютера и запускает ядро. 2. Управление процессами и нитями – функция создания, завершения и отслеживания существующих процессов и нитей (процессов, выполняемых на общей виртуальной памяти). Поскольку ОС UNIX является мультипроцессорной операционной системой, ядро обеспечивает разделение между запущенными процессами времени процессора (или процессоров в мультипроцессорных системах) и других ресурсов компьютера для создания внешнего ощущения того, что процессы реально выполняются в параллель. 3. Управление памятью – функция отображения практически неограниченной виртуальной памяти процессов в физическую оперативную память компьютера, которая имеет ограниченные размеры. Соответствующий компонент ядра обеспечивает разделяемое использование одних и тех же областей оперативной памяти несколькими процессами с использованием внешней памяти. 4. Управление файлами – функция, реализующая абстракцию файловой системы, иерархии каталогов и файлов. Файловые системы ОС UNIX поддерживают несколько типов файлов. Некоторые файлы могут содержать данные в формате ASCII, другие будут соответствовать внешним устройствам. В файловой системе хранятся объектные файлы, выполняемые файлы и т.д. Файлы обычно хранятся на устройствах внешней памяти; доступ к ним обеспечивается средствами ядра. В мире UNIX существует несколько типов организации файловых систем. Современные варианты ОС UNIX одновременно поддерживают большинство типов файловых систем. 5. Коммуникационные средства - функция, обеспечивающая возможности обмена данными между процессами, выполняющимися внутри одного компьютера (IPC - Inter-Process Communications), между процессами, выполняющимися в разных узлах локальной или глобальной сети передачи данных, а также между процессами и драйверами внешних устройств. 6. Программный интерфейс – функция, обеспечивающая доступ к возможностям ядра со стороны пользовательских процессов на основе механизма системных вызовов, оформленных в виде библиотеки функций. Файловая система Понятие файла является одним из наиболее важных для ОС UNIX. Все файлы, с которыми могут манипулировать пользователи, располагаются в файловой системе, представляющей собой дерево, промежуточные вершины которого соответствуют каталогам, а листья – файлам и пустым каталогам. Реально на каждом логическом диске (разделе физического дискового пакета) располагается отдельная иерархия каталогов и файлов. Каждый каталог и файл файловой системы имеет уникальное полное имя (в ОС UNIX это имя принято называть full pathname – имя, задающее полный путь, поскольку оно действительно задает полный путь от корня файловой системы через цепочку каталогов к соответствующему каталогу или файлу; мы будем использовать термин "полное имя", поскольку для pathname отсутствует благозвучный русский аналог). Каталог, являющийся корнем файловой системы (корневой каталог), в любой файловой системе имеет предопределенное имя "/" (слэш). Принципы защиты Поскольку ОС UNIX с самого своего зарождения задумывалась как многопользовательская операционная система, в ней всегда была актуальна проблема авторизации доступа различных пользователей к файлам файловой системы. Под авторизацией доступа мы понимаем действия системы, которые допускают или не допускают доступ данного пользователя к данному файлу в зависимости от прав доступа пользователя и ограничений доступа, установленных для файла. Схема авторизации доступа, примененная в ОС UNIX, настолько проста и удобна и одновременно настолько мощна, что стала фактическим стандартом современных операционных систем (не претендующих на качества систем с многоуровневой защитой). Идентификаторы пользователя и группы пользователей При входе пользователя в систему программа login проверяет, что пользователь зарегистрирован в системе и знает правильный пароль (если он установлен), образует новый процесс и запускает в нем требуемый для данного пользователя shell. Но перед этим login устанавливает для вновь созданного процесса идентификаторы пользователя и группы, используя для этого информацию, хранящуюся в файлах /etc/passwd и /etc/group. После того, как с процессом связаны идентификаторы пользователя и группы, для этого процесса начинают действовать ограничения для доступа к файлам. Процесс может получить доступ к файлу или выполнить его (если файл содержит выполняемую программу) только в том случае, если хранящиеся при файле ограничения доступа позволяют это сделать. Связанные с процессом идентификаторы передаются создаваемым им процессам, распространяя на них те же ограничения. Однако в некоторых случаях процесс может изменить свои права с помощью системных вызовов setuid и setgid, а иногда система может изменить права доступа процесса автоматически. Защита файлов Как и принято, в многопользовательской операционной системе, в UNIX поддерживается единообразный механизм контроля доступа к файлам и справочникам файловой системы. Любой процесс может получить доступ к некоторому файлу в том и только в том случае, если права доступа, описанные при файле, соответствуют возможностям данного процесса. Защита файлов от несанкционированного доступа в ОС UNIX основывается на трех фактах. Во-первых, с любым процессом, создающим файл (или справочник), ассоциирован некоторый уникальный в системе идентификатор пользователя (UID - User Identifier), который в дальнейшем можно трактовать как идентификатор владельца вновь созданного файла. Во-вторых, с каждый процессом, пытающимся получить некоторый доступ к файлу, связана пара идентификаторов - текущие идентификаторы пользователя и его группы. В-третьих, каждому файлу однозначно соответствует его описатель – i-узел. Обзор Системы Linux Любая UNIX-подобная операционная система состоит из ядра и некоторых системных программ. Также существуют некоторые прикладные программы для выполнения какой-либо задачи. Ядро является сердцем операционной системы. Оно размещает файлы на диске, запускает программы и переключает процессор и другое оборудование между ними для обеспечения мультизадачности, распределяет память и другие ресурсы между процессами, обеспечивает обмен пакетами в сети и т.п. Ядро само по себе выполняет только маленькую часть общей работы, но оно предоставляет средства, обеспечивающие выполнение основных функций. Оно также предотвращает возможность прямого доступа к аппаратным средствам, предоставляя специальные средства для обращения к периферии. Таким образом, ядро позволяет контролировать использование аппаратных средств различными процессами и обеспечивать некоторую защиту пользователей друг от друга. Системные программы используют средства, предоставляемые ядром для обеспечения выполнения различных функций операционной системы. Системные и все остальные программы выполняются на поверхности ядра, в так называемом пользовательском режиме. Существует некоторая разница между системными и прикладными программами. Прикладные программы предназначены для выполнения какой-либо определенной задачи, в то время как системные программы используются для поддержания работы системы. Текстовый процессор является прикладной программой, а программа telnet – системной, хотя зачастую граница между ними довольно смутная. Довольно часто операционная система содержит компиляторы и соответствующие им библиотеки, хотя не обязательно все языки программирования должны быть частью операционной системы. Документация, а иногда даже игры, могут являться ее частью. Обычно состав операционной системы определяется содержимым установочного диска или ленты, хотя дело обстоит несколько сложнее, так как различные части операционной системы разбросаны по разным FTP серверам во всем мире. Графический интерфейс пользователя Как в системе UNIX, так и в Linux, пользовательский интерфейс не встраивается в ядро системы. Вместо этого он представляется программами пользовательского уровня. Это применяется как к текстовым, так и к графическим оболочкам. Такой стандарт делает систему более гибкой, хотя и имеет свои недостатки. Например, позволяет создавать новые интерфейсы для программ. Первоначально используемой с системой Linux графической оболочкой была система X Window System (сокращенно X). Она не реализует пользовательский интерфейс, а только оконную систему, т. е. средства, с помощью которых может быть реализован графический интерфейс. Три наиболее популярных версии графических интерфейсов на основе X – это Athena, Motif и Open Look. Работа с сетью Подключение к системе через сеть работает несколько иначе, чем обычное подключение. Существуют отдельные физические последовательные линии для каждого терминала, через которые и происходит подключение. Для каждого пользователя, подключающегося к системе, существует отдельное виртуальное сетевое соединение, и их может быть любое количество. Однако не представляется возможным запустить отдельный процесс для каждого возможного виртуального соединения. Существуют также и другие способы подключения к системе посредством сети. Например, telnet и rlogin – основные службы в TCP/IP сетях. Сетевые файловые системы Одна из наиболее полезных функций, которая может быть реализована с помощью сети, это разделение файлов через сетевую файловую систему. Обычно используется система, называемая Network File System или NFS, которая разработана корпорацией Sun. При работе с сетевой файловой системой любые операции над файлами, производимыми на локальном компьютере, передаются через сеть на удаленную машину. При работе сетевой файловой системы программа считает, что все файлы на удаленном компьютере находятся на компьютере, где она запущена. Таким образом, разделение информации посредством такой системы не требует внесения каких-либо изменений в программу. Почта Электронная почта является самым важным средством связи между компьютерами. Электронные письма хранятся в одном файле в специальном формате. Для чтения и отправления писем применяются специальные программы. У каждого пользователя имеется отдельный почтовый ящик, файл, где информация хранится в специальном формате, в котором хранится приходящая почта. Если на компьютер приходит письмо, то программа обработки почты находит файл почтового ящика соответствующего пользователя и добавляет туда полученное письмо. Если же почтовый ящик пользователя находится на другом компьютере, то письмо перенаправляется на этот компьютер, где проходит его последующая обработка. Почтовая система состоит из множества различных программ. Доставка писем к локальным или удаленным почтовым ящикам производится одной программой (например, sendmail или smail), в то время как для обычной отправки или просмотра писем применяется большое количество различных программ (например, Pine или elm).Файлы почтовых ящиков обычно хранятся в каталоге /var/spool/mail. Вопросы для самоконтроля: 1. Что такое NOS и каково ее назначение? 2. Какие функции сети выполняет сетевая операционная система? 3. Из каких частей состоит структура NOS? 4. Что такое редиректор? 5. Как подразделяются сетевые операционные системы по правам доступа к ресурсам? 6. Как подразделяются сетевые операционные системы по масштабу сетей? 7. Как зависят свойства сетевой операционной системы от масштаба сетей? 8. Дать характеристику сетевой операционной системы NetWare фирмы Novell. 9. Из каких элементов состоит структура сетевой операционной системы NetWare? 10. Дать характеристику файловой системы сетевой ОС NetWare. 11. Какие уровни протоколов поддерживает сетевая операционная система NetWare? 12. Перечислить функции протоколов IPX, SPX. 13. Дать характеристику сетевой операционной системы Windows NT. 14. Перечислить задачи сетевой операционной системы Windows NT. 15. Из каких элементов состоит структура сетевой операционной системы Windows NT? 16. Дать характеристику файловой системы сетевой ОС Windows NT. 17. Какие принципы защиты используются в сетевой ОС Windows NT? 18. Перечислить особенности сетевой операционной системы Windows NT с точки зрения реализации сетевых средств. 19. Назвать свойства сетевой операционной системы Windows NT. 20. Каковы области использования Windows NT? 21. Дать характеристику сетевой операционной системы UNIX. 22. Перечислить функции сетевой операционной системы UNIX. 23. Дать характеристику файловой системы сетевой ОС UNIX. 24. Какие принципы защиты используются UNIX? 25. Дать обзор сетевой операционной системы Linux. 26. Охарактеризовать работу с сетью в сетевой ОС Linux. 27. Дать характеристику файловой системы сетевой ОС Linux. Тема 8. Принцип действия сети Internet Цель лекции: Изучить принцип действия сети Internet: аппаратное обеспечение для организации подключения к сети Internet, получение доменного имени и IP-адреса и работа с proxy-серверами. Основные вопросы: 8.1. Основные понятия и определения 8.2. Обобщенная структура и функции глобальной сети 8.3. Типы глобальных сетей на основе: - выделенных каналов; - коммутации каналов; - коммутации пакетов. 8.4. Магистральные сети и сети доступа 6.1. Основные понятия и определения Глобальные сети (Wide Area Networks, WAN), которые также называют территориальными компьютерными сетями, служат для того, чтобы предоставлять свои сервисы большому количеству конечных абонентов, разбросанных по большой территории - в пределах области, региона, страны, континента или всего земного шара. Ввиду большой протяженности каналов связи построение глобальной сети требует очень больших затрат, в которые входит стоимость кабелей и работ по их прокладке, затраты на коммутационное оборудование и промежуточную усилительную аппаратуру, обеспечивающую необходимую полосу пропускания канала, а также эксплуатационные затраты на постоянное поддержание в работоспособном состоянии разбросанной по большой территории аппаратуры сети. Типичными абонентами глобальной компьютерной сети являются локальные сети предприятий, расположенные в разных городах и странах, которым нужно обмениваться данными между собой. Услугами глобальных сетей пользуются также и отдельные компьютеры. Крупные компьютеры класса мэйнфреймов обычно обеспечивают доступ к корпоративным данным, в то время как персональные компьютеры используются для доступа к корпоративным данным и публичным данным Internet. Глобальные сети обычно создаются крупными телекоммуникационными компаниями для оказания платных услуг абонентам. Такие сети называют публичными или общественными. Существуют также такие понятия, как оператор сети и поставщик услуг сети. Оператор сети (network operator) - это та компания, которая поддерживает нормальную работу сети. Поставщик услуг, часто называемый также провайдером (service provider), - та компания, которая оказывает платные услуги абонентам сети. Владелец, оператор и поставщик услуг могут объединяться в одну компанию, а могут представлять и разные компании. Гораздо реже глобальная сеть полностью создается какой-нибудь крупной корпорацией (такой, например, как Dow Jones или «Транснефть») для своих внутренних нужд. В этом случае сеть называется частной. Очень часто встречается и промежуточный вариант - корпоративная сеть пользуется услугами или оборудованием общественной глобальной сети, но дополняет эти услуги или оборудование своими собственными. Наиболее типичным примером здесь является аренда каналов связи, на основе которых создаются собственные территориальные сети. Кроме вычислительных глобальных сетей существуют и другие виды территориальных сетей передачи информации. В первую очередь это телефонные и телеграфные сети, работающие на протяжении многих десятков лет, а также телексная сеть. Ввиду большой стоимости глобальных сетей существует долговременная тенденция создания единой глобальной сети, которая может передавать данные любых типов: компьютерные данные, телефонные разговоры, факсы, телеграммы, телевизионное изображение, телетекс (передача данных между двумя терминалами), видеотекс (получение хранящихся в сети данных на свой терминал) и т. д., и т. п. На сегодня существенного прогресса в этой области не достигнуто, хотя технологии для создания таких сетей начали разрабатываться достаточно давно - первая технология для интеграции телекоммуникационных услуг ISDN стала развиваться с начала 70-х годов. Пока каждый тип сети существует отдельно и наиболее тесная их интеграция достигнута в области использования общих первичных сетей - сетей PDH и SDH, с помощью которых сегодня создаются постоянные каналы в сетях с коммутацией абонентов. Тем не менее каждая из технологий, как компьютерных сетей, так и телефонных, старается сегодня передавать «чужой» для нее трафик с максимальной эффективностью, а попытки создать интегрированные сети на новом витке развития технологий продолжаются под преемственным названием Broadband ISDN (B-ISDN), то есть широкополосной (высокоскоростной) сети с интеграцией услуг. Сети B-ISDN будут основываться на технологии АТМ, как универсальном транспорте, и поддерживать различные службы верхнего уровня для распространения конечным пользователям сети разнообразной информации - компьютерных данных, аудио- и видеоинформации, а также организации интерактивного взаимодействия пользователей. Хотя в основе локальных и глобальных вычислительных сетей лежит один и тот же метод - метод коммутации пакетов, глобальные сети имеют достаточно много отличий от локальных сетей. Эти отличия касаются как принципов работы (например, принципы маршрутизации почти во всех типах глобальных сетей, кроме сетей TCP/IP, основаны на предварительном образовании виртуального канала), так и терминологии. Поэтому целесообразно изучение глобальных сетей начать с основных понятий и определений.  6.2. Обобщенная структура и функции глобальной сети Транспортные функции глобальной сети В идеале глобальная вычислительная сеть должна передавать данные абонентов любых типов, которые есть на предприятии и нуждаются в удаленном обмене информацией. Для этого глобальная сеть должна предоставлять комплекс услуг: передачу пакетов локальных сетей, передачу пакетов мини-компьютеров и мейнфреймов, обмен факсами, передачу трафика офисных АТС, выход в городские, междугородные и международные телефонные сети, обмен видеоизображениями для организации видеоконференций, передачу трафика кассовых аппаратов, банкоматов и т. д. и т. п. Нужно подчеркнуть, что когда идет речь о передаче трафика офисных АТС, то имеется в виду обеспечение разговоров только между сотрудниками различных филиалов одного предприятия, а не замена городской, национальной или международной телефонной сети. Трафик внутренних телефонных разговоров имеет невысокую интенсивность и невысокие требования к качеству передачи голоса, поэтому многие компьютерные технологии глобальных сетей, например frame relay, справляются с такой упрощенной задачей. Большинство территориальных компьютерных сетей в настоящее время обеспечивают только передачу компьютерных данных, но количество сетей, которые могут передавать остальные типы данных, постоянно растет. Примечание. Отметим, что термин «передача данных» в территориальных сетях используется в узком смысле и означает передачу только компьютерных данных, а передачу речи и изображения обычно к передаче данных не относят. Высокоуровневые услуги глобальных сетей Из рассмотренного списка услуг, которые глобальная сеть предоставляет конечным пользователям, видно, что в основном она используется как транзитный транспортный механизм, предоставляющий только услуги трех нижних уровней модели OSI. Действительно, при построении корпоративной сети сами данные хранятся и вырабатываются в компьютерах, принадлежащих локальным сетям этого предприятия, а глобальная сеть их только переносит из одной локальной сети в другую. Поэтому в локальной сети реализуются все семь уровней модели OSI, включая прикладной, которые предоставляют доступ к данным, преобразуют их форму, организуют защиту информации от несанкционированного доступа. Однако в последнее время функции глобальной сети, относящиеся к верхним уровням стека протоколов, стали играть заметную роль в вычислительных сетях. Это связано в первую очередь с популярностью информации, предоставляемой публично сетью Internet. Список высокоуровневых услуг, который предоставляет Internet,достаточно широк. Кроме доступа к гипертекстовой информации Web-узлов с большим количеством перекрестных ссылок, которые делают источником данных не отдельные компьютеры, а действительно всю глобальную сеть, здесь нужно отметить и широковещательное распространение звукозаписей, составляющее конкуренцию радиовещанию, организацию интерактивных «бесед» - chat, организацию конференций по интересам (служба News), поиск информации и ее доставку по индивидуальным заказам и многое другое. Эти информационные (а не транспортные) услуги оказывают большое влияние не только на домашних пользователей, но и на работу сотрудников предприятий, которые пользуются профессиональной информацией, публикуемой другими предприятиями в Internet, в своей повседневной деятельности, общаются с коллегами с помощью конференций и chat, часто таким образом достаточно быстро выясняя наболевшие нерешенные вопросы. Информационные услуги Internet оказали влияние на традиционные способы доступа к разделяемым ресурсам, на протяжении многих лет применявшиеся в локальных сетях. Все больше корпоративной информации «для служебного пользования» распространяется среди сотрудников предприятия с помощью Web-службы, заменив многочисленные индивидуальные программные надстройки над базами данных, в больших количествах разрабатываемые на предприятиях. Появился специальный термин - intranet, который применяется в тех случаях, когда технологии Internet переносятся в корпоративную сеть. К технологиям intranet относят не только службу Web, но и использование Internet как глобальной транспортной сети, соединяющей локальные сети предприятия, а также все информационные технологии верхних уровней, появившиеся первоначально в Internet и поставленные на службу корпоративной сети. В результате глобальные и локальные сети постепенно сближаются за счет взаимопроникновения технологий разных уровней - от транспортных до прикладных. 6.2. Типы глобальных сетей Приведенная на рис. 6.2 глобальная вычислительная сеть работает в наиболее подходящем для компьютерного трафика режиме - режиме коммутации пакетов. Оптимальность этого режима для связи локальных сетей доказывают не только данные о суммарном трафике, передаваемом сетью в единицу времени, но и стоимость услуг такой территориальной сети. Обычно при равенстве предоставляемой скорости доступа сеть с коммутацией пакетов оказывается в 2-3 раза дешевле, чем сеть с коммутацией каналов, то есть публичная телефонная сеть. Поэтому при создании корпоративной сети необходимо стремиться к построению или использованию услуг территориальной сети со структурой, подобной структуре, приведенной на рис. 6.2, то есть сети с территориально распределенными коммутаторами пакетов. Однако часто такая вычислительная глобальная сеть по разным причинам оказывается недоступной в том или ином географическом пункте. В то же время гораздо более распространены и доступны услуги, предоставляемые телефонными сетями или первичными сетями, поддерживающими услуги выделенных каналов. Поэтому при построении корпоративной сети можно дополнить недостающие компоненты услугами и оборудованием, арендуемыми у владельцев первичной или телефонной сети. В зависимости от того, какие компоненты приходится брать в аренду, принято различать корпоративные сети, построенные с использованием: • выделенных каналов; • коммутации каналов; • коммутации пакетов. Последний случай соответствует наиболее благоприятному случаю, когда сеть с коммутацией пакетов доступна во всех географических точках, которые нужно объединить в общую корпоративную сеть. Первые два случая требуют проведения дополнительных работ, чтобы на основании взятых в аренду средств построить сеть с коммутацией пакетов. Выделенные каналы Выделенные (или арендуемые - leased) каналы можно получить у телекоммуникационных компаний, которые владеют каналами дальней связи (таких, например, как «РОСТЕЛЕКОМ»), или от телефонных компаний, которые обычно сдают в аренду каналы в пределах города или региона. Использовать выделенные линии можно двумя способами. Первый состоит в построении с их помощью территориальной сети определенной технологии, например frame relay, в которой арендуемые выделенные линии служат для соединения промежуточных, территориально распределенных коммутаторов пакетов. Второй вариант - соединение выделенными линиями только объединяемых локальных сетей или конечных абонентов другого типа, например мэйнфреймов, без установки транзитных коммутаторов пакетов, работающих по технологии глобальной сети. Второй вариант является наиболее простым с технической точки зрения, так как основан на использовании маршрутизаторов или удаленных мостов в объединяемых локальных сетях и отсутствии протоколов глобальных технологий, таких как Х.25 или frame relay. По глобальным каналам передаются те же пакеты сетевого или канального уровня, что и в локальных сетях. Именно второй способ использования глобальных каналов получил специальное название «услуги выделенных каналов», так как в нем действительно больше ничего из технологий собственно глобальных сетей с коммутацией пакетов не используется. Выделенные каналы очень активно применялись совсем в недалеком прошлом и применяются сегодня, особенно при построении ответственных магистральных связей между крупными локальными сетями, так как эта услуга гарантирует пропускную способность арендуемого канала. Однако при большом количестве географически удаленных точек и интенсивном смешанном трафике между ними использование этой службы приводит к высоким затратам за счет большого количества арендуемых каналов. Сегодня существует большой выбор выделенных каналов - от аналоговых каналов тональной частоты с полосой пропускания 3,1 кГц до цифровых каналов технологии SDH с пропускной способностью 155 и 622 Мбит/с. Глобальные сети с коммутацией каналов Сегодня для построения глобальных связей в корпоративной сети доступны сети с коммутацией каналов двух типов - традиционные аналоговые телефонные сети и цифровые сети с интеграцией услуг ISDN. Достоинством сетей с коммутацией каналов является их распространенность, что характерно особенно для аналоговых телефонных сетей. В последнее время сети ISDN во многих странах также стали вполне доступны корпоративному пользователю, а в России это утверждение относится пока только к крупным городам. Известным недостатком аналоговых телефонных сетей является низкое качество составного канала, которое объясняется использованием телефонных коммутаторов устаревших моделей, работающих по принципу частотного уплотнения каналов (FDM-технологии). На такие коммутаторы сильно воздействуют внешние помехи (например, грозовые разряды или работающие электродвигатели), которые трудно отличить от полезного сигнала. Правда, в аналоговых телефонных сетях все чаще используются цифровые АТС, которые между собой передают голос в цифровой форме. Аналоговым в таких сетях остается только абонентское окончание. Чем больше цифровых АТС в телефонной сети, тем выше качество канала, однако до полного вытеснения АТС, работающих по принципу FDM-коммутации, в нашей стране еще далеко. Кроме качества каналов, аналоговые телефонные сети также обладают таким недостатком, как большое время установления соединения, особенно при импульсном способе набора номера, характерного для нашей страны. Телефонные сети, полностью построенные на цифровых коммутаторах, и сети ISDN свободны от многих недостатков традиционных аналоговых телефонных сетей. Они предоставляют пользователям высококачественные линии связи, а время установления соединения в сетях ISDN существенно сокращено. Однако даже при качественных каналах связи, которые могут обеспечить сети с коммутацией каналов, для построения корпоративных глобальных связей эти сети могут оказаться экономически неэффективными. Так как в таких сетях пользователи платят не за объем переданного трафика, а за время соединения, то при трафике с большими пульсациями и, соответственно, большими паузами между пакетами оплата идет во многом не за передачу, а за ее отсутствие. Это прямое следствие плохой приспособленности метода коммутации каналов для соединения компьютеров. Тем не менее при подключении массовых абонентов к корпоративной сети, например сотрудников предприятия, работающих дома, телефонная сеть оказывается единственным подходящим видом глобальной службы из соображений доступности и стоимости (при небольшом времени связи удаленного сотрудника с корпоративной сетью). Глобальные сети с коммутацией пакетов В 80-е годы для надежного объединения локальных сетей и крупных компьютеров в корпоративную сеть использовалась практически одна технология глобальных сетей с коммутацией пакетов - Х.25. Сегодня выбор стал гораздо шире, помимо сетей Х.25 он включает такие технологии, как frame relay, SMDS и АТМ. Кроме этих технологий, разработанных специально для глобальных компьютерных сетей, можно воспользоваться услугами территориальных сетей TCP/IP, которые доступны сегодня как в виде недорогой и очень распространенной сети Internet, качество транспортных услуг которой пока практически не регламентируется и оставляет желать лучшего, так и в виде коммерческих глобальных сетей TCP/IP, изолированных от Internet и предоставляемых в аренду телекоммуникационными компаниями. Технология SMDS (Switched Multi-megabit Data Service) была разработана в США для объединения локальных сетей в масштабах мегаполиса, а также предоставления высокоскоростного выхода в глобальные сети. Эта технология поддерживает скорости доступа до 45 Мбит/с и сегментирует кадры МАС - уровня в ячейки фиксированного размера 53 байт, имеющие, как и ячейки технологии АТМ, поле данных в 48 байт. Технология SMDS основана на стандарте IEEE 802.6, который описывает несколько более широкий набор функций, чем SMDS. Стандарты SMDS приняты компанией Bellcore, но международного статуса не имеют. Сети SMDS были реализованы во многих крупных городах США, однако в других странах эта технология распространения не получила. Сегодня сети SMDS вытесняются сетями АТМ, имеющими более широкие функциональные возможности, поэтому в данной книге технология SMDS подробно не рассматривается. Магистральные сети и сети доступа Целесообразно делить территориальные сети, используемые для построения корпоративной сети, на две большие категории: • магистральные сети; • сети доступа. Магистральные территориальные сети (backbone wide-area networks) используются для образования одноранговых связей между крупными локальными сетями, принадлежащими большим подразделениям предприятия. Магистральные территориальные сети должны обеспечивать высокую пропускную способность, так как на магистрали объединяются потоки большого количества подсетей. Кроме того, магистральные сети должны быть постоянно доступны, то есть обеспечивать очень высокий коэффициентом готовности, так как по ним передается трафик многих критически важных для успешной работы предприятия приложений (business-critical applications). Ввиду особой важности магистральных средств им может «прощаться» высокая стоимость. Так как у предприятия обычно имеется не так уж много крупных сетей, то к магистральным сетям не предъявляются требования поддержания разветвленной инфраструктуры доступа. Обычно в качестве магистральных сетей используются цифровые выделенные каналы со скоростями от 2 до 622 Мбит/с, по которым передается трафик IP, IPX или протоколов архитектуры SNA компании IBM, сети с коммутацией пакетов frame relay, ATM, X.25 или TCP/IP. При наличии выделенных каналов для обеспечения высокой готовности магистрали используется смешанная избыточная топология связей. Под сетями доступа понимаются территориальные сети, необходимые для связи небольших локальных сетей и отдельных удаленных компьютеров с центральной локальной сетью предприятия. Если организации магистральных связей при создании корпоративной сети всегда уделялось большое внимание, то организация удаленного доступа сотрудников предприятия перешла в разряд стратегически важных вопросов только в последнее время. Быстрый доступ к корпоративной информации из любой географической точки определяет для многих видов деятельности предприятия качество принятия решений его сотрудниками. Важность этого фактора растет с увеличением числа сотрудников, работающих на дому (telecommuters - телекоммьютеров), часто находящихся в командировках, и с ростом количества небольших филиалов предприятий, находящихся в различных городах и, может быть, разных странах. В качестве отдельных удаленных узлов могут также выступать банкоматы или кассовые аппараты, требующие доступа к центральной базе данных для получения информации о легальных клиентах банка, пластиковые карточки которых необходимо авторизовать на месте. Банкоматы или кассовые аппараты обычно рассчитаны на взаимодействие с центральным компьютером по сети Х.25, которая в свое время специально разрабатывалась как сеть для удаленного доступа неинтеллектуального терминального оборудования к центральному компьютеру. К сетям доступа предъявляются требования, существенно отличающиеся от требований к магистральным сетям. Так как точек удаленного доступа у предприятия может быть очень много, одним из основных требований является наличие разветвленной инфраструктуры доступа, которая может использоваться сотрудниками предприятия как при работе дома, так и в командировках. Кроме того, стоимость удаленного доступа должна быть умеренной, чтобы экономически оправдать затраты на подключение десятков или сотен удаленных абонентов. При этом требования к пропускной способности у отдельного компьютера или локальной сети, состоящей из двух-трех клиентов, обычно укладываются в диапазон нескольких десятков килобит в секунду (если такая скорость и не вполне удовлетворяет удаленного клиента, то обычно удобствами его работы жертвуют ради экономии средств предприятия). В качестве сетей доступа обычно применяются телефонные аналоговые сети, сети ISDN и реже - сети frame relay. При подключении локальных сетей филиалов также используются выделенные каналы со скоростями от 19,2 до 64 Кбит/с. Качественный скачок в расширении возможностей удаленного доступа произошел в связи со стремительным ростом популярности и распространенности Internet. Транспортные услуги Internet дешевле, чем услуги междугородных и международных телефонных сетей, а их качество быстро улучшается. Программные и аппаратные средства, которые обеспечивают подключение компьютеров или локальных сетей удаленных пользователей к корпоративной сети, называются средствами удаленного доступа. Обычно на клиентской стороне эти средства представлены модемом и соответствующим программным обеспечением. Организацию массового удаленного доступа со стороны центральной локальной сети обеспечивает сервер удаленного доступа (Remote Access Server, RAS). Сервер удаленного доступа представляет собой программно-аппаратный комплекс, который совмещает функции маршрутизатора, моста и шлюза. Сервер выполняет ту или иную функцию в зависимости от типа протокола, по которому работает удаленный пользователь или удаленная сеть. Серверы удаленного доступа обычно имеют достаточно много низкоскоростных портов для подключения пользователей через аналоговые телефонные сети или ISDN. Выводы: • Глобальные компьютерные сети (WAN) используются для объединения абонентов разных типов: отдельных компьютеров разных классов - от мэйнфреймов до персональных компьютеров, локальных компьютерных сетей, удаленных терминалов. • Ввиду большой стоимости инфраструктуры глобальной сети существует острая потребность передачи по одной сети всех типов трафика, которые возникают на предприятии, а не только компьютерного: голосового трафика внутренней телефонной сети, работающей на офисных АТС (РВХ), трафика факс-аппаратов, видеокамер, кассовых аппаратов, банкоматов и другого производственного оборудования. • Для поддержки мультимедийных видов трафика создаются специальные технологии: ISDN, B-ISDN. Кроме того, технологии глобальных сетей, которые разрабатывались для передачи исключительно компьютерного трафика, в последнее время адаптируются для передачи голоса и изображения. Для этого пакеты, переносящие замеры голоса или данные изображения, приоритезируются, а в тех технологиях, которые это допускают, для их переноса создается соединение с заранее резервируемой пропускной способностью. Имеются специальные устройства доступа - мультиплексоры «голос - данные» или «видео - данные», которые упаковывают мультимедийную информацию в пакеты и отправляют ее по сети, а на приемном конце распаковывают и преобразуют в исходную форму - голос или видеоизображение. • Глобальные сети предоставляют в основном транспортные услуги, транзитом перенося данные между локальными сетями или компьютерами. Существует нарастающая тенденция поддержки служб прикладного уровня для абонентов глобальной сети: распространение публично-доступной аудио-, видео- и текстовой информации, а также организация интерактивного взаимодействия абонентов сети в реальном масштабе времени. Эти службы появились в Internet и успешно переносятся в корпоративные сети, что называется технологией intranet. • Все устройства, используемые для подключения абонентов к глобальной сети, делятся на два класса: DTE, собственно вырабатывающие данные, и DCE, служащие для передачи данных в соответствии с требованиями интерфейса глобального канала и завершающие канал. • Технологии глобальных сетей определяют два типа интерфейса: «пользователь-сеть» (UNI) и «сеть-сеть» (NNI). Интерфейс UNI всегда глубоко детализирован для обеспечения подключения к сети оборудования доступа от разных производителей. Интерфейс NNI может быть детализирован не так подробно, так как взаимодействие крупных сетей может обеспечиваться на индивидуальной основе. • Глобальные компьютерные сети работают на основе технологии коммутации пакетов, кадров и ячеек. Чаще всего глобальная компьютерная сеть принадлежит телекоммуникационной компании, которая предоставляет службы своей сети в аренду. При отсутствии такой сети в нужном регионе предприятия самостоятельно создают глобальные сети, арендуя выделенные или коммутируемые каналы у телекоммуникационных или телефонных компаний. • На арендованных каналах можно построить сеть с промежуточной коммутацией на основе какой-либо технологии глобальной сети (Х.25, frame relay, АТМ) или же соединять арендованными каналами непосредственно маршрутизаторы или мосты локальных сетей. Выбор способа использования арендованных каналов зависит от количества и топологии связей между локальными сетями. • Глобальные сети делятся на магистральные сети и сети доступа. Вопросы для самоконтроля: 1.Каков принцип действия сети Internet? 2. Аппаратное обеспечение для организации подключения к сети Internet. 3. Как получить доменное имя и IP-адрес? 4. Как организована работа с proxy-серверами? 5. Обобщенная структура и функции глобальной сети. 6. Типы глобальных сетей на основе: выделенных каналов, коммутации каналов, коммутации пакетов. 7. Магистральные сети и сети доступа. Тема 9. Администрирование TCP/IP – сетей Цель лекции: Изучить понятия администрирования TCP/IP-сетей: настройка IP-адресов, настройка DNS-сервера, маршрутизация и разбиение на подсети в IP-сетях. Основные вопросы: 8.1. Соответствие семиуровневой модели OSI и четырехуровневой модели TCP/IP. 8.2. Протокол управления передачей (TCP) 8.3. Протокол Интернета (IP) 8.4. Адресация в IP-сетях 8.5. Протоколы сопоставления адреса ARP и RARP Набор многоуровневых протоколов, или как называют стек TCP/IP, предназначен для использования в различных вариантах сетевого окружения. Стек TCP/IP с точки зрения системной архитектуры соответствует эталонной модели OSI (Open Systems Interconnection – взаимодействие открытых систем) и позволяет обмениваться данными по сети приложениям и службам, работающим практически на любой платформе, включая Unix, Windows, Macintosh и другие. Рис. 8.1. Соответствие семиуровневой модели OSI и четырехуровневой модели TCP/IP Реализация TCP/IP фирмы Microsoft соответствует четырехуровневой модели вместо семиуровневой модели, как показано на рис. 2. Модель TCP/IP включает большее число функций на один уровень, что приводит к уменьшению числа уровней. В модели используются следующие уровни: - уровень Приложения модели TCP/IP соответствует уровням Приложения, Представления и Сеанса модели OSI; - уровень Транспорта модели TCP/IP соответствует аналогичному уровню Транспорта модели OSI; - межсетевой уровень модели TCP/IP выполняет те же функции, что и уровень Сети модели OSI; - уровень сетевого интерфейса модели TCP/IP соответствует Канальному и Физическому уровням модели OSI. Уровень Приложения Через уровень Приложения модели TCP/IP приложения и службы получают доступ к сети. Доступ к протоколам TCP/IP осуществляется посредством двух программных интерфейсов (API – Application Programming Interface): Сокеты Windows; NetBIOS. Интерфейс сокетов Windows, или как его называют WinSock, является сетевым программным интерфейсом, предназначенным для облегчения взаимодействия между различными TCP/IP – приложениями и семействами протоколов. Интерфейс NetBIOS используется для связи между процессами (IPC – Interposes Communications) служб и приложений ОС Windows. NetBIOS выполняет три основных функции: определение имен NetBIOS; служба дейтаграмм NetBIOS; служба сеанса NetBIOS. В таблице 1 приведено семейство протоколов TCP/IP. Таблица 1. Название протокола Описание протокола WinSock Сетевой программный интерфейс NetBIOS Связь с приложениями ОС Windows TDI Интерфейс транспортного драйвера (Transport Driver Interface) позволяет создавать компоненты сеансового уровня. TCP Протокол управления передачей (Transmission Control Protocol) UDP Протокол пользовательских дейтаграмм (User Datagram Protocol) ARP Протокол разрешения адресов (Address Resolution Protocol) RARP Протокол обратного разрешения адресов (Reverse Address Resolution Protocol) IP Протокол Internet(Internet Protocol) ICMP Протокол управляющих сообщений Internet (Internet Control Message Protocol) IGMP Протокол управления группами Интернета (Internet Group Management Protocol), NDIS Интерфейс взаимодействия между драйверами транспортных протоколов FTP Протокол пересылки файлов (File Transfer Protocol) TFTP Простой протокол пересылки файлов (Trivial File Transfer Protocol) Уровень транспорта Уровень транспорта TCP/IP отвечает за установления и поддержания соединения между двумя узлами. Основные функции уровня: -подтверждение получения информации; -управление потоком данных; -упорядочение и ретрансляция пакетов. В зависимости от типа службы могут быть использованы два протокола: 1)TCP (Transmission Control Protocol – протокол управления передачей); 2)UDP (User Datagram Protocol – пользовательский протокол дейтаграмм). TCP обычно используют в тех случаях, когда приложению требуется передать большой объем информации и убедиться, что данные своевременно получены адресатом. Приложения и службы, отправляющие небольшие объемы данных и не нуждающиеся в получении подтверждения, используют протокол UDP, который является протоколом без установления соединения. Протокол управления передачей (TCP) Протокол TCP отвечает за надежную передачу данных от одного узла сети к другому. Он создает сеанс с установлением соединения, иначе говоря виртуальный канал между машинами. Установление соединения происходит в три шага: 1. Клиент, запрашивающий соединение, отправляет серверу пакет, указывающий номер порта, который клиент желает использовать, а также код (определенное число) ISN (Initial Sequence number). 2. Сервер отвечает пакетом, содержащий ISN сервера, а также ISN клиента, увеличенный на 1. 3. Клиент должен подтвердить установление соединения, вернув ISN сервера, увеличенный на 1. Трехступенчатое открытие соединения устанавливает номер порта, а также ISN клиента и сервера. Каждый, отправляемый TCP – пакет содержит номера TCP – портов отправителя и получателя, номер фрагмента для сообщений, разбитых на меньшие части, а также контрольную сумму, позволяющую убедиться, что при передачи не произошло ошибок. Пользовательский протокол дейтаграмм (UDP) В отличие от TCP UDP не устанавливает соединения. Протокол UDP предназначен для отправки небольших объемов данных без установки соединения и используется приложениями, которые не нуждаются в подтверждении адресатом их получения. UDP также использует номера портов для определения конкретного процесса по указанному IP адресу. Однако UDP порты отличаются от TCP портов и, следовательно, могут использовать те же номера портов, что и TCP, без конфликта между службами. Межсетевой уровень Межсетевой уровень отвечает за маршрутизацию данных внутри сети и между различными сетями. На этом уровне работают маршрутизаторы, которые зависят от используемого протокола и используются для отправки пакетов из одной сети (или ее сегмента) в другую (или другой сегмент сети). В стеке TCP/IP на этом уровне используется протокол IP. Протокол Интернета IP Протокол IP обеспечивает обмен дейтаграммами между узлами сети и является протоколом, не устанавливающим соединения и использующим дейтаграммы для отправки данных из одной сети в другую. Данный протокол не ожидает получение подтверждения (ASK, Acknowledgment) отправленных пакетов от узла адресата. Подтверждения, а также повторные отправки пакетов осуществляется протоколами и процессами, работающими на верхних уровнях модели. К его функциям относится фрагментация дейтаграмм и межсетевая адресация. Протокол IP предоставляет управляющую информацию для сборки фрагментированных дейтаграмм. Главной функцией протокола является межсетевая и глобальная адресация. В зависимости от размера сети, по которой будет маршрутизироваться дейтаграмма или пакет, применяется одна из трех схем адресации. Адресация в IP-сетях Каждый компьютер в сетях TCP/IP имеет адреса трех уровней: физический (MAC-адрес), сетевой (IP-адрес) и символьный (DNS-имя). Физический, или локальный адрес узла, определяемый технологией, с помощью которой построена сеть, в которую входит узел. Для узлов, входящих в локальные сети - это МАС–адрес сетевого адаптера или порта маршрутизатора, например, 11-А0-17-3D-BC-01. Эти адреса назначаются производителями оборудования и являются уникальными адресами, так как управляются централизовано. Для всех существующих технологий локальных сетей МАС – адрес имеет формат 6 байтов: старшие 3 байта - идентификатор фирмы производителя, а младшие 3 байта назначаются уникальным образом самим производителем. Сетевой, или IP-адрес, состоящий из 4 байт, например, 109.26.17.100. Этот адрес используется на сетевом уровне. Он назначается администратором во время конфигурирования компьютеров и маршрутизаторов. IP-адрес состоит из двух частей: номера сети и номера узла. Номер сети может быть выбран администратором произвольно, либо назначен по рекомендации специального подразделения Internet (Network Information Center, NIC), если сеть должна работать как составная часть Internet. Обычно провайдеры услуг Internet получают диапазоны адресов у подразделений NIC, а затем распределяют их между своими абонентами. Номер узла в протоколе IP назначается независимо от локального адреса узла. Деление IP-адреса на поле номера сети и номера узла - гибкое, и граница между этими полями может устанавливаться произвольно. Узел может входить в несколько IP-сетей. В этом случае узел должен иметь несколько IP-адресов, по числу сетевых связей. IP-адрес характеризует не отдельный компьютер или маршрутизатор, а одно сетевое соединение. Символьный адрес, или DNS-имя, например, SERV1.IBM.COM. Этот адрес назначается администратором и состоит из нескольких частей, например, имени машины, имени организации, имени домена. Такой адрес используется на прикладном уровне, например, в протоколах FTP или telnet. Протоколы сопоставления адреса ARP и RARP Для определения локального адреса по IP-адресу используется протокол разрешения адреса Address Resolution Protocol (ARP). ARP работает различным образом в зависимости от того, какой протокол канального уровня работает в данной сети – протокол локальной сети (Ethernet, Token Ring, FDDI) с возможностью широковещательного доступа одновременно ко всем узлам сети, или же протокол глобальной сети (X.25, frame relay), как правило, не поддерживающий широковещательный доступ. Существует также протокол, решающий обратную задачу – нахождение IP-адреса по известному локальному адресу. Он называется реверсивный ARP – RARP (Reverse Address Resolution Protocol) и используется при старте бездисковых станций, не знающих в начальный момент своего IP-адреса, но знающих адрес своего сетевого адаптера. В локальных сетях ARP использует широковещательные кадры протокола канального уровня для поиска в сети узла с заданным IP-адресом. Узел, которому нужно выполнить отображение IP-адреса на локальный адрес, формирует ARP-запрос, вкладывает его в кадр протокола канального уровня, указывая в нем известный IP-адрес, и рассылает запрос широковещательно. Все узлы локальной сети получают ARP-запрос и сравнивают указанный там IP-адрес с собственным адресом. В случае их совпадения узел формирует ARP-ответ, в котором указывает свой IP-адрес и свой локальный адрес и отправляет его уже направленно, так как в ARP-запросе отправитель указывает свой локальный адрес. ARP-запросы и ответы используют один и тот же формат пакета. Протокол ICMP Протокол управления сообщениями Интернета (ICMP – Internet Control Message Protocol) используется IP и другими протоколами высокого уровня для отправки и получения отчетов о состоянии переданной информации. Этот протокол используется для контроля скорости передачи информации между двумя системами. Если маршрутизатор, соединяющий две системы, перегружен трафиком, он может отправить специальное сообщение ICMP – ошибку для уменьшения скорости отправления сообщений. Протокол IGMP Узлы локальной сети используют протокол управления группами Интернета (IGMP – Internet Group Management Protocol), чтобы зарегистрировать себя в группе. Информация о группах содержится на маршрутизаторах локальной сети. Маршрутизаторы используют эту информацию для передачи групповых сообщений. Групповое сообщение, как и широковещательное, используется для отправки данных сразу нескольким узлам. NDIS Network Device Interface Specification – спецификация интерфейса сетевого устройства, программный интерфейс, обеспечивающий взаимодействие между драйверами транспортных протоколов, и соответствующими драйверами сетевых интерфейсов. Позволяет использовать несколько протоколов, даже если установлена только одна сетевая карта. Уровень сетевого интерфейса Этот уровень модели TCP/IP отвечает за распределение IP-дейтаграмм. Он работает с ARP для определения информации, которая должна быть помещена в заголовок каждого кадра. Затем на этом уровне создается кадр, подходящий для используемого типа сети, такого как Ethernet, Token Ring или ATM, затем IP-дейтаграмма помещается в область данных этого кадра, и он отправляется в сеть. Вопросы для самоконтроля: 1. Соответствие семиуровневой модели OSI и четырехуровневой модели TCP/IP. 2. Протокол управления передачей (TCP). 3. Протокол Интернета (IP). 4. Адресация в IP-сетях. 5. Протоколы сопоставления адреса ARP и RARP. Тема 11. Поиск и устранение неисправностей в сети Цель лекции: Изучить требования, предъявляемые к сетям: производительность, надежность и безопасность, расширяемость и масштабируемость, прозрачность, поддержка трафика, управляемость, совместимость, т.е. диагностика аппаратных проблем и проблем связанных с сетевой ОС. Основные вопросы: 11.1. производительность; 11.2. надежность и безопасность; 11.3. расширяемость и масштабируемость; 11.4. прозрачность; 11.5. поддержка разных видов трафика; 11.6. управляемость; 11.7. совместимость. 11.1. Производительность Производительность – это характеристика сети, позволяющая оценить, насколько быстро информация передающей рабочей станции достигнет до приемной рабочей станции. На производительность сети влияют следующие характеристики сети: - конфигурация; - скорость передачи данных; - метод доступа к каналу; - топология сети; - технология. Если производительность сети перестает отвечать предъявляемым к ней требованиям, то администратор сети может прибегнуть к различным приемам: - изменить конфигурацию сети таким образом, чтобы структура сети более соответствовала структуре информационных потоков; - перейти к другой модели построения распределенных приложений, которая позволила бы уменьшить сетевой трафик; - заменить мосты более скоростными коммутаторами. Но самым радикальным решением в такой ситуации является переход на более скоростную технологию. Если в сети используются традиционные технологии Ethernet или Token Ring, то переход на Fast Ethernet, FDDI или 100VG-AnyLAN позволит сразу в 10 раз увеличить пропускную способность каналов. С ростом масштаба сетей возникла необходимость в повышении их производительности. Одним из способов достижения этого стала их микросегментация. Она позволяет уменьшить число пользователей на один сегмент и снизить объем широковещательного трафика, а значит, повысить производительность сети. Первоначально для микросегментации использовались маршрутизаторы, которые, вообще говоря, не очень приспособлены для этой цели. Решения на их основе были достаточно дорогостоящими и отличались большой временной задержкой и невысокой пропускной способностью. Более подходящими устройствами для микросегментации сетей стали коммутаторы. Благодаря относительно низкой стоимости, высокой производительности и простоте в использовании они быстро завоевали популярность. Таким образом, сети стали строить на базе коммутаторов и маршрутизаторов. Первые обеспечивают высокоскоростную пересылку трафика между сегментами, входящими в одну подсеть, а вторые передают данные между подсетями, ограничивали распространение широковещательного трафика, решали задачи безопасности и т. Д. Виртуальные ЛВС (VLAN) обеспечивают возможность создания логических групп пользователей в масштабе корпоративной сети. Виртуальные сети позволяют организовать работу в сети более эффективно. 11.2. Надежность и безопасность Надежность и отказоустойчивость. Важнейшей характеристикой вычислительных сетей является надежность. Повышение надежности основано на принципе предотвращения неисправностей путем снижения интенсивности отказов и сбоев за счет применения электронных схем и компонентов с высокой и сверхвысокой степенью интеграции, снижения уровня помех, облегченных режимов работы схем, обеспечение тепловых режимов их работы, а также за счет совершенствования методов сборки аппаратуры. Отказоустойчивость – это такое свойство вычислительной системы, которое обеспечивает ей как логической машине возможность продолжения действий, заданных программой, после возникновения неисправностей. Введение отказоустойчивости требует избыточного аппаратного и программного обеспечения. Направления, связанные с предотвращением неисправностей и отказоустойчивостью, основные в проблеме надежности. На параллельных вычислительных системах достигается как наиболее высокая производительность, так и, во многих случаях, очень высокая надежность. Имеющиеся ресурсы избыточности в параллельных системах могут гибко использоваться как для повышения производительности, так и для повышения надежности. Следует помнить, что понятие надежности включает не только аппаратные средства, но и программное обеспечение. Главной целью повышения надежности систем является целостность хранимых в них данных. Безопасность – одна из основных задач, решаемых любой нормальной компьютерной сетью. Проблему безопасности можно рассматривать с разных сторон – злонамеренная порча данных, конфиденциальность информации, несанкционированный доступ, хищения и т.п. Рис. 11.2 Задачи обеспечения безопасности данных Обеспечить защиту информации в условиях локальной сети всегда легче, чем при наличии на фирме десятка автономно работающих компьютеров. Практически в вашем распоряжении один инструмент – резервное копирование (backup). Для простоты давайте называть этот процесс резервированием. Суть его состоит в создании в безопасном месте полной копии данных, обновляемой регулярно и как можно чаще. Для персонального компьютера более или менее безопасным носителем служат дискеты. Возможно использование стримера, но это уже дополнительные затраты на аппаратуру. Легче всего обеспечить защиту данных от самых разных неприятностей в случае сети с выделенным файловым сервером. На сервере сосредоточены все наиболее важные файлы, а уберечь одну машину куда проще, чем десять. Концентрированность данных облегчает и резервирование, так как не требуется их собирать по всей сети. Экранированные линии позволяют повысить безопасность и надежность сети. Экранированные системы гораздо более устойчивы к внешним радиочастотным полям. 11.3. Прозрачность Прозрачность – это такое состояние сети, когда пользователь, работая в сети, не видит ее. Коммуникационная сеть является прозрачной относительно проходящей сквозь нее информации, если выходной поток битов, в точности повторяет входной поток. Но сеть может быть непрозрачной во времени, если из-за меняющихся размеров очередей блоков данных изменяется и время прохождения различных блоков через узлы коммутации. Прозрачность сети по скорости передачи данных указывает, что данные можно передавать с любой нужной скоростью. Если в сети по одним и тем же маршрутам передаются информационные и управляющие (синхронизирующие) сигналы, то говорят, что сеть прозрачна по отношению к типам сигналов. Если передаваемая информация может кодироваться любым способом, то это означает, что сеть прозрачна для любых методов кодировок. Прозрачная сеть является простым решением, в котором для взаимодействия локальных сетей, расположенных на значительном расстоянии друг от друга, используется принцип Plug-and-play (подключись и работай). Прозрачное соединение. Служба прозрачных локальных сетей обеспечивает сквозное (end-to-end) соединение, связывающее между собой удаленные локальные сети. Привлекательность данного решения состоит в том, что эта служба объединяет удаленные друг от друга на значительное расстояние узлы как части локальной сети. Поэтому не нужно вкладывать средства в изучение новых технологий и создание территориально распределенных сетей (Wide-Area Network – WAN). Пользователям требуется только поддерживать локальное соединение, а провайдер службы прозрачных сетей обеспечит беспрепятственное взаимодействие узлов через сеть масштаба города (Metropolitan-Area Network – MAN) или сеть WAN. Службы Прозрачной локальной сети имеют много преимуществ. Например, пользователь может быстро и безопасно передавать большие объемы данных на значительные расстояния, не обременяя себя сложностями, связанными с работой в сетях WAN. 11.4. Поддержка разных видов трафика Трафик в сети складывается случайным образом, однако в нем отражены и некоторые закономерности. Как правило, некоторые пользователи, работающие над общей задачей, (например, сотрудники одного отдела), чаще всего обращаются с запросами либо друг к другу, либо к общему серверу, и только иногда они испытывают необходимость доступа к ресурсам компьютеров другого отдела. Желательно, чтобы структура сети соответствовала структуре информационных потоков. В зависимости от сетевого трафика компьютеры в сети могут быть разделены на группы (сегменты сети). Компьютеры объединяются в группу, если большая часть порождаемых ими сообщений, адресована компьютерам этой же группы. Для разделения сети на сегменты используются мосты и коммутаторы. Они экранируют локальный трафик внутри сегмента, не передавая за его пределы никаких кадров, кроме тех, которые адресованы компьютерам, находящимся в других сегментах. Таким образом, сеть распадается на отдельные подсети. Это позволяет более рационально выбирать пропускную способность имеющихся линий связи, учитывая интенсивность трафика внутри каждой группы, а также активность обмена данными между группами. Однако локализация трафика средствами мостов и коммутаторов имеет существенные ограничения. С другой стороны, использование механизма виртуальных сегментов, реализованного в коммутаторах локальных сетей, приводит к полной локализации трафика; такие сегменты полностью изолированы друг от друга, даже в отношении широковещательных кадров. Поэтому в сетях, построенных только на мостах и коммутаторах, компьютеры, принадлежащие разным виртуальным сегментам, не образуют единой сети. Для того чтобы эффективно консолидировать различные виды трафика в сети АТМ, требуется специальная предварительная подготовка (адаптация) данных, имеющих различный характер: кадры – для цифровых данных, сигналы импульсно-кодовой модуляции – для голоса, потоки битов – для видео. Эффективная консолидация трафика требует также учета и использования статистических вариаций интенсивности различных типов трафика. 11.5. Управляемость ISO внесла большой вклад в стандартизацию сетей. Модель управления сети является основным средством для понимания главных функций систем управления сети. Эта модель состоит из 5 концептуальных областей: 1. управление эффективностью; 2. управление конфигурацией; 3. управление учетом использования ресурсов; 4. управление неисправностями; 5. управление защитой данных. Управление эффективностью Цель управления эффективностью – измерение и обеспечение различных аспектов эффективности сети для того, чтобы межсетевая эффективность могла поддерживаться на приемлемом уровне. Примерами переменных эффективности, которые могли бы быть обеспечены, являются пропускная способность сети, время реакции пользователей и коэффициент использования линии. Управление эффективностью включает несколько этапов: 1 этап. Сбор информации об эффективности по тем переменным, которые представляют интерес для администраторов сети; 2 этап. Анализ информации для определения нормальных (базовая строка) уровней; 3 этап. Определение соответствующих порогов эффективности для каждой важной переменной таким образом, что превышение этих порогов указывает на наличие проблемы в сети, достойной внимания. Управление конфигурацией Цель управления конфигурацией – контролирование информации о сетевой и системной конфигурации для того, чтобы можно было отслеживать и управлять воздействием на работу сети различных версий аппаратных и программных элементов. Т.к. все аппаратные и программные элементы имеют эксплуатационные отклонения, погрешности (или то и другое вместе), которые могут влиять на работу сети, такая информация важна для поддержания гладкой работы сети. Каждое устройство сети располагает разнообразной информацией о версиях, ассоциируемых с ним. Чтобы обеспечить легкий доступ, подсистемы управления конфигурацией хранят эту информацию в базе данных. Когда возникает какая-нибудь проблема, в этой базе данных может быть проведен поиск ключей, которые могли бы помочь решить эту проблему. Управление учетом использования ресурсов Цель управления учетом использования ресурсов – измерение параметров использования сети, чтобы можно было соответствующим образом регулировать ее использование индивидуальными или групповыми пользователями. Такое регулирование минимизирует число проблем в сети (т.к. ресурсы сети могут быть поделены исходя из возможностей источника) и максимизирует равнодоступность к сети для всех пользователей. Управление неисправностями Цель управления неисправностями – выявить, зафиксировать, уведомить пользователей и (в пределах возможного) автоматически устранить проблемы в сети, с тем чтобы эффективно поддерживать работу сети. Так как неисправности могут привести к простоям или недопустимой деградации сети, управление неисправностями, по всей вероятности, является наиболее широко используемым элементом модели управления сети ISO. Управление неисправностями включает в себя несколько шагов: 1 шаг. Определение симптомов проблемы; 2 шаг. Изолирование проблемы; 3 шаг. Устранение проблемы; 4 шаг. Проверка устранения неисправности на всех важных подсистемах; 5 шаг. Регистрация обнаружения проблемы и ее решение. Управление защитой данных Цель управления защитой данных – контроль доступа к сетевым ресурсам в соответствии с местными руководящими принципами, чтобы сделать невозможными саботаж сети и доступ к чувствительной информации лицам, не имеющим соответствующего разрешения. Например, одна из подсистем управления защитой данных может контролировать регистрацию пользователей ресурса сети, отказывая в доступе тем, кто вводит коды доступа, не соответствующие установленным. Подсистемы управления защитой данных работают путем разделения источников на санкционированные и несанкционированные области. Для некоторых пользователей доступ к любому источнику сети является несоответствующим. Подсистемы управления защитой данных выполняют следующие функции: - идентифицируют чувствительные ресурсы сети (включая системы, файлы и другие объекты); - определяют отображения в виде карт между чувствительными источниками сети и набором пользователей; - контролируют точки доступа к чувствительным ресурсам сети; - регистрируют несоответствующий доступ к чувствительным ресурсам сети. 11.6. Совместимость Совместимость и мобильность программного обеспечения. Концепция программной совместимости впервые в широких масштабах была применена разработчиками системы IBM/360. Основная задача при проектировании всего ряда моделей этой системы заключалась в создании такой архитектуры, которая была бы одинаковой с точки зрения пользователя для всех моделей системы независимо от цены и производительности каждой из них. Огромные преимущества такого подхода, позволяющего сохранять существующий задел программного обеспечения при переходе на новые (как правило, более производительные) модели, были быстро оценены как производителями компьютеров, так и пользователями, и начиная с этого времени практически все фирмы-поставщики компьютерного оборудования взяли на вооружение эти принципы, поставляя серии совместимых компьютеров. Следует заметить, однако, что со временем даже самая передовая архитектура неизбежно устаревает и возникает потребность внесения радикальных изменений в архитектуру и способы организации вычислительных систем. В настоящее время одним из наиболее важных факторов, определяющих современные тенденции в развитии информационных технологий, является ориентация компаний-поставщиков компьютерного оборудования на рынок прикладных программных средств. Этот переход выдвинул ряд новых требований. Прежде всего, такая вычислительная среда должна позволять гибко менять количество и состав аппаратных средств и программного обеспечения в соответствии с меняющимися требованиями решаемых задач. Во-вторых, она должна обеспечивать возможность запуска одних и тех же программных систем на различных аппаратных платформах, т.е. обеспечивать мобильность программного обеспечения. В–третьих, эта среда должна гарантировать возможность применения одних и тех же человеко-машинных интерфейсов на всех компьютерах, входящих в неоднородную сеть. В условиях жесткой конкуренции производителей аппаратных платформ и программного обеспечения сформировалась концепция открытых систем, представляющая собой совокупность стандартов на различные компоненты вычислительной среды, предназначенных для обеспечения мобильности программных средств в рамках неоднородной, распределенной вычислительной системы. Вопросы для самоконтроля: 1. Какие основные требования предъявляются к сетям? 2. Что такое производительность сети? 3. Какие характеристики влияют на производительность сети? 4. Какие есть способы повышения производительности сетей? 5. Как обеспечить высокоскоростную пересылку трафика? 6. Чем обеспечивается надежность сети? 7. Что такое отказоустойчивость? 8. Перечислить задачи безопасности данных в сети. 9. Для какой цели используется резервное копирование? 10. Чем обеспечивается безопасность сетей в клиент–серверной архитектуре? 11. Для какой цели устанавливаются экранированные линии в сети? 12. Что такое прозрачность сетей? 13. В каком случае линия прозрачна по отношению к типам сигналов? 14. Что такое прозрачное соединение? 15. Что используется для разделения сети на сегменты? 16. Каким образом можно уменьшить трафик в сети? 17. Дать определение управляемости сетей и перечислить основные функции управления сетями. 18. Что включается в управление эффективностью? 19. Для какой цели используется управление неисправностями? 20. Для чего необходимо управление конфигурацией? 21. Какова цель управления защитой данных? 22. Какие функции подсистемы управления защитой данных? 23. Дать определение понятия совместимости сетей. Тема 12. Защита сети от внешних вторжений Цель лекции: Изучить вопросы защиты сети от внешних вторжений, такие как полномочия совместно используемых ресурсов, брандмауэры и защита данных. Основные вопросы: 10.1. Понятие защиты сети 10.2. Назначение экранирующих систем и требования к ним 10.3. Структура системы безопасности Solstice FireWall-1 10.4. Пример реализации политики безопасности: 12.1. Понятие защиты сети Internet и информационная безопасность несовместны по самой природе Internet. Она родилась как чисто корпоративная сеть, однако, в настоящее время с помощью единого стека протоколов TCP/IP и единого адресного пространства объединяет не только корпоративные и ведомственные сети (образовательные, государственные, коммерческие, военные и т.д.), являющиеся, по определению, сетями с ограниченным доступом, но и рядовых пользователей, которые имеют возможность получить прямой доступ в Internet со своих домашних компьютеров с помощью модемов и телефонной сети общего пользования. Как известно, чем проще доступ в Сеть, тем хуже ее информационная безопасность, поэтому с полным основанием можно сказать, что изначальная простота доступа в Internet - хуже воровства, так как пользователь может даже и не узнать, что у него были скопированы - файлы и программы, не говоря уже о возможности их порчи и корректировки. Что же определяет бурный рост Internet, характеризующийся ежегодным удвоением числа пользователей? Ответ прост -"халява", то есть дешевизна программного обеспечения (TCP/IP), которое в настоящее время включено в Windows, легкость и дешевизна доступа в Internet (либо с помощью IP-адреса, либо с помощью провайдера) и ко всем мировым информационным ресурсам. Платой за пользование Internet является всеобщее снижение информационной безопасности, поэтому для предотвращения несанкционированного доступа к своим компьютерам все корпоративные и ведомственные сети, а также предприятия, использующие технологию intranet, ставят фильтры (fire-wall) между внутренней сетью и Internet, что фактически означает выход из единого адресного пространства. Еще большую безопасность даст отход от протокола TCP/IP и доступ в Internet через шлюзы. Этот переход можно осуществлять одновременно с процессом построения всемирной информационной сети общего пользования, на базе использования сетевых компьютеров, которые с помощью сетевой карты 10Base-T и кабельного модема обеспечивают высокоскоростной доступ (10 Мбит/с) к локальному Web-серверу через сеть кабельного телевидения. Для решения этих и других вопросов при переходе к новой архитектуре Internet нужно предусмотреть следующее: Во-первых, ликвидировать физическую связь между будущей Internet (которая превратится во Всемирную информационную сеть общего пользования) и корпоративными и ведомственными сетями, сохранив между ними лишь информационную связь через систему World Wide Web. Во-вторых, заменить маршрутизаторы на коммутаторы, исключив обработку в узлах IP-протокола и заменив его на режим трансляции кадров Ethernet, при котором процесс коммутации сводится к простой операции сравнения MAC-адресов. В-третьих, перейти в новое единое адресное пространство на базе физических адресов доступа к среде передачи (MAC-уровень), привязанное к географическому расположению сети, и позволяющее в рамках 48-бит создать адреса для более чем 64 триллионов независимых узлов. Безопасность данных является одной из главных проблем в Internet. Появляются все новые и новые страшные истории о том, как компьютерные взломщики, использующие все более изощренные приемы, проникают в чужие базы данных. Разумеется, все это не способствует популярности Internet в деловых кругах. Одна только мысль о том, что какие-нибудь хулиганы или, что еще хуже, конкуренты, смогут получить доступ к архивам коммерческих данных, заставляет руководство корпораций отказываться от использования открытых информационных систем. Специалисты утверждают, что подобные опасения безосновательны, так как у компаний, имеющих доступ и к открытым, и частным сетям, практически равные шансы стать жертвами компьютерного террора. Каждая организация, имеющая дело с какими бы то ни было ценностями, рано или поздно сталкивается с посягательством на них. Предусмотрительные начинают планировать защиту заранее, непредусмотрительные - после первого крупного "прокола". Так или иначе, встает вопрос о том, что, как и от кого защищать. Обычно первая реакция на угрозу-стремление спрятать ценности в недоступное место и приставить к ним охрану. Это относительно несложно, если речь идет о таких ценностях, которые вам долго не понадобятся: убрали и забыли. Куда сложнее, если вам необходимо постоянно работать с ними. Каждое обращение в хранилище за вашими ценностями потребует выполнения особой процедуры, отнимет время и создаст дополнительные неудобства. Такова дилемма безопасности: приходится делать выбор между защищенностью вашего имущества и его доступностью для вас, а значит, и возможностью полезного использования. Все это справедливо и в отношении информации. Например, база данных, содержащая конфиденциальные сведения, лишь тогда полностью защищена от посягательств, когда она находится на дисках, снятых с компьютера и убранных в охраняемое место. Как только вы установили эти диски в компьютер и начали использовать, появляется сразу несколько каналов, по которым злоумышленник, в принципе, имеет возможность получить к вашим тайнам доступ без вашего ведома. Иными словами, ваша информация либо недоступна для всех, включая и вас, либо не защищена на сто процентов. Может показаться, что из этой ситуации нет выхода, но информационная безопасность сродни безопасности мореплавания: и то, и другое возможно лишь с учетом некоторой допустимой степени риска. В области информации дилемма безопасности формулируется следующим образом: следует выбирать между защищенностью системы и ее открытостью. Правильнее, впрочем, говорить не о выборе, а о балансе, так как система, не обладающая свойством открытости, не может быть использована. В банковской сфере проблема безопасности информации осложняется двумя факторами: во-первых, почти все ценности, с которыми имеет дело банк (кроме наличных денег и еще кое-чего), существуют лишь в виде той или иной информации. Во-вторых, банк не может существовать без связей с внешним миром: без клиентов, корреспондентов и т. п. При этом по внешним связям обязательно передается та самая информация, выражающая собой ценности, с которыми работает банк (либо сведения об этих ценностях и их движении, которые иногда стоят дороже самих ценностей). Извне приходят документы, по которым банк переводит деньги с одного счета на другой. Вовне банк передает распоряжения о движении средств по корреспондентским счетам, так что открытость банка задана a priori. Стоит отметить, что эти соображения справедливы по отношению не только к автоматизированным системам, но и к системам, построенным на традиционном бумажном документообороте и не использующим иных связей, кроме курьерской почты. Автоматизация добавила головной боли службам безопасности, а новые тенденции развития сферы банковских услуг, целиком основанные на информационных технологиях, усугубляют проблему. Сейчас вряд ли кому-то надо доказывать, что при подключении к Internet Вы подвергаете риску безопасность Вашей локальной сети и конфиденциальность содержащейся в ней информации. По данным CERT Coordination Center в 1995 году было зарегистрировано 2421 инцидентов - взломов локальных сетей и серверов. По результатам опроса, проведенного Computer Security Institute (CSI) среди 500 наиболее крупных организаций, компаний и университетов с 1991 число незаконных вторжений возросло на 48.9 %, а потери, вызванные этими атаками, оцениваются в 66 млн. долларов США. Одним из наиболее распространенных механизмов защиты от интернетовских бандитов - "хакеров" является применение межсетевых экранов - брэндмауэров (firewalls). Стоит отметить, что в следствии непрофессионализма администраторов и недостатков некоторых типов брэндмауэров порядка 30% взломов совершается после установки защитных систем. Не следует думать, что все изложенное выше - "заморские диковины". Всем, кто еще не уверен, что Казахстан уверенно догоняет другие страны по числу взломов серверов и локальных сетей и принесенному ими ущербу, следует познакомиться с тематической подборкой материалов казахстанской прессы и материалами Hack Zone (Zhurnal.kz). Не смотря на кажущийся правовой хаос в расматриваемой области, любая деятельность по разработке, продаже и использованию средств защиты информации регулируется множеством законодательных и нормативных документов, а все используемые системы подлежат обязательной сертификации Государственой Технической Комисией при президенте Казахстана. Технология работы в глобальных сетях Solstice FireWall-1 В настоящее время вопросам безопасности данных в распределенных компьютерных системах уделяется очень большое внимание. Разработано множество средств для обеспечения информационной безопасности, предназначенных для использования на различных компьютерах с разными ОС. В качестве одного из направлений можно выделить межсетевые экраны (firewalls), призванные контролировать доступ к информации со стороны пользователей внешних сетей. В настоящем документе рассматриваются основные понятия экранирующих систем, а также требования, предъявляемые к ним. На примере пакета Solstice FireWall-1 рассматривается неcколько типичных случаев использования таких систем, особенно применительно к вопросам обеспечения безопасности Internet-подключений. Рассмотрено также несколько уникальных особенностей Solstice FireWall-1, позволяющих говорить о его лидерстве в данном классе приложений. 12.2. Назначение экранирующих систем и требования к ним Проблема межсетевого экранирования формулируется следующим образом. Пусть имеется две информационные системы или два множества информационных систем. Экран (firewall) - это средство разграничения доступа клиентов из одного множества систем к информации, хранящейся на серверах в другом множестве. Экран выполняет свои функции, контролируя все информационные потоки между этими двумя множествами информационных систем, работая как некоторая "информационная мембрана". В этом смысле экран можно представлять себе как набор фильтров, анализирующих проходящую через них информацию и, на основе заложенных в них алгоритмов, принимающих решение: пропустить ли эту информацию или отказать в ее пересылке. Кроме того, такая система может выполнять регистрацию событий, связанных с процессами разграничения доступа. в частности, фиксировать все "незаконные" попытки доступа к информации и, дополнительно, сигнализировать о ситуациях, требующих немедленной реакции, то есть поднимать тревогу. Обычно экранирующие системы делают несимметричными. Для экранов определяются понятия "внутри" и "снаружи", и задача экрана состоит в защите внутренней сети от "потенциально враждебного" окружения. Важнейшим примером потенциально враждебной внешней сети является Internet. Рассмотрим более подробно, какие проблемы возникают при построении экранирующих систем. При этом мы будем рассматривать не только проблему безопасного подключения к Internet, но и разграничение доступа внутри корпоративной сети организации. Первое, очевидное требование к таким системам, это обеспечение безопасности внутренней (защищаемой) сети и полный контроль над внешними подключениями и сеансами связи. Во-вторых, экранирующая система должна обладать мощными и гибкими средствами управления для простого и полного воплощения в жизнь политики безопасности организации и, кроме того, для обеспечения простой реконфигурации системы при изменении структуры сети. В-третьих, экранирующая система должна работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий. В-четвертых, экранирующая система должна работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий трафик в "пиковых" режимах. Это необходимо для того, чтобы firewall нельзя было, образно говоря, "забросать" большим количеством вызовов, которые привели бы к нарушению ее работы. Пятое. Система обеспечения безопасности должна быть сама надежно защищена от любых несанкционированных воздействий, поскольку она является ключом к конфиденциальной информации в организации. Шестое. В идеале, если у организации имеется несколько внешних подключений, в том числе и в удаленных филиалах, система управления экранами должна иметь возможность централизованно обеспечивать для них проведение единой политики безопасности. Седьмое. Система Firewall должна иметь средства авторизации доступа пользователей через внешние подключения. Типичной является ситуация, когда часть персонала организации должна выезжать, например, в командировки, и в процессе работы им, тем немение, требуется доступ, по крайней мере, к некоторым ресурсам внутренней компьютерной сети организации. Система должна уметь надежно распознавать таких пользователей и предоставлять им необходимый доступ к информации. 12.3. Структура системы безопасности Solstice FireWall-1 Классическим примером, на котором хотелось бы проиллюстрировать все вышеизложенные принципы, является программный комплекс Solstice FireWall-1 компании Sun Microsystems. Данный пакет неоднократно отмечался наградами на выставках и конкурсах. Он обладает многими полезными особенностями, выделяющими его среди продуктов аналогичного назначения. Рассмотрим основные компоненты Solstice FireWall-1 и функции, которые они реализуют Центральным для системы FireWall-1 является модуль управления всем комплексом. С этим модулем работает администратор безопасности сети. Следует отметить, что продуманность и удобство графического интерфейса модуля управления отмечалось во многих независимых обзорах, посвященных продуктам данного класса. Администратору безопасности сети для конфигурирования комплекса FireWall-1 необходимо выполнить следующий ряд действий: 1.Определить объекты, участвующие в процессе обработки информации. Здесь имеются в виду пользователи и группы пользователей, компьютеры и их группы, маршрутизаторы и различные подсети локальной сети организации. 2. Описать сетевые протоколы и сервисы, с которыми будут работать приложения. Впрочем, обычно достаточным оказывается набор из более чем 40 описаний, поставляемых с системой FireWall-1. 3. Далее, с помощью введенных понятий описывается политика разграничения доступа в следующих терминах: "Группе пользователей А разрешен доступ к ресурсу Б с помощью сервиса или протокола С, но об этом необходимо сделать пометку в регистрационном журнале". Совокупность таких записей компилируется в исполнимую форму блоком управления и далее передается на исполнение в модули фильтрации. Модули фильтрации могут располагаться на компьютерах - шлюзах или выделенных серверах - или в маршрутизаторах как часть конфигурационной информации. В настоящее время поддерживаются следующие два типа маршрутизаторов: Cisco IOS 9.x, 10.x, а также BayNetworks (Wellfleet) OS v.8. Модули фильтрации просматривают все пакеты, поступающие на сетевые интерфейсы, и, в зависимости от заданных правил, пропускают или отбрасывают эти пакеты, с соответствующей записью в регистрационном журнале. Следует отметить, что эти модули, работая непосредственно с драйверами сетевых интерфейсов, обрабатывают весь поток данных, располагая полной информацией о передаваемых пакетах. 12.4. Пример реализации политики безопасности: Рассмотрим процесс практической реализации политики безопасности организации с помощью программного пакета FireWall-1. Прежде всего, как уже отмечалось, разрабатываются и утверждаются на уровне руководства организации правила политики безопасности. После утверждения эти правила надо воплотить в жизнь. Для этого их нужно перевести в структуру типа "откуда, куда и каким способом доступ разрешен или, наоборот, запрещен. Такие структуры, как мы уже знаем, легко переносятся в базы правил системы FireWall-1. Далее, на основе этой базы правил формируются списки доступа для маршрутизаторов и сценарии работы фильтров на сетевых шлюзах. Списки и сценарии далее переносятся на физические компоненты сети, после чего правила политики безопасности "вступают в силу". В процессе работы фильтры пакетов на шлюзах и серверах генерируют записи обо всех событиях, которые им приказали отслеживать, а, также, запускают механизмы "тревоги", требующие от администратора немедленной реакции. На основе анализа записей, сделанных системой, отдел компьютерной безопасности организации может разрабатывать предложения по изменению и дальнейшему развитию политики безопасности. Рассмотрим простой пример реализации следующих правил: Из локальных сетей подразделений, возможно удаленных, разрешается связь с любой локальной сетью организации после аутентификации, например, по UNIX-паролю. Всем запрещается доступ к сети финансового департамента, за исключением генерального директора и директора этого департамента. Из Internet разрешается только отправлять и получать почту. Обо всех других попытках связи необходимо делать подробную запись. После загрузки правил, FireWall-1 для каждого пакета, передаваемого по сети, последовательно просматривает список правил до нахождения элемента, соответствующего текущему случаю. Важным моментом является защита системы, на которой размещен административно-конфигурационный модуль FireWall-1. Рекомендуется запретить средствами FireWall-1 все виды доступа к данной машине, или по крайней мере строго ограничить список пользователей, которым это разрешено, а также принять меры по физическому ограничению доступа и по защите обычными средствами ОС UNIX. Управление системой безопасности FireWall-1: Слева расположены редакторы баз данных об объектах, существующих в сети и о протоколах или сервисах, с помощью которых происходит обмен информацией. Справа вверху показан редактор правил доступа. Справа внизу располагается интерфейс контроля текущего состояния системы, в котором для всех объектов, которые занес туда администратор, отображаются данные о количестве разрешенных коммуникаций (галочки), о количестве отвергнутых связей (знак "кирпич") и о количестве коммуникаций с регистрацией (иконка карандаш). Кирпичная стена за символом объекта (компьютера) означает, что на нем установлен модуль фильтрации системы FireWall-1. Рассмотрим теперь случай, когда первоначальная конфигурация сети меняется, а вместе с ней меняется и политика безопасности. Пусть мы решили установить у себя в организации несколько общедоступных серверов для предоставления информационных услуг. Это могут быть, например, серверы World Wide Web, FTP или другие информационные серверы. Поскольку такие системы обособлены от работы всей остальной сети организации, для них часто выделяют свою собственную подсеть, имеющую выход в Internet через шлюз. Поскольку в предыдущем примере локальная сеть была уже защищена, то все, что нам надо сделать, это просто разрешить соответствующий доступ в выделенную подсеть. Это делается с помощью одной дополнительной строки в редакторе правил, которая здесь показана. Такая ситуация является типичной при изменении конфигурации FireWall-1. Обычно для этого требуется изменение одной или небольшого числа строк в наборе правил доступа, что, несомненно, иллюстрирует мощь средств конфигурирования и общую продуманность архитектуры FireWall-1. Аутенфикация пользователей при работе с FTP Solstice FireWall-1 позволяет администратору установить различные режимы работы с интерактивными сервисами FTP и telnet для различных пользователей и групп пользователей. При установленном режиме аутентификации, FireWall-1 заменяет стандартные FTP и telnet демоны UNIX на свои собственные, располагая их на шлюзе, закрытом с помощью модулей фильтрации пакетов. Пользователь, желающий начать интерактивную сессию по FTP или telnet (это должен быть разрешенный пользователь и в разрешенное для него время), может сделать это только через вход на такой шлюз, где и выполняется вся процедура аутентификации. Она задается при описании пользователей или групп пользователей и может проводиться следующими способами: - Unix-пароль; - программа S/Key генерации одноразовых паролей; - карточки SecurID с аппаратной генерацией одноразовых паролей Гибкие алгоритмы фильтрации UDP-пакетов, динамическое экранирование UDP-протоколы, входящие в состав набора TCP/IP, представляют собой особую проблему для обеспечения безопасности. С одной стороны на их основе создано множество приложений. С другой стороны, все они являются протоколами "без состояния", что приводит к отсутствию различий между запросом и ответом, приходящим извне защищаемой сети. Пакет FireWall-1 решает эту проблему созданием контекста соединений поверх UDP сессий, запоминая параметры запросов. Пропускаются назад только ответы внешних серверов на высланные запросы, которые однозначно отличаются от любых других UDP-пакетов (читай: незаконных запросов), поскольку их параметры хранятся в памяти FireWall-1. Следует отметить, что данная возможность присутствует в весьма немногих программах экранирования, распространяемых в настоящий момент. Заметим также, что подобные механизмы задействуются для приложений, использующих RPC, и для FTP сеансов. Здесь возникают аналогичные проблемы, связанные с динамическим выделением портов для сеансов связи, которые FireWall-1 отслеживает аналогичным образом, запоминая необходимую информацию при запросах на такие сеансы и обеспечивая только "законный" обмен данными. Данные возможности пакета Solstice FireWall-1 резко выделяют его среди всех остальных межсетевых экранов. Впервые проблема обеспечения безопасности решена для всех без исключения сервисов и протоколов, существующих в Internet. Язык программирования Система Solstice FireWall-1 имеет собственный встроенный обьектно-ориентированный язык программирования, применяемый для описания поведения модулей - Фильтров системы. Собственно говоря, результатом работы графического интерфейса администратора системы является сгенерированный сценарий работы именно на этом внутреннем языке. Он не сложен для понимания, что допускает непосредственное программирование на нем. Прозрачность и эффективность FireWall-1 полностью прозрачен для конечных пользователей. Еще одним замечательным свойством системы Solstice FireWall-1 является очень высокая скорость работы. Фактически модули системы работают на сетевых скоростях передачи информации, что обусловлено компиляцией сгенерированных сценариев работы перед подключением их непосредственно в процесс фильтрации. Модули фильтрации на Internet-шлюзе, сконфигурированные типичным для многих организаций образом, работая на скоростях обычного Ethernet в 10 Мб/сек, забирают на себя не более 10% вычислительной мощности процессора SPARCstation 5,85 МГц или компьютера 486DX2-50 с операционной системой Solaris/x86. Solstice FireWall-1 - эффективное средство защиты корпоративных сетей и их сегментов от внешних угроз, а также от несанкционированных взаимодействий локальных пользователей с внешними системами. Solstice FireWall-1 обеспечивает высокоуровневую поддержку политики безопасности организации по отношению ко всем протоколам семейства TCP/IP. Solstice FireWall-1 характеризуется прозрачностью для легальных пользователей и высокой эффективностью. Вопросы для самоконтроля: 1. Что такое политика безопасности и каково ее назначение? 2. Для чего нужны экранирующие системы и какие требования к ним предъявляются? 3. Какова структура системы безопасности Solstice FireWall-1? 4. Приведите пример реализации политики безопасности.