seti


Чтобы посмотреть этот PDF файл с форматированием и разметкой, скачайте его и откройте на своем компьютере.
Министерство образования Росси
й
ской Федерации


Саратовский государственный технический
универс
и
тет



И.Л.Пластун










СЕТИ ЭВМ



Учебное пособие

для студентов специал
ь
ностей 220400, 075500












Саратов 2005


2

УДК 681.31

ББК 32.973


П 37



Р
ецензенты:

кафедра прикладной информатики и информационного
менеджмента Поволжской академии госслужбы;

профессор кафедры теоретической и математической физики
Сар
а
товского государственного университета Л.М. Бабков




Одобрено

редакционно
-
издательским совет
ом

Саратовского государственного технического университета



Пластун И.Л.

П 37 Сети ЭВМ:

Учеб. пособие. Саратов: Сарат. гос. техн. ун
-
т, 2005. 75с.

ISBN

5
-
7433
-
1126
-
9



Учебное пособие представляет собой курс лекций по
дисципл
и
не «Сети ЭВМ», для студе
н
т
ов специальностей 220400 и
075500. В пособии описаны основные архите
к
турные типы
локальных и глобальных вычислительных сетей, принципы
построения их основных элементов, узлов и устройств, а также
изложены осн
о
вы построения сетевой безопасности.

Для студен
тов специальностей 220400 и 075500, а также

для
специал
и
стов, работающих в области разработки и применения
сетевых технологий.



УДК 681.31

ББК 32.973


© Саратовский государственный

технический университет, 2005

ISBN

5
-
7433
-
1126
-
9 © П
ластун И.Л., 2005


3


ВВЕДЕНИЕ


Учебное пособие написано по курсу «Сети ЭВМ», для
студе
н
тов специальностей 220400


«Программное обеспечение
вычисл
и
тельной техники и автоматизированных систем» и 075500

«Комплексное обеспечение информационной безопасности
ав
том
а
тизированных систем» СГТУ. Кроме того, оно может быть
использ
о
вано при изучении дисциплин «Глобальные сети»,
«Системы и сети передачи информации», «Безопасность
вычислительных сетей» студентами специальности 075500.

В учебном пособии приведен краткий

вводный курс по
фунд
а
ментальным принципам построения и архитектуре сетей
передачи информации. Изложены базовые понятия, необходимые
для пон
и
мания основ функционирования и архитектуры локальных
и гл
о
бальных сетей, основы логической организации сетей, базов
ые
с
е
тевые стандарты, протоколы и форматы данных. В пособии также
описаны основные архитектурные типы сетей ЭВМ, принципы
п
о
строения их основных элементов, узлов и устройств и способы
со
з
дания крупных составных сетей и управления такими сетями.
Кр
о
ме того
, в пособии излагаются основные принципы и методика
з
а
щиты информации от несанкционированного доступа в локальных
и глобальных сетях передачи данных.

Пособие представляет интерес для специалистов, работающих
в области разработки и применения сетевых технол
огий.



4



1.

ВВЕДЕНИЕ В СЕТЕВЫЕ Т
ЕХНОЛОГИИ

Сетью
называется совокупность компьютеров (узлов,
ста
н
ций), имеющих возможность взаимодействия друг с другом с
пом
о
щью аппаратных средств и сетевого ПО.

1.1.

Классификация сетей

Сети можно классифицировать по различным кр
итериям.

Одним из основных классификационных признаков сетей является
размер, который характеризует не только территориальную
прот
я
женность, но и среду передачи сигналов.

Размер
(в сочетании со скоростью дальних коммуникаций):


LAN

(
Local
-
Area

)


локальная сеть (ЛВС): располагается в
пределах офиса, этажа, здания; основное средство сопряжения
у
з
лов сети


кабельные линии (витая пара, коаксиальный кабель);


CAN

(
Campus
-
Area

)


кампусная сеть, объединяющая
значительно удаленные узлы или лока
льные сети, но еще не
тр
е
бующая удаленных коммуникации через телефонные линии и
м
о
демы; средством сопряжения узлов также являются кабельные
л
и
нии;


MAN

(
-
Area

Network
)


городская сеть с радиусом и
десятки километров с высокой скоростью переда
чи (100 Мбит/с);
строится на базе широкополосных коаксиальных кабелей и
оптов
о
локонных линий связи;


WAN

(
Wide
-
Area

)


широкомасштабная сеть,
использу
ю
щая удаленные мосты и маршрутизаторы с возможно
невысокими скоростями передачи; средой передачи
в таких сетях
являются т
е
лефонные линии связи, сопряжение с которыми
осуществляется ч
е
рез модемы;


GAN

(
Global
-
Area

)


глобальная (международная,
ме
ж
континентальная) сеть. Строится на базе телефонных линий и
м
о
демного сопряжения, а также спутников
ой связи.

Пропускная способность
:

• низкая, до сотен кбит/с;

• средняя, 0.5
-

20 Мбит/с;

• высокая, более 20 Мбит/с.

Полоса канала:

• узкополосные (
Baseband
)


прямая (немодулированная) передача
только одного сообщения в любой момент времени, свойственна
б
ольшинству локальных сетей;


5

• широкополосные (Broadband)


одновременная передача
н
е
скольких сообщений по частотно
-

разделенным каналам.

Типы узлов сети:

персональные, мини и большие
компьют
е
ры или сети. Сети общего назначения обычно строятся из
PC
. Баз
о
в
ая сеть (
Backbone
) кампусной сети в качестве «узлов»
имеет н
е
большие сети.

C
оотношение узлов:


одноранговые

(
Peer
-
to
-
Peer
)


небольшие сети, где каждый узел
может являться и клиентом и сервером;


распределенные
(
Distributed
)


то есть без лидера, в котор
ой
сервером называется машина, программа или устройство,
обесп
е
чивающее сервис, но не управление сетью (например,
UNIX

);

• сети
с выделенным сервером
, или с централизованным
упра
в
лением), где сервер наделяет остальные узлы правами
использов
а
ния ресу
рсов (сети среднего и большого размера:
Novell

,
Microsoft

LAN

Manager
,
IBM

LAN

Server
,
Banyan

VINES
).
Понятие «клиент
-
сервер» в этом контексте подчеркивает меньшую
самосто
я
тельность узлов
-
клиентов таких сетей, хотя чаще
применяется как название одн
ого из методов распределенной
обработки информ
а
ции.

Возможности доступа:

• сети с разделяемой средой передачи (
Shared
-
Media

), в
которых в каждый момент могут взаимодействовать только два узла
(не считая широковещательных передач):
,
ARCne
t
.

• коммутирующие сети (
Switching

) позволяют
одновреме
н
но вести множество передач между множеством пар
узлов посре
д
ством мультиплексирования: АТМ, Х.25...

Родственность архитектур

и сетевой ОС узлов:

• гомогенные сети с одинаковыми или родственны
ми ОС всех узлов;

• гетерогенные сети с разнородными ОС. например,
Novell


и
Windows

NT
.

1.2.

Топология вычислительных сетей

Наиболее существенным структурным признаком
вычислител
ь
ных сетей является их топология. Топологическая
структура оказ
ы
вает сущест
венное влияние на пропускную
способность сети, усто
й
чивость сети к отказам оборудования, на
надежность обслуживания запросов абонентов, логические
возможности и стоимость сети.

Существует большое разнообразие в топологии сетей.

1.

Наиболее распространена сеть

с централизованной радиальной
топологией или
топология типа звезда

(рис.1). Основу такой сети

6

составляет главный центр обработки и распределения
информ
а
ции(сервер), где выполняется основная по объему
обработка и
н
формации. В нем же помещается узел коммутац
ии
(УК). В радиал
ь
ных направлениях от центра помещаются
абонентские пункты (АП), где выполняется часть работы по
обработке информации. В совр
е
менных
звездообразных сетях функции коммутации
и управления сетью разделены между
коммутатором и сетевым сервером
. Сервер
подключается к коммутатору как и
абонен
т
ская система, но с максимальным
приор
и
тетом. Сервер может согласовать
скорости работы станций и
преобразовывать прот
о
колы обмена.
Внутри коммут
а
тора может быть кольцо. В
этом случае имеем архите
к
туру типа
кольцо
. Недостаток
-

выход из
строя коммутатора ведет к прекр
а
щению работы сети. Достоинства
-

простота, легкое наращивание сети.

2.

Кольцевая топология
.
В сетях с такой топологией имеется
ряд центров об
работки информации, которые соединены друг с
др
у
гом каналами связи. В каждом центре есть свой узел
коммутации. Запросы, которые поступают
от абонента, могут обслуживаться не только
в ближа
й
шем центре, но и в любом другом
незагр
у
женном узле. Абонентские пун
кты
могут связываться друг с другом через узлы
ко
м
мутации по различным маршрутам.
Объ
е
динение центров обработки в кольцо
пов
ы
шает гибкость и надежность сети.

3.

Шинная топология

(сеть с общей шиной). В такой сети все
абоненты системы с помощью
сетевых адапте
ров
подключ
а
ются к общей
магистрали (ш
и
не) (рис.3).
Передающей ср
е
дой обычно
является коакс
и
альный кабель.
Обязательным элементом
подобной переда
ю
щей среды
является термин
а
тор (Т)
-

устройство, согласу
ю
щее
сопротивление, с помощью которого устраняется эффе
кт
отраже
н
ной волны на концах кабеля.

Система
-

источник передает информацию на адаптеры всех
Коммутатор

Сервер

Рис.
1 Звездообразная
топология

Рис.2 Кольцевая
топология

T

T

Рис.
3

Шинная топология


7

аб
о
нентских систем, но воспринимается той, которой эта
и
н
формация адресована. Недостаток
-

большая вероятность
столкновений с
о
общений. Достоинство
-

легко наращив
ается и
модернизируется.

4.
Древовидная топология
. В сетях с такой топологией центры
обработки информации связаны друг с
другом через узлы коммут
а
ции (рис.4).
Абоненты подключаются к центрам
о
б
работки либо непосредственно, либо
ч
е
рез узлы коммутации (УК).

В таких
сетях присутствуют те же преимущества
и н
е
достатки, что и в сетях с кольцевой
т
о
пологией.

Дополнительное преимущество
-

простота и дешевизна наращивания
возможностей сети.

5.
Полносвязная сеть

(топология типа
сетка).
В сетях с такой топологие
й реализован принцип связи
ка
ж
дый с каждым. То есть каждый центр связан
со всеми остальными.Требуется большое
колич
е
ство линий связи.Такая топология
х
а
рактерна только для малых сетей (не более
3
-
5 компь
ю
теров). Н
а
ращивание возможностей
сети путем добавлени
я новых узлов приводит к
значител
ь
ному увеличению числа соединений и
модиф
и
к
а
ции всех имеющихся узлов.

6.
Комбинированная топология
. Комбинированная топология
представляет собой сеть с несколькими топологическими
решени
я
ми. Примером такой сети может служи
ть сеть с радиально
-
кольцевой топологией. Здесь основные узлы объединены в кольцо,
а к этим узлам через узлы коммутации присоединены сети типа
звезда. Такая сеть наилучшая по гибкости и надежности, но самая
дорогая.


1.3.

Базовая модель взаимодействия открытых
систем
OSI

Семиуровневая модель взаимосвязи открытых систем (
Open

System

Interconnection
,
OSI
) введена
ISO

(
International

Standard

Organization
) для описания способов коммуникации систем.

Модель определяет задачи каждого уровня. Внутри каждой
си
с
темы взаим
одействие идет между уровнями по вертикали.
Межси
с
темное взаимодействие логически происходит по
горизонтали ме
ж
ду соответствующими уровнями. Реально же из
-
за
ук

ук

ук

Рис.
4

Древовидная
топология

Рис.5 Топология
типа сетка


8

отсутствия неп
о
средственных горизонтальных связей производится
спуск до нижн
е
го уровня в источнике
, связь через физическую среду
и подъем до соответствующего уровня в приемнике информации.

7.
Прикладной уровень

(
Application

Layer
)
-

высший уровень
мод
е
ли. Примеры задач: передача файлов, электронная почта,
управл
е
ние сетью.

Примеры протоколов прикладног
о уровня:

NICE

(

Information

and

Control

Exchange
),
обеспечива
ю
щий наблюдение и управление сетью;

FTAM

(
File

Transfer
,
Access

and

Management
), обеспечивающий
удаленное манипулирование файлами;
FTP

(
File

Transfer

Protocol
),
обеспечивающий пересылку ф
айлов;

Х.400


передача сообщений и сервис электронной

СМIР (Common Management Information Protocol)


управление
сетью в стандарте ISO;



управление

с
е
тью

не

в

стандарте

ISO;



эмуляция

терминала

и

удаленна
я

регистрация

(Remote Login).

6
. Уровень представления данных

(
Presentation

Layer
)


прео
б
разование кодов, кодовых таблиц, сжатие и распаковка
данных.

5.
Сеансовый уровень

(
Session

Layer
) обеспечивает
синхрониз
а
цию и корректную передачу пакетов в сетевом д
иалоге, а
также н
а
дежность соединения до конца сеанса.

Примеры протоколов сеансового уровня:


(

Basic

Input
/
Output

System
)


именование узлов,
негарантированная доставка коротких сообщений без установления
соединений, установление виртуальных

соединений и
гарантир
о
ванная доставка сообщений, общее управление. Протокол
реализ
у
ет задачи 5, 6 и 7 уровней, различные реализации могут не
быть с
о
вместимыми с оригинальной разработкой
IBM
.


(

Basic

Extended

User

Interface
)


реализация и
р
асширение
NetBIOS

фирмой
Microsoft
.

4.
Транспортный уровень

(
Transport

Layer
) отвечает за передачу
данных между процессами с заданным уровнем качества (скорость
и уровень достоверности). На этом уровне данные частями
пом
е
щаются в нумерованные пакеты и посы
лаются в нижестоящие
уро
в
ни. На приемной стороне анализируются номера принимаемых
п
а
кетов и их содержимое в должном порядке собирается и
передается в вышестоящие уровни.

Уровень является пограничным и связующим между верхними
уровнями, сильно зависящими от

приложений, и нижними (
Subnet


9

Layers



уровни, стоящие ниже транспортного), привязанными к
конкретной сети. Относительно этой границы определяются
Intermediate

Systems

(
IS
)


промежуточные устройства,
обеспеч
и
вающие передачу пакетов между источником и
пол
учателем с и
с
пользованием нижних уровней, и
End

Systems

(
ES
)


конечные ус
т
ройства, работающие на верхних уровнях.

Нижние уровни могут обеспечивать или не обеспечивать
н
а
дежную передачу (
Reliably

service
), при которой получателю
вруч
а
ется безошибочный паке
т или отправитель получает
уведомление о невозможности передачи. Сервис нижних уровней
может быть
ор
и
ентирован на установление соединения

(
Connection

oriented
). При этом в начале связи устанавливается
соединение между исто
ч
ником и приемником, передача
осущ
ествляется без нумерации п
а
кетов, поскольку каждый из них
идет за предшественником по тому же пути. По окончании передачи
соединение разрывается.

Связь без установления соединения

(
Connectionless
) требует
нумерации пакетов, поскольку они могут теряться, по
вторяться,
приходить не по порядку.

Примеры протоколов транспортного уровня (зависят от
серв
и
са нижних уровнен):

ТРО...ТР4 (
Transport

Protocol

Class

О...4)


классы протоколов
м
о
дели
OSI
, ориентированные на различные виды сервиса нижних
уровней;

TCP

(
Trans
mission

Control

Protocol
)


протокол
UNIX
-
сетей с
уст
а
новлением соединения;

UDP

(
User

Datagramm

Protocol
)


протокол
UNIX
-
сетей без
уст
а
новления соединения;

SPX

(
Sequenced


Exchange
)


протокол
Novell


с
у
с
тановлением соединения.

3.
Сетевой ур
овень

(
Network

Layer
), или пакетный уровень (
Packet

Layer
). Задачи уровня:

• определение адресов, трансляция физических и сетевых адресов,
обеспечение межсетевого взаимо
-

• поиск пути от источника к получателю или между двумя
промеж
у
точными устройствами;



установление и обслуживание логической связи между узлами для
установления транспортной связи как ориентированной, так и не
ориентированной на соединение. Примеры протоколов сетевого
уровня:

А
R
Р (
Address

Resolution

Protocol
) преобразует аппаратные адреса
в
сетевые:


10

IPX

(
Internetwork


Exchange
)


базовый протокол
,
отвечающий за адресацию и маршрутизацию пакетов,
обеспеч
и
вающий сервис для
SPX
;

IP

(
Internet

Protocol
)


протокол доставки дейтаграмм
UNIX
-
сетей.

2.
Канальный уровень

(
Data

Link

Laye
r
) обеспечивает
формиров
а
ние фреймов (
Frames
)


кадров, передаваемых через
физический уровень к получателю.
IEEE

ввел деление канального
уровня на два подуровня (
Sublayers
):

LLC

(
Logical
-
Link

Control
)


управление логической связью,
обесп
е
чивает интерфейс
с сетевым уровнем;

MAC

(
Media

Access

Control
)


управление доступом к среде,
осущ
е
ствляет доступ к уровню физического кодирования и
передачи си
г
налов;

Архитектура сети (
,
,
Token

Ring
,
FDDI
)
охват
ы
вает канальный и физический уровень модели.

1
.
Физический уровень

(
Physical

Layer
)


нижний уровень,
обе
с
печивает физическое кодирование бит кадра в электрические
(опт
и
ческие) сигналы и передачу их по линиям связи. Определяет
тип к
а
белей и разъемов, назначение контактов и формат
физических си
г
налов.

Примеры спецификации физического уровня:

IEEE

802.3


определение разновидности
:

IEEE

802.5


определение физического подключения для
Token

Ring
.

В реальных сетях далеко не всегда удается практическое
разд
е
ление систем на уровни модели
ISO

с возмо
жностью
обращения приложении к каждому из них, однако соотнесение
функциональных модулей с уровнями модели помогает осмыслить
возможности взаимосвязи разнородных систем.

2.

КОМПОНЕНТЫ ВЫЧИСЛИТЕ
ЛЬНЫХ СЕТЕЙ

Компонентами сетей являются аппаратные (технические) и

пр
о
граммные средства (сетевые операционные системы,
клиентское обеспечение рабочих станций, утилиты,
инструментальные средс
т
ва, прикладные программы и т. д.).

Основные аппаратные компоненты сети:

1. Узлы (
Nodes
): компьютеры с сетевым интерфейсом,
выст
у
паю
щие в роли рабочих станций, серверов или в обеих ролях.

2. Топология:

• физическая, определяющая расположение узлов и соединений:
шина (
Bus
), кольцо (
Ring
), звезда (
Star
), сетка (
Mesh
), дерево (
Tree
);


11

• логическая, определяющая потоки данных и порядок полу
чения
права на их передачу: шина (
Bus
) или кольцо (
Ring
).

3. Соединительные элементы:

• кабели: коаксиальные, витые пары, оптические:

• кабельные центры (
Wiring

center
): хабы (
Hub
), концентраторы,
MALI

(
Multistation

access

unit
)


многостанционные устройс
тва
до
с
тупа:

• внутрисетевые соединители: разъемы, повторители, трансиверы
MAU

(
Media

Attachment

Unit
);

• межсетевые соединители: мосты (
Bridge
), маршрутизаторы
(
Router
), шлюзы (
Gateway
);

• компоненты беспроводной (
Wireless
) связи: трансиверы
(радиоча
с
тотн
ые и инфракрасные), антенны.

4. Дополнительные компоненты:

• периферийные устройства: принтеры, модемы, факс
-
модемы,
CD
-
ROM
, стриммеры и другие, используемые как разделяемые
ресу
р
сы;

• средства обеспечения надежности: источники бесперебойного
п
и
тания (
Unin
terrupptible

Power

Supply
,
UPS
) и резервного питания
(
Standby

Power

Supply
,
SPS
), стабилизаторы (
Line

Conditioner
),
огр
а
ничители перенапряжений (
Surge

Protector
);

• инструментальные средства: монтажный инструмент (
Crimping

Tools
), измерительные приборы, ан
ализаторы линий. Эти средства
не являются собственно элементами сети, но должны быть
досту
п
ными по мере необходимости.


2.1.

Логическая топология и методы доступа к среде

Логическая топология и тесно связанный с ней метод доступа
(
Media

Access

) привязаны

к двум нижним уровням модели
OSI
.

В
логической шине
информация одновременно доступна для
всех узлов, подключенных к одному сегменту. Реальное считывание
производит только тот узел, которому адресуется данный пакет.
Реализуется на физической топологии шины
, звезды, дерева или
сетки. Метод доступа


вероятностный (
Probabilistic
), основанный
на прослушивании сигнала в шине.

В
логическом кольце

информация передается
последов
а
тельно от узла к узлу. Каждый узел принимает пакеты
только от предыдущего и посылает т
олько последующему узлу по
кольцу. Узел транслирует все пакеты и обрабатывает те, которые
адрес
о
ваны ему. Реализуется на физической топологии кольца или
звезды с внутренним кольцом в концентраторе. Метод доступа



12

детерм
и
нированный (
), базирую
щийся на сетевом
адресе узла.

При вероятностном методе доступа узел, желающий послать
пакет в сеть, прослушивает линию. Если линия занята или
обнар
у
жена коллизия (столкновение сигналов от двух
передатчиков), п
о
пытка передачи откладывается на случайный
инте
рвал времени.

Основные разновидности вероятностных методов:

1.
CSMA
/
CA

(
Carrier

Sense

Multiple

Access
/
Collision

Avoidance
)


множественный доступ с прослушиванием несущей и
изб
е
жанием коллизий.

Узел, готовый послать пакет, прослушивает
л
и
нию. При отсутств
ии несущей он посылает короткий сигнал
запроса на передачу (
RTS
) и определенное время ожидает ответ
(
CTS
) от адресата. При отсутствии ответа (подразумевается
возможность коллизии) попытка передачи откладывается, при
получении ответа в линию посылается паке
т. При запросе на
широковещательную п
е
редачу (
RTS

содержит адрес 255)
CTS

не
ожидается. Метод не п
о
зволяет полностью избежать коллизий, но
они обрабатываются на более высоких уровнях протокола. Метод
применяется в сети
Apple

LocalTalk
, характеризуется прос
тотой и
низкой стоимостью цепей доступа;

2.
CSMA
/
CD

(
Carrier

Sense

Multiple

Access
/
Collision

)


множественный доступ с прослушиванием несущей и
обн
а
ружением коллизий
.

Узел, готовый послать пакет,
прослушивает линию. При отсутствии несущей он начинае
т
передачу пакета, о
д
новременно контролируя состояние линии. При
обнаружении колл
и
зии (по повышению активности линии) передача
прекращается и п
о
вторная попытка откладывается на случайное
время. Коллизии


нормальное, хотя и не очень частое, явление
для
CSM
A
/
CD
. Их к
о
личество зависит от количества и активности
подключенных узлов. При нормальной работе коллизии возникают в
определенном вр
е
менном окне пакета, ранние или запоздалые
коллизии сигнализ
и
руют об аппаратных неполадках в кабеле или
узлах. Метод эффе
к
т
ивнее, чем
CSMA
/
CA
, но требует более
сложных и дорогих схем цепей доступа. Применяется во многих
сетевых архитектурах:
,
Ether
-
Talk

(реализация

фирмы
Apple
),
G
-
,
IBM

PC

,
AT
&
T

StarLAN
. Общий
недостаток вероятностных мет
о
дов досту
па


неопределенное и
существенно возрастающее при увеличении нагрузки на сеть время
прохождения пакета, что огр
а
ничивает их применение в системах
реального времени.


13

Протоколы CSMA/CD

Протоколы CSMA/CD не только прослушивают кабель перед
передачей, но такж
е обнаруживают коллизии и инициализируют
п
о
вторные передачи. Протоколы CSMA/CD чрезвычайно популярны.
Примером протоколов CSMA/CD являются сети Ethernet, которые
будут рассмотрены позднее.

Протоколы CSMA/CA

CSMA/CA использует такие схемы, как доступ с кван
тованием
времени (time slicing) или посылка запроса на получение доступа к
среде. Примером CSMA/CA является протокол LocalTalk фирмы
Apple Computer.

Системы на основе метода состязания больше всего подходят
для использования при импульсном трафике (т.е. пр
и передаче
больших файлов) в сетях с небольшим количеством пользователей.


При
детерминированном методе

узлы получают доступ к
среде в предопределенном порядке.

Основные типы детерминированных методов:

1
.
доступ с передачей маркера

(
Token

Passing
), примен
яемый
в сетях
,
Token

Ring
,
FDDI
;

2.
поллинг

(
Polling
)


опрос готовности, применяемый в
бол
ь
ших машинах (
Mainframes
). Основное преимущество метода


о
г
раниченное время прохождения пакета, мало зависящее от
нагрузки в сети.

Сети с большой нагрузкой т
ребуют более эффективных
мет
о
дов доступа. Один из способов повышения эффективности


пер
е
нос управления доступом от узлов в кабельные центры (хабы).
При этом узел посылает пакет в интеллектуальный хаб по своей
гото
в
ности. Задача хаба


обеспечить пересылку

пакета к адресату
с оптимизацией общей производительности сети, возможно,
испол
ь
зуя коммутацию каналов.

Передача маркера

В системах с передачей маркера (token passing) небольшой
фрейм (маркер) передается в определенном порядке от одного
ус
т
ройства к друго
му.
Маркер


это специальное сообщение,
которое передает временное управление средой передачи
устройству, вл
а
деющему маркером. Передача маркера
распределяет управление доступом между устройствами сети.

Каждое устройство знает, от какого устройства оно полу
чает
маркер и какому устройству его следует передать. Каждое
устройс
т
во периодически получает контроль над маркером,
выполняет свои обязанности, а затем передает маркер для

14

использования следу
ю
щему устройству. Протоколы ограничивают
время контроля каждого
устройства над маркером.

Имеется несколько типов сетей, использующих метод передачи
маркера для управления доступом к среде передачи. Например,
с
е
ти IEEE 802.4 Token Bus и 802.5 Token
-
Ring.

В сети Token Bus используется управление доступом с
перед
а
чей марк
ера и физическая или логическая шинная топология,
в то время как в сети Token
-
Ring используется управление доступом
с передачей маркера и физическая или логическая кольцевая
топол
о
гия.

Другим стандартом передачи маркера (для волоконно
-
оптических ЛС) являют
ся сети FDDI (Fiber
-
distributed data interface).

Сети с передачей маркера следует использовать при наличии
зав
и
сящего от времени приоритетного трафика, типа цифровых
аудио
-

или видеоданных, или же при наличии с очень большого
количества пользователей.

Срав
нительная эффективность систем с передачей маркера и
систем с методом состязаний является предметом больших
диску
с
сий в сетевых кругах. Ни одна радикально не превосходит
другую, с точки зрения производительности. Однако в
определенных конкре
т
ных обстоятель
ствах та или другая могут
продемонстрировать пр
е
восходящую производительность.

Вообще говоря, при большой нагрузке (уровни трафика высоки),
методы доступа передачи маркера обеспечивают более высокую
сетевую производительность. В таких условиях производител
ьность
методов состязания намного скромнее. С другой стороны,
благод
а
ря ограничению на непроизводительные затраты в условиях
малой загрузки, методы состязания могут превосходить по
быстродейс
т
вию методы передачи маркера.


Опрос

Опрос (Polling)



это метод
доступа, при котором выделяется одно
устройство (называемое контроллером, первичным или мастер
-
устройством) в качестве арбитра доступа к среде. Это устройство
опрашивает все остальные устройства (именуемые здесь
втори
ч
ными) в некотором предопределенном пор
ядке, чтобы
узнать, им
е
ют ли они информацию для передачи.

Чтобы получить данные от вторичного устройства, первичное
устройство направляет ему соответствующий запрос, а затем
пол
у
чает данные от вторичного устройства и направляет их
устройству
-
получателю. За
тем первичное устройство опрашивает
другое вт
о
ричное устройство и принимает данные от него, и так

15

далее. Прот
о
кол ограничивает количество данных, которое может
передать п
о
сле опроса каждое вторичное устройство.

Опросные системы идеальны для сетевых устройс
тв,
чувствител
ь
ных ко времени, например, при автоматизации
оборудования.



2.2.

Соединительные элементы сетей

Кабельный сегмент сети



цепочка отрезков кабелей,
эле
к
трически соединенных друг с другом.

Сеть
(логическая сеть)


совокупность сегментов, связанных
м
ежду собой повторителями. Все узлы сети имеют
непосредстве
н
ную связь друг с другом через среду передачи.

Кабельный центр



хаб (
Hub
)


устройство физического
подключения нескольких сегментов или лучей.

Интеллектуальный хаб

(
Intelligent

Hub
) имеет специальн
ые
средства для диагностики и управления, что позволяет оперативно
получать сведения об активности и исправности узлов, отключать
неисправные узлы и т. д. Стоимость существенно выше, чем у
обычных.

Активный хаб

(
Active

Hub
) усиливает сигналы, требует
исто
ч
ника питания.

Пассивный хаб

(
Passive

Hub
) только согласует импедансы
л
и
ний (в сетях
).

Peer

Hub



хаб, исполненный в виде платы расширения
PC
,
использующей только источник питания
PC
. Распространен в сетях
.

Standalone

Hub



самостоятельное ус
тройство с собственным
источником питания (обычный вариант).

Наращиваемый хаб

(
Stackable

Hub
) имеет специальные
сре
д
ства соединения нескольких хабов в стек, выступающий в роли
ед
и
ного целого. Существуют модели, у которых интеллектуальность
одного хаба дел
ает интеллектуальным весь стек. Связь между
х
а
бами в стеке может быть короткой (локальный стек) и длинной, до
сотен метров (распределенный стек, более гибкий элемент для
о
п
тимизации кабельной системы).

Концентратор



более сложный хаб, обычно с
возможн
о
ст
ью соединения сетей различных архитектур. Четкой
границы ме
ж
ду хабами и концентраторами нет, и те и другие могут
являться п
о
вторителями, мостами или маршрутизаторами.

Повторитель
(
Repeater
)


устройство для соединения
се
г
ментов одной сети, обеспечивающее п
ромежуточное усиление и

16

формирование сигналов. Оперирует на физическом уровне модели
OSI
. Позволяет расширять сеть по расстоянию и количеству
по
д
ключенных узлов.

Мост

(
Bridge
)


средство передачи пакетов между сетями

о
кальными), оперирует на двух нижних
уровнях модели
OSI
, для
пр
о
токолов сетевого уровня прозрачен.

Осуществляет фильтрацию пакетов, не выпуская из сети
пак
е
ты для адресатов, находящихся внутри сети, а также
переадрес
а
цию


передачу пакетов в другую сеть в соответствии с
таблицей маршрутизации

или во все другие сети при отсутствии
адресата в таблице. Таблица маршрутизации обычно составляется
в процессе самообучения по адресу источника приходящего пакета.
Мосты классифицируются по нескольким признакам:

По уровню протокола:


MAC
-
Layer

Bridges

ра
ботают на подуровне управления
дост
у
пом к среде, позволяют связывать сети одинаковой
архитектуры (с одинаковыми форматами пакетов);


LLC
-
Layer

Bridges

работают на подуровне управления
логич
е
ской связью, позволяют связывать сети с различными
архитектур
а
ми
(



Token

Ring



Arcnet
).

По алгоритму маршрутизации:


Transparent

routing

(прозрачный)


мост сам определяет
тра
с
су для каждого пакета, запоминая местоположение всех узлов.
И
с
пользуется в сетях
;


Source

Routing



трасса пакета вводится
в адресную часть
самим источником пакета. Используется в
Token

Ring
.

По отношению к серверу.

• внутренний мост (
Internal

Bridge
)


часть программного
обе
с
печения сервера, обеспечивающая пересылку пакетов между
се
г
ментами, подключенными к разным сетевым ада
птерам;

• внешний мост (
External
,
Stand
-
alone

Bridge
)


отдельное
ус
т
ройство.

По расстоянию

между соединяемыми сетями:

• локальный мост (
Local

Bridge
) соединяет рядом
расположе
н
ные локальные сети;

• удаленный мост (
Remote

Bridge
) соединяет географически
р
азнесенные локальные сети через средства телекоммуникации
(выделенные или коммутируемые телефонные линии и т. д.).
Тел
е
коммуникация является узким местом моста, для повышения
прои
з
водительности возможно параллельное использование
нескольких каналов связи.

Маршрутизатор

(
Router
)


средство обеспечения связи
м
е
жду узлами различных сетей, оперирует на сетевом уровне

17

модели
OSI
, использует сетевые (логические) адреса. Сети могут
находит
ь
ся на значительном расстоянии, и путь, по которому
передается п
а
кет, может
проходить через несколько
маршрутизаторов. Сетевой адрес интерпретируется как
иерархическое описание местополож
е
ния узла. Маршрутизаторы
поддерживают протоколы сетевого уровня:
IP
,
IPX
,
X
.25,
UDP
.
Мультипротокольные маршрутизаторы (более сложные и дорогие)

поддерживают несколько протоколов одновременно для
гетерогенных сетей.

Brouter

(
Bridging

router
)


комбинация моста и
маршрутизат
о
ра, оперирует как на сетевом, так и на канальном
уровне.

Основные характеристики маршрутизатора:

Тип: одно
-

или многопроток
ольный,
LAN

или
WAN
,
Brouter
.

1.


Поддерживаемые протоколы.

2.

Пропускная способность.

3.


Типы подключаемых сетей.

4.


Поддерживаемые интерфейсы (
LAN

и
WAN
).

5.


Количество портов.

6.


Возможность управления и мониторинга сети.


Шлюз
(Gateway)


средство предоставления рес
урсов или
с
о
единения существенно разнородных сетей, оперирующее на
вер
х
них (5
-
7) уровнях модели OSI. В отличие от повторителей,
мостов и маршрутизаторов, прозрачных для пользователя,
присутствие шл
ю
за заметно. Шлюз выполняет преобразование
форматов и разме
ров пакетов, преобразование протоколов,
преобразование данных, мультиплексирование. Обычно
реализуется на основе компьютера с большим объемом памяти.

Примеры шлюзов:

1. Fax: обеспечивает доступ к удаленному факсу, преобразуя
данные в факс
-
формат.

2. E
-
mai
l: обеспечивает почтовую связь между локальными
с
е
тями. Шлюз обычно связывает MHS, специфичный для сетевой
оп
е
рационной системы с почтовым сервисом no X.400.

3. Internet: обеспечивает доступ к глобальной сети Internet.

4. Mainframe: подключает локальную се
ть к большим машинам.
Выделение одного компьютера под шлюз позволяет любой станции
эмулировать терминал без установки дополнительных
интерфей
с
ных карт.



18

2.3.

Методы передачи данных в сетях

Передача данных в сетях производится с помощью трех
основных методов:

1
)
Коммутация каналов
. В сети устанавливается физическое
соединение между пунктами отправителя и получателя. Источник и
адресат связаны путем образования составного канала состоящего
из ряда канальных сегментов. Установление связи между и
адресатом производ
иться путем посылки источником специального
сигнализирующего сообщения, которое перемещается от одного
узла коммутации канала к другому и занимает пройденные
канальные участки т.о. прокладывая путь от источника к адресату. О
том, что соединение установлено
, из адресата в источник
посылается т.н. сигнал обратной связи. После этого из источника
передается сообщение по установленному пути с одновременным
использованием всех каналов. При этом каналы оказываются
недоступными для других передач. Такая ситуация со
храняется,
пока источник не освободит каналы специальным сигналом.

2)
Коммутация сообщений
. При коммутации сообщений,
информация запоминается в промежуточных узлах сети. При
подобном способе передачи данных, физическое соединение
устанавливается только ме
жду соседними узлами сети, и только на
время передачи сообщения. Каждое сообщение снабжается
заголовком и передается как единое целое. Поступившее в узел
сообщение запоминается в буферной памяти и в подходящий
момент, когда освободиться канал связи, переда
ется в следующий
узел. При этом занимаются каналы, только между соседними
узлами.

3)
Коммутация пакетов
. Сообщение разбивается на
отдельные части
-

пакеты, каждый из которых снабжен заголовком и
специальной служебной информацией. Пакеты передаются
независ
имо друг от друга.

Основные этапы коммутации пакетов:

1)

поступающее от абонента сообщение подвергается в
интерфейсных процессорах пакетированию (разбитию на
пакеты фиксированной длины);

2)


пакеты помечаются служебной информацией, к каждому
пакету добавляется
заголовок;

3)

пакеты транспортируются в сети как независимые сообщения;

4)

поступают в узел коммутации пакетов и накапливаются в
буферной памяти канала связи;

5)

пакеты передаются в выходной буфер, где перемешаны
пакеты разных сообщений, и и выдаются на скоростной
канал
связи для передачи в соседний узел;


19

6)

в пункте назначения интерфейсный процессор формирует из
пакетов исходное сообщение.


В сетях, обычно используются два режима передачи пакетов:
режим виртуальных каналов и режим дейтаграмм.

Режим виртуальных каналов

предполагает, что передаче
сообщения предшествует организация виртуального канала, по
которому затем строго в порядке номеров передаются пакеты
сообщения. Этот метод называется также метод ненумерованных
пакетов.

Режим дейтаграмм

допускает независимое пер
емещение по
сети пакетов сообщения. В этом случае
-

пакеты называются
дейтограммами. Логического соединения не требуется т.к. все
пакеты перемещаются по сети независимо, и порядок следования
номеров не важен. По реализации это более сложный метод, т.к.
сбо
рка пакетов представляет собой более сложную задачу. Но
данный метод считается более надежным и более скоростным.
Иногда метод называют
-

метод нумерованных пакетов.


3.

АДРЕСАЦИЯ В СЕТЯХ ПЕ
РЕДАЧИ ДАННЫХ

При сетевом взаимодействии объектам сети нужен некоторы
й
способ распознавания различных устройств и процессов. Это
делается с помощью адресации.

Адрес сетевого устройства состоит из двух частей:



физического адреса устройства, идентифицирующего объект в
рамках сегмента сети,



логического (сетевого) адреса, идент
ифицирующего объект в
сетевой ассоциации.


3.1.

Физический адрес устройства

В качестве физического адреса устройства используются, так
называемые МАС
-
адреса, назначаемые производителем
оборудования. Каждый сетевой порт устройства имеет уникальный
МАС
-
адрес, кот
орый назначается при его изготовлении и не может
быть изменен.

МАС
-
адрес представляет собой шестибайтовое число, в
котором закодирована информация о производителе оборудования
и изделии.

Код производителя уникален и назначается международной
стандартизующе
й организацией. В свою очередь, производитель
следит за уникальностью второй части МАС
-
адреса.


20

Данная система назначения МАС
-
адресов гарантирует, что во
всем мире нет двух сетевых портов с одинаковыми физическими
адресами.


МАС
-
адрес

Код производителя
об
орудования

Порядковый номер

3 байта

3 байта


Рис.6 Структура
MAC
-
адреса


Физические адреса устройств используются протоколами
канального уровня для доставки пакетов в сети. При этом, как
правило, пакет получается всеми сетевыми устройствами сегмента
сети
, но обрабатывается только тем, чей физический адрес
совпадает с адресом получателя пакта. Физические адреса также
используются при работе мостов (bridge) для пересылки пакетов
между сегментами сети.

3.2.

Логический адрес устройства

Физические адреса идентифици
руют объекты только в одной
сети. Для доставки данных в сетевой ассоциации используются
логические адреса, (другое название


сетевые адреса)
определяющие адрес сети и адрес сетевого устройства. В отличие
от физических адресов, логические адреса назначаютс
я
администратором сети и могут быть изменены при необходимости.

При подключении к локальной или глобальной сети необходимо
следовать соглашениям по наименованию и нумерации для Вашей
сети. В зависимости от реализации Вам, возможно, потребуется
обеспечить у
никальность назначаемого сетевого адреса устройства
или его имени в сети.

Логический адрес, как правило, состоит из двух частей:



Адреса сети



Адреса устройства

Для передачи данных между устройствами сетевой ассоциации
физические адреса устройств и логически
е (сетевые) адреса
используются совместно. Однако каждый компьютер или другое
сетевое устройство может осуществлять несколько функций
одновременно (термин объект

entity


идентифицирует
оборудование и программное обеспечение, которое выполняет
каждую индиви
дуальную функцию).

Для передачи и приема данных, каждый объект должен иметь
собственный адрес. Этот адрес можно назвать адресом сервиса

21

(service address). В реализациях некоторых конкретных протоколов
также используются синонимы этого термина


порт (port)

или
сокет (socket). Адрес сервиса идентифицирует конкретный
программный процесс верхнего уровня или протокол. Любому
компьютеру, на котором выполняется несколько сетевых
приложений, может быть назначено несколько адресов сервиса. На
рисунке показано, как
эти различные схемы адресации соотносятся
друг с другом.




Адрес
сервиса 1

Адрес
сервиса 2


Логический адрес устройства

Физический адрес устройства


Рис.7 Соотношение схем адресации


В некоторых сетях резервируется банк адресов, называемых
общеизвестн
ыми адресами (well
-
known address), которые
идентифицируют общие сетевые услуги или сервис. Каждый
поставщик услуг в сети может также поставлять собственный
уникальный адрес сервиса. Когда два объекта желают связаться,
они присоединяют адрес сервиса к логич
ескому сетевому адресу и к
физическому адресу устройства:



логический сетевой адрес указывает исходную или целевую
сеть;



физический адрес устройства идентифицирует исходный или
целевой компьютер;



адрес сервиса относится к конкретному прикладному процессу,
в
ыполняемому на исходном или целевом компьютере.


4.

АРХИТЕКТУРА ЛОКАЛЬНЫ
Х СЕТЕЙ

Сетевая архитектура соответствует реализации физического и
канального уровня модели
OSI
. Она определяет кабельную систему,
кодирование сигналов, скорость передачи, структуру кадро
в
(фре
й
мов), топологию и метод доступа. Каждой архитектуре
соответств
у
ют свои компоненты


кабели, разъемы, интерфейсные
карты, к
а
бельные центры и т. д.

1.
Первое поколение

архитектур обеспечивало низкие и
сре
д
ние скорости передачи:
LocalTalk



230 кбит/с,




2.5

22

Мбит/с,



10 Мбит/с и
Token

Ring



16 Мбит/с. Исходно
они были ориентированы на электрические кабели.

2.
Второе поколение



FDDI

(100 Мбит/с), АТМ (155 Мбит/с и
выше).
Fast


(100 Мбит/с) в основном ориентировано на
о
п
товолоко
нный кабель (
Fiber
-
based
).


4.1.





архитектура сетей с разделяемой средой и
широк
о
вещательной передачей (все узлы получают пакет
одновременно), метод доступа
CSMA
/
CD
, реализует два нижних
уровня модели
OSI
. Стандарт определен документом
IEEE
80
2.3. По
физической реал
и
зации различают:



10Bas
е
5


Thick («толстый») Ethernet;



10Base2


Thin («тонкий») Ethernet;





Twisted
-


на витой паре;



10
Broad
36


сеть на широкополосном 75
-
омном коаксиальном
кабеле;



10
BaseF



несколько вариант
ов сети на оптоволоконном
каб
е
ле;



100



100 Мбит/с стандарты
, включающие
100
4, 100

(наиболее распространенный
Fast

), 100
BaseFX



Gigabit

Ethernet


Первый элемент обозначения: скорость, Мбит/с. Второй
элемент:
Base



прямая (
немодулированная) передача,
Broad



использование широкополосного кабеля с частотным у
п
лотнением
каналов. Третий элемент: среда передачи или длина кабеля в
сотнях метров.


«Толстый»

Синонимы:
,
Yellow

(желтый кабель).
1
0Base5.
Классический вариант, введенный в 60
-
х годах, использует
толстый коаксиальный кабель
RG
-
8 с посеребренной центральной
жилой и двойной экранной оплеткой. Кабель имеет волновое
сопр
о
тивление 50 Ом, малое затухание и высокую
помехозащищенность. Максим
альная длина сегмента


500 м, на
концах сегмента уст
а
навливаются разъемы и 50
-
омные
терминаторы, один из которых заземляется. Кабель желтого цвета
всегда имеет разметку в виде черных рисок через каждые 2.5 м,
обозначающую возможные точки подключения или о
треза. Отрезки
кабеля могут соединяться разъ
е
мами, Т
-
образные ответвления

23

недопустимы. Допускается соедин
е
ние в линию через повторители
до 5 сегментов (2500 м), из которых не более трех могут
использоваться для подключения узлов (
Trunk

segments
),
остальные

(
Link

segments
) используются как удлинители. На каждом
сегменте может быть до 100 узлов, считая и повторит
е
ли.

На кабель устанавливается трансивер


MAU

(
Media

Attachment

Unit
), активное устройство с питанием 12В от
интерфейса устройств присоединения
AUI

(
Attachment

Unit

Interface
), обесп
е
чивающий доступ к шине через импульсный
трансформатор. Тра
н
сивер устанавливается либо между
концевыми разъемами отрезков кабеля (как вставка или через Т
-
коннектор), либо с прокалыванием кабеля («вампир»). К сетевому
адап
теру трансивер подключается специальным кабелем
-
спуском
длиной до 50 м. Кабель содержит линии питания трансивера и
экранированные витые пары для си
г
налов приема, передачи и
обнаружения коллизии. Кабель имеет диаметр около 1 см,
присоединяется 15
-
штырьковым
и разъемами
D
-
типа с защелками.
Жесткость кабеля создает эксплуатационные неудобства.

Толстый кабель сложен в монтаже. Основное преимущество


высокая помехозащищенность кабеля и напряжение изоляции
тра
н
сивера. Применяется для прокладки базовых сегментов
(
Backbone
).

«Тонкий» Ethernet

Синонимы: ThinNet, 10Base2, CheaperNet (дешевая

сеть).
Поп
у
лярный вариант, использует тонкий коаксиальный кабель
RG
-
58, имеющий волновое сопротивление 50 Ом, среднее затухание и
п
о
мехозащищенность. Максимальная длина сегмента


185 м, для
многих современных адаптеров


300 м. На концах сегмента
уст
а
навливаются разъемы и 50
-
омные терминаторы, один из
которых заземляется. Сеть с не 50
-
омными терминаторами
неработоспосо
б
на. Применение кабеля с другим волновым
сопротивлением прив
о
ди
т к образованию «черных дыр», в которых
реальная скорость о
б
мена может падать до нуля. Допускается
соединение в линию через повторители до 5 сегментов (925 м или
1500 м), из которых не более трех могут использоваться для
подключения узлов (
Trunk

segments
),

остальные (
Link

segments
)
используются как удлинители. На каждом сегменте может быть до
30 узлов, считая и повторители. Узлы по
д
ключаются с помощью Т
-
коннекторов, минимальное расстояние м
е
жду коннекторами 0.5 м.
Ограничение длины Т
-
образного ответвл
е
ния (
10 см) создает
неудобства подключения настольных компьют
е
ров, поскольку от
каждого Т
-
коннектора, вставленного в сетевую карту, отходят
кабели в обе стороны.


24

Применяемые соединители:
BNC
-
connector



на концах
отре
з
ков,
BNC

T
-
connector



для подключения узл
ов,
BNC

-
connector



для соединения отрезков кабеля.

Оптимальное применение


для прокладки базовой сети между
хабами.

Возможно сочетание толстого и тонкого кабеля в одном
сегме
н
те, для чего предусмотрены специальные переходные
разъемы. Максимальная длина

тонкого кабеля (в метрах)
определяется по формуле
MaxThinLen

= (500
-
ThickLen
)/3.28.
Максимально допуст
и
мое количество узлов в сегменте


от 30 до
100.



Ethernet на витой паре (Twisted
-

Сюда относятся: 10
, 100
, 100
4. Среда
п
е
редачи для 10
, 100



две неэкранированные витые
пары
DTP

(
Unshielded

Twisted

Pair
) категорий 3, 4 или 5; для
100
4


четыре пары
UTP

категории 5 или экранированные
витые пары
STP

(
Shielded

Twisted

Pair
).


















Рис.8 Сеть стандарт
а 10
Base
-
T


Физическая топология


звезда: каждый узел подключается к
своему порту хаба лучом кабеля длиной до 100 м. Конечные узлы
соединяются по топологии «точка
-
точка» со специальным
устройством


многопортовым повторителем с помощью двух
витых пар. Одн
а витая пара требуется для передачи данных от
станции к повторителю (выход
Т
х

сетевого адаптера), а другая


Концентратор 10
Base
-
T

R
x

T
x

R
x

T
x

R
x

T
x



Станция

T
x

R
x

T
x

R
x

T
x

R
x

Сетевой
адаптер

Витая
пара


25

для передачи данных от повторителя к станции (вход
R
х

сетевого
адаптера). Для каждой пары сигналов (
R
x
+

,
R
x
-

и Т
х+
, Т
х
-
) должны
использоваться св
итые вместе провода, один из которых, как
правило, цветной другой
-

белый с полосками того же цвета. Кабель
между хабом и адаптером узла прямой, между хабами


перекрестный. Два компьютера можно связать и без хаба
перекрестным кабелем. На рис. 8 показан пр
имер трехпортового
повторителя. Повторитель принимает сигналы от одного из
конечных узлов и синхронно передает их на все свои остальные
порты, кроме того, с которого поступили сигналы.

Многопортовые повторители в данном случае обычно
называются
концентрато
рами

(англоязычные термины

Hub

или
concentrator
). Концентратор осуществляет функции повторителя
сигналов на всех отрезках витых пар, подключенных к его портам,
так что образуется единая среда передачи данных


логический
моноканал (логическая общая шина).

Повторитель обнаруживает
коллизию в сегменте в случае одновременной передачи сигналов по
нескольким своим
R
х
-
входам и посылает jam
-
последовательность
на все свои Т
х
-
выходы. Базовый стандарт 10
Base
-
T

определяет
битовую скорость передачи данных 10 Мбит/с и
максимальное
расстояние отрезка витой пары между двумя непосредственно
связанными узлами (станциями и концентраторами) не более 100 м
при наличии витой пары качества не ниже категории 3. Это
расстояние определяется полосой пропускания витой пары


на
длине

100 м она позволяет передавать данные со скоростью
10Мбит/с при использовании манчестерского кода. Концентраторы
10
Base
-
Т можно соединять друг с другом с помощью тех же портов,
которые предназначены для подключения конечных узлов. При этом
нужно позаботит
ься о том, чтобы передатчик и приемник одного
порта были соединены соответственноственно с приемником и
передатчиком другого порта.

Для обеспечения синхронизации станций при реализации
процедур доступа
CSMA
/
CD

и надежного распознавания станциями
коллизий
в стандарте определено максимальное число
концентраторов между любыми двумя станциями сети, а именно 4.
Это правило носит название «
правила 4
-
х хабов
» и оно заменяет
«правило 5
-
4
-
3», применяемое к коаксиальным сетям. При создании
сети 10
Base
-
Т с большим чи
слом станций концентраторы можно
соединять друг с другом иерархическим способом, образуя
древовидную структуру.

Необходимо отметить, что петлевидное соединение
концентраторов в стандарте 10Ва
s
е
-
Т запрещено, так как оно

26

приводит к некорректной работе сети.
Это требование означает,
что в сети 10
Base
-
Т не разрешается создавать параллельные
каналы связи между критически важными концентраторами для
резервирования связей на случай отказа порта, концентратора или
кабеля. Резервирование связей возможно только за сч
ет перевода
одной из параллельных связей в неактивное (заблокированное)
состояние.

Общее количество станций в сети 10
Base
-
Т не должно
превышать общего предела в 1024, и для данного типа
физического уровня это количество действительно можно достичь.
Для это
го достаточно создать двухуровневую иерархию
концентраторов, расположив на нижнем уровне достаточное
количество концентраторов с общим количеством портов 1024.
Конечные узлы нужно подключить к портам концентраторов
нижнего уровня. Правило 4
-
х хабов при это
м выполняется
-

между
любыми конечными узлами будет ровно 3 концентратора.

Максимальная длина сети в 500 м здесь понимается как
максимальное расстояние между любыми двумя конечными узлами
сети (часто применяется также термин «максимальный диаметр
сети»). О
чевидно, что если между любыми двумя узлами сети не
должно быть больше 4
-
х повторителей, то максимальный диаметр
сети 10
Base
-
Т составляет 5x100 = 500 м.

Сети, построенные на основе стандарта 10
Base
-
Т, обладают по
сравнению с коаксиальными вариантами

многими
преимуществами. Эти преимущества связаны с разделением
общего физического кабеля на отдельные кабельные отрезки,
подключенные к центральному коммуникационному устройству. И
хотя логически эти отрезки по
-
прежнему образуют общую
разделяемую среду
, их физическое разделение позволяет
контролировать их состояние и отключать в случае обрыва,
короткого замыкания или неисправности сетевого адаптера на
индивидуальной основе. Это обстоятельство существенно
облегчает эксплуатацию больших сетей
, та
к как
концентратор обычно автоматически выполняет такие функции,
уведомляя при этом администратора сети о возникшей проблеме.

В стандарте 10
Base
-
Т определена процедура тестирования
физической работоспособности двух отрезков витой пары,
соединяющих трансиве
р конечного узла и порт повторителя. Эта
процедура называется
тестом связности
, и она основана на
передаче каждые 16 мс специальных импульсов
J

и
K

манчестерского кода между передатчиком и приемником каждой
витой пары. Если тест не проходит, то п
o
рт блокир
уется и

27

отключает проблемный узел от сети. Так как коды
J

и
K

являются
запрещенными при передаче кадров, то тестовые
последовательности не влияют на работу алгоритма доступа к
среде.

Звездообразная физическая топология имеет конструктивные
преимущества по
сравнению с шиной:

• к каждому узлу подходит только один гибкий кабель;

• повреждение одного лучевого кабеля приводит к отказу
с
о
единения только одного узла;


несанкционированное прослушивание пакетов в сети
затру
д
нено.

C
уществуют переходные устройства с
тонкого кабеля на витую
пару, представляющие собой активные устройства
-

повторители
или вырожденные (двухпортовые) хабы.

Появление между конечными узлами активного устройства,
которое может контролировать работу узлов и изолировать от сети
некорректно раб
отающие, является главным преимуществом
технологии 10
Base
-
Т по сравнению со сложными в эксплуатации
коаксиальными сетями. Благодаря концентраторам сеть
Ethernet

приобретает свойства отказоустойчивой системы.


Оптоволоконный

Использование оптоволок
на в качестве среды передачи
при
н
ципиально позволяет реализовать как шинную, так и
звездообра
з
ную физическую топологию. Реализация шины
физически сущес
т
венно сложнее, поэтому в настоящее время
распространен вариант двухточечного подключения. При этом два
у
зла связываются двумя нитками волокна, по которым сигнал
передается во встречных н
а
правлениях, аналогично связи по витой
паре. При существенном удалении узлов кабель состоит из трех
частей: основного кабеля, возможно включающего в себя большое
количество в
олокон и предназначенного для прокладки в различных
климатических и эк
с
плуатационных условиях, и двух пар оконечных
отрезков, присоед
и
няемых к аппаратуре с помощью оптических
разъемов. Оконечные отрезки привариваются к волокнам основного
кабеля с помощью с
пециального оборудования. От качества среза и
сварки сильно з
а
висит затухание сигнала и, следовательно,
надежность связи.

Оптоволоконная аппаратура имеет ряд преимуществ:



нечувствительность к электрическим и электромагнитным
п
о
мехам;


28




исчисляемое километра
ми расстояние передачи без
повтор
и
телей и тысячами километров


с промежуточными
ретран
с
ляторами;



высокая степень конфиденциальности каналов




широкополосность каналов.

Оптоволоконные стандарты в качестве основного типа кабеля
для 10 мегабитного

ре
комендуют дешевое многомодовое
оптическое волокно, обладающее полосой пропускания 500
-
800МГц
при длине кабеля 1 км. Допустимо и более дорогое одномодовое
оптическое волокно с полосой пропускания в несколько гигагерц, но
о применять специальный тип трансиве
ра.

Функционально сеть
Ethernet

на оптическом кабеле состоит из
тех же элементов; что и сеть стандарта 10
Base
-
Т


сетевых
адаптеров, многопортового повторителей и отрезков кабеля,
соединяющих адаптер с портом повторителя. Как и в случае витой
пары, для сое
динения адаптера с повторителем используются два
оптоволокна


одно соединяет выход Т
х

адаптера со входом
R
х

повторителя, а другое вход
R
x

адаптера с выходом Т
х

повторителя
(см. рис.8).

Базовые стандарты

на оптоволокне


это 10
Base

FL

и
10
Base
-
FB
.

Стандарт
10
Base

FL

гарантирует длину
оптоволоконной связи между повторителями до 2000 м при общей
длине сети не более 2500 м. Максимальное число повторителей
между любыми узлами сети
-

4. Максимального диаметра в 2500 м
здесь достичь можно, хотя максималь
ные отрезки кабеля между
всеми 4 повторителями, а также между повторителями и конечными
узлами недопустимы


иначе получится сеть длиной 5000 м.

10
Base
-
FB

предназначен только для соединения повторителей.
Конечные узлы не могут использовать этот стандарт д
ля
присоединения к портам концентратора. Между узлами сети можно
установить до 5 повторителей 10
Base
-
FB

при максимальной длине
одного сегмента 2000 м и максимальной длине сети 2740 м.

Как и в стандарте 10Вазе
-
Т, оптоволоконные стандарты

разрешают
соединять концентраторы только в
древовидные иерархические структуры. Любые петли между
портами концентраторов не допускаются.


Домен коллизий

В технологии
, независимо от применяемого стандарта
физического уровня, существует понятие домена коллизи
й.


29

Домен коллизий



это часть сети
;, все узлы которой
распознают коллизию независимо от того, в какой части этой сети
коллизия воз
никла." Сеть
, построенная на ."повторителях,
всегда образует один домен коллизий. Домен коллизий
соответств
ует одной разделяемой среде. Мосты, коммутаторы и
маршрутизаторы делят сеть

на несколько доменов
коллизий.

















Рис.9 Иерархическое соединение концентраторов
Ethernet


Приведенная на рис.9 сеть представляет собой один домен
коллизий.
Если столкновение кадров произошло в концентраторе 4,
то в соответствии с логикой работы концентраторов 10
Base
-
Т
сигнал коллизии распространится по всем портам всех
концентраторов.

Если же вместо концентратора 3 поставить в сеть мост, то его
порт С, связа
нный с концентратором 4, воспримет сигнал коллизии,
идущий от концентратора 4, но не передаст его на свои остальные
порты, так как это не входит в его обязанности. Мост просто
отработает ситуацию коллизии средствами своего порта С, который
подключен к обще
й среде, где эта коллизия возникла. Если
коллизия возникла из
-
за того, что мост пытался передать через порт
С кадр в концентратор 4, то, зафиксировав сигнал коллизии, порт С
приостановит передачу кадра и попытается передать его повторно
через случайный инт
ервал времени. Если порт С принимал в
момент возникновения коллизии кадр, то он просто отбросит
полученное начало кадра и будет ожидать, когда узел,
передававший кадр через концентратор 4, не сделает повторную
B

Концентратор 1 (хаб)

Концентратор 2

Концентратор 3

Концентратор 4




.
м
и
и
м
и
м

10Base
-
FL

10Base
-
FB

10Base
-
T

10Base
-
T

C

A


30

попытку передачи. После успешного принятия дан
ного кадра в свой
буфер мост передаст его на другой порт в соответствии с таблицей
продвижения, например на порт А. Все события, связанные с
обработкой коллизий портом С, для остальных сегментов сети,
которые подключены к другим портам моста, останутся про
сто
неизвестными.

Узлы, образующие один домен коллизий, работают синхронно,
как единая распределенная электронная схема.


4.2.

Token

Ring

Token

Ring

(маркерное кольцо)


архитектура сетей с
кольц
е
вой логической топологией и детерминированным методом
доступа с п
ередачей маркера, реализует два нижних уровня модели
OS
1. Стандарт определен документом
I
ЕЕЕ 802.5, но
IBM



основной проводник этой архитектуры


использует несколько
отличающу
ю
ся спецификацию.

Логическое кольцо реализуется на физической звезде, в центре
которой находится
MAU

(
Multistation

Access

Unit
)


хаб с портами
подключения каждого узла. Для присоединения кабелей
использ
у
ются специальные разъемы, обеспечивающие замыкание
кольца при отключении узла от сети. При необходимости сеть может
ра
с
ширяться за

счет применения дополнительных хабов, связанных
в общее кольцо. Требование безразрывности кольца усложняет
к
а
бельное хозяйство
Token

Ring
, использующее четырехпроводные
экранированные (
STP
) и неэкранированные (
UTP
) витые пары и
специальные коммутационные
средства.

Облегченный вариант разводки (на
UTP
) обеспечивает
подкл
ю
чение до 96 станций к 12 восьмипортовым хабам с
максимальным удалением станции от хаба 45 м. Длина кабелей,
соединяющих х
а
бы (
patch

cable
), может достигать 45 м при их
суммарной длине не бо
лее 120 м.

Стационарная разводка (на
STP
) обеспечивает подключение до
260 станций к 33 хабам с максимальным удалением станции от хаба
100 м. Длина кабелей, соединяющих хабы, может достигать 100 м
при их суммарной длине не более 200 м.

Оптоволоконный кабель

увеличивает длину сегмента до 1 км.

Информация по кольцу передается только в одном
направл
е
нии по цепочке от станции к станции, скорость передачи 4
или 16 Мбит/с. Адаптер узла копирует в свой буфер только
адресованные ему пакеты. Право на передачу пакета
со своей
информацией пер
е
дается узлу с помощью специального короткого
пакета


маркера, в структуру которого входит поле приоритета,

31

задающее уровень пр
и
оритета узла, имеющего право на захват
маркера. Пакет, не н
а
шедший своего адресата за один оборот по
ко
льцу, удаляется м
о
нитором кольца. Маркер в кольцо запускается
активным монитором


узлом (обычно это сервер), отвечающим за
его постоянное пр
и
сутствие, действительность и единственность.

Остальные узлы являются резервными мониторами, и в случае
обнаружения

исчезновения активного монитора инициируют
пр
о
цесс определения нового активного монитора.

Использование системных ресурсов
PC

и конфигурирование
адаптеров аналогично
. Программное обеспечение кроме
обычного для всех сетевых адаптеров содержит допо
лнительные
модули
-

агенты как на сервере, так и на рабочей станции.

Основное преимущество
Token

Ring



заведомо ограниченное
время ожидания обслуживания узла (в отличие от
Ethernet

не
во
з
растающее при усилении трафика), обусловленное
детерминир
о
ванным мет
одом доступа и возможностью управления
приоритетом. Это свойство позволяет использовать
Token

Ring

в
системах реал
ь
ного времени. Кроме того, сети
Token

Ring

легко
соединяются с с
е
тями на больших машинах (
IBM

Mainframe
).

Недостатками
Token

Ring

являются выс
окая стоимость
обор
у
дования и сложность построения больших сетей (
WAN
).

5.

INTERNET И TCP/IP


представляет собой всемирную разветвленную систему
связанных между собой узлов и локальных сетей. Передача данных
в

основана на принципе коммутации
пакетов, в соответствии
с которым поток данных, передаваемых от одного узла другому,
разбивается на пакеты, передающиеся в общем случае через
си
с
тему коммуникаций и маршрутизаторов независимо друг от друга
и вновь собирающиеся на приемной стороне. Протокол
ьный стек
(

Protocol

Suite
)
TCP
/
IP

формировался при разработке
гл
о
бальной сети
ARPA
-
, впоследствии переросшей во всемирную
сеть
. Протоколы базируются на
IP

(

Protocol
)


пр
о
токоле негарантированной доставки пакетов (дейтаграмм)
без
уст
а
новления соединения.


связывает около 40 миллионов пользователей во всем
мире. Им предоставляются услуги электронной почты (протокол
SMTP
), передачи файлов (
FTP
), эмуляции терминалов


выполн
е
ние заданий на удаленных компьютерах (
).

Н
аиболее популярные средства доступа к информации
Internet
:

Archie



индексный поиск файлов. Каждый сервер
периодич
е
ски выдает списки предоставляемых им файлов и

32

описаний спец
и
альным
Archie
-
серверам. Для поиска нужного файла
клиентское обеспечение
Arhie

ген
ерирует запрос, ответом на
который будет я
в
ляться список местоположений и описаний
(аннотаций) файлов, удовлетворяющих данному запросу. В
дальнейшем требуемый файл может быть получен с помощью
FTP
.

Gopher



система меню для поиска (навигации) и получения
т
ребуемой информации. Путешествуя по каталогам, можно найти
требуемый файл и использовать для его получения или просмотра
средства, соответствующие его природе, в том числе мультимедии
-
ные. Удобный интерфейс пользователя скрывает реальную работу
протокола
T
elNet
.

World

Wide

Web

(
WWW
)


сервис, позволяющий с помощью
текстово
-
графических страниц (включающих иконки и качественные
картинки) с перекрестными ссылками путешествовать по сети

в поисках текстовой, графической и мультимедийной
и
н
формации. Пои
ск и представление информации осуществляет
кл
и
ентское ПО


браузер, например
Explorer

или
.


5.1.

Построение больших сетей

Большие глобальные сети типа
Internet

строятся на основе
протоколов сетевого уровня. В стандартной модели взаимодействия
открыт
ых систем в функции сетевого уровня входит решение
следующих задач:



передача пакетов между конечными узлами в сосотавных
с
е
тях;



выбор маршрута передачи пакетов, наилучшего по нек
о
тор
о
му
критерию;



согласование разных протоколов канального уровня,
и
с
пол
ь
зующ
ихся в отдельных подсетях одной составной части

Протоколы сетевого уровня реализуются, как правило, в виде
программных модулей и выполняются на конечных узлах
-
компьютерах, называемых
хостами
, а также на промежуто
ч
ных
узлах
-
маршрутизаторах, называемых
шлюза
ми
. Функции
маршрутизаторов могут выполнять как специализированные
устройства, так и универсальные компьютеры с соответс
т
вующим
программным обеспечением

Создание сложной структурированной сети, интегрирующей
различные базовые технологии, может осуществлять
ся и
средствами канального уровня: для этого могут быть испол
ь
зованы
некоторые типы мостов и коммутаторов. Мост или коммутатор
разделяет сеть на сегменты, локализуя трафик внутри сегмента, что
делает линии связи разделяемыми пр
е
имущественно ме
ж
ду

33

станциями

данного сегмента. Тем самым сеть распадается на
отдельные подсети, из которых могут быть построены составные
сети достаточно крупных размеров. Однако построение сложных
сетей только на основе повт
о
рителей, мостов и коммутаторов имеет
существенные огран
и
ч
ения и недостатки.



























Рис.10. Архитектура составной сети


Основная идея введения сетевого уровня состоит в
сл
е
дующем: сеть в общем случа рассматривается как совоку
п
ность
нескольких сетей и называется составной сетью или
и
н
терсетью.

Сети, входящие в основную сеть, называются
подсетями
.

Подсети соединяются между собой маршрутизаторами.
Компонентами составной сети могут являться как локальные, так и
глобальные сети. Внутренняя структура каждой сети на рисунке не
показана, так как она
не имеет значения при рассмотрении сетевого
протокола. Все узлы в пределах одной подсети взаимодействуют,
используя единую для них технологию. Так, в составную сеть,
показанную на рисунке 10, входит несколько сетей разных

LAN

Ethernet


LAN

Fast

Ethernet


LAN

Token
Ring


LAN

Ethernet

WAN

ISDN


LAN

Ethernet


LAN

FDDI

WAN

X.25

WAN

Frame
relay

Узел А

Уз
ел
B

Маршрутизаторы


34

технологий: локальные сети
t
,
Fast

,
Token

Ring

и
глобальные сети
Frame

Relay
, Х.25,
ISDN
. Каждая из этих
технологий достаточна для того, чтобы организовать
взаимодействие всех узлов в своей подсети, но не способна
построить информационную связь между произвольно выбранными
узлами, принадлежащими разным подсетям, например между узлом
А и узлом В на рис.8. Следовательно, для организации
взаимодействия между любой произвольной парой узлов этой
«большой» составной сети требуются дополнительные средства.
Такие средства и предоста
вляет сетевой уровень.

Сетевой уровень выступает в качестве координатора,
организующего работу всех подсетей, лежащих на пути
продвижения пакета по составной сети. Для перемещения данных в
пределах подсетей сетевой уровень обращается к используемым в
этих
подсетях технологиям.

Хотя многие технологии локальных сетей (
Ethernet
,
Fast

Ethernet
,
Token

Ring
,
FDDI

и др.) используют одну и ту же систему адресации
узлов на основе МАС
-
адресов, существует немало технологий
(Х.25, АТМ,
Frame

Relay
), в которых применяю
тся другие схемы
адресации. Адреса, присвоенные узлам в соответствии с
технологиями подсетей, называют
локальными
. Чтобы сетевой
уровень смог выполнить свою задачу, ему необходима собственная
система адресации,
не зависящая от
адресации узлов в отдельных
п
одсетях, которая позволила бы на сетевом уровне универсальным
и
однозначным способами идентифицировать любой узел составной

сети.

Естественным способом формирования сетевого адреса
является уникальная нумерация
всех подсетей составной сети и
нумерация всех

узлов в пределах каждой подсе
ти. Таким образом,
сетевой адрес представляет собой пару: номер сети (подсети
) и
номер узла.

В качестве номера узла может выступать либо локальный адрес
этого узла (такая схема принята в стеке
I
РХ/SРХ), либо некоторое
число, н
икак не связанное с локальной
технологией, которое
однозначно идентифицирует узел в пределах данной подсе
ти. В
первом случае сетевой адрес становится зависимым от локальных
технологий
, что ограничивает его применение. Например, сетевые
адреса
I
РХ/
S
РХ рассч
итаны
на работу в составных сетях,
объединяющих сети, в которых используются тольк
о МАС
-
адреса или
адреса аналогичного формата. Второй подход более
универсален, он
характерен для стека ТСР/
I
Р. И в том и другом случае каждый узел
состав
ной сети имеет наряду

со своим локальным адресом еще один
-

универсальный сете
вой адрес.


35

Данные, которые поступают на сетевой уровень и которые
необходимо передать через соста
вную сеть, снабжаются заголовком
сетевого уровня. Данные вместе с заголовко
м образуют пакет.
Заголовок

пакета сетевого уровня имеет унифицированный фо
рмат,
не зависящий от форматов кадров канального уровня тех сетей,
которые м
огут входить в объединенную сеть, и несет наряду с другой
служебной информацией данные о номере сети, которой
предназначается этот п
акет. Сетевой уровень определяет маршрут и
перемещает пакет между подсетями.

При передаче пакета из одной подсети в другую пакет сетевого
уровня, инкапсулирован
ный в прибывший канальный кадр первой
подсети, освобождается от
в этого кадра и окружается заго
ловками
кадра канального уровня следующей под
сети. Информацией, на
основе которой делается эта замена, являются служебные

поля
пакета сетевого уровня. В поле адреса назначения нового кадра
указывает
ся локальный адрес следующего маршрутизатора.

Необходимо о
тметить, что е
сли в подсети доставка данных
осуществляется средствами канального и физического уровней (как,
например, в стандартных локальных сетях), то пакеты сетевого
уровня упаковываются в кадры канального уровня. Если же в какой
-
либо подсети для транс
портировки сообщений используется
технология, основанная на стеках с большим числом уровней, то
пакеты сетевого уровня упаковываются в блоки передаваемых
данных самого высокого уровня подсети.

Основным полем заголовка сетевого уровня является номер
сети
-
ад
ресата. В протоколах локальных сетей такого поля в кадрах
предусмотрено не было


предполагалось, что все узлы
принадлежат одной сети. Явная нумерация сетей позволяет
протоколам сетевого уровня составлять точную карту межсетевых
связей и выбирать рациональ
ные маршруты при любой их топологии,
в том числе альтернативные маршруты, если они имеются, что не
умеют делать мосты и коммутаторы.

Кроме номера сети заголовок сетевого уровня должен содержать
и другую информацию, необходимую для успешного перехода пакета

из сети одного типа в сеть другого типа. К такой информации может
относиться, например:



номер фрагмента пакета, необходимый для успешного проведения
операций сборки
-
разборки фрагментов при соединении сетей с
разными максимальными размерами пакетов;



время
жизни пакета, указывающее, как долго он путешествует по
интерсети, это время может использоваться для уничтожения
«заблудившихся» пакетов;


36



качество услуги


критерий выбора маршрута при межсетевых
передачах
-
например, узел
-
отправитель может потребовать
пер
едать пакет с максимальной надежностью, возможно, в ущерб
времени доставки.

Когда две или более сети организуют совместную транспортную
службу, то такой режим взаимодействия обычно называют
межсетевым взаимодействием.


5.2.

Протоколы

Сетевой уровень:

1.

I
P

(

Protocol
) обеспечивает негарантированную
доставку пакета от узла к узлу, в работе с нижними уровнями
и
с
пользует
ARP

и
RARP
.

2.

ARP

(
Address

Resolution

Protocol
) динамически
преобр
а
зует
IP
-
адрес в физический (
MAC
). _

3.

RARP

(
Reverse

Address

Resolutio
n

Protocol
) обратный к
ARP
, преобразует физический адрес в
IP
-
адрес.

4.

I
СМР (
Internet

Control

Message

Protocol
) управляет
пер
е
дачей управляющих и диагностических сообщений между
шлюзами и узлами, определяет доступность и способность к ответу
абоне
н
тов
-
адреса
тов, назначение пакетов, работоспособность
маршрут
и
заторов и т. д.
I
СМР взаимодействует с вышестоящими
протокол
а
ми
TCP
/
IP
. Сообщения передаются с помощью
lP
-
дейтаграмм.

Транспортный уровень:

1.

UDP

(
User

Datagram

Protocol
) обеспечивает
негарантир
о
ванную доста
вку пользовательских дейтаграмм без
установления соединения между заданными процессами
передающего и прин
и
мающего узлов. Взаимодействующие
процессы идентифицируются протокольными портами (
Protocol

Ports
)


целочисленными знач
е
ниями в диапазоне 1

65535. Пор
ты
1

255 используются для о
б
щеизвестных назначений (
Well
-
known

port

assignments
), остальные назначаются динамически перед
посылкой дейтаграммы.
UDP
-
дсйтаграмма имеет заголовок,
включающий номера порта источника (для возможности корректного
ответа) и порта
назначения и поле данных. Длина поля данных
UDP
-
дейтаграммы произвольна, прот
о
кол обеспечивает ее
инкапсуляцию (помещение в поле данных) в одну или несколько
IP
-
дейтаграмм и обратную сборку на приемной стороне.
UDP

позволяет множеству клиентов использовать

совп
а
дающие порты:
дейтаграмма доставляется клиенту (процессу) с з
а
данным
IP
-
адресом и номером порта. Если клиент не находится, то

37

дейтаграмма отправляется по адресу 0.0.0.0 (обычно это «черная
дыра»).

2.

TCP

(
Transmission

Control

Protocol
) обеспечивает
гар
а
н
тированный поток данных между клиентами, установившими
вирт
у
альное соединение. Поток представляет собой
неструктурирова
н
ную последовательность байт, их интерпретация
согласуется пер
е
дающей и приемной стороной предварительно.
Для идентификации используютс
я порты, аналогично
UDP
-
портам.
Активная сторона (инициатор обмена) обычно использует
произвольный порт, пасси
в
ная


порт общеизвестного назначения,
соответствующий испол
ь
зуемому протоколу верхнего уровня.
TCP

буферизует входящий п
о
ток, ожидая перед посылк
ой заполнения
большой дейтаграммы. П
о
ток сегментируется, каждому сегменту
назначается последовател
ь
ный номер. Передающая сторона
ожидает подтверждения приема каждого сегмента, при его
длительном отсутствии делает повторную передачу сегмента.
Процесс, испол
ьзующий
TCP
, получает уведо
м
ление о нормальном
завершении передачи только после успешной сборки потока
приемником. Протокол обеспечивает полный дуплекс, это означает,
что потоки данных могут идти одновременно во встречных
направлениях.

Уровень представлени
я данных и прикладной уровень:

1.




обеспечение удаленного терминала
(символ
ь
ного и графического)
UNIX
-
машины.
FTP (File Transfer
Protocol)


протокол передачи файлов.

2.

TFTP (Trivial File Transfer Protocol)


тривиальный
протокол передачи файлов.

3.

SMTP

(
Simple

Mail

Transfer

Protocol
)


протокол
перед
а
чи электронной почты, определяющий правила
взаимодействия и форматы управляющих сообщений.

4.

RIP

(
Routing

Information

Protocol
)


протокол обмена
трассировочной информацией между маршрутизаторами.

5.

DNS

(
Domain

N
ame

System
)


система обеспечения
пр
е
образования символических имен и псевдонимов сетей и узлов в
IP
-
адреса и обратно.


5.3.

Протокольный стек
TCP
/
IP

В настоящее время стек ТСР/
I
Р является самым популярным
средством организации составных сетей. До 1996 года бес
спорным
лидером был стек
I
РХ/
S
РХ компании
Novell
, но затем картина резко
изменилась


стек ТСР/
I
Р по темпам роста числа установок
намного стал опережать другие стеки, а с 1998 года вышел в

38

лидеры и в абсолютном выражении. Именно поэтому дальнейшее
изучение

функций сетевого уровня будет проводиться на примере
стека ТСР/
I
Р.

В стеке ТСР/
I
Р определены 4 уровня (рис. 9). Каждый из этих
уровней несет на себе некоторую нагрузку по решению основной
задачи
-

организации надежной и производительной работы
составной с
ети, части которой построены на основе разных сетевых
технологий.


Уровень
I

Прикладной уровень

Уровень
II

Основной (транспортный) уровень

Уровень
III

Уровень межсетевого взаимодействия

Уровень
IV

Уровень сетевых интерфейсов


Рис.9 Многоуровневая архит
ектура стека
TCP
/
IP


Уровень межсетевого взаимодействия

Основой всей архитектуры является
уровень межсетевого
взаимодействия
, который реализует концепцию передачи пакетов
в режиме без установления соединений, то есть дейтаграммным
способом. Именно этот уро
вень обеспечивает возможность
перемещения пакетов по сети, используя тот маршрут, который в
данный момент является наиболее рациональным. Этот уровень
также называют уровнем
Internet
, указывая тем самым на основную
его функцию


передачу данных через соста
вную сеть.

Основным протоколом сетевого уровня (в терминах модели
OSI
) в стеке является протокол
IP

(

Protocol
). Этот протокол
изначально проектировался как протокол передачи пакетов в
составных сетях, состоящих из большого количества локальных
сет
ей, объединенных как локальными, так и глобальными связями.
Поэтому протокол
I
Р хорошо работает в сетях со сложной
топологией. Так как протокол
I
Р является дейтаграммным
протоколом, он не гарантирует доставку пакетов до узла
назначения, но старается это сд
елать.

К уровню межсетевого взаимодействия относятся и все
протоколы, связанные с с составлением и модификацией таблиц
маршрутизации, такие как протоколы сбора маршрутной
информации
RIP

(
Routing

Internet

Protocol
) и
OSPF

(
Open

Shortest

Path

First
), а такж
е протокол межсетевых управляющих сообщений
I
СМР (
Internet

Control

Message

Protocol
). Последний протокол
предназначен для обмена информацией об ошибках между
маршрутизаторами сети и узлом
-
источником пакета.


Основной уровень


39

Поскольку на сетевом уровне не
устанавливаются соединения,
то нет никаких гарантий, что все пакеты будут доставлены в место
назначения целыми и невредимыми или придут в том же порядке, в
котором они были отправлены. Эту задачу


обеспечение
надежной информационной связи между двумя коне
чными узлами


решает
основной уровень

стека ТСР/1Р, называемый также
транспортным
.

На этом уровне функционируют протокол управления
передачей ТСР (
Transmission

Control

Protocol
) и протокол
дейтаграмм пользователя
UDP

(
User

Datagram

Protocol
). Протокол
ТС
Р обеспечивает надежную передачу сообщений между
удаленными прикладными процессами за счет образования
логических соединений. Этот протокол позволяет равноранговым
объектам на компьютере
-
отправителе и компьютере
-
получателе
поддерживать обмен данными в дупл
ексном режиме. ТСР
позволяет без ошибок доставить сформированный на одном из
компьютеров поток байт в любой другой компьютер, входящий в
составную сеть. ТСР делит поток байт на части


сегменты и
передает их нижележащему уровню межсетевого взаимодействия.
После того как эти сегменты будут доставлены средствами уровня
межсетевого взаимодействия в пункт назначения, протокол ТСР
снова соберет их в непрерывный поток байт.

Протокол
UDP

обеспечивает передачу прикладных пакетов
дейтаграммным способом, как и главны
й протокол уровня
межсетевого взаимодействия
IP
, и выполняет только функции
связующего звена (мультиплексора) между сетевым протоколом и
многочисленными службами прикладного уровня или
пользовательскими процессами.

Прикладной уровень

Прикладной уровень объ
единяет все службы, предоставляемые
системой пользовательским приложениям. За долгие годы
использования в сетях различных стран и организаций стек ТСР/
I
Р
накопил большое количество протоколов и служб прикладного
уровня. Прикладной уровень реализуется прогр
аммными
системами, построенными в архитектуре клиент
-
сервер,
базирующимися на протоколах нижних уровней. В отличие от
протоколов остальных трех уровней, протоколы прикладного уровня
занимаются деталями конкретного приложения и «не
интересуются» способами п
ередачи данных по сети. Этот уровень
постоянно расширяется за счет присоединения к старым,
прошедшим многолетнюю эксплуатацию сетевым службам типа
Те
,
F
ТР, Т
F
ТР,
DNS
,
SN
МР сравнительно новых служб таких,

40

например, как протокол передачи гипертекстовой и
нформации
НТТР.

Уровень сетевых интерфейсов

Идеологическим отличием архитектуры стека ТСР/
I
Р от
многоуровневой организации других стеков является интерпретация
функций самого нижнего уровня
-

уровня сетевых интерфейсов
.
Протоколы этого уровня должны обеспе
чивать интеграцию в
составную сеть других сетей, причем задача ставится так: сеть
ТСР/
I
Р должна иметь средства включения в себя любой другой
сети, какую бы внутреннюю технологию передачи данных эта сеть
не использовала. Отсюда следует, что этот уровень нел
ьзя
определить раз и навсегда. Для каждой технологии, включаемой в
составную сеть подсети, должны быть разработаны собственные
интерфейсные средства. К таким интерфейсным средствам
относятся протоколы инкапсуляции
I
Р
-
пакетов уровня межсетевого
взаимодейств
ия в кадры локальных технологий. Например,
документ
RFC

1042 определяет способы инкапсуляции
I
Р
-
пакетов в
кадры технологий
I
ЕЕЕ 802.

Уровень сетевых интерфейсов в протоколах ТСР/
I
Р не
регламентируется, но он поддерживает все популярные стандарты
физическо
го и канального уровней: для локальных сетей это
, Token Ring, FDDI, Fast Ethernet, Gigabit Ethernet, для
глобальных сетей


протоколы соединений «точка
-
точка»
SLIP

и
РРР, протоколы территориальных сетей с коммутацией пакетов
Х.25,
frame

relay
. Раз
работана также специальная спецификация,
определяющая использование технологии АТМ в качестве
транспорта канального уровня. Обычно при появлении новой
технологии локальных или глобальных сетей она быстро
включается в стек ТСР/
I
Р за счет разработки соответс
твующего
RF
С, определяющего метод инкапсуляции
I
Р
-
пакетов в ее кадры.


Соответствие уровней стека
TCP
/
IP


семиуровней модели
ISO
/
OSI

Так как стек ТСР/
I
Р был разработан до появления модели
взаимодействия откры
тых систем
ISO
/
OSI
, то, хотя он также имеет
мн
огоуровневую структуру, соответствие уровней стека ТСР/
I
Р
уровням модели О
SI

достаточно условно (рис. 10). Рассматривая
многоуровневую архитектуру ТСР/
I
Р, можно выделить в ней,
подобно архитектуре О
SI
, уровни, функции которых зависят от
конкретной техничес
кой реализации сети, и уровни, функции
которых ориентированына работу с приложениями.



41

7

WWW,

Gopher,
WAIS


SNMP


FTP




SMTP


TFTP


I

6

5


TCP


UDP


II

4

3

IP

ICMP

RIP

OSPF

ARP

III

2

Не

регламентируется

25, SLIP, PPP


IV

1


Рис.10 Соответствие уровней стека
TCP
/
IP

семиуровневой модели
OSI


5.4.

Адресация и маршрутизация в Internet

В стеке ТСР/
I
Р используются три типа адресов: локальные
(называемые также аппаратными),
I
Р
-
адреса и символьные
доменные имена.

В терминологии ТСР/
I
Р под
локальным адресом

понимается
такой тип адреса, который используется средствами базовой
технологии для доставки данных в пределах подсети, являющейся
элементом составной интерсети. В разных подсетях допустимы
разные сетевые техноло
гии, разные стеки протоколов, поэтому при
создании стека ТСР/
I
Р предполагалось наличие разных типов
локальных адресов. Если подсетью интерсети является локальная
сеть, то локальный адрес


это
МАС
-
адрес
. МАС
-
адрес
назначается сетевым адаптерам и сетевым ин
терфейсам
маршрутизаторов. МАС
-
адреса назначаются производителями
оборудования и являются уникальными, так как управляются
централизованно. Для всех существующих технологий локальных
сетей МАС
-
адрес имеет формат 6 байт, например 11
-
АО
-
17
-
ЗВ
-
ВС
-
01. Однако п
ротокол
I
Р может работать и над протоколами более
высокого уровня, например над протоколом
I
РХ или Х.25. В этом
случае локальными адресами для протокола
I
Р соответственно
будут адреса
I
РХ и Х.25. Следует учесть, что компьютер в
локальной сети может иметь н
есколько локальных адресов даже
при одном сетевом адаптере. Некоторые сетевые устройства не
имеют локальных адресов. Например, к таким устройствам
относятся глобальные порты маршрутизаторов, предназначенные
для соединений типа «точка
-
точка».

I
Р
-
адреса

пред
ставляют собой основной тип адресов, на
основании которых сетевой уровень передает пакеты между
сетями. Эти адреса состоят из 4 байт, например 109.26.17.100.
I
Р
-
адрес назначается администратором во время конфигу: рирования
компьютеров и маршрутизаторов.
I
Р
-
адрес состоит из двух частей:
номера сети и номера узла. Номер сети может быть выбран

42

администратором произвольно, либо назначен по рекомендации
специального подразделения

(

Network

Information

Center
, InterNIC), если сеть должна работать

как составная часть
. Обычно поставщики услуг
Internet

получают диапазоны
адресов у подразделений
InterNIC
, а затем распределяют их между
своими абонентами. Номер узла в протоколе
I
Р назначается
независимо от локального адреса узла. Маршрутизатор
по
определению входит сразу в несколько сетей. Поэтому каждый порт
маршрутизатора имеет собственный IР
-
адрес. Конечный узел также
может входить в несколько
I
Р
-
сетей. В этом случае компьютер
должен иметь несколько
I
Р
-
адресов, по числу сетевых связей.
Таким
образом,
I
Р
-
адрес характеризует не отдельный компьютер
или маршрутизатор, а одно сетевое соединение.

Символьные доменные имена.

Символьные имена в
I
Р
-
сетях
называются доменными и строятся по иерархическому признаку.
Составляющие полного символьного имени в

IP
-
сетях разделяются
точкой и перечисляются в следующем порядке: сначала


простое
имя конечного узла, затем имя группы узлов (например, имя
организации), затем имя более крупной группы (поддомена) и так до
имени домена самого высокого уровня (например, д
омена
объединяющего организации по географическому принципу:
RU


Россия,
UK



Великобритания,
SU



США). Примером доменног
имени может служить имя
base
2.
sales
.
zil
.
ru
. Между доменным
именем и
IP
-
адресом узла нет никакого алгоритмического
соответствия, поэто
му необходимо использовать какие
-
то
дополнительные таблицы или службы, чтобы узел сети однозначно
определялся как по доменному имени, так и по
I
Р
-
адресу. В сетях
ТСР/
I
Р имеется специальная распределенная служба
Domain

Name

System

(
DNS
), которая устанавлива
ет это соответствие на
основании создаваемых администраторами сети таблиц
соответствия. Поэтому доменные имена называют также
DNS

-
именами
.


Классы
IP
-
адресов

В отличие от физических (
MAC
) адресов, формат которых
зав
и
сит от конкретной сетевой архитектуры,
IP
-
адрес любого узла
сети имеет длину 4 байта и обычно записывается в виде четырех
чисел, представляющих значения каждого байта в десятичной
форме и разделенных точками, например, 128.10.2.30


традиционная десятичная форма представления адреса, а
двоичная

форма представления этого же адреса будет иметь вид:
10000000 00001010 00000010 00011110. Соответствие
IP
-
адреса
узла его физическому внутри сети (подсети) устанавливается

43

дин
а
мически посредством широковещательных запросов
ARP
-
протокола. Адрес состоит из
двух логических частей


номера
сети
, общего для всех узлов данной сети, и
номера узла в сети
,
или хост
-
части, уникальной для каждого узла. Какая часть адреса
относится к номеру сети, а какая


к номеру узла, определяется
значениями первых бит адреса. Знач
ения этих бит являются
признаками того, к какому классу относится тот или иной
I
Р
-
адрес.
Соотнош
е
ние размеров частей адреса зависит от класса сети.
Классы сетей введ
е
ны для наиболее эффективного использования
единого адресного пространства
. На рис
.11 показана
структура
I
Р
-
адреса разных классов.




4 байта


1 байт

3 байта

Класс А

0

№ сети

№ узла





2 байта

2 байта

Класс
B

1

0

№ сети

№ узла









3 байта

1 байт

Класс
C

1

1

0

№ сети

№ узла








Класс
D

1

1

1

0

Адрес группы
multicast








Класс Е

1

1

1

1

0

Зарезервирован


Рис.11 Структура
IP
-

адреса


Если адрес начинается с 0, то сеть относят к
классу А

и номер
сети занимает один байт, остальные 3 байта интерпретируются как
номер узла в сети. Сети класса А имеют номера в диапазоне от

1 до
126. (Номер 0 не используется, а номер 127 зарезервирован для
специальных целей, о чем будет сказано ниже.) Сетей класса А
немного, зато количество узлов в них может достигать 2
24
, то есть
16 777 216 узлов.

Если первые два бита адреса равны 10, то се
ть относится к
классу В
. В сетях класса В под номер сети и под номер узла
отводится по 16 бит, то есть по 2 байта. Таким образом, сеть
класса В является сетью средних размеров с максимальным
числом узлов 2
16
, что составляет 65 536 узлов.

Если адрес начинае
тся с последовательности 110, то это сеть
класса С
. В этом случае под номер сети отводится 24 бита, а под

44

номер узла


8 бит. Сети этого класса наиболее распространены,
число узлов в них ограничено 2
8
, то есть 256 узлами.

Если адрес начинается с последоват
ельности 1110, то он
является адресом
класса D

и обозначает особый, групповой
адрес


multicast. Если в пакете в качестве адреса назначения
указан адрес класса В, то такой пакет должны получить все узлы,
которым присвоен данный адрес.

Если адрес начинается

с последовательности 11110, то это
значит, что данный адрес относится к
классу Е
. Адреса этого
класса зарезервированы для будущих применений.


Особые
IP
-
адреса

В протоколе
I
Р существует несколько соглашений об особой
интерпретации
I
Р
-
адресов.



Если весь
I
Р
-
адрес состоит только из двоичных нулей, то он
обозначает адрес того узла, который сгенерировал этот пакет;
этот режим используется только в некоторых сообщениях
I
СМР.



Если в поле номера сети стоят только нули, то по умолчанию
считается, что узел назначени
я принадлежит той же самой
сети, что и узел, который отправил пакет.



Если все двоичные разряды
I
Р
-
адреса равны 1, то пакет с
таким адресом назначения должен рассылаться всем узлам,
находящимся в той же сети, что и источник этого пакета. Такая
рассылка назы
вается
ограниченным широковещательным
сообщением
.



Если в поле номера узла назначения стоят только единицы, то
пакет, имеющий такой адрес, рассылается всем узлам сети с
заданным номером сети. Например, пакет с адресом
192.190.21.255 доставляется всем узлам
сети 192.190.21.0.
Такая рассылка называется
широковещательным
сообщением
.

При адресации необходимо учитывать те ограничения, которые
вносятся особым назначением некоторых
I
Р
-
адресов. Так, ни номер
сети, ни номер узла не может состоять только из одних дво
ичных
единиц или только из одних двоичных нулей. Отсюда следует, что
максимальное количество узлов для сетей данного класса, на
практике должно быть уменьшено на 2.

Особый смысл имеет
I
Р
-
адрес, первый октет которого равен
127. Он использется для тестирова
ния программ и взаимодействия
процессов в пределах одной машины. Когда программа посылает
данные по
I
Р
-
адресу 127.0.0.1, то образуется как бы «петля».
Данные не передаются по сети, а возвращаются модулям верхнего

45

уровня как только что принятые. Поэтому в
I
Р
-
сети запрещается
присваивать машинам
IP
-
адреса, начинающиеся со 127. Можно
отнести адрес 127.0.0.0 ко внутренней сети модуля маршрутизации
узла, а адрес 127.0.0.1


к адресу этого модуля на внутренней сети.
На самом деле любой адрес сети 127.0.0.0 служит

для обозначения
своего модуля маршрутизации, а не только 127.0.0.1, например,
127.0.0.3.


Использование масок в
IP
-
адресации

Традиционная схема деления
I
Р
-
адреса на номер сети и номер
узла основана на понятии класса, который определяется
значениями нескол
ьких первых бит адреса. Именно потому, что
первый байт адреса 185.23.44.206 попадает в диапазон 128
-
191,
мы можем сказать, что этот адрес относится к классу В, а значит,
номером сети являются первые два байта, дополненные двумя
нулевыми байтами


185.23.0.
0, а номером узла


0.0.44.206.

Можно использовать также другой признак, с помощью которого
можно было бы более гибко устанавливать границу между номером
сети и номером узла. В качестве такого признака сейчас получили
широкое распространение маски.
Маска



это число, которое
используется в паре с
I
Р
-
адресом; двоичная запись маски содержит
единицы в тех разрядах, которые должны в
I
Р
-
адресе
интерпретироваться как номер сети. Поскольку номер сети
является цельной частью адреса, единицы в маске также должны
пре
дставлять непрерывную последовательность.

Для стандартных классов сетей маски имеют следующие
значения:



класс А
-

11111111. 00000000. 00000000. 00000000 (255.0.0.0);



класс В
-

11111111. 11111111. 00000000. 00000000 (255.255.0.0);



класс С
-
11111111. 1111111
1.11111111. 00000000(255.255.255.0).

Снабжая каждый
I
Р
-
адрес маской, можно отказаться от понятий
классов адресов и сделать более гибкой систему адресации.
Например, если рассмотренный выше адрес 185.23.44.206
ассоциировать с маской 255,255.255.0, то номеро
м сети будет
185.23.44.0, а не 185.23.0.0, как это определено системой классов.

В масках количество единиц в последовательности, определяющей
границу номера сети, не обязятельно должно быть кратным 8,
чтобы повторять деление адреса на байты. Пусть, наприме
р, для
I
Р
-
адреса 129.64.134.5 указана маска 255.255.128.0, то есть в
двоичном виде:

IP
-
адрес 129.64.134.5
-

10000001. 01000000.10000110. 00000101;

маска 255.255.128.0
-

11111111.11111111.10000000.00000000.


46

Если игнорировать маску, то в соответствии с систе
мой классов
адрес 129.64.134.5относится к классу В, а значит, номером сети
являются первые 2 байта


129.64.0.0, а номером узла


0.0.134.5.

Если использовать для определения границы номера сети
маску, то 17 последовательных единиц в маске, «наложенные» на

I
Р
-
адрес, определяют в качестве номера сети в двоичном
выражении число:10000001.01000000. 10000000. 00000000 или в
десятичной форме записи


номер сети 129.64.128.0, а номер узла
0.0.6.5.

Механизм масок широко распространен в
I
Р
-
маршрутизации,
причем маск
и используются для самых разных целей, в
-
частности,
для смягчения проблемы дефицита адресов, которая сравнительно
давно наблюдается в сети
Internet
. Очень трудно получить адрес
класса В и практически невозможно стать обладателем адреса
класса А.

Существует

ряд современных технологий, направленных на
более экономное расходование
I
Р
-
адресов. Одной из таких
технологий является технология масок и ее развитие


технология безклассовой междоменной маршрутизации
. Эта
технология отказывается от традиционной концепц
ии разделения
адресов протокола
I
Р на классы, что позволяет получать в
пользование столько адресов, сколько реально необходимо.
Благодаря этому поставщик услуг получает возможность
«нарезать» блоки из выделенного ему адресного пространства в
точном соответ
ствии с требованиями каждого клиента, при этом у
него остается пространство для маневра на случай его будущего
роста.

Другая технология, которая может быть использована для
снятия дефицита адресов,
-

это
трансляция адресов
. Узлам
внутренней сети адреса наз
начаются произвольно (естественно, в
соответствий с общими правилами, определенными в стандарте),
так, как будто эта сеть работает автономно. Внутренняя сеть
соединяется с

через некоторое промежуточное устройство
(маршрутизатор, межсетевой экран).

Это промежуточное устройство
получает в свое распоряжение некоторое количество внешних
«нормальных»
I
Р
-
адресов, согласованных с поставщиком услуг или
другой организацией, распределяющей
I
Р
-
адреса. Промежуточное
устройство, называемое
прокси

сервер (
proxy
-
server
)
, способно
преобразовывать внутренние адреса во внешние, используя для
этого некие таблицы соответствия. Для внешних пользователей все
многочисленные узлы внутренней сети выступают под несколькими
внешними
I
Р
-
адресами. При получении внешнего запроса

это
устройство анализирует его содержимое и при необходимости

47

пересылает его во внутреннюю сеть, заменяя IР
-
адрес на
внутренний адрес этого узла. Процедура трансляции

адресов определена в соглашении
RFC

1631.

Для разделения трафика сетей с большим количес
твом узлов
применяется разделение на подсети (
) требуемого размера.
Адрес подсети использует несколько старших бит хост
-
части
IP
-
адреса, оставшиеся младшие биты


нулевые.

Внутренний трафик подсети изолируется от остальной сети
маршрутизатором. Облас
ть адресов подсети определяется
знач
е
нием маски подсети. Маска является 32
-
битным числом,
предста
в
ляемым по общим правилам записи
IP
-
адреса, у которого
старшие биты, соответствующие сетевой и подсетевои части
адреса, имеют единичное значение, младшие (лока
льная хост
-
часть)


нулевые.

При посылке
IP
-
дейтаграммы узел сравнивает
IP
-
адрес
назн
а
чения со своим
IP
-
адресом и накладывает на результат маску
по
д
сети. Ненулевое значение результата этой операции является
ук
а
занием на передачу пакета из подсети во внешню
ю сеть. Термин
маршрутизация
означает передачу дейтаграммы от одного узла к
другому.

Прямая маршрутизация

(
Direct

Routing
)


осуществляется
между узлами одной подсети. В этом случае источник знает
ко
н
кретный физический адрес получателя и инкапсулирует
IP
-
д
ейтаграмму во фрейм сети, содержащий этот адрес и
непосредс
т
венно передающийся по сети получателю.

Непрямая маршрутизация

(
Indirect

Routing
)


передача
де
й
таграмм между узлами различных подсетей. Обнаружив
расхожд
е
ние немаскированной (сетевой) части
IP
-
адр
есов, источник
посыл
а
ет фрейм с
IP
-
дейтаграммой по физическому адресу
маршрутизат
о
ра. Маршрутизатор анализирует
IP
-
адрес назначения
полученной дейтаграммы и, в зависимости от адресов прямо
подключенных к нему (под)сетей, посылает дейтаграмму либо
прямо по
адресу н
а
значения, либо к следующему маршрутизатору.
Для обеспечения межсетевого обмена все узлы сети (включая и
маршрутизаторы) должны иметь списки
IP
-
адресов доступных
маршрутизаторов.

Информация в
TCP
/
IP

передается пакетами со
стандартизова
н
ной структур
ой, называемыми
IP
-
дейтаграммами (
IP

Datagram
), имеющими поле заголовка (
IP

Datagram

Header
) и поле
данных (
IP

Datagram

Data
). Поле заголовка содержит собственно
заголовок,
IP
-
адреса источника и приемника. Длина дейтаграммы
определяется сетевым ПО так, что
бы она умещалась в поле данных
сетевого фрейма, осуществляющего ее транспортировку. Поскольку

48

по пути следования к адресату могут встречаться сети с меньшим
размером поля данных фрейма,
IP

специфицирует единый для всех
маршр
у
тизаторов метод разбивки дейтаг
раммы на фрагменты (тоже
IP
-
дейтаграммы) и обратной ее сборки приемником.
Фрагментирова
н
ная дейтаграмма собирается только ее
окончательным приемником, поскольку отдельные фрагменты могут
добираться до него разли
ч
ными путями.



6.

ЗАЩИТА ОТ НЕСАНКЦИОН
ИРОВАННОГ
О ДОСТУПА В
ОТКРЫТЫХ СЕТЯХ

В процессе подключения любой закрытой компьютерной сети
(локальной
LAN

или кампусной
CAN
) к открытым сетям (например, к
глобальной сети
Internet
) повышается вероятность угрозы
несан
к
ционированного вторжения в закрытую сеть из от
крытой, а
также у
г
роза несанкционированного доступа из закрытой сети к
ресурсам открытой. Подобный вид угроз характерен также для
случая, когда объединяются отдельные сети, ориентированные на
обработку конфиденциальной информации совершенно разного
уровня
се
к
ретности или разных категорий. При разграничении
доступа этих с
е
тей друг к другу возникают угрозы нарушения
установленных огр
а
ничений. Таким образом, если в качестве
внешней сети используе
т
ся открытая либо любая другая
потенциально враждебная сеть, то п
оявляются угрозы нарушения
установленных правил межсетевого взаимодействия, а именно:

1.


угрозы неправомерного вторжения во внутреннюю сеть из
внешней;

2.


угрозы несанкционированного доступа во внешнюю сеть из
внутренней.

.

Неправомерное вторжение во внутренню
ю сеть из внешней
м
о
жет выполняться как с целью несанкционированного
использования ресурсов внутренней сети, например хищения
информации, так и с целью нарушения ее работоспособности. Без
соответствующих средств защиты вероятность успешной
реализации данны
х угроз является достаточно высокой. Это
связано с недостатками, прис
у
щими наиболее широко
используемому для межсетевого взаим
о
действия набору
протоколов
TCP
/
IP
. Данный стек протоколов изн
а
чально был
разработан для глобальной сети
Internet
, которая со
з
дава
лась как
открытая система для свободного обмена информац
и
ей и обладает
высокой степенью универсальности, а значит, до
с
тупности.


49

В наиболее ранних версиях, а также в текущей версии
прот
о
кола
IP

(версия
IP

v
.4) не предусматривались какие
-
либо
функции защиты
от несанкционированных действий.

Угрозы несанкционированного доступа во внешнюю сеть из
внутренней

сети актуальны в случае ограничения разрешенного
доступа во внешнюю сеть правилами, установленными в
организ
а
ции. Такое ограничение является наиболее характе
рным
для вза
и
модействия с открытыми сетями (например, сетью
)
и может понадобиться в следующих случаях:

1.

для предотвращения утечки конфиденциальных данных;

2.

при запрете доступа, например, в учебных заведениях, к
и
н
формации нецензурной и нежелательной

направленности;

3.

в случае запрета служебного доступа к развлекательным
ко
м
пьютерным ресурсам в рабочее время.

Бороться с рассмотренными угрозами безопасности межсетевого
взаимодействия средствами универсальных операционных систем
(ОС) не представляется воз
можным. Универсальная операционная
система



это слишком большой и сложный комплекс программ,
к
о
торый, с одной стороны, может содержать внутренние ошибки и
н
е
доработки, а с другой



не всегда обеспечивает защиту от
ошибок администраторов и пользователей.

С
овременная технология программирования не позволяет
сд
е
лать столь большие программы безопасными. Для
операционных систем характерны как явные ошибки разработки, так
и существе
н
ные недостатки, связанные с недоработкой
концептуальных и ряда детальных требова
ний к системе
безопасности. Кроме того, адм
и
нистратор, имеющий дело со
сложной системой, далеко не всегда в состоянии эффективно ее
настроить и сконфигурировать. Наконец, в универсальной
многопользовательской системе бреши в безопа
с
ности постоянно
создаютс
я самими пользователями, например, тривиальные и редко
изменяемые пароли.

Следует учитывать также неоднородность современных
комп
ь
ютерных сетей. Сеть любой организации в общем случае
предста
в
ляет собой неоднородный набор из различных
компьютеров, упра
в
ляем
ых различными операционными системами
и связанных между собой с помощью сетевого оборудования.
Компьютеры одного типа и с одной ОС могут, в соответствии с их
назначением, иметь сове
р
шенно разные конфигурации. В таких
условиях проблематично ос
у
ществить наде
жную защиту от
внешнего враждебного сетевого о
к
ружения каждого компьютера в
отдельности.


50

Проблема защиты от несанкционированных действий при
взаимодействии с внешними сетями успешно может быть решена
только с помощью специализированных программно
-
аппаратн
ых
комплексов, обеспечивающих целостную защиту компьютерной сети
от враждебной внешней среды. Такие комплексы называют
межс
е
тевыми экранами, брандмауэрами

или
системами
FireWall
. Ме
ж
сетевой экран устанавливается на стыке между
внутренней и вне
ш
ней сетями и

функции противодействия
несанкционированному межсетевому доступу берет на себя.

6.1.

Функции межсетевого экранирования

Для противодействия несанкционированному межсетевому
до
с
тупу брандмауэр должен располагаться между защищаемой
сетью организации, являющейся в
нутренней, и потенциально
враждебной внешней сетью (рис
.1).

При этом все взаимодействия
между этими сетями должны осуществляться только через
межсетевой экран. Организационно экран входит в состав
защищаемой сети. Сетевой экран должен учитывать протоколы
и
нформационного обмена, п
о
ложенные в основу функционирования
внутренней и внешней сетей. Если эти протоколы отличаются, то
брандмауэр должен поддерж
и
вать многопротокольный режим
работы, обеспечивая протокольное преобразование отличающихся
по реализации уров
ней модели
OSI

для объединяемых сетей. Чаще
всего возникает необходимость в совместной поддержке стеков
протоколов

SPX
/
IPX

и
TCP
/
IP
.










Рис.

1.

Схема подключения межсетевого экрана

Брандмауэр не является симметричным. Для него отдельно
задаются прав
ила, ограничивающие доступ из внутренней сети во
внешнюю сеть и наоборот. В общем случае работа межсетевого
э
к
рана основана на динамическом выполнении двух групп функций:

1.

фильтрации проходящих через него информационных потоков;

2.

посредничества при реализаци
и межсетевых взаимодействий.

Защищае
мая
вну
т
ренняя сеть

Клиенты

Серверы



Межсетевой
э
к
ран
(брандма
у
эр)

Потенциально
вр
а
ждебная
внешняя сеть


Серверы

Клиенты


51

В зависимости от типа экрана эти функции могут выполняться с
различной полнотой. Простые межсетевые экраны ориентированы
на выполнение только одной из данных функций. Комплексные
э
к
раны обеспечивают совместное выполнение указан
ных функций
защиты. Собственная защищенность брандмауэра достигается с
помощью тех же средств, что и защищенность универсальных
си
с
тем.

Чтобы эффективно обеспечивать безопасность сети,
ко
м
плексный брандмауэр обязан управлять всем потоком,
проходящим через
него, и отслеживать свое состояние. Для
принятия управля
ю
щих решений по используемым сервисам
межсетевой экран должен получать, запоминать, выбирать и
обрабатывать информацию, п
о
лученную от всех коммуникационных
уровней и от других прилож
е
ний. Недостаточно

просто проверять
пакеты по отдельности. И
н
формация о состоянии соединения,
полученная из инспекции с
о
единений в прошлом и других
приложений,



главный фактор в принятии управляющего решения
при попытке установления нового соединения. Для принятия
решения
могут учитываться как состо
я
ние соединения (полученное
из прошлого потока данных), так и с
о
стояние приложения
(полученное из других приложений). Полнота и правильность
управления требуют, чтобы, комплексный брандмауэр имел
возможность анализа и использован
ия следующих элементов:

1.

Информация о соединениях



информация от всех семи
уровней модели
OSI

в пакете.

2.

История соединений



информация, полученная от
пред
ы
дущих соединений. Например, исходящая команда
PORT

се
с
сии
FTP

должна быть сохранена для того, чтобы
в
дальне
й
шем можно было проверить входящее соединение
FTP

data
.

3.

Состояние уровня приложения



информация о состоянии,
полученная из других приложений. Например,
аутентифицир
о
ванному до настоящего момента пользователю
можно предо
с
тавить доступ через брандма
уэр только для
авторизованных видов сервиса.

4.

Агрегирующие элементы



вычисления разнообразных
в
ы
ражений, основанных на всех вышеперечисленных
факторах.

Устройство, подобное межсетевому экрану, может
использ
о
ваться и для защиты отдельного компьютера. В этом

случае экран, уже не являющийся межсетевым, устанавливается на
защищаемый компьютер. Такой экран, называемый
персональным
брандма
у
эром
или

системой персонального экранирования


52

контролирует весь исходящий и входящий график независимо от
всех прочих си
с
тем
ных защитных средств. При экранировании
отдельного компь
ю
тера поддерживается доступность сетевых
сервисов, но уменьш
а
ется или вообще ликвидируется нагрузка,
индуцированная внешней активностью. В результате снижается
уязвимость внутренних се
р
висов защищаемо
го таким образом
компьютера, поскольку первон
а
чально сторонний злоумышленник
должен преодолеть экран, где защитные средства
сконфигурированы особенно тщательно и жес
т
ко

6.2.

Фильтрация трафика

Фильтрация информационных потоков состоит в их
выборо
ч
ном пропускани
и через экран, возможно, с выполнением
некоторых преобразований и извещением отправителя о том, что
его данным в пропуске отказано.

Фильтрация осуществляется на основе набора правил,
предвар
и
тельно загруженных в экран и являющихся выражением
сетевых а
с
пект
ов принятой политики безопасности. Поэтому
межсетевой экран удобно представлять как последовательность
фильтров (рис.

2),

обрабатывающих информационный поток.
Каждый из фильтров предназначен для интерпретации отдельных
правил фильтрации путем выполнения сл
едующих стадий:

1.

Анализа информации по заданным в интерпретируемых правилах
критериям, например, по адресам получателя и отправителя или
по типу приложения, для которого эта информация
предназнач
е
на.

2.

Принятия на основе интерпретируемых правил одного и
з
сл
е
дующих решений:



не пропустить данные;



обработать данные от имени получателя и возвратить результат
отправителю;



передать данные на следующий фильтр для продолжения
анал
и
за;



пропустить данные, игнорируя следующие фильтры.

Правила фильтрации мог
ут задавать и дополнительные действия,
которые относятся к функциям посредничества, например,
преобр
а
зование данных или регистрация событий. Соответственно,
правила фильтрации определяют перечень условий, по которым
они осущ
е
ствляются:



разрешение или запре
щение дальнейшей передачи данных;



выполнение дополнительных защитных функций.


53

В качестве критериев анализа информационного потока могут
и
с
пользоваться следующие параметры
:



служебные поля пакетов сообщений, содержащие сетевые
а
д
реса, идентификаторы, адреса
интерфейсов, номера портов
и другие значимые данные;



непосредственное содержимое пакетов сообщений,
проверя
е
мое, например, на наличие компьютерных вирусов;



внешние характеристики потока информации, например,
вр
е
менные, частотные характеристики, объем данны
х и т. д.


















Рис.

2

Структура межсетевого экрана


Используемые критерии анализа зависят от уровней модели
OSI
, на
которых осуществляется фильтрация. В общем случае, чем выше
уровень модели
OSI,

на котором брандмауэр фильтрует пакеты, тем
выш
е и обеспечиваемый им уровень защиты.

6.3.

Основные функции межсетевых экранов

Функции посредничества межсетевой экран выполняет с
п
о
мощью специальных программ, называемых
экранирующими
агентами

или просто
программами
-
посредниками
. Данные
пр
о
граммы являются рез
идентными и запрещают
непосредственную передачу пакетов сообщений между внешней и
внутренней сетью.

Потенциально
враждебная
внешняя сеть

МЕЖСЕТЕВОЙ ЭКРАН








…….

ФИЛЬТР

N

Обработка от имени

получат
е
ля

Блокир
о
вание
п
о
тока да
н
ных

Пропускание

Передача на

сл
е
дующий фильтр

Выполн
е
ние
д
о
полн
и
тельных

действий

Защищаемая
внутренняя
сеть


54

При необходимости доступа из внутренней сети во внешнюю
сеть или наоборот вначале должно быть установлено логическое
соединение с программой
-
посредником, фу
нкционирующей на
ко
м
пьютере экрана. Программа
-
посредник проверяет допустимость
з
а
прошенного межсетевого взаимодействия и при его разрешении
с
а
ма устанавливает отдельное соединение с требуемым
компьют
е
ром. Далее обмен информацией между компьютерами
внутренн
ей и внешней сети осуществляется через программного
посредника, к
о
торый может выполнять фильтрацию потока
сообщений, а также осуществлять другие защитные функции.
Необходимо отметить, что функции фильтрации межсетевой экран
может выполнять без пр
и
менения п
рограмм
-
посредников,
обеспечивая прозрачное взаим
о
действие между внутренней и
внешней сетью. Вместе с тем пр
о
граммные посредники могут и не
осуществлять фильтрацию потока сообщений.

В общем случае экранирующие агенты, блокируя прозрачную
пер
е
дачу потока со
общений, могут выполнять следующие функции:

1.

идентификацию и аутентификацию пользователей;

2.

проверку подлинности передаваемых данных;

3.

разграничение доступа к ресурсам внутренней сети;

4.

разграничение доступа к ресурсам внешней сети;

5.

фильтрацию и преобразование

потока сообщений, например,
динамический поиск вирусов и прозрачное шифрование
инфо
р
мации;

6.

трансляцию внутренних сетевых адресов для исходящих
пак
е
тов сообщений;

7.

регистрацию событий, реагирование на задаваемые события,
а также анализ зарегистрированной ин
формации и генерацию
о
т
четов;

8.

кэширование данных, запрашиваемых из внешней сети;


1. Идентификация и аутентификация пользователей

Идентификация и аутентификация пользователей необходима

для высокой степени безопасности не только при их доступе из
внешней с
ети во внутреннюю, но и наоборот. Пароль не должен
п
е
редаваться в открытом виде через общедоступные коммуникации.
Это предотвратит получение несанкционированного доступа путем
перехвата сетевых пакетов, что возможно, например, в случае
ста
н
дартных сервисов

типа
. Оптимальным способом
аутентиф
и
кации является использование одноразовых паролей.
Удобно и н
а
дежно также применение цифровых сертификатов,
выдаваемых д
о
верительными органами, например центром

55

распределения ключей. Большинство программ
-
посредник
ов
разрабатываются таким обр
а
зом, чтобы пользователь
аутентифицировался только в начале с
е
анса работы с межсетевым
экраном. После этого от него не треб
у
ется дополнительная
аутентификация в течение времени, опред
е
ляемого
администратором.

2. Проверка подлинн
ости получаемых и передаваемых
данных

Проверка подлинности передаваемых данных актуальна не
только для аутентификации электронных сообщений, но и для
ми
г
рирующих программ (
Java
,
ActiveX

Controls
),
no

отношению к
кот
о
рым может быть выполнен подлог. Проверка

подлинности
сообщ
е
ний и программ заключается в контроле их цифровых
подписей. Для этого также могут применяться цифровые
сертификаты.


3. Разграничение доступа к ресурсам внутренней или
внешней сети

Разграничение доступа к ресурсам производится на основе
идентификации и аутентификации пользователей при обращении к
межсетевому экрану
.

Способы разграничения к ресурсам
внутре
н
ней сети ничем не отличаются от способов разграничения,
подде
р
живаемых на уровне операционной системы. При
разграничении доступа к ресу
рсам внешней сети чаще всего
используется один из следующих подходов:

1.

разрешение доступа только по заданным адресам во внешней
сети;

2.

фильтрация запросов на основе обновляемых списков
нед
о
пустимых адресов и блокировка поиска информационных
ресу
р
сов по нежел
ательным ключевым словам;

3.

накопление и обновление администратором
санкционирова
н
ных информационных ресурсов внешней сети в
дисковой памяти брандмауэра и полный запрет доступа во
внешнюю сеть.


4. Фильтрация и преобразование потока сообщений

Процедура фильт
рации выполняется посредником на основе
з
а
данного набора правил. Здесь следует различать два вида
пр
о
грамм
-
посредников:

1.

экранирующие агенты, ориентированные на анализ потока
с
о
общений для определенных видов сервиса, например,
FTP
,
HTTP
,
;


56

2.

универсальн
ые экранирующие агенты, обрабатывающие весь
поток сообщений, например, агенты, ориентированные на
поиск и обезвреживание компьютерных вирусов или
прозрачное шифрование данных.

Программный посредник анализирует поступающие к нему
п
а
кеты данных и если какой
-
либо объект не соответствует
заданным критериям, то посредник либо блокирует его дальнейшее
продв
и
жение, либо выполняет соответствующие преобразования,
напр
и
мер, обезвреживание обнаруженных компьютерных вирусов.
При анализе содержимого пакетов важно, чтобы

экранирующий
агент мог автоматически распаковывать проходящие файловые
архивы.

Брандмауэры с посредниками позволяют также
организов
ы
вать защищенные виртуальные сети (
Virtual

Private




VPN
), например, безопасно объединить несколько
локальных сетей,

по
д
ключенных к
Internet
, в одну виртуальную сеть.

VPN

обеспечивают прозрачное для пользователей соединение
локальных сетей, с
о
храняя секретность и целостность
передаваемой информации п
у
тем ее динамического шифрования.
При передаче по


во
з
можно шиф
рование не только данных
пользователей, но и служе
б
ной информации



конечных сетевых
адресов, номеров портов и т. д.


5. Трансляция внутренних сетевых адресов

Программы
-
посредники могут выполнять и такую важную
функцию, как трансляцию внутренних сетевых ад
ресов. Данная
функция реализуется по отношению ко всем пакетам, следующим из
внутренней во внешнюю сеть. Для этих пакетов посредник
выполн
я
ет автоматическое преобразование
IP
-
адресов

компьютеров
-
отправителей в один "надежный"

IP
-
адрес,

ассоциируемый с бран
д
мауэром, из которого передаются все
исходящие пакеты. В резул
ь
тате этого действия все исходящие из
внутренней сети пакеты ок
а
зываются отправленными межсетевым
экраном, что исключает прямой контакт между авторизованной
внутренней сетью и явля
ю
щейся потенци
ально опасной внешней
сетью.

IP
-
адрес

брандма
у
эра становится единственным активным
I
Р
-
адресом, который поп
а
дает во внешнюю сеть.

При таком подходе
топология внутренней сети скрыта от всех внешних пользователей,
что усложняет задачу несанкционированного дос
тупа. Кроме
повышения безопасности трансляция адресов позволяет иметь
внутри сети собственную си
с
тему адресации, не согласованную с
адресацией во внешней сети, например, в сети
. Это

57

эффективно решает проблему ра
с
ширения адресного пространства
внут
ренней сети и дефицита а
д
ресов внешней сети.


6. Регистрация событий

Важными функциями программ
-
посредников являются

регис
т
рация событий, реагирование на задаваемые события, а
также ан
а
лиз зарегистрированной информации и составление
отчетов. В к
а
честве об
язательной реакции на обнаружение попыток
выполнения несанкционированных решений и должно быть
определено уведо
м
ление администратора, т. е. выдача
предупредительных сигналов. Любой брандмауэр, который не
способен посылать предупред
и
тельные сигналы при обна
ружении
нападения, не является эффе
к
тивным средством межсетевой
защиты.

Многие межсетевые экраны содержат мощную систему
регис
т
рации, сбора и анализа статистики. Учет может вестись по
адресам клиента и сервера, идентификаторам пользователей,
времени с
е
ансо
в, времени соединений, количеству
переданных/принятых да
н
ных, действиям администратора и
пользователей. Системы учета позволяют произвести анализ
статистики и предоставляют админ
и
страторам подробные отчеты.
За счет использования специальных протоколов поср
едники могут
выполнить удаленное оповеще
ние об определенных событиях в
режиме реального времени.

7.
Кэширование данных

Кэширование данных
,

запрашиваемых из внешней сети,
по
д
держивается с помощью специальных посредников. При доступе
пользователей внутренне
й сети к информационным ресурсам
внешней сети вся информация накапливается на пространстве
ж
е
сткого диска брандмауэра, называемого в этом случае

proxy
-
сервером
.

Поэтому если при очередном запросе нужная
информ
а
ция окажется на

proxy
-
сервере,

то посредник
пр
едоставляет ее без обращения к внешней сети, что существенно
ускоряет доступ. А
д
министратору следует позаботиться только о
периодическом обно
в
лении содержимого

proxy
-
сервера.

Функция кэширования успешно может использоваться для
о
г
раничения доступа к информ
ационным ресурсам внешней сети. В
этом случае все санкционированные информационные ресурсы
внешней сети накапливаются и обновляются администратором на

proxy
-
сервере.

Пользователям внутренней сети разрешается доступ
только к информационным ресурсам ргоху
-
се
рвера, а
непосредс
т
венный доступ к ресурсам внешней сети запрещается.
Экраниру
ю
щие агенты намного надежнее обычных фильтров и

58

обеспечивают большую степень защиты. Однако они снижают
производительность обмена данными между внутренней и внешней
сетями и не о
блад
а
ют той степенью прозрачности для приложений
и конечных польз
о
вателей, которая характерна для простых
фильтров.


6.4.

Особенности межсетевого экранирования

Брандмауэры поддерживают безопасность межсетевого
вза
и
модействия на различных уровнях модели
OSI
. Пр
и этом
функции защиты, выполняемые на разных уровнях эталонной
модели, сущ
е
ственно отличаются друг от друга. Поэтому
комплексный межсет
е
вой экран удобно представить в виде
совокупности неделимых э
к
ранов, каждый из которых ориентирован
на отдельный уровень
м
о
дели

OSI.

Чаще всего комплексный экран
функционирует на сет
е
вом, сеансовом и прикладном уровнях
эталонной модели. Соотве
т
ственно различают такие неделимые
брандмауэры
,

как



экранирующий маршрутизатор
, работающий на третьем,
с
е
тевом уровне эталонной модел
и
OSI
;



экранирующий транспорт

(шлюз сеансового уровня),
раб
о
тающий на пятом, сеансовом уровне модели
OSI
;



экранирующий шлюз

(шлюз прикладного уровня), работающий
на седьмом, прикладном уровне модели
OSI
.

Учитывая, что используемые в
сетях протоколы (
TCP
/
IP
,

SPX
/
IPX
) не однозначно соответствуют модели
OSI
, то экраны
п
е
речисленных типов при выполнении своих функций могут
охват
ы
вать и соседние уровни эталонной модели. Например,
прикладной экран может осуществлять автоматическое
шифрование сообщений при их перед
аче во внешнюю сеть, а также
автоматическое ра
с
шифровывание криптографически закрытых
принимаемых данных. В этом случае такой экран функционирует не
только на прикладном уровне модели
OSI
, но и на уровне
представления данных (шестой уровень). Шлюз сеансово
го уровня
при своем функционировании охватывает транспортный и сетевой
уровни модели

OSI.

Экран
и
рующий маршрутизатор при анализе
пакетов сообщений проверяет их заголовки не только сетевого, но и
транспортного уровня.

Межсетевые экраны каждого из типов име
ют свои достоинства
и недостатки. Многие из используемых брандмауэров являются
л
и
бо прикладными шлюзами, либо экранирующими
маршрутизатор
а
ми, не поддерживая полную безопасность

59

межсетевого взаимоде
й
ствия. Надежную же защиту обеспечивают
только комплексные
межсетевые экраны, каждый из который
объединяет экранирующий маршрутизатор, шлюз сеансового
уровня, а также прикладной шлюз.


60

Экранирующий маршрутизатор

Экранирующий маршрутизатор
, называемый еще
паке
т
ным фильтром, предназначен для фильтрации пакетов
сообщ
ений и обеспечивает прозрачное взаимодействие между
внутренней и внешней сетями. Он функционирует на сетевом
уровне модели
OSI
, но для выполнения своих отдельных функций
может охватывать и транспортный уровень эталонной модели.
Решение о том, пропу
с
тить ил
и отбраковать данные, принимается
для каждого пакета н
е
зависимо на основе заданных правил
фильтрации. Для принятия решения анализируются заголовки
пакетов сетевого и транспортн
о
го уровней
.

В качестве
анализируемых полей
IP
-

и
TCP

(
UDP
)
-
заголовков каждого п
акета
выступают:

-

адрес отправителя;

-

адрес получателя;

-

тип пакета;

-

флаг фрагментации пакета;

-

номер порта источника;

-

номер порта получателя.

Пе
рвые четыре параметра относятся к

IP
-
заголовку

пакета, а
следующие

к
TCP
-

или

UDP
-
заголовку.
Адреса отп
равителя и
пол
у
чателя являются

IP
-
адресами.

Эти адреса заполняются при
форм
и
ровании пакета и остаются неизменными при передаче по по
сети. Поле типа пакета содержит код протокола
ICMP
,
соответствующего сетевому уровню, либо код протокола
транспортного уров
ня (
TCP

или
UDP
), к которому относится
анализируемый

IP
-
пакет.
Флаг фрагментации пакета определяет
наличие или отсутствие фрагме
н
тации
IP
-
пакетов.

Если флаг
фрагментации для анализируемого п
а
кета установлен, то данный
пакет является подпакетом фрагмент
и
ров
анного

IP
-
пакета.
Номера
портов источника и получателя доба
в
ляются драйвером
TCP

или
UDP

к каждому отправляемому пакету сообщения и однозначно
идентифи
цируют приложение
-
отправитель, а также приложение,
для которого предназначен п
а
кет. Например, при исполь
зовании
протокола передачи файлов
FTP

реализация данного протокола на
сервере по умолчанию получает номер
TCP
-
порта 21. Каждый
-
сервер по умолчанию имеет ТСР
-
порт

23.

Для возможности
фильтрации пакетов по номерам портов необходимо знание
принятых в с
ети соглашений относ
и
тельно выделения номеров
портов протоколам высокого уровня. При обработке каждого пакета
экранирующий маршрутизатор п
о
следовательно просматривает

61

заданную таблицу правил, пока не найдет правила, с

которым
согласуется полная ассоциация
пакета. Здесь под ассоциацией
понимается совокупность параметров, ук
а
занных в заголовках
данного пакета. Если экранирующий маршрут
и
затор получил пакет,
не соответствующий ни одному из табличных правил, он применяет
правило, заданное по умолчанию.

И
з

сообр
а
жений безопасности
это правило обычно указывает на необход
и
мость отбраковки всех
пакетов, не удовлетворяющих ни одному из других правил.

В качестве пакетного фильтра может использоваться как
обычный маршрутизатор, так и работающая на сервере программа,
ско
нфигурированные та
ким образом, чтобы фильтровать входящие
и исходящие пакеты. Современные маршрутизаторы, например,
маршрутизирующие устройства компаний
Bay


и
Cisco
,
п
о
зволяют связывать с каждым портом несколько десятков правил и
фильтровать паке
ты как на входе, так и на выходе.

К достоинствам экранирующих маршрутизаторов относятся:

-

простота самого экрана, а также процедур его конфигурирования и
установки;

-
прозрачность для программных приложений и минимальное
вли
я
ние на производительность сети
;

-

низкая стоимость, обусловленная тем, что любой маршрутизатор в
той или иной степени представляет возможность фильтрации
пак
е
тов.

Однако экранирующие маршрутизаторы не обеспечивают
в
ы
сокой степени безопасности, так как проверяют только заголовки
п
а
кетов

и не поддержи
вают многие необходимые функции защиты,
например, аутентификацию конечных узлов, криптографическое
з
а
крытие пакетов сообщений, а также проверку их целостности и
по
д
линности. Экранирующие маршрутизаторы уязвимы для таких
ра
с
пространенных сете
вых атак, как подделка исходных адресов и
н
е
санкционированное изменение содержимого пакетов сообщений.
"Обмануть" межсетевые экраны данного типа не составляет труда



достаточно сформировать заголовки пакетов, которые
удовл
е
творяют раз
решающим правилам фи
льтрации.


Шлюз сеансового уровня

Шлюз сеансового уровня
, называемый еще экранирующим
транспортом, предназначен еще для контроля виртуальных
соед
и
нений и трансляции
IP
-
адресов при взаимодействии с
внешней с
е
тью.
Он функционирует на сеансовом уровне модели
OSI
, охватывая в процессе своей работы также транспортный и
сетевой уровни эталонной модели. Защитные функции

62

экранирующего транспорта относятся к функциям посредничества.
Защитные фун
к
ции эк
ранирующего транспорта относятся к
функциям посреднич
е
ства.

Конт
роль виртуальных соединений заключается в контроле
квитирования связи, а также контроле передачи информации по
у
с
тановленным виртуальным каналам. При контроле квитирования
связи шлюз сеансового уровня следит за установлением
виртуал
ь
ного соединения между р
абочей станцией внутренней сети
и ко
м
пьютером внешней сети, определяя, является ли
запрашиваемый сеанс связи допустимым. Такой контроль
основывается на инфо
р
мации, содержащейся в заголовках пакетов
сеансового уровня пр
о
токола

TCP
. Однако, если пакетный фил
ьтр
при анализе

TCP
-
заголовков

проверяет только номера портов
источника и получат
е
ля, то экранирующий транспорт анализирует
другие поля, относ
я
щиеся к процессу квитирования связи.

Чтобы определить, является ли запрос на сеанс связи
допу
с
тимым, шлюз сеансов
ого уровня выполняет следующие
действия. Когда рабочая станция (клиент) запрашивает связь с
внешней с
е
тью, шлюз принимает этот запрос, проверяя,
удовлетворяет ли он базовым критериям фильтрации, например,
может ли

DNS
-
сервер

определить

IP
-
адрес

клиента и
а
ссоциированное с ним имя. Затем, действуя от имени клиента,
шлюз устанавливает соединение с ко
м
пьютером внешней сети и
следит за выполнением процедуры кв
и
тирования связи по
протоколу

TCP
. Эта процедура состоит из обм
е
на

TCP
-
пакетами,

которые помечаются фла
гами
SYN

(синхрониз
и
ровать) и АСК
(подтвердить)

Первый пакет сеанса
TCP
, помеченный флагом

SYN

и
соде
р
жащий произвольн
oe

число, например

100,

является запросом
кл
и
ента на открытие сеанса. Компьютер внешней сети, получивший
этот пакет, посылает в ответ пак
ет
,

помеченный флагом АСК и
с
о
держащий число, на единицу большее, чем вк принятом пакете (в
нашем случае

101),

подтверждая, таким образом, прием пакета

SYN

от клиента. Кроме того, осуществляя обратную процеду
ру,
компь
ю
тер внешней сети посылает также клиен
ту пакет

SYN,

но уже
с п
о
рядковым номером байта передаваемых данных (например,

200), а клиент подтверждает его получение передачей пакета АСК,
содержащего число 201.
На этом процесс квитирования связи
з
а
вершается.

Для шлюза сеансового уровня запрошенный се
анс считается
допустимым только в том случае, если при выполнении процедуры
квитиро
вания связи флаги
SYN

и АСК, а также числа,
содержащи
е
ся и заголовках
TCP
-
пакетов,

оказываются логически

63

связанными между собой. После того как шлюз определил, что
рабочая
станция внутренней сети и компьютер внешней сети
являются авторизова
н
ными участниками сеанса
TCP
, и проверил
допустимость данного сеанса, он устанавливает соединение.
Начиная с этого момента шлюз копирует и перенаправляет пакеты
туда и обратно, контрол
и
руя

передачу информации по
установленному виртуальному каналу. Он поддерживает таблицу
установленных соединений, пропуская данные, относящиеся к
одному из сеансов связи, которые зафикс
и
рованы в этой таблице.
Когда сеанс завершается, шлюз удаляет с
о
ответствующ
ий элемент
из таблицы и разрывает цепь, использ
о
вавшуюся в данном сеансе.

В процессе контроля передачи информации по виртуальным
кан
а
лам фильтрация пакетов экранирующим транспортом не
осущест
в
ляется. Однако шлюз сеансового уровня способен
отслеживать к
о
лич
ество передаваемой информации и разрывать
соединения п
о
сле превышения определенного предела,
препятствуя тем самым несанкционированному экспорту
информации. Возможно также н
а
копление регистрационной
информации о виртуальных соединен
и
ях.

Для контроля виртуа
льных соединений в шлюзах сеансового
уровня используются специальные программы, которые называют
канальными посредниками

(
pipe

proxies
). Эти посредники
уст
а
навливают между внутренней и внешней сетями виртуальные
кан
а
лы, а затем контролируют передачу по эти
м каналам пакетов,
ген
е
рируемых приложениями
TCP
/
IP
. Канальные посредники
ориент
и
рованы на конкретные службы
TCP
/
IP
. Поэтому шлюзы
сеансового уровня могут использоваться для расширения
возможностей шл
ю
зов прикладного уровня, работа которых
основывается на
програ
м
мах
-
посредниках конкретных приложений.

На практике большинство шлюзов сеансового уровня не
явл
я
ются самостоятельными продуктами, а поставляются в
комплекте со шлюзами прикладного уровня. Примерами таких
шлюзов являются
CyberGuard

Firewall

компании
C
yberGuard
, и
Gauntlet

Firewall

комп
а
нии

Associates
.
CyberGuard

Firewall

использует канальные посредники с посредниками прикладного
уровня для каждой из ше
с
ти служб
TCP
/
IP
, к которым отно
сятся,
например,
FTP
,
HTTP

(
Hype
.
rText

Transport

Protocol
) и
.

Шлюз сеансового уровня обеспечивает также трансляцию
внутренних адресов сетевого уровня

(IP
-
адресов)

при
взаимодейс
т
вии с внешней сетью. Трансляция внутренних адресов
выполняется по отношению ко всем пакетам, следующим из

64

внутренней сети во внешнюю
. Для этих пакетов

IP
-
адреса

компьютеров
-
отправителей внутренней сети автоматически
преобразуются в один

IP
-
адрес,

а
с
социируемый с экранирующим
транспортом. В результате все пак
е
ты, исходящие из внутренней
сети, оказываются от
правленными межсетевым экрано
м, что
исключает прямой контакт между вну
т
ренней и внешней сетью.

IP
-
адрес

шлюза сеансового уровня стано
вится единственным
активным

IP
-
адресом,

который попадает во внешнюю сеть.

Трансляция адресов, с одной стороны, вызвана
необходим
о
стью усиления защиты п
утем скрытия от внешних
пользователей структуры защищаемой внутренней сети. При
трансляции внутре
н
них

IP
-
адресов

шлюз сеансового уровня
экранирует, то есть засл
о
няет внутреннюю сеть от внешнего мира.
В то же время субъектам внутренней сети кажется, что они

напрямую общаются с компьют
е
рами внешней сети. Кроме
повышения безопасности трансляция адресов позволяет иметь
внутри сети собственную систему адрес
а
ции, не согласованную с
адресацией во внешней сети, например, в сети
. Это
эффективно решает пробл
ему расширения адре
с
ного простран
ства
внутренней сети и дефицита адресов внешней.

С другой стороны, трансляция адресов вызвана тем, что
к
а
нальные посредники создают новое соединение каждый раз,
когда они активизируются. Посредник принимает запрос от рабоч
ей
ста
н
ции внутренней сети и затем инициирует новый запрос к
компьют
е
ру внешней сети. Поэтому компьютер внешней сети
воспринимает запрос как исходящий от посредника, а не от
действительного кл
и
ента.

С точки зрения реализации шлюз сеансового уровня
предста
в
ляет собой довольно простую, а значит, надежную
программу. Он дополняет экранирующий маршрутизатор функциями
контроля ви
р
туальных соединений и трансляции внутренних

IP
-
адресов.

Недостатки у шлюза сеансового уровня те же, что и у
экран
и
рующего маршрутизатор
а



не обеспечивается контроль и
защита содержимого пакетов сообщений, не поддерживаются
аутентифик
а
ция пользователей и конечных узлов, а также другие

65

функции защ
и
ты локальной сети. Поэтому шлюз сеансового уровня
применяют как дополнение к прикладному шлюз
у.


Прикладной шлюз

Прикладной шлюз, называемый также
экранирующим шлюзом
,
функционирует на прикладном уровне модели

OSI
,

охватывая также
уровень представления, и обеспечивает наиболее надежную защиту
межсетевых взаимодействий. Защитные функции прикладного

шл
ю
за, как и экранирующею транспорта, относятся к функциям
посре
д
ничества. Однако прикладной шлюз, в отличие от шлюза
сеансового уровня, может выполнять существен
но большее
количество фун
к
ций защиты, к которым относятся следующие:

-
идентификация и аутент
ификация пользователей при попытке
у
с
тановления соединений через брандмауэр;

-
проверка подлинности информации, передаваемой через шлюз;

-

разграничение доступа к ресурсам внутренней и внешней сетей;

-

фильтрация и преобразование потока сообщений, например,

д
и
намический поиск вирусов и прозрачное шифрование
информ
а
ции;

-

регистрация событий, реагирование на задаваемые события, а
также анализ зарегистрированной информации и генерация
отч
е
тов;

-

кэширование данных, запрашиваемых из внешней сети.

Учитывая, что
функции прикладного шлюза относятся к
фун
к
циям посредничества, он представляет собой универсальный
ко
м
пьютер, на котором функционируют программные посредники
(экр
а
нирующие агенты)



по одному для каждого обслуживаемого
пр
и
кладного протокола (
HTTP
,
FTP
,
SMT
P
,
NNTP

и др.).

Посредник каждой службы
TCP
/
IP

ориентирован на обработку
сообщений и выполнение функций защиты, относящихся именно к
этой службе. Так же, как и шлюз сеансового уровня, прикладной
шлюз перехватывает с помощью соответствующих экранирующих
аге
нтов входящие и исходящие пакеты, копирует и перенаправляет
информацию через шлюз, и функционирует в качестве сервера
-
посредника, исключая прямые соединения между внутренней и
внешней сетью. Однако посредники, используемые прикладным
шлюзом, имеют важные о
тличия от канальных посредников шлюзов

66

сеансового уровня. Во
-
первых, посредники прикладного шлюза
св
я
заны с конкретными приложениями (программными серверами),
а во
-
вторых, они могут фильтровать поток сообщений на
прикладном уровне модели

OSI.

Прикладные шл
юзы используют в качестве посредников
сп
е
циально разработанные для этой цели программные серверы
ко
н
кретных служб
TCP
/
IP



серверы
HTTP
,
FTP
,
SMTP
,

NNTP

и др.
Эти программные серверы функционируют на брандмауэре в
рез
и
дентном режиме и реализуют функции защ
иты, относящиеся к
соо
т
ветствующим службам
TCP
/
IP
. Трафик
UDP

обслуживается
спец
и
альным транслятором содержимого

UDP
-
пакетов.

Как и в случае шлюза сеансового уровня, для связи между
р
а
бочей станцией внутренней сети и компьютером внешней сети
с
о
ответствующи
й посредник прикладного шлюза образует два
соед
и
нения: от рабочей станции до брандмауэра и от брандмауэра
до места назначения. Но, в отличие от канальных посредников,
п
о
средники прикладного шлюза пропускают только пакеты,
сгенерир
о
ванные теми приложениями,

которые им поручено
обслуживать. Например, программа
-
посредник службы
HTTP

может
обрабатывать лишь трафик, генерируемый этой службой. Если в
сети работает прикладной шлюз, то входящие и исходящие пакеты
могут перед
а
ваться лишь для тех служб, для которых и
меются
соответствующие посредники. Так, если прикладной шлюз
использует только пр
о
граммы
-
посредники
HTTP
,
FTP

и
, то он
будет обрабатывать лишь пакеты, относящиеся к этим службам,
блокируя при этом пак
е
ты всех остальных служб.

Фильтрация потоков сооб
щений реализуется прикладными
шлюзами на прикладном уровне модели
OSI
. Соответственно
п
о
средники прикладного шлюза, в отличие от канальных
посредников, обеспечивают проверку содержимого
обрабатываемых пакетов. Они могут фильтровать отдельные виды
команд ил
и информации в с
о
общениях протоколов прикладного
уровня, которые им поручено о
б
служивать. Например, для службы
FTP

возможно динамическое обезвреживание компьютерных
вирусов в копируемых из внешней сети файлах. Кроме того,
посредник данной службы может быть

сконфигурирован таким
образом, чтобы предотвращать использ
о
вание кли
ентами команды
PUT
, предназначенной для записи фа
й
лов на

FTP
-
сервер. Такое
ограничение уменьшает риск случайного повреждения хранящейся
на
FTP

сервере информации и снижает вероятность за
полнения его
гигабайтами ненужных данных.


67

При настройке прикладного шлюза и описании правил
филь
т
рации сообщений используются такие параметры, как
название сервиса, допустимый временной диаазон его
использования, огр
а
ничения на содержимое сообщений, связа
нных
с данным сервисом, омпьютеры, с которых можно пользоваться
сервисом, идентифик
а
торы пользователей, схемы аутентификации.

Шлюз прикладного уровня обладает следующими важными
до
с
тоинствами:

-

за счет возможности выполнения подавляющего большинства
функц
ии посредничества обеспечивает наиболее высокий
ур
о
вень защиты локальной сети;

-

защита на уровне приложений позволяет осуществлять большое
количество дополнительных проверок, уменьшая тем самым
в
е
роятность проведения успешных атак, основанных на
недостатк
ах программного обеспечения;

-

при нарушении работоспособности прикладного шлюза
блокируе
т
ся сквозное прохождение пакетов между разделяемыми
сетями, что не снижает безопасность защищаемой сети в случае
возни
к
новения отказов.

Не считая высокой стоимости, к
недостаткам прикладного шлюза
относятся:

-

довольно большая сложность самого брандмауэра, а также
проц
е
дур его установки и конфигурирования;

-

высокие требования к производительности и ресурсоемкости
ко
м
пью
терной платформы;

-

отсутствие "прозрачности" для

пользователей и снижение
проп
у
скной способности при реализации межсетевых
взаимодействий.

Последний недостаток рассмотрим более подробно.

Технология функционирования прикладного шлюза основана
на использовании посредников, проверяющих подлинность
обр
а
щающ
ихся к ним клиентов, а также устанавливающих
необходимые соединения и выполняющих другие функции защиты
межсетевого взаимодействия. Посредники выступают в качестве
промежуточного звена передачи пакетов между сервером и
клиентом. Вначале уст
а
навливается сое
динение с посредником, а
уже затем посредник принимает решение о том, создавать
соединение с адресатом или нет. Соответственно прикладной шлюз
в процессе своего функци
о
нирования дублирует любое
разрешенное соединение. Следствием этого является отсутствие
п
розрачности для пользователей и д
о
полнительные накладные
расходы на обслуживание соединений.


68

Для устранения этого недостатка фирмы
Check

Point

и
ON

Technology

разработали новую технологию фильтрации пакетов,
к
о
торую иногда называют фильтрацией экспертного
уровня или
фильтрацией с контролем состояния соединения (
statefull

inspection
). Фильтрация осуществляется на основе спе
циальных
м
е
тодов многоуровневого анализа состояния пакетов (
Stateful

Multi
-
Layer

Technique



SMLT
). Эта гибридная технология позволяет
о
т
слеживать состояние сетевого соединения, перехватывая пакеты
на сетевом уровне и извлекая из них информацию прикладного
уровня, которая используется для контроля за соединением.
Быстрое сра
в
нение проходящих пакетов с известным состоянием
(
state
) "друж
е
ств
енных" пакетов позволяет значительно сократить
время обр
а
ботки по сравнению с брандмауэрами уровня
приложений.

Межсетевые экраны, в основу функционирования которых
п
о
ложена описанная технология фильтрации, называют
экранами
экспертного уровня
. Такие брандм
ауэры сочетают в себе
эл
е
менты экранирующих маршрутизаторов и прикладных шлюзов.
Как и экранирующие маршрутизаторы, они обеспечивают
фильтрацию п
а
кетов по содержимому их заголовков сетевого и
транспортного уровней модели
OSI
. Брандмауэры экспертного
уровня

также в
ы
полняют все функции прикладного шлюза,
касающиеся фильтрации пакетов на прикладном уровне модели

OSI.

Они оценивают соде
р
жимое каждого пакета в соответствии с
заданной политикой без
о
пасности.

Помимо "прозрачности" для пользователей и более высокой

скорости обработки информационных потоков к достоинству
межс
е
тевых экранов экспертного уровня относится также то, что эти
брандмауэры не изменяют

IP
-
адресов

проходящих через них
пак
е
тов. Это означает, что любой протокол прикладного уровня,
испол
ь
зующий

IP
-
адреса,

будет корректно работать с этими
брандмауэр
а
ми без каких
-
либо изменений или специального
программирования. Однако, поскольку данные межсетевые экраны
допускают прямое соединение между авторизованным клиентом и
компьютером вне
ш
ней сети, они обеспеч
ивают менее высокий
уровень защиты. П
о
этому на практике технология фильтрации
экспертного уровня и
с
пользуется для повышения эффективности
функционирования ко
м
плексных межсетевых экранов. Примерами
комплексных межсет
е
вых экранов, реализующих технологию
филь
трации экспертного уровня, являются брандмауэры
FireWall
-
1
компании
Check

Point

и
CyberGuard

Firewall

компании
CyberGuard
.

К настоящее время фильтрация экспертного уровня становится
о
д
ной из функций новых маршрутизаторов. Например, компании

69

Bay


и
С
heck

Point

заключили партнерское соглашение с
целью переноса разработанной
Check

Point

архитектуры
брандмауэра эк
с
пертного уровня на маршрутизаторы
Bay
. Компания
Cisco

Systems

разработала собственную технологию брандмауэра
экспертного уровня и реализовала

ее в продукте
Cisco

PI
Х
FireWall
.


6.5.

Установка и конфигурирование систем
Firewall

Для эффективной защиты межсетевого взаимодействия
си
с
тема
Firewall

должна быть правильно установлена и
сконфигурир
о
вана. Данный процесс осуществляется

путем
последовательного
выполнения следующих этапов:

-

разработки политики межсетевого взаимодействия

-

определения схемы подключения, а также непосредственного
по
д
ключения межсетевого экрана;

-

настройки параметров функционирования брандмауэра.

Перечисленные этапы отражают систе
мный подход к установке
л
ю
бого программно
-
аппаратного средства, предполагающий,
начиная с анализа, последовательную детализацию решения
стоящей зад
а
чи.

Разработка политики межсетевого взаимодействия

Политика межсетевого взаимодействия является той частью
п
олитики безопасности в организации, которая определяет
треб
о
вания к безопасности и информационного обмена с внешним
м
и
ром. Данные требования
o
бязательно должны отражать два
аспе
к
та:

-
политику доступа к сетевым сервисам;

-

политику работы межсетевого экрана
.

Политика доступа к сетевым сервисам

определяет
пр
а
вила предоставления а также использования всех возможных
се
р
висов защищаемой компьютер ной сети. Соответственно в
рамках данной политики должны быть заданм все сервисы,
предоставля
е
мые через сетевой экран
, и допустимые адрес
клиентов для каждого сервиса. Кроме того, должны быть указаны
правила для пользов
а
телей, описывающие, когда и какие
пользователи каким сервисом и на каком компьютере могут
воспользоваться. Отдельно определ
я
ются правила аутентификации
п
ользователей и компьютеров, а также условия работы
пользователей вне локальной сети организ
а
ции.

Политика работы межсетевого экрана

задает базовый
принцип управления межсетевым взаимодействием, положенный в

70

основу функционирования брандмауэра. Может быть в
ыбран один
из двух таких принципов:



запрещено все, что явно не разрешено;



разрешено все, что явно не запрещено.

В зависимости от выбора, решение может быть принято как в
пользу безопасности в ущерб удобству использования сетевых
се
р
висов, так и наоборот. В

первом случае межсетевой экран
должен быть сконфигурирован таким образом, чтобы блокировать
любые явно не разрешенные межсетевые взаимодействия.
Учитывая, что такой подход позволяет адекватно реализовать
принцип минимиз
а
ции привилегий, он, с точки зрения
безопасности,
является лучшим. Здесь администратор не сможет по забывчивости
оставить разр
е
шенными какие
-
либо полномочия, так как по
умолчанию они будут запрещены. Доступные лишние сервисы могут
быть использованы во вред безопасности, что особенно характер
но
для закрытого и сложного программного обеспечения, в котором
могут быть разли
ч
ные ошибки и некорректности. Принцип
"запрещено все, что явно не разрешено", в сущности, является
признанием факта, что незнание может причинить вред.

При выборе принципа "раз
решено все, что явно не запрещено"
межсетевой экран настраивается таким образом, чтобы
блокир
о
вать только явно запрещенные межсетевые
взаимодействия. В этом случае повышается удобство
использования сетевых сервисов со стороны пользователей, но
снижается бе
зопасность межсетевого взаимодействия.
Администратор может учесть не все действия, к
о
торые запрещены
пользователям. Ему приходится работать в р
е
жиме реагирования,
предсказывая и запрещая те межсетевые взаимодействия, которые
отрицательно воздействуют на бе
зопа
с
ность сети.


6.6.

Современные системы
Firewall

Современные межсетевые экраны являются либо
комплексн
ы
ми, либо сочетают в себе функции систем
Firewell

нескольких типов


экранирующего маршрутизатора, шлюза
сеансового уровня, пр
и
кладного шлюза, а также шлюза

экспертного
уровня. В настоящее время наметилась тенденция к расширению
функциональности и упрощению использования межсетевых
экранов. Большинство с
о
временных межсетевых экранов
обеспечивают поддержку защ
и
щенной виртуальной сети на основе
шифрования трафи
ка, а также усиленную аутентификацию
пользователей и фильтрацию пакетов с контролем состояния
соединения.


71

Существует два основных типа межсетевых экранов,
разл
и
чающиеся по типу реализации: аппаратные и программные.

Аппаратные межсетевые экраны

представляю
т собой
сп
е
циализированные компьютеры с предварительно установленной
и сконфигурированной на них операционной системой, а также
пр
о
граммным обеспечением межсетевого экрана. Большинство из
них работает под управлением той или иной версии
UNIX

или
Linux
,
из
которой удалены все лишние программы и утилиты. Кроме того,
встречаются также средства администрирования с графическим
пользовательским интерфейсом. Достоинством аппаратных
межс
е
тевых экранов является простота ввода в эксплуатацию, так
как при этом не треб
уется установка операционной системы и
программного обеспечения межсетевого экрана. Упрощена также
настройка пар
а
метров функционирования аппаратного брандмауэра
за счет нал
и
чия типовых шаблонов для правил работы.

Примерами аппаратных межсетевых экранов явл
яются
Secure

PIX

Firewall

520/525 компании
Cisco

Systems
,
-
100/500
компании

Technologies
, а также
Firebox

1000 компании
WatchGuard
.

Устройства
Secure

PIX

Firewall

520 и
Secure

PIX

Firewall

525
р
а
ботают с собственной операционной системо
й
PIX

OS
.
Пропускная способность


370 Мбит/с., могут одновременно
обслуживать до 250
-
280 тыс. сеансов. В качестве метода защиты
используется
Adaptive

Security

Algorithm

(
ASA
)


разновидность
алгоритма конте
к
стной проверки, при котором запоминаются адреса
отправителей и получателей, порядковые номера
TCP

и другие
данные, необход
и
мые для определения соответствующих
соединений. Оба устройс
т
ва предоставляют функции виртуальных
частных сетей (
VPN
), такие как туннелирование и шифрование.

Аппаратные межсетевые эк
раны
-
100 и
NetScreen
-
500
р
а
ботают под управлением специализированной операционной
си
с
темы
ScreenOS

, имеют пропускную способность 700 Мбит/c.
(
-
500) и могут одновременно обслуживать до 250 тыс.
с
о
единений. В
NetScreen
-
100 предусмотрено т
ри порта

на
10/100 Мбит/
c
. с одновременной поддержкой 128 тыс. сеансов
TCP
.
Имеется возможность реализовать защиту нескольких сетевых
се
г
ментов с помощью одного межсетевого экрана за счет создания
виртуальной системы, представляющей отдельный доме
н внутри
устройства со своими собственными правилами реализации защиты
и функциями управления.

Система
Firebox

1000 представляет собой устройство немногим
больше портативного компьютера, имеет три сетевых интерфейса
10/100 Мбит, работает на защищенном яд
ре
Linux

и способна

72

о
б
служивать одновременно до 1000 пользователей. Это гибридный
межсетевой экран с контекстной проверкой и посредниками для
протоколов
HTTP
,
SMTP

и
FTP
. Производительность


95 Мбит/с. в
режиме контекстной проверки и 25 Мбит/
c

в режиме по
средника.

К недостаткам аппаратных брандмауэров можно отнести
мен
ь
шую по сравнению с программными аналогами
масштабируемость и трудность обеспечения взаимодействия с
программными продукт
а
ми третьих фирм (антивирусными
программами,
URL
-
фильтрами, а также пр
ограммами фильтрации
содержимого электронных сообщ
е
ний и документов).

Программные межсетевые экраны
, как правило, используют
стандартные ОС (
Windows

или
UNIX
), которые выполняются на
обычных компьютерах. Примерами таких брандмауэров являются
FireWall
-
1 ком
пании
Check

Point
,
Symantec

Enterprise

Firewall

комп
а
нии
Symantec
,
CyberGuard

Firewall

компании
CyberGuard
.
Имеются и программные реализации
Firewall
, ориентированные на
адаптир
о
ванные операционные системы, из которых удалены
потенциально опасные и ненужны
е для работы межсетевого экрана
функции. Н
а
пример, программные брандмауэры компаний
Global

Technology

Associates

и
Secure

Computing

используют собственные
операцио
н
ные системы.

Межсетевой экран
FireWall


1 компании
Check

Point

считается
одним из лидеров на

рынке средств защиты межсетевого
взаим
о
действия. Он позволяет строить систему безопасности как
для н
е
больших фирм, так и для больших предприятий с офисами,
расп
о
ложенными в разных городах и странах. Управление
политикой безопасности в такой системе произв
одится из одной
точки


центра сетевой безопасности предприятия.
FireWall


1
позволяет эффе
к
тивно управлять межсетевым доступом,
поддерживает многочи
с
ленные алгоритмы аутентификации
пользователей, обеспечивает управление безопасностью на
маршрутизаторах, в
ыполняет тран
с
ляцию сетевых адресов,
осуществляет аудит, ведет статистику и имеет удобный
графический интерфейс. Межсетевой экран
FireWall


1
поддерживает виртуальные частные сети, что дает возможность
организации защищенных каналов передачи данных.

Одним
из недостатков программных брандмауэров считается
уязвимость самих операционных систем. Поэтому многие
разрабо
т
чики программных межсетевых экранов включают в
средства и
н
сталляции специализированные процедуры,
обеспечивающие фо
р
мирование защищенной конфигур
ации
используемой операционной системы.


73

Многие межсетевые экраны отечественного производства
я
в
ляются, по сути, развитыми пакетными фильтрами, например,
сет
е
вой процессор ССПТ
-
1 НПО РТК, программный межсетевой
экран
VipNet

Office

Firewall

компании «Интерфо
кс», а также
аппаратно
-
программный комплекс «Континент
-
К» НИП
«ИНФОРМЗАЩИТА». Межсетевой экран ССПТ
-
1 обеспечивает
наиболее прозрачный до
с
туп из внутренней сети во внешнюю, так
как не имеет собственного
IP
-
адреса, что позволяет скрыть
брандмауэр от целенап
равленных атак извне. Предусмотренная в
ССПТ
-
1 система правил фильтр
а
ции обеспечивает выполнение
анализа и фильтрации сетевых пак
е
тов с учетом временных
параметров на основе
MAC
-

и
IP
-

адресов.

В межсетевом экране
VipNet

Office

Firewall

и аппаратно
-
програм
мном комплексе «Континент
-
К» фильтрация
IP
-

пакетов
осуществляется в соответствии с правилами, сформированными
нав основе
IP
-

адресов отправителя и получателя, а также любых
допустимых значений полей заголовка, используемых портов
UDP
/
TCP

и флагов для
TCP
/
IP



пакета. Аппаратно
-
программный
комплекс «Континент
-
К» помимо выполнения функций фильтрации,
обеспечивает криптографическую защиту и маршрутизацию
прох
о
дящего через него
IP
-
трафика.



74



ЛИТЕРАТУРА


1.

Олифер В.Г., Олифер Н.А. Компьютерные сети.

СПб: Питер
.
2001.

672с.

2.

Кулаков Ю.А., Луцкий Г.М. Компьютерные сети.

Киев: Юниор.
1998.

380с.

3.

Каган Б.Н. Электронные вычислительные машины и системы.
-
М.:Энергоатомиздат. 1991.
-

592с.

4.

Вычислительные машины, системы и сети. / Под ред.
А.П.Пятибратова.
-
М.: Финан
сы и статистика. 1991.
-
400с.

5.

Зима В.М., Молдовян А.А., Молдовян Н.А. Безопасность
гл
о
бальных сетевых технологий

СПб: БХВ
-
Петербург, 2003.
-
368с.

6.

Олифер В.Г., Олифер Н.А. Сетевые операционные системы.

СПб: Питер, 2002.

544с.

7.

Норткатт С., Новак Д., Макл
ахен Д. Обнаружение вторжений в
сеть.

М.: ЛОРИ, 2002, 397с.

8.

Гук М. Локальные сети NOVELL.
-
СПб.: Питер Пресс. 1996.

288с.

9.

Веттиг Д. Novell NetWare.
-
М.: Бином. 1994.
-
470с.

10.

Фролов А.В., Фролов Г.В. Глобальные сети ПК.
-
М.: Диалог
-
МИФИ. 1996.
-
288с.

11.

Фроло
в А.В., Фролов Г.В. Сервер web своими руками.
-
М.:Диалог
-
МИФИ.1997.
-
288с.



75

ОГЛАВЛЕНИЕ


Введение

................................
................................
..........................

2

1.

Введение в сетевые технологии

................................
...................

4

1.1.

Классификация сетей

................................
...............................

4

1.2.

Топология вычислительных сетей

................................
...........

5

1.3.

Базова
я модель взаимодействия открытых систем
OSI

........

7

2.

Компоненты вычислительных сетей

................................
...........

10

2.1.

Логическая топология и методы доступа к сре
де

.................

11

2.2.

Соединительные элементы сетей

................................
.........

15

2.3.

Методы передачи данных в сетях

................................
.........

18

3.

Адресация в сетях передачи данных

................................
.........

19

3.1.

Физический адрес устройства

................................
................

19

3.2.

Логический адрес устройства

................................
................

20

4.

Архитектура локальных сетей

................................
.....................

21

4.1.


................................
................................
....................

22

4.2.

Token

Ring

................................
................................
...............

30

5.

Internet и TCP/IP

................................
................................
...........

31

5.1.

Построение больших сетей

................................
....................

32

5.2.

Протоколы
Inter
net

................................
................................
..

36

5.3.

Протокольный стек
TCP
/
IP

................................
.....................

37

5.4.

Адресация и маршрутизация в Internet

................................
.

41

6.

Защита от несанкционированного доступа в открытых сетях

..

48

6.1.

Функции межсетевого экранирования

................................
...

50

6.2.

Фильтрац
ия трафика

................................
..............................

52

6.3.

Основные функции межсетевых экранов

..............................

53

6.4.

Особенности межсетевого экранирования

...........................

58

6.5.

Установка и конфигурирование систем
Firewall

...................

69

6.6.

Современные системы
Firewall

................................
..............

70

Литерату
ра

................................
................................
.....................

74

ОГЛАВЛЕНИЕ

................................
................................
.................

75





Приложенные файлы

  • pdf 1238251
    Размер файла: 714 kB Загрузок: 0

Добавить комментарий