Знаете ли Вы,
что такое мысленный эксперимент, gedanken experiment?
Это несуществующая практика, потусторонний опыт, воображение того, чего нет на самом деле. Мысленные эксперименты подобны снам наяву. Они рождают чудовищ. В отличие от физического эксперимента, который является опытной проверкой гипотез, "мысленный эксперимент" фокуснически подменяет экспериментальную проверку желаемыми, не проверенными на практике выводами, манипулируя логикообразными построениями, реально нарушающими саму логику путем использования недоказанных посылок в качестве доказанных, то есть путем подмены. Таким образом, основной задачей заявителей "мысленных экспериментов" является обман слушателя или читателя путем замены настоящего физического эксперимента его "куклой" - фиктивными рассуждениями под честное слово без самой физической проверки.
Заполнение физики воображаемыми, "мысленными экспериментами" привело к возникновению абсурдной сюрреалистической, спутанно-запутанной картины мира. Настоящий исследователь должен отличать такие "фантики" от настоящих ценностей.
Релятивисты и позитивисты утверждают, что "мысленный эксперимент" весьма полезный интрумент для проверки теорий (также возникающих в нашем уме) на непротиворечивость. В этом они обманывают людей, так как любая проверка может осуществляться только независимым от объекта проверки источником. Сам заявитель гипотезы не может быть проверкой своего же заявления, так как причина самого этого заявления есть отсутствие видимых для заявителя противоречий в заявлении.
Это мы видим на примере СТО и ОТО, превратившихся в своеобразный вид религии, управляющей наукой и общественным мнением. Никакое количество фактов, противоречащих им, не может преодолеть формулу Эйнштейна: "Если факт не соответствует теории - измените факт" (В другом варианте " - Факт не соответствует теории? - Тем хуже для факта").
Максимально, на что может претендовать "мысленный эксперимент" - это только на внутреннюю непротиворечивость гипотезы в рамках собственной, часто отнюдь не истинной логики заявителя. Соответсвие практике это не проверяет. Настоящая проверка может состояться только в действительном физическом эксперименте.
Эксперимент на то и эксперимент, что он есть не изощрение мысли, а проверка мысли. Непротиворечивая внутри себя мысль не может сама себя проверить. Это доказано Куртом Гёделем.
Шифрование SSH
Шифрование VPNd
Шифрование IPSec
В протоколе IPSec для передачи по туннелю L2TP данные шифруются с помощью алгоритмов DES и 3DES. Эти алгоритмы обеспечивают высокую безопасность данных. Алгоритм Диффи-Хеллмана с открытыми/закрытыми ключами позволяет открыто обмениваться по сети открытыми ключами. При этом безопасность не нарушается, поскольку с помощью открытого ключа можно только шифровать данные, дешифрование без закрытого ключа невозможно.
В программе VPNd, работающей под управлением Linux, используется алгоритм шифрования Blowfish. В этом 64-битовом алгоритме используются ключи разной длины - от 32 до 448 бит. Алгоритм обладает высоким быстродействием. Программа VPNd распространяется бесплатно, и доступен ее исходный код. Существует несколько вариантов программы VPNd, включая GOLDFISH, DOSFISH и TWOFISH.
В SSH для UNIX используются шифры с открытыми/закрытыми ключами, которые подробно рассматриваются в лекции 14, "Защита сети".
Для коммуникации клиента и сервера VPN необходимо установить общий стек сетевых/транспортных протоколов. Им может быть TCP/IP, однако это не обязательно. Даже при использовании РРТР, в котором для создания туннеля в публичной сети необходим IP, в частной сети можно использовать IPX/SPX или даже NetBEUI.
10.5 Безопасность VPN
Безопасность VPN обеспечивают следующие процедуры:
Шифрование.
Такая многоуровневая система мер безопасности обеспечивает высокую конфиденциальность данных, передаваемых по VPN. Рассмотрим каждый из этих компонентов безопасности.
Аутентификация
Аутентификация клиента VPN предполагает проверку идентичности компьютера и пользователя, инициирующих соединение VPN. Аутентификация может выполняться на уровне компьютеров. Например, если в сети VPN на основе Windows 2000 для создания соединения VPN L2TP используется IPSec, то выполняется обмен сертификатами компьютеров.
Как показано в лекции 15, "Удаленный доступ", аутентификация пользователей может выполняться с помощью одного из нескольких методов, среди которых ЕАР (Extensible Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), MS-CHAP (Microsoft CHAP), PAP (Password Authentication Protocol) или SPAP (Shiva PAP).
Этот термин означает ограничение числа пользователей, которым предоставляется доступ в VPN соответственно принятой стратегии безопасности. Стратегия безопасности определяет, кто из пользователей может получать доступ в VPN, а кому в доступе должно быть отказано.
Шифрование
Для защиты данных VPN используются различные технологии шифрования. Многие реализации VPN позволяют выбирать метод шифрования. Шифрование обеспечивает безопасность данных, передаваемых по VPN. Незашифрованные данные уязвимы для перехвата злоумышленниками в процессе их передачи по публичной сети.
10.6 Производительность VPN
Факторы, влияющие на производительность VPN, можно разбить на две категории: общие и специфические для конкретных реализации VPN.
Более всего на производительность VPN влияет природа самой Internet. Известны многочисленные случаи выхода из строя региональных участков. Интенсивные потоки данных (как, например, при известных событиях 11 сентября 2001 года) могут вызвать существенное снижение производительности каналов. Кроме того, вследствие чрезмерной загрузки иногда закрываются серверы провайдеров, что затрагивает сотни или даже тысячи пользователей.
Использование VPN приводит к увеличению количества передаваемых служебных сигналов, что также уменьшает производительность сетей. Сети VPN на уровне каналов обладают значительно меньшей производительностью, чем на уровне сетей. Если для установки соединения VPN используется публичная сеть, то теряются многие элементы управления, доступные при использовании непосредственного коммутируемого соединения.
10.7 Типы VPN
Сеть VPN может быть реализована как программно, так и аппаратно. Рассмотрим кратко обе реализации, то, чем они отличаются и как их можно сочетать в целях повышения безопасности.
Программные реализации VPN
В программных VPN используются рассмотренные в предыдущих разделах этой лекции протоколы туннелирования. Эту категорию сетей можно разбить на два типа: сети на основе программного обеспечения независимых поставщиков и на основе программных средств, встроенных в операционные системы. Очевидным преимуществом последних является меньшая стоимость. Ничего не нужно покупать дополнительно, а средства создания VPN, включенные в современные операционные системы, такие, как Windows 2000, оказываются достаточными для решения большинства задач.
Примерами программ VPN независимых поставщиков служат Safeguard VPN, Checkpoint SVN (Secure Virtual Networking) и NetMAX VPN Suite для Linux.
Аппаратные реализации VPN
Оборудование VPN выпускается компаниями Shiva, 3Com и VPNet Technologies. Средства поддержки VPN встроены как в маршрутизаторы Cisco, так и в маршрутизаторы других компаний. Компания NTS поставляет программу TunnelBuilder, являющуюся средством безопасной коммуникации VPN для Windows, NetWare и Macintosh. Поставщики брандмауэров, такие, как Raptor Systems, предоставляют средства создания VPN на основе брандмауэ;ров, оснащенных дополнительными средствами безопасности.
Сети VPN на основе оборудования можно разбить на две категории.
На основе маршрутизаторов. Основой этих VPN являются маршрутизаторы с встроенными средствами шифрования. Они обладают самой высокой сетевой производительностью, к тому же их обычно легко устанавливать и использовать.
На основе брандмауэров. Сети VPN этого типа обычно содержат дополнительные средства безопасности, такие, как усиленная аутентификация и детализированная регистрация. В этих VPN может выполняться трансляция адресов. Недостатком VPN на основе брандмауэров является пониженная производительность, однако применение в некоторых реализациях процессоров, разработанных специально для шифрования, решает эту проблему.
10.8 Резюме
В этой лекции рассмотрены основные понятия виртуальных частных сетей в их различных формах. Вы узнали, что VPN позволяют устанавливать безопасные соединения с удаленной частной сетью путем туннелирования, т.е. создания туннеля в Internet или другой публичной сети. Рассмотрены способы реализации VPN посредством коммутируемого соединения и методом "маршрутизатор - маршрутизатор".
Вы узнали, что туннелирование может выполняться на разных уровнях модели OSI. Рассмотрено туннелирование на уровне 2 с помощью протоколов РРТР и L2TP и туннелирование на уровне 3 с помощью протокола IPSec. Все современные операционные системы содержат встроенные средства создания соединений VPN, однако для этого можно использовать также программные продукты сторонних поставщиков.
Показаны финансовые преимущества использования VPN, описаны протоколы создания VPN и распространенные локальные протоколы, используемые для коммуникации клиентов и серверов VPN.
Рассмотрены различные вопросы безопасности VPN и три главных компонента обеспечения безопасности - аутентификация, авторизация и шифрование, а также производительность VPN и два базовых типа VPN - аппаратный и программный.
Документация программы Linux mini-HOWTO, в которой приведено подробное описание установки VPN на основе SSH/PPP, находится по адресу: http://sunsite.unc.edu/LDP/HOWTO/mini/VPN.htmi.
Подробная информация о программах TunnelBuilder и TunnelMaster компании NTS приведена по адресу: www.nts.com/products/index.html.
Сжатый отчет по виртуальным частным сетям можно найти по адресу: www.corecom.ccm/html/vpn.html.
Терминология компьютерной сети Протоколы
Сетевой протокол - это набор программно реализованных правил общения компьютеров, подключенных к сети. Практически это "язык", на котором компьютеры разговаривают друг с другом. В настоящее время стандартом стало использование только протокола TCP/IP. В предыдущих версиях Windows по умолчанию устанавливалось несколько протоколов, обычно это NetBEUI, NWLink IPX/SPX, TCP/IP.
Примечание
He следует использовать в сети больше служб и протоколов, чем требуется для нормальной работы в конкретной ситуации. Во-первых, при этом будут непро-изводительно использоваться ресурсы компьютера. Во-вторых, любая допол-нительная служба и неиспользуемый протокол - это еще один "вход" в систему, который надо защищать. Поэтому проще не предоставлять дополнительных возможностей хакерам, чем постоянно следить за обнаруживаемыми в этих службах уязвимостями, устанавливать необходимые обновления и т. п.
Модель OSI
С целью систематизации часто используется модель OSI, условно разбивающая сетевое взаимодействие на семь уровней.
Знание уровней OSI обычно требуется при сдаче тех или иных сертификационных экзаменов, но на практике такое деление потеряло свое значение. Если первые три уровня еще можно достаточно хорошо вычленить при анализе того или иного сетевого проекта, то классифицировать функциональность оборудования по остальным уровням достаточно сложно. В маркетинговых целях часто указывают в описаниях коммутаторов, что они работают, например, на уровне 4 или 7. На практике это означает только, что при реализации определенного функционала в коммутаторах производится анализ пакета данных по характеристикам, относящимся к соответствующим уровням. Например, это происходит при операциях маршрутизации группового трафика (коммутатор анализирует пакет на принадлежность той или иной программе), приоритезации пакетов и т. п.
Стек протоколов TCP/IP
Когда говорят о TCP/IP
, то обычно подразумевают под этим именем множество различных протоколов, использующих в своей основе TCP/IP
. Существует большое количество различных стандартов, которые определяют те или иные варианты взаимодействия в сети Интернет.
Так, есть правила, по которым осуществляется обмен сообщениями между почтовыми серверами, и есть правила, по которым конечные пользователи могут получать в свой ящик письма. Имеются правила для проведения широковещательных видео- и аудиотрансляций, правила для организации телефонных переговоров по Интернету. Существуют правила, которые определяют поведение участников передачи данных в случае возникновения ошибки и т. п.
Логично, что при разработке правил пересылки файла никто не создает новых механизмов пересылки единичного пакета данных и что протокол пересылки файлов основан на более простом протоколе передачи пакетов.
Поэтому принято говорить, что существуют уровни протокола IP, а на каждом уровне - различные варианты специальных протоколов. Весь этот набор протоколов называют стеком протоколов TCP/IP.
Протоколы UPD, TCP, ICMP
Для передачи данных используются протоколы TCP
(Transmission Control Protocol, протокол управления передачей данных) и UDP
(User Datagram Protocol, протокол пользовательских дейтаграмм). UDP
применяется в тех случаях, когда не требуется подтверждения приема (например, DNS-запросы, IP-телефония). Передача данных по протоколу TCP
предусматривает наличие подтверждений получения информации. Если передающая сторона не получит в установленные сроки необходимого подтверждения, то данные будут переданы повторно. Поэтому протокол TCP
относят к протоколам, предусматривающим соединение (connection oriented), a UDP
- нет (connection less).
Протокол Internet Control Message Protocol (ICMP
, протокол управляющих сообщений Интернета) используется для передачи данных о параметрах сети. Он включает такие типы пакетов, как ping, destination unreachable, TTL exceeded и т. д.
Бурное развитие Интернета привело к тому, что параметры, заложенные при создании протоколов IP, стали сдерживать дальнейшее развитие глобальной сети. Поэтому многочисленные группы постоянно разрабатывают возможные модификации данного протокола. Наиболее "признанной" на данный момент разработкой считается проект группы IETF (Internet Engineering Task Force, проблемная группа проектирования Интернета), который называют IPv6 (другие проекты объединяют общим названием IP Next Generation или IPng).
К основным особенностям данного проекта относятся:
Хотя большинство участников Интернета поддерживает разработку этого протокола, однако реальное внедрение данной разработки потребует длительного времени и существенных инвестиций, поскольку влечет за собой модернизацию большого количества уже установленного оборудования.
Поддержка протокола IPv6 заложена в операционные системы Windows, начиная с Windows ХР. Чтобы ее включить в Windows XP, необходимо выполнить команду ipv6 install. Но использование ipv6 пока еще не имеет практического значения. По разным оценкам нехватка адресного пространства протокола IPv4 может возникнуть не ранее чем через 5-10 лет. Это достаточный срок для разработки уже следующей спецификации протокола IP.
Параметры TCP/IP протокола
IP-адрес
Каждый компьютер, работающий по протоколу TCP/IP, обязательно имеет IP-адрес- 32-битное число, используемое для идентификации узла (компьютера) в сети. Адрес принято записывать десятичными значениями каждого октета этого числа с разделением полученных значений точками. Например: 192.168.101.36.
IP-адреса уникальны. Это значит, что каждый компьютер имеет свое сочетание цифр, и в сети не может быть двух компьютеров с одинаковыми адресами. IP-адреса распределяются централизованно. Интернет-провайдеры дела ют заявки в национальные центры в соответствии со своими потребностями Полученные провайдерами диапазоны адресов распределяются далее между клиентами. Клиенты сами могут выступать в роли интернет-провайдера и распределять полученные IP-адреса между субклиентами и т.д. При таком способе распределения IP-адресов компьютерная система точно знает "pacположение" компьютера, имеющего уникальный IP-адрес; ей достаточно переслать данные в сеть "владельца". Провайдер в свою очередь проанализирует пункт назначения и, зная, кому отдана эта часть адресов, отправит инфор мацию следующему владельцу поддиапазона IP-адресов, пока данные не поступят на компьютер назначения.
Выделение диапазона адресов осуществляется бесплатно, но организация получившая адреса, должна реально подтвердить их использование через oп ределенный промежуток времени.
Для построения локальных сетей организаций выделены специальные диапа зоны адресов. Это адреса Ю.х.х.х, 192.168.х.х, Ю.х.х.х, с 172.16.х.х по 172.31.х.х, 169.254.Х.Х. Пакеты, передаваемые с указанных адресов, не маршрутизируются (иными словами, не пересылаются) через Интернет, поэтому в различных локальных сетях компьютеры могут иметь совпадающие адреса из указанных диапазонов. Для пересылки информации с таких компьютеров в Интернет и обратно используются специальные программы, "на лету" заменяющие локальные адреса реальными при работе с Интернетом. Иными словами, данные в Сеть пересылаются от реального IP-адреса. Этот процесс происходит "незаметно" для пользователя. Такая технология называется трансляцией адресов.
Групповые адреса
Если данные должны быть переданы на несколько устройств (например, просмотр видео с одной Web-камеры на различных компьютерах или одновременное разворачивание образа операционной системы на несколько систем), то уменьшить нагрузку на сеть может использование групповыхрассылок.
Для этого компьютеру присваивается еще один IP-адрес из специального диапазона: с 224.0.0.0 по 239.255.255.255, причем диапазоны 224.0.0.0- 224.0.0.255 и 239.0.0.0-239.255.255.255 не могут быть использованы в приложениях и предназначены для протоколов маршрутизации3 и т. п. Назначение адресов групповой рассылки производится соответствующим программным обеспечением.
Если коммутатор имеет функции работы с групповыми рассылками (поддержка IGMP snoophing, P1M DM/PIM SM), то передаваемые на адреса групповой рассылки данные будут поступать только на те порты, к которым подключены устройства, подписавшиеся на соответствующие рассылки. В результате сетевой трафик может быть существенно снижен по сравнению с вариантом передачи таких данных каждому устройству сети независимо.
Распределение IP-адресов сети малого офиса
В сетях предприятий обычно задействованы диапазоны IP-адресов, выделенные для локального использования. Часть адресов закрепляется статически, часть- раздается динамически с помощью DHCP (Dynamic Host Configuration Protocol, динамический протокол конфигурации сервера).
Статические адреса закрепляются:
Рабочие станции традиционно используют динамические адреса. При этом часть динамических адресов выдается для локального использования, а часть предназначается для внешних клиентов, "гостей" сети.
Примечание
Обычно для компьютеров, получающих гостевые адреса, устанавливаются определенные ограничения прав доступа к внутренним ресурсам.
Маска адреса
Понятие подсети введено, чтобы можно было выделить часть IP-адресов одной организации, часть другой и т. д. Подсеть представляет собой диапазон IP-адресов, которые считаются принадлежащими одной локальной сети. При работе в локальной сети информация пересылается непосредственно получателю. Если данные предназначены компьютеру с IP-адресом, не принадлежащим локальной сети, то к ним применяются специальные правила для вычисления маршрута пересылки из одной сети в другую. Поэтому при использовании протокола TCP/IP важно знать, к какой сети принадлежит получатель информации: к локальной или удаленной.
Маска- это параметр, который "сообщает" программному обеспечению о том, сколько компьютеров объединено в данную группу ("подсеть"). Маска адреса имеет такую же структуру, как и сам IP-адрес: это набор из четырех групп чисел, каждое из которых может быть в диапазоне от 0 до 255. При этом чем меньше значение маски, тем больше компьютеров объединено в данную подсеть. Для сетей небольших предприятий маска обычно имеет вид 255.255.255.x (например, 255.255.255.224). Маска сети присваивается компьютеру одновременно с IP-адресом.
Так, сеть 192.168.0.0 с маской 255.255.255.0 (иначе можно записать 192.168.0.0/24) может содержать хосты с адресами от 192.168.0.1 до 192.168.0.254. Адрес 192.168.0.255 - это адрес широковещательной рассылки для данной сети. А сеть 192.168.0.0 с маской 255.255.255.128 (192.168.0.0/25) допускает адреса от 192.168.0.1 до 192.168.0.127 (адрес 192.168.0.128 используется при этом в качестве широковещательного).
На практике сети с небольшим возможным числом хостов используются интернет-провайдерами (с целью экономии IP-адресов). Например, клиенту может быть назначен адрес с маской 255.255.255.252. Такая подсеть содержит только два хоста. При разбиении сети организации используют диапазоны локальных адресов сетей класса С. Сеть класса С имеет маску адреса 255.255.255.0 и может содеражать до 254 хостов. Применение сетей класса С при разбиении на VLAN в условиях предприятия связано с тем, что протоколы автоматической маршрутизации используют именно такие подсети.
При создании подсетей в организации рекомендуется придерживаться следующего правила: подсети, относящиеся к определенному узлу распределения, должны входить в одну сеть. Это упрощает таблицы маршрутизации и экономит ресурсы коммутаторов. Например, если к данному коммутатору подключены подсети 192.168.0.0/255.255.255.0, 192.168.1.0/255.255.255.0, 192.168.3.0/255.255.255.0, то другому коммутатору достаточно знать, что в этом направлении следует пересылать пакеты для сети 192.168.0.0/255.255.252.0.
Эта рекомендация несущественна для сетей малых и средних организаций, поскольку ресурсов современных коммутаторов достаточно для хранения настроек такого объема.
После того как компьютер получил IP-адрес и ему стало "известно" значение маски подсети, программа может начать работу в данной локальной подсети. Чтобы обмениваться информацией с другими компьютерами в глобальной сети, необходимо знать правила, куда пересылать информацию для внешней сети. Для этого служит такая характеристика IP-протокола, как адрес шлюза.
Шлюз (Gateway, default gateway)
Шлюз
(gateway)- это устройство (компьютер), которое обеспечивает пересылку информации между различными IP-подсетями. Если программа определяет (по IP-адресу и маске), что адрес назначения не входит в состав локальной подсети, то она отправляет эти данные на устройство, выполняющее функции шлюза. В настройках протокола указывают IP-адрес такого устройства.
Для работы только в локальной сети шлюз может не назначаться.
Для индивидуальных пользователей, подключающихся к Интернету, или для небольших предприятий, имеющих единственный канал подключения, в системе должен быть только один адрес шлюза - это адрес того устройства, которое имеет подключение к Сети. При наличии нескольких маршрутов (путей пересылки данных в другие сети) будет существовать несколько шлюзов. В этом случае для определения пути передачи данных используется таблица маршрутизации.
Таблицы маршрутизации
Организация может иметь несколько точек подключения к Интернету (например, в целях резервирования каналов передачи данных или использования более дешевых каналов и т. п.) или содержать в своей структуре несколько IP-сетей. В этом случае, чтобы система "знала", каким путем (через какой шлюз) посылать ту или иную информацию, используются таблицы маршрутизации (routing). В таблицах маршрутизации для каждого шлюза указывают те подсети Интернета, для которых через них должна передаваться информация. При этом для нескольких шлюзов можно задать одинаковые диапазоны назначения, но с разной стоимостью передачи данных: информация будет отсылаться по каналу, имеющему самую низкую стоимость, а в случае его выхода из строя по тем или иным причинам автоматически будет использоваться следующее наиболее "дешевое" подсоединение.
Таблицы маршрутизации имеются на каждом устройстве, использующем протокол IP. Администраторы в основном работают с таблицами маршрутизации коммутирующего оборудования. Настройка таблиц маршрутизации компьютеров имеет смысл только в случае наличия нескольких сетевых адаптеров, подключенных к различным сегментам сети. Если у компьютера есть только одна сетевая карта (одно подключение к Интернету), таблица маршрутизации имеет наиболее простой вид: в ней записано, что все сигналы должны отправляться на шлюз, назначенный по умолчанию (default gateway).
Просмотреть таблицу маршрутизации протокола TCP/IP можно при помощи команды route print. С помощью команды route можно также добавить новый статический маршрут (route add) или постоянный маршрут- route add -p (маршрут сохраняется в настройках после перезагрузки системы).
Покажем на примере, как можно использовать модификации таблицы маршрутизации. Предположим, что на компьютере имеются две сетевых карты, одна из которых непосредственно подключена к Интернету (имеет реальный адрес), а вторая используется для работы во внутренней сети (локальный адрес). Доступ в Интернет производится по умолчанию через шлюз в локальной сети. В этом случае таблица маршрутизации, отображаемая по команде route print, выглядит примерно так:
Проверим путь прохождения пакетов на адрес Интернета, например 109.84.231.210, с помощью команды tracert:
tracert 109.84.231.210 -d
В итоге получаем примерно такую картину (листинг ограничен первыми четырьмя узлами):
Предположим, что мы хотим изменить путь прохождения пакетов к выбранному нами хосту, направив информацию через вторую сетевую карту (а не через шлюз по умолчанию). Для этого с помощью команды route add нужно добавить желаемый нами маршрут:
route add 109.84.231.210 mask 255.255.255.255 195.161.192.2
В команде мы указали, что хотим назначить новый маршрут не для диапазона адресов, а только для конкретного значения (поэтому маска - 255.255.255.255). Кроме того, явно указали адрес сетевого интерфейса, через который нужно пересылать пакеты.
После исполнения данной команды (на экран система не выводит никаких итогов операции) изменения можно просмотреть через таблицу маршрутизации.
По сравнению с исходным вариантом таблица маршрутизации дополнилась одной строкой, которая приведена в данном примере (остальные строки не изменились).
Проверяем новый путь прохождения сигналов:
Трассировка маршрута к 109.84.231.210 с максимальным числом прыжков 30
1 1ms 1ms 1ms 195.161.192.1
2 23 ms 22 ms 23 ms 195.161.94.137
3 23 ms 23 ms 23 ms 195.161.94.5
route delete 109.84.231.210
При этом обычно можно не указывать параметры маски и интерфейса (если они однозначно определяются по вводимому в команде адресу).
Примечание
На практике встречаются ситуации, когда изменение параметров маршрутизации в операционной системе Windows не сразу "отрабатывалось" корректно. Иногда после операций над таблицей маршрутизации для достижения успеха нужно было программно отключить и вновь включить тот сетевой интерфейс, для которого выполнялась настройка.
Понимание правил маршрутизации важно не только при построении маршрутов в Интернете, - задаче, которую вряд ли придется решать администраторам сетей некрупных предприятий. На практике для выделения обособленных участков локальной сети (например, по соображениям безопасности) достаточно широко используются виртуальные сети. А для того чтобы обеспечить избранный доступ в такие сети, администраторы должны уметь написать правильную таблицу маршрутизации для соответствующей VLAN.
В локальных сетях основная роль в организации взаимодействия узлов принадлежит протоколу канального уровня, который ориентирован на вполне определенную топологию ЛКС. Так, самый популярный протокол этого уровня – Ethernet – рассчитан на топологию «общая шина», когда все узлы сети параллельно подключаются к общей для них шине, а протокол Token Ring – на топологию «звезда». При этом применяются простые структуры кабельных соединений между РС сети, а для упрощения и удешевления аппаратных и программных решений реализовано совместное использование кабелей всеми РС в режиме разделения времени (в режиме TDH). Такие простые решения, характерные для разработчиков первых ЛКС во второй половине 70-х годов ХХ-го века, наряду с положительными имели и отрицательные последствия, главные из которых – ограничения по производительности и надежности.
Поскольку в ЛКС с простейшей топологией (общая шина, кольцо, звезда) имеется только один путь передачи информации, производительность сети ограничивается пропускной способностью этого пути, а надежность сети – надежностью пути. Поэтому по мере развития и расширения сфер применения локальных сетей с помощью специальных коммуникационных устройств (мостов, коммутаторов, маршрутизаторов) эти ограничения постепенно снимались. Базовые конфигурации ЛКС (шина, кольцо) превратились в элементарные звенья, из которых формируются более сложные структуры локальных сетей, имеющие параллельные и резервные пути между узлами.
Однако внутри базовых структур локальных сетей продолжают работать все те же протоколы Ethernet и Token Ring. Объединение этих структур (сегментов) в общую, более сложную локальную сеть осуществляется с помощью дополнительного оборудования, а взаимодействие РС такой сети – с помощью других протоколов.
В развитии локальных сетей, кроме отмеченного, наметились и другие тенденции:
· отказ от разделяемых сред передачи данных и переход к использованию активных коммутаторов, к которым РС сети присоединяются индивидуальными линиями связи;
· появление нового режима работы в ЛКС при использовании коммутаторов – полнодуплексного (хотя в базовых структурах локальных сетей РС работают в полудуплексном режиме, т.к. сетевой адаптер станции в каждый момент времени либо передает свои данные, либо принимает другие, но не делает это одновременно). Сегодня каждая технология ЛКС приспособлена для работы как в полудуплексном, так и в полнодуплексном режимах.
Стандартизация протоколов ЛКС осуществлена комитетом 802, организованном в 1980 в институте IEEE. Стандарты семейства IEEE 802.Х охватывают только два нижних уровня модели ВОС – физический и канальный. Именно эти уровни отражают специфику локальных сетей, старшие уровни, начиная с сетевого, имеют общие черты для сетей любого класса.
В локальных сетях, как уже отмечалось, канальный уровень разделен на два подуровня:
· логической передачи данных (LLC);
· управления доступом к среде (МАС).
Протоколы подуровней МАС и LLC взаимно независимы, т.е. каждый протокол подуровня МАС может работать с любым протоколом подуровня LLC, и наоборот.
Подуровень МАС обеспечивает совместное использование общей передающей среды, а подуровень LLC – организует передачу кадров с различным уровнем качества транспортных услуг. В современных ЛКС используются несколько протоколов подуровня МАС, реализующих различные алгоритмы доступа к разделяемой среде и определяющих специфику технологий Ethernet, Fast Ethernet, Gigabit Ethernet, Token Ring, FDDI, 100VG-AnyLAN.
Протокол LLC . Для технологий ЛКС этот протокол обеспечивает необходимое качество транспортной службы. Он занимает положение между сетевыми протоколами и протоколами подуровня МАС. По протоколу LLC кадры передаются либо дейтаграммным способом, либо с помощью процедур с установлением соединения между взаимодействующими станциями сети и восстановлением кадров путем их повторной передачи при наличии в них искажений.
Различают три режима работы протокола LLC:
· LLC1 – процедура без установления соединения и без подтверждения. Это дейтаграммный режим работы. Он используется обычно тогда, когда восстановление данных после ошибок и упорядочение данных осуществляется протоколами вышележащих уровней;
· LLC2 – процедура с установлением соединения и подтверждением. По этому протоколу перед началом передачи между взаимодействующими РС устанавливается логическое соединение и, если это необходимо, выполняются процедуры восстановления кадров после ошибок и упорядочения потока кадров в рамках установленного соединения (протокол работает в режиме скользящего окна, используемом в сетях ARQ). Логический канал протокола LLC2 является дуплексным, т.е. данные могут передаваться одновременно в обоих направлениях;
· LLC3 – процедура без установления соединения, но с подтверждением. Это дополнительный протокол, который применяется, когда временные задержки (например, связанные с установлением соединения) перед отправкой данных не допускаются, но подтверждение о корректности приема данных необходимо. Протокол LLC3 используется в сетях, работающих в режиме реального времени по управлению промышленными объектами.
Указанные три протокола являются общими для всех методов доступа к передающей среде, определенных стандартами IEEE 802.Х.
Кадры подуровня LLC по своему назначению делятся на три типа – информационные (для передачи данных), управляющие (для передачи команд и ответов в процедурах LLC2) и ненумерованные (для передачи ненумерованных команд и ответов LLC1 и LLC2).
Все кадры имеют один и тот же формат: адрес отправителя, адрес получателя, контрольное поле (где размещается информация, необходимая для контроля правильности передачи данных), поле данных и два обрамляющих однобайтовых поля «Флаг» для определения границ кадра LLC. Поле данных может отсутствовать в управляющих и ненумерованных кадрах. В информационных кадрах, кроме того, имеется поле для указания номера отправленного кадра, а также поле для указания номера кадра, который отправляется следующим.
Главная > РассказГлава 5 Протоколы локальных сетей По прочтении этой главы и после выполнения практических заданий вы сможете:
Протокол | Соответствующая операционная система |
Первые версии операционных систем Microsoft Windows |
|
UNIX, Novel NetWare, современные версии операционных систем Microsoft Windows, операционные системы мэйнфреймов IBM |
|
Операционные системы мэйнфреймов и миникомпьютеров IBM |
|
Клиентские системы, взаимодействующие с мэйнфреймами IBM, настроенными на работу с протоколом SNA |
Аббре виатура | Полное название | Описание | Уровень модели OSI |
Internetwork Packet Exchange | Используется как основной протокол передачи данных для приложений Ethernet. Можно применять любые типы фреймов: Ethernet 802.2, Ethernet 802.3, Ethernet II и Ethernet SNAP | Сетевой и Транспортный |
|
Link Support Layer | Используется вместе с ODI-драйвером для поддержки нескольких протоколов на одном сетевом адаптере | Канальный |
|
Multiple Link Interface Driver | Соединяет два или несколько каналов в одну телекоммуникационную линию (например, два терминальных адаптера ISDN). В сетях Ethernet протокол MLID в сочетании с сетевым адаптером рабочей станции позволяет определить уровень конфликтов в сети, в сетях с маркерным кольцом он координирует передачи маркера | Канальный (подуровень MAC) |
|
NetWare Core Protocol | Часть операционной системы, обеспечивает обмен данными между клиентами и серверами при обращении к приложениям или открытым файлам, находящимся на сервере NetWare | Сеансовый, Представительский и Прикладной |
|
NetWare Link Services Protocol | Обеспечивает пакеты IPX информацией о маршрутизации | ||
Routing Information Protocol | Собирает информацию о маршрутизации для серверов, которые обеспечивают работу служб маршрутизации | ||
Service Advertising Protocol | Позволяет клиентам NetWare идентифицировать серверы и сетевые службы, имеющиеся на них. Серверы генерируют широковещательные пакеты SAP каждые 60 с, а клиенты используют их для обнаружения ближайшего сервера | Сеансовый Представительский Прикладной |
|
Sequenced Packet Exchange | Предоставляет прикладным программам механизм передачи данных, ориентированный на соединения | Транспортный |