Телевизор 

Протоколы и технологии локальной сети. Протокол компьютерной сети это специально разработанное средство, посредством которого компьютеры 'общаются' через сеть. Сквозные протоколы и шлюзы

В локальных сетях основная роль в организации взаимодействия узлов принадлежит протоколу канального уровня, который ориентирован на вполне определенную топологию ЛКС. Так, самый популярный протокол этого уровня – Ethernet – рассчитан на топологию «общая шина», когда все узлы сети параллельно подключаются к общей для них шине, а протокол Token Ring – на топологию «звезда». При этом применяются простые структуры кабельных соединений между РС сети, а для упрощения и удешевления аппаратных и программных решений реализовано совместное использование кабелей всеми РС в режиме разделения времени (в режиме TDH). Такие простые решения, характерные для разработчиков первых ЛКС во второй половине 70-х годов ХХ-го века, наряду с положительными имели и отрицательные последствия, главные из которых – ограничения по производительности и надежности.

Поскольку в ЛКС с простейшей топологией (общая шина, кольцо, звезда) имеется только один путь передачи информации, производительность сети ограничивается пропускной способностью этого пути, а надежность сети – надежностью пути. Поэтому по мере развития и расширения сфер применения локальных сетей с помощью специальных коммуникационных устройств (мостов, коммутаторов, маршрутизаторов) эти ограничения постепенно снимались. Базовые конфигурации ЛКС (шина, кольцо) превратились в элементарные звенья, из которых формируются более сложные структуры локальных сетей, имеющие параллельные и резервные пути между узлами.

Однако внутри базовых структур локальных сетей продолжают работать все те же протоколы Ethernet и Token Ring. Объединение этих структур (сегментов) в общую, более сложную локальную сеть осуществляется с помощью дополнительного оборудования, а взаимодействие РС такой сети – с помощью других протоколов.

В развитии локальных сетей, кроме отмеченного, наметились и другие тенденции:

· отказ от разделяемых сред передачи данных и переход к использованию активных коммутаторов, к которым РС сети присоединяются индивидуальными линиями связи;

· появление нового режима работы в ЛКС при использовании коммутаторов – полнодуплексного (хотя в базовых структурах локальных сетей РС работают в полудуплексном режиме, т.к. сетевой адаптер станции в каждый момент времени либо передает свои данные, либо принимает другие, но не делает это одновременно). Сегодня каждая технология ЛКС приспособлена для работы как в полудуплексном, так и в полнодуплексном режимах.

Стандартизация протоколов ЛКС осуществлена комитетом 802, организованном в 1980 в институте IEEE. Стандарты семейства IEEE 802.Х охватывают только два нижних уровня модели ВОС – физический и канальный. Именно эти уровни отражают специфику локальных сетей, старшие уровни, начиная с сетевого, имеют общие черты для сетей любого класса.

В локальных сетях, как уже отмечалось, канальный уровень разделен на два подуровня:

· логической передачи данных (LLC);

· управления доступом к среде (МАС).

Протоколы подуровней МАС и LLC взаимно независимы, т.е. каждый протокол подуровня МАС может работать с любым протоколом подуровня LLC, и наоборот.

Подуровень МАС обеспечивает совместное использование общей передающей среды, а подуровень LLC – организует передачу кадров с различным уровнем качества транспортных услуг. В современных ЛКС используются несколько протоколов подуровня МАС, реализующих различные алгоритмы доступа к разделяемой среде и определяющих специфику технологий Ethernet, Fast Ethernet, Gigabit Ethernet, Token Ring, FDDI, 100VG-AnyLAN.

Протокол LLC . Для технологий ЛКС этот протокол обеспечивает необходимое качество транспортной службы. Он занимает положение между сетевыми протоколами и протоколами подуровня МАС. По протоколу LLC кадры передаются либо дейтаграммным способом, либо с помощью процедур с установлением соединения между взаимодействующими станциями сети и восстановлением кадров путем их повторной передачи при наличии в них искажений.

Различают три режима работы протокола LLC:

· LLC1 – процедура без установления соединения и без подтверждения. Это дейтаграммный режим работы. Он используется обычно тогда, когда восстановление данных после ошибок и упорядочение данных осуществляется протоколами вышележащих уровней;

· LLC2 – процедура с установлением соединения и подтверждением. По этому протоколу перед началом передачи между взаимодействующими РС устанавливается логическое соединение и, если это необходимо, выполняются процедуры восстановления кадров после ошибок и упорядочения потока кадров в рамках установленного соединения (протокол работает в режиме скользящего окна, используемом в сетях ARQ). Логический канал протокола LLC2 является дуплексным, т.е. данные могут передаваться одновременно в обоих направлениях;

· LLC3 – процедура без установления соединения, но с подтверждением. Это дополнительный протокол, который применяется, когда временные задержки (например, связанные с установлением соединения) перед отправкой данных не допускаются, но подтверждение о корректности приема данных необходимо. Протокол LLC3 используется в сетях, работающих в режиме реального времени по управлению промышленными объектами.

Указанные три протокола являются общими для всех методов доступа к передающей среде, определенных стандартами IEEE 802.Х.

Кадры подуровня LLC по своему назначению делятся на три типа – информационные (для передачи данных), управляющие (для передачи команд и ответов в процедурах LLC2) и ненумерованные (для передачи ненумерованных команд и ответов LLC1 и LLC2).

Все кадры имеют один и тот же формат: адрес отправителя, адрес получателя, контрольное поле (где размещается информация, необходимая для контроля правильности передачи данных), поле данных и два обрамляющих однобайтовых поля «Флаг» для определения границ кадра LLC. Поле данных может отсутствовать в управляющих и ненумерованных кадрах. В информационных кадрах, кроме того, имеется поле для указания номера отправленного кадра, а также поле для указания номера кадра, который отправляется следующим.

Шифрование SSH

Шифрование VPNd

Шифрование IPSec

В протоколе IPSec для передачи по туннелю L2TP данные шифруются с помощью алгоритмов DES и 3DES. Эти алгоритмы обеспечивают высокую безопасность данных. Алгоритм Диффи-Хеллмана с открытыми/закрытыми ключами позволяет открыто обмениваться по сети открытыми ключами. При этом безопасность не нарушается, поскольку с помощью открытого ключа можно только шифровать данные, дешифрование без закрытого ключа невозможно.

В программе VPNd, работающей под управлением Linux, используется алгоритм шифрования Blowfish. В этом 64-битовом алгоритме используются ключи разной длины - от 32 до 448 бит. Алгоритм обладает высоким быстродействием. Программа VPNd распространяется бесплатно, и доступен ее исходный код. Существует несколько вариантов программы VPNd, включая GOLDFISH, DOSFISH и TWOFISH.

В SSH для UNIX используются шифры с открытыми/закрытыми ключами, которые подробно рассматриваются в лекции 14, "Защита сети".

Для коммуникации клиента и сервера VPN необходимо установить общий стек сетевых/транспортных протоколов. Им может быть TCP/IP, однако это не обязательно. Даже при использовании РРТР, в котором для создания туннеля в публичной сети необходим IP, в частной сети можно использовать IPX/SPX или даже NetBEUI.

10.5 Безопасность VPN

Безопасность VPN обеспечивают следующие процедуры:

Шифрование.

Такая многоуровневая система мер безопасности обеспечивает высокую конфиденциальность данных, передаваемых по VPN. Рассмотрим каждый из этих компонентов безопасности.

Аутентификация

Аутентификация клиента VPN предполагает проверку идентичности компьютера и пользователя, инициирующих соединение VPN. Аутентификация может выполняться на уровне компьютеров. Например, если в сети VPN на основе Windows 2000 для создания соединения VPN L2TP используется IPSec, то выполняется обмен сертификатами компьютеров.

Как показано в лекции 15, "Удаленный доступ", аутентификация пользователей может выполняться с помощью одного из нескольких методов, среди которых ЕАР (Extensible Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), MS-CHAP (Microsoft CHAP), PAP (Password Authentication Protocol) или SPAP (Shiva PAP).

Этот термин означает ограничение числа пользователей, которым предоставляется доступ в VPN соответственно принятой стратегии безопасности. Стратегия безопасности определяет, кто из пользователей может получать доступ в VPN, а кому в доступе должно быть отказано.

Шифрование

Для защиты данных VPN используются различные технологии шифрования. Многие реализации VPN позволяют выбирать метод шифрования. Шифрование обеспечивает безопасность данных, передаваемых по VPN. Незашифрованные данные уязвимы для перехвата злоумышленниками в процессе их передачи по публичной сети.



10.6 Производительность VPN

Факторы, влияющие на производительность VPN, можно разбить на две категории: общие и специфические для конкретных реализации VPN.

Более всего на производительность VPN влияет природа самой Internet. Известны многочисленные случаи выхода из строя региональных участков. Интенсивные потоки данных (как, например, при известных событиях 11 сентября 2001 года) могут вызвать существенное снижение производительности каналов. Кроме того, вследствие чрезмерной загрузки иногда закрываются серверы провайдеров, что затрагивает сотни или даже тысячи пользователей.

Использование VPN приводит к увеличению количества передаваемых служебных сигналов, что также уменьшает производительность сетей. Сети VPN на уровне каналов обладают значительно меньшей производительностью, чем на уровне сетей. Если для установки соединения VPN используется публичная сеть, то теряются многие элементы управления, доступные при использовании непосредственного коммутируемого соединения.

10.7 Типы VPN

Сеть VPN может быть реализована как программно, так и аппаратно. Рассмотрим кратко обе реализации, то, чем они отличаются и как их можно сочетать в целях повышения безопасности.

Программные реализации VPN

В программных VPN используются рассмотренные в предыдущих разделах этой лекции протоколы туннелирования. Эту категорию сетей можно разбить на два типа: сети на основе программного обеспечения независимых поставщиков и на основе программных средств, встроенных в операционные системы. Очевидным преимуществом последних является меньшая стоимость. Ничего не нужно покупать дополнительно, а средства создания VPN, включенные в современные операционные системы, такие, как Windows 2000, оказываются достаточными для решения большинства задач.

Примерами программ VPN независимых поставщиков служат Safeguard VPN, Checkpoint SVN (Secure Virtual Networking) и NetMAX VPN Suite для Linux.

Аппаратные реализации VPN

Оборудование VPN выпускается компаниями Shiva, 3Com и VPNet Technologies. Средства поддержки VPN встроены как в маршрутизаторы Cisco, так и в маршрутизаторы других компаний. Компания NTS поставляет программу TunnelBuilder, являющуюся средством безопасной коммуникации VPN для Windows, NetWare и Macintosh. Поставщики брандмауэров, такие, как Raptor Systems, предоставляют средства создания VPN на основе брандмауэ;ров, оснащенных дополнительными средствами безопасности.

Сети VPN на основе оборудования можно разбить на две категории.

На основе маршрутизаторов. Основой этих VPN являются маршрутизаторы с встроенными средствами шифрования. Они обладают самой высокой сетевой производительностью, к тому же их обычно легко устанавливать и использовать.

На основе брандмауэров. Сети VPN этого типа обычно содержат дополнительные средства безопасности, такие, как усиленная аутентификация и детализированная регистрация. В этих VPN может выполняться трансляция адресов. Недостатком VPN на основе брандмауэров является пониженная производительность, однако применение в некоторых реализациях процессоров, разработанных специально для шифрования, решает эту проблему.

10.8 Резюме

В этой лекции рассмотрены основные понятия виртуальных частных сетей в их различных формах. Вы узнали, что VPN позволяют устанавливать безопасные соединения с удаленной частной сетью путем туннелирования, т.е. создания туннеля в Internet или другой публичной сети. Рассмотрены способы реализации VPN посредством коммутируемого соединения и методом "маршрутизатор - маршрутизатор".

Вы узнали, что туннелирование может выполняться на разных уровнях модели OSI. Рассмотрено туннелирование на уровне 2 с помощью протоколов РРТР и L2TP и туннелирование на уровне 3 с помощью протокола IPSec. Все современные операционные системы содержат встроенные средства создания соединений VPN, однако для этого можно использовать также программные продукты сторонних поставщиков.

Показаны финансовые преимущества использования VPN, описаны протоколы создания VPN и распространенные локальные протоколы, используемые для коммуникации клиентов и серверов VPN.

Рассмотрены различные вопросы безопасности VPN и три главных компонента обеспечения безопасности - аутентификация, авторизация и шифрование, а также производительность VPN и два базовых типа VPN - аппаратный и программный.

Документация программы Linux mini-HOWTO, в которой приведено подробное описание установки VPN на основе SSH/PPP, находится по адресу: http://sunsite.unc.edu/LDP/HOWTO/mini/VPN.htmi.

Подробная информация о программах TunnelBuilder и TunnelMaster компании NTS приведена по адресу: www.nts.com/products/index.html.

Сжатый отчет по виртуальным частным сетям можно найти по адресу: www.corecom.ccm/html/vpn.html.

Наверняка, многим понятно, что компьютеры, расположенные в различных точках планеты, увеличиваясь количественно рано или поздно должны были «научиться» общаться между собой и стать способными осуществлять работу совместно. Средствами такой коммуникации стали которые бывают локальными и глобальными. Что касается локальных сетей - это сети, которые объединяют компьютеры, расположенные на небольших расстояниях друг от друга, к примеру, в одном здании. Основным предназначением глобальных сетей является соединение сетей и компьютеров, разделённых огромными расстояниями - сотнями и тысячами километров. Самой большой на планете является сеть Интернет.

Даже понимание теоретических основ функционирования сетей, часто не даёт человеку возможности продолжить довольно простую фразу: протокол компьютерной сети это … Ниже попробуем разобраться, что же представляют собой и для чего они нужны. Сразу отметим, протокол компьютерной сети это основополагающий момент, который даёт возможность организовать связь между компьютерами, независимо от расстояния, которое их разделяет.

Дело в том, что простого подключения одного компьютера к другому - шага, необходимого для создания компьютерной сети, не достаточно. Для того чтобы возможность передачи информации в сети стала доступной, необходимо, чтобы компьютеры "понимали" друг друга. Протокол компьютерной сети это и есть специально разработанное средство, посредством которого компьютеры "общаются" через сеть на понятном друг для друга «языке». Кроме того, протокол компьютерной сети это совокупность правил, придерживаясь которым можно организовать между компьютерами.

Для того, что бы полностью понять, что такое протокол, отвлечёмся от компьютерной индустрии. Даже тот человек, который никогда сталкивался с сетями и Интернетом, в повседневной жизни встречал устройства, функционирование которых также основано на специально разработанных протоколах. К примеру, обычная телефонная связь, которую используют все, основана на собственном протоколе, позволяющим аппаратам, устанавливать факт снятия телефонной трубки на аппарате, который принимает звонок, распознавать факт разъединения, а также номер звонящего.

Надеемся, теперь понятно, почему компьютерному миру понадобился единый язык (названный протоколом), понятный каждому компьютеру в мире.

Основные протоколы сети Интернет представлены TCP/IP, POP3, SMTP, FTP, HTTP, IMAP4, WAIS, Gorpher, WAP. Каждый из этих протоколов выполняет определённые функции.

Базовым протоколом в интернете является TCP/IP - протокол, созданный лучшими умами человечества. Одним из создателей данного протокола был Винтон Серф. Сегодня этого человека считают "отцом Глобальной сети". Сейчас Винтон Серф трудиться на посту старшего вице-президента в вопросах создания и развития Интернет-архитектуры корпорации MCI WorldCom Inc.

Работы над протоколом Transmission Control (то есть TCP/IP) были завершены в 1972 году группой разработчиков, возглавляемых именно Винтоном Серфом.

Изначально TCP/IP разрабатывался для нужд минобороны США, но затем протокол перерос свое предназначение и стал базовым набором правил, позволившим глобальной сети Интернет получить стремительно развитие. Кроме того по этому протоколу функционирует небольшие сети, использующие - интранеты. Сегодня стандарты TCP/IP представляют собой открытые протоколы и постоянно совершенствуются.

Стоит отметить, что TCP/IP на самом деле не является одним протоколом, по своей сути - это целый перечень протоколов, которые работают совместно. Протокол состоит из двух уровней. Назначением протокола верхнего уровня - TCP, является организация правильного преобразования данных в пакеты информации, которые становятся по достижению принимающей стороны основой для построения исходного послания. На протокол нижнего уровня - IP разработчики возложили обязанность следить за правильностью доставки сообщений по адресу назначения.

Модели и протоколы компьютерных сетей

13.6.1. Общее представление

Протокол в общем смысле представляет собой правила поведения, известные обеим взаимодействующим сторонам. То же самое представляют собой сетевые протоколы: правила поведения, известные обеим взаимодействующим сторонам. Что, в какой момент, в ответ на какое сообщение нужно сделать, какие данные

Для планомерного развития и стандартизации сетевых соединений, служб, технологии и устройств, необходимо некоторое всеобщее рамочное соглашение, определяющее основные принципы, параметры и термины, на основе которых можно будет разрабатывать конкретные решения. Такое рамочное соглашение, в общих чертах определяющее порядок приема и передачи информации на всех уровнях сетевого взаимодействия, получило название сетевой модели.


Известно несколько стеков протоколов, самыми широко распространенны­ми из которых являются TCP/IP, IPX/SPX, NetBIOS/SMB. Мы ограничимся рассмотрением стека TCP/IP, поскольку на протоколах этого стека построен весь Интернет.

13.6.2. Стек протоколов TCP/IP

Уровень сетевых интерфейсов

Уровню сетевых интерфейсов не сопоставлен ни один протокол, но на нем реа­лизована поддержка практически всех известных сегодня технологий и протоколов объединения компьютеров в сеть.

Уровень межсетевого взаимодействия

На уровне межсетевого взаимодействия решаются задачи маршрутизации дан­ных. На этом уровне работают несколько протоколов.

□ IP (Internet Protocol - протокол межсетевого взаимодействия). Решает задачу передачи данных между сетями.

□ RIP (Routing Information Protocol - протокол маршрутной информации) и OSPF (Open Shortest Path First - выбор кратчайшего пути первым). Про­токолы сбора и конфигурирования маршрутной информации, отвечающие за выбор оптимального маршрута передачи данных.

□ ICMP (Internet Control Message Protocol - протокол межсетевых управляющих сообщений). При помощи этого протокола собирается информация об ошибках доставки и длительности жизни пакетов, а также передаются тестирующие со­общения, подтверждающие наличие запрошенного узла в сети.

Транспортный уровень

Транспортный уровень предоставляет механизмы доставки данных.

□ TCP (Transmission Control Protocol - протокол управления передачей). Описы­вает правила создания логического соединения между удаленными процессами и механизм обработки ошибок доставки пакетов (механизм повторной передачи «сбойных» пакетов).

□ UDP (User Datagramm Protocol - протокол пользовательских датаграмм). Упрощенный вариант протокола доставки данных без установления логического соединения и проверки ошибок доставки пакетов.

Прикладной уровень

К прикладному уровню относятся протоколы, носящие прикладной характер. Большинство этих протоколов связано с соответствующими прикладными про­граммами, работающими на их основе.

□ FTP (File Trancfer Protocol - протокол передачи файлов). В качестве транс­портного протокола этот протокол использует TCP, что повышает надежность передачи файлов через большое количество промежуточных узлов.

□ TFTP (Trivial File Trancfer Protocol - простейший протокол передачи файлов). Этот протокол базируется на UDP и используется в локальных сетях.

□ SNMP (Simple Network Management Protocol - простой протокол управления сетью).

□ Telnet - протокол, используемый для эмуляции терминала удаленной станции.

□ SMTP (Simple Mail Transfer Protocol - простой протокол передачи сообщений). Передает сообщения электронной почты при помощи транспортного протокола TCP.

□ HTTP (Hiper Text Transfer Protocol - протокол передачи гипертекста). Базовый протокол Всемирной паутины, без которой сегодня невозможно представить себе Интернет. Именно он обеспечивает передачу страниц сайтов на наши компьютеры.

Кроме перечисленных базовых протоколов, в состав стека TCP/IP на приклад­ном уровне входит еще множество протоколов.


13.6.3. Сетевая модель OSI

Когда стек протоколов TCP/IP уже в полную силу обеспечивал функциониро­вание самых разнообразных сетей, международная организация по стандартизации (International Organization for Standartization, ISO) разработала концептуальную модель взаимодействия открытых систем (Open Systems Interconnection, OSI). Эта модель оказалась настолько удачной, что в настоящее время многие сетевые процессы и проблемы принято описывать именно в терминах модели OSI. В модели OSI три базовых понятия: уровень, интерфейс и протокол.

Уровни пронумерованы от 7-го (верхний уровень) до 1-го (нижний уровень). Чем выше уровень, тем более глобальны решаемые им задачи. Каждый вышесто­ящий уровень реализует свою функциональность, получая услуги от нижележа­щего уровня и управляя им. Управление и передача услуг осуществляются через стандартные интерфейсы, благодаря которым вышестоящий уровень изолируется от детализации того, как именно реализует услуги нижележащий уровень. Вза­имодействие протоколов смежных уровней в одном узле осуществляется через интерфейсы.