Информационные сети Автор: Шадрин Денис Борисович
Протокол Ethernet Ethernét (эзернет, от лат. aether — эфир) — пакетная технология компьютерных сетей, преимущественно локальных (протокол канального уровня модели OSI). Стандарты Ethernet определяют проводные соединения и электрические сигналы на физическом уровне, формат кадров и протоколы управления доступом к среде — на канальном уровне модели OSI. Ethernet в основном описывается стандартами IEEE группы 802. 3. Ethernet стал самой распространённой технологией ЛВС в середине 90 -х годов прошлого века, вытеснив такие устаревшие технологии, как Arcnet, FDDI и Token ring.
Стандарты Ethernet • • 802. 3 a 802. 3 i 802. 3 j 802. 3 u 802. 3 z 802. 3 ab 802. 3 an - 10 BASE 5, «Толстый Ethernet» 10 BASE 2, «Тонкий Ethernet» 10 BASE-T, витая пара 10 BASE-F, оптическое волокно Fast Ethernet (1995) Gigabit Ethernet (1997) Gigabit Ethernet (UTP cat. 5) (1999) 10 GBase. T 10 Gigabit Ethernet (UTP cat. 6)
Протокол Ethernet Функции протокола Ethernet • Битовая синхронизация (Preamble). • MAC-Адресация. • Определение протокола вышестоящего уровня (Ethertype). • Контроль целостности (CRC). В качестве дополнения Ethernet-кадр может содержать тег IEEE 802. 1 Q для идентификации VLAN, к которой он адресован, и IEEE 802. 1 p для указания приоритетности. Существует несколько форматов Ethernet-кадра. Разные типы кадра имеют различный формат и значение Maximum Transmission Unit (MTU) – для IEEE 802. 3 MTU=1492 байта.
Метод CSMA/CD для протокола Ethernet CSMA/CD (Carrier Sense Multiple Access with Collision Detection — множественный доступ с контролем несущей и обнаружением коллизий) - технология(802. 3) множественного доступа к общей передающей среде в локальной компьютерной сети с контролем коллизий. Он используется как в обычных сетях типа Ethernet, так и в высокоскоростных сетях (Fast Ethernet, Gigabit Ethernet). Если во время передачи кадра рабочая станция обнаруживает другой сигнал, занимающий передающую среду, она останавливает передачу, посылает jam signal и ждет в течение случайного промежутка времени (известного как «backoff delay» и находимого с помощью алгоритма truncated binary exponential backoff), перед тем как снова отправить фрейм. Обнаружение коллизий используется для улучшения производительности CSMA с помощью прерывания передачи сразу после обнаружения коллизии и снижения вероятности второй коллизии во время повторной передачи.
Wi-Fi (англ. Wireless Fidelity — «беспроводная точность» ) — стандарт на оборудование Wireless LAN. Разработан консорциумом Wi-Fi Alliance на базе стандартов IEEE 802. 11, «Wi-Fi» — торговая марка «Wi-Fi Alliance» . Установка Wireless LAN рекомендовалась там, где развёртывание кабельной системы было невозможно или экономически нецелесообразно. В нынешнее время во многих организациях используется Wi-Fi, так как при определённых условиях скорость работы сети уже превышает 100 Мбит/сек. Пользователи могут перемещаться между точками доступа по территории покрытия сети Wi-Fi. Мобильные устройства (КПК, смартфоны и ноутбуки), оснащённые клиентскими Wi-Fi приёмо-передающими устройствами, могут подключаться к локальной сети и получать доступ в Интернет через точки доступа или хотспоты.
Стандарты для Wi-Fi IEEE 802. 11 — набор стандартов связи, для коммуникации в беспроводной локальной сетевой зоне частотных диапазонов 2, 4; 3, 6 и 5 ГГц. Пользователям более известен по названию Wi-Fi, фактически являющийся брендом, предложенным и продвигаемым организацией Wi-Fi Alliance. • IEEE 802. 11 — Изначальный 1 Мбит/с и 2 Мбит/c, 2, 4 ГГц и ИК стандарт (1997) • IEEE 802. 11 a — 54 Мбит/c, 5 ГГц стандарт (1999, выход продуктов в 2001) • IEEE 802. 11 b — Улучшения к 802. 11 для поддержки 5, 5 и 11 Мбит/с (1999) • IEEE 802. 11 g — 54 Мбит/c, 2, 4 ГГц стандарт (обратная совместимость с b) (2003) • IEEE 802. 11 n — Увеличение скорости передачи данных (600 Мбит/c). 2, 4 -2, 5 или 5 ГГц. Обратная совместимость с 802. 11 a/b/g. Особенно распространён на рынке в США в устройствах Cisco и Apple.
Стандарты шифрования для Wi-Fi Самый популярный стандарт шифрования WEP может быть относительно легко взломан даже при правильной конфигурации (из-за слабой стойкости алгоритма). Несмотря на то, что новые устройства поддерживают более совершенный протокол шифрования данных WPA, многие старые точки доступа не поддерживают его и требуют замены. Принятие стандарта IEEE 802. 11 i (WPA 2) в июне 2004 года сделало доступной более безопасную схему, которая доступна в новом оборудовании. Обе схемы требуют более стойкий пароль, чем те, которые обычно назначаются пользователями. Многие организации используют дополнительное шифрование (например VPN) для защиты от вторжения.
Протокол IP IP (англ. Internet Protocol — межсетевой протокол) — маршрутизируемый сетевой протокол, основа стека протоколов TCP/IP (протокол сетевого уровня модели OSI). Протокол IP (RFC 791) используется для негарантированной доставки данных, разделяемых на пакеты от одного узла сети к другому. Это означает, что на уровне этого протокола (третий уровень сетевой модели OSI) не даётся гарантий надёжной доставки пакета до адресата. В частности, пакеты могут прийти не в том порядке, в котором были отправлены, продублироваться, оказаться повреждёнными или не прибыть вовсе. Гарантии безошибочной доставки пакетов дают протоколы более высокого (транспортного) уровня сетевой модели OSI — например, TCP — которые IP используют в качестве транспорта. В современной сети Интернет используется IP четвёртой версии, также известный как IPv 4.
Протокол IP Функции протокола IP • IP-Адресация. • Определение протокола вышестоящего уровня (Protocol). • Контроль целостности заголовка (Header Checksum). • Фрагментация (Identification, Flags, Fragment Offset). • Приоритизация (Type of Service (To. S) - На практике в большинстве реализаций протокола IP данное поле почти всегда равно 0). • Определение времени жизни пакета (Time To Live (TTL)).
Протокол ARP (англ. Address Resolution Protocol — протокол разрешения адресов) — протокол канального уровня (англ. Data Link layer), предназначенный для преобразования IP-адресов (адресов сетевого уровня) в MAC-адреса (адреса канального уровня) в сетях TCP/IP.
IP-адрес (ай-пи адрес, сокращение от англ. Internet Protocol Address) — уникальный идентификатор (адрес) устройства (обычно компьютера), подключённого к локальной сети и (или) интернету. IP-адрес представляет собой 32 -битовое (по версии IPv 4) или 128 битовое (по версии IPv 6) двоичное число. Удобной формой записи IP-адреса (IPv 4) является запись в виде четырёх десятичных чисел (от 0 до 255), разделённых точками, например, 192. 168. 0. 1. (или 128. 10. 2. 30 — традиционная десятичная форма представления адреса, а 100000001010 00000010 00011110 — двоичная форма представления этого же адреса).
IP-адрес состоит из двух частей: номера сети и номера узла. В случае изолированной сети её адрес может быть выбран администратором из специально зарезервированных для таких сетей блоков адресов (192. 168. 0. 0/16, 172. 16. 0. 0/12 или 10. 0/8). Если же сеть должна работать как составная часть Интернета, то адрес сети выдаётся провайдером либо региональным интернетрегистратором (Regional Internet Registry, RIR). Существует пять RIR: ARIN, обслуживающий Северную Америку; APNIC, обслуживающий страны Юго-Восточной Азии; Afri. NIC, обслуживающий страны Африки; LACNIC, обслуживающий страны Южной Америки и бассейна Карибского моря; и RIPE NCC, обслуживающий Европу, Центральную Азию, Ближний Восток. Региональные регистраторы получают номера автономных систем и большие блоки адресов у IANA, а затем выдают номера автономных систем и блоки адресов меньшего размера локальным интернет-регистраторам (Local Internet Registries, LIR), обычно являющимся крупными провайдерами.
Классовая адресация Изначально адресация в сетях TCP/IP осуществлялась на основе классов: первые биты определяли класс сети, а по классу сети можно было сказать - сколько бит было отведено под номер сети и номер узла. Всего существовало 5 классов: Класс A 0 7 -бит адрес сети 24 -бита адрес хоста Класс B 10 14 -бит адрес сети 16 -бит адрес хоста Класс C 110 21 -бит адрес сети 8 -бит адрес хоста Класс D 1110 Адрес многоадресной рассылки Класс E 11110 Зарезервировано Всего в пространстве адресов IP - 128 сетей по 16 777 216 адресов класса A, 16384 сети по 65536 адресов класса B и 2 097 152 сети по 256 адресов класса C, а также 268 435 456 адресов многоадресной рассылки и 134 317 728 зарезервированных адресов. С ростом сети Интернет эта система оказалась неэффективной и была вытеснена CIDR (бесклассовой адресацией).
Маска подсети В терминологии сетей TCP/IP маской подсети или маской сети называется битовая маска, определяющая, какая часть IP-адреса узла сети относится к адресу сети, а какая — к адресу самого узла в этой сети. Например, узел с IP-адресом 12. 34. 56. 78 и маской подсети 255. 0 находится в сети 12. 34. 56. 0/24 с длиной префикса 24 бита.
Бесклассовая адресация (CIDR) Маски подсети являются основой метода бесклассовой маршрутизации (CIDR). При этом подходе маску подсети записывают вместе с IP-адресом в формате «IP-адрес/количество единичных бит в маске» . Число после слэша означает количество единичных разрядов в маске подсети. Рассмотрим пример записи диапазона IP-адресов в виде 10. 96. 0. 0/11. В этом случае маска подсети будет иметь двоичный вид 1111 11100000000, или то же самое в десятичном виде: 255. 224. 0. 0. 11 разрядов IPадреса отводятся под номер сети, а остальные 32 — 11 = 21 разряд полного адреса — под локальный адрес в этой сети. Итого, 10. 96. 0. 0/11 означает диапазон адресов от 10. 96. 0. 1 до 10. 127. 255. 254
Протокол TCP Transmission Control Protocol (TCP) (протокол управления передачей) — один из основных сетевых протоколов Интернет (транспортный уровень модели OSI), предназначенный для управления передачей данных в сетях и подсетях TCP/IP. TCP — это транспортный механизм, предоставляющий поток данных, с предварительной установкой соединения, за счёт этого дающий уверенность в достоверности получаемых данных, осуществляет повторный запрос данных в случае потери данных и устраняет дублирование при получении двух копий одного пакета. В отличие от UDP, гарантирует, что приложение получит данные точно в такой же последовательности, в какой они были отправлены, и без потерь. Реализация TCP, как правило, встроена в ядро системы, хотя есть и реализации TCP в контексте приложения.
Протокол TCP Функции протокола TCP • Идентификация целевого процесса в передающей/принимающей системе (Source Port, Destination Port). • Подтверждение доставки и обнаружение ошибок (Sequence Number, Acknowledgment Number). • Контроль целостности (Checksum). • Управление потоком - flow control (Window). • Приоритизация (Urgent Pointer).
Флаги (управляющие биты) протокола TCP Существует 6 битовых флагов: • URG — Поле «Указатель важности» задействовано (англ. Urgent pointer field is significant) • ACK — Поле «Номер подтверждения» задействовано (англ. Acknowledgement field is significant) • PSH — (англ. Push function) инструктирует получателя протолкнуть данные, накопившиеся в приемном буфере, в приложение пользователя • RST — Оборвать соединения, сбросить буфер (очистка буфера) (англ. Reset the connection) • SYN — Синхронизация номеров последовательности (англ. Synchronize sequence numbers) • FIN (англ. final, бит) — флаг, будучи установлен, указывает на завершение соединения (англ. FIN bit used for connection termination).
Протокол UDP (англ. User Datagram Protocol — протокол пользовательских датаграмм) — это транспортный протокол для передачи данных в сетях IP без установления соединения. В отличие от TCP, UDP не гарантирует доставку пакета. Это позволяет ему гораздо быстрее и эффективнее доставлять данные для приложений, которым требуется большая пропускная способность линий связи, либо требуется малое время доставки данных. Функции протокола UDP • Идентификация целевого процесса в передающей/принимающей системе (Source Port, Destination Port). • Контроль целостности (Checksum).
Протокол HTTP (англ. Hyper. Text Transfer Protocol — «протокол передачи гипертекста» ) — протокол прикладного уровня передачи данных (изначально — в виде гипертекстовых документов). Основой HTTP является технология «клиент-сервер» , то есть предполагается существование потребителей (клиентов), которые инициируют соединение и посылают запрос, и поставщиков (серверов), которые ожидают соединения для получения запроса, производят необходимые действия и возвращают обратно сообщение с результатом. HTTP в настоящее время повсеместно используется во Всемирной паутине для получения информации с веб-сайтов. HTTP — протокол прикладного уровня, аналогичными ему являются FTP и SMTP. Обмен сообщениями идёт по обыкновенной схеме «запрос-ответ» . Для идентификации ресурсов HTTP использует глобальные URI.
Протокол HTTP в настоящее время повсеместно используется во Всемирной паутине для получения информации с веб-сайтов. В 2006 году в Северной Америке доля HTTP-трафика превысила долю P 2 P-сетей и составила 46 %, из которых почти половина — это передача потокового видео и звука. HTTP используется также в качестве «транспорта» для других протоколов прикладного уровня, таких как SOAP, XML-RPC, Web. DAV.
Преимущества HTTP Простота Протокол настолько прост в реализации, что позволяет с лёгкостью создавать клиентские приложения. Расширяемость Возможности протокола легко расширяются благодаря внедрению своих собственных заголовков, с помощью которых можно получить необходимую функциональность при решении специфической задачи. При этом сохраняется совместимость с другими клиентами и серверами: они будут просто игнорировать неизвестные им заголовки. Распространённость При выборе протокола HTTP для решения конкретных задач немаловажным фактором является его распространённость. Как следствие, это обилие различной документации по протоколу на многих языках мира, поддержка протокола в качестве клиента многими программами и обширный выбор среди хостинговых компаний с серверами HTTP.
Недостатки и проблемы HTTP Отсутствие «навигации» Хотя протокол разрабатывался как средство работы с ресурсами сервера, у него отсутствуют в явном виде средства навигации среди этих ресурсов. Например, клиент не может явным образом запросить список доступных файлов, как в протоколе FTP. Предполагалось, что конечный пользователь уже знает URI необходимого ему документа, закачав который, он будет производить навигацию благодаря гиперссылкам. Например, со стороны клиента используются веб-пауки — специальные программы, которые составляют список ресурсов сервера, проходя по всем найденным гиперссылкам. Со стороны сервера данная проблема решается с помощью карты сайта (англ. site map) — веб-страницы, где перечислены все доступные для посещения ресурсы.
Sitemaps — XML-файл с информацией для поисковых систем (таких как Яндекс, Google, Yahoo, Ask. com, Bing) о страницах вебсайта, которые подлежат индексации. Sitemaps может помочь поисковикам определить местонахождение страниц сайта, время их последнего обновления, частоту обновления и важность относительно других страниц сайта для того, чтобы поисковая машина смогла более разумно индексировать сайт. Использование протокола Sitemaps не является гарантией того, что веб-страницы будут проиндексированы поисковыми системами, это всего лишь дополнительная подсказка для сканеров, которые смогут выполнить более тщательное сканирование сайта.
Формат протокола Sitemap состоит из XML-тегов. В файле необходимо использовать кодировку UTF-8. Пример XML-файла Sitemap <? xml version="1. 0" encoding="UTF-8"? > <urlset xmlns="http: //www. sitemaps. org/schemas/sitemap/0. 9"> <url> <loc>http: //example. com/</loc> <lastmod>2005 -01 -01</lastmod> <changefreq>monthly</changefreq> <priority>0. 8</priority> </urlset>
Недостатки и проблемы HTTP Полностью проблема индексации решена в расширяющем HTTP протоколе Web. DAV с помощью добавленного метода PROPFIND. Данный метод позволяет не только получить дерево каталогов, но и список параметров каждого ресурса. Отсутствие поддержки распределённости Протокол HTTP разрабатывался для решения типичных бытовых задач, где само по себе время обработки запроса должно занимать незначительное время или вовсе не приниматься в расчёт. Но в промышленном использовании с применением распределённых вычислений при высоких нагрузках на сервер протокол HTTP оказывается непригоден. В 1998 году W 3 C предложил альтернативный протокол HTTP-NG (англ. HTTP Next Generation) для полной замены устаревшего с акцентированием внимания именно на этой области.
Программное обеспечение HTTP Всё программное обеспечение для работы с протоколом HTTP разделяется на три большие категории: • Серверы как основные поставщики услуг хранения и обработки информации (обработка запросов). • Клиенты — конечные потребители услуг сервера (отправка запроса). • Прокси для выполнения транспортных служб. Список веб-серверов Основные реализации: Apache, Internet Information Services (IIS), lighttpd, nginx. Прокси-серверы Основные реализации: Squid, User. Gate, Multiproxy, Naviscope, Nginx. Браузеры Основные реализации: Google Chrome, Mozilla Firefox, Opera, Internet Explorer, Яндекс. Интернет.
Версии HTTP/0. 9 HTTP был предложен в марте 1991 года Тимом Бернерсом-Ли, работавшим тогда в CERN. Самая ранняя версия протокола HTTP/0. 9 была впервые опубликована в январе 1992 г. HTTP/1. 0 В мае 1996 года для практической реализации HTTP был выпущен информационный документ RFC 1945, что послужило основой для реализации большинства компонентов HTTP/1. 0. HTTP/1. 1 Текущая версия протокола, принята в июне 1999 года. Новым в этой версии был режим «постоянного соединения» : TCPсоединение может оставаться открытым после отправки ответа на запрос, что позволяет посылать несколько запросов за одно соединение. Клиент теперь обязан посылать информацию об имени хоста, к которому он обращается, что сделало возможной более простую организацию виртуального хостинга.
Методы HTTP Метод HTTP (англ. HTTP Method) — последовательность из любых символов, кроме управляющих и разделителей, указывающая на основную операцию над ресурсом. Обычно метод представляет собой короткое английское слово, записанное заглавными буквами. Обратите внимание, что название метода чувствительно к регистру. Каждый сервер обязан поддерживать как минимум методы GET и HEAD. Если сервер не распознал указанный клиентом метод, то он должен вернуть статус 501 (Not Implemented). Если серверу метод известен, но он неприменим к конкретному ресурсу, то возвращается сообщение с кодом 405 (Method Not Allowed). В обоих случаях серверу следует включить в сообщение ответа заголовок Allow со списком поддерживаемых методов. Кроме методов GET и HEAD, часто применяется метод POST. OPTIONS
Методы HTTP • • • OPTIONS GET HEAD POST PUT PATCH DELETE TRACE LINK UNLINK CONNECT
Обычный GET-запрос HTTP Запрос клиента: GET /wiki/страница HTTP/1. 1 Host: ru. wikipedia. org User-Agent: Mozilla/5. 0 (X 11; U; Linux i 686; ru; rv: 1. 9 b 5) Gecko/2008050509 Firefox/3. 0 b 5 Accept: text/html Connection: close (пустая строка)
Ответ сервера HTTP Ответ сервера: HTTP/1. 1 200 OK Date: Wed, 11 Feb 2009 11: 20: 59 GMT Server: Apache X-Powered-By: PHP/5. 2. 4 -2 ubuntu 5 wm 1 Last-Modified: Wed, 11 Feb 2009 11: 20: 59 GMT Content-Language: ru Content-Type: text/html; charset=utf-8 Content-Length: 1234 Connection: close (далее следует запрошенная страница в HTML)
DNS (англ. Domain Name System — система доменных имён) — распределённая система (распределённая база данных), способная по запросу, содержащему доменное имя хоста (компьютера или другого сетевого устройства), сообщить IP адрес или (в зависимости от запроса) другую информацию. DNS работает в сетях TCP/IP. Как частный случай, DNS может хранить и обрабатывать и обратные запросы, определения имени хоста по его IP адрес. DNS важна для работы Интернета, т. к. для соединения с узлом необходима информация о его IP-адресе, а для людей проще запоминать буквенные (обычно осмысленные) адреса, чем последовательность цифр IP-адреса. В некоторых случаях это позволяет использовать виртуальные серверы, например, HTTPсерверы, различая их по имени запроса. С ростом Сети возникла необходимость в эффективном, автоматизированном механизме, которым и стала DNS.
DHCP (англ. Dynamic Host Configuration Protocol — протокол динамической конфигурации узла) — это сетевой протокол, позволяющий компьютерам автоматически получать IP-адрес и другие параметры, необходимые для работы в сети TCP/IP. Данный протокол работает по модели «клиент-сервер» . Для автоматической конфигурации компьютер-клиент на этапе конфигурации сетевого устройства обращается к т. н серверу DHCP, и получает от него нужные параметры. Помимо IP-адреса, DHCP также может сообщать клиенту дополнительные параметры, необходимые для нормальной работы в сети. Эти параметры называются опциями DHCP. Некоторыми из наиболее часто используемых опций являются: • IP-адрес маршрутизатора по умолчанию; • маска подсети; • адреса серверов DNS; • имя домена DNS.
VLAN (от англ. Virtual Local Area Network) — виртуальная локальная вычислительная сеть, известная так же как VLAN, представляет собой группу хостов с общим набором требований, которые взаимодействуют так, как если бы они были подключены к широковещательному домену, независимо от их физического местонахождения. VLAN имеет те же свойства, что и физическая локальная сеть, но позволяет конечным станциям, группироваться вместе, даже если они не находятся в одной физической сети. Такая реорганизация может быть сделана на основе программного обеспечения вместо физического перемещения устройств. Native VLAN — каждый порт имеет параметр, названный постоянный виртуальный идентификацией (Native VLAN), который определяет VLAN, назначенный получить нетегированные кадры.
Обозначение членства в VLAN • по порту (Port-based, 802. 1 Q): порту коммутатора вручную назначается одна VLAN. В случае, если одному порту должны соответствовать несколько VLAN (например, если соединение VLAN проходит через несколько коммутаторов), то этот порт должен быть членом транка. Только одна VLAN может получать все пакеты, не отнесённые ни к одной VLAN (в терминологии 3 Com, Planet - untagged, в терминологии Cisco - native VLAN). Коммутатор будет добавлять метки данной VLAN ко всем принятым кадрам не имеющих никаких меток. VLAN построенные на базе портов имеют некоторые ограничения. Они очень просты в установке, но позволяют поддерживать для каждого порта только одну VLAN. Следовательно, такое решение малоприемлемо при использовании концентраторов или в сетях с мощными серверами, к которым обращается много пользователей (сервер не удастся включить в разные VLAN). Кроме того, вносить изменения в VLAN на основе портов достаточно сложно, поскольку при каждом изменении требуется физическое переключение устройств.
Обозначение членства в VLAN • по MAC-адресу (MAC-based): членство в VLANе основывается на MAC-адресе рабочей станции. В таком случае коммутатор имеет таблицу MAC-адресов всех устройств вместе с VLANами, к которым они принадлежат. • по протоколу (Protocol-based): данные 3 -4 уровня в заголовке пакета используются чтобы определить членство в VLANe. Например, IP машины могут быть переведены в первую VLAN, а машины Apple. Talk во вторую. Основной недостаток этого метода в том, что он нарушает независимость уровней, поэтому, например, переход с IPv 4 на IPv 6 приведет к нарушению работоспособности сети. • методом аутентификации (Authentication based): Устройства могут быть автоматически перемещены в VLAN основываясь на данных аутентификации пользователя или устройства при использовании протокола 802. 1 x.
IEEE 802. 1 x Стандарт IEEE 802. 1 x определяет протокол контроля доступа и аутентификации, который ограничивает права неавторизованных компьютеров, подключенных к коммутатору. Сервер аутентификации проверяет каждый компьютер перед тем, как тот сможет воспользоваться сервисами, который предоставляет ему коммутатор. Когда компьютер подключается к порту, коммутатор определяет, разрешён ли доступ для данного компьютера в сеть. Если нет, то пропускает только пакеты 802. 1 x. Состояние порта в этом случае unauthorized. Если клиент успешно проходит проверку, то порт переходит в состояние authorized. Когда клиент отключается коммутатор переводит порт в состояние unauthorized.
ACL (англ. Access Control List — список контроля доступа) — определяет, кто или что может получать доступ к конкретному объекту, и какие именно операции разрешено или запрещено этому субъекту проводить над объектом. ACL представляет список правил, определяющих порты служб или имена доменов, доступных на узле или другом устройстве третьего уровня OSI, каждый со списком узлов и/или сетей, которым разрешен доступ к сервису. Сетевые ACL могут быть настроены как на обычном сервере, так и на маршрутизаторе и могут управлять как входящим, так и исходящим трафиком, в качестве межсетевого экрана.
Port security — функция коммутатора, позволяющая указать MAC-адреса хостов, которым разрешено передавать данные через порт. После этого порт не передает пакеты, если MAC-адрес отправителя не указан как разрешенный. Кроме того, можно указывать не конкретные MAC-адреса, разрешенные на порту коммутатора, а ограничить количество MAC-адресов, которым разрешено передавать трафик через порт. Используется для предотвращения: • несанкционированной смены MAC-адреса сетевого устройства или подключения к сети, • атак направленных на переполнение таблицы коммутации.
NAT (от англ. Network Address Translation — «преобразование сетевых адресов» ) — это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов. Преобразование адресов методом NAT может производиться почти любым маршрутизирующим устройством — маршрутизатором, сервером доступа, межсетевым экраном. Наиболее популярным является SNAT, суть механизма которого состоит в замене адреса источника (source) при прохождении пакета в одну сторону и обратной замене адреса назначения (destination) в ответном пакете. Наряду с адресами source/destination могут также заменяться номера портов source/destination.
NAT Помимо source NAT (предоставления пользователям локальной сети с внутренними адресами доступа к сети Интернет) часто применяется также destination NAT, когда обращения извне транслируются межсетевым экраном на сервер в локальной сети, имеющий внутренний адрес и потому недоступный извне сети непосредственно (без NAT). Существует 3 базовых концепции трансляции адресов: • статическая (Static Network Address Translation), • динамическая (Dynamic Address Translation), • трансляция портов (NAPT, PAT).
NAT • Статическая трансляция устанавливает соответствие адресов по типу “один к одному”, т. е. один глобальный внутренний адрес соответствует одному локальному внутреннему адресу. Статическая трансляция применяется в тех случаях, когда некий внутренний узел должен быть доступен извне по постоянному адресу (например, сервер WWW). • Динамическая трансляция устанавливает соответствие между внутренним локальным адресом и пулом глобальных адресов.
NAT NAPT, PAT. Существует возможность экономии пула внутренних глобальных адресов путем разрешения маршрутизатору использовать один глобальный адрес для трансляции нескольких локальных адресов. Если используется такой вариант конфигурации, то маршрутизатор использует информацию (номера портов) протоколов более высокого уровня (например, TCP и UDP) для обратной трансляции глобального адреса в корректные локальные адреса. При использовании соответствия нескольких локальных адресов одному глобальному адресу номера портов TCP или UDP каждого внутреннего узла указывают на локальные адреса этих узлов.
VPN (англ. Virtual Private Network — виртуальная частная сеть) — логическая сеть, создаваемая поверх другой сети, например Интернет. Несмотря на то, что коммуникации осуществляются по публичным сетям с использованием небезопасных протоколов, за счёт шифрования создаются закрытые от посторонних каналы обмена информацией. VPN позволяет объединить, например, несколько офисов организации в единую сеть с использованием для связи между ними неподконтрольных каналов. При должном уровне реализации и использовании специального программного обеспечения сеть VPN может обеспечить высокий уровень шифрования передаваемой информации. При правильной настройке всех компонентов технология VPN обеспечивает анонимность в Сети.
Структура VPN состоит из двух частей: «внутренняя» (подконтрольная) сеть, которых может быть несколько, и «внешняя» сеть, по которой проходит инкапсулированное соединение (обычно используется Интернет). Возможно также подключение к виртуальной сети отдельного компьютера. Подключение удалённого пользователя к VPN производится посредством сервера доступа, который подключён как к внутренней, так и к внешней (общедоступной) сети. При подключении удалённого пользователя (либо при установке соединения с другой защищённой сетью) сервер доступа требует прохождения процесса идентификации, а затем процесса аутентификации. После успешного прохождения обоих процессов, удалённый пользователь (удаленная сеть) наделяется полномочиями для работы в сети, то есть происходит процесс авторизации.
Примеры VPN • IPSec (IP security) — часто используется поверх IPv 4. • PPTP (point-to-point tunneling protocol) — разрабатывался совместными усилиями нескольких компаний, включая Microsoft. • PPPo. E (PPP (Point-to-Point Protocol) over Ethernet • L 2 TP (Layer 2 Tunnelling Protocol) — используется в продуктах компаний Microsoft и Cisco. • L 2 TPv 3 (Layer 2 Tunnelling Protocol version 3). • Open. VPN SSL VPN с открытым исходным кодом, поддерживает режимы PPP, bridge, point-to-point, multiclient server
Qo. S (англ. Quality of Service — качество обслуживания) — этим термином в области компьютерных сетей называют вероятность того, что сеть связи соответствует заданному соглашению о трафике или же, в ряде случаев, неформальное обозначение вероятности прохождения пакета между двумя точками сети. 1. Best Effort Service (Негарантированная доставка). Абсолютное отсутствие механизмов Qo. S. Используются все доступные ресурсы сети без какого-либо выделения отдельных классов трафика и регулирования. Считается, что лучшим механизмом обеспечения Qo. S является увеличение пропускной способности. Это в принципе правильно, однако некоторые виды трафика (например, голосовой) очень чувствительны к задержкам пакетов и вариации скорости их прохождения. Модель Best Effort Service даже при наличии больших резервов допускает возникновение перегрузок в случае резких всплесков трафика. Поэтому были разработаны и другие подходы к обеспечению Qo. S.
Qo. S 2. Integrated Service (Int. Serv, RFC 1633) - модель интегрированного обслуживания. Может обеспечить сквозное (End-to-End) качество обслуживания, гарантируя необходимую пропускную способность. Int. Serv использует для своих целей протокол сигнализации RSVP. Позволяет приложениям выражать сквозные требования к ресурсам и содержит механизмы обеспечения данных требований. Int. Serv можно кратко охарактеризовать как резервирование ресурсов (Resource reservation).
Qo. S 3. Differentiated Service (Diff. Serv, RFC 2474/2475) - Модель дифференцированного обслуживания. Определяет обеспечение Qo. S на основе четко определенных компонентов, комбинируемых с целью предоставления требуемых услуг. Архитектура Diff. Serv предполагает наличие классификаторов и формирователей трафика на границе сети, а также поддержку функции распределения ресурсов в ядре сети в целях обеспечения требуемой политики пошагового обслуживания (Per-Hop Behavior - PHB). Разделяет трафик на классы, вводя несколько уровней Qo. S. Diff. Serv состоит из следующих функциональных блоков: граничные формирователи трафика (классификация пакетов, маркировка, управление интенсивностью) и реализаторы PHB политики (распределение ресурсов, политика отбрасывания пакетов). Diff. Serv можно кратко охарактеризовать как приоритезацию трафика (Prioritization).
Qo. S (англ. Quality of Service — качество обслуживания) — этим термином в области компьютерных сетей называют вероятность того, что сеть связи соответствует заданному соглашению о трафике или же, в ряде случаев, неформальное обозначение вероятности прохождения пакета между двумя точками сети. Для большинства случаев качество связи определяется четырьмя параметрами: • Полоса пропускания (Bandwidth), описывает номинальную пропускную способность среды передачи информации, определяет ширину канала. Измеряется в bit/s (bps), kbit/s (kbps), Mbit/s (Mbps). • Задержка при передаче пакета (Delay), измеряется в миллисекундах. • Колебания (дрожание) задержки при передаче пакетов — джиттер (Jitter). • Потеря пакетов (Packet loss). Определяет количество пакетов, потерянных в сети во время передачи.
Механизм работы Qo. S Когда передача данных сталкивается с проблемой «бутылочного горлышка» для приёма и отправки пакетов на роутерах то обычно используется метод FIFO: первый пришел — первый ушёл (First In — First Out). При интенсивном трафике это создаёт заторы, которые разрешаются крайне простым образом: все пакеты не вошедшие в буфер очереди FIFO (на вход или на выход) игнорируются роутером, и соответственно теряются безвозвратно. Более разумный метод — использовать «умную» очередь, в которой приоритет у пакетов зависит от типа сервиса — To. S. Необходимое условие: пакеты должны уже нести метку типа сервиса для создания «умной» очереди. Обычные пользователи чаще всего сталкиваются с термином Qo. S в домашних роутерах с поддержкой Qo. S. Например весьма логично дать высокий приоритет Vo. IP пакетам и низкий — пакетам FTP, SMTP и клиента файлообменной сети.
Агрегация каналов (англ. Link aggregation, trunking) или IEEE 802. 3 ad — технология объединения нескольких физических каналов в один логический. Это способствует не только значительному увеличению пропускной способности магистральных каналов коммутатор—коммутатор или коммутатор—сервер, но и повышению их надежности. Хотя уже существует стандарт IEEE 802. 3 ad, многие компании еще используют для своих продуктов патентованные или закрытые технологии. Главное преимущество агрегации каналов в том, что радикально повышается скорость — суммируется скорость всех используемых адаптеров. Так же в случае отказа адаптера трафик посылается следующему работающему адаптеру, без прерывания сервиса. Если же адаптер вновь начинает работать, то через него опять посылают данные.
Telnet TELNET (англ. TELecommunication NETwork) — сетевой протокол для реализации текстового интерфейса по сети (в современной форме — при помощи транспорта TCP). Название «telnet» имеют также некоторые утилиты, реализующие клиентскую часть протокола. Назначение протокола TELNET в предоставлении достаточно общего, двунаправленного, восьмибитного байториентированного средства связи. Его основная задача заключается в том, чтобы позволить терминальным устройствам и терминальным процессам взаимодействовать друг с другом. Предполагается, что этот протокол может быть использован для связи вида терминал-терминал ( «связывание» ) или для связи процесс-процесс ( «распределенные вычисления» ).
SSH (эс-эс-аш, эс-эс-эйч, эс-эс-ха и под. англ. Secure Shell — «безопасная оболочка» ) — сетевой протокол прикладного уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений (например, для передачи файлов). Сходен по функциональности с протоколами Telnet и rlogin, но, в отличие от них, шифрует весь трафик, включая и передаваемые пароли. SSH допускает выбор различных алгоритмов шифрования. SSH-клиенты и SSH-серверы имеются для большинства сетевых операционных систем. SSH позволяет безопасно передавать в незащищенной среде практически любой другой сетевой протокол, таким образом, можно не только удаленно работать на компьютере через командную оболочку, но и передавать по шифрованному каналу звуковой поток или видео (например, с веб-камеры). Также SSH может использовать сжатие передаваемых данных для последующего их шифрования, что удобно, например, для удаленного запуска клиентов X Window System.
Скачать презентацию Информационные сети Автор Шадрин Денис Борисович Протокол
Информационные сети (часть 2).ppt