КОРПОРАТИВНІ КОМП’ЮТЕРНІ МЕРЕЖІ

Інформація про навчальний заклад

ВУЗ:
Національний університет Львівська політехніка
Інститут:
Не вказано
Факультет:
Не вказано
Кафедра:
Не вказано

Інформація про роботу

Рік:
2011
Тип роботи:
Теорія
Предмет:
Комп'ютерні мережі

Частина тексту файла

7. КОРПОРАТИВНІ КОМП’ЮТЕРНІ МЕРЕЖІ
7.1. Загальні принципи побудови корпоративних мереж
Корпоративні мережі передавання даних охоплюють, як правило, всі підрозділи окремої організації (корпорації, фірми), які можуть бути розташованими на великій території (місто, держава, континент). До їх складу можуть входити декілька як локальних (LAN), так і глобальних (WAN) мереж. Вони можуть використовувати складне комунікаційне обладнання і багатофункціональну апаратуру передавання даних, різноманітні лінії зв’язку, в т.ч. телефонні канали, радіо і супутниковий зв’язок.
В залежності від масштабу організації, комп’ютерні мережі, які їй
належать, поділяються на мережі відділів, мережі кампусів (міжбудинкові мережі) та корпоративні мережі.
Мережі відділів будуються, як правило, на базі однієї з базових технологій (найчастіше - Ethernet), містять невелике число комп’ютерів (до 50) і розміщені в границях одного будинку. Метою побудови таких мереж є забезпечення колективного доступу до дорогих розподілених ресурсів (прикладних програм, баз даних, периферійного обладнання ). Вони, як правило,
не діляться на підмережі і не вимагають для свого обслуговування висококваліфікованого адміністратора. Фізичним середовищем таких мереж є, здебільшого, кабелі на основі скручених пар і коаксіальний кабель.
Мережі кампусів складаються з окремих підмереж і охоплюють декілька будинків, розміщених на площі в декілька квадратних кілометрів. Для них характерна неоднорідність апаратного і програмного забезпечення. Окремі підмережі можуть будуватися на базі різних мережевих технологій (
сімейство технологій Ethernet, технології FDDI, Token Ring та ін.). Основна мета побудови мережі кампусів – доступ до відомчих баз даних та інших розподілених ресурсів. Для з’єднання підмереж між собою використовують повторювачі, концентратори, комутатори, шлюзи та маршрутизатори. Фізичне середовище мережі кампусів – це кабелі на основі скручених пар, коаксіальний та оптоволоконний кабель, на якому будують магістральні лінії зв’язку.
При побудові корпоративних мереж останнім часом досить часто застосовують також канали безпровідного зв’язку, які для передавання даних використовують електромагнітні хвилі різних частотних діапазонів.
В залежності від частотного діапазону електромагнітних хвиль розрізняють три види безпровідного зв’язку:
радіозв’язок;
зв’язок з допомогою інфрачервоного випромінювання;
лазерний зв’язок.
Як було зазначено раніше, в кінці 90-их років минулого століття був прийнятий стандарт ІЕЕЕ 802.11, який описує побудову локальних мереж передавання даних з використанням безпровідного зв’язку. При цьому було виділено чотири типи безпровідного з’єднання, які використовуються в локальних мережах:
безпровідний одноранговий зв’язок;
безпровідне під’єднання робочих станцій;
безпровідне з’єднання розподілених сегментів;
безпровідне з’єднання мостів локальних мереж.
Безпровідний одноранговий зв’язок призначений для з’єднання між собою однорангових вузлів комп’ютерної мережі. Кожний комп’ютер такої мережі в радіусі дії безпровідного зв’язку отримує доступ до розподілених ресурсів, розміщених на інших комп’ютерах. При цьому для організації безпровідного з’єднання використовують радіозв’язок або інфрачервоне випромінювання.
Безпровідне під’єднання робочих станцій дозволяє користувачам з переносними комп’ютерами встановлювати зв’язок із локальною мережею без допомоги виділеного кабельного з’єднання з концентратором або комутатором мережі. При цьому використовують, як правило, радіозв’язок, рідше – інфрачервоне випромінювання.
Безпровідне з’єднання розподілених сегментів застосовують для встановлення безкабельного зв’язку між окремими підмережами, побудованими на базі концентраторів або комутаторів і розташованих на невеликій віддалі один від одного. Використовується, як правило, тоді, коли дорого або складно встановити кабельний зв’язок. При цьому використовують радіо- або лазерний зв’язок.
Безпровідне з’єднання мостів локальних мереж застосовують для встановлення зв’язку
між кабельними мережами, розташованими на відносно невеликій відстані (4-6 км). Таке з’єднання дозволяє зекономити на вартості маршрутизатора і орендній платі за виділений канал зв’язку. Використовують, як правило радіозв’язок, рідше – лазерний зв’язок.
За своєю структурою корпоративні мережі відносяться, як правило, до класу об’єднаних мереж, до складу яких входять різнорідні, побудовані за різними технологіями локальні і глобальні мережі. Для них є характерним використання тисяч персональних комп’ютерів, сотень серверів, різноманітних операційних систем і пакетів прикладних програм, великих об’ємів даних, які зберігаються у спільних базах даних.
Більшість корпоративних мереж використовують поширену мережеву операційну систему Windows NT із стеком комунікаційних протоколів ТСР/ІР і відносяться до класу internet або intranet, тобто з правом виходу, або без права виходу у "всесвітню павутину" Internet.
Для мереж, які не мають виходу в Internet і працюють в автономному режимі стандарти Internet передбачили групу ІР-адрес, які не обробляються маршрутизаторами. Міжнародна організація IANA встановила три діапазони IP-адрес для використання їх в мережах Іntranet: клас А: 10.0.0.1 - 10.255.255.1;
клас В: 172.16.0.1-172.31.255.254; клас С: 192.168.0.1 -192.168.255.254.
При використанні IP-адрес з цього адресного простору організація не зобов’язана отримувати дозвіл на їх використання.
Корпоративна мережа класу Intranet може підключатись до мережі Internet через proxy-сервер, який має один або декілька зовнішніх мережевих адаптерів із зареєстрованими IP-адресами.
З метою зменшення чутливості корпоративної мережі з великим числом хостів до широкомовного трафіку, а також для покращення адміністрування та захищеності її доцільно розбити на декілька підмереж, тобто структуризувати. У відповідності до вимог стандарту RFC 950 структуризацію мережі проводять шляхом її розбиття на окремі підмережі з використання масок як змінної, так і постійної довжини При цьому під ідентифікатори підмереж виділяють старші біти адресного поля вузлів виділеної ІР-адреси певного класу, а підмережі з’єднуються між собою з допомогою маршрутизаторів або комутаторів 3-го рівня.
7.2. Мережеві служби
Мережеві служби поділяються на основні, які забезпечують виконання задач користувача, і служби адміністрування та керування мережею.
Реалізуються мережеві служби відповідними мережевими додатками - розподіленими програмами, які функціонують на комп’ютерах мережі і складаються з клієнтської і серверної частин. Мережеві додатки, виконуючи певний запит користувача, використовують протоколи відповідних рівнів стеку комунікаційних протоколів і забезпечують обмін інформацією між процесами, які виконуються на кінцевих вузлах (комп’ютерах). За дотриманням вимог стандартизованих протоколів при розробці мережевих додатків, подальший розвиток та розширенням стеку протоколів ТСР/ІР і розробкою стандартів у галузі Internet слідкує ряд міжнародних організацій.
ISOC (професійне співтовариство Internet ) відає питаннями розвитку мережі Internet.
IAB координує нові розробки в галузі Internet, в т.ч. розробку і стандартизацію нових протоколів стеку ТСР/ІР. Підрозділ IRTF цієї організації координує перспективні та довготривалі розробки в галузі Internet
і стеку комунікаційних протоколів ТСР/ІР, а інженерна група IETF займається розробкою технічних проблем мережі та питаннями стандартизації. Стандарти публікуються у вигляді документів RFCхххх, де хххх - номер стандарту. Так стандарт RFC1700 закріплює сокети (номери портів) за протоколами прикладного рівня стеку ТСР/ІР.
Організації InterNIC (мережевий інформаційний центр) і
IANA відповідають за надійне функціонування мережі Internet. Ці організації виділяють регіональним сервіс-провайдерам Internet (ISP) діапазони ІР-адрес для їх подальшого призначення користувачам.
7.2.1. Основні протоколи стеку ТСРІР
Протоколи стеку ТСРІР описують формати та послідовність обміну повідомленнями між процесами, які виконуються на комп’ютерах мережі (клієнті та сервері) для реалізації запиту користувача. Сформовані у вигляді потоку даних повідомлення передаються з прикладного на транспортний рівень через сокети – порти прикладного рівня, яким присвоюються певні номери. У повідомленнях, якими обмінюються клієнт і сервер крім їх доменних адрес вказуються також номери портів прикладного рівня, що однозначно визначають протокол, який сформував або оброблятиме дане повідомлення.
Протокол передавання файлів FTР забезпечує обмін файлами між локальним і віддаленим хостами об’єднаної мережі (з локального на віддалений і навпаки). Протокол FTР для передачі сформованого повідомлення протоколу транспортного рівня ТСР використовує два сокети: порт 21 для утворення керуючого з’єднання і порт 20 для з’єднання даних. Через порт 21 клієнт передає серверу ім’я користувача і його пароль, а також команди зміни каталога і обміну файлами. У відповідь сервер встановлює з клієнтом з’єднання даних і через порт 20 здійснює обмін файлами та після його закінчення закриває з’єднання. Для передавання кожного наступного файла сервер змушений відкривати з’єднання заново, що сповільнює його роботу і обмежує число клієнтів, які він може обслуговувати одночасно.
Протокол віддаленого доступу Telnet працює через ТСР-з’єднання і забезпечує доступ до процесів, які відбуваються на комп’ютерах віддаленої мережі. При цьому кожний символ, який вводиться з клавіатури клієнта передається серверу, який відсилає назад копію символа з їх візуалізацією на екрані користувача. Протокол ТСР забезпечує високу надійність передавання даних з використанням «вкладених» квитанцій.
Протокол передавання електронної пошти SMTP забезпечує передавання повідомлення відправника до його поштового ящика на поштовому сервері, та обмін повідомленнями між поштовими серверами відправника і отримувача, які надаються користувачам інтернет-провайдерами. При цьому на поштовому сервері відправника працює програма-клієнт, на поштовому сервері отримувача - програма-сервер а на комп’ютері відправника
- програма-агент.
Протоколи доступа до електронної пошти POP3 та ІМАР забезпечують доставку електронної пошти з ящика на поштовому сервері до комп’ютера отримувача і його візуалізацію на дисплеї. При звертанні
до поштового ящика відбувається аутентифікація отримувача. Отримана пошта може зберігатися на компютері користувача в спеціальних папках. Останнім часом для доступу до електронних поштових ящиків почали використовувати web-браузери на основі протоколу НТТР.
Протокол гіпертекстової інформації НТТР є основним для створення програмних додатків (браузерів і web-серверів), які активізують через ТСР-з’єднання відповідно пошук в Інтернеті і доставку необхідної інформації користувачу за його замовленням. Протокол НТТР визначає, яким чином браузери формують запит на web-сторінку, а сервери здійснюють передавання об’єктів, які містить ця сторінка, користувачу. Браузери на основі першої версії НТТР для отримання кожного об’єкту здійснювали окремі ТСР-з’єднання з сервером. Починаючи з версії 1.1 протокол НТТР дозволяє отримати всі об’єкти, що входять до складу web-сторінки, через одне ТСР-з'єднання. Це дозволяє серверу збільшити швидкість обслуговування та одночасно обслуговувати більше число клієнтів. Крім використання у Web-додатках протокол передавання гіпертекстової інформації НТТР використовується також для безпосереднього передавання банківської інформації (XML-файлів), для організації однорангового файлового обміну та для передавання потокової аудіо- та відео-інформації.
Потоковий протокол реального часу RTSP призначений для відтворення отриманих з мережі аудіо та відео файлів і дозволяє користувачу керувати процесом відтворення звуку і зображення.
Протокол реального часу RTR забезпечує роботу потокових і інтерактивних мультимедіа-додатків реального часу, використовуючи при цьому UDP-з’єднання. Він передбачає адитивну затримку відтворення та відновлення втрачених пакетів, для чого застосовує їх нумерацію та мітки часу.
Керуючий протокол RTCP збирає дані про втрачені пакети та їх затримку при передаванні по мережі (джитер пакетів).
Протокол ініціювання сеансу SIP надає механізм для встановлення телефонного зв’язку по ІР-мережі. Він забезпечує кодування мультимедійних даних, визначення ІР-адреси абонентів, під’єднання до сеансу нових учасників.
Стандарт Н.323 на відміну від SIP містить набір протоколів для проведення мультимедійних конференцій. Протоколи цього стандарту забезпечують під’єднання нових учасників, їх реєстрацію, керування допуском, кодування і транспортування потоку даних реального часу.
Протокол динамічної конфігурації хостів DHCP назначає хосту ІР-адресу, повідомляє адресу найближчого маршрутизатора, адресу DNS-сервера і час оренди адреси. Протокол особливо ефективний при використанні лептопів, а також, коли число комп’ютерів більше числа виділених ІР-адрес. З його допомогою регіональні провайдери виділяють ІР-адреси окремим користувачам і прокси-серверам. Для пошуку DHCP-сервера DHCP-клієнт посилає широкомовні запити за адресою 255.255.255.255, вказуючи свою адресу 0.0.0.0.
Протокол трансляції мережевих адрес NAT забезпечує прямий і зворотній перехід з intranet-мережі в Intеrnet. Хост внутрішньої мережі сформувавши запит адресату зовнішньої мережі, вказує в ньому свою (intranet) адресу з номером свого порта і ІР-адресу адресата з номером його порта і посилає його NAT-маршрутизатору (прокси-серверу). Останній формує номер відправника і замінює його inranet-адресу на свою ІР-адресу, заносячи відповідні записи в NAT-таблицю. Отримавши відповідь від адресата
на основі аналізу NAT-таблиці маршрутизатор переправляє його за призначенням. Поле номера хоста містить 16 двійкових розрядів, що дозволяє протоколу NAT обслуговувати більше 60000 клієнтів.
Протоколи внутрішньої маршрутизації RIP i OSPF призначені для збору інформації про структуру внутрішньої автономної (корпоративної) мережі, до складу якої може входити декілька розділених маршрутизаторами комп’ютерних мереж під загальним адніміструванням і технічним управлінням. Протоколи вузлів обмінюються повідомленнями з маршрутизаторами і формують та оновлюють таблиці маршрутизації (приблизно раз в 30 хв.). На відміну від RIP протокол OSPF забезпечує аутентифікацію записів у таблицях маршрутизації, групову маршрутизацію, вказує декілька шляхів до адресата і може обмінюватися повідомленнями з протоколами зовнішньої маршрутизації.
Протокол зовнішньої маршрутизації BGP описує обмін повідомленнями між рівноправними вузлами на границях автономних мереж в складі об’єднаної мережі і відіграє центральну роль в ІНТЕРНЕТІ. Таблиці маршрутизації цього протоколу містять записи, які характеризують маршрути між автономними мережами і їх атрибути, що оновлюються не рідше, чим раз у 2 год.
Протокол відображення імен DNS функціонує на прикладному рівні і використовує UDP-з’єднання через сокет з номером 53. Здебільшого DNS використовується іншими протоколами прикладного рівня (FTP, HTTP, SMTP) для отримання ІР-адрес отримувача пакету. Відповідність між ієрархічними доменними іменами і ІР-адресами може встановлюватися як засобами локального комп’ютера, так і засобами централізованої служби DNS, яка є характерною для великих об’єднаних мереж. При цьому виділені DNS-сервери підтримують розподілену базу відображень, а DNS- клієнти звертаються до серверів з запитами на відображення доменного імені на ІР-адресу.
Протокол WINS використовується для відображення плоских текстових імен в ІР- адреси.
Протокол дозволу адрес ARP на основі аналізу ARP-таблиць дозволяє встановити відповідність між ІР- і локальними адресами. ARP-таблиці місять дані про відповідність ІР-адрес вузлів мережі їх локальним адресам з позначенням типу запису - динамічний чи статичний запис. Статичні записи виконуються адміністратором мережі шляхом використання утиліти arp і встановлюються, як правило, на час ввімкнення комп’ютера. Динамічні записи будуються ARP-протоколом канального рівня шляхом посилання в мережу широкомовних запитів і мають обмежений термін життя (декілька хвилин).
Протокол RARP (реверсивний ARP) дозволяє за відомою локальною адресою вузла знайти його
ІР-адресу .
Простий протокол мережевого адміністрування
(Simpl Network Management Protocol) SNMP призначений для передавання даних і команд між керуючим засобом і його агентом, який працює на віддаленому вузлі, і використовується в службах адміністрування. Для керування мережею використовується три версії простого протоколу мережевого адміністрування : SNMP, SNMPv2 і SNMPv3. Кожна наступна версія протоколу порівняно з попередньою володіє ширшими функціональними можливостями.
Протокол керуючих повідомлень ІСМР використовується хостами і маршрутизаторами для обміну між собою керуючою інформацією про неполадки в роботі апаратно-програмного забезпечення мережі. Якщо ІР-протокол не може знайти шляху до адресату, то протокол ІСМР формує відповідне повідомленнями про помилку (наприклад, «мережа призначення недоступна»). Ці повідомлення можуть передаватися додаткам прикладного рівня, які ініціювали запити (Telnet-, FTP- або НТТР-додаткам).
Ми розглянули найбільш поширені протоколи стеку ТСРІР. Слід зауважити, що стандарти Інтернету постійно оновлюються і розширюються.
7.2.2. Мережеві додатки
До найбільш важливих мережевих додатків, які відповідають за обмін інформацією між комп’ютерами мережі, можна віднести:
Текстові додатки, які забезпечують обмін текстовою та графічною інформацією між віддаленими комп’ютерами (початок 1980-их років);
Додатки електронної пошти, які забезпечують обмін текстовою та графічною інформацією між абонентами комп’ютерної мережі (кінець 1980-их років);
Web-додатки, які забезпечують пошук і пересилку потрібної текстової, графічної та аудіо-відео інформації (початок 1990-их років);
Мультимедіа-додатки (з середини 1990-их років):
Записаного потокового аудіо та відео;
Потокового аудіо і відео реального часу;
Інтерактивного аудіо і відео реального часу, в т.ч. ІР-телефонії та відео конференцій (кінець1990-их років).
Текстові додатки, які забезпечують передавання файлів (в т.ч. і графіки) використовують, в основному, протокол прикладного рівня FTP, а також протоколи TFTP, HTTP і SMTP.
Додатки електронної пошти використовують протокол передавання поштової інформації SMTP та протоколи доставки електронної пошти POP3 та ІМАР.
Крім протоколів прикладного рівня, які регламентують порядок обміну повідомленнями між файловими серверами і клієнтами, ці додатки використовують також поштові сервери з поштовими скриньками користувачів, протоколи, які описують структуру електронних листів, програми для їх створення і проглядання та ін. Останнім часом для доступу до своїх електронних поштових ящиків користувачі все частіше використовують web-браузери.
Web-додатки забезпечують пошук і пересилку потрібної інформації у всесвітній павутині (World Wide Web, WWW, web), яка появилася на початку 1990-х років. WWW являє собою розміщену на Web-серверах мережі Internet величезну за обсягом текстову, графічну, аудіо та мультимедійну інформацію. Важливою особливістю цієї інформації є простота доступу до неї та її активація по запиту клієнта. Спеціальні програмні засоби гіперпересилок та пошуку дозволяють користувачам Internet оперативно отримувати потрібну їм інформацію.
Доступ до інформації, розміщеної на web-сайтах здійснюється з допомогою програм-клієнтів (браузерів) і програм-серверів (web-серверів), які використовують при цьому протокол гіпертексту НТТР прикладного рівня стеку ТСР/ІР. До числа найбільш популярних браузерів відносяться Netscape Navigator, Mikrosoft Internet Explorer і Opera, web-серверів - Apache та Mikrosoft Internet Information Server. Слід зауважити, що крім використання у Web-додатках протокол передавання гіпертекстової інформації НТТР використовується також для безпосереднього передавання банківської інформації (XML-файлів), для організації однорангового файлового обміну та для передавання потокової уадіо та відео-інформації.
Текстові додатки, додатки електронної пошти і web-додатки є нечутливими (еластичними) до затримки в часі повідомлень, і чутливими (жорсткими) до втрати даних.
Мультимедіа-додатки забезпечують передавання інформації синхронно з процесом її утворення. Вони є чутливими до затримки передавання повідомлень по мережі і толерантні до втрати даних.
Додатки записаного потокового аудіо та відео використовують браузери і web-сервери на основі протоколу НТТР в сокупності з спеціальними програмами. Web-сервер, отримавши запит, посилає в сокет клієнта стиснені аудіо- і відео-файли, використовуючи при цьому ТСР- або UDP-з’єднання. Спеціальна програма (мультимедійний програвач) на основі потокового протоколу реального часу RTSP після поступлення перших фрагментів файлу з невеликою часовою затримкою починає його відтворення. Мультимедійний програвач має вбудований графічний інтерфейс, який дозволяє користувачу керувати процесом відтворення звуку і зображення.
Розподілені програми на основі протоколу реального часу RTR забезпечують роботу потокових і інтерактивних мультимедіа-додатків реального часу. Вони передбачають адитивну затримку відтворення та відновлення втрачених пакетів, для чого застосовують їх нумерацію та мітки часу. В парі з протоколом RTR часто використовують протокол RTCP (керуючий протокол RTR), який збирає дані про втрачені пакети та визначає джитер пакетів.
Додатки інтерактивного аудіо і відео реального часу використовують протоколи SIP і Н.323. Розподілені програми на основі протоколу ініціювання сеансу SIP встановлюють зв’язок по ІР-мережі, забезпечують ІР-телефонію, проводять кодування мультимедійних даних, визначають ІР-адреси абонентів, під’єднують до сеансу нових учасників. Додатки на основі набору протоколів Н.323 забезпечують проведення мультимедійних конференцій. Вони забезпечують реєстрацію нових учасників, сигналізують про їх під’єднання до сеансу, керування допуском, транспортування і кодування потоку даних реального часу.
Крім названих стандартизованих протоколів мультимедіа додатки реального часу використовують фірмові протоколи прикладного рівня (наприклад Real Networks, Dialpad та ін.). На сьогодні існує велике число фірмових програмних продуктів, які забезпечують інтерактивний відеозв’язок через Internet в реальному часі, одним з найпоширеніших з яких є програма NetMeeting корпорації Microsoft.
Web-ресурси надзвичайно багаті і продовжують безперервно збільшуватися. Вони містяться на величезній кількості первинних (джерельних) серверів об’єктів, розкиданих по цілому світу.
Протокол НТТР забезпечує доступ до цих ресурсів незалежно від того за скільки тисяч кілометрів від клієнта знаходиться віддалений сервер і скільки інтернет-провайдерів прийдеться пройти запиту. Однак час доступу до потрібного ресурсу може бути суттєво великим (перевантаженість проміжних мереж, використання в них низькошвидкісних ліній, перевантаженість Web-сервера і т.п.). Для зменшення цих затримок в Інтернеті використовують різні способи розподілення ресурсів, які умовно діляться на три групи:
web-кешування;
мережі розподілення ресурсів (CDN-технологія);
однорангове розподілення файлів.
Web-кешування передбачає використання проміжних серверів, які виконують запити від імені первинних серверів. Кеш-сервери можуть встановлюватися як Інтернет-провайдерами, так і в корпоративних мережах. Такий кеш-сервер при отриманні запиту спочатку шукає потрібний ресурс в своїй пам’яті, а не знайшовши його, звертається до первинного сервера. Після отримання ресурсу відправляє його клієнту і зберігає в своїй памяті його копію. Декілька територіально розподілених кеш-серверів можуть об’єднуватися і функціонувати сумісно.
CDN-технологія передбачає локальне встановлення постачальником ресурсів багатьох проміжних cdn-серверів (сотень) в різних географічних точках. Використання спеціальних алгоритмів обробки запитів
і пошуку об’єкта забезпечує мінімальний час отримання клієнтом потрібних ресурсів.
Технологія однорангового розподілення ресурісв (Р2Р) забезпечує безпосередній обмін об’єктами між кінцевими системами, якими можуть бути персональні комп’ютри, під’єднані до мережі Інтернет. При цьому для пошуку необхідних ресурсів Р2Р-система може використовувати як децентралізований, так і централізований каталоги, або систему запитів на потрібний ресурс.
Важливу роль у забезпеченні передавання пакетів в об’єднаній мережі відіграють вторинні служби, які використовуються названими вище службами. Серед таких служб особливе місце займають служби
відображення адрес.
Стек протоколів ТСР/ІР дозволяє використовувати три типи адрес:
символьні (текстові) доменні імена (імена хостів) - на прикладному рівні;
числові ієрархічні адреси (ІР-адреси) - на мережевому рівні;
локальні адреси хостів (адаптерів) - на канальному рівні (локальні адреси хостів
ще називають фізичними, апаратними, LAN-, Ethernet-, та
МАС-адресами).
Символьне ім'я абонента в пакеті, сформованому на прикладному рівні при його передаванні на нижчі рівні замінюється на числову адресу. Відповідність між доменними символьними іменами і ІР-адресами встановлюється протоколом DNS, який зазвичай використовується протоколом НТТР, SMTP або FTP. Відображення адрес може реалізовуватися як службами локального комп’ютера, так і засобами централізованої служби DNS, яка функціонує на прикладному рівні, використовує протокол типу "клієнт-сервер" і є характерною для великих об’єднаних мереж. При цьому виділені DNS-сервери підтримують розподілену базу відображень, а DNS- клієнти звертаються до серверів з запитами на відображення доменного імені на ІР-адресу. Служба DNS об’єднаної мережі побудована по ієрархічному принципу. При цьому кожний сервер DNS зберігає таблиці відображення імен свого домена і посилання на DNS-сервери своїх піддоменів.
Існує дві схеми пошуку ІР-адрес за заданими символьними іменами: рекурсивна (дотична) та ітеративна (нерекурсивна). При рекурсивній схемі DNS-сервер отримавши запит від DNS-клієнта відсилає йому відповідну ІР-адресу, знайшовши її в своїх таблицях відображень, або звертається до інших серверів із запитами цієї адреси. DNS-клієнт в цьому випадку знаходиться в стані очікування поки не отримає ІР-адреси. При ітеративній схемі DNS-сервер, не знайшовши в своїй таблиці відображення отриманого в запиті доменного імені, посилає DNS-клієнту ІР-адресу іншого DNS-сервера, до якого клієнт повинен звернутися з відповідним запитом. Таким чином, DNS-клієнт звертається із запитами до вказаних йому серверів до тих пір, поки не отримає відображення потрібного йому доменного імені в його ІР-адресу.
Встановлення відповідності між ІР- і локальними адресами здійснюється протоколом дозволу адрес ARP на основі аналізу ARP-таблиць. ARP-таблиці місять дані про відповідність ІР-адрес вузлів мережі їх локальним адресам з позначенням типу запису - динамічний чи статичний запис. Статичні записи виконуються адміністратором мережі шляхом використання утиліти arp і встановлюються на час ввімкнення комп’ютера. Динамічні записи будуються ARP-протоколом канального рівня шляхом посилання в мережу широкомовних запитів. Динамічні записи на відміну від статичних мають
обмежений термін життя (декілька хвилин).
Перед відправленням ІР-пакету
адресату протокол ІР визначає, в якій мережі (внутрішній чи зовнішній) знаходиться адресат. Якщо адресат знаходиться у внутрішній мережі, то ARP-протокол шукає його локальну адресу у своїх таблицях. При відсутності інформації про отримувача пакету в таблиці ARP-протокол посилає в мережу широкомовний запит, вказуючи в ньому ІР-адресу адресата та
свої ІР- та локальну- адреси. Кожний
вузол внутрішньої мережі приймає цей запит і порівнює ІР-адресу адресата зі своєю ІР-адресою. Якщо ці адреси співпадають, то вузол заносить в свою ARP-таблицю ІР-адресу відправника пакету та його локальну адресу і посилає у відповідь свою локальну адресу. Отримавши відповідь, ARP-протокол робить відповідний запис у своїй arp-таблиці. Після цього відправник вставляє в пакет локальну адресу отримувача (у локальній мережі це буде МАС-адреса) і відправляє пакет в мережу.
Якщо ІР-протокол визначить, що адресат знаходиться у зовнішній мережі, то пакет посилається маршрутизатору (шлюзу по замовчуванню), локальна адреса якого шукається описаним вище способом. Маршрутизатор у свою чергу визначає, наступній чи віддаленій мережі належить адресат. Якщо наступній, то він за ARP-таблицями визначає його локальну адресу, а якщо віддаленій - та за таблицею маршрутизації шукає наступний шлюз. Потім пакет відправляється наступному отримувачу у цьому ланцюжку.
В об’єднаних мережах інколи для розміщення ARP-таблиць використовують виділені маршрутизатори, які називають ARP-серверами. При посилання ІР-пакету вузли об’єднаної мережі для відображення ІР-адреси в локальну адресу звертаються з відповідними запитами до ARP-серверів.
Окрім служб, які забезпечують виконання задач користувача, в комп’ютерних мережах використовуються також служби адміністрування. Служби адміністрування призначені для організації роботи мережі в цілому (створення бази даних користувачів, встановлення їх пріоритетів, паролів, моніторинг хостів і мережевого трафіку і т.д.) і реалізовуються, в основному, утилітами та відповідними системними командами мережевої операційної системи.
Головним показником якості служб є їх зручність і забезпечення прозорості доступу до мережевих ресурсів. Під прозорим доступом розуміють такий доступ до мережевих ресурсів, при якому користувач не зауважує, на якому комп’ютері міститься потрібний ресурс – його чи віддаленому.
7.3. Загальні питання безпеки корпоративних комп’ютерних мереж
В захищених комп’ютерних мережах є обов’язковим забезпечення виконання таких вимог:
Конфіденційність;
Аутентифікація;
Цілісність повідомлень;
Керування доступом.
Конфіденційність передбачає, що тільки відправник і отримувач пакету здатні зрозуміти зміст повідомлень, які передаються по мережі. Одним з найбільш вживаних способів забезпечення конфіденційності повідомлень є їх шифруванням і дешифруванням з використанням одного або декількох ключів. Розрядність ключа визначає число можливих комбінацій, які можуть бути використані для шифрування одного символа текстової інформації.
В сучасних мережах можуть використовуватися симетричні, відкриті та особисті ключі, моноалфавітні та поліалфавітні шифри, одинарне, подвійне та потрійне шифрування. З середини 90-их років для шифрування і дешифрування несекретних повідомлень почали використовувати стандарт DES. Шифр DES кодує 64-розрядні блоки повідомлення за допомогою 64-розрядного ключа. Шифр 3DES повідомлення кодує тричі з використання трьох різних ключів. З 2001 року в КМ почали використовувати покращений стандарт шифрування AES, який опрацьовує дані 128-розрядними блоками з ключами довжиною 198, 192 і 256 біт.
Аутентифікація - це здатність відправника і отримувача повідомлення підтвердити особистість один одного. В сучасних комп’ютерних мережах підтвердження особистості учасників сеансу зв’язку здійснюється з допомогою спеціальних протоколів аутентифікації, які запускаються перед процесом обміну даними. Протоколи аутентифікації, які використовуються в КМ передбачають використання імені автора повідомлення, його ІР-адреси, пароля або ПІН-кода, зашифрованого пароля, періодичного зміни пароля і т.д.
Цілісність повідомлень передбачає забезпечення незмінності (випадкової чи навмисної) повідомлення при його пересиланні по мережі. Одним з найбільш надійних і розповсюджених засобів забезпечення цілісності повідомлень є використання цифрового підпису. Цифровий підпис - це спеціальний криптографічний метод опрацювання повідомлення, який відповідає таким вимогам:
можливість перевірки;
неможливість підробки;
неможливість заперечити.
Тобто, цифровий підпис повинен довести, що повідомлення зашифроване дійсно тим, хто його послав, що ніхто інший послати його не міг і що відмовитися від свого підпису він не може.
При використанні цифрового підпису проведення трудомісткого процесу ширування цілого повідомлення не є обов’язковим. Генерування цифрового підпису часто виконують шляхом обчислення дайджесту (характерного блоку обмеженої довжини) повідомлення з допомогою хеш-функцій з його наступним шифруванням за допомогою особистого ключа замовника. При цьому в мережу посилається незашифрований текст повідомлення з його зашифрованим дайджестом.
Керування доступом забезпечує захист мережі від зовнішнього несанкціонованого доступу і доступ до мережевих ресурсів тільки тим користувачам, які мають на це право і здійснюють це відповідним чином.
Захист ІР-мереж від несанкціонованого доступу здійснюється з допомогою брандмауерів (шлюзів захисту). Брандмауер - це апаратно-програмний засіб, призначений для захисту корпоративної мережі від несанкціонованого доступу і контролю виходу з неї в інші мережі, в т.ч. мережі Internet.
Розрізняють наступні типи брандмауерів:
Фільтри пакетів;
Лінійні шлюзи;
Шлюзи додатків;
Комбіновані брандмауери.
Фільтрація пакетів здійснюється на основі аналізу заголовка ІР-пакету:
адреси отримувача і відправника пакету, номера протоколу (порта) прикладного рівня, списку пріоритетів та привілеїв та ін. Фільтрацію вхідних і вихідних пакетів корпоративної ІР-мережі виконують протоколи мережевого рівня маршрутизатора, або рroxy-сервера.
Лінійні шлюзи призначені для захисту згенерованих внутрішніми користувачами зовнішніх запитів, а також внутрішніх ресурсів мережі від несанкціонованого зовнішнього доступу. Найбільш поширеним прикладом лінійного шлюзу є proxy-сервер, який перехоплює всі запити від хостів, згенеровані ТСР або UDP-протоколом і посилає їх у зовнішню мережу від свого імені. При цьому у зовнішнє середовище не попадають адреси хостів захищеної мережі. Приклад побудови брандмауера на базі прокси-сервера наведений на рис.7.1.
Шлюзи додатків призначені для захисту від несанкціонованого доступу окремих комп’ютерів корпоративної мережі. Це спеціальні програми прикладного рівня, які реєструють всю вхідну та вихідну інформацію комп’ютера та проводять її аналіз за певними критеріями (ознаками). Найбільш відомими шлюзами додатків є антивірусні програми
Комбіновані брандмауери використовують комбіновані методи захисту, наприклад, фільтри пакетів та лінійні шлюзи, або лінійні шлюзи та шлюзи додатків і т.п. Вони забезпечують вищий рівень захисту ІР-мереж, порівняно з брандмауерами, які використовують тільки один метод захисту.
196.52.0.1 Точка доступу
Switch Ethernet Корпоративні сервери Switch Router
Рис. 7.1. Приклад побудови брандмауера на базі прокси-сервера Proxy server 172.30.0.1 intranet 172.30.0.0 255.255.0.0 брандмауер ADSL Internet
Слід відмітити, що використання брандмауерів не забезпечує 100-відсоткового захисту корпоративних мереж від несанкціонованого доступу і може бути ефективним лише при відносно невисокому фаховому рівні зловмисників.
Мережеві служби безпеки корпоративної мережі можуть функціонувати на різних рівнях стеку комунікаційних протоколів: прикладному, транспортному, мереженому і канальному. Прикладом функціонування служби безпеки на прикладному рівні є система PGP. Ця система є стандартизованою, нараховує декілька версій і забезпечує безпеку електронної пошти. На транспортному рівні можуть функціонувати служби безпеки на основі протоколу SSL i TLS, що забезпечують аутентифікацію клієнта і сервера, проводять процедуру ”рукостискання” учасників сеансу, шифрування і дешифрування повідомлень. Набір протоколів мереженого рівня ІРsek забезпечує аутентифікацію відправника пакету, конфіденційність повідомлень і контроль цілісності даних.
Стандарт ІЕЕЕ 802.16 ("Wi-Max") використовує на канальному рівні протокол WEP, який забезпечує аутентифікацію учасників обміну повідомленнями та конфіденційність даних шляхом їх шифрування із застосуванням симетричного 128-и розрядного ключа.
7.4. Загальні питання адміністрування корпоративних мереж
Метою мережевого адміністрування є забезпечення належної якості мережевих послуг, які за доступними цінами надаються користувачам.
Міжнародна організація з стандартизації ISO визначила такі види мережевого адміністрування:
контроль несправностей;
контроль продуктивності;
керування конфігурацією;
керування обліковими записами;
керування безпекою.
Система адміністрування мережі охоплює три основних компоненти:
мережевий адміністратор;
керуючі засоби: протоколи керування мережею, мережеві додатки, база керуючої інформації МІВ;
керовані об'єкти: апаратно-програмні компоненти мережі.
Адміністратор аналізує стан мережі, проводить її моніторинг, контролює і керує параметрами апаратно-програмних компонентів, виконує аналіз мережевого трафіку. Він здійснює статичні записи в таблицях адресації комутаторів, маршрутних таблицях хостів і маршрутизаторів, виділяє статичні ІР-адреси вузлам мережі, визначає ІР-адресу шлюзу за замовчуванням. Впроваджує заходи, направлені на підвищення безпеки мережі. До його функцій входять реєстрація користувачів, встановлення їх пріоритетів, паролів та забезпечення їм доступу
до мережевих ресурсів.
Здійснюючи керування мережею адміністратор за допомогою спеціальних керуючих засобів виконує:
моніторинг хостів;
контроль стану інтерфейсних карт хостів і маршрутизаторів;
контроль частоти зміни записів в таблицях маршрутизації (часті зміни можуть свідчити про нестабільність маршрутів або неправильне налаштування маршрутизаторів);
моніторинг мережевого трафіку з метою його оптимізації та запобіганню перевантажень магістральних сегментів;
моніторинг рівнів обслуговування з метою забезпечення необхідної продуктивості мережі;
контроль несанкціонованого доступу.
До керуючих засобів, з допомогою яких адміністратор слідкує за станом мережі, контролює і управляє параметрами її апаратно-програмних компонентів відносяться служби мереженого адміністрування, спеціальні утиліти та команди ОС. Служби мереженого адміністрування, які відносяться до основних керуючих засобів, реалізуються відповідними додатками і для обміну інформацією з керованими об’єктами використовують протоколи мережевого керування.
Завдяки протоколам мережевого керування адміністратор може керувати мережею (здійснювати опитування, тестування, конфігурування, аналіз та контроль стану її компонентів). Використовуючи протоколи мережевого управління, керуючі додатки збирають інформацію про стан керованих об'єктів та через своїх агентів (програми-сервери) на цих об'єктах задають параметри їх налаштування. Агенти у свою чергу можуть використовути протоколи мережевого управління для передавання інформації про аварійну ситуацію на керованому об'єкті.
Серед протоколів мережевого управління найбільшого розповсюдження здобув простий протокол мережевого адміністрування
(Simpl Network Management Protocol). Протокол SNMP призначений для передавання даних і команд між керуючим засобом і його агентом, який працює на керованому мережевому пристрої. Для керування мережею використовується три версії простого протоколу мережевого адміністрування : SNMP, SNMPv2 і SNMPv3. Кожна наступна версія протоколу порівняно з попередньою володіє ширшими функціональними можливостями.
До керованих мережевих об'єктів відносяться ті вузли мережі, які містить агенти керуючих мережевих додатів. Керування мережевими об'єктами здійснюється шляхом налаштування параметрів їх апаратного та програмного забезпечення. Керованим апаратним об'єктом може бути як мережевий пристрій, так і його блок, наприклад, хост або його мережевий адаптер, маршрутизатор, комутатор, принтер і т.п. На керованих об’єктах використовується спеціальна база керуючої інформації МІВ (Management Information Base), яка містить як характеристики апаратно-програмних засобів, так і значення параметрів, які відображають стан цих обєктів. Задаючи з допомогою керуючих додатків значення параметрів керованих об’єктів у базі керуючої інформації, адміністратор змінює стан віддалених апаратно-програмних засобів, а також стан мережі в цілому.
МІВ інтерпретується як віртуальне середовище керованих об’єктів, значення яких відображає текучий стан мережі. Ці значення запитуються і задаються керуючими об’єктами за допомогою SNMP-повідомлень, які посилаються агентам, що працюють на керованому об’єкті від імені керуючого об’єкту. При цьому протокол SNMP працює в режимі "запит-відповідь", при якому адміністратор посилає запит SNMP-агенту, який отримавши запит, виконує певні дії і посилає відповідь на запит. Як правило, запит необхідний для того, щоб отримати або задати МІВ-об’єкту значення параметрів, пов’язаних з керованим об’єктом. Крім цього, протокол може використовуватися агентом для відправки керуючому об’єкту інформації, яка характеризує стан керованого об’єкту. SNMP-повідомлення посилаються в мережу, як правило, з допомогою протоколу UDP.
Як випливає з вище викладеного, SNMP-повідомлення використовуються як для моніторингу, так і для контролю за станом мережевих елементів. Зловмисник, аналізуючи ці повідомлення, а також генеруючи свої SNMP-запити може завдати комп’ютерній мережі значної шкоди.
Протокол SNMPv3 порівняно з своїми попередніми версіями володіє додатковими можливостями в області адміністрування і безпеки комп’ютерних мереж. Він забезпечує шифрацію SNMP-повідомлень, аутентифікацію відправника повідомлень, захист від повторного відтворення раніше отриманих повідомлень, а також контроль доступу до мережевих ресурсів.
7.6. Загальні питання проектування корпоративних комп'ютерних мереж
Допустимо, що для виконання проектних робіт по розробці корпоративної комп'ютерної
мережі організації (навчального закладу, проектного інституту, банку, виробничого підприємства, заводу та інш.) необхідно:
Розробити структуру корпоративної комп'ютерної мережі, до складу якої входить локальна мережа центральної дирекції та локальні мережі географічно віддалених філій;
Розробити схему локальної мережі головного корпусу центральної дирекції та передбачити її зв'язок з
іншими будинками та філіями.
Вибрати та обгрунтувати технології для побудови мережі кампусу головного підрозділу (Ethernet, Fast Ethernet, Gigabit Ethernet, Token Ring, FDDI та ін.);
Вибрати та обгрунтувати мережу доступу до віддалених філій (ISDN, X.25, xDSL та ін.);
Обгрунтувати вибір для локальної мережі головного корпусу необхідного комунікаційного обладнання, мережевої операційної системи та стеку комунікаційних протоколів;
Провести структуризацію мережі центральної дирекції шляхом розбиття її на підмережі, визначити маску та унікальні ідентифікатори підмереж, ідентифікатори хостів в підмережах;
Виконати налаштування (необхідні записи в ТМ) центрального маршрутизатора мережі;
Розробити структуровану кабельну систему головного будинку кампусу центрального підрозділу;
Визначити основні характеристики мережі передавання даних.
Розроблена мережа повинна забезпечити:
передавання комп'ютерного та мультимедійного трафіку;
доступ до розподілених інформаційних, програмних та технічних ресурсів;
проведення аудіо- та відеоконференцій;
використання корпоративних та публічних Web-, FTP- і E-mail-серверів;
вихід у мережу Internet;
захист від несанкціонованого доступу.
Один з можливих варіантів спроектованої ККМ приведений на рис. 7.2.
На приведеній схемі мережа ЦД містить підмережі головного корпусу (І), двох будинків (ІІ, ІІІ) та однієї філії (ІY). Розбиття мережі ЦД на підмережі проведено з допомогою маршрутизатора R2. При цьому для побудови розподілених сегментів головного корпусу виробничого відділу використана технологія Fast Ethernet, відділу 2 (бухгалтерія, планово-фінансового відділ та відділ кадрів) - Ethernet, а відділу 3 - технологія ІЕЕЕ 802.11. Безпровідна технологія 802.11 забезпечує багатоточкове зє'днання у зоні прямої видимості до 300 м, з'єднання типу точка-багато точок при використанні антенних підсилювачів - до декількох кілометрів, та з'єднання типу точка- точок при використанні направлених антен і антенних підсилювачів - до декількох десятків кілометрів.
Для зв'язку з філією передбачено використання регіональної глобальної мережі, побудованої за цифровою технологією інтегральних послуг ISDN, яка забезпечує передавання як комп'ютерних, так і аудіо- та відео- даних. Для виходу в мережу Internet використовується асинхронна цифрова абонентська лінія ADSL, модем якої вбудований в порт маршрутизатора R1, мережевий адаптер другого порта якого з'єднаний з портом 100 Base-TX комутатора S1. До комутатора S1 під'єднані публічні сервери мережі, до яких мають доступ зовнішні користувачі. Для організації захисту корпоративної мережі від несанкціонованого доступу зі сторони зовнішніх користувачів використовується прокси-сервер, на якому організований комбінований брандмауер у вигляді лінійних шлюзів та фільтрів пакетів.
Для забезпечення доступу користувачів корпоративної мережі до ресурсів мережі Internet використовують ІР-адреси з ідентифікатором 196.52.0.16 та маскою 255.255.0.0. Для вузлів мережі, до яких дозволений доступ зі сторони Internet, використано статичне присвоєння ІР-адрес.
Для адресації вузлів захищеної частини мережі використовуєтьcя пул intranet-адрес з префіксом 172.30.0.0 та маскою 255.255.0.0. При цьому для присвоєння ІР-адрес використовуєть протокол типу клієнт-сервер динамічного присвоєння адрес DHCP. Для підсилення захисту від несанкціонованого доступу на кожному сервері та робочій станції мережі використовуються шлюзи додатків.
На схемі не проведено розбиття пулу інтранет-адрес між підмережами, виділення їм ідентифікаторів, масок, визначення поля ІР-адрес хостів та налаштування маршрутизаторів.
Березюк Б.М. Комп’ютерні мережі: Конспект лекцій для напрямів підготовки БІ, ЗІ та УІ. - 2009 р.
Відділ 2 (бухгалтерія, відділ кадрів, планово-фінансовий ) Відділ 3 (конференц зала) 196.52.0.22 EMBED Visio.Drawing.6
EMBED Visio.Drawing.6
Switch Switchh Switch Fast Ethernet Відділ 1 (виробничий) Точка доступу
hab
hab
Switch Ethernet Корпоративні сервери Switch Router 2 Router 1 Internet ADSL Switch Буд.2 ISDN Філія Рис. 7.2. Приклад комп’ютерної мережі головного корпусу центральної дирекції корпорації Proxy server 196.52.0.16 255.255.255.240 196.52.0.17 196.52.0.18 196.52.0.19 196.52.0.20 196.52.0.21 172.30.0.1 intranet 172.30.0.0 255.255.0.0 Публічні сервери Буд.3
Антиботан аватар за замовчуванням

01.01.1970 03:01

Коментарі

Ви не можете залишити коментар. Для цього, будь ласка, увійдіть або зареєструйтесь.

Оголошення від адміністратора

Антиботан аватар за замовчуванням

пропонує роботу

Admin

26.02.2019 12:38

Привіт усім учасникам нашого порталу! Хороші новини - з‘явилась можливість кожному заробити на своїх знаннях та вміннях. Тепер Ви можете продавати свої роботи на сайті заробляючи кошти, рейтинг і довіру користувачів. Потрібно завантажити роботу, вказати ціну і додати один інформативний скріншот з деякими частинами виконаних завдань. Навіть одна якісна і всім необхідна робота може продатися сотні разів. «Головою заробляти» продуктивніше ніж руками! :-)

Завантаження файлу

Якщо Ви маєте на своєму комп'ютері файли, пов'язані з навчанням( розрахункові, лабораторні, практичні, контрольні роботи та інше...), і Вам не шкода ними поділитись - то скористайтесь формою для завантаження файлу, попередньо заархівувавши все в архів .rar або .zip розміром до 100мб, і до нього невдовзі отримають доступ студенти всієї України! Ви отримаєте грошову винагороду в кінці місяця, якщо станете одним з трьох переможців!
Стань активним учасником руху antibotan!
Поділись актуальною інформацією,
і отримай привілеї у користуванні архівом! Детальніше

Новини