Зміст
Вступ
1. Аналіз організаціїпередачі даних по каналах комп’ютерних мереж
1.1 Аналіз фізичноїорганізації передачі даних
1.1.1 Топологія фізичнихзв'язків
1.1.2 Організаціясумісного використання ліній зв'язку
1.2 Структуризаціяканалів як засіб побудови великих мереж
1.2.1 Фізичнаструктуризація мережі
1.2.2 Логічнаструктуризація мережі
1.3 Висновок
2. Фізична сутність тапорядок організації каналів комп’ютерних мереж
2.1 Структурованакабельна система комп’ютерної мережі
2.2 Кабель кручена пара
2.3 Коаксіальний кабель
2.4 Оптоволоконний кабель
2.5 Висновок
3. Сутність існуючихметодів доступу до каналів комп’ютерних мереж
3.1 Метод доступу доканалів комп’ютерних мереж з перевіркою несучої та виявленням колізій CSMA/CD
3.2 Методи подоланняколізій
3.3 Метод маркерногодоступу в локальних мережах з різною топологією
3.4 Висновок
4. Засоби здійсненняавторизації доступу до каналів комп’ютерних мереж
4.1 Місце процесівавторизації доступу при організації інформаційних систем на основі комп’ютернихмереж
4.2 Настройка мережевихслужб для здійснення авторизації доступу до мережі Інтернет
4.2.1 Авторизація наоснові логіна і пароля
4.2.2 Авторизація черезоблікові записи Windows
4.2.3 Практичне вирішенняпобудови системи авторизації через Windows домен
4.3 Практичнірекомендації щодо забезпечення доступу до каналів комп’ютерної мережіпідприємства
4.3.1 Авторизація доступуна фізичному рівні організації комп’ютерних мереж
4.3.2 Авторизація доступуна канальному рівні організації комп’ютерних мереж
4.3.3 Авторизація доступуна мережевому рівні організації комп’ютерних мереж
4.3.4 Авторизація доступуна транспортному рівні організації комп’ютерних мереж
4.4 Висновок
Висновки
Вступ
Тількив мережі з повнозв’язною топологією для з'єднання кожної пари комп'ютерів єокремий канал. У решті випадків неминуче виникає питання про те, якорганізувати сумісне використання каналів комп’ютерних мереж кількомакомп'ютерами мережі. Як завжди при розділенні ресурсів, головною метою тут єздешевлення мережі.
Укомп’ютерних мережах використовують як індивідуальні лінії зв'язку міжкомп'ютерами, так загальні поділювані (shared) лінії, коли одна лінія зв'язкупочергово використовується кількома комп'ютерами. У разі застосуванняподілюваних ліній зв'язку (часто використовується також термін поділюванесередовище передачі даних – shared media) виникає комплекс проблем, пов'язанихз їх сумісним використанням, який включає як чисто електричні проблемизабезпечення потрібної якості сигналів при підключенні до одного і того ж дротукількох приймачів і передавачів, так і логічні проблеми розділення в часідоступу до цих ліній.
Класичнимприкладом мережі з поділюваними лініями зв'язку є мережі з топологією «загальнашина», в яких один кабель спільно використовується всіма комп'ютерами мережі.Жоден з комп'ютерів мережі у принципі не може індивідуально, незалежно від всіхінших комп'ютерів мережі, використовувати кабель, оскільки при одночаснійпередачі даних відразу декількома вузлами сигнали змішуються і спотворюються. Утокологіях «кільце» або «зірка» індивідуальне використання ліній зв'язку, щосполучають комп'ютери, принципово можливе, але ці кабелі часто також розглядаютьяк поділюваний ресурс мережі для всіх комп'ютерів, так що, наприклад, тількиодин комп'ютер кільця має право в даний момент часу відправляти по кільцюпакети іншим комп'ютерам.
Існуютьрізні способи рішення задачі організації доступу до каналів комп’ютерних мереж.Усередині комп'ютера проблеми розділення ліній зв'язку між різними модулямитакож існують – прикладом є доступ до системної шини, яким управляє абопроцесор, або спеціальний арбітр шини. У мережах організація сумісного доступудо ліній зв'язку має свою специфіку через істотно більший час розповсюдженнясигналів по довгих лініях, до того ж цей час для різних пар комп'ютерів можебути різним. Через це процедури узгодження доступу до лінії зв'язку можутьзаймати дуже великий проміжок часу і приводити до значних втрат продуктивностімережі.
Недивлячись на всі ці складнощі, в локальних мережах поділювані лінії зв'язкувикористовуються дуже часто. Цей підхід, зокрема, реалізований в широкопоширених класичних технологіях Ethernet і Token Ring. Проте останніми рокаминамітилася тенденція відмови від середовищ передачі даних, що розділяються, і влокальних мережах. Це пов'язано з тим, що за здешевлення мережі, що досягаєтьсятаким чином, доводиться розплачуватися продуктивністю.
Мережаз поділюваним середовищем при великій кількості вузлів працюватиме завждиповільніше, ніж аналогічна мережа з індивідуальними лініями зв'язку, оскількипропускна спроможність каналу одному комп'ютеру, а при її сумісномувикористанні – ділиться на всі комп'ютери мережі.
Частоз такою втратою продуктивності миряться ради збільшення економічноїефективності мережі. Не тільки у класичних, але і в зовсім нових технологіях,розроблених для локальних мереж, зберігається режим поділюваних ліній зв'язку.Наприклад, розробники технології Gigabit Ethernet, прийнятої в 1998 році якновий стандарт, включили режим розділення передавального середовища в своїспецифікації разом з режимом роботи по індивідуальних лініях зв'язку.
Привикористанні індивідуальних каналів зв'язку в повнозв'язних топологіях кінцевівузли повинні мати по одному порту на кожну лінію зв'язку. У зіркоподібнихтопологіях кінцеві вузли можуть підключатися індивідуальними лініями зв'язку доспеціального пристрою – комутатору. У глобальних мережах комутаторивикористовувалися вже на початковому етапі, а в локальних мережах – з початку90-х років. Комутатори приводять до подорожчання локальної мережі, тому поки їхзастосування обмежене, але по мірі зниження вартості комутації цей підхід,можливо, витіснить застосування поділюваних ліній зв'язку. Необхіднопідкреслити, що індивідуальними в таких мережах є тільки лінії зв'язку міжкінцевими вузлами і комутаторами мережі, а зв'язки між комутаторами залишаютьсяподілюваними, оскільки по ним передаються повідомлення різних кінцевих вузлів.
Углобальних мережах відмова від поділюваних ліній зв'язку пояснюється технічнимипричинами. Тут великі часові затримки розповсюдження сигналів принциповообмежують застосовність техніки розділення лінії зв'язку. Комп'ютери можутьвитратити більше часу на переговори про те, кому зараз можна використовуватилінію зв'язку, ніж безпосередньо на передачу даних по цій лінії зв'язку. Протеце не відноситься до каналів зв'язку типу «комутатор-комутатор». В такомувипадку тільки два комутатори борються за доступ до каналу мережі, і це істотноспрощує завдання організації сумісного його використання. Тому питання авторизаціїдоступу до каналів комп’ютерних мереж і досі є вельми актуальним.
Виходячиз цього, метою даної роботи є дослідження засобів здійснення авторизаціїдоступу до каналів комп’ютерних мереж.
Длядосягнення поставленої мети в роботі слід вирішити наступні завдання:
1.Провести класифікацію методів доступу до каналів зв’язку в комп’ютернихмережах.
2.Проаналізувати особливості фізичної організації каналів комп’ютерних мереж.
3.Детально дослідити принципи і суть організації доступу до каналів комп’ютернихмереж з перевіркою несучої.
4. Детальнодослідити принципи і суть організації доступу до каналів комп’ютерних мереж наоснові маркеру.
5. Обґрунтуватитехнічні засоби здійснення авторизації доступу до каналів комп’ютерних мереж.
6.Обґрунтувати місце процесів авторизації доступу при організації інформаційнихсистем на основі комп’ютерних мереж.
7. Здійснитипрактичну настройку мережевих служб для авторизації доступу до мережі Інтернет.
8.Розробити рекомендації щодо забезпечення доступу до каналів комп’ютерної мережіпідприємства.
Розділ1. Аналіз організації передачі даних по каналах комп’ютерних мереж
1.1 Аналізфізичної організації передачі даних
Навітьпри розгляді простої мережі, що складається всього з двох машин, можна побачитибагато проблем, властивих будь-якій обчислювальній мережі, зокрема проблеми,пов'язані з фізичною передачею сигналів по лініях зв'язку, без вирішення якоїнеможливий будь-який вид зв'язку.
Уобчислювальній техніці для представлення даних використовується двійковий код.Усередині комп'ютера одиницям і нулям даних відповідають дискретні електричнісигнали. Представлення даних у вигляді електричних або оптичних сигналівназивається кодуванням. Існують різні способи кодування двійкових цифр 1 і 0,наприклад, потенційний спосіб, при якому одиниці відповідає один рівеньнапруги, а нулю — інший, або імпульсний спосіб, коли для представлення цифрвикористовуються імпульси різною або одній полярності.
Аналогічніпідходи можуть бути використані для кодування даних і при передачі їх між двомакомп'ютерами по лініях зв'язку. Проте ці лінії зв'язку відрізняються по своїхелектричних характеристиках від тих, які існують усередині комп'ютера. Головнавідмінність зовнішніх ліній зв'язку від внутрішніх полягає в їх набагатобільшій протяжності, а також в тому, що вони проходять поза екранованимкорпусом по просторах, часто схильних до дії сильних електромагнітних перешкод.Все це приводить до значно великих спотворень прямокутних імпульсів (наприклад,«заваленню» фронтів), чим усередині комп'ютера. Тому для надійногорозпізнавання імпульсів на приймальному кінці лінії зв'язку при передачі данихусередині і поза комп'ютером не завжди можна використовувати одні і ті жшвидкості і способи кодування. Наприклад, повільне наростання фронту імпульсуіз-за високого ємкісного навантаження лінії вимагає передачі імпульсів з меншоюшвидкістю (щоб передній і задній фронти сусідніх імпульсів не перекривалися іімпульс встиг дорости до необхідного рівня).
Уобчислювальних мережах застосовують як потенційне, так і імпульсне кодуваннядискретних даних, а також специфічний спосіб представлення даних, який ніколине використовується усередині комп'ютера, — модуляцію (рис. 1.1). При модуляціїдискретна інформація представляється синусоїдальним сигналом тієї частоти, якудобре передає наявна лінія зв'язку.
/>
Рис.1.1. Приклади представлення дискретної інформації
Потенційнеабо імпульсне кодування застосовується на каналах високої якості, а модуляціяна основі синусоїдальних сигналів переважно у тому випадку, коли канал вноситьсильні спотворення до передаваних сигналів. Зазвичай модуляція використовуєтьсяв глобальних мережах при передачі даних через аналогові телефонні канализв'язки, які були розроблені для передачі голосу в аналоговій формі і томупогано підходять для безпосередньої передачі імпульсів.
Наспосіб передачі сигналів впливає і кількість проводів в лініях зв'язку міжкомп'ютерами. Для скорочення вартості ліній зв'язку в мережах зазвичай прагнутьдо скорочення кількості проводів і через це використовують не паралельнупередачу всіх біт одного байта або навіть декілька байт, як це робитьсяусередині комп'ютера, а послідовну, побитную передачу, що вимагає всього однієїпари проводів.
Щеоднією проблемою, яку потрібно вирішувати при передачі сигналів, є проблемавзаємної синхронізації передавача одного комп'ютера з приймачем іншого. Приорганізації взаємодії модулів усередині комп'ютера ця проблема вирішується дужепросто, оскільки в цьому випадку всі модулі синхронізуються від загальноготактового генератора. Проблема синхронізації при зв'язку комп'ютерів можевирішуватися різними способами, як за допомогою обміну спеціальними тактовимисинхроімпульсами по окремій лінії, так і за допомогою періодичної синхронізаціїзаздалегідь обумовленими кодами або імпульсами характерної форми, щовідрізняється від форми імпульсів даних.
Недивлячись на заходи, що робляться, — вибір відповідної швидкості обміну даними,ліній зв'язку з певними характеристиками, способу синхронізації приймача іпередавача, — існує вірогідність спотворення деяких біт передаваних даних. Дляпідвищення надійності передачі даних між комп'ютерами часто використовуєтьсястандартний прийом — підрахунок контрольної суми і передача її по лініяхзв'язку після кожного байта або після деякого блоку байтів. Часто в протоколобміну даними включається як обов'язковий елемент сигнал-квитанція, якийпідтверджує правильність прийому даних і посилається від одержувачавідправникові.
Завданнянадійного обміну двійковими сигналами, представленими відповіднимиелектромагнітними сигналами, в обчислювальних мережах вирішує певний класустаткування. У локальних мережах це мережеві адаптери, а в глобальних мережах- апаратура передачі даних, до якої відносяться, наприклад, пристрої, виконуючумодуляцію і демодуляцію дискретних сигналів, — модеми. Це устаткування кодує ідекодує кожен інформаційний біт, синхронізує передачу електромагнітних сигналівпо лініях зв'язку, перевіряє правильність передачі по контрольній сумі і можевиконувати деякі інші операції. Мережеві адаптери розраховані, як правило, нароботу з певним передавальним середовищем — коаксіальним кабелем, витою парою,оптоволокном і тому подібне Кожен тип передавального середовища володіє певнимиелектричними характеристиками, що впливають на спосіб використання даногосередовища, і визначає швидкість передачі сигналів, спосіб їх кодування і деякіінші параметри
1.1.1Топологія фізичних зв'язків
Приоб'єднанні в мережу більшого числа комп'ютерів виникає цілий комплекс новихпроблем.
Насампереднеобхідно вибрати спосіб організації фізичних зв'язків, тобто топологію. Підтопологією обчислювальної мережі розуміється конфігурація графа, вершинам якоговідповідають комп'ютери мережі (іноді і інше устаткування, наприкладконцентратори), а ребрам — фізичні зв'язки між ними. Комп'ютери, підключені домережі, часто називають станціями або вузлами мережі.
Відмітимо,що конфігурація фізичних зв'язків визначається електричними з'єднаннямикомп'ютерів між собою і може відрізнятися від конфігурації логічних зв'язківміж вузлами мережі. Логічними зв'язками є маршрути передачі даних між вузламимережі і утворюються шляхом відповідного налаштування комунікаційногоустаткування.
Вибіртопології електричних зв'язків істотно впливає на багато характеристик мережі.Наприклад, наявність резервних зв'язків підвищує надійність мережі і робитьможливим балансування завантаження окремих каналів. Простота приєднання новихвузлів, властива деяким топологиям, робить мережу легко розширюваною.Економічні міркування часто приводять до вибору топологий, для яких характернамінімальна сумарна довжина ліній зв'язку. Розглянемо деякі, що найчастішезустрічаються топології.
Повнозв'язнатопологія (рис. 1.2, а) відповідає мережі, в якій кожен комп'ютер мережіпов'язаний зі всіма останніми. Не дивлячись на логічну простоту, цей варіантвиявляється громіздким і неефективним. Дійсно, кожен комп'ютер в мережі повиненмати велику кількість комунікаційних портів, достатню для зв'язку з кожним зрешти комп'ютерів мережі. Для кожної пари комп'ютерів має бути виділена окремаелектрична лінія зв'язку. Повнозв'язні топології застосовуються рідко, оскількине задовольняють жодному з приведених вище вимог. Частіше цей вид топологіївикористовується в багатомашинних комплексах або глобальних мережах приневеликій кількості комп'ютерів.
Всіінші варіанти засновані на неполносвязных топологиях, коли для обміну данимиміж двома комп'ютерами може потрібно проміжна передача даних через інші вузлимережі.
Комірчастатопологія (mesh) виходить з повнозв'язної шляхом видалення деяких можливихзв'язків (рис. 1.2, б). У мережі з комірчастою топологією безпосередньозв'язуються тільки ті комп'ютери, між якими відбувається інтенсивний обмінданими, а для обміну даними між комп'ютерами, не сполученими прямими зв'язками,використовуються транзитні передачі через проміжні вузли. Комірчаста топологіядопускає з'єднання великої кількості комп'ютерів і характерна, як правило, дляглобальних мереж.
Загальнашина (рис. 1.2, в) є дуже поширеною (а до недавнього часунайпоширенішою) топологією для локальних мереж. В цьому випадку комп'ютерипідключаються до одного коаксіального кабелю по схемі «монтажного АБО».Передавана інформація може розповсюджуватися в обидві сторони. Застосуваннязагальної шини знижує вартість проводки, уніфікує підключення різних модулів,забезпечує можливість майже миттєвого широкомовного звернення до всіх станціймережі. Таким чином, основними перевагами такої схеми є дешевизна і простотарозводки кабелю по приміщеннях. Найсерйозніший недолік загальної шини полягає вїї низькій надійності: будь-який дефект кабелю або якого-небудь з численних роз'ємівповністю паралізує всю мережу. На жаль, дефект коаксіального роз'єму рідкістюне є. Іншим недоліком загальної шини є її невисока продуктивність, оскільки притакому способі підключення в кожен момент часу тільки один комп'ютер можепередавати дані в мережу. Тому пропускна спроможність каналу зв'язку завждиділиться тут між всіма вузлами мережі.
Топологіязірка (рис. 1.2, г). В цьому випадку кожен комп'ютер підключаєтьсяокремим кабелем до загального пристрою, званого концентратором, якийзнаходиться в центрі мережі. У функції концентратора входить напрям передаванійкомп'ютером інформації одному або решті всіх комп'ютерів мережі. Головнаперевага цієї топології перед загальною шиною — істотно велика надійність.Будь-які неприємності з кабелем стосуються лише того комп'ютера, до якого цейкабель приєднаний, і лише несправність концентратора може вивести з ладу всюмережу. Крім того, концентратор може грати роль інтелектуального фільтруінформації, що поступає від вузлів в мережу, і при необхідності блокуватизаборонені адміністратором передачі.
Донедоліків топології типу зірка відноситься вища вартість мережевогоустаткування із-за необхідності придбання концентратора. Крім того, можливостіпо нарощуванню кількості вузлів в мережі обмежуються кількістю портівконцентратора. Іноді має сенс будувати мережу з використанням декількохконцентраторів, ієрархічно сполучених між собою зв'язками типу зірка (рис. 1.2,д). В даний час ієрархічна зірка є найпоширенішим типом топології зв'язків як влокальних, так і глобальних мережах.
Умережах з кільцевою конфігурацією (рис. 1.2, е) дані передаються по кільцю відодного комп'ютера до іншого, як правило, в одному напрямі. Якщо комп'ютеррозпізнає дані як «свої», то він копіює їх собі у внутрішній буфер. У мережі зкільцевою топологією необхідно приймати спеціальні заходи, щоб у разі виходу зладу або відключення якої-небудь станції не урвався канал зв'язку між рештоюстанцій. Кільце є дуже зручною конфігурацією для організації зворотного зв'язку- дані, зробивши повний оборот, повертаються до вузла-джерела. Тому цей вузолможе контролювати процес доставки даних адресатові. Часто це властивість кільцявикористовується для тестування зв'язності мережі і пошуку вузла, що працюєнекоректно. Для цього в мережу посилаються спеціальні тестові повідомлення.
/>
Рис.1.2. Типові топології мереж
Тодіяк невеликі мережі, як правило, мають типову топологію — зірка, кільце абозагальна шина, для крупних мереж характерна наявність довільних зв'язків міжкомп'ютерами. У таких мережах можна виділити окремі довільно зв'язані фрагменти(підмережі), що мають типову топологію, тому їх називають мережами із змішаноютопологією (рис. 1.3).
/>
Рис.1.3. Змішана топологія
1.1.2Організація сумісного використання ліній зв'язку
Тількиу мережі з повнозв'язною топологією для з'єднання кожної пари комп'ютерів єокрема лінія зв'язку. У решті всіх випадків неминуче виникає питання про те, якорганізувати сумісне використання ліній зв'язку декількома комп'ютерами мережі.Як і завжди при розділенні ресурсів, головною метою тут є здешевлення мережі.
Уобчислювальних мережах використовують як індивідуальні лінії зв'язку міжкомп'ютерами, так і що розділяються (shared), коли одна лінія зв'язкупоперемінно використовується декількома комп'ютерами. У разі застосування лінійзв'язку (часто використовується також термін середовище передачі даних, щорозділяється, — shared media), що розділяються, виникає комплекс проблем,пов'язаних з їх сумісним використанням, який включає як чисто електричніпроблеми забезпечення потрібної якості сигналів при підключенні до одного ітому ж дроту декількох приймачів і передавачів, так і логічні проблемирозділення в часі доступу до цих ліній.
Класичнимприкладом мережі з лініями зв'язку, що розділяються, є мережі з топологією«загальна шина», в яких один кабель спільно використовується всіма комп'ютерамимережі. Жоден з комп'ютерів мережі в принципі не може індивідуально, незалежновід всіх інших комп'ютерів мережі, використовувати кабель, оскільки приодночасній передачі даних відразу декількома вузлами сигнали змішуються іспотворюються. У топологиях «кільце» або «зірка» індивідуальне використанняліній зв'язку, що сполучають комп'ютери, принципово можливо, але ці кабелічасто також розглядають як мережі, що розділяються для всіх комп'ютерів, такщо, наприклад, тільки один комп'ютер кільця має право в даний момент часувідправляти по кільцю пакети іншим комп'ютерам.
Існуютьрізні способи рішення задачі організації сумісного доступу до ліній зв'язку, щорозділяються. Усередині комп'ютера проблеми розділення ліній зв'язку міжрізними модулями також існують — прикладом є доступ до системної шини, якимуправляє або процесор, або спеціальний арбітр шини. У мережах організаціясумісного доступу до ліній зв'язку має свою специфіку із-за істотно більшогочасу розповсюдження сигналів по довгих проводах, до того ж це час для різнихпар комп'ютерів може бути різним. Через це процедури узгодження доступу долінії зв'язку можуть займати дуже великий проміжок часу і приводити до значнихвтрат продуктивності мережі.
Недивлячись на всі ці складнощі, в локальних мережах лінії зв'язку, щорозділяються, використовуються дуже часто. Цей підхід, зокрема, реалізований вшироко поширених класичних технологіях Ethernet і Token Ring. Проте останнімироками намітилася тенденція відмови від середовищ передачі даних, щорозділялися, і в локальних мережах. Це пов'язано з тим, що за здешевленнямережі, що досягається таким чином, доводиться розплачуватися продуктивністю.
Мережаз середовищем, що розділяється, при великій кількості вузлів працюватиме завждиповільніше, ніж аналогічна мережа з індивідуальними лініями зв'язку, оскількипропускна спроможність індивідуальної лінії зв'язку дістається одномукомп'ютеру, а при її сумісному використанні — ділиться на всі комп'ютеримережі.
Частоз такою втратою продуктивності миряться ради збільшення економічноїефективності мережі. Не тільки у класичних, але і в зовсім нових технологіях,розроблених для локальних мереж, зберігається режим ліній зв'язку, щорозділяються. Наприклад, розробники технології Gigabit Ethernet, прийнятої в1998 році як новий стандарт, включили режим розділення передавальногосередовища в свої специфікації разом з режимом роботи по індивідуальних лініяхзв'язку.
Привикористанні індивідуальних ліній зв'язку в повнозв'язних топологиях кінцевівузли повинні мати по одному порту на кожну лінію зв'язку. У зіркоподібнихтопологиях кінцеві вузли можуть підключатися індивідуальними лініями зв'язку доспеціального пристрою — комутатора. У глобальних мережах комутаторивикористовувалися вже на початковому етапі, а в локальних мережах — з початку90-х років. Комутатори приводять до істотного дорожчання локальної мережі, томупоки їх застосування обмежене, але у міру зниження вартості комутації цейпідхід, можливо, витіснить застосування ліній зв'язку, що розділяються.Необхідно підкреслити, що індивідуальними в таких мережах є тільки лініїзв'язку між кінцевими вузлами і комутаторами мережі, а зв'язки між комутаторамизалишаються такими, що розділяються, оскільки по ним передаються повідомленнярізних кінцевих вузлів (рис. 1.4).
/>
Рис.1.4. Індивідуальні лінії зв'язку, що розділяються, в мережах на основікомутаторів
Углобальних мережах відмова від ліній, що розділяються, зв'язку пояснюєтьсятехнічними причинами. Тут великі тимчасові затримки розповсюдження сигналівпринципово обмежують застосовність техніки розділення лінії зв'язку. Комп'ютериможуть витратити більше часу на переговори про той, кому зараз можнавикористовувати лінію зв'язку, чим безпосередньо на передачу даних по цій лініїзв'язку. Проте це не відноситься до ліній зв'язку типу «комутатор — комутатор».В цьому випадку тільки два комутатори борються за доступ до лінії зв'язку, і цеістотно спрощує завдання організації сумісного використання лінії.
1.2Структуризація каналів як засіб побудови великих мереж
Умережах з невеликою (10-30) кількістю комп'ютерів найчастіше використовуєтьсяодна з типових топологий — загальна шина, кільце, зірка або повнозв'язнамережа. Всі перераховані топології володіють властивістю однорідності, тобтовсі комп'ютери в такій мережі мають однакові має рацію відносно доступу доінших комп'ютерів (за винятком центрального комп'ютера при з'єднанні зірка).Така однорідність структури робить простий процедуру нарощування числакомп'ютерів, полегшує обслуговування і експлуатацію мережі.
Протепри побудові великих мереж однорідна структура зв'язків перетворюється зпереваги в недолік. У таких мережах використання типових структур породжуєрізні обмеження, найважливішими з яких є:
· обмеженняна довжину зв'язку між вузлами;
· обмеженняна кількість вузлів в мережі;
· обмеженняна інтенсивність трафіку, що породжується вузлами мережі.
Наприклад,технологія Ethernet на тонкому коаксіальному кабелі дозволяє використовуватикабель завдовжки не більше 185 метрів, до якого можна підключити не більше 30комп'ютерів. Проте, якщо комп'ютери інтенсивно обмінюються інформацією міжсобою, іноді доводиться знижувати число підключених до кабелю комп'ютерів 20, ато і до 10, щоб кожному комп'ютеру діставалася прийнятна частка загальної пропускноїспроможності мережі.
Длязняття цих обмежень використовуються спеціальні методи структуризації мережі іспеціальне структуротворне устаткування — повторители, концентратори, мости,комутатори, маршрутизатори. Устаткування такого роду також називають комунікаційним,маючи на увазі, що за допомогою його окремі сегменти мережі взаємодіють міжсобою.
1.2.1Фізична структуризація мережі
Простез комунікаційних пристроїв — повторитель (repeater) — використовується дляфізичного з'єднання різних сегментів кабелю локальної мережі з метою збільшеннязагальної довжини мережі. Повторітель передає сигнали, що приходять з одногосегменту мережі, в інших її сегменти (рис. 1.5). Повторітель дозволяє подолатиобмеження на довжину ліній зв'язку за рахунок поліпшення якості передаваногосигналу — відновлення його потужності і амплітуди, поліпшення фронтів і томуподібне
/>
Рис.1.5. Повторитель дозволяє збільшити довжину мережі Ethernet
Концентраторихарактерні практично для всіх базових технологій локальних мереж — Ethernet,ArcNet, Token Ring, FDDI, Fast Ethernet, Gigabit Ethernet, l00VG-AnyLAN.
Потрібнопідкреслити, що в роботі концентраторів будь-яких технологій багато загального- вони повторюють сигнали, що прийшли з одного зі своїх портів, на інших своїхпортах. Різниця полягає в тому, на яких саме портах повторюються вхіднісигнали. Так, концентратор Ethernet повторює вхідні сигнали на всіх своїхпортах, крім того, з якого сигнали поступають (рис. 1.6, а). А концентраторToken Ring (рис. 1.6, б) повторює вхідні сигнали, що поступають з деякогопорту, тільки на одному порту — на тому, до якого підключений наступний вкільці комп'ютер.
/>
Рис.1.6. Концентратори різних технологій
Нагадаємо,що під фізичною топологією розуміється конфігурація зв'язків, утворенихокремими частинами кабелю, а під логічною — конфігурація інформаційних потоківміж комп'ютерами мережі. У багатьох випадках фізична і логічна топології мережізбігаються. Наприклад, мережа, представлена на рис. 1.7, а, має фізичнутопологію кільце. Комп'ютери цієї мережі дістають доступ до кабелів кільця зарахунок передачі один одному спеціального кадру — маркера, причому цей маркертакож передається послідовно від комп'ютера до комп'ютера в тому ж порядку, вякому комп'ютери утворюють фізичне кільце, тобто комп'ютер А передає маркеркомп'ютеру В, комп'ютер В — комп'ютеру С и т. д.
Мережа,показана на рис. 1.7, б, демонструє приклад неспівпадання фізичної і логічноїтопології. Фізично комп'ютери сполучені по топології загальна шина. Доступ жедо шини відбувається не по алгоритму випадкового доступу, вживаному втехнології Ethernet, а шляхом передачі маркера в кільцевому порядку: відкомп'ютера А — комп'ютеру В, від комп'ютера В — комп'ютеру С и т. д. Тутпорядок передачі маркера вже не повторює фізичні зв'язки, а визначаєтьсялогічною конфігурацією драйверів мережевих адаптерів. Ніщо не заважаєнабудувати мережеві адаптери і їх драйвери так, щоб комп'ютери утворили кільцев іншому порядку, наприклад: У, А, С… При цьому фізична структура мережі ніякне змінюється.
/>
Рис.1.7. Логічна і фізична топології мережі
Іншимприкладом неспівпадання фізичної і логічної топологий мережі є вже розглянутамережа на рис. 1.6, а. Концентратор Ethernet підтримує в мережі фізичнутопологію зірка. Проте логічна топологія мережі залишилася без змін — цезагальна шина. Оскільки концентратор повторює дані, що прийшли з будь-якогопорту, на решті всіх портів, то вони з'являються одночасно на всіх фізичнихсегментах мережі, як і в мережі з фізичною загальною шиною. Логіка доступу домережі абсолютно не міняється: всі компоненти алгоритму випадкового доступу — визначення незанятості середовища, захоплення середовища, розпізнавання івідробіток колізій — залишаються в силі.
Фізичнаструктуризація мережі за допомогою концентраторів корисна не тільки длязбільшення відстані між вузлами мережі, але і для підвищення її надійності.Наприклад, якщо який-небудь комп'ютер мережі Ethernet з фізичною загальноюшиною із-за збою починає безперервно передавати дані по загальному кабелю, товся мережа виходить з ладу, і для вирішення цієї проблеми залишається тількиодин вихід — уручну від'єднати мережевий адаптер цього комп'ютера від кабелю. Умережі Ethernet, побудованій з використанням концентратора, ця проблема можебути вирішена автоматично — концентратор відключає свій порт, якщо виявляє, щоприєднаний до нього вузол дуже довго монопольно займає мережу. Концентраторможе блокувати некоректно працюючий вузол і в інших випадках, виконуючи рольдеякого вузла, що управляє.
1.2.2Логічна структуризація мережі
Фізичнаструктуризація мережі корисна у багатьох відношеннях, проте у ряді випадків, щозазвичай відносяться до мереж великого і середнього розміру, неможливо обійтисябез логічної структуризації мережі. Найбільш важливою проблемою, що невирішується шляхом фізичної структуризації, залишається проблема перерозподілупередаваного трафіку між різними фізичними сегментами мережі.
Увеликій мережі природним чином виникає неоднорідність інформаційних потоків:мережа складається з безлічі підмереж робочих груп, відділів, філійпідприємства і інших адміністративних утворень. Дуже часто найбільш інтенсивнийобмін даними спостерігається між комп'ютерами, що належать до однієї підмережі,і лише невелика частина звернень відбувається до ресурсів комп'ютерів, щознаходяться поза локальними робочими групами. (До недавнього часу такеспіввідношення трафіків не бралося під сумнів, і був навіть сформульованийемпіричний закон «80/20», відповідно до якого в кожній підмережі 80 % трафіку євнутрішнім і лише 20 % — зовнішнім.) Зараз характер навантаження мереж багато вчому змінився, широко упроваджується технологія intranet, на багатьохпідприємствах є централізовані сховища корпоративних даних, активновикористовувані всіма співробітниками підприємства. Все це не могло не вплинутина розподіл інформаційних потоків. І тепер не рідкісні ситуації, колиінтенсивність зовнішніх звернень вище інтенсивності обміну між «сусідніми»машинами. Але незалежно від того, в якій пропорції розподіляються зовнішній івнутрішній трафік, для підвищення ефективності роботи мережі неоднорідність інформаційнихпотоків необхідно враховувати.
Мережаз типовою топологією (шина, кільце, зірка), в якій всі фізичні сегментирозглядаються як одне середовище, що розділяється, виявляється неадекватнійструктурі інформаційних потоків у великій мережі. Наприклад, в мережі іззагальною шиною взаємодія будь-якої пари комп'ютерів займає її на весь часобміну, тому при збільшенні числа комп'ютерів в мережі шина стає вузькимместомом. Комп'ютери одного відділу вимушені чекати, коли закінчить обмін парикомп'ютерів іншого відділу, і це при тому, що необхідність в зв'язку міжкомп'ютерами двох різних відділів виникає набагато рідше і вимагає зовсімневеликої пропускної спроможності.
Цейвипадок ілюструє рис. 1.8, а. Тут показана мережа, побудована з використаннямконцентраторів. Хай комп'ютер А, що знаходиться в одній підмережі з комп'ютеромВ, посилає йому дані. Не дивлячись на розгалужену фізичну структуру мережі,концентратори поширюють будь-який кадр по всіх її сегментах. Тому кадр, щопосилається комп'ютером А комп'ютеру В, хоча і не потрібний комп'ютерамвідділів 2 і 3, відповідно до логіки роботи концентраторів поступає на цісегменти теж. І до тих пір, поки комп'ютер В не отримає адресований йому кадр,жоден з комп'ютерів цієї мережі не зможе передавати дані.
Такаситуація виникає через те, що логічна структура даної мережі залишиласяоднорідною — вона ніяк не враховує збільшення інтенсивності трафіку усерединівідділу і надає всім парам комп'ютерів рівні можливості по обміну інформацією (рис.1.8, б).
Вирішенняпроблеми полягає у відмові від ідеї єдиного однорідного середовища, щорозділяється. Наприклад, в розглянутому вище прикладі бажано було б зробититак, щоб кадри, які передають комп'ютери відділу 1, виходили б за межі цієїчастини мережі в тому і лише в тому випадку, якщо ці кадри направленіякому-небудь комп'ютеру з інших відділів. З іншого боку, в мережу кожного звідділів повинні потрапляти ті і лише ті кадри, які адресовані вузлам цієїмережі. При такій організації роботи мережі її продуктивність істотно підвищитися,оскільки комп'ютери одного відділу не простоюватимуть в той час, колиобмінюються даними комп'ютери інших відділів.
/>
Рис.1.8. Суперечність між логічною структурою мережі і структурою інформаційнихпотоків
Неважковідмітити, що в запропонованому рішенні ми відмовилися від ідеї загальногосередовища, що розділялося, в межах всієї мережі, хоча і залишили її в межахкожного відділу. Пропускна спроможність ліній зв'язку між відділами не повинназбігатися з пропускною спроможністю середовища усередині відділів. Якщо трафікміж відділами складає тільки 20 % трафіку усередині відділу (як вже наголошувалося,ця величина може бути іншій), то і пропускна спроможність ліній зв'язку ікомунікаційного устаткування, що сполучає відділи, може бути значно нижче завнутрішній трафік мережі відділу.
Такимчином, розповсюдження трафіку, призначеного для комп'ютерів деякого сегментумережі, тільки в межах цього сегменту, називається локалізацією трафіку.Логічна структуризація мережі — це процес розбиття мережі на сегменти злокалізованим трафіком.
Длялогічної структуризації мережі використовуються такі комунікаційні пристрої, якмости, комутатори, маршрутизатори і шлюзи.
Міст(bridge) ділить середовище передачі мережі, що розділяється, на частини (частозвані логічними сегментами), передаючи інформацію з одного сегменту в іншійтільки в тому випадку, якщо така передача дійсно необхідна, тобто якщо адресакомп'ютера призначення належить іншій підмережі. Тим самим міст ізолює трафікоднієї підмережі від трафіку інший, підвищуючи загальну продуктивність передачіданих в мережі. Локалізація трафіку не тільки економить пропускну спроможність,але і зменшує можливість несанкціонованого доступу до даних, оскільки кадри невиходять за межі свого сегменту і їх складніше перехопити зловмисникові.
На рис.1.9 показана мережа, яка була отримана з мережі з центральним концентратором(див. рис. 1.9) шляхом його заміни на міст. Мережі 1-го і 2-го відділівскладаються з окремих логічних сегментів, а мережа відділу 3 — з двох логічнихсегментів. Кожен логічний сегмент побудований на базі концентратора і маєпросту фізичну структуру, утворену відрізками кабелю, що пов'язують комп'ютериз портами концентратора.
/>
Рис.1.9. Логічна структуризація мережі за допомогою моста
Мостивикористовують для локалізації трафіку апаратні адреси комп'ютерів. Це утрудняєрозпізнавання приналежності того або іншого комп'ютера до певного логічногосегменту — сама адреса не містить ніякої інформації із цього приводу. Тому містдостатньо спрощено представляє ділення мережі на сегменти — він запам'ятовує,через який порт на нього поступив кадр даних від кожного комп'ютера мережі, інадалі передає кадри, призначені для цього комп'ютера, на цей порт. Точноїтопології зв'язків між логічними сегментами міст не знає. Через це застосуваннямостів приводить до значних обмежень на конфігурацію зв'язків мережі — сегментимають бути сполучені так, щоб в мережі не утворювалися замкнуті контури.
Комутатор(switch, switching hub) за принципом обробки кадрів нічим не відрізняється відмоста. Основна його відмінність від моста полягає в тому, що він є свого родукомунікаційним мультипроцесором, оскільки кожен його порт оснащенийспеціалізованим процесором, який обробляє кадри по алгоритму моста незалежновід процесорів інших портів. За рахунок цього загальна продуктивністькомутатора зазвичай набагато вище за продуктивність традиційного моста, що маєодин процесорний блок. Можна сказати, що комутатори — це мости новогопокоління, які обробляють кадри в паралельному режимі.
Обмеження,зв'язані із застосуванням мостів і комутаторів, — по топології зв'язків, атакож ряд інших, — привели до того, що у ряді комунікаційних пристроїв з'явивсяще один тип устаткування — маршрутизатор (router). Маршрутизатори надійніше іефективніше, ніж мости, ізолюють трафік окремих частин мережі один від одного.Маршрутизатори утворюють логічні сегменти за допомогою явної адресації,оскільки використовують не плоскі апаратні, а складені числові адреси. У цихадресах є поле номера мережі, так що всі комп'ютери, у яких значення цього поляоднакове, належать до одного сегменту, званого в даному випадку підмережею(subnet).
Окрімлокалізації трафіку маршрутизатори виконують ще багато інших корисних функцій.Так, маршрутизатори можуть працювати в мережі із замкнутими контурами, при цьомувони здійснюють вибір найбільш раціонального маршруту з декількох можливих.Мережа, представлена на рис. 1.10, відрізняється від своєї попередниці (див. рис.1.10) тим, що між підмережами відділів 1 і 2 прокладений додатковий зв'язок,який може використовуватися як для підвищення продуктивності мережі, так і дляпідвищення її надійності.
/>
Рис.1.10. Логічна структуризація мережі за допомогою маршрутизаторів
Іншоюдуже важливою функцією маршрутизаторів є їх здатність зв'язувати в єдину мережупідмережі, побудовані з використанням разных мережевих технологій, наприкладEthernet і Х.25.
Окрімперерахованих пристроїв окремі частини мережі може сполучати шлюз (gateway).Зазвичай основною причиною, по якій в мережі використовують шлюз, єнеобхідність об'єднати мережі з різними типами системного і прикладногопрограмного забезпечення, а не бажання локалізувати трафік. Проте шлюззабезпечує і локалізацію трафіку як деякий побічний ефект.
Крупнімережі практично ніколи не будуються без логічної структуризації. Для окремихсегментів і підмереж характерні типові однорідні топології базових технологій,і для їх об'єднання завжди використовується устаткування, що забезпечуєлокалізацію трафіку, — мости, комутатори, маршрутизатори і шлюзи.
1.3Висновок
Такимчином, виходячи з проведеного аналізу організації каналів передачі даних вкомп’ютерних мережах можна зробити ряд висновків:
умежах тієї або іншої архітектури КМ повинна забезпечуватись погоджена взаємодіярізних її структур. Так, при деякій логічній структурі, яка відповідаєприйнятій архітектурі КМ, може бути побудована множина фізичних структур увигляді різнорідних каналів передачі даних, що впливають на властивості таможливості мережі. Вони являють собою узагальнений алгоритм інформаційногопроцесу, що протікає в КМ;
припередачі дискретних даних по каналах передачі даних застосовуються два основнітипи фізичного кодування — на основі синусоїдального несучого сигналу і наоснові послідовності прямокутних імпульсів. Перший спосіб часто називаєтьсятакож модуляцією або аналоговою модуляцією, підкреслюючи той факт, що кодуванняздійснюється за рахунок зміни параметрів аналогового сигналу. Другий спосібзвичайно називають цифровим кодуванням. Ці способи відрізняються шириноюспектру результуючого сигналу і складністю апаратури, необхідної для їхреалізації.
Томудля детального вивчення особливостей доступу до каналів передачі данихрозглянемо сутність існуючих методі доступу.
Розділ2. Фізична сутність та порядок організації каналів комп’ютерних мереж
Каналипередачі даних є фундаментом будь-якої мережі. Якщо в каналах щоднявідбуваються короткі замикання, контакти роз’ємів то відходять, то зновувходять у щільне з’єднання, додавання нової станції призводить до необхідностітестування десятків контактів роз’ємів через те, що документація на фізичніз’єднання не ведеться. Очевидно, що на основі таких каналів передачі данихбудь-яке найсучасніше і продуктивне устаткування буде працювати погано. Користувачібудуть незадоволені великими періодами простоїв і низькою продуктивністюмережі, а обслуговуючий персонал буде в постійній «запарці»,розшукуючи місця коротких замикань, обривів і поганих контактів. Причомупроблем з каналами передачі даних стає набагато більше при збільшенні розмірівмережі.
2.1Структурована кабельна система комп’ютерної мережі
Відповіддюна високі вимоги до якості каналів зв’язку в комп’ютерних мережах сталиструктуровані кабельні системи.
Структурованакабельна система (СКС) (Structured Cabling System, SCS) – це набір комутаційнихелементів (кабелів, роз’ємів, конекторів, кросових панелей і шаф), а такожметодика їх спільного використання, яка дозволяє створювати регулярні, легкорозширювані структури зв’язків в комп’ютерних мережах.
Структурованакабельна система представляє свого роду «конструктор», за допомогоюякого проектувальник мережі будує потрібну йому конфігурацію зі стандартнихкабелів, з’єднаних стандартними роз’ємами, які комутуються на стандартнихкросових панелях. При необхідності конфігурацію зв’язків можна легко змінити –додати комп’ютер, сегмент, комутатор, вилучити непотрібне устаткування, а такожзамінити з’єднання між комп’ютерами і концентраторами.
Припобудові структурованої кабельної системи мається на увазі, що кожне робочемісце на підприємстві повинне бути оснащене розетками для підключення телефонуі комп’ютера, навіть якщо на даний момент цього не потрібно. Тобто добреструктурована кабельна система будується надлишковою. У майбутньому це може заощадитичас тому, що зміни в підключенні нових пристроїв можна здійснювати за рахунокперекомутації вже прокладених кабелів.
Структурованакабельна система планується і будується ієрархічно з головною магістраллю ічисленними відгалуженнями від неї (рис. 2.1).
Цясистема може бути побудована на базі вже існуючих сучасних телефонних кабельнихсистем, у яких кабелі, що представляють собою набір кручених пар, прокладаютьсяв кожному будинку, розводяться між поверхами. На кожному поверсівикористовується спеціальна кросова шафа, від якої кабелі в трубах і коробахпідводяться до кожної кімнати і розводяться по розетках. На жаль, далеко не увсіх будинках телефонні лінії прокладаються крученими парами, тому вонинепридатні для створення комп’ютерних мереж, і кабельну систему в такомувипадку потрібно будувати заново.
Типоваієрархічна структура структурованої кабельної системи (рис. 2.2) включає:
горизонтальніпідсистеми (у межах поверху);
вертикальніпідсистеми (усередині будинку);
підсистемукампусу (у межах однієї території з декількома будинками).
Горизонтальнапідсистема з’єднує кросову шафу поверху з розетками користувачів. Підсистемицього типу відповідають поверхам будинку.
Вертикальнапідсистема з’єднує кросові шафи кожного поверху з центральною апаратною будинку.
Наступнимкроком ієрархії є підсистема кампусу, що з’єднує кілька будинків з головноюапаратною усього кампусу. Ця частина кабельної системи звичайно називаєтьсямагістраллю (backbone).
/>
Рис.2.1. Ієрархія структурованої кабельної системи
/>
Використанняструктурованої кабельної системи замість хаотично прокладених кабелів даєпідприємству багато переваг.
Універсальність. Структурованакабельна система при продуманій організації може стати єдиним середовищем дляпередачі комп’ютерних даних у локальній обчислювальній мережі, організаціїлокальної телефонної мережі, передачі відеоінформації і навіть передачісигналів від датчиків пожежної безпеки або охоронних систем. Це дозволяєавтоматизувати більшість процесів контролю, моніторингу та управліннягосподарськими службами і системами життєзабезпечення підприємства.
Збільшеннятерміну служби. Термін морального старіння добре структурованої кабельноїсистеми може складати 10 – 15 років.
Зменшеннявартості добавлення нових користувачів і зміни місць їх розташування.
Відомо,що вартість кабельної системи значна і визначається в основному не вартістюкабелю, а вартістю робіт з його прокладки. Тому більш вигідно провестиоднократну роботу по прокладці кабелю, можливо, з великим запасом по довжині,ніж кілька разів виконувати прокладку, нарощуючи довжину кабелю. При такомупідході всі роботи з добавлення або переміщення користувача зводяться допідключення комп’ютера до вже наявної розетки.
Можливістьлегкого розширення мережі. Структурована кабельна система є модульною, томуїї легко розширювати. Наприклад, до магістралі можна додати нову підмережу, нероблячи ніякого впливу на існуючі підмережі. Можна замінити в окремій підмережітип кабелю незалежно від іншої частини мережі. Структурована кабельна система єосновою для розподілу мережі на легко управляємі логічні сегменти тому, що вонасама вже розділена на фізичні сегменти.
Забезпеченнябільш ефективного обслуговування. Структурована кабельна система полегшує обслуговуванняі пошук несправностей у порівнянні із шинною кабельною системою. При шиннійорганізації кабельної системи відмова одного з пристроїв або сполучнихелементів призводить до відмови всієї мережі, яку важко локалізувати. Уструктурованих кабельних системах відмова одного сегмента не діє на інші тому,що об’єднання сегментів здійснюється за допомогою концентраторів. Концентраторидіагностують і локалізують несправний сегмент.
Надійність.Структурованакабельна система має підвищену надійність, оскільки виробник такої системигарантує не тільки якість її окремих компонентів, але і їх сумісність.
Більшістьпроектувальників починає розробку СКС з горизонтальних підсистем тому, що самедо них підключаються кінцеві користувачі. При цьому вони можуть вибирати міжекранованою крученою парою, неекранованою крученою парою, коаксіальним кабелемі волоконно-оптичним кабелем. Можливе використання й безпровідних лінійзв’язку.
Горизонтальнапідсистема характеризується дуже великою кількістю відгалужень кабелю (рис.2.3) тому, що його потрібно провести до кожної розетки, причому й у тихкімнатах, де поки комп’ютери в мережу не об’єднуються. Тому до кабелю, якийвикористовується в горизонтальній проводці, пред’являються підвищені вимоги дозручності виконання відгалужень, а також зручностей його прокладки вприміщеннях. На поверсі звичайно встановлюється кросова шафа, яка дозволяє задопомогою коротких відрізків кабелю, оснащеного роз’ємами, провестиперекомутацію з’єднань між устаткуванням і концентраторами / комутаторами.
Привиборі кабелю приймають до уваги такі характеристики: пропускна спроможність,відстань, фізична захищеність, електромагнітна перешкодозахищеність, вартість.Крім того, при виборі кабелю потрібно враховувати, яка кабельна система ужевстановлена на підприємстві, а також які тенденції і перспективи існують наринку на даний момент.
2.2Кабель кручена пара
Міднийпровід, зокрема неекранована кручена пара (Twisted Pair – TP), є кращимсередовищем для горизонтальної кабельної підсистеми, хоча, якщо користувачампотрібна дуже висока пропускна спроможність, або кабельна система прокладаєтьсяв агресивному середовищі, для неї підійде і волоконно-оптичний кабель.Коаксіальний кабель – це застаріла технологія, якої варто уникати, якщо тількивона вже не використовується широко на підприємстві. Безпровідний зв’язок єновою і багатообіцяючою технологією, однак через порівняльну новизну і низькуперешкодостійкість краще обмежити масштаби її використання.
Крученапара як середовище передачі використовується у всіх сучасних мережнихтехнологіях, а також в аналоговій і цифровій телефонії. Уніфікація пасивнихелементів мережі на крученій парі стала основою для концепції побудовиструктурованих кабельних систем, незалежних від прикладень (мережнихтехнологій). Будь-які мережі на крученій парі (крім застарілої LocalTalk)засновані на зіркоподібній фізичній топології, що при відповідному активномуустаткуванні може бути основою для будь-якої логічної топології.
Провідкручена пара являє собою два скручених ізольованих провідники. Провідзастосовують для кросування (cross-wires) усередині комутаційних шаф абостійок, але ніяк не для прокладки з’єднань між приміщеннями, такий провід можескладатися з однієї, двох, трьох і навіть чотирьох кручених пар.
Кабельвідрізняється від проводу наявністю зовнішньої ізоляційної панчохи (jacket). Цяпанчоха головним чином захищає провід (елементи кабелю) від механічних впливіві вологи. Найбільше поширення одержали кабелі, що містять дві або чотирикручені пари. Існують кабелі і на більше число пар – 25 пар і більше.
Категорія(Category) крученої пари визначає частотний діапазон, у якому її застосуванняефективне (ACR має позитивне значення). На даний час діють стандартні шістькатегорій кабелю (Category 1 ÷ Category 5е), проробляється 6-а категоріяй очікується поява кабелів категорії 7. Частотні діапазони кабелів різнихкатегорій наведені в табл. 2.1.
/>
Рис.2.3. Структура кабельної системи поверху та будівлі
Таблиця2.1
Класифікаціякабелів на крученій паріКатегорія Клас лінії Смуга пропускання, МГц Типове мережне застосування 1 A 0,1 Аналогова телефонія 2 B 1 Цифрова телефонія, ISDN 3 C 16 10Base-T (Ethernet) 4 – 20 Token Ring 16 Mбіт/с 5 D 100 100Base-TX (Fast Ethernet) 5е D 125 1000Base-TX (Gigabit Ethernet) 6* E1 200 (250) – 7* F1 600 –
Категоріївизначаються стандартом EIA/TIA 568A. В останньому стовпці наводитьсякласифікація ліній зв’язку, які забезпечуються цими кабелями згідно стандартуISO 11801 і EN 50173.
Крученапара може бути як екранованою (shielded), так і неекранованою (unshielded), видкабелів наведений на рис. 2.4. Термінологія конструкцій екрана неоднозначна,тут використовуються слова braid (оплітка), shield і screen (екран, захист),foil (фольга), tinned drain wire (луджений «дренажний» провід, що йдеуздовж фольги).
Неекранованакручена пара (НКП) більше відома по абревіатурі UTP (Unshielded Twisted Pair).Якщо кабель укладений у загальний екран, але пари не мають індивідуальнихекранів, то, відповідно до стандарту ISO 11801, він теж відноситься донеекранованих кручених пар і позначається UTP або S/UTP. Сюди ж відноситьсяScTP (Screened Twisted Pair) або FTP (Foiled Twisted Pair) – кабель, у якомукручені пари укладені в загальний екран з фольги, а також SFTP (Shielded FoilTwisted Pair) – кабель, у якого загальний екран складається з фольги й оплітки.
/>
Рис.2.4.Кабелі кручена пара:
а – UTP категорії3-5, б – UTP категорії 6, в – ScTP, FTP, г – SFTP, д – STPТурe 1, е – PiMF.
1 –провід в ізоляції, 2 – зовнішня оболонка, 3 – сепаратор,
4 –екран з фольги, 5 – дренажний провід, 6 – оплітка, що екранує
Екранованакручена пара (ЕКП), вона ж STP (Shielded Twisted Pair), має багато різновидів,але кожна пара обов’язково має власний екран.
Найбільшепоширення одержали кабелі з числом пар 2 і 4. Існують і подвійні конструкції –два кабелі по дві або чотири пари, укладені в суміжні ізоляційні панчохи. Узагальну панчоху можуть бути укладені і кабелі STP+UTP. З багатопарнихпопулярні 25-парні, а також зборки по 6 штук
4-парних.Кабелі з великим числом пар (50, 100) застосовуються тільки в телефонії,оскільки виготовлення багатопарних кабелів високих категорій –дуже складназадача.
Длябагатопарних кабелів стандартизоване колірне маркування проводів, яке дозволяєшвидко і безпомилково виконувати їх обробку без попередньої перевірки. Кожнапара має умовно прямий (Tip) і зворотний (Ring) провід. Маркування для25-парного кабелю наведені в табл. 2.2, для 4-парного – у табл. 2.3; крімосновного варіанта існує й альтернативне маркування.
Таблиця2.2
Колірнемаркування 25-парного кабелю№ пари
Колір:
основний/смужки Прямий (Tip) Зворотний (Ring) 1 Білий/синій Синій/білий 2 Білий/жовтогарячий Жовтогарячий/білий 3 Білий/зелений Зелений/білий 4 Білий/коричневий Коричневий/білий 5 Білий/сірий Сірий/білий 6 Червоний/синій Синій/червоний 7 Червоний/жовтогарячий Жовтогарячий/червоний 8 Червоний/зелений Зелений/червоний 9 Червоний/коричневий Коричневий/червоний 10 Червоний/сірий Сірий/червоний 11 Чорний/синій Синій/чорний 12 Чорний/жовтогарячий Жовтогарячий/чорний 13 Чорний/зелений Зелений/чорний 14 Чорний/коричневий Коричневий/чорний 15 Чорний /сірий Сірий/чорний 16 Жовтий/синій Синій/жовтий 17 Жовтий/жовтогарячий Жовтогарячий/жовтий 18 Жовтий/зелений Зелений/жовтий 19 Жовтий/коричневий Коричневий/жовтий 20 Жовтий/сірий Сірий/жовтий 21 Фіолетовий/синій Синій/фіолетовий 22 Фіолетовий/жовтогарячий Жовтогарячий/фіолетовий 23 Фіолетовий/зелений Зелений/фіолетовий 24 Фіолетовий/коричневий Коричневий/фіолетовий 25 Фіолетовий/сірий Сірий/фіолетовий
Таблиця2.3
Колірнемаркування 4-парного кабелю№ пари Колір: основний/смужки Основний варіант (EIA/TIA 568A) Альтернативний варіант Прямий (Tip) Зворотний (Ring) Прямий (Tip) Зворотний (Ring) 1 Білий/зелений Зелений Білий Синій 2 Білий/жовтогарячий Жовтогарячий Чорний Жовтий 3 Білий/синій Синій Зелений Червоний 4 Білий/коричневий Коричневий Жовтогарячий Коричневий
Дешевікабелі найчастіше мають невиразне маркування – у парі з кожним кольоровимпроводом йде просто білий, що ускладнює візуальний контроль правильностіобтиску.
З’єднувальнаапаратура забезпечує можливість підключення до кабелів, тобто надає кабельніінтерфейси. Для крученої пари мається різноманітний асортимент конекторів,призначених як для нероз’ємного, так і роз’ємного з’єднання проводів, кабелів ішнурів. З нероз’ємних конекторів поширені роз’єми типів S110, S66 і Krone, що єпромисловими стандартами. Серед роз’ємних найбільш популярні стандартизованімодульні роз’єми (RJ-11, RJ-45 та ін.). Зустрічаються і конектори фірми IBM,уведені з мережами Token Ring, а також деякі специфічні нестандартизованіконектори. Багатопарні кабелі часто з’єднують 25-парними роз’ємами Telco(RJ-21). До з’єднувальної апаратури відносяться і різні адаптери, що дозволяютьпоєднувати різнотипні кабельні інтерфейси.
Модульніроз’єми Modular Jack (гнізда, розетки) і Modular Plug (вилки) є роз’ємами для1-, 2-, 3-, 4-парних кабелів категорій 3 – 6. У кабельних системахзастосовуються 8- і 6-позиційні роз’єми, більше відомі під назвами RJ-45 іRJ-11 відповідно. Уявлення про конструкції вилок розповсюджених видів роз’ємівнадає рис. 2.5.
/>
Рис.2.5. Геометрія модульних розеток:
а – 6-позиційні, б– 8-позиційні, в – модифіковані (MMJ), г – із ключем
Коректнепозначення для розетки, яка використовується для підключення мережноїапаратури, має вигляд «Modular Jack 8P8C», для вилки – «ModularPlug 8Р8С», де 8Р указує на розмір (8-позиційний), а 8С – на числоконтактів (8). Для підключення телефонів використовують конфігурацію 6Р4С (6позицій, 4 контакти). Зустрічаються й інші позначення, наприклад«Р-6-4» – вилка (plug) на 6 позицій і 4 контакти, «PS-8-8»– вилка екранована (plug shielded) на 8 позицій і 8 контактів. 6-позиційнівилки можуть бути вставлені й у 8-позиційні розетки, але не навпаки. Крімзвичайних симетричних роз’ємів (рис. 2.5, а і б), зустрічаютьсямодифіковані (рис. 2.5, в) MMJ (Modified Modular Jack) і з ключем(keyed, рис. 2.5, г). У деяких випадках застосовують і 10-позиційні10-контактні роз’єми.
Призначенняконтактів модульних роз’ємів, які застосовуються у телекомунікаціях,стандартизоване, розповсюджені варіанти наведені на рис. 3.6. Наведенірозкладки розрізняються положенням пар проводів, кольори пар проводів повиннівідповідати стандартній послідовності EIA/TIA 568A: білозелений – зелений – біложовтий– синій – білосиній – жовтий – білокоричневий – коричневий (табл. 2.4).
/>
Рис.2.6. Розкладка проводів для модульних роз’ємів 10Base-T (100BaseTX)
Модульнівилки різних категорій зовні можуть майже не відрізнятися одна від одної, алемати різну конструкцію (рис. 2.7). Вилки для категорії 5 можуть мати сепаратор,який надягається на проводи до зборки й обтиску, що дозволяє скоротити довжинурозплетеної частини кабелю і полегшити розкладку проводів. Проте сепаратор – необов’язковий атрибут вилок високих категорій. Контакти при установці (обтиску)врізаються в проводи крізь ізоляцію.
Вилкидля одножильного і багатожильного кабелю розрізняються формою контактів.Голчасті контакти (рис. 2.7, г) використовуються для багатожильногокабелю, голки встромляються між жилами проводів, забезпечуючи надійнез’єднання. Для одножильного кабелю використовуються контакти, які обтискуютьжилу з двох боків (рис. 2.7, д). Ряд фірм випускає й універсальні вилки,що надійно з’єднуються з будь-яким кабелем відповідного типу. Застосуваннятипів вилок, які не відповідають кабелю, чревате великим відсотком браку інедовговічністю з’єднання. Під час обтиску вдавлюється і виступ 3, що фіксуєкабель (ту частину, що ще в панчосі). Фіксатор 2 служить для фіксації вилки врозетці.
Доситьбажаний аксесуар вилки – гумовий ковпачок, що надягається позаду дляпом’якшення навантаження на кабель у місці його виходу з вилки. Більш дорогіковпачки мають виступ, що захищає фіксатор, і обтічну форму. Такі ковпачкикорисні для комутаційних шнурів – вони дозволяють без ушкоджень витягати шнур зпучка «за хвіст» (вилка без ковпачків буде чіплятися своїми кутами івиступаючим фіксатором за інші проводи).
/>
Рис.2.7. Модульні вилки:
а – із сепаратором(розріз), б – без сепаратора (розріз), в – у зборі з ковпачком, г– контакт для багатожильного кабелю, д – для одножильного кабелю
Модульнівилки допускають тільки однократну установку. До установки контакти в нихпідняті над каналами для проводів, затиск для кабелю не продавлений. У такомуположенні в розетки вони не входять. При установці контактів затиск для кабелювдавлюється всередину. Вилки різних виробників розрізняються кількістю точокзакріплення кабелю і зручністю установки. Для установки вилок існує спеціальнийобтискний інструмент (crimping tool), без якого якісна обробка кабелюнеможлива. Якісна і надійна установка вилок вимагає навичок, оскільки контрольякості цієї операції проблематичний, в особливо відповідальних випадках є сенспридбати фірмові шнури заводського виготовлення.
2.3Коаксіальний кабель (coaxial cable)
Коаксіальнийкабель (coaxial cable, або coax) усе ще залишається одним з можливих варіантівкабелю для горизонтальних підсистем, особливо у випадках, коли високий рівеньелектромагнітних перешкод не дозволяє використовувати кручену пару, або жневеликі розміри мережі не створюють великих проблем з експлуатацією кабельноїсистеми.
ТовстийEthernet має в порівнянні з тонким більшу пропускну спроможність, він більшстійкий до ушкоджень і передає дані на великі відстані, однак до ньогоскладніше приєднатися і він менш гнучкий. З товстим Ethernet складнішепрацювати, і він мало підходить для горизонтальних підсистем. Однак його можнавикористовувати у вертикальній підсистемі як магістраль, якщо оптоволоконнийкабель з якихось причин не підходить.
ТонкийEthernet – це кабель, що повинен був вирішити проблеми, позв’язані ззастосуванням товстого Ethernet. До появи стандарту 10Base-T тонкий Ethernetбув основним кабелем для горизонтальних підсистем. Тонкий Ethernet простішемонтувати, ніж товстий. Мережі з тонкого Ethernet можна швидко зібрати тому, щокомп’ютери з’єднуються один з одним безпосередньо.
Головнийнедолік тонкого Ethernet – складність його обслуговування. Кожен кінець кабелюповинен закінчуватися термінатором 50 Ом. При відсутності термінатора абовтраті ним своїх робочих властивостей (наприклад, через відсутність контакту)перестає працювати весь сегмент мережі, підключений до цього кабелю. Аналогічнінаслідки має погане з’єднання будь-якої робочої станції (яке здійснюється черезТ-конектор). Несправності в мережах на тонкому Ethernet складно локалізувати.Часто доводиться від’єднувати Т-конектор від мережного адаптера, тестуватикабельний сегмент і потім послідовно повторювати цю процедуру для всіхприєднаних вузлів. Тому вартість експлуатації мережі на тонкому Ethernet звичайнозначно перевищує вартість експлуатації аналогічної мережі на крученій парі,хоча капітальні витрати на кабельну систему для тонкого Ethernet звичайнонижче.
Коаксіальнийкабель як середовище передачі даних використовується тільки в застарілихмережних технологіях Ethernet 10Base5, Ethernet 10Base2 і ARCnet. Крім того,він використовується в кабельному телебаченні (CATV) як антенний кабель.
Коаксіальнийкабель має конструкцію, схематично представлену на рис. 2.8.
/>
Електричнимипровідниками є центральна жила і екрануюча оплітка. Діаметр жили і внутрішнійдіаметр оплітки, а також діелектрична проникність ізоляції між ними визначаютьчастотні властивості кабелю. Матеріал і переріз провідників з ізоляцієювизначають втрати сигналу в кабелі та його імпеданс. В ідеальному випадкуелектричне і магнітне поля, що утворюються при проходженні сигналу, цілкомзалишаються всередині кабелю, так що коаксіальний кабель не створюєелектромагнітних перешкод. Також він малочутливий до зовнішніх перешкод (якщовін знаходиться в однорідному полі перешкод). На практиці, звичайно ж,коаксіальний кабель і випромінює, і приймає перешкоди, але у відносноневеликому ступені. Найкращий за властивостями коаксіальний кабель, якийзастосовується в телекомунікаціях, товстий жовтий кабель Ethernet маєпосріблену центральну жилу товщиною 2 мм і подвійний шар екрануючої оплітки.Коаксіальний кабель використовується тільки при асиметричній передачі сигналів,оскільки він сам принципово асиметричний.
Головнийнедолік коаксіального кабелю – обмежена пропускна спроможність: у локальнихмережах це 10 Мбіт/с, яка досягнута у технології Ethernet 10Base-2 і 10Base-5.У залежності від застосування використовується коаксіальний кабель з різнимизначеннями імпедансу: 50 Ом – Ethernet, 75 Ом – передача радіо- і телевізійнихсигналів, 93 Ом – у ЛКМ ARCnet.
Дляз’єднання коаксіального кабелю застосовують коаксіальні конектори (рис. 2.9).Щоб не виникало луни на кінцях, кожен кабельний сегмент повинен закінчуватисятермінатором – резистором, опір якого збігається з імпедансом кабелю.Термінатор може бути зовнішнім – підключатися до конектору на кінці кабелю, абовнутрішнім – знаходитись усередині пристрою, що підключається цим кабелем. Длякожного коаксіального кабелю характерний свій набір аксесуарів і правилпідключення (топологічних обмежень). Тут буде розглянуте застосування коаксіалатільки для технології Ethernet. Технологія ARCnet, що також використовуєкоаксіальний кабель, уже давно не розвивається і не підтримується стандартамиСКС.
/>
Рис.2.9. Коаксіальні конектори:
а – вилка, б– I-конектор, в, г – термінатори, д – перехідник до BNC
Коаксіальнікабелі застосовуються в технологіях Ethernet 10Base-5 («товстий»кабель, класичний Ethernet) і 10Base-2 («тонкий» кабель, CheaperNet)зі швидкістю передачі 10 Мбіт/с. Ethernet для коаксіала допускає тільки шиннутопологію, Т-подібні відгалуження для підключення абонентів неприпустимі. Кабельнийсегмент (послідовність електрично з’єднаних відрізків) повинен мати на кінцях50-Омні зовнішні термінатори (2 шт.). Неправильний термінований сегмент(термінатори відсутні або їх опір не 50 Ом) є непрацездатним. До відмови всьогосегмента призводить обрив або коротке замикання в будь-якій його частині (незможуть зв’язатися абоненти, розташовані навіть з однієї сторони обриву). Коженсегмент повинен заземлюватися в одній (і тільки одній!) точці. Кабелікомпонуються коаксіальними вилками з обох боків. Для поєднання відрізків кабелюзастосовують I-конектори (N і BNC, у залежності від типу кабелю).
Переважнимкабелем для горизонтальної підсистеми є неекранована кручена пара категорії 5.Її позиції ще більш зміцняться з прийняттям специфікації 802.3аb для застосуванняна цьому виді кабелю технології Gigabit Ethernet.
Нарис. 2.10 показані типові комутаційні елементи структурованої кабельноїсистеми, які застосовані на поверсі при прокладці неекранованої крученої пари.Для скорочення кількості кабелів тут установлені 25-парний кабель і роз’єм длятакого типу кабелю Telco, який має 50 контактів.
Кабельвертикальної (або магістральної) підсистеми, що з’єднує поверхи будинку,повинен передавати дані на великі відстані і з більшою швидкістю в порівнянні зкабелем горизонтальної підсистеми. У минулому основним видом кабелю длявертикальних підсистем був коаксіал. Тепер для цієї мети все частішевикористовується оптоволоконний кабель.
Длявертикальної підсистеми вибір кабелю на даний час обмежується трьома варіантами:
Оптоволокно– відмінні характеристики пропускної спроможності, відстані і захисту даних,стійкість до електромагнітних перешкод. Може передавати голос, відео і дані.Порівняно дорогий та складний в обслуговуванні.
Товстийкоаксіал – гарні характеристики пропускної спроможності, відстані і захистуданих, може передавати дані. Але з ним складно працювати.
Широкосмуговийкабель, який використовується у кабельному телебаченні – гарні показникипропускної спроможності і відстані. Може передавати голос, відео і дані.Потрібні великі витрати під час експлуатації.
/>
Рис.2.10. Комутаційні елементи горизонтальної підсистеми
2.4Оптоволоконний кабель
Основніобласті застосування оптоволоконного кабелю – вертикальна підсистема іпідсистеми кампусів. Однак, якщо потрібен високий ступінь захищеності даних,висока пропускна спроможність або стійкість до електромагнітних перешкод,волоконно-оптичний кабель може використовуватися й у горизонтальнихпідсистемах. З волоконно-оптичним кабелем працюють протоколи AppleTalk, ArcNet,Ethernet, FDDI і Token Ring, l00VG-AnyLAN, Fast Ethernet, ATM.
Вартістьустановки мереж на оптоволоконному кабелі для горизонтальної підсистемивиявляється досить високою. Ця вартість складається з вартості мережнихадаптерів і вартості монтажних робіт, що у випадку оптоволокна набагато вище,ніж при роботі з іншими видами кабелю.
Застосуванняволоконно-оптичного кабелю у вертикальній підсистемі має ряд переваг. Вінпередає дані на дуже великі відстані без необхідності регенерації сигналу. Вінмає осердя меншого діаметра, тому може бути прокладений у вужчих місцях.Оптоволоконний кабель нечутливий до електромагнітних і радіочастотних перешкод,на відміну від мідного коаксіального кабелю тому, що сигнали є світловими, а неелектричними. Це робить оптоволоконний кабель ідеальним середовищем передачіданих для промислових мереж. Оптоволоконному кабелю не страшна блискавка, томувін підходить для зовнішньої прокладки. Він забезпечує більш високий ступіньзахисту від несанкціонованого доступу тому, що відгалуження набагато легшезнайти, ніж у випадку мідного кабелю (при відгалуженні різко зменшуєтьсяінтенсивність світла).
Оптоволоконнийкабель має і недоліки. Він дорожчий за мідний кабель, дорожче обходиться і йогопрокладка. Оптоволоконний кабель менш міцний, ніж коаксіальний. Інструменти,які використовуються при прокладці і тестуванні оптоволоконного кабелю, маютьвисоку вартість і складні в роботі. Приєднання конекторів до оптоволоконогокабелю вимагає великого мистецтва і часу, а отже, і грошей.
Длязменшення вартості побудови міжповерхової магістралі на оптоволокні деякікомпанії, наприклад AMP, пропонують кабельну систему з одним комутаційнимцентром. Звичайно, комутаційний центр є на кожному поверсі, а в будинку маєтьсязагальний комутаційний центр (рис. 3.10), який з’єднує між собою комутаційніцентри поверхів. При такій традиційній схемі і використанні волоконно-оптичногокабелю між поверхами потрібно виконувати досить велике число оптоволоконних з’єднаньв комутаційних центрах поверхів. Якщо ж комутаційний центр у будинку один, товсі оптичні кабелі розходяться з єдиної кросової шафи прямо до роз’ємівкінцевого устаткування – комутаторів, концентраторів або мережних адаптерів зоптоволоконними трансиверами.
Товстийкоаксіальний кабель також можливо використовувати як магістраль мережі, однакдля нових кабельних систем більш раціонально використовувати оптоволоконнийкабель тому, що він має більший термін служби і зможе в майбутньомупідтримувати високошвидкісні і мультимедійні прикладення. Але для вже існуючихсистем товстий коаксіальний кабель служив магістраллю системи багато років, і зцим потрібно рахуватися. Причинами його широкого застосування були: широкасмуга пропускання, висока захищеність від електромагнітних перешкод і низькерадіовипромінювання.
Хочатовстий коаксіальний кабель і дешевше, ніж оптоволокно, але з ним набагатоскладніше працювати. Він особливо чутливий до різних рівнів напруги заземлення,що часто буває при переході від одного поверху до іншого. Цю проблему складнообійти, тому «кабелем номер один» для горизонтальної підсистемисьогодні є волоконно-оптичний кабель.
Як ідля вертикальних підсистем, оптоволоконний кабель є найкращим вибором дляпідсистем декількох будинків, розташованих у радіусі декількох кілометрів. Дляцих підсистем також підходить товстий коаксіальний кабель.
Привиборі кабелю для кампусу потрібно враховувати вплив середовища на кабель позаприміщенням. Для запобігання ураження блискавкою краще вибрати для зовнішньоїпроводки неметалевий оптоволоконний кабель. З багатьох причин зовнішній кабельвиробляється в поліетиленовій захисній оболонці високої щільності. Припідземній прокладці кабель повинен мати спеціальну вологозахисну оболонку (віддощу і підземної вологи), а також металевий захисний шар від гризунів івандалів. Вологозахищений кабель має прошарок з інертного газу міждіелектриком, екраном і зовнішньою оболонкою.
2.5Висновок
Детальнийаналіз фізичної сутності та порядка використання каналів передачі даних вгетерогенних комп’ютерних мережах дозволив зробити ряд висновків:
використанняканалів передачі даних при побудові гетерогенних комп’ютерних мережахвідбувається в рамках структурованої кабельної системи;
типоваієрархічна структура структурованої кабельної системи включає: горизонтальніпідсистеми; вертикальні підсистеми; підсистему кампусу;
використанняструктурованої кабельної системи дає багато переваг: універсальність,збільшення терміну служби, зменшення вартості добавлення нових користувачів ізміни місць їх розташування, можливість легкого розширення мережі, забезпеченняефективнішого обслуговування, надійність;
привиборі типу кабелю приймають до уваги такі характеристики: пропускнаспроможність, відстань, фізична захищеність, електромагнітнаперешкодозахищеність, вартість;
найбільшпоширеними є такі типи кабелю: кручена пара (екранована і неекранована),коаксіальний кабель, оптоволоконний кабель (одно- і багатомодовий);
длягоризонтальної підсистеми найбільш прийнятним варіантом є неекранована крученапара, для вертикальної підсистеми і підсистеми кампусу – оптоволоконний кабельабо коаксіал;
Крімтого, результати аналізу побудованої моделі комп'ютерної мережі за допомогоюпрограмного пакету проектування і моделювання гетерогенних комп'ютерних мережNetCracker Professional дозволили зробити висновок, про те що вибранітехнології і фізичне середовище каналів передачі даних в мережі дозволяютьфункціонувати даної ГКМ в повному об'ємі покладених на неї функцій по обмінуінформацією між хостами мережі.
Розділ3. Сутність існуючих методів доступу до каналів комп’ютерних мереж
Методидоступу до загального поділюваного середовища передачі даних можна розділити надва великих класи: випадкові і детерміновані.
Випадковіметоди доступу передбачають можливість захвату загального поділюваногосередовища передачі даних будь-яким вузлом мережі у довільний випадковий моментчасу, якщо в даний момент він вважає середовище вільним.
Черезце не виключена можливість одночасного захоплення середовища двома або більшестанціями мережі, що призводить до помилок передачі даних. Таке явищеназивається колізією. Таким чином, колізія в середовищі передачі – цеспотворення даних, викликане накладенням сигналів при одночасній передачікадрів декількома станціями.
Детермінованіметоди, навпаки, передбачають можливість надання загального середовища врозпорядження вузла мережі за суворо визначеним (детермінованим) порядком. Привикористанні детермінованих методів колізії неможливі, але вони є більшскладними в реалізації і збільшують вартість мережного обладнання.
3.1 Методдоступу до каналів комп’ютерних мереж з перевіркою несучої та виявленнямколізій CSMA/CD
Методбагатостанційного доступу до середовища з контролем несучої та виявленнямколізій (Carrier Sense Multiply Access / Collision Detection – CSMA/CD)походить від радіомереж.
Данасхема являє собою схему зі змаганням, у якій мережні вузли змагаються за правовикористання середовища. Вузол, що виграв змагання, може передати один пакет, апотім повинен звільнити середовище для інших вузлів. Якщо вузол вжевикористовує середовище, всі інші вузли повинні відкласти свої передачі, покине звільниться середовище. При цьому здійснюється перевірка активностісередовища (контроль несучої), коли відсутність активності означає, щосередовище вільне. Тоді передачу можуть почати відразу декілька вузлів. Якщоодин вузол встиг почати передачу, середовище стає зайнятим, а всі інші вузли,що спізнились, повинні чекати на його звільнення. Але якщо декілька вузлівпочинають передачу майже одночасно, спостерігається колізія. У цьому випадкувсі передавачі повинні припинити свою передачу і зачекати деякий час перед їїпоновленням. Щоб уникнути повторення колізій, час чекання вибираєтьсявипадковим чином.
Рис. 3.1представляє діаграму станів, яка ілюструє операції канального рівня, щореалізує схему CSMA/CD. Значну частину часу канальний рівень знаходиться встані прослуховування каналу зв’язку. У цьому стані аналізуються всі кадри,передані фізичним рівнем (середовищем). Якщо заголовок кадру містить адресуотримувача, що збігається з адресою вузла, канальний рівень переходить до стануприйому, під час якого відбувається прийом кадру.
/>
Рис. 3.1.Алгоритм CSMA/CD
Колиприйом кадру завершений, про це повідомляється вищому (мережному) рівню мережі,а канальний рівень повертається до стану прослуховування. Можливо, що колізіявідбудеться під час прийому кадру. У цьому випадку прийом кадру переривається іканальний рівень переходить до стану прослуховування. Кадр можна передати всередовище тільки за запитом мережного рівня. Коли робиться такий запит і вузолне знаходиться в стані прийому, канальний рівень переходить до стану чекання. Уцьому стані вузол чекає, коли середовище звільниться. Після звільненнясередовища починається передача кадру. Якщо передача завершується успішно (безколізії), стан знову змінюється на стан прослуховування. Якщо під час передачікадру трапляється колізія, передача переривається і її треба повторити знову.При цьому стан змінюється на стан затримки. У цьому стані вузол знаходитьсядеякий час і потім знову переходить до стану чекання.
Часзатримки при кожній колізії обчислюється щоразу наново. Існує багато способівобчислення часу затримки. Основна мета полягає в недопущенні таких блокувань,із яких пара вузлів, що викликали колізію, не може вийти. Наприклад, такіблокування могли б зустрітися, якби час затримки був однаковим для всіх вузлівмережі. Після колізії обидва вузли затримали б свої операції на той самий час,а потім одночасно виявили, що середовище вільне, і знову одночасно почалипередачу. У результаті виявилася б ще одна колізія, і цей процес ніколи нескінчився. Одним із способів запобігання взаємних блокувань є вибір часузатримки, пропорційний значенню адреси вузла (ID). Це ефективний спосіб, однаквін забезпечує певні переваги вузлам із меншими значеннями адрес. Після колізіїчас затримки для вузла з найнижчим значенням адреси закінчується швидше інших,і він захоплює середовище. Інші вузли, зв’язані з колізією, при виході зі станузатримки знаходять середовище зайнятим. В іншому способі час затримкивибирається випадково. Цей спосіб не припускає ніяких пріоритетів, але він незастрахований від наступних колізій. У цьому випадку не можна гарантуватиможливості передачі кадру протягом якогось фіксованого відрізка часу тому, щоможуть зустрічатися повторні колізії, кількість яких невизначена.
Ethernet– це найпоширеніший стандарт локальних мереж. У мережах Ethernetвикористовується метод доступу до середовища передачі даних CSMA/CD.
Цейметод застосовується винятково в мережах із логічною загальною шиною. Одночасновсі комп’ютери мережі мають можливість негайно (із врахуванням затримкипоширення сигналу по фізичному середовищу) одержати дані, які будь-який зкомп’ютерів почав передавати на загальну шину (рис. 3.2). Простота схемипідключення – це один з факторів, що визначили успіх стандарту Ethernet.Кажуть, що кабель, до якого підключені всі станції, працює в режиміколективного доступу (Multiply Access – MA).
/>
Рис. 3.2.Метод випадкового доступу CSMA/CD
Всідані, передані по мережі, розміщуються в кадри визначеної структури ісупроводжуються унікальною адресою станції-отримувача.
Щободержати можливість передавати кадр, станція повинна переконатися, щоподілюване середовище вільне. Це досягається прослуховуванням основноїгармоніки сигналу, що також називається несучою частотою (Carrier Sense – CS).Ознакою незайнятості середовища є відсутність в ньому несучої частоти, яка приманчестерському способі кодування дорівнює 5 ÷ 10 МГц, у залежності відпослідовності одиниць і нулів, переданих на даний момент.
Якщосередовище вільне, то вузол має право почати передачу кадру. Цей кадрзображений на рис. 3.2 першим. Вузол 1 виявив, що середовище вільне, і почавпередавати свій кадр. У класичній мережі Ethernet на коаксіальному кабелісигнали передавача вузла 1 поширюються в обидва боки так, що їх одержують всівузли мережі. Кадр даних завжди супроводжується преамбулою (preamble), щоскладається з 7 байтів, які складаються із значень 10101010, і 8-го байта,рівного 10101011. Преамбула потрібна для входження приймача в побітовий іпобайтовий синхронізм із передавачем.
Всістанції, підключені до кабелю, можуть розпізнати факт передачі кадру, і тастанція, яка розпізнає власну адресу в заголовках кадру, записує його вміст усвій внутрішній буфер, оброблює отримані дані, передає їх нагору по своємустеку, а потім посилає по кабелю кадр-відповідь. Адреса станції-відправникаміститься у вихідному кадрі, тому станція-отримувач знає, кому потрібнонадіслати відповідь. Вузол 2 під час передачі кадру вузлом 1 також намагавсяпочати передачу свого кадру, однак виявив, що середовище зайняте – в ньому присутнянесуча частота – тому вузол 2 змушений чекати, поки вузол 1 не припинитьпередачу кадру.
Післязакінчення передачі кадру всі вузли мережі зобов’язані витримати технологічнупаузу (Inter Packet Gap) у 9,6 мкс. Ця пауза – так званий міжкадровий інтервал– потрібна для приведення мережних адаптерів до вихідного стану, а також длязапобігання монопольного захоплення середовища однією станцією. Післязакінчення технологічної паузи вузли мають право почати передачу свого кадрутому, що середовище вільне. Через затримку поширення сигналу по кабелю не всівузли чітко одночасно фіксують факт закінчення передачі кадру вузлом 1. Унаведеному прикладі вузол 2 дочекався закінчення передачі кадру вузлом 1,зробив паузу в 9,6 мкс і почав передачу свого кадру.
3.2Методи подолання колізій
Приописаному підході можлива ситуація, коли дві станції одночасно намагаютьсяпередати кадр даних по загальному середовищу. Механізм прослуховуваннясередовища і паузи між кадрами не гарантують від виникнення такої ситуації,коли дві або більше станцій одночасно вирішують, що середовище вільне, іпочинають передавати свої кадри. Вважають, що при цьому відбувається колізія(collision) тому, що вміст обох кадрів зіштовхується на загальному кабелі івідбувається перекручування інформації – методи кодування, використовувані вEthernet, не дозволяють виділяти сигнали кожної станції з загального сигналу.
Колізія– це нормальна ситуація в роботі мереж Ethernet. У прикладі, зображеному нарис. 3.3, колізію породила одночасна передача даних вузлами 3 і 1. Длявиникнення колізії необов’язково, щоб декілька станцій почали передачуабсолютно одночасно, така ситуація малоймовірна. Набагато ймовірніше, щоколізія виникає через те, що один вузол починає передачу раніше другого, але додругого вузла сигнали першого просто не встигають дійти на той час, коли другийвузол вирішує почати передачу свого кадру. Тобто колізії – це наслідокрозподіленого характеру мережі.
Щобкоректно обробити колізію, всі станції одночасно спостерігають за виникаючими укабелі сигналами. Якщо передані сигнали і сигнали, що спостерігаються,відрізняються, то фіксується виявлення колізії (collision detection, CD). Длязбільшення імовірності швидкого виявлення колізії всіма станціями мережістанція, що виявила колізію, перериває передачу свого кадру (у довільномумісці, можливо, і не на межі байта) і підсилює ситуацію колізії посиланням вмережу спеціальної послідовності з 32-х бітів – так званої jam-послідовності.
/>
Післяцього передаюча станція, яка виявила колізію, зобов’язана припинити передачу ізробити паузу протягом короткого випадкового інтервалу часу. Потім вона можезнову почати спробу захоплення середовища і передачі кадру. Тривалістьвипадкової паузи вибирається за виразом
Пауза= T ´ L,
де T– інтервал чекання, який дорівнює 512 бітовим інтервалам (у технології Ethernetприйнято всі інтервали вимірювати в бітових інтервалах; бітовий інтервалпозначається як bt і відповідає часу між появою двох послідовних бітів даних накабелі; для швидкості 10 Мбіт/с розмір бітового інтервалу дорівнює 0,1 мкс або100 нс);
L –ціле число, обране з рівною імовірністю з діапазону [0, 2N], де N – номерповторної спроби передачі даного кадру: 1, 2,..., 10.
Після10-ї спроби інтервал, із якого вибирається пауза, не збільшується. Таким чином,випадкова пауза може приймати значення від 0 до 52,4 мс.
Якщо16 послідовних спроб передачі кадру викликають колізію, то передавач повиненприпинити спроби і видалити цей кадр.
Ізописання методу доступу CSMA/CD видно, що він носить ймовірнісний характер, іймовірність успішного одержання у своє розпорядження загального середовищазалежить від завантаженості мережі, тобто від інтенсивності виникнення устанцій потреби в передачі кадрів. При розробці цього методу наприкінці 70-хроків передбачалося, що швидкість передачі даних у 10 Мбіт/с дуже висока впорівнянні з потребами комп’ютерів у взаємному обміні даними, тому завантаженнямережі буде завжди невеликим. Це припущення залишається іноді справедливим ідонині, однак уже з’явилися прикладення, які працюють у реальному масштабі часуз мультимедійною інформацією, що дуже завантажують сегменти Ethernet. При цьомуколізії виникають набагато частіше. При значній інтенсивності колізій кориснапропускна спроможність мережі Ethernet різко падає тому, що мережа майжепостійно зайнята повторними спробами передачі кадрів. Для зменшенняінтенсивності виникнення колізій потрібно або зменшити трафік, скоротивши,наприклад, кількість вузлів у сегменті, чи замінивши прикладення, або підвищитишвидкість протоколу, наприклад перейти на Fast Ethernet.
Слідзазначити, що метод доступу CSMA/CD взагалі не гарантує станції, що вонаколи-небудь зможе одержати доступ до середовища. Звичайно, при невеликомузавантаженні мережі імовірність такої події невелика, але при коефіцієнтівикористання мережі, що наближається до 1, така подія стає дуже ймовірною. Цейнедолік методу випадкового доступу – плата за його надзвичайну простоту, щозробила технологію Ethernet найдешевшою. Інші методи доступу – маркерний доступмереж Token Ring і FDDI, метод Demand Priority мереж 100VG-AnyLAN – не мають цьогонедоліку.
Чіткерозпізнавання колізій всіма станціями мережі є необхідною умовою коректноїроботи мережі Ethernet. Якщо якась станція, що передає, не розпізнає колізію івирішить, що кадр даних переданий нею вірно, то цей кадр даних буде загублений.Через накладення сигналів при колізії інформація кадру перекрутиться, і вінбуде відбракований станцією, яка приймає (можливо, через розбіжністьконтрольної суми). Найімовірніше, перекручена інформація буде повторно переданаяким-небудь протоколом верхнього рівня, наприклад, транспортним або прикладним,що працює зі встановленням з’єднання. Але повторна передача повідомленняпротоколами верхніх рівнів відбудеться через значно триваліший інтервал часу(іноді навіть через декілька секунд) у порівнянні з мікросекунднимиінтервалами, якими оперує протокол Ethernet. Тому, якщо колізії не будутьнадійно розпізнаватися вузлами мережі Ethernet, то це призведе до помітногозниження корисної пропускної спроможності даної мережі.
3.3Метод маркерного доступу в локальних мережах з різною топологією
Данийметод характеризується тим, що в ньому право використання середовищапередається від вузла до вузла організаційним способом, а не шляхом змагання.Право на використання середовища передається за допомогою унікального кадру(названого маркером) уздовж логічного кільця в мережі з використанням адресаціївузлів. Кожен вузол ідентифікується власним ідентифікатором (ID). У схемі типушини з передачею маркера кожному вузлу відомий ідентифікатор наступного вузла влогічному кільці (NID – Next ID). Зазвичай наступний вузол має адресу з більшимзначенням ID. Рис. 3.4 ілюструє поняття логічного кільця.
Крімпередачі маркера, схема із шиною повинна вирішувати проблему втрати маркера іреконфігурації кільця. Втрата маркера може відбутися через ушкодження одного звузлів логічного кільця. На деякий момент часу маркер приходить до ушкодженговузла, але вузол не пропускає його далі, і інші вузли не одержують маркер.Реконфігурація кільця виконується, коли в логічне кільце добавляється або знього вилучається один із вузлів.
Підчас нормальної роботи, тобто коли не виконується ні відновлення маркера, ніреконфігурація кільця, кожен вузол працює відповідно до діаграми станів,поданої на рис. 3.4. Велику частину часу канальний рівень знаходиться в станіпрослуховування.
/>
Рис. 3.4.Логічне кільце
Якщозаголовок вхідного кадру в якості адреси отримувача містить ID вузла, вузолпереходить до стану прийому і відбувається прийом кадру. Якщо прийнятий кадр єкадром даних, мережний рівень інформується про прийом, а канальний рівеньповертається до стану прослуховування. Однак, якщо прийнятий кадр є маркером,це означає, що вузол одержує право передачі в середовище. Якщо на той час єкадр даних, що чекає передачі, стан змінюється на стан передачі кадру іпочинається його передача.
Післязавершення передачі кадру стан змінюється на стан передачі маркера іпочинається передача маркера. Якщо на момент одержання маркера вузол не маєкадру даних для передачі, стан канального рівня змінюється відразу на станпередачі маркера. Після передачі маркера стан знову змінюється на станпрослуховування середовища.
Діаграмастанів, що представляє операції канального рівня під час реконфігурації кільцяі відновлення маркера, показана на рис. 3.5.
/>
Рис. 3.5.Протокол для шини з передачею маркера (нормальна робота)
Дляуспішної реконфігурації кільця використовуються три стани: збою, бездіяльностій опитування. При наявності тільки одного вузла неможливо здійснитиреконфігурацію кільця. Спроба реконфігурації з єдиним вузлом призводить достану чекання збою, поки в мережу не буде доданий ще один вузол. Длявідновлення маркера досить двох станів: бездіяльності й опитування. Як увипадку реконфігурації, так і у випадку відновлення маркера, як тількивстановлюється NID, стан канального рівня змінюється на стан нормальної роботи.Деталі цього стану подані на рис. 3.5. Зауважимо, що перехід канального рівнядо стану нормальної роботи є фактично переходом до стану прослуховуваннявідповідно до рис. 3.5. Відзначимо також, що маркер можна сприйняти якзагублений (що викликає перехід до стану бездіяльності) тільки тоді, коликанальний рівень знаходиться в стані прослуховування. В усіх інших станах нарис. 3.6 вузол володіє маркером і тому не може загубити його.
/>
Рис. 3.6.Протокол для шини з передачею маркера (реконфігурація мережі та відновленнямаркера)
Колиновий вузол підключається до мережі, він входить до стану збою, при якому в середовищепочинає передаватися безперервна збійна послідовність. Перешкоди в середовищіповинні викликати втрату маркера, примушуючи таким чином усі вузли, що берутьучасть у передачі маркера по логічному кільцю, почати процедуру відновленнямаркера. Після збою всі вузли, включаючи і новий, переходять до станубездіяльності.
Вузолможна збудити, коли мине час його бездіяльності або коли він одержить маркер.Час бездіяльності різний для кожного вузла і пропорційний значенню ID. Оскількивсі вузли входять до стану бездіяльності практично одночасно, вузол із меншимзначенням ID збудиться першим.
Післязбудження вузол переходить до стану опитування, у якому він посилає маркернаступному вузлу в логічному кільці, починаючи з вузла NID, адреса якого наодиницю більше його власного ID (названого «my» ID або MID). Післяпосилання маркера вузлу, адресованому поточним значенням NID, вузол, що опитує,якийсь час чекає відповіді. Якщо в мережі немає вузла з таким ID, то немає івідповіді, і вузол, що опитує, збільшує NID на 1 і знову посилає маркер. Якщо вмережі є вузол із таким ID, він повинен бути в стані бездіяльності. Прихідмаркера збуджує його, і він сам починає опитування мережі. Початок опитуваннянаступним вузлом розглядається попереднім вузлом як відгук, і він вважає, щоNID встановлений і переходить до стану нормальної роботи. Таким чином, станопитування переходить від одного вузла до іншого за напрямком зростання розміруID.
Логічнекільце замикається, коли вузол із найбільшим ID встановлює NID, що є адресою вузла,який збудився першим (із найменшим значенням ID, наявним у мережі).
Нацей момент вузол із найменшим значенням ID уже знаходиться в стані нормальноїроботи. Таким чином, коли він одержує опитуючий маркер, він не продовжуєопитування, а посилає маркер вузлу з попередньо встановленим NID. На цьомуопитування завершується і реконфігурація кільця, або відновлення маркера,закінчується.
Схемадоступу до кільцевого середовища з передачею маркера.
Основнавідмінність між даною схемою і двома попередніми полягає у фізичній топологіїсередовища. Як метод CSMA/CD, так і метод доступу до шини з передачею маркера,використовують спосіб фізичного підключення до шини, на той час як кільцевасхема з передачею маркера будується на топології фізичного кільця.
Сигнали,передані вузлом мережі, заснованої на топології фізичної шини, поширюються повсьому середовищу (широкомовна передача). У топології фізичного кільця сигналипоширюються через однонаправлені двохточечні шляхи між вузлами мережі. Вузли йоднонаправлені ланки з’єднуються послідовно, формуючи фізичне кільце. У шиннійструктурі вузли діють тільки як передавачі або приймачі. Якщо вузол видалитьсяз мережі із шинною структурою, наприклад, у результаті несправності, це невплине на проходження сигналу до інших вузлів.
Деякімережі з кільцевою топологією використовують метод естафетної передачі.Спеціальне коротке повідомлення-маркер циркулює по кільцю, поки комп’ютер незажадає передати інформацію іншому вузлу. Він модифікує маркер, добавляєелектронну адресу і дані, а потім відправляє його по кільцю. Кожен ізкомп’ютерів послідовно одержує даний маркер із доданою інформацією і передаєйого сусідній машині, поки електронна адреса не збіжиться з адресоюкомп’ютера-отримувача, або маркер не повернеться до відправника. Комп’ютер, щоодержав повідомлення, повертає відправнику відповідь, яка підтверджує, щоповідомлення прийняте. Тоді відправник створює ще один маркер і відправляє йогов мережу, що дозволяє іншій станції перехопити маркер і почати передачу. Маркерциркулює по кільцю, поки якась із станцій не буде готова до передачі і незахопить його.
Укільцевій структурі при поширенні сигналу вузли відіграють активну роль. Длядосягнення вузла-отримувача сигнали, породжені портом вузла-відправника,повинні бути передані всіма вузлами, розміщеними по кільцю між вузламивідправника і отримувача. Відзначимо, що, як показано на рис. 3.7, у кожномувузлі сигнали передаються усередині самого вузла від прийомного порту допередаючого порту. Під час цієї передачі вузли можуть аналізувати імодифікувати вхідні сигнали.
/>
Рис. 3.7.Структура фізичного кільця
Перевагатакого рішення полягає в тому, що сигнали під час передачі можутьпідсилюватися, і, отже, максимальна довжина фізичного кільця не обмежуєтьсявнаслідок ослаблення сигналу в середовищі. Однак ушкодження окремого вузла абокабельного сегмента фізичного кільця призводить до руйнації шляху проходженнясигналів, і вся мережа виходить із ладу. Ця проблема кільцевих мереж ізпередачею маркера вирішується шляхом використання змішаної зірково-кільцевоїтопології (рис. 3.8).
Церішення вимагає використання ведучих концентраторів, що можна легко (можливо,автоматично) переключити для обходження ушкоджених вузлів. Проста змінавнутрішньої конфігурації ведучого концентратора призводить до роз’єднання вузлаC із мережею і зберігання кільцевого зв’язку для інших вузлів.
Як іу випадку шинної структури з передачею маркера, у схемі доступу до кільцевогосередовища в якості маркера використовується унікальна послідовність бітів.Однак у цьому випадку маркер не має адреси. Замість цього маркер можеперебувати в двох станах: вільному і зайнятому.
/>
Рис. 3.8.Зірково-кільцева топологія
Якщов жодному з вузлів кільця немає кадрів даних для передачі, вільний маркерциркулює по кільцю. Зауважимо, що на кожен конкретний момент часу в кільціциркулює тільки один вільний маркер (рис. 3.9, а). Вузол, у якого є кадр данихдля передачі, повинен чекати, поки не одержить вільний маркер. На моментприходу вільного маркера вузол змінює його стан на «зайнятий»,передає його далі по кільцю і добавляє до зайнятого маркера кадр даних.
/>
Рис. 3.9.Передача маркера і пакета в кільцевій мережі з передачею маркера
Зайнятиймаркер разом із кадром даних передається по всьому кільцю (рис. 3.9, б).Змінити стан маркера знову на вільний може тільки той вузол, який змінив йогона зайнятий. Кадр даних містить у своєму заголовку адресу отримувача. Припроходженні через вузол-отримувач кадр копіюється. Наприклад, кадр даних,сформований у вузлі А, був посланий вузлу С. Зайнятий маркер (разом із кадромданих, що надходить за маркером) повинен бути ретрансльованим вузлами B, С і D.Однак у вузлі С кадр даних буде скопійованим. Іншими словами, усі вузли кільця,за винятком вузла відправника, ретранслюють пакет, але його приймає тільки одиніз них (вузол-отримувач). Коли зайнятий маркер разом із кадром повертається увузол відправника, стан маркера змінюється на вільний, а кадр даних видаляєтьсяз кільця, тобто просто не передається далі (рис. 3.9, в).
Яктільки маркер стає вільним, будь-який вузол може змінити його стан на зайнятийі почати передачу даних.
Протоколкільцевої мережі з передачею маркера повинен вирішувати проблему втрати маркерав результаті помилок при передачі, а також при збоях у вузлі або в середовищі.Ці функції виконуються мережним моніторним вузлом. Наприклад, відсутністьпередач у мережі означає втрату маркера. Якщо виявлена втрата маркера, мережниймонітор починає процедуру відновлення кільця.
3.4Висновок
Такимчином, методи доступу до загального поділюваного середовища передачі данихможна розділити на два великих класи: випадкові і детерміновані.
Випадковіметоди доступу передбачають можливість захвату загального поділюваногосередовища передачі даних будь-яким вузлом мережі у довільний випадковий моментчасу, якщо в даний момент він вважає середовище вільним.
Детермінованіметоди, навпаки, передбачають можливість надання загального середовища врозпорядження вузла мережі за суворо визначеним (детермінованим) порядком.
Розділ4. Засоби здійснення авторізації доступу до каналів комп’ютерних мереж
4.1Місце процесів авторизації доступу при організації інформаційних систем наоснові комп’ютерних мереж
Інформаціяє одним з найбільш цінних ресурсів будь-якої компанії, тому забезпеченнязахисту інформації є одному з найважливіших і пріоритетніших завдань.
Безпекаінформаційної системи (ІС) — це властивість, що укладає в здатності системизабезпечити її нормальне функціонування, тобто забезпечити цілісність ісекретність інформації. Для забезпечення цілісності і конфіденційностіінформації необхідно забезпечити захист інформації від випадкового знищення абонесанкціонованого доступу до неї.
Підцілісністю розуміється неможливість несанкціонованого або випадкового знищення,а також модифікації інформації. Під конфіденційністю інформації — неможливістьвитоку і несанкціонованого заволодіння інформації, що зберігається, передаваноїабо такої, що приймається.
Відомінаступні джерела погроз безпеці інформаційних систем:
антропогенніджерела, викликані випадковими або навмисними діями суб'єктів;
техногенніджерела, що приводять до відмов і збоїв технічних і програмних засобів із-зазастарілих програмних і апаратних засобів або помилок в ПЗ;
стихійніджерела, викликані природними катаклізмами або форс-мажорними обставинами.
Усвою чергу антропогенні джерела погроз діляться:
навнутрішні (дії з боку співробітників компанії) і зовнішні (несанкціонованевтручання сторонніх осіб із зовнішніх мереж загального призначення) джерела;
наненавмисні (випадкові) і навмисні дії суб'єктів.
Існуєдостатньо багато можливих напрямів витоку інформації і шляхів несанкціонованогодоступу до неї в системах і мережах:
перехопленняінформації;
модифікаціяінформації (початкове повідомлення або документ змінюється або підміняєтьсяіншим і відсилається адресатові);
підмінаавторства інформації (хтось може послати лист або документ від вашого імені);
використаннянедоліків операційних систем і прикладних програмних засобів;
копіюванняносіїв інформації і файлів з подоланням мерів захисту;
незаконнепідключення до апаратури і ліній зв'язку;
маскуванняпід зареєстрованого користувача і привласнення його повноважень;
введеннянових користувачів;
впровадженнякомп'ютерних вірусів і так далі.
Длязабезпечення безпеки інформаційних систем застосовують системи захистуінформації, які є комплексом організаційно — технологічних мерів, програмно — технічних засобів і правових норм, направлених на протидію джерелам погрозбезпеці інформації.
Прикомплексному підході методи протидії погрозам інтегруються, створюючиархітектуру безпеки систем. Необхідно відзначити, що будь-яка системи захистуінформації не є повністю безпечною. Завжди доводитися вибирати між рівнемзахисту і ефективністю роботи інформаційних систем.
Дозасобів захисту інформації ІС від дій суб'єктів відносяться:
засобизахист інформації від несанкціонованого доступу;
захистінформації в комп'ютерних мережах;
криптографічнийзахист інформації;
електроннийцифровий підпис;
захистінформації від комп'ютерних вірусів.
Підзахистом інформації від несанкціонованого доступу понімається діставаннядоступу до ресурсів інформаційної системи шляхом виконання трьох процедур:ідентифікація, аутентифікація і авторизація.
Ідентифікація- привласнення користувачеві (об'єкту або суб'єктові ресурсів) унікальних імені код (ідентифікаторів).
Аутентифікація- встановлення достовірності користувача, що представив ідентифікатор абоперевірка того, що особа або пристрій, що повідомив ідентифікатор є дійсно тим,за кого воно себе видає. Найбільш поширеним способом аутентифікації єпривласнення користувачеві пароля і зберігання його в комп'ютері.
Авторизація- перевірка повноважень або перевірка права користувача на доступ до конкретнихресурсів і виконання певних операцій над ними. Авторизація проводиться з метоюрозмежування прав доступу до мережевих і комп'ютерних ресурсів.
Дляцентралізованого вирішення завдань авторизації в крупних мережах предназначенамережева служба Kerberos. Вона може працювати в середовищі багатьох популярнихопераційних систем. У основі цієї достатньо громіздкої системи лежить декількапростих принципів.
Умережах, що використовують систему безпеки Kerberos, всі процедуриаутентифікації між клієнтами і серверами мережі виконуються через посередника,якому довіряють обидві сторони аутентифікаційного процесу, причому такимавторитетним арбітром є сама система Kerberos.
Усистемі Kerberos клієнт повинен доводити свою автентичність для доступу докожної служби, послуги якої він викликає.
Всіобміни даними в мережі виконуються в захищеному вигляді з використаннямалгоритму шифрування.
Мережеваслужба Kerberos побудована по архітектурі клієнт-сервер, що дозволяє їйпрацювати в найскладніших мережах. Kerberos-клиент встановлюється на всіхкомп'ютерах мережі, які можуть звернеться до якої-небудь мережевої служби. Утаких випадках Kerberos-клиент від імені користувача передає запит наKerberos-сервер і підтримує з ним діалог, необхідний для виконання функційсистеми Kerberos.
Отже,в системі Kerberos є наступні учасники: Kerberos-сервер, Kerberos-клиент і ресурснісервери (рис. 4.1). Kerberos-клиенты намагаються дістати доступ до мережевихресурсів – файлів, додатком, принтеру і так далі Цей доступ може бути наданий,по-перше, тільки легальним користувачам, а по-друге, за наявності у користувачадостатніх повноважень, визначуваних службами авторизації відповідних ресурснихсервер, – файловим сервером, сервером додатків, сервером друку. /> />
Рис. 4.1.Три етапи роботи системи Kerberos
Протев системі Kerberos ресурсним серверам забороняється «безпосередньо» прийматизапити від клієнтів, їм дозволяється починати розгляд запиту клієнта тількитоді, коли на це поступає дозвіл від Kerberos-сервера. Таким чином, шляхклієнта до ресурсу в системі Kerberos складається з трьох етапів:
Визначеннялегальності клієнта, логічний вхід в мережу, отримання дозволу на продовженняпроцесу діставання доступу до ресурсу.
Отриманнядозволу на звернення до ресурсного сервера.
Отриманнядозволу на доступ до ресурсу.
Длявирішення першого і другого завдання клієнт звертається до Kerberos-серверу.Кожне з цих завдань вирішується окремим сервером, що входить до складуKerberos-сервера. Виконання первинної аутентифікації і видача дозволу напродовження процесу діставання доступу до ресурсу здійснюється так званимаутентифікаційним сервером (Authentication Server, AS). Цей сервер зберігає всвоїй базі даних інформацію про ідентифікатори і паролі користувачів.
Другузадачу, пов'язану з отриманням дозволу на звернення до ресурсного сервера,вирішує інша частина Kerberos-сервера – сервер квитанцій (Ticket-GrantingServer, TGS). Сервер квитанцій для легальних клієнтів виконує додатковуперевірку і дає клієнтові дозвіл на доступ до потрібного йому ресурсномусерверу, для чого наділяє його електронною формою-квитанцією. Для виконаннясвоїх функцій сервер квитанцій використовує копії секретних ключів всіхресурсних серверів, які зберігаються у нього в базі даних. Окрім цих ключівсервер TGS має ще один секретний DES-ключ, який розділяє з сервером AS.
Третєзавдання – отримання дозволу на доступ безпосередньо до ресурсу – вирішуєтьсяна рівні ресурсного сервера.
Вивчаючидосить складний механізм системи Kerberos, не можна не задатися питанням: якийвплив роблять всі ці численні процедури шифрування і обміну ключами напродуктивність мережі, яку частину ресурсів мережі вони споживають і як цепозначається на її пропускній спроможності?
Відповідьвельми оптимістична – якщо система Kerberos реалізована і конфігурованаправильно, вона трохи зменшує продуктивність мережі. Оскільки квитанціївикористовуються багато разів, мережеві ресурси, що витрачаються на запитинадання квитанцій, невеликі. Хоча передача квитанції при аутентифікаціїлогічного входу декілька знижує пропускну спроможність, такий обмін повиненздійснюватися і при використанні будь-яких інших систем і методіваутентифікації. Додаткові ж витрати незначні. Досвід впровадження системиKerberos показав, що час відгуку при встановленій системі Kerberos істотно невідрізняється від часу відгуку без неї – навіть в дуже великих мережах здесятками тисяч вузлів. Така ефективність робить систему Kerberos вельмиперспективною.
Середвразливих місць системи Kerberos можна назвати централізоване зберігання всіхсекретних ключів системи. Успішна атака на Kerberos-сервер, в якому зосередженався інформація, критична для системи безпеки, приводить до краху інформаційногозахисту всієї мережі. Альтернативним рішенням могла б бути система, побудованана використанні алгоритмів шифрування з парними ключами, для яких характернийрозподілене зберігання секретних ключів.
Щеоднією слабкістю системи Kerberos є те, що початкові коди тих застосувань,доступ до яких здійснюється через Kerberos, мають бути відповідним чиноммодифіковані. Така модифікація називається «керберизацией» додатку. Деякіпостачальники продають «керберизированные» версії своїх застосувань. Але якщонемає такої версії і немає початкового тексту, то Kerberos не може забезпечитидоступ до такого застосування.
4.2Настройка мережевих служб для здійснення авторизації доступу до мережі Інтернет
Класичнимвирішенням стандарта підприємства для організації Інтернет-сервісів є серверпід управлінням UNIX. Практично завжди для Web і FTP трафіку використовуютькеширующий сервер SQUID, який також є стандартом de facto.
Стандартнимспособом надання доступу до SQUID-серверу є доступ на основі специалицированныхсписків доступу (Access Lists або ACL). У свою чергу списки доступу зазвичайбудуються на основі IP-сетей, яким дозволений доступ до SQUID. Наприклад,визначимо ACL, яка описує мережу 10.128.0.0/16 (або з маскою 255.255.0.0). іACL, яка описує взагалі все адресаsquid.conf:
aclnet10128 src 10.128.0.0/16
aclall src 0.0.0.0/0
азараз дозволимо їй доступ до Інтернет ресурсам
http_accessallow net10128
авсім останнім — заборонимо:
http_accessdeny all
Післяцього, тільки комп'ютерам із заданої мережі дозволений доступ до Інтернет. Привикористанні Internet-ресурсов, в балку-файл squid записується інформація проконкретну адресу, що запитала конкретний Інтернет-ресурс: acess.log:
1032862411.26296 10.128.15.4 TCP_MEM_HIT/200 2581 GET
www.ru/eng/images/ssilki.jpg
board/sag NONE/- image/jpeg
Тутприсутсвует дата, розмір ресурсу, IP-адрес станції, зпросившей ресурс, і самресурс. З такого роду записів можна підрахувати трафік як по станції, так і попідмережі.
Протеприведена вище технологія дозволяє контролювати трафік по IP-адресуІнтернет-користувача. В більшості випадків цей спосіб цілком підходить, протепри цьому необхідно, щоб за конретним комп'ютером завжди працювала конкретналюдина.
Цяумова виконується не завжди і тоді облік трафіку порушується. Ось типові умови,при яких потрібна інша схема авторизації в Інтернеті:
Різнікористувачі працюють на одному і тому ж робочому місці (наприклад, позмінно).
Користувачівзагалі не прив'язані до конкретних комп'ютерів.
Користувачіпрацюють в термінальних сесіях термінального сервера. Тоді взагалі весьІнтернет-трафік йде з IP-адреса сервера.
Томучасто встає проблема обліку трафіку не на основі IP, а на основі іншоїінформації.
4.2.1Авторизація на основі логіна і пароля
Логічнимвирішенням проблеми авторизація на основі логіна і пароля є авторизація в SQUIDпо логіну і раолю. Така можливість в SQUID, естесвенно передбачена. У SQUID дляцього розроблена можливість авторизувати через зовнішню програму, яка просто«говорить» «та чи ні» на визначеного користувача і пароль.Т.ч. Можна проводити авторизацію по обліковому запису уміє проводитиавторизацію через облікові записи UNIX, через текстові файли і тому подібне
Наприклад,для того, щоб користувач авторизувався через файл /usr/local/squid/passwdформату Веб-сервера-авторизації (формат Apache), потрібно скомпілювати squidразом з цим модулем (--enable-auth=«ncsa; докладніше за див. документаціюдо SQUID). І в конфиг SQUID додати ACL вирішуюче правило:
Дозволитидоступ користувачам dima petya vasya, паролі яких будуть перевірені через файл/usr/local/squid/passwd
aclMYUSERS proxy_auth dima petya vasya
http_accessallow MYUSERS
http_accessdeny all
authenticate_program/usr/local/squid/bin/ncsa_auth /usr/local/squid/etc/passwd *
(*дляверсии 2.4).
Прицьому, це вирішує поставлені в „Введенні“ проблеми, проте додає деякінезручності користувачам і адміністраторові:
Припервинному вході в Інтернет користувачеві потрібно набратьв броузерелогін\пароль для доступу до SQUID. І кожному користувачеві необхідно пам'ятатисвої параметри.
Адміністраторовінеобхідно вести базу логінів і паролів у файлі.
4.2.2Авторизація через облікові записи Windows
Прироботі в Windows-мережах кожен користувач при вході в мережу проходитьавторизацію в NT(2000) -домене. Було б здорове використовувати ці дані дляавторизації SQUID. Тоді вирішуються проблеми ведення в SQUID окремої бази данихкористувачів і, як виявилось, можна вирішити проблему запиту логіна\пароля вброузере при вході в Інтернет.
Головнапроблема при вирішенні авторизації через Windows-домен — знайти і набудуватипрограму для авторизації заданого користувача в Windows-домене. Команда SQUIDрекомендує користуватися програмою winbindd, яка є частиною проекту SAMBA(реалізація Windows сервера і клієнта під UNIX), SQUID, починаючи з версії 2.5підтримує різні схеми авторизації по логіну\паролю, включаючи basic і NTLM (NTLan Manager). Basic-схема призначена для авторизації через введеннялогіна\пароля в броузере, а NTLM-схема призначена для автоматичного прийомуброузером логіна, пароля і домена, під якими користувач реєструвався вWindows-домене. Т.ч. за допомогою NTLM-авторизации можна автоматичнореєструватися в SQUID без ручного підтвердження логіна і пароля.
4.3.3Практичне вирішення побудови системи авторизації через Windows домен
Практичневирішення проблеми було знайдене досвідченим шляхом і може бути ненайвитонченішим і правильнішим. Але краса його в тому, що воно дороблене такінця і працює.
Початковідані:
1.Комп'ютер, підключений до Інтернет зі встановленою ОС: FREEBSD 4.4 (версія ісама ОС не мають принципового значення).
2.Мережа, що містить близько 200 Windows-станций, включаючи термінальні сервери іклієнти.
3.Близько 250 аккаунтов в домені під управлінням Windows 2000 Advanced сервер(домен WORK і 4 довірителях домена).
Завдання:
Забезпечитиавторизацію користувачів на SQUID через облікові записи Windows найбільшзручним способом.
Пландій:
1.Установкаі конфігурація SAMBA.
Отжеперше, що треба зробити — встановити SAMBA для того, щоб уміти авторизуватися вWindows-домене. Я встановив версію 2.2.6pre2. Причому, важливо скомпілюватиSAMBA з підтримкою winbind, тобто з параметрами:
-with-winbind
-with-winbind-auth-challenge
Примітка:
УFREEBSD SAMBA була зібрана з портів (ports) і виявилось, що з поточною версієюне збирається бібліотека CUPS. Тому SAMBA була зібрана без неї(--without_cups).
Післяустановки, SAMBA потрібно набудувати на домен Windows мережі і на використанняwinbind:
[global]
workgroup= WORK — Ім'я нашого Windows-домена
netbiosname = vGATE — Ім'я сервера (необов'язково)
serverstring = vGate
hostsallow = 10.128. 127. — Для безпеки.
winbindseparator = +
winbinduse default domain = yes
winbinduid = 10000-20000
winbindgid = 10000-20000
winbindenum users = yes
winbindenum groups = yes
templatehomedir = /home/winnt/%D/%U
templateshell = /bin/bash
maxlog size = 50
security= domain
passwordserver = Primary Exch — сервери паролів (PDC, BDC)
encryptpasswords = yes
Слідзвернути увагу на 2 речі:
1. Спочаткув параметрі password server був вказаний тільки PDC (Primary) і winbind не змігзнайти контроллер домена. Все запрацювало коли був доданий BDC (Exch).
2. Обидваімена — це NETBIOS імена і для того, щоб вони равильно інтерпретувалися в IP япрописав їх в /usr/local/etc/lmhosts
10.128.1.40Primary
10.128.1.34Exch
Післяцього необхідне заригестрировать SAMBA в домені Windows. Для цього нужэнонабрати команду:
/usr/local/sbin/smbpass-j WORK (наш домен) -r Primary(наш PDC) -UAdministrator
Післяцього, слід ввести пароль адміністратора домена.
Спостерігалисяпроблеми з samba 2.2.4 і реєстрацією в нашому домене — саме тому булапоставлена версія 2.2.6 з портів.
Даліможна запустити nmbd (/usr/local/sbin/nmbd -D) краще з включеним дебагом (-d9)і подивитися в балку-файл, що мережа нормально видно.
Даліможна сміливо пускати winbindd (/usr/local/sbin/winbindd -d9) — теж з дебагом іподивитися як він себе „відчуває“ в нашій мережі. Опісля зразковосекунд 10, можна перевірити а чи запустився winbind і чи функціонує він.
Длявзаємодії з winbind служить команда wbinfo. Перевірити чи „бачить“вона winbindd взагалі можна командою wbinfio -p. Якщо вона відповість: 'ping'to winbindd succeeded, то означає все гаразд. Інакше треба дивитися вбалку-файл winbindd і розуміти чому він не запустився. (Насправді запускаєтьсявін завжди, та ось на запити відповідає тільки якщо правильно бачить мережа).Далі можна спробувати перевірити а чи бачить winbindd сервер з паролямикористувачів (wbinfo -t). Сервер повинен сказати „Secret is good“. І,нарешті, можна спробувати авторизуватися з UNIX в Wondows домен:
wbinfo-a пользователеь_домена%пароль.
Якщокористувач авторизувався, буде видано:
plaintextpassword authentication succeeded
errorcode was NT_STATUS_OK (0x0)
challenge/responsepassword authentication succeeded
errorcode was NT_STATUS_OK (0x0)
Якщонеправильний пароль, то:
errorcode was NT_STATUS_WRONG_PASSWORD (0xc000006a)
Couldnot authenticate user dmn%doct with plaintext password
challenge/responsepassword authentication faile
errorcode was NT_STATUS_WRONG_PASSWORD (0xc000006a)
Couldnot authenticate user dmn with challenge/response
Всеце означає, що модуль wbinfo нарешті настроєний і правильно функціонує. Можнаприступати до налаштування SQUID.
Теперпотрібно набудувати SQUID.
Спершу,потрібно відзначити, що NTLM схему підтримує SQUID, починаючи з версії 2.5.Тому я викачав версію 2.5.PRE13.
Далі,SQUID потрібно скомпілювати з підтримкою схем авторизації і модулем:
winbind../configure-enable-auth=»ntlm,basic" \
--enable-basic-auth-helpers=«winbind»\
--enable-ntlm-auth-helpers=«winbind»
Теперможна перевірити а чи розуміє SQUID-овский авторизатор winbind. Для цьогопотрібно запустити:
/usr/local/squid/libexec/wb_auth-d
Іввести уручну ім'я пароль (через пропуск).
Якщовсе працює коректно, то програма видасть:
/wb_auth[91945](wb_basic_auth.c:129):Got 'Dmn XXXXX' from squid (length: 10).
/wb_auth[91945](wb_basic_auth.c:55):winbindd result: 0
/wb_auth[91945](wb_basic_auth.c:58):sending 'OK' to squid
Післяцього, потрібно набудувати squid, щоб він коректно працював на основіIP-авторизації.
Теперзалишилося підключити авторизацію до SQUID. Для цього в конфиге SQUID потрібноописати в схеми авторизації через winbind:
auth_paramntlm program /usr/local/squid/libexec/wb_ntlmauth
auth_paramntlm children 5
auth_paramntlm max_challenge_reuses 0
auth_paramntlm max_challenge_lifetime 2 minutesauth_param basic program/usr/local/squid/libexec/wb_auth
auth_parambasic children 5
auth_parambasic realm Squid proxy-caching web server
auth_parambasic credentialsttl 2 hours
Причомуважливо щоб NTLM авторизація йшла першою, інакше застосовуватиметьсяавторизація basic і IE питатиме пароль.
Даліпотрібно зробити соответсвующую ACL і параметр доступу. Важливо, щоб це йшлопісля опису авторизацій.
aclmyusers proxy_auth REQUIRED
http_accessallow myusers
http_accessdeny all
Теперзалишається запустити SQUID і все перевірити.
Щомає бути:
Якщокористувач авторизувався в домені, то IE не запитає пароль, а пойдетт відразу вІнтернет. Причому, в лог-файле SQUID буде безцінна інформація, а хто це був:
1032943720.839180 10.128.36.5 TCP_CLIENT_REFRESH_MISS/200 1280 GEThttp://www.ru/eng/images/demos.jpg work\dmn DIRECT/194.87.0.50 image/jpeg
ТобтоЦе був користувач dmn з домена work.
Якщокористувач не авторизувався в домені — його запитають логін і пароль. Якщо вінвведе логін\пароль такій же, як при вході в домен, то його пустять в Інтернет.
Якщокористувач користується не IE (наприклад, Mozilla, Netscape, Opera), він будеповинен набрати свій логін і пароль для авторизації в Windows.
Якщоаккаунт в Windows-домене закритий, то і доступ в Інтернет буде закритий.
4.3Практичні рекомендації щодо забезпечення доступу до каналів комп’ютерної мережіпідприємства
Сукупністьзасобів і правил обміну інформацією утворюють інформаційну систему (ІС)підприємства. Забезпечення доступу співробітників підприємства до ресурсівінформаційної системи є інформаційною підтримкою їх діяльності. Керівництвобудь-якого підприємства прагнути забезпечити безперервність інформаційноїпідтримки своєї діяльності а, отже, постійно ставить і вирішує завдання захистувласної інформаційної системи.
Засобомзабезпечення інформаційної підтримки підприємства в переважній більшостівипадків є його комп'ютерна мережа. Такі засоби, як голосова телефонія ірадіозв'язок, факс і традиційна пошта не розглядаються нами окремо відкомп'ютерних мереж, оскільки можливості зловмисника, що використовує тільки цізасоби без залучення комп'ютерних технологій, сильно обмежені. Крім того,захист голосової інформації, факсних і поштових відправлень, забезпечуєтьсяінженерно-технічними засобами і організаційними заходами. Застосування тількицих засобів і мерів для захисту комп'ютерних мереж явно недостатньо у зв'язку зособливостями побудови мереж цього класу. Далі ми розглянемо особливостіпобудови комп'ютерних мереж як засоби інформаційної підтримки підприємства,деякі, відомі уразливості комп'ютерних мереж і рекомендації по їх усуненню.
Особливостіархітектури комп'ютерних мереж описані семирівневою моделлю взаємодії відкритихсистем (Open Systems Interconnection, OSI), розроблена Міжнародним комітетом ізстандартизації ISO (найчастіше використовується скорочене найменування —«модель ISO/OSI» або просто «модель OSI»). Відповідно до концептуальнихположень цієї моделі процес інформаційного обміну в комп'ютерних мережах можнарозділити на сім етапів залежно від того, яким чином, і між якими об'єктамивідбувається інформаційний обмін. Ці етапи називаються рівнями моделі взаємодіївідкритих систем. Термін «відкрита система» означає, те, що при побудові цієїсистеми були використані доступні і відкрито опубліковані стандарти іспецифікації. Кожному рівню моделі відповідає певна група стандартів іспецифікацій.
Даліми розглянемо послідовно особливості обробки інформації на фізичному, канальному,мережевому і транспортному рівнях. По кожному рівню будуть представленівідомості про уязвимостях механізмів інформаційної взаємодії, характерних дляданого рівня і рекомендації по усуненню цих уязвимостей.
4.3.1Авторизація доступу на фізчному рівні організації комп’ютерних мереж
Найнижчийрівень моделі взаємодії відкритих систем описує процеси, що відбуваються нафізичному рівні або рівні середовища передачі. Інформація, що обробляється вкомп'ютерних мережах, представлена дискретними сигналами і при передачі залежновід характеристик середовища представляється кодуванням або модуляцією.Стандарти фізичного рівня встановлюють вимоги до складових середовища:кабельній системі, роз'ємам, модулям сполучення з середовищем, формату сигналівпри кодуванні і модуляції.
Забезпечитибезпеку інформаційного обміну на фізичному рівні моделі можна за рахунокструктуризації фізичних зв'язків між вузлами комп'ютерної мережі. Захищенефізичне середовище передачі даних є першим рубежем для зловмисника або перешкодоюдля дії руйнівних чинників оточення.
Даліприведені класифікація і характеристики середовищ передачі, використовуванихпри побудові комп'ютерних мереж:
1.Середовище передачі — коаксіальний екранований мідний кабель. Використання дляпередачі такого типу середовища припускає наявність топології фізичних зв'язків«загальна шина». Тобто один кабельний сегмент використовується для підключеннявсіх вузлів мережі. Порушення цілісності кабельного сегменту приводить довідмови мережі. Всі вузли мережі такої топології (зокрема вузол зловмисника)мають можливість управляти процесом передачі інформації. Комп'ютерні мережі,побудовані на цьому принципі, уразливі найбільшою мірою. Зловмисниквикористовує механізми розділення середовища передачі в мережах цього типу дляпрослуховування трафіку всіх вузлів і організації атак відмови в доступі доокремих вузлів або всієї мережі в цілому.
2.Середовище передачі, утворене мідною витою парою.Топологія фізичних зв'язків«зірка». Кількість кабельних сегментів в даній мережі відповідає кількостівузлів. Порушення цілісності середовища одного кабельного сегменту не впливаєна працездатність всієї мережі. Найуразливішим елементом мережі є центральнийкомунікаційний пристрій (концентратор або комутатор). Фактично пристрої цьогокласу є засобом розділення середовища передачі.
Концентраторутворює єдине середовище передачі, доступне всім вузлам мережі. Комп'ютернімережі, побудовані на цих пристроях, по специфіці розділення фізичногосередовища передачі відповідають мережам топології «загальна шина». Середовищепередачі, утворене концентратором, дозволяє зловмисникові реалізуватипрослуховування трафіку і атаку відмови в доступі, засновану на широкомовнійрозсилці повідомлень. При цьому зловмисник може не мати безпосереднього фізичногодоступу до самого концентратора.
Комутаторивикористовуються для здійснення поперемінного доступу вузлів до середовищапередачі. Розділення фізичного середовища передачі між вузлами в часі утрудняєпрослуховування мережі зловмисником і створює додаткову перешкоду дляздійснення атак відмови в доступі, заснованих на широкомовній розсилціповідомлень в мережі.
Використаннятих і інших пристроїв як засобів утворення середовища передачі дозволяєзловмисникові викликати відмову всієї мережі у нього фізичного доступу до нихабо до системи їх енергопостачання.
Крімтого, для всіх різновидів мідних кабельних систем, використовуваних яксередовище передачі даних, має місце наявність побічного електромагнітноговипромінювання і наведень (ПЕМІН). Не дивлячись на свою вторинність, ПЕМІН єінформативним для зловмисника і дозволяє йому аналізувати списи мережевоїактивності, а за наявності аналізатора спектру електромагнітноговипромінювання, здійснити перехоплення передаваних середовищем передачіповідомлень.
3.Середовище передачі, утворене оптоволоконним кабелем. Як правило,використовується при побудові магістральних каналів зв'язку. Типова топологіяфізичних зв'язків для такого типу середовища передачі — «крапка-крапка» і«кільце». Проте, останнім часом, у зв'язку із здешевленням засобів комутації,оснащених інтерфейсами для підключення оптоволокна, все частіше зустрічаєтьсявикористання цього різновиду кабелю при побудові локальних мереж зіркоподібноїтопології. Істотною перевагою оптоволоконної кабельної системи перед мідною євідсутність ПЕМІН, що сильно утрудняє перехоплення передаваних середовищемповідомлень. Уразливою ланкою топології «зірка» для оптоволоконного середовищапередачі також є концентратори або комутатори.
Важливимчинником при забезпеченні надійності роботи комп'ютерної мережі і, як наслідок,безперервності інформаційної підтримки підприємства є наявність резервнихзв'язків. Найбільш відповідальні сегменти мережі, використовувані для зв'язку зкритично важливими вузлами комп'ютерної мережі необхідно дублювати. При цьомурішення задачі «гарячого резервування» кабельної системи покладається наканальний і мережевий рівні взаємодії. Наприклад, у разі порушення цілісностіосновного кабельного сегменту — комутатор, оснащений функцією гарячого резервуванняпортів, здійснює трансляцію кадрів канального рівня на резервний порт. Прицьому підключений до комутатора вузол, у зв'язку з недоступністю середовищапередачі на основному мережевому інтерфейсі починає прийом і передачу черезрезервний мережевий інтерфейс. Використання мережевих інтерфейсів вузломзаздалегідь визначене пріоритетами його таблиці маршрутизації.
Додатковийзахист мережі можна забезпечити за рахунок обмеження фізичного доступузловмисника до кабельної системи підприємства. Наприклад, використанняприхованої проводки є перешкодою зловмисникові, що здійснює спроби моніторингумережевої активності і перехоплення повідомлень з використанням засобів аналізуПЕМІН.
Гнучкістьсистеми управління доступом до середовища передачі даних забезпечується зарахунок перспективного будівництва структурованої кабельної системи (СКС)підприємства. При проектуванні і будівництві СКС необхідно передбачитиіндивідуальні лінії зв'язку для всіх вузлів комп'ютерної мережі. Управлінняконфігурацією фізичних зв'язків повинне здійснюватися центарлизовано.
Нижчеприведені основні рекомендації, що дозволяють понизити вірогідністьексплуатації кабельної системи комп'ютерної мережі підприємства зловмисником.
1.Конфігурація фізичних зв'язків, що рекомендується, в комп'ютерній мережіпідприємства — «зірка», при цьому для підключення кожного вузла виділенийокремий кабельний сегмент. Як середовище передачі використовуєтьсявосьмижильний мідний кабель типу «витаючи пара» або оптоволокно.
2.Для підключення критично важливих для підприємства серверів використовують двакабельні сегменти — основний і резервний.
3.Прокладка мережевого кабелю здійснюється в прихованій проводці, або вкабель-каналах, що закриваються, з можливістю опечатання не зриваниминаклейками — «стикерами».
4. Кабельнісегменти, використовувані для підключення всіх вузлів комп'ютерної мережі,мають бути сконцентровані на одній комутаційній панелі.
5. Упочатковій конфігурації топології фізичних зв'язків має бути виключене сумісневикористання середовища передачі будь-якою парою вузлів мережі. Винятокстановить зв'язок з «вузол-комутатор».
6.Управління конфігурацією фізичних зв'язків між вузлами здійснюється тільки накомутаційній панелі.
7.Комутаційна панель змонтована в комутаційній шафі, що замикається. Доступ вприміщення комутаційної шафи строго обмежений і контролюється службою безпеціпідприємства.
Нарис. 4.2 приведені рекомендації по побудові комп'ютерної мережі на фізичномурівні.
/>
Рис.4.2. Рекомендації по побудові комп'ютерної мережі на фізичному рівні.
Особливийклас середовищ передачі складає безпровідне середовище передачі аборадіочастотний ресурс. При побудові комп'ютерних мереж підприємств в даний часшироко застосовується технологія RadioEthernet. Топологія фізичних зв'язківмереж, побудованих за цим принципом, — або «крапка-крапка», або «зірка».Особливість організації безпровідних мереж передачі даних, побудованих звикористанням технології RadioEthernet, припускає наявність у зловмисникаповного доступу до середовища передачі. Зловмисник, що володіє радіомережевимадаптером в змозі без зусиль організувати прослуховування радіомережі передачіданих. Паралізувати роботу такої мережі можна за умови наявності у зловмисникавипромінювача, працюючого 2ГГц-овом в діапазоні частот і що володіє вищими впорівнянні з випромінювачами радіомережі, що атакується, потужностнимихарактеристиками.
Рекомендаціїпо захисту радіомереж передачі даних.
1.Служба безпеці повинна забезпечити строге обмеження фізичного доступу персоналупідприємства і повне виключення доступу сторонніх на майданчики монтажуприймального і випромінюючого устаткування радіомереж передачі даних. Доступ намайданчики повинен контролюватися службою безпеці підприємства.
2. Прокладкависокочастотного кабелю має бути виконана прихованим способом або в коробах зподальшим опечатанням коробів «стикерами».
3.Довжина високочастотного кабельного сегменту має бути мінімальною.
4.Доступ в приміщення з радіомодемами, радіомостами і станціями, оснащенимирадіомережевими адаптерами повинен строго контролюватися службою безпеціпідприємства.
5.Адміністратор мережі повинен детально документувати процедури налаштуваннярадіомодемів, радіомостів і станцій, оснащених радіомережевими адаптерами.
6.Адміністратор мережі повинен регулярно міняти реквізити авторизації длявидаленого управління цими пристроями.
7.Адміністратор мережі повинен виділити окремий адресний пул для адмініструванняцих пристроїв по мережі.
8.Адміністратор мережі повинен відключити невживані функції радіомодемів,радіомостів і станцій, оснащених радіомережевими адаптерами.
9.Адміністратор повинен активувати функції радіомодему або радіомостазабезпечуючі «тунелирование» і криптографічний захист передаваних повідомлень,що приймаються.
10.Адміністратор повинен контролювати доступ до радіомодемів, радіомостів істанцій, оснащених радіоадаптерами з боку вузлів комп'ютерної мережіпідприємства. Одін з можливих способів контролю — використання міжмережевогоекрану.
4.3.2Авторизація доступу на канальному рівні організації комп’ютерних мереж
Забезпеченнябезпеки розділення середовища передачі комунікаційними засобами канальногорівня. Протоколи і стандарти цього рівня описують процедури перевіркидоступності середовища передачі і коректності передачі даних. Здійсненняконтролю доступності середовища необхідне оскільки специфікації фізичного рівняне враховують те, що в деяких мережах лінії зв'язку можуть розділяється міждекількома взаємодіючими вузлами і фізичне середовище передачі може бутизайнята. Переважна більшість комп'ютерних мереж побудована на основі технологійEthernet, Fast Ethernet і Gigabit Ethernet. Алгоритм визначення доступностісередовища для всіх технологій однаковий і заснований на постійномупрослуховуванні середовища передачі всіма підключеними до неї вузлами. Цяособливість використовується зловмисниками для організації різних видів атак накомп'ютерні мережі. Навіть за умови дотримання рекомендацій щодо виключеннярозділення середовища передачі зловмисник може здійснити прослуховуваннятрафіку між довільно вибраною парою вузлів комп'ютерної мережі. Причомувикористання простих комутаторів не є серйозною перешкодою для зловмисника.Твердження про повну захищеність мереж, побудованих на основі топології фізичнихзв'язків «зірка» і оснащених простими комутаторами, є серйозною помилкою. Даліми розглянемо недоліки застосування простих комутаторів як засоби забезпеченняінформаційного обміну в комп'ютерних мережах на канальному рівні.
Процеспередачі інформації від одного вузла (А) до іншого (Б) через простій комутаторвідбувається поетапно і дані передаються блоками. Розмір блоків визначенийстандартом канального рівня. Блок даних, яким оперує протокол канального рівня,називається кадром. Припустимо, що передавальний вузол (А) визначив доступністьсередовища і початків передачу. У першому передаваному кадрі буде широкомовнийзапит до всіх вузлів мережі про пошук вузла з необхідним мережевою адресою. Цейзапит містить апаратна адреса вузла відправника (А) і його мережева адреса (вданому випадку мова йде про IP як протоколі мережевого рівня). Відмітимо, щокомутатор відповідно до вимог специфікацій канального рівня зобов'язанийпередати цей широкомовний запит всім підключеним до його портів вузлам.Звернемо увагу також на те, що в нашій комп'ютерній мережі виконана вимога провиключення розділення середовища передачі між двома вузлами, і кожен вузолпідключений безпосередньо до свого порту комутатора. Проте, незважаючи, навиконання даної рекомендації, зловмисник отримає широкомовний запит вузла (А),оскільки вузол його (зловмисника може) опинитися шуканим. Таким чином,зловмисник отримуватиме нарівні зі всіма останніми широкомовні запити на дозвілмережевих адрес. Накопичуючи відомості з широкомовних запитів, зловмисникматиме уявлення про мережеву активність всіх вузлів. Тобто про те — хто, і вякий час і з ким намагався почати інформаційний обмін. За допомогою цієїнескладної техніки зловмисник може визначити апаратні і мережеві адреси вузлівщо є серверами або маршрутизаторами. Кількість запитів на дозвіл мережевоїадреси сервера або маршрутизатора буде на декілька порядків вище, ніж звичайнійробочій станції. Сформувавши таким чином відомість мережевої активності і картумережі з адресами передбачуваних серверів і маршрутизаторів, зловмисник можевідразу приступити до реалізації атак відмови в доступі до цих вузлів.Відмітимо при цьому, що в процесі збору широкомовних пакетів зловмисник непроявляв ніякої мережевої активності, тобто залишався невидимим для всіх вузлівмережі окрім простого комутатора, до порту якого він підключений.
Розглянемо,що відбувається після того, як вузол призначення (Б) отримав кадр із запитом надозвіл своєї мережевої адреси. Згідно вимог специфікацій канального рівня,вузол, що отримав широкомовний кадр, що містить запит на дозвіл своєї мережевоїадреси, зобов'язаний передати відправникові цього кадру відповідь, що міститьвласні мережеву і апаратну адреси. Відповідь вузла (Б) буде вже неширокомовною, а адресованою вузлу (А). Комутатор, зобов'язаний транслювативідповідь вузла (Б) тільки на той порт, до якого підключений вузол (А). Такимчином, кадр канального рівня, що містить відповідь вузла (Б) вже ніяк непотрапить до зловмисника. Це пояснюється тим, що середовище передачі, використовуванедля підключення зловмисника до комутатора, буде вільне у момент передачівідповіді. Після отримання кадру з відповіддю, вузол (А) дізнається апаратна(MAC) адреса вузла (Б) і зможе почати передачу пакетів мережевого рівня нааресу вузла (Б). Подальші аспекти взаємодії вузлів знаходяться позакомпетенцією протоколів канального рівня. Завдання протоколу канального рівнявважається за виконане, якщо що обмінюються даними вузли знають апаратні адресиодин одного і можуть інкапсулювати мережеві пакети в кадри канального рівня, щоідентифікуються комутатором по MAC-адресам вузлів.
Уразливістьсистеми дозволу мережевих адрес, описаної вище (у IP-сетях ця системаназивається ARP — Address Resolution Protocol) полягає в тому, що вузол (А)довіряє вмісту кадру з відповіддю. Тобто дані, передані у відповідь на запитпро дозвіл мережевої адреси, ніяк не перевіряються і нічим не підтверджуються.Цією уразливістю і скористається зловмисник, охочий підмінити собою вузол (Б)або прослуховувати потік кадрів, передаваних між будь-якими двома вузламимережі. Відбувається це таким чином. Зловмисник, вузол якого далі позначимолітерою (Х), завчасно визначає апаратну і мережеву адреси вузлів, щоатакуються. Потім починає безперервно відправляти на аресу вузла (А) помилкові відповідіз вказівкою мережевої адреси вузла (Б) і апаратної адреси свого вузла (Х).Отримуючи помилкові відповіді вузол (А) перебудовує свою таблицю дозволумережевих адрес і з цієї миті всі кадри, що відправляються їм на аресу вузла(Б) матимуть в заголовку апаратну адресу вузла зловмисника. Оскільки простийкомутатор ухвалює рішення про трансляцію кадру на той або інший порт тільки напідставі апаратної адреси, вказаної в заголовку цього кадру, зловмисникотримуватиме всі повідомлення, адресовані вузлу (Б). Якщо зловмисниковінеобхідно організувати прослуховування трафіку між вузлами (А) і (Б) вінздійснює помилкову розсилку відповідей на аресу обох вузлів і отримані в своюадресу кадри після перегляду і аналізу транслює вузлу, якому вони призначалися.
Описанавище техніка підміни апаратних адрес (у народі відома під англомовною назвоюARP spoofing) не є новою, різні варіанти її реалізації доступні користувачаммережі Інтернет у вигляді готових програм з докладним керівництвом користувача.Проте, практика показує, що в комп'ютерних мережах підприємств продовжуєтьсявикористання дешевих простих комутаторів на відповідальних ділянках припідключенні критично важливих для підприємства вузлів (серверів,маршрутизаторів і так далі). Комп'ютерні мережі, оснащені багатофункціональнимикерованими комутаторами, часто також залишаються уразливими до подібного родуатакам. У багатьох випадках функції захисту і розмежування доступу досередовища передачі, реалізовані в цих виробах, залишаються незатребуваними узв'язку з недоліком кваліфікації або недбалістю системних адміністраторів. Крімтого, ефективне розмежування доступу засобами канального рівня можливо тількиза умови повної інвентаризації вузлів мережі і формалізації правил взаємодіїміж ними. На практиці керівництво підприємства неохоче виділяє кошти напроведення подібних робіт, не розуміючи їх важливості для забезпечення захистукомп'ютерної мережі.
Нижчеприведені рекомендації, проходження яким дозволяє додатково захиститикомп'ютерну мережу підприємства засобами канального рівня.
1.Адміністратор служби безпеці повинен вести інвентаризаційну відомістьвідповідності апаратних і мережевих адрес всіх вузлів мережі підприємства.
2.Службою безпеці, спільно з відділом інформаційних технологій, має бутирозроблена політика захисту комп'ютерної мережі засобами канального рівня, щовизначає допустимі маршрути передачі кадрів канального рівня. Розробленаполітика повинна забороняти зв'язки типу «один-ко-многим», не обгрунтованівимогами інформаційної підтримки діяльності підприємства. Політикою також маютьбути визначені робочі місця, з яких дозволена конфігурація засобів комутаціїканального рівня.
3.Засоби комутації канального рівня, використовувані в комп'ютерній мережіпідприємства, мають бути такими, що настроюються і забезпечувати розмежуваннядоступу між вузлами мережі відповідно до розробленої політики. Як правило, такізасоби підтримують технологію VLAN, що дозволяє в рамках одного комутаторавиділити групи апаратних адрес і сформувати для них правила трансляції кадрів.
4.Адміністратор мережі повинен виконати налаштування підсистеми управління VLANкомутатора, і інших підсистем, необхідних для реалізації розробленої політикизахисту. У обов'язку адміністратора входить також відключення невживанихпідсистем комутатора.
5.Адміністратор мережі повинен регулярно контролювати відповідність конфігураційкомутаторів розробленій політиці захисту.
6.Адміністратор мережі повинен вести моніторинг мережевої активності користувачівз метою виявлення джерел аномально високої кількості широкомовних запитів.
7.Служба безпеці повинна контролювати регулярність зміни реквізитів авторизаціїадміністратора в підсистемах управління комутаторами.
8.Служба безпеці повинна контролювати регулярність виконання адміністраторомзаходів, пов'язаних з моніторингом мережі, здійсненням профілактичних робіт поналаштуванню комутаторів, а також створенням резервних копій конфігураційкомутаторів.
9.Служба безпеці повинна забезпечити строгий контроль доступу в приміщення, вяких розташовані комутатори і робочі станції, з яких дозволено управліннякомутаторами. На рис. 4.3 приведений приклад формалізованої політики захистукомп'ютерної мережі засобами канального рівня.
/>
Рис.4.3. Приклад формалізованого запису політики захисту комп'ютерної мережізасобами канального рівня.
Вцентрі схеми знаходиться керований комутатор, що забезпечує реалізацію правилполітики безпеки. Атрибути комутатора перераховані у верхній частині блоку, айого операції (функції) в нижней. Вузли мережі згруповані за функціональноюознакою. Приклад запису правил фільтрації трафіку керованим комутаторомприведений з права у відповідній нотації.
4.3.3Авторизація доступу на мережевому рівні організації комп’ютерних мереж
Використанняв комп'ютерній мережі протоколів мережевого рівня є необхідною умовою длязабезпечення взаємодії між вузлами мереж з різними канальними протоколами.Мережеві протоколи дозволяють подолати обмеження, що накладаютьсяспецифікаціями канального рівня. Наприклад, дозволяють об'єднати комп'ютернумережу підприємства з мережею інтернет-провайдера з використанням телефоннихмереж загального користування. Зробити це тільки засобами канальних протоколівдосить складно. Крім того, об'єднання двох різних за призначенням мереж звикористанням мостів украй негативно позначається на рівні захищеностіоб'єднуваних мереж. В більшості випадків адміністратор і служба безпеціпідприємства не можуть повністю проинвентаризировать вузли мережі, що підключається,і, отже, формалізувати правила обміну кадрами канального рівня.
Другийважливий аспект використання протоколів мережевого рівня — це розмежуваннядоступу до ресурсів усередині мережі підприємства, що використовує тільки одинстандарт канального рівня. Використання для цієї мети протоколів мережевогорівня вельми ефективно навіть для мереж, побудованих з використанням тількиодного стандарту канального рівня. Проблема сумісності в таких мережах неактуальна, і тому корисні властивості мережевих протоколів можнавикористовувати для захисту від дії на мережу зловмисника. Однією з такихвластивостей є використання протоколами мережевого рівня роздільної схемиадресації мережі (тобто групи комп'ютерів) і окремо узятого вузла цієї групи.Зокрема адреса протоколу мережевого рівня IP складається з двох частин — номерамережі, і номера вузла. При цьому максимально можлива кількість вузлів в мережіабо її адресний простір визначається значенням мережевої маски або (раніше, довведення безкласової маршрутизації CIDR) класом мережі.
Дануособливість адресації можуть використовувати як адміністратор мережі, так ізловмисник. Одним із завдань адміністратора мережі і співробітників службибезпеці є захист адресного простору мережі від можливості його використаннязловмисником. Частково цю функцію виконують механізми маршрутизації,реалізовані модулями протоколу мережевого рівня. Тобто здійснення обміну міжвузлами мереж з різними номерами неможливе без попереднього налаштуваннялокальних таблиць маршрутизації вузлів цих мереж, або без внесення змін доконфігурації маршрутизатора, що здійснює обмін пакетами (пакетом називаєтьсяблок даних, з яким працює протокол мережевого рівня).
Протемайже завжди в адресному просторі мережі залишається частина адрес, не зайнятихзараз і тому доступних для експлуатації зловмисником. Це пояснюється форматомпредставлення номера мережі і номера вузла IP-протокола. Кількість вузлів вмережі — це завжди 2n, тобто 4,8,16,32,64 і так далі Реальна ж кількість вузлівне буває такою. Крім того, адміністратор завжди прагне зарезервувати адреснийпростір для нових вузлів. Саме цей резерв може і буде використаний зловмисникомдля здійснення атак на функціонуючі вузли комп'ютерної мережі.
Вирішенняпроблеми очевидне — потрібно використовувати весь адресний простір і не датизловмисникові можливості захопити адреси невживаних вузлів. Одним із способів єзастосування служби моніторингу мережі і підтримки віртуальних вузлів врезервному діапазоні адрес. Дана служба постійно використовує вільний адресний простірмережі, створюючи власні віртуальні хосты (нові віртуальні хосты створюютьсявідразу після відключення від мережі реально функціонуючих довірених вузлів).Таким чином, служба підміняє собою відсутні зараз робочі станції, сервери,маршрутизатори і так далі
4.3.4Авторизація доступу на транспортному рівні організації комп’ютерних мереж
Використаннявластивостей транспортних протоколів створює найбільш ефективну перешкодудіяльності зловмисника. Тут для захисту використовуються ознаки, що містяться взаголовках сегментів (сегмент — блок даних з якими працює транспортнийпротокол) транспортного протоколу. Цими ознаками є тип транспортного протоколу,номер порту і прапор синхронізації з'єднання.
Якщозасобами канального рівня можна захистити апаратуру комп'ютерної мережі, апротоколи мережевого рівня дозволяють розмежувати доступ до окремих хостам іпідмереж, то транспортний протокол використовується як засіб комунікаціїмережевих застосувань, що функціонують на платформі окремих вузлів (хостов).Будь-яке мережеве застосування використовує транспортний протокол для доставкиоброблюваних даних. Причому у кожного класу додатків є специфічний номертранспортного порту. Ця властивість може бути використане зловмисником дляатаки на конкретний мережевий сервіс або службу, або адміністратором мережі длязахисту мережевих сервісів і служб.
Адміністраторформує політику захисту мережі засобами транспортного рівня у вигляді відомостівідповідності хостов, використовуваних ними мережевих адрес і довіренихзастосувань, що функціонують на платформах цих хостов. Формалізований записцієї відомості є табличною структурою, що містить:
—перелік вузлів (хостов), їх символьні імена;
—відповідні цим вузлам (хостам) мережеві адреси;
—перелік використовуваних кожним вузлом (хостом) транспортних протоколів;
—перелік мережевих застосувань, що функціонують в кожному вузлі і відповідні цимзастосуванням порти транспортного протоколу;
— покожному мережевому застосуванню необхідно встановити, чи є воно споживачем абопостачальником ресурсу, тобто чи дозволено йому ініціювати витікаючі з'єднанняабо приймати що входять.
Реалізаціяполітики захисту засобами транспортного рівня здійснюється за допомогоюміжмережевих екранів (firewall). Міжмережевий екран — це спеціалізованепрограмне забезпечення, що реалізовує фільтрацію трафіку відповідно до правилполітики захисту мережі засобами транспортного рівня. Як правило, данепрограмне забезпечення функціонує на платформі маршрутизатора, керівникаінформаційними потоками вузлів різних мереж.
4.4Висновок
Такимчином, авторизація проводиться з метою розмежування прав доступу до мережевих ікомп'ютерних ресурсів і є процедурою засобу захисту інформації віднесанкціонованого доступу. Для централізованого вирішення завдань авторизації вкрупних мережах предназначена мережева служба Kerberos. Вона може працювати всередовищі багатьох популярних операційних систем.
Висновки
Головнимрезультатом даної роботи є дослідження засобів здійснення авторізації доступу доканалів комп’ютерних мереж.
До основнихрезультатів дипломної роботи відносяться:
1.Аналіз фізичної сутності та порядка використання каналів передачі даних вкомп’ютерних мережах показав, що:
використанняканалів передачі даних при побудові комп’ютерних мережах відбувається в рамкахструктурованої кабельної системи;
типоваієрархічна структура структурованої кабельної системи включає: горизонтальніпідсистеми; вертикальні підсистеми; підсистему кампусу;
використанняструктурованої кабельної системи дає багато переваг: універсальність, збільшеннятерміну служби, зменшення вартості добавлення нових користувачів і зміни місцьїх розташування, можливість легкого розширення мережі, забезпеченняефективнішого обслуговування, надійність;
привиборі типу кабелю приймають до уваги такі характеристики: пропускнаспроможність, відстань, фізична захищеність, електромагнітнаперешкодозахищеність, вартість;
найбільшпоширеними є такі типи кабелю: кручена пара (екранована і неекранована),коаксіальний кабель, оптоволоконний кабель (одно- і багатомодовий);
длягоризонтальної підсистеми найбільш прийнятним варіантом є неекранована крученапара, для вертикальної підсистеми і підсистеми кампусу – оптоволоконний кабельабо коаксіал;
2.Аналіз методів доступу до загального поділюваного середовища передачі данихпоказав, що випадкові методи доступу передбачають можливість захвату загальногоподілюваного середовища передачі даних будь-яким вузлом мережі у довільнийвипадковий момент часу, якщо в даний момент він вважає середовище вільним.Детерміновані методи, навпаки, передбачають можливість надання загальногосередовища в розпорядження вузла мережі за суворо визначеним (детермінованим)порядком.
3.Практична настройка мережевих служб для авторизації доступу до мережі Інтернетта рекомендації щодо забезпечення доступу до каналів комп’ютерної мережіпідприємства.