- •1 Задачи и проблемы распределенной обработки данных.
- •2 Эволюция вычислительных сетей и систем
- •3 Классификация сетей по способам распределения данных.
- •4 Типы сетей. Сравнительная характеристика различных типов сетей.
- •5 Общие принципы построения сетей
- •6 Локальные и глобальные сети. Конвергенция сетей.
- •7 Основы организации и функционирования сетей. Топология и адресация в сетях
- •8 Сетевые операционные системы
- •9 Основные сетевые стандарты. Структура стандартов ieee 802.X
- •10. Взаимодействие открытых систем. Стандартизация сетей.
- •11. Модель взаимодействия открытых систем (osi). Уровни osi.
- •12. Средства взаимодействия процессов в сетях.
- •1. Удаленный вызов процедур
- •2. Обращение к удаленным объектам
- •3. Связь посредством сообщений
- •4. Связь на основе потоков данных.
- •13. Распределенные системы. Системы типа «клиент - сервер»
- •14. Распределенная обработка информации в системах клиент-сервер.
- •15. Одноранговые сети.
- •16. Средства идентификации и аутентификации в сетях.
- •17. Средства повышения надежности функционирования сетей
- •18. Интеграция локальных вычислительных сетей в глобальные и региональные сети.
- •20. Сетевые средства unix : основные протоколы, службы
- •22. Сетевая операционная система Novel NetWare: основные протоколы, службы.
- •24. Сетевая операционная система Microsoft Windows: основные протоколы, службы
- •26. Глобальные вычислительные сети. Интернет: Основные службы и предоставляемые услуги.
- •27. Глобальные вычислительные сети. Интернет: стандарты, перспективы развития.
- •28. Основные программные и аппаратные компоненты сети
- •29. Протоколы канального и сетевого уровней
- •30. Стек протоколов tcp/ip. Структура пакетов.
- •31. Стек протоколов ipx/spx. Структура пакетов.
- •32. Стек протоколов ibm/Microsoft.
- •33. Стек протоколов osi
- •34. Адресация в вычислительных сетях
- •35. Маршрутизация в вычислительных сетях
- •36. Межсетевое взаимодействие. Шлюзы и межсетевые экраны. Сокрытие адресов nat
- •37. Виртуальные сети vlan и vpn
- •По степени защищенности используемой среды
- •По способу реализации
- •По назначению
- •По типу протокола
- •По уровню сетевого протокола
- •38. Линия связи. Типы линий связи. Кодирование информации
36. Межсетевое взаимодействие. Шлюзы и межсетевые экраны. Сокрытие адресов nat
Межсетевые взаимодействия (internetworks) являются коммуникационными структурами, работа которых заключается в объединении локальных и глобальных сетей. Их основная задача состоит в эффективном перемещении информации куда угодно быстро, согласно запросу, и в полной целостности.
Подразделение межсетевого взаимодействия должно предоставлять пользователям:
увеличенную пропускную способность
полосу пропускания по запросу
низкие задержки
данные, звуковые и видео возможности в одной среде
для реализации своих целей, межсетевое взаимодействие должно быть способно объединить различные сети воедино для обслуживания зависящих от них организаций. И эта связываемость должна происходить вне зависимости от типов вовлеченных физических сред.
Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.
Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.
Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов — динамическую замену внутрисетевых (серых) адресов или портов на внешние, используемые за пределами ЛВС.
Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:
обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;
на уровне каких сетевых протоколов происходит контроль потока данных;
отслеживаются ли состояния активных соединений или нет.
В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:
традиционный сетевой (или межсетевой) экран — программа (или неотъемлемая часть операционной системы) на шлюзе (сервере, передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.
персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.
Сетевой шлюз (англ. gateway) — аппаратный маршрутизатор или программное обеспечение для сопряжения компьютерных сетей, использующих разные протоколы (например, локальной и глобальной).
Шлюз по умолчанию (англ. Default gateway), шлюз последней надежды (англ. Last hope gateway) — в маршрутизируемых протоколах — адрес маршрутизатора, на который отправляется трафик, для которого невозможно определить маршрут исходя из таблиц маршрутизации. Применяется в сетях с хорошо выраженными центральными маршрутизаторами, в малых сетях, в клиентских сегментах сетей. Шлюз по умолчанию задаётся записью в таблице маршрутизации вида "сеть 0.0.0.0 с маской сети 0.0.0.0".
Интернет-шлюз, как правило, это программное обеспечение, призванное организовать передачу трафика между разными сетями. Программа является рабочим инструментомсистемного администратора, позволяя ему контролировать трафик и действия сотрудников.
Трансляция сетевых адресов (NAT) это технология которая позволяет отображать IP адреса (номера портов) из одной группы в другую, прозрачно для конеченого пользователя. NAT может использоваться для достижения двух основных целей:
Использование единственного IP-адреса для доступа в Интернет с нескольких компьютеров;
Сокрытие внутренней структуры корпоративной сети.
Принципы организации сети Интернет требуют, чтобы каждый узел сети имел уникальный IP-адрес. Однако из-за все возрастающего дефецита свободных IP-адресов получение индивидуального IP-адреса для каждого компьютера в организации может быть не всегда оправдано.
Также, для сетей на базе протокола IP, не требующих непосредственного подключения к Интернет выделено три диапазона IP-адресов (IP-сетей):
10.0.0.0 - 10.255.255.255;
172.16.0.0 - 172.31.255.255;
192.168.0.0 - 192.168.255.255;
Данные адреса также иногда называют частными или "серыми" IP-адресами. Таким образом любая организация может назначать узлам внутри своей локальной сети IP-адреса из указанных диапазонов. Однако, непосредственный доступ в Интернет из таких сетей невозможен. Данное ограничение можно обойти за счет технологии NAT.
Достаточно иметь единственный узел с доступом в Интернет и имеющим уникальный ("белый") IP-адрес, выданный провайдером. Такой узел будет назваетсяваться шлюзом. Шлюз должен иметь, как минимум два сетевых, адаптера (сетевых карты, модемов и т.д.), один из которых обеспечивает доступ в Интернет. Этому внешнему адаптеру присвоен "белый" IP-адрес. Остальным, внутренним адаптерам могут быть присвоены как "белые", так и "серые" IP-адреса. При прохождении сетевых пакетов через шлюз, с внутреннего адаптера на внешний происходит трансляция сетевых адресов (NAT).
В общем виде, существует довольно много схем трансляции сетевых адресов. Большинство из них описаны в RFC-1631, RFC-2663, RFC-2766, RFC-3022. В Lan2net NAT Firewall используется схема NAPT в терминах RFC-2663. Данная схема является разновидностью Traditional NAT, детального описанного в RFC-3022. В Linux подобная схема NAT называется "Masquarading".
В Lan2net NAT Firewall NAT выполняется для протоколов TCP, UDP и ICMP.
Трансляция сетевых адресов выполняется в процессе контроля транзитных соединений. Когда пакет IP-соединения с "серым" адресом источника передается драйвером TCP/IP к драйверу внешнего сетевого адаптера, драйвер Lan2net NAT Firewall перехватывает пакет и модифицирует в нем IP-адрес источника и номер порта источника для протоколов UDP и TCP. Для пакетов протокола ICMP модифицируется идентификатор запроса. После модификации пакета он передается драйверу внешнего сетевого адаптера и далее отсылается целевому узлу в Интернет. Для принятых ответных пакетов данного соединения происходит обратная модификация указанных параметров.
В процессе модификации, "серый" IP-адрес источника заменяется на "белый" IP-адрес, назначенный внешнему сетевому адаптеру. При дальнейшей передаче пакет выглядит, как будь-то, он отправлен с "белого" IP-адреса. Тем самым обеспечивается уникальность IP-адреса источника соединения в рамках всей сети Интернет.
Модификация номеров TCP- и UDP- портов источника и идентификатора ICMP-запроса осуществляется таким образом, чтобы значения данных параметров оставались уникальными в рамках всех транзитных и исходящих IP-соединений для данного сетевого адаптера. В Lan2net NAT Firewall уникальные номера портов источника и идентификаторов запроса назначаются из диапазона 30000-43000.
Получив ответные пакеты, драйвер внешнего сетевого адаптера передает их драйверу TCP/IP. В этот момент пакеты перехватываются драйвером Lan2net NAT Firewall. Драйвер Lan2net NAT Firewall опеределяет принадлежность пакетов исходному IP-соединению. Так как при модификации номеров TCP- или UDP-портов или идентификатора ICMP-запроса в исходящих пакетах им были присвоены уникальные значения, то теперь на основе этих значений драйвер может восстановить оригинальный ("серый") IP-адрес источника запроса. Таким образом, в ответных пакетах значение IP-адрес назначения заменяется на IP-адрес источника запроса, а номера TCP- или UDP-портов или идентификатора ICMP-запроса также восстанавливают свои оригинальные значения. После этого ответные пакеты передаются драйверу TCP/IP и далее через внутренний адаптер к узлу, сделавшему запрос.
Как видно, описаный механизм обеспечивает прозрачный доступ в Интернет с узлов с "серыми" IP-адресами. Кроме того, все соединения после шлюза выглядят как, если бы они были установлены с единственного "белого" IP-адреса. Тем самым обеспечивается сокрытие внутренней структуры корпоративной или домашней сети.