Принцип работы коммутатора
Коммутатор хранит в памяти таблицу коммутации (хранящуюся в ассоциативной памяти), в которой указывается соответствие MAC-адреса узла порту коммутатора. При включении коммутатора эта таблица пуста, и он работает в режиме обучения. В этом режиме поступающие на какой-либо порт данные передаются на все остальные порты коммутатора. При этом коммутатор анализирует кадры (фреймы) и, определив MAC-адрес хоста-отправителя, заносит его в таблицу на некоторое время. Впоследствии, если на один из портов коммутатора поступит кадр, предназначенный для хоста, MAC-адрес которого уже есть в таблице, то этот кадр будет передан только через порт, указанный в таблице. Если MAC-адрес хоста-получателя не ассоциирован с каким-либо портом коммутатора, то кадр будет отправлен на все порты, за исключением того порта, с которого он был получен. Со временем коммутатор строит таблицу для всех активных MAC-адресов, в результате трафик локализуется. Стоит отметить малую латентность (задержку) и высокую скорость пересылки на каждом порту интерфейса.
Билет 3
10BASE-T — физический интерфейс Ethernet, позволяющий компьютерам связываться при помощи кабеля типа «витая пара»(twisted pair). Название 10BASE-T происходит от некоторых свойств физической основы (кабеля). «10» ссылается на скорость передачи данных в 10 Мбит/с. Слово «BASE» — сокращение от «baseband» signaling (метод передачи данных без модуляции). Это значит, что только один Ethernet-сигнал может находиться на линии в конкретный момент времени. Другими словами, не используется мультиплексирование (multiplexing), как в широкополосных каналах. Буква «T» происходит от словосочетания «twisted pair» (витая пара), обозначая используемый тип кабеля.
Межсетевой экран ( другие названия – сетевой экран, брандмауэр (от немецкого Brandmauer), файервол (от английского firewall)) — это комплекс программных или аппаратных средств для контроля и фильтрации проходящего через него трафика в соответствии с заданными правилами. Основная задача сетевого экрана - это защита компьютерных сетей или отдельных узлов сети от несанкционированного доступа.Межсетевые экраны разных типов выполняют различные функции:
создают экран между двумя или более различными сетями или между одним узлом и сетью;
обеспечивает контроль трафика на разных уровнях сетевых протоколов;
отслеживают состояния активных соединений.
Охват контролируемых потоков данных определяет - является ли экран традиционным межсетевым экраном, или это персональный сетевой экран, а именно программа, установленная на пользовательском компьютере и предназначенная для обеспечения безопасности именно данного компьютера. Контроль доступа может осуществляться на разных уровнях – сетевом, сеансовом, на уровне приложений. На сетевом уровне фильтрация выполняется на основе адресов получателя и отправителя пакетов данных, статических правил и номеров портов транспортного уровня OSI модели. На сеансовом уровне отслеживаются сеансы связи между приложениями, не пропускающие трафик с нарушениями спецификации TCP/IP, которые часто используются во время попыток несанкционированного доступа (сканирование, инъекция данных, т.п.). На уровне приложений фильтрация производится на основании анализа внутрипакетных данных, передаваемых приложениями. Такой тип фильтрации реализуется на основе политик и настроек безопасности и обеспечивает блокировку передачи потенциально опасного трафика.
В зависимости от отслеживания активных соединений брандмауэры подразделяют на экраны:
с простой фильтрацией ( stateless) (они не отслеживают текущие соединения, а фильтруют поток данных только на основе статических правил);
с фильтрацией, учитывающей контекст (stateful ) ( отслеживают текущие соединения и пропускают только пакеты, удовлетворяющие логике и алгоритмам работы соответствующих приложений и протоколов. Сетевые экраны такого типа обеспечивают более эффективную защиту от различного вида DoS-атак, а также устраняют недостатки некоторых сетевых протоколов. Они также обеспечивают функционирование протоколов, использующих сложные схемы передачи данных, таких как FTP, SIP и т. п.).
Полный перечень функций типичных сетевых фильтров включает в себя:
фильтрацию доступа к заведомо незащищенным службам;
предотвращение доступа к закрытой информации из защищенной подсети, а также внедрению в защищенную подсеть ложных данных посредством уязвимых служб;
контроль доступа к отдельным узлам сети;
способность регистрации всех попыток доступа внутренней сети и извне ( что позволяет вести учёт использования доступа в Internet);
возможность регламентировать порядок доступа к сети;
уведомление о подозрительной активности, попытках атаки на сам экран или узлы сети.
Вследствие ограничений безопасности обычно могут блокироваться некоторые необходимые пользователю службы, такие как FTP, NFS, SMB, Telnet и других. Вот почему правильное конфигурирование требует участия специалиста по сетевой безопасности в настройках файервола. Необходимо также отметить, что использование сетевого экрана увеличивает время отклика и снижает скорость передачи данных, так как процесс фильтрация происходит не мгновенно.Надо иметь ввиду также то, что межсетевой экран не является панацеей абсолютно от всех угроз для сети. Так например, он не защитит от уязвимости ПО и от проникновения через «люки» (от английского back doors), не устранит возможности утечки данных или загрузки пользователем вирусов и других вредоносных программ. Для решения этих проблем используют дополнительные программные средства (например, антивирусы).
Билет 4
1) 10Base-F - совокупность стандартов физического уровня, описывающих работу сети Ethernet на волоконно-оптическом кабеле с пропускной способностью 10 Мбнт/с. В качестве среды передачи данных в оптоволоконной сети Ethernet используется многомодовый волоконно-оптический кабель (ВОК). Структурная организация сети аналогична стандарту 10Base-T: сетевые адаптеры рабочих станций соединяются с многопортовым повторителем (концентратором) с помощью BOK и образуют физическую топологию «звезда». 10Base-F включают в себя следующие стандарты. 1. Стандарт FOIRL (Fiber Optic Inter-Repeater Link): - длина оптоволоконного кабеля между повторителями - до 1 км; - максимальное число повторителей - 4; - максимальный диаметр сети - 2500 м. 2. Стандарт 10Base-FL (Fiber Link)- улучшенный вариант стандарта FOIRL, заключающийся в увеличении мощности передатчиков, за счёт чего максимальное расстояние между узлом и повторителем может достигать 2000 м, при этом: - максимальное число повторителей - 4; - максимальный диаметр сети - 2500 м. 3. Стандарт 10Base-FB (Fiber Backbone) предназначен только для объединения повторителей в магистраль, при этом: - между узлами сети можно установить до 5 повторителей стандарта 10Base-FB; - максимальная длина одного сегмента - 2000 м; - максимальный диаметр сети - 2740 м. В отличие от ранее рассмотренных сетей, повторители, используемые в ЛВС Ethernet 10Base-FB, при отсутствии кадров для передачи обмениваются специальными последовательностями сигналов, что позволяет постоянно поддерживать синхронизацию в сети. Поэтому ЛВС, построенную по стандарту 10Base-FB, называют «синхронный Ethernet». Благодаря меньшим задержкам при передаче данных из одного сегмента в другой, количество повторителей увеличено до 5. В табл. 3.2 сведены основные параметры стандартов оптических сетей Ethernet 10Base-F.
2)Сети типа “маркерное кольцо”, будучи сетями с кольцевой топологией, имеют последовательную конфигурацию: каждая пара узлов связана отдельным каналом, а для функционирования сети необходимо функционирование всех узлов. В таких сетях маркер не содержит адреса узла, которому разрешена передача, а содержит только полет занятости, которая может содержать одно из двух значений: “занятый” и “свободный”. Когда узел, который имеет данные для передачи, получает свободный маркер, он меняет состояние маркера на “занятый”, а затем передает в канал маркер и свой кадр данных. Станция-получатель, распознав свой адрес в кадре данных, считывает назначенные ей данные, но не меняет состояния маркера. Изменяет состояние маркера на “свободный” (после полного оборота маркера с кадром данных по кольцу) тот узел, что его занял. Кадр данных при этом удаляется из кольца. Узел не может повторно использовать маркер для передачи другого кадра данных, а должен передать свободный маркер далее по кольце и дождаться его получения после одного или нескольких оборотов. Равноранговые приоритетные системы включают приоритетные слоту системы, системы с контролем несущей без коллизий и системы с передачей маркера с приоритетами
Билет 5
1) Обычно в литературе, посвященной локальным вычислительным сетям, в разделе, описывающем кабельные подсистемы, приводится общее сравнение типов кабелей (коаксиальных, кабелей на витых парах, оптических) по их помехозащищенности, производительности, стоимости и т.п. Здесь эта информация будет опущена. Как правило, проектировщики сетей не принимают решения на базе этой информации. Выбор кабельной подсистемы диктуется типом сети и выбранной топологией. Требуемые же по стандарту физические характеристики кабеля закладываются при его изготовлении, о чем и свидетельствуют нанесенные на кабель маркировки. В результате, сегодня практически все сети проектируются на базе UTP и волоконно-оптических кабелей, коаксиальный кабель применяют лишь в исключительных случаях и то, как правило, при организации низкоскоростных стеков в монтажных шкафах.
В проекты локальных вычислительных сетей (стандартных) закладываются на сегодня всего три вида кабелей:
коаксиальный (двух типов):
- тонкий коаксиальный кабель (thin coaxial cable);
- толстый коаксиальный кабель (thick coaxial cable).
витая пара (двух основных типов):
- неэкранированная витая пара (unshielded twisted pair - UTP);
- экранированная витая пара (shielded twisted pair - STP).
волоконно-оптический кабель (двух типов):
- многомодовый кабель (fiber optic cable multimode);
- одномодовый кабель (fiber optic cable single mode).
И хотя общая номенклатура всех этих кабелей у многих производителей составляет даже не сотни, а тысячи наименований, выбирать кабель (повторюсь), как правило, приходится исходя не из характеристик конкретной марки, а из правил применения, что существенно облегчает жизнь проектировщику кабельной подсистемы ЛВС.