38. Классификация сетей по области действия

Для классификации компьютерных сетей используются различные признаки, на чаще всего сети делятся по территориальному признаку, то есть по величине территории, которую покрывает сеть. При этом выделяют следующие типы компьютерных сетей:

• локальные сети (Local Area Network – LAN);

• городские (Metropolian Area Network – MAN);

• глобальные(Wide Area Network – WAN).

Обычно LAN < MAN < WAN. Менее существенным признаком является размер сети, то есть количество подключенных компьютеров.

Локальные сети

Предметом нашего изучения являются широко распространенные локальные вычислительные сети (ЛВС) - Local Area Network (LAN). В толковом словаре локальный означает "местный, но не выходящий за определен­ные пределы". Аналогично этому термин "локальная сеть" означает сеть, охватываю­щую ограниченную площадь. Компьютеры, принадлежащие локальной сети, располо­жены недалеко один от другого.

ЛВС позволяют с минимальными затратами осуществить оперативное взаимодействие компьютеров од­ной организации, находящихся в одном здании или в нескольких кило­метрах друг от друга, обычно в радиусе не более 1-2 км (Рис. ).

Количество компьютеров локальной сети может быть ограничено архитектурой сети и типом кабеля. Предельные допустимые расстояния зависят от протоко­лов, которые управляют разделением среды передачи в ЛВС. Эти протоколы не могут эффективно работать на больших расстояниях из-за задержек распространения сигнала.

Рис. 4.3 Пример простой локальной сети

Наиболее широко распространены ЛВС Ethernet, Token Ring, FDDI (fiber distributed data interface, волоконно-оптический распределенный интерфейс данных). Эти ЛВС объединяют до нескольких сотен узлов. Мы ограничимся анализом этих и сетей.

Большую часть ЛВС составляют сети Ethernet, в основном раз­деляемые 10-мегабитные сети. Сети Ethernet недороги и просты в установке, имеют шинную топологию. Многие уже установленные сети Ethernet модернизируются с целью организации коммутируемых сетей со скоростями передачи до100 Мбит/с (последние на­зываются Fast Ethernet). В июне 1998 года утверждён стандарт IEEE 802.3z на гигабитную сеть Ethernet.

Чтобы облегчить управление большими локальными сетями, их иногда разделяют на рабочие группы. В этом случае в рабочую группу входят пользователи, имеющие доступ к одним и тем же ресурсам, таким как файлы, принтеры или приложения. Например, локальная сеть некоторой компании может быть разделена на рабочие группы в соответствии с такими ее подразделениями, как финансовый отдел, отдел продаж или отдел кадров и т.д.

Городские или глобальные сети могут образоваться путем соединения двух или более локальных сетей.

Характеристики ЛВС

Во-первых, из-за коротких расстояний в локальных сетях можно использовать относительно дорогие высококачественные линии связи, которые позволяют, применяя простые методы передачи данных, достигать высоких скоростей обмена и высокой надёжности (безошибочности) передачи.

Во-вторых, любой механизм управления обменом может гарантированно работать только при заранее известном количестве узлов, которое может быть подключено к сети. При включении непредвиденно большого числа абонентов любой механизм забуксует вследствие перегрузки.

Основные характеристики ЛВС:

• Высокая скорость передачи, большая пропускная способ­ность.

• Малые задержки распространения сигналов.

• Тип прокладки сети и ее протяженность (не более 1-2 км).

• Защищенность и надежность передачи (вероятность ошибок 10^-7 – 10^-8).

Пропускная способность - это средняя общая скорость передачи в случае предельной загрузки ЛВС. Знание «пропускной способности» позволяет определить сред­нее время, которое придется ждать приложению при приеме боль­шого файла от другого компьютера.

В ЛВС с разделяем канала связи пропускная способность составляет долю от скорости передатчиков. Эта доля называется эффективностью про­токола MAC. Например, сеть, которая использует протокол MAC с эффективностью 65 % и 10-Мбитные передатчики, имеет пропускную способность 6,5 Мбит/с. Такое значение типично для разделяемой сети Ethernet со скоростью передачи 10 Мбит/с. Пропускные способности сетей Token Ring и FDDI близки к их скоростям передачи.

Задержка - это время, которое требуется пакету для преодоления расстояния от сетевого интерфейса отправителя до узла назначения.

Задержка почти всегда не превы­шает долей секунды, а зачастую бывает намного меньше. Подобная задержка обычно приемлема для большей части прило­жений. Тем не менее, в аудио- и видеоприложениях во время перего­воров максимально допустимая задержка составляет около 100 мс.

Тип и протяженность проводной сети

Одни ЛВС используют металлические кабели типа «витая пара», другие - оптическое волокно. Старые ЛВС, а также ЛВС, предназначенные для работы в особых условиях, используют коаксиальные кабели. Максимальная протяженность соединений зависит от типа ЛВС и используемой технологии. Обычно их величины составляют 100 метров для витой пары и несколько километров для волоконно-оптического кабеля. Тонкий коаксиал – до 150 м, толстый коаксиал – до 500 м.

Безопасность сети

Подключиться к оптическому волокну существенно сложнее, чем к витой паре, и это улучшает его «физическую» защищенность. Тем не менее, подслушивающему вовсе не обязательно напрямую «вре­заться» в канал для получения доступа к информации. Более распро­страненный способ атаки - использовать один из подключенных к ЛВС компьютеров и настроить его на прием всех пакетов, проходящих в сети. Как правило, коммутируемые ЛВС более безопасны, чем разделяемые ЛВС, поскольку компьютеры таких сетей видят только пакеты, пред­назначенные для них.

Надежность сети

Наша зависимость от сетей постоянно растет. Соответственно, вопросы надежности сетей становятся все более существенными. Сеть FDDI разработана таким образом, что­бы сохранить работоспособность в условиях выхода из строя канала или узла. Сеть Ethernet продолжает работать, если выходят из строя некоторые каналы или узлы сети. Сети Token Ring могут быть реали­зованы таким образом, чтобы обеспечить подобную надежность.

Построение сети

Существует множество способов классификации сетей. Основным критерием классификации принято считать способ администрирования. То есть в зависимости от того, как организована сеть и как она управляется, её можно отнести к локальной, распределённой, городской или глобальной сети. Управляет сетью или её сегментом сетевой администратор. В случае сложных сетей их права и обязанности строго распределены, ведётся документация и журналирование действий команды администраторов.

Компьютеры могут соединяться между собой, используя различные среды доступа: медные проводники (витая пара), оптические проводники (оптоволоконные кабели) и через радиоканал (беспроводные технологии). Проводные связи устанавливаются через Ethernet, беспроводные — через Wi-Fi, Bluetooth, GPRS и прочие средства. Отдельная локальная вычислительная сеть может иметь шлюзы с другими локальными сетями, а также быть частью глобальной вычислительной сети (например, Интернет) или иметь подключение к ней.

Чаще всего локальные сети построены на технологиях Ethernet или Wi-Fi. Следует отметить, что ранее использовались протоколы Frame Relay, Token ring, которые на сегодняшний день встречаются всё реже, их можно увидеть лишь в специализированных лабораториях, учебных заведениях и службах. Для построения простой локальной сети используются маршрутизаторы, коммутаторы, точки беспроводного доступа, беспроводные маршрутизаторы, модемы и сетевые адаптеры. Реже используются преобразователи (конвертеры) среды, усилители сигнала (повторители разного рода) и специальные антенны.

Маршрутизация в локальных сетях используется примитивная, если она вообще необходима. Чаще всего это статическая либо динамическая маршрутизация (основанная на протоколе RIP).

Иногда в локальной сети организуются рабочие группы — формальное объединение нескольких компьютеров в группу с единым названием.

Сетевой администратор — человек, ответственный за работу локальной сети или её части. В его обязанности входит обеспечение и контроль физической связи, настройка активного оборудования, настройка общего доступа и предопределённого круга программ, обеспечивающих стабильную работу сети.

Адресация

В локальных сетях, основанных на протоколе IP, могут использоваться специальные адреса, назначенные IANA (стандарты RFC 1918 и RFC 1597):

• 10.0.0.0—10.255.255.255;

• 172.16.0.0—172.31.255.255;

• 192.168.0.0—192.168.255.255.

Такие адреса называют локальными или серыми, эти адреса не маршрутизируются в Интернет. Необходимость использовать такие адреса возникла из-за того, что, когда разрабатывался протокол IP, не предусматривалось столь широкое его распространение, и постепенно адресов стало не хватать. Как вариант был придуман протокол IPv6. Однако он пока не стал популярным и поэтому стали использовать локальные адреса. В различных непересекающихся LAN адреса могут повторяться, и это не является проблемой, так как доступ в другие сети происходит с применением технологий, подменяющих или скрывающих адрес внутреннего узла сети за её пределами — NAT или proxy дают возможность подключить ЛВС к глобальной сети (WAN). Для обеспечения связи локальных сетей с глобальными применяются маршрутизаторы (в роли шлюзов и файрволов).

Конфликт адресов — распространённая ситуация в локальной сети, при которой в одной IP подсети оказываются два или более компьютеров с одинаковыми IP адресами. Для предотвращения таких ситуаций и облегчения работы сетевых администраторов применяется протокол DHCP, с помощью которого можно автоматически назначать адреса компьютерам.

LAN и VPN

Связь с удалённой локальной сетью, подключенной к глобальной сети, из дома/командировки/удалённого офиса часто реализуется через VPN. При этом устанавливается VPN-подключение к пограничному маршрутизатору.

Особенно популярен следующий способ организации удалённого доступа к локальной сети:

1. Обеспечивается подключение снаружи к маршрутизатору, например по протоколу PPPoE, PPTP или L2TP (PPTP+IPSec).

2. Так как в этих протоколах используется PPP, то существует возможность назначить абоненту IP-адрес. Назначается свободный (не занятый) IP-адрес из локальной сети.

3. Маршрутизатор (VPN, Dial-in сервер) добавляет proxyarp — запись на локальной сетевой карте для IP-адреса, который он выдал VPN-клиенту. После этого, если локальные компьютеры попытаются обратиться напрямую к выданному адресу, то они после ARP-запроса получат MAC-адрес локальной сетевой карты сервер и трафик пойдёт на сервер, а потом и в VPN-туннель.

VPN (англ. Virtual Private Network — виртуальная частная сеть) — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например Интернет). Несмотря на то, что коммуникации осуществляются по сетям с меньшим неизвестным уровнем доверия (например, по публичным сетям), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрованию, аутоидентификации, инфраструктуры публичных ключей, средствам для защиты от повторов и изменения передаваемых по логической сети сообщений).

В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть.

Уровни реализации

Обычно VPN развёртывают на уровнях не выше сетевого, так как применение криптографии на этих уровнях позволяет использовать в неизменном виде транспортные протоколы (такие как TCP, UDP).

Пользователи Microsoft Windows обозначают термином VPN одну из реализаций виртуальной сети — PPTP, причём используемую зачастую не для создания частных сетей.

Чаще всего для создания виртуальной сети используется инкапсуляция протокола PPP в какой-нибудь другой протокол — IP (такой способ использует реализация PPTP — Point-to-Point Tunneling Protocol) или Ethernet (PPPoE) (хотя и они имеют различия). Технология VPN в последнее время используется не только для создания собственно частных сетей, но и некоторыми провайдерами «последней мили» для предоставления выхода в Интернет.

При должном уровне реализации и использовании специального программного обеспечения сеть VPN может обеспечить высокий уровень шифрования передаваемой информации. При правильной настройке всех компонентов технология VPN обеспечивает анонимность в Сети.

Структура VPN

VPN состоит из двух частей: «внутренняя» (подконтрольная) сеть, которых может быть несколько, и «внешняя» сеть, по которой проходит инкапсулированное соединение (обычно используется Интернет). Возможно также подключение к виртуальной сети отдельного компьютера. Подключение удалённого пользователя к VPN производится посредством сервера доступа, который подключён как к внутренней, так и к внешней (общедоступной) сети. При подключении удалённого пользователя (либо при установке соединения с другой защищённой сетью) сервер доступа требует прохождения процесса идентификации, а затем процесса аутентификации. После успешного прохождения обоих процессов, удалённый пользователь (удаленная сеть) наделяется полномочиями для работы в сети, то есть происходит процесс авторизации.

Классифицировать VPN решения можно по нескольким основным параметрам:

По степени защищенности используемой среды

• Защищённые

Наиболее распространённый вариант виртуальных частных сетей. С его помощью возможно создать надежную и защищенную подсеть на основе ненадёжной сети, как правило, Интернета. Примером защищённых VPN являются: IPSec, OpenVPN и PPTP.

• Доверительные

Используются в случаях, когда передающую среду можно считать надёжной и необходимо решить лишь задачу создания виртуальной подсети в рамках большей сети. Вопросы обеспечения безопасности становятся неактуальными. Примерами подобных VPN решении являются: Multi-protocol label switching (MPLS) и L2TP (Layer 2 Tunnelling Protocol). (точнее сказать, что эти протоколы перекладывают задачу обеспечения безопасности на другие, например L2TP, как правило, используется в паре с IPSec).

По способу реализации

• В виде специального программно-аппаратного обеспечения

Реализация VPN сети осуществляется при помощи специального комплекса программно-аппаратных средств. Такая реализация обеспечивает высокую производительность и, как правило, высокую степень защищённости.

• В виде программного решения

Используют персональный компьютер со специальным программным обеспечением, обеспечивающим функциональность VPN.

• Интегрированное решение

Функциональность VPN обеспечивает комплекс, решающий также задачи фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания.

По назначению

• Intranet VPN

Используют для объединения в единую защищённую сеть нескольких распределённых филиалов одной организации, обменивающихся данными по открытым каналам связи.

• Remote Access VPN

Используют для создания защищённого канала между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который, работая дома, подключается к корпоративным ресурсам с домашнего компьютера, корпоративного ноутбука, смартфона или интернет-киоскa.

• Extranet VPN

Используют для сетей, к которым подключаются «внешние» пользователи (например, заказчики или клиенты). Уровень доверия к ним намного ниже, чем к сотрудникам компании, поэтому требуется обеспечение специальных «рубежей» защиты, предотвращающих или ограничивающих доступ последних к особо ценной, конфиденциальной информации.

• Internet VPN

Используется для предоставления доступа к интернету провайдерами, обычно в случае если по одному физическому каналу подключаются несколько пользователей.

• Client/Server VPN

Он обеспечивает защиту передаваемых данных между двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например, между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда в одной физической сети необходимо создать несколько логических сетей. Например, когда надо разделить трафик между финансовым департаментом и отделом кадров, обращающихся к серверам, находящимся в одном физическом сегменте. Этот вариант похож на технологию VLAN, но вместо разделения трафика, используется его шифрование.

По типу протокола

Существуют реализации виртуальных частных сетей под TCP/IP, IPX и AppleTalk. Но на сегодняшний день наблюдается тенденция к всеобщему переходу на протокол TCP/IP, и абсолютное большинство VPN решений поддерживает именно его.

По уровню сетевого протокола

По уровню сетевого протокола на основе сопоставления с уровнями эталонной сетевой модели ISO/OSI.

Городские сети

Городская компьютерная сеть - Metropolian Area Network (MAN) состоит из двух или большего количества локальных сетей, расположенных на площади, приблизительно соответствующей большому горо­ду, откуда и происходит их название. Обычно городская сеть представляет собой об­щедоступную компьютерную сеть с высокими параметрами производительности.

Термин "городская сеть" используется не так часто, как "локальная" и "глобальная", потому что городские сети встречаются значительно реже. Большинство сетей ограничены пределами здания или нескольких зданий, следовательно, они по­падают в категорию локальных. Если же они простираются на большее расстояние, то, скорее всего, их узлы достигают других городов, штатов или стран, переходя, таким образом, в категорию глобальных сетей. Максимальное расстояние между узлами го­родской сети приблизительно равно 80 километрам (Рис. ).

Рис. 4.4 - Городская сеть покрывает более широкие пространства, чем локальная сеть, однако, в отличии от глобальной сети, она географически ограничена

Глобальные сети

Глобальными называются компьютерные сети, охватывающие большие географические пространства. Глобальные сети – Wide Area Network (WAN) – объединяют территориально рассредоточенные компьютеры, которые могут находиться в различных городах и странах на расстоянии в сотни или тысячи км. Глобальная сеть состоит из многих соединенных вместе локальных сетей.

Лучшим и наиболее знакомым примером глобальной сети является Internet. Многие крупные компании с офисами в разных странах имеют корпоративные глобальные сети, соединяющие удаленные офисы посредством телефонных линий, спутниковых и других средств связи.

В глобальных сетях для соединения составляющих их частей чаще всего используются общедоступные средства свя­зи, например система телефонной связи. Поэтому скорость передачи данных в глобальных сетях значительно ниже, чем в локальных. Типичная пропускная способ­ность телефонного канала с использованием самого совершенного модема не может превысить 50 Кбит/с. Даже высокоскоростные линии глобальных сетей стандарта Т1, кабельные модемы и цифровые абонентские линии DSL могут достичь лишь 1—6 Мбит/с. Между тем в самой медленной локальной сети Ethernet скорость передачи составляет 10 Мбит/с.

Другой характерной особенностью глобальных сетей является то, что их соедине­ния не могут быть постоянными, как в кабельных локальных сетях. В глобальных сетях могут использоваться как частные, так и обще­доступные средства связи, как выделенные каналы связи, так и коммутируемые связи. Связи глобальных сетей обычно значительно "медлительнее", чем связи локальных сетей.

Глобальные сети подразделяются на распределенные и централизованные. У распределенных глобальных сетей (например, Internet) нет центрального пункта управления. С другой стороны, централизованная глобальная сеть имеет централь­ный сервер, или центральный узел (обычно в штаб-квартире - компании), к кото­рому подключены остальные сети (Рис. ).

Глобальные сети отличаются от локальных сетей тем, что рассчитаны на неограниченное число абонентов. В них используются, как правило, не слишком качественные каналы связи и сравнительно низкая скорость передачи. Механизм управления обменом не может быть гарантированно быстрым. Для устойчивой передачи дискретных данных применяются более сложные методы и оборудование, чем в ЛВС.

В глобальных сетях гораздо важнее не качество связи, а сам факт её существования.

Рис. 4.5 - Пример организации централизованной глобальной сети