Программирование и информатика / ТОИ / Компьютерные сети
.docVI) Компьютерные сети. Структура вычислительных сетей. Основы безопасности.
К
омпьютерная
сеть
– это совокупность вычислительных
устройств и систем связи между ними,
обеспечивающие процессы приема/передачи
информации на расстоянии. Системы связи
включают в себя коммутационное
оборудование и некоторую среду
транслирования сигнала. Такой средой
может быть медный провод, оптоволокно,
радиочастотный канал, спутниковая
связь. Неделимый, с точки зрения
коммутационного оборудования, фрагмент
данных называется пакетом.
Способы приема/передачи данных различаются
как методами формирования пакетов и их
последовательностей, так и физической
формой и средой транслирования сигнала.
В совокупности любая методология
приема/передачи информации, регламентирующая
правила или порядок обмена данными
между вычислительными устройствами,
называется протоколом.
Однако способ соединения вычислительных
устройств в компьютерную сеть называется
топологией.
Различают несколько видов наиболее
распространенных топологий: "шина",
"кольцо",
"звезда".
В отличие от топологии, которая определяет
аппаратный аспект организации компьютерной
сети, протокол определяет ее функциональные
возможности и отражает аспект программной
реализации информационных сервисов и
услуг. Совокупность аппаратных и
программных средств обеспечения
работоспособности компьютерной сети
называется инфраструктурой
вычислительной сети.
Каждому вычислительному устройству, являющемуся участником компьютерной сети, назначается уникальное наименование, которое используется в рамках этой компьютерной сети для различения между собой ее элементов. Этим наименованием может выступать символьное обозначение имени компьютера, понятное и легко запоминаемое пользователем. Однако, такая уникальность в обозначении возможна лишь для небольших компьютерных сетей. Обычно это одноранговые компьютерные сети, не имеющие отдельного координирующего вычислительного устройства в своем составе и построенные на основе топологии "шина" или "кольцо". Компьютеры, входящие в подобную компьютерную сеть, образуют рабочую группу, а оповещение о появлении нового "соседа" происходит посредством отправки широковещательного пакета, который отправляется "новичком" и адресуется всем участникам компьютерной сети. После "представления" новый компьютер известен в одноранговой компьютерной сети, и остальные компьютеры могут ему передавать пакеты, указывая в качестве адреса получателя имя компьютера. В одноранговой компьютерной сети может быть несколько рабочих групп, однако, только с одной из них может быть сопоставлен отдельно взятый компьютер. Основным недостатком одноранговой компьютерной сети является вероятность появления коллизий, особенно при большом количестве компьютеров. Коллизия – это ситуация при приеме/передачи информации с единым каналом связи, когда передающие вычислительные устройства одновременно убедившись в том, что линия связи не занята, начинают процесс отправки пакетов. Как результат, доставка информационного пакета заканчивается неудачей.
В вычислительной сети устройствами сопряжения компьютеров является широкий спектр коммутационного оборудования, также называемого сетевым оборудованием, представляющий собой разнообразные элементы инфраструктуры компьютерной сети: сетевые адаптеры, модемы, ретрансляторы, коммутаторы, маршрутизаторы. Разъемы, при помощи которых сетевое оборудование подключается к линиям связи, имеют, кроме конструктивных характеристик, уникальный буквенно-цифровой идентификатор, назначаемый на заводе-изготовителе и именуемый MAC-адресом. Это программно-аппаратное имя сетевого устройства в вычислительной сети, также называемое физическим адресом, состоящее из двенадцати знаков в шестнадцатеричной системе счисления (шесть байт), используя которое, сетевое оборудование уникально обозначается на аппаратном уровне. Сочетание букв и цифр в MAC-адресе соответствуют партии оборудования, дате и времени изготовления, фирме-изготовителю. Поэтому все сетевое оборудование, которое оказалось в составе той или иной компьютерной сети, проблематично сгруппировать или структурировать, основываясь на MAC-адресе – настолько различна та информация, которая в нем записана. В виду этого распространенным способом организации компьютерной сети небольшого размера является выделение рабочих групп и именование компьютеров в соответствии со спецификой их использования.
Сетевой адаптер является частью аппаратного обеспечения компьютера и предназначен для сопряжения вычислительного устройства с компьютерной сетью. Та же самая роль выполняется модемом, но в отличие от сетевых адаптеров сопряжение выполняется на значительном расстоянии от вычислительной сети посредством использования линий связи общего пользования или не предназначенных для передачи цифрового сигнала. Количество сетевых адаптеров (разъемов для подключения к линиям связи) приходящиеся на единицу вычислительной техники может быть более одного. В этом случае речь идет о сопряжении нескольких компьютерных сетей в рамках одного вычислительного устройства на программной платформе, которое называется мостом. В более сложных конфигурациях речь идет об отдельных видах серверов – компьютеров, специализирующихся на предоставлении пользователям компьютерной сети определенных информационных сервисов и услуг, в том числе инфраструктурных.
П
ри
передаче информации по линиям связи
сигнал имеет свойство угасать, по этой
причине участок одноранговой сети,
называемый сегментом,
не может превышать по протяженности
200 метров. Для построения компьютерных
сетей большей протяженности используется
дополнительное сетевое оборудование,
самым простым из них является ретранслятор,
именуемый по-другому репитер
(repeater).
Задача ретранслятора заключается в
усилении поступающего на один разъем
сигнала и передача его через другой
разъем. Если количество разъемов репитера
превышает два, то такое устройство
называется хаб
(hub).
Увеличение числа разъемов делает
возможным распространять сигнал по
компьютерной сети не линейно в каком-либо
направлении, а передавать его в
вычислительные сети со сложной топологией,
например, топологией "звезда".
Однако, при увеличении числа компьютеров, в вычислительной сети возрастает вероятность коллизий, связанная в первую очередь с тем, что, преодолевая хаб, сигнал распространяется не только в сегменте расположения адресата информационного пакета, но и в других участках компьютерной сети. Таким образом, происходит зашумление ненужными данными всех участников информационного обмена, которые могли бы в этот момент успешно обмениваться пакетами в собственном сегменте. Если информация, передаваемая в компьютерной сети, предназначена конкретному адресату, то ее заметят все компьютеры, а примет только тот, чей адрес соответствует указанному в пакете. Если адрес не указан, то такой пакет является широковещательным и будет принят всеми компьютерами вычислительной сети.
В
целях локализации коллизий и снижения
вероятности их появления, адресное
пространство компьютерной сети
сегментируется на подсети, а топология
вычислительной сети представляет собой
иерархию – дерево, в листьях которого
расположены сегменты компьютерной
сети, а в узлах установлено сетевое
оборудование. Подобная иерархия позволяет
структурировать вычислительную сеть
в соответствии с расположением
подразделений организации по офисам,
этажам, зданиям. Обычно сетевое
оборудование располагается в специально
отведенных под них помещениях, называемых
серверными.
В случае, когда протяженность компьютерной
сети слишком велика, то отдельная часть
к
оммутационного
оборудования располагается на этажах
в одном или двух телекоммуникационных
шкафах,
доступ к которым имеет отдельная группа
сотрудников. Разделение на подсети
кроме изменений в топологии вычислительной
сети подразумевает отделение сетевых
адресов одного сегмента от сетевых
адресов другого сегмента. Такое разделение
основано на способе адресации, принятой
в сети Интернет. Действительно, во
"всемирной паутине" работает
огромное количество компьютеров
пользователей, представляющие отдельные
компьютерные сети со своими топологиями
построения, а также не меньшее количество
разнообразного сетевого оборудования.
Знать наперед MAC-адрес
компьютера и его географическое место
соединения, чтобы направить по
соответствующим линиям связи сигнал,
невозможно. Использование имени
компьютера для этих целей приведет к
широковещательной рассылки информационного
пакета по всем направлениям ответвлений
топологии компьютерной сети. Как
следствие, такая форма информационного
обмена сопряжена с высоким уровнем
коллизий и медленной работой вычислительной
сети в целом. Для обозначения компьютера
в сети и информационного обмена внутри
компьютерной сети любого масштаба
используется IP-адрес
(Internet
Protocol)
и одноименный протокол TCP/IP
(Transport
Internet
Protocol).
IP-адрес
– это уникальное в рамках компьютерной
сети или ее подсети числовое обозначение
компьютера или сетевого оборудования,
состоящее из группы чисел разделенные
точкой, каждое из которых задается в
диапазоне от 0 до 254, то есть представляет
собой четыре байта информации. Часть
байт IP-адреса
указывают на принадлежность к компьютерной
сети или ее подсети, оставшаяся часть
байт указывает "порядковый" номер
вычислительного устройства. То, как
происходит разделение на две составляющих
IP-адреса,
называемые логическими частями, зависит
в первую очередь от принадлежности к
одному из трех классов вычислительных
сетей.
Принадлежность к классу компьютерной сети означает, что под логические части номера подсети и номера узла выделяется большее или же меньшее количество байт IP-адреса. Так, если IP-адрес начинается с 0, то такую компьютерную сеть относят к классу A и номер вычислительной сети занимает один байт, остальные три байта интерпретируются как номер компьютера. Подобных компьютерных сетей немного, зато количество узлов в них может достигать 224 элементов, то есть около 16 миллионов. Если первые два бита IP-адреса равны 10, то вычислительная сеть относиться к классу B. В этих компьютерных сетях под номер сети и номер узла отводится по два байта. Таким образом, вычислительная сеть класса B является сетью средних размеров с максимальным количеством элементов 216, что составляет около 65 тысяч узлов. Компьютерная сеть класса C, IP-адрес узлов которой начинается с последовательности 110, отводит для нумерации элементов один байт, и является наиболее распространенной разновидностью. Количество компьютеров, входящие в подобную сеть, ограничено числом в 28 элементов.
По масштабу организации и составу компьютерные сети разделяются на три вида. Локальные компьютерные сети – это такие компьютерные сети, элементы которых расположены в границах одной географической точки. Региональные компьютерные сети – это совокупность локальных компьютерных сетей, которые расположены в различных географических точках. Информационные сервисы и услуги предоставляются только пользователям, как локальных, так и региональных компьютерных сетей, которые непосредственно работают с вычислительными устройствами, входящими в их состав. Глобальные компьютерные сети – это совокупность локальных и региональных компьютерных сетей, а также отдельных вычислительных устройств или состоящих из них групп, называемых серверами или серверными фермами. Задача сервера заключается в предоставлении информационных сервисов и услуг пользователям наряду с компьютерной сетью, а также поддержание ее целостной информационной среды.
О
дним
из новшеств, в способе сопряжения
вычислительных устройств, является
использование коммутаторов
вместо хабов. Их другое название свитч
(switch).
Отличительной особенностью коммутаторов
от хабов является направление
информационного пакета в подсеть
адресата, а не по всем сетевым разъемам
устройства, как это реализовано в хабе.
Для выделения в компьютерной сети
подсетей совместно с IP-адресами
компьютеров используется маска
подсети.
Маска – это число, двоичное представление
которого содержит единицы в тех разрядах,
которые должны в IP-адресе
интерпретироваться как номер сети.
Поскольку номер сети является цельной
частью адреса, единицы в маске также
должны представлять непрерывную
последовательность. Для стандартных
классов компьютерных сетей маски имеют
следующие значения:
класс A – 11111111.00000000.00000000.00000000 (255.0.0.0);
класс B – 11111111.11111111.00000000.00000000 (255.255.0.0);
класс C – 11111111.11111111.11111111.00000000 (255.255.255.0).
Использование масок с перекрытием разрядов не только номера сети какого-либо класса, но и части разрядов номера узла в IP-адресе позволяет более гибко подходить к структурированию вычислительной сети на логическом уровне. То есть выделять в одном и том же сегменте компьютерной сети несколько подсетей. Например, для сети 192.168.100.64 (11000000.10101000.01100100.01000000) могут быть выделены 4 подсети (192.168.100.64, 192.168.100.65, 192.168.100.66, 192.168.100.67) с маской 255.255.255.240 (11111111.11111111.1111111.11110000) в каждой из которых могут работать до 14 компьютеров (значения 0 и 255 зарезервированы для служебных целей).
Применение в компьютерных сетях в качестве сетевого оборудования коммутаторов позволяет избежать коллизий и повысить пропускную способность вычислительной сети. За каждым сетевым разъемом свитч при инициализации (включении) фиксирует IP-адреса и сети назначения. После этого коммутатор готов к работе и может безошибочно перенаправить информационные пакеты адресатам вычислительной сети даже с многоуровневой топологией. Последнее возможно в виду того, что один из сетевых разъемов связывает свитч с коммутатором более высокого уровня в иерархии, который называется шлюз. В свою очередь, для шлюза сетевые разъемы нижнего уровня иерархии сопоставлены с конкретными подсетями, и поэтому ответный информационный пакет от адресата также безошибочно доставляется в подсеть компьютеру, который инициировал информационный обмен. Свитч знает о существовании подсетей, находящихся ниже в иерархии, а также непосредственно подключенных к сетевым разъемам свитча компьютерах. Информационные пакеты, адресаты которых коммутатору неизвестны, направляются шлюзу. Такая организация работы вычислительной сети обеспечивает сочетание в ней подсетей, построенных на основе разных топологий.
Р
ассмотрим
небольшой пример вычислительной сети,
в которую входят два сервера и компьютеры
пользователей, отделенные друг от друга
сетевым оборудованием, а также имеющей
логическое деление на подсети. Серверы
выделены в отдельную подсеть (маска
подсети позволяет задать до трех
IP-адресов).
Благодаря этому, при обычной работе в
сети, пользователь не сможет получить
непосредственный доступ к файлам и
папкам серверов, как и увидеть их в
обозревателе компьютерной сети наряду
с остальными компьютерами. Однако это
не мешает по протоколу TCP/IP
направлять информационные запросы и
получать информационные пакеты из
разных подсетей. Единственное условие
– это правильно настроенные сетевые
программы в соответствии со структурой
компьютерной сети. Именно через такие
программы пользователь сможет получить
те или иные информационные услуги и
сервисы. Например, компьютер A
из подсети a
при помощи программы браузера обращается
к корпоративному сайту на сервере с
IP-адресом
192.168.100.2
– информационный пакет посредством
коммутатора направляется через шлюз к
свитчу, у которого к одному из сетевых
разъемов подключен необходимый сервер.
При этом соседние подсети могут
одновременно функционировать, выполняя
информационный обмен между компьютерами
B
и C.
Коммутатор передает информационный
пакет из известной подсети в известную
же подсеть, поэтому у свитча нет
необходимости использовать шлюз с целью
найти адресата.
Отделенные между собой посредством IP-адресации компьютерные сети называются доменами, и имеют понятное пользователю буквенно-цифровое обозначение. В состав домена обычно включаются компьютеры одного сегмента вычислительной сети, хотя могут быть исключения (как пример, структура региональных компьютерных сетей). Частью домена может выступать другой домен более низкого уровня в иерархии, например домен "фирма" повторяет организационную структуру, то есть имеются домены второго уровня "бухгалтерия.фирма" и "администрация.фирма", с каждым из которых соотнесены определенные наборы информационных услуг и сервисов. Соответственно, пользователь, работая на компьютере в доменной вычислительной сети, получает ровно такой объем информации, который определен для текущего домена. В данном случае речь идет не столько о логическом, сколько о функциональном структурировании компьютерной сети. Это позволяет делегировать различные возможности работы с информацией в вычислительной сети в соответствии со служебными обязанностями сотрудников того или иного подразделения фирмы.
Вычислительные
сети, построенные на основе одной
топологии и использующие один и тот же
набор протоколов при информационном
обмене, называются гомогенными
компьютерными сетями.
Если в отдельных сегментах вычислительной
сети имеет место разнообразие топологий
и протоколов, то это гетерогенная
компьютерная сеть.
Глобальная сеть Интернет по праву может
называться гетерогенной компьютерной
сетью, так как сочетает в своей структуре
не только разнообразные по топологии
построения компьютерные сети, но и такие
сетевые устройства сопряжения, не
столько на уровне топологий, сколько
на уровне различных применяемых
протоколов, как маршрутизатор.
Маршрутизатор, или по-другому роутер
(router),
представляет сетевое устройство, которое
отслеживает состояние и изменения в
структуре сети в той области, которая
граничит с его сетевыми разъемами,
называемыми сетевым
интерфейсом.
Собираемая маршрутизатором информация
хранится в таблицах
маршрутизации,
а само устройство сопоставимо с небольшим
компьютером, который имеет кроме
аппаратной платформы (системная плата,
процессор, оперативная память, постоянная
память) программную "начинку"
(операционная система, программы
реализации протоколов маршрутизации).
Таблица маршрутизации содержит сведения
о сетевых интерфейсах, соответствующих
им адресах компьютерных сетей и
IP-адресах,
метрике.
Метрика – это информация о количестве
промежуточных сетевых устройств на
протяжении линии связи до адресата, а
также о ее характеристиках (время
задержки, коэффициент доставки/потери
информационных пакетов). Таблица
маршрутизации постоянно обновляется,
для чего маршрутизаторы обмениваются
между с
таблица
маршрутизации роутера 1
интерфейс
IP-адрес метрика c A 2,
быстро, качественно c C 1,
быстро, качественно d A 2,
медленно, с потерями d D 1,быстро,
качественно 2 B 2,
быстро, качественно 2 D 2,
быстро, качественно
таблица
маршрутизации роутера 2
интерфейс
IP-адрес метрика b B 1,
быстро, качественно d A 2,
медленно, с потерями d D 1,
быстро, качественно 1 A 3,
быстро, качественно 1 A 3,
медленно, с потерями 1 C 2,
быстро, качественно 1 D 2,
быстро, качественно
В примере, представленном на рисунке, для информационного обмена между компьютерными сетями A и B маршрутизаторы 1 и 2 выберут следующие способы сопряжения. В первой таблице маршрутизации роутером 1 будут задействованы строки под номерами 1 и 5, а во второй таблице роутер 2 выберет строки с номерами 1 и 4.
Для компьютерных сетей, независимо от масштаба, актуальным является вопрос безопасности. Действительно, информационные услуги и сервисы, предлагаемые вычислительными сетями, имеют определенную аудиторию, и не должны быть доступны абсолютно всем. Особенно это касается хозяйственной, финансовой и прочей коммерческой деятельности, сопровождающейся огромным количеством информации, потенциально интересной конкурентам. Даже в отсутствие компьютерной сети на компьютере может содержаться некоторая информация, требующая защиты от непосредственного взаимодействия с другим пользователем или злоумышленником.
Прежде чем пользователь приступит к потреблению информационных услуг и сервисов вычислительной сети или отдельного компьютера, система потребует зарегистрироваться. В самом тривиальном случае необходимо будет указать имя пользователя и подтвердить намерения приступить к работе. Только после этого будет предоставлен определенный набор возможностей при работе в компьютерной сети. Вся процедура регистрация разделяется на три этапа.
Сначала пользователь представляется в системе. Этот этап носит название идентификация – представляет процесс указания системе имени (идентификатора), под которым пользователь известен в вычислительной сети. Подразумевается, что эта информация уже присутствует в системе наряду со сведениями о других пользователях компьютерной сети, которые называются учетными записями пользователей.
Следующим этапом идет аутентификация – процесс проверки подлинности пользователя, указавшего соответствующую учетную запись на этапе идентификации, посредством внесения пароля. Другими словами, пользователь должен предъявить системе то, чем он владеет, или то, что только он знает. Это может быть буквенно-цифровая комбинация пароля, электронный или твердотельный ключ, пропуск или сертификат, биометрические параметры пользователя (сканирование отпечатков пальцев или сетчатки глаза, сопоставление с фотографией пользователя в системе). Система должна удостовериться в том, что пользователь, который пытается получить доступ к вычислительной сети, действительно обладает таким правом.
На завершающей стадии регистрации пользователя в компьютерной сети, система должна принять решение о наборе и объеме тех полномочий, которыми необходимо его наделить, а также предоставить или запретить доступ к соответствующим информационным услугам и сервисам. Этот этап носит название авторизация.
В компьютерных системах весь спектр мер, направленных на защиту информации и поддерживающей ее инфраструктуры, называется политикой безопасности, которая также подразумевает дополнительные мероприятия на поддержку функционирования системы защиты в целом. Последнее относится к режимным объектам, где вычислительные сети и доступ к ним со стороны пользователей по большей части локализованы и имеют пропускной режим, а обеспечение непрерывной работоспособности системы поддерживается бесперебойным энергоснабжением. Например, компьютерные системы центра управления полетами космических аппаратов, обеспечения работы атомных объектов, военной разведки.
Любая возможность нецелевого использования информационных услуг и сервисов, предоставляемых компьютерными системами, приводящая к негативным экономическим, конъюнктурным, геополитическим последствиям называется угрозой. По сути, стратегия, воплощенная в наборе мероприятий по минимизации разного вида угроз, является отражением сбалансированной политики безопасности компьютерной сети. Когда пользователь, имеющий определенные права на работу в вычислительной сети, не чувствует дискомфорта, и, одновременно злоумышленник, имитирующий пользователя, но не подтвердивший этот статус, не имеет возможности нанести вред. Попытки реализовать угрозу, в том числе и успешные действия со стороны злоумышленника, называются атакой.
Вся необходимая для регистрации и работы пользователя в компьютерной сети информация – учетные записи пользователей – размещается обычно на отдельном сервере, который называется контроллером домена. Однако если вычислительная сеть основана на рабочих группах, а не на доменах, или вовсе отсутствует, то информация об учетных записях пользователей располагается на локальном компьютере.
Получив доступ к компьютерной сети, пользователь для потребления информационных услуг и сервисов может воспользоваться либо специальными коммуникационными программами, либо браузером. В обоих случаях обращение к разнообразной информации, расположенной на различных серверах, которая называется ресурсом, осуществляется при помощи унифицированного указателя ресурса URL (Uniform Resource Locator). URL – это текстовая строка, содержащая информацию о способе подключения к ресурсу вычислительной сети. Вначале строки указывается протокол подключения программы пользователя к ресурсу, завершающийся комбинацией знаков "://" (двоеточие и две косые черты). Далее следует его адрес в компьютерной сети. В случае, когда на сервере предоставляется множество разнообразных информационных услуг и сервисов, после адреса ресурса, отделенный знаком ":" (двоеточие), присутствует числовой номер порта, указывающий на то, какая программа сервера должна обрабатывать запрос пользователя. После задается наименование раздела согласно структуре предоставляемой сервером информационной услуги или сервиса, отделенная знаками "/" (косая черта, называемая слэш). Таким разделом может выступать структура виртуальных папок на сервере, и при необходимости информационный файл, интересующий пользователя.