Внутренний протокол маршрутизации rip

Этот протокол маршрутизации предназначен для сравнительно небольших и относительно однородных сетей (алгоритм Белмана-Форда). Протокол разработан в университете Калифорнии (Беркли), базируется на разработках фирмы Ксерокс и реализует те же принципы, что и программа маршрутизации routed, используемая в ОC UNIX (4BSD). Маршрут здесь характеризуется вектором расстояния до места назначения. Предполагается, что каждый маршрутизатор является отправной точкой нескольких маршрутов до сетей, с которыми он связан. Описания этих маршрутов хранится в специальной таблице, называемой маршрутной. Таблица маршрутизации RIP содержит по записи на каждую обслуживаемую машину (на каждый маршрут). Запись должна включать в себя: IP-адрес места назначения. Метрика маршрута (от 1 до 15; число шагов до места назначения). IP-адрес ближайшего маршрутизатора (Gateway) по пути к месту назначения. Таймеры маршрута.

Первым двум полям записи мы обязаны появлению термина вектор расстояния (место назначение – направление; метрика – модуль вектора). Периодически (раз в 30 сек) каждый маршрутизатор посылает широковещательно копию своей маршрутной таблицы всем соседям-маршрутизаторам, с которыми связан непосредственно. Маршрутизатор-получатель просматривает таблицу. Если в таблице присутствует новый путь или сообщение о более коротком маршруте, или произошли изменения длин пути, эти изменения фиксируются получателем в своей маршрутной таблице. Протокол RIP должен быть способен обрабатывать три типа ошибок:

1. Циклические маршруты. Так как в протоколе нет механизмов выявления замкнутых маршрутов, необходимо либо слепо верить партнерам, либо принимать меры для блокировки такой возможности.

2. Для подавления нестабильностей RIP должен использовать малое значение максимально возможного числа шагов (<16).

3. Медленное распространение маршрутной информации по сети создает проблемы при динамичном изменении маршрутной ситуации (система не поспевает за изменениями). Малое предельное значение метрики улучшает сходимость, но не устраняет проблему.

Несоответствие маршрутной таблицы реальной ситуации типично не только для RIP, но характерно для всех протоколов, базирующихся на векторе расстояния, где информационные сообщения актуализации несут в себе только пары кодов: адрес места назначение и расстояние до него.

Основное преимущество алгоритма вектора расстояний - его простота. Действительно, в процессе работы маршрутизатор общается только с соседями, периодически обмениваясь с ними копиями своих таблиц маршрутизации. Получив информацию о возможных маршрутах от всех соседних узлов, маршрутизатор выбирает путь с наименьшей стоимостью и вносит его в свою таблицу.

Достоинство этого алгоритма - быстрая реакция на хорошие новости (появление в сети нового маршрутизатора), а недостаток - очень медленная реакция на плохие известия (исчезновение одного из соседей).

В качестве примера мы рассмотрим сеть, из нескольких последовательно соединенных маршрутизаторов, где метрикой является число транзитных узлов на пути к точке назначения (как в протоколе RIP).

Рисунок Распространение "хорошей" новости в сети

Пусть в начальный момент времени маршрутизатор A не был доступен, т. е. расстояние до него во всех таблицах - бесконечность. При включении А пошлет сообщение своему соседу - узлу B. Все остальные маршрутизаторы узнают об этом через последовательный обмен сообщениями (для простоты будем считать, что обмен между всеми соседними узлами происходит синхронно каждые несколько секунд).

Во время первого обмена узел B узнает, что A заработал и вносит в свою таблицу маршрутизации "1" как расстояние до A; все остальные узлы в этот момент по-прежнему считают A недоступным. При следующем обмене, спустя несколько секунд, узел C также узнает о появлении маршрутизатора A. В результате последовательности таких обменов информация достигнет и узла E, для которого стоимость маршрута до А будет "4".

Таким образом, для сети с максимальной длиной маршрута N сообщение о новом маршрутизаторе дойдет до самого удаленного узла в сети через N-1 циклов обмена таблицами маршрутизации. На этом этапе никаких проблем не возникает.

Теперь мы рассмотрим обратный случай, когда узел А перестает работать вследствие сбоя. При очередном обмене (мы будем считать его первым в этой серии) узел В не получает никакого сообщения от молчащего маршрутизатора А. Это верный сигнал о том, что у А возникли проблемы, и информацию о нем необходимо удалить из таблицы. Однако в то же самое время узел C сообщает, что ему известен путь до А и стоимость этого пути "2". Тот факт, что путь до А, объявленный узлом C, проходит через сам B (т. е. образуется петля), ускользает от внимания маршрутизатора, и он заносит в таблицу путь до неработающего А стоимостью "3".

Во время следующего обмена C замечает, что оба его соседа рекламируют путь до A стоимостью "3", и немедленно делает поправки в своей таблице. Теперь длина пути от С до A - "4". Если этот процесс не остановить, то он может продолжаться до бесконечности, и никто так и не узнает, что маршрутизатор А давно вышел из строя. Соответственно данные к А будут посылаться и дальше.

Эта проблема алгоритма вектора расстояний получила название проблемы возрастания до бесконечности (count-to-infinity problem). Она является основной причиной задания ограничений на максимальную длину пути во всех протоколах вектора расстояния.

Протокол RIP, например, считает маршрут длиной более чем в 15 транзитных узлов бесконечным. Такой путь будет немедленно удален из таблицы маршрутизации. Т. е. в последнем примере узел B поймет, что узел А недоступен, когда получит объявление пути до А со стоимостью "15". К сожалению, такая процедура занимает слишком много времени.

Д ля предотвращения образования ложных маршрутов используется несколько методов, один из них - метод расщепления горизонта (split-horizon). Данное правило не так сложно, как может показаться из названия: "Если известно, что путь до узла X лежит через соседний узел Y, то узлу Y не надо посылать объявления маршрута до X".

Мы рассмотрим тот же пример, что и на рисунке , но в условиях, когда действует правило расщепления горизонта. После выхода из строя маршрутизатора А узел В узнает о недееспособности А при первом же обмене. Узлу С правило расщепления горизонта запрещает посылать информацию об А на В, так как путь к А лежит через В. Таким образом, узел С не может теперь (непреднамеренно) обманывать своего соседа слева, и узел В тут же помечает маршрутизатор А как недоступный. После следующего обмена уже С узнает от В о недоступности А, вместе с тем ложная информация от узла D, который все еще считает маршрутизатор А действующим, на С не поступит.

Как видим, с введением правила расщепления горизонта плохая новость распространяется в нашей сети так же быстро, как и хорошая. При этом никаких петель не возникает. К сожалению, даже при минимальном усложнении топологии правило расщепления горизонта перестает действовать.

Рассмотрим пример сети с избыточной топологией. В начальный момент времени А и B знают, что расстояние до узла D равно "2". После выхода D из строя маршрутизатор C, не получив от D сообщения, определяет, что узел D недоступен. А и В продолжают считать D доступным, но правило расщепления горизонта запрещает им сообщать эту ложную информацию маршрутизатору С. При следующем обмене C уведомляет A и B о недоступности D. Но одновременно с этим узел А получает от В сообщение о пути до D стоимостью "2", а узел В получает аналогичное сообщение от А.

Информация об аварии на D не будет услышана. Проблема возрастания до бесконечности возникла вновь.

В качестве метрики RIP использует число шагов до цели. Если между отправителем и приемником расположено три маршрутизатора (gateway), считается, что между ними 4 шага. Для всех непосредственно подключенных интерфейсов счетчик пересылок равен 1. Рассмотрим маршрутизаторы и сети, показанные на рисунке. Четыре пунктирные линии показывают широковещательные сообщения RIP.

 Маршрутизатор R1 объявляет маршрут к N2 со счетчиком пересылок равным 1, послав широковещательное сообщение на N1. (Бессмысленно объявлять маршрут к N1 в широковещательном сообщении, посланном на N1.) Он также объявляет маршрут к N1 со счетчиком пересылок равным 1, послав широковещательное сообщение на N2. Точно так же, R2 объявляет маршрут к N2 с показателем 1 и маршрут к N3 с показателем 1. Если смежный с нами маршрутизатор объявил маршрут к удаленной сети со счетчиком пересылок равным 1, то для нас показатель к этой сети будет равен 2, так пакет необходимо послать сначала на наш маршрутизатор, чтобы получить доступ к сети. В примере, приведенном выше, показатель к N1 для R2 равен 2, так же как и показатель к N3 для R1.

Рисунок. Пример ситуации, когда правило расщепления горизонта не действует

Так как каждый маршрутизатор посылает свои таблицы маршрутизации соседям, определяется каждая сеть в каждой автономной системе (AS). Если внутри AS существует несколько путей от маршрутизатора к сети, маршрутизатор выбирает путь с наименьшим количеством пересылок и игнорирует другие пути.

Величина счетчика пересылок ограничена значением 15, что означает, что RIP может быть использован только внутри AS, где максимальное количество пересылок между хостами составляет 15. Специальное значение показателя, равное 16, указывает на то, что на данный IP адрес не существует маршрута.

Такой вид метрики не учитывает различий в пропускной способности или загруженности отдельных сегментов сети. Применение вектора расстояния не может гарантировать оптимальность выбора маршрута, ведь, например, два шага по сегментам сети Ethernet обеспечат большую пропускную способность, чем один шаг через последовательный канал на основе интерфейса RS-232.

Рисунок Пример маршрутизаторов и сетей

Маршрут по умолчанию имеет адрес 0.0.0.0 (это верно и для других протоколов маршрутизации). Каждому маршруту ставится в соответствие таймер тайм-аута и "сборщика мусора". Тайм-аут-таймер сбрасывается каждый раз, когда маршрут инициализируется или корректируется. Если со времени последней коррекции прошло 3 минуты или получено сообщение о том, что вектор расстояния равен 16, маршрут считается закрытым. Но запись о нем не стирается, пока не истечет время "уборки мусора" (2мин). При появлении эквивалентного маршрута переключения на него не происходит, таким образом, блокируется возможность осцилляции между двумя или более равноценными маршрутами.

RIP сообщения инкапсулируются в UDP-дейтограммы, при этом передача осуществляется через порт 520.

Формат сообщения протокола RIP имеет вид, показанный на рисунке. Поле команда определяет выбор согласно следующей таблице.

Таблица 4.1 - Значения кодов поля команда

Команда	Значение
1	Запрос на получение частичной или полной маршрутной информации;
2	Отклик, содержащий информацию о расстояниях из маршрутной таблицы отправителя;
3	Включение режима трассировки (устарело);
4	Выключение режима трассировки (устарело);
5-6	Зарезервированы для внутренних целей SUN Microsystem.

Поле версия для RIP равно 1 (для RIP-2 двум). Поле набор протоколов сети i определяет набор протоколов, которые используются в соответствующей сети (для Интернет это поле имеет значение 2). Поле расстояние до сети i содержит целое число шагов (от 1 до 15) до данной сети. В одном сообщении может присутствовать информация о 25 маршрутах. При реализации RIP можно выделить следующие режимы:

Инициализация, определение всех "живых" интерфейсов путем посылки запросов, получение таблиц маршрутизации от других маршрутизаторов. Часто используются широковещательные запросы.

• Получен запрос. В зависимости от типа запроса высылается адресату полная таблица маршрутизации, или проводится индивидуальная обработка.

• Получен отклик. Проводится коррекция таблицы маршрутизации (удаление, исправление, добавление).

Рисунок . Формат сообщения RIP

• Регулярные коррекции. Каждые 30 секунд вся или часть таблицы маршрутизации посылается всем соседним маршрутизаторам. Могут посылаться и специальные запросы при локальном изменении таблицы.

ЛАБОРАТОРНАЯ РАБОТА № 19,20,21

ТЕМА: Анализ безопасности установления соединений в IP – сетях

ЦЕЛЬ: Изучить проблемы обеспечения безопасности в глобальных сетях

Глобальная сеть Internet создавалась как открытая система, предназначенная для свободного обмена информацией. В силу открытости своей идеологии Internet представляет для злоумышленников значительно большие возможности по сравнению с традиционными информационными системами. Через Internet нарушитель может:

• вторгнуться во внутреннюю сеть предприятия и получить несанкционированный доступ к конфиденциальной информации;

• незаконно скопировать важную и ценную для предприятия информацию;

• получить пароли, адреса серверов и их содержимое;

• входить в информационную систему предприятия под именем зарегистрированного пользователя .

Ряд задач по отражению наиболее вероятных угроз для внутренних сетей способны решать межсетевые экраны. Межсетевой экран (МЭ) – это система межсетевой защиты, позволяющая разделить общую сеть на две части или более и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части общей сети в другую. Как правило, эта граница проводится между корпоративной (локальной) сетью предприятия и глобальной сетью Internet, хотя ее можно провести и внутри корпоративной сети предприятия. МЭ пропускает через себя весь трафик, принимая для каждого проходящего пакета решение – пропускать его или отбросить. Для того чтобы МЭ мог осуществить это, ему необходимо определить набор правил фильтрации.

Наилучшим из известных в настоящее время сертифицированных аппаратно-программных комплексов, способных решить проблему защиты от всевозможных атак "извне", является разработанный "Информзащитой" "Континент-К", являющийся реализацией идеологии VPN

(Virtual Private Network). Технология VPN позволяет формировать виртуальные защищенные каналы в сетях общего пользования (например, Internet), гарантирующие конфиденциальность и достоверность информации. VPN-сеть представляет собой объединение локальных сетей (ЛВС) или отдельных компьютеров, подключенных к сети общего пользования, в единую защищенную виртуальную сеть.

Аппаратно-программный комплекс “Континент-К” обеспечивает:

• защиту внутренних сегментов сети от несанкционированного доступа со стороны пользователей сетей общего пользования;

• скрытие внутренней структуры защищаемых сегментов сети;

• криптографическую защиту данных, передаваемых по каналам связи сетей общего пользования между защищаемыми сегментами сети (абонентскими пунктами);

• безопасный доступ пользователей VPN к ресурсам сетей общего пользования.

Комплекс “Континент-К” включает в свой состав следующие компоненты:

• центр управления сетью криптографических шлюзов;

• криптографический шлюз;

• программа управления сетью криптографических шлюзов.

Центр управления сетью (ЦУС) осуществляет управление работой всех КШ, входящих в состав виртуальной сети. ЦУС осуществляет контроль над состоянием всех зарегистрированных КШ, проводит рассылку ключевой информации, предоставляет администратору функции удаленного управления КШ, обеспечивает получение и хранение содержимого системных журналов КШ, а также ведение журнала событий НСД.

Криптографический шлюз (КШ) обеспечивает криптографическую защиту информации при ее передаче по открытым каналам сетей общего пользования и защиту внутренних сегментов сети от проникновения извне. Программа управления обеспечивает отображение состояний КШ, просмотр содержимого системных журналов КШ, изменение настроек маршрутизации и правил фильтрации пакетов.

Комплекс “Континент-К” может использоваться в следующих вариантах: • защита соединения «точка-точка»; • защищенная корпоративная VPN-сеть.

Защита соединения «точка-точка» (рис. 1) предполагает использование КШ для защиты данных, передаваемых по неконтролируемой территории между двумя защищенными сегментами территориально разделенных ЛВС через сеть Internet или по выделенному каналу связи.

Рис. 1. Защита соединения «точка-точка»

В этом случае обеспечивается шифрование и имитозащита данных, передаваемых между двумя защищенными сегментами разделенной ЛВС. Управление параметрами КШ осуществляется из той ЛВС, в которой установлена программа управления и на криптошлюзе которой установлен центр управления сетью.

Защищенная корпоративная VPN-сеть (рис. 2) предполагает, что защищаемые сегменты сети предприятия объединены между собой через каналы передачи данных сети общего пользования (выделенные каналы различной пропускной способности, в том числе сеть Internet). В этом случае обеспечивается:

• шифрование и имитозащита данных, передаваемых по каналам связи;

• аутентификация удаленных абонентов;

• фильтрация входящих и исходящих IP-пакетов;

• скрытие внутренней структуры каждого защищаемого сегмента сети;

• распределение и управление сменой ключей шифрования.

Рис. 2. Защищенная корпоративная сеть

Для централизованного управления работой КШ (настройка, контроль состояния, распределение ключей шифрования и т.д.) используются центр управления сетью и программа управления. Центр управления сетью устанавливается на одном из криптошлюзов сети. Программа управления может быть установлена на компьютерах внутри защищаемых центром управления сегментов сети. Оповещение администратора о попытках НСД осуществляется на АРМ управления сетью. Шифрование передаваемой информации для пользователей VPN является прозрачным.

Передача ключей на КШ с ЦУС производится по защищенному каналу связи (на ключе связи с ЦУС). В качестве ключевого носителя для ключа связи с ЦУС используется дискета. Ключи парной связи хранятся на диске в зашифрованном виде (на ключе хранения). Ключ хранения находится в защищенной энергонезависимой памяти ЭЗ “Соболь”. Для защиты соединения между управляющей консолью и ЦУС используется специальный административный ключ. Этот ключ хранится на ключевом диске администратора системы. Плановая смена ключей на КШ осуществляется из ЦУС по каналу связи в защищенном виде на ключе связи с ЦУС.

Криптографический шлюз представляет собой специализированное программно- аппаратное устройство, обеспечивает:

• прием и передачу пакетов по протоколам семейства TCP/IP (статическая маршрутизация);

• шифрование передаваемых и принимаемых IP-пакетов;

• сжатие защищаемых данных; защиту данных от искажения ;

• фильтрацию IP-пакетов в соответствии с заданными правилами фильтрации;

• скрытие внутренней структуры защищаемого сегмента сети;

• криптографическую аутентификацию удаленных абонентов;

• периодическое оповещение ЦУС о своей активности;

• оповещение администратора (в реальном режиме времени) о событиях, требующих оперативного вмешательства;

• идентификацию и аутентификацию администратора при запуске КШ (средствами ЭЗ “Соболь”).

Рис. 3. Обработка исходящих IP-пакетов

Обработка исходящих IP-пакетов представлена на рис. 3. Все IP-пакеты, поступившие от внутренних абонентов защищаемого сегмента, вначале подвергаются фильтрации. Фильтрация IP-пакетов осуществляется в соответствии с установленными администратором правилами на основе IP-адресов отправителя и получателя, допустимых значений полей заголовка, используемых портов UDP/TCP и флагов TCP/IP-пакета. Если пакет не удовлетворят правилам фильтрации, он отвергается. Отправитель пакета получает ICMP-сообщение о недоступности абонента. При установке КШ автоматически генерируются правила, необходимые для обеспечения защищенного взаимодействия с ЦУС, корректной работы механизма маршрутизации пакетов, обработки управляющего трафика коммуникационного оборудования и обеспечения возможности начала работы VPN-функций без дополнительного конфигурирования. IP-пакеты, удовлетворяющие правилам фильтрации, обрабатываются блоком криптографической защиты и передаются на внешний интерфейс КШ. КШ-отправитель обеспечивает его сжатие, шифрование и имитозащиту, инкапсуляцию в новый IP-пакет, в котором в качестве IP-адреса приемника выступает IP-адрес КШ-получателя, а в качестве IP-адреса источника выступает IP-адрес КШ-отправителя. IP-пакеты, адресованные абонентам, внешним по отношению к VPN-сети (Web-сайты, ftp-серверы), передаются в открытом виде. Это позволяет использовать КШ при доступе к общедоступным ресурсам сетей общего пользования в качестве межсетевого экрана пакетного уровня.

Входящие IP-пакеты от открытых абонентов блоком криптографической защиты не обрабатываются и поступают непосредственно в фильтр IP-пакетов. Для пакетов, полученных от абонентов VPN, блок криптографической защиты осуществляет проверку целостности пакетов и расшифровывает их, после чего пакеты поступают в фильтр IP-пакетов. Если целостность пакета нарушена, то пакет отбрасывается без расшифрования и без оповещения отправителя пакета с генерацией сообщения о НСД. IP-пакеты, удовлетворяющие правилам фильтрации, передаются через внутренний интерфейс внутренним абонентам.

ЛАБОРАТОРНАЯ РАБОТА № 22,23,24

ТЕМА: Исследование взаимодействия и программного обеспечения ПЭВМ при организации ЛВС.

Сеть ЭВМ — это совокупность, каналов передачи данных, взаимосвязанных ими ЭВМ, необходимых для реализации этой взаимосвязи программного обеспечения и (или) технических средств, которые предназначены для организации распределенной обработки данных. В такой системе любое из подключенных устройств может использовать ее для передачи или получения информации. По размерности различают локальные и глобальные сети.

Сеть является системой, в которой происходит передача информации. Компьютерная сеть включает все аппаратное и программное обеспечение, необходимое для подключения компьютеров и другого электронного оборудования к каналу, по которому они могут общаться друг с другом.

Локальные Сети — сети, действующие в пределах некоторой ограниченной территории (протяженность — от нескольких метров до нескольких километров). Эти сети также называют ЛВС (Локальные Вычислительные Сети), или LAN (Local Area Network). И обычно они охватывают какое-либо отделение предприятия и не выходят за пределы одного здания.

Глобальные сети обеспечивают соединение большого числа абонентов на больших территориях, охватывающих регионы, страны и континенты, использующие для передачи данных оптоволоконные магистрали, спутниковые системы связи и коммутируемую телефонную сеть.

Объединение глобальных и локальных сетей в ассоциации сетей составляет интерсеть, ярким примером которой является Internet.

Огромная популярность Internet повлияла на развитие корпоративных сетей Intranet. Иногда эти сети называют глобальными ЛВС, а работа с ними аналогична работе с Internet.

Существует ряд веских причин для объединения отдельных персональных компьютеров в ЛВС. Во-первых, совместное использование ресурсов позволяет нескольким ПК или другим устройствам осуществлять совместный доступ к отдельному диску (файл-серверу), дисководу CD-ROM, стримеру, принтерам, плоттерам, к сканерам и другому оборудованию, что снижает затраты на каждого отдельного пользователя. Во-вторых, кроме совместного использования дорогостоящих периферийных устройств, ЛВС позволяет аналогично использовать сетевые версии прикладного программного обеспечения. В-третьих, ЛВС обеспечивают новые формы взаимодействия пользователей в одном коллективе, например, при работе над общим проектом. В-четвертых, ЛВС дают возможность использовать общие средства связи между различными прикладными системами (коммуникационные услуги, передача данных и видеоданных, речи и т.д. ). Особое значение имеет организация распределенной обработки данных. В случае централизованного хранения информации значительно упрощаются процессы обеспечения ее целостности, а также резервного копирования.

Компьютер, подключенный к локальной сети, называют рабочей станцией (workstation) или сервером (server) — в зависимости от задач, решаемых на нем. Каждый компьютер в ЛВС должен иметь сетевой адаптер, который позволяет ему взаимодействовать с другими устройствами данной сети. Среди ЛВС на базе персональных компьютеров различают сети с выделенным сервером (централизованным управлением) и так называемые одноранговые сети (peer-to-peer). В последнем типе сетей при совместном использовании информации каждая станция может выступать и как клиент, и как сервер. Одноранговые ЛВС достаточно дешевы и просты в обслуживании, однако не могут обеспечить должной защиты информации при большом размере сети. ЛВС с выделенным сервером имеют хорошие средства обеспечения безопасности данных и возможности для расширения, однако, требуют постоянного квалифицированного обслуживания.

Одноранговые вычислительные сети ЛВС предоставляет возможность такой организации работы компьютерной сети, при которой каждая рабочая станция одновременно может быть и сервером. Преимущество одноранговых сетей заключается в том, что разделяемыми ресурсами могут являться ресурсы всех компьютеров в сети и нет необходимости копировать все используемые сразу несколькими пользователями файлы на сервер. В принципе, любой пользователь сети имеет возможность использовать все данные, хранящиеся на других компьютерах сети, и устройства, подключенные к ним. Затраты на организацию одноранговых вычислительных сетей относительно небольшие. Однако при увеличении числа рабочих станций эффективность их использования резко уменьшается. Пороговое значение числа рабочих станций составляет 25. Поэтому одноранговые ЛВС используются только для небольших рабочих групп.

Рисунок Одноранговая сеть

Основной недостаток работы одноранговой сети заключается в значительном увеличении времени решения прикладных задач. Это связано с тем, что каждый компьютер сети отрабатывает все запросы, идущие к нему со стороны других пользователей. Следовательно, в одноранговых сетях каждый компьютер работает значительно интенсивнее, чем в автономном режиме. Существует еще несколько важных проблем, возникающих в процессе работы одноранговых сетей: возможность потери сетевых данных при перезагрузке рабочей станции и сложность организации резервного копирования.

ЛВС с выделенным сервером. Под сервером понимается комбинация аппаратных и программных средств, которая служит для управления сетевыми ресурсами общего доступа. Он обслуживает другие станции, предоставляя общие ресурсы и услуги для совместного использования. В сетях с выделенным сервером в основном именно ресурсы сервера, чаще всего дисковая память, доступны всем пользователям. Серверы, разделяемым ресурсом которых является дисковая память, называются файл-серверами.

Рисунок Клиент серверная сеть

Одной из важных функций сервера является управление очередью заданий работы сетевого принтера. Сетевым принтером пользоваться можно с любой рабочей станции, независимо от места подключения его в сети. То есть каждый пользователь при наличии на это прав может отправить на сетевой принтер материалы, предназначенные для печати. Регулировать очередность доступа к сетевому принтеру будут средства сетевой операционной системы. Компьютер, к которому подключен принтер, в этом случае называется принт-сервером.

Файловый и принт-серверы обычно используются администратором сети и не предназначены для решения прикладных задач. На этих серверах устанавливается сетевая операционная система.

Эффективно использовать возможности ЛВС можно при использовании приложений, реализованных в модели клиент-сервер. В них работа по обработке данных распределена между клиентской и серверной частью. В этом случае один (или, реже, несколько) наиболее мощных компьютеров сети конфигурируются как серверы приложений, на которых устанавливается серверная часть. Разделяемым ресурсом сервера приложений является процессор и/или память. Клиентская часть приложения на рабочей станции формирует запросы, которые выполняются на сервере приложений. После этого результаты передаются обратно на рабочую станцию), где они обрабатываются в дальнейшем.

Рабочая станция — это индивидуальное рабочее место пользователя. На рабочих станциях устанавливается обычная ОС, например Windows 2000. Кроме того, на рабочих станциях устанавливается клиентская часть сетевой ОС. Полноправным владельцем всех ресурсов рабочей станции является пользователь, тогда как ресурсы файл-сервера разделяются всеми пользователями. В качестве рабочей станции может использоваться компьютер практически любой конфигурации. Но, в конечном счете, все зависит от тех приложений, которые этот компьютер выполняет.

При выборе компьютера на роль сервера необходимо учитывать следующие факторы:

0. быстродействие процессора;

1. скорость доступа к файлам, размещенным на жестком диске;

2. емкость жесткого диска;

3. объем оперативной памяти;

4. уровень надежности сервера;

5. степень защищенности данных;

6. сетевой адаптер.

Одним из важных компонентов сервера является дисковый накопитель. Быстрота доступа, емкость и надежность накопителя во многом определяют, насколько эффективно будет использование сети. Обычно емкость жесткого диска сервера составляет несколько десятков гигабайт.

Значительного повышения производительности работы сервера можно добиться, увеличивая его оперативную память. Если файловый сервер снабжен оперативной памятью достаточного объема, то он имеет возможность именно в оперативной памяти хранить те области дискового пространства, к которым обращаются наиболее часто. Такой метод хорошо известен, часто применяется для ускорения доступа к данным на обычных ПК и носит название метода кэширования. Ведь если идет обращение к файлу, данные которого в данный момент находятся в кэше, сервер может передать искомую информацию, не обращаясь к диску. В результате этого будет достигнут значительный временной выигрыш. Кроме того, объем оперативной памяти определяет, сколь большой объем жесткого диска можно использовать.

Большой вред работе сети может нанести отключение электропитания или значительное падение напряжения в сети. Ведь если сбой электропитания произойдет во время записи данных на диск, файл может оказаться испорченным. Для защиты данных в случае возникновения таких ситуаций в ЛВС применяются источники бесперебойного питания. Имеет смысл в сетях с выделенным сервером обязательно снабжать ИБП файл-сервер. ИБП обычно поставляется вместе со специальными платами-адаптерами, которые устанавливаются в свободный слот сервера. Сетевая ОС взаимодействует с адаптером ИБП и в случае сбоя в системе электропитания оповещает об этом рабочие станции) закрывает все открытые файлы и выдает сообщение о необходимости отключения сервера.

Кроме аппаратных средств, для функционирования ЛВС необходима также сетевая операционная система. Ведь операционная система DOS или Windows сами по себе не могут поддерживать работу сети. В ЛВС с выделенным сервером сетевая ОС устанавливается именно на сервере. Обычно эту роль выполняет ОС Windows NT. На рабочих станциях либо должна быть установлена ОС с встроенной сетевой поддержкой, например Windows, либо дополнительно к локальной ОС необходимо инсталлировать клиентскую часть сетевой ОС.

В сети любой структуры в каждый момент времени обмен данными может происходить только между двумя компьютерами на основе используемого в сети протокола. В случае ЛВС с выделенным сервером — это сервер и произвольная рабочая станция; в случае одноранговой ЛВС — это любые две рабочие станции, одна из которых выполняет функции файл-сервера. Упрощенно диалог между файл-сервером и рабочей станцией выглядит так: открыть файл — подтвердить открытие файла; передать данные файла — пересылка данных; закрыть файл — подтверждение закрытия файла.

Сетевая ОС управляет потоком сообщений между сервером и рабочими станциями, используя для этой цели три программных компонента. Первый отвечает за связь между компьютерами и состоит из драйверов сетевых адаптеров. Второй представляет собой модуль сетевой ОС, управляющий рабочей станцией. Он формирует запросы и осуществляет их передачу на файловый сервер. И, наконец, третий является, по сути дела, сетевой операционной системой, устанавливаемой на файл-сервере.

Сетевые ОС с выделенным сервером обычно имеют более высокую производительность и надежность, поскольку они оптимизированы именно под выполнение операций с файлами и предназначены для управления процессами в сети. В принципе, никаких более важных действий на выделенном сервере не выполняется. Значительного повышения производительности работы компьютера можно добиться, увеличивая его оперативную память.

Топология сетей. Способ объединения компьютеров между собой в сети называют топологией. Различают пять наиболее распространенные сетевые топологии, которые используют и для одноранговых сетей, и для сетей с выделенным сервером. Это так называемые шинная, кольцевая, звездообразная, древовидная и полносвязная структуры.

В случае реализации шинной структуры (рис.1) все компьютеры связываются в цепочку с помощью коаксиального кабеля. Если же хотя бы один из сегментов сети с шинной структурой оказывается неисправным, вся сеть в целом становится неработоспособной. Дело в том, что тогда происходит разрыв единственного физического канала) необходимого для движения сигнала. На концах коаксиального кабеля устанавливаются заглушки, но сохраняется возможность расширения сети.

Рисунок 1. Топология «Общая шина».

Преимущества	Недостатки
Распространенность и популярность для ЛВС.	Среда передачи пассивна, поэтому необходимо усиление сигналов, затухающих в среде.
Легкость подключения новых компьютеров и настройка сетевой ОС.	При большом количестве компьютеров возможно насыщение среды передачи (резкое снижение пропускной способности).
Просто реализуется широковещательная передача.	Затрудняется защита информации, так как можно легко подсоединиться к сети.
Сеть приспособлена к передаче сообщений с резкими колебаниями интенсивности потока сообщений.	В некоторых случаях отсутствует оптимальный механизм права доступа к среде

Кольцевая структура (рис.2) используется в основном в сетях Token Ring и мало чем отличается от шинной. Так же в случае неисправности одного из сегментов сети вся сеть выходит из строя. Поскольку все компьютеры попарно соединяются друг с другом, отпадает необходимость в использовании терминаторов.

Рисунок 2. Топология «Кольцо».

Преимущества	Недостатки
Используется простая маршрутизация пакетов.	Надежность сети зависит от надежности кабельной системы.
Отсутствует зависимость сети от функционирования отдельных узлов(возможно отключить узел без нарушения работы сети).	Необходимо использовать более сложное программное обеспечение для узлов, например, для функционирования в сбойных ситуациях
Легко идентифицируются неисправные узлы и выполняется реконфигурация в случае сбоя или неисправности.	Усложняется решение задачи защиты информации (так как данные проходят через все узлы сети).

Для построения сети с звездообразной структурой (рис.3) необходимо разместить в центре сети концентратор (хаб). Его основная функция — обеспечение связи между компьютерами, входящими в сеть. Обычно на основе звездообразной структуры создаются ЛВС с выделенным сервером. То есть все компьютеры, включая файл-сервер, не связываются непосредственно друг с другом, а с помощью кабеля витая пара присоединяются к концентратору. Данная структура предпочтительнее, поскольку в случав выхода из строя одной из рабочих станций или кабеля, связывающего ее с концентратором, все остальные сохраняют работоспособность.

Рисунок 3. Топология «Звезда».

Преимущества	Недостатки
Высокий уровень защиты данных на сервера.	Зависимость сети от надежности концентратора (его отказ приводит к отказу всей сети).
Простая адресация, которая контролируется сервером.	Сложность сервера, на который возложено большинство сетевых функций.
Упрощены процессы поиска неисправностей.

В сети с древовидной топологией (рис.4) центры обработки связываются между собой через узлы коммутации. При этом образуется древовидная структура. Абоненты подключаются к центрам обработки либо непосредственно, либо через узел коммутации.

Рисунок 4. Топология «Дерево».

Для такой структуры сети характерны примерно те же преимущества и недостатки, которые указаны в адрес сети с кольцевой топологией. Но дополнительным преимуществом является то, что здесь проще и дешевле решаются вопросы наращивания возможностей сети за счет подключения дополнительных центров обработки и узлов коммутации.

В полносвязной сети (рис.5) реализуется принцип "каждый с каждым", т.е. каждый центр обработки связывается со всеми другими центрами сети. Такое построение сети требует большого числа соединительных линий связи. Оно эффективно для малых сетей с небольшим количеством центров обработки, работающих с полной загрузкой каналов связи.

Рисунок 5. Полносвязная топология.

Необходимость в использовании полных связей между центрами обработки возникает на самых высоких уровнях сетевой иерархии. Однако наращивание возможностей сети путем добавления новых центров обработки и узлов коммуникации приводит к значительному увеличению числа соединительных линий и необходимости модификации всех имеющихся в сети узлов.

Основными компонентами сети являются кабели (передающие среды), рабочие станции (АРМ пользователей сети), платы интерфейса сети (сетевые адаптеры), серверы сети.

В качестве средств коммуникации наиболее часто используются витая пара, коаксиальный кабель и оптоволоконные линии.

Витая пара. Наиболее дешевым кабельным соединением является витое двухжильное проводное соединение часто называемое «витой парой» . Она позволяет передавать информацию со скоростью до 10 Мбит/с, легко наращивается, однако является помехонезащищенной. Длина кабеля не может превышать 1000 м при скорости передачи 1 Мбит/с. Для повышения помехозащищенности информации часто используют экранированную витую пару, т.е. витую пару, помещенную в экранирующую оболочку, подобно экрану коаксиального кабеля. Это увеличивает стоимость витой пары и приближает ее цену к цене коаксиального кабеля.

Рисунок 1. Кабель витая пара

Коаксиальный кабель. Коаксиальный кабель имеет среднюю цену, хорошо помехозащищен и применяется для связи на большие расстояния (несколько километров). Скорость передачи информации от 1 до 10 Мбит/с, а в некоторых случаях может достигать 50 Мбит/с. Коаксиальный кабель используется для основной и широкополосной передачи информации.

Еthernet-кабель. Ethernet-кабель также является коаксиальным кабелем с волновым сопротивлением 50 Ом. Он использует 15–контактное стандартное включение. Средняя скорость передачи данных 10 Мбит/с. Максимально доступное расстояние без повторителя не превышает 500 м., а общее расстояние сети Ethernet – около 3000 м. Ethernet-кабель, благодаря своей магистральной топологии, использует в конце лишь один нагрузочный резистор.

Сheapernеt–кабель. Более дешевым, чем Ethernet–кабель является соединение Cheapernet-кабель (RG–58). Это также 50-омный коаксиальный кабель со скоростью передачи информации в 10 Мбит/с. При соединении сегментов Cheapernet–кабеля также требуются повторители. Приемопередатчик Cheapernet расположен на сетевой плате как для гальванической развязки между адаптерами, так и для усиления внешнего сигнала

Рисунок 2. Оптический кабель

Оптоволоконные линии. Наиболее дорогими являются оптопроводники. Скорость распространения информации по ним достигает 100 Мбит/с. Допустимое удаление более 50 км. Внешнее воздействие помех практически отсутствует. На данный момент это наиболее дорогостоящее соединение для ЛВС. Применяются там, где возникают электромагнитные поля помех или требуется передача информации на очень большие расстояния без использования повторителей. Они обладают противоподслушивающими свойствами, так как техника ответвлений в оптоволоконных кабелях очень сложна.

Фрагмент локальной вычислительной сети включает основные типы коммуникационного оборудования, применяемого сегодня для образования локальных сетей и соединения их через глобальные связи друг с другом. Для построения локальных связей между компьютерами используются различные виды кабельных систем, сетевые адаптеры, концентраторы-повторители, мосты, коммутаторы и маршрутизаторы. Для подключения локальных сетей к глобальным связям используются специальные выходы (WAN‑порты) мостов и маршрутизаторов, а также аппаратура передачи данных по длинным линиям – модемы (при работе по аналоговым линиям) или же устройства подключения к цифровым каналам (TA – терминальные адаптеры сетей ISDN, устройства обслуживания цифровых выделенных каналов типа CSU/DSU и т.п.).

В ЛВС используется следующее сетевое оборудование:

приемопередатчики (трансиверы) и повторители (репитеры) — для объединения сегментов локальной сети с шинной топологией;

концентраторы (хабы) — для формирования сети произвольной топологии (используются активные и пассивные концентраторы);

мосты — для объединения локальных сетей в единое целое и повышения производительности этого целого путем регулирования трафика (данных пользователя) между отдельными подсетями;

маршрутизаторы и коммутаторы – для реализации функций коммутации и маршрутизации при управлении трафиком в сегментированных (состоящих из взаимосвязанных сегментов) сетях. В отличие от мостов, обеспечивающих сегментацию сети на физическом уровне, маршрутизаторы выполняют ряд «интеллектуальных» функций при управлении трафиком;

модемы (модуляторы — демодуляторы) — для согласования цифровых сигналов, генерируемых компьютером, с аналоговыми сигналами типичной современной телефонной линии;

анализаторы — для контроля качества функционирования сети;

сетевые тестеры — для проверки кабелей и отыскания неисправностей в системе установленных кабелей.

Рисунок 3. Фрагмент ЛВС

Каждый компьютер, в том числе и сервер, соединяется отдельным сегментом кабеля, подключенным к концентратору (HUB) или к коммутатору (Swith). Концентраторы (НUВ). В зависимости от числа рабочих станций и длины кабеля между ними, применяют пассивные и активные концентраторы.

Рисунок 4. Логический сегмент, построенный с использованием концентраторов

Кроме того, концентраторы служат центральной точкой для подключения кабелей, изменения конфигурации, поиска неисправностей и централизованного управления, упрощая выполнение всех этих операций. Максимальное расстояние от HUB-а до компьютера составляет 100 метров, скорость передачи данных до 1000 Мбит/с.

Рисунок 5. Использование коммутаторов

Коммутаторы (Swith). Коммутаторы контролируют сетевой трафик и управляют его движением, анализируя адреса назначения каждого пакета. Коммутатор «запоминает», какие сетевые устройства соединены с его портам, и направляет пакеты только на необходимые порты. Это дает возможность одновременно работать с несколькими портами, расширяя тем самым полосу пропускания.

Основные характеристики ЛВС:

• территориальная протяженность сети (длина общего канала связи);

• максимальная скорость передачи данных;

• максимальное число АС в сети;

• максимально возможное расстояние между рабочими станциями в сети;

• топология сети;

• вид физической среды передачи данных;

• максимальное число каналов передачи данных;

• тип передачи сигналов (синхронный или асинхронный);

• метод доступа абонентов в сеть;

• структура программного обеспечения сети;

• возможность передачи речи и видеосигналов;

• условия надежной работы сети.

Сетевая архитектура

Для стандартизации сетей Международной организацией по стандартизации (International Standards Organization, ISO) была предложена модель архитектуры вычислительной сети OSI (Open System Interconnection — связь открытых сетей). Эта модель, которой стараются придерживаться большинство пользователей, разделяет коммуникационные функции в сети на семь уровней:

1. Уровень приложений;

2. Уровень представления;

3. Сеансовый уровень;

4. Транспортный уровень;

5. Сетевой уровень;

6. Канальный уровень:

0. логический контроль связи;

1. контроль доступа к среде;

7. Физический уровень.

Сообщение, передающееся через компьютерную сеть, соответствует в модели OSI уровню приложений, в процессе прохождения по сети доходит до физического уровня и далее в обратном порядке до достижения прикладной программы на другой рабочей станции через ее уровень приложений.

Идея уровневой организации состоит в предоставлении определенного сервиса более высокому уровню и использовании сервиса нижележащего уровня.

Физический уровень (Physical Layer) определяет физические, механические и электрические характеристики линий связи. На этом уровне выполняется преобразование данных, поступающих от канального уровня, в сигналы, которые затем передаются по линиям связи. В локальных сетях это преобразование осуществляется с помощью сетевых адаптеров, в глобальных сетях для этой цели используются модемы.

Канальный уровень (Data Link) определяет правила использования физического уровня узлами сети. Этот уровень подразделяется на два подуровня: Контроль доступа к среде (Media Access Control), связанный с доступом к сети и ее управлением, и Логический контроль связи (Logical Link Control), связанный с передачей и приемом пользовательских сообщений. Именно на уровне Data обеспечивается передача данных кадрами, которые представляют собой блоки данных, содержащие дополнительную управляющую информацию. Исправление ошибок осуществляется автоматически путем повторной посылки кадра. Кроме того, на этом уровне обеспечивается и правильная последовательность передаваемых и принимаемых кадров.

Сетевой уровень (Network Layer) обеспечивает маршрутизацию, то есть выбор маршрута передачи данных в сети, и управление потоком данных в сети (буферизацию данных и т.д.).

Транспортный уровень (Transport Layer) осуществляет разделение или сборку сообщений на пакеты в том случае, когда в процессе передачи или приема находится болев одного пакета, а также контроль очередности прохождения компонент, сообщения. Кроме того, на этом уровне через шлюзы выполняется согласование сетевых уровней различных несовместимых сетей.

Сеансовый уровень (Session Layer) выполняет функции координации связи между рабочими станциями. Уровень обеспечивает создание сеанса связи, управление передачей и приемом пакетов сообщений и завершение сеанса.

Уровень представления (Presentation Layer) служит для Шифрования, сжатия и кодового преобразования данных.

Уровень приложений (Application Layer) является интерфейсом между прикладными программами и процессами модели OSI, отвечая за поддержку программного обеспечения конечного пользователя.

Кроме уровней различают три вида процессов, протекающих в сети: информационные, транспортные и коммуникационные.

Информационные процессы определяются тремя верхними уровнями сетевой архитектуры: уровнем приложений, уровнем представления и сеансовым.

Под протоколом понимается некая совокупность правил, регламентирующих формат и процедуры обмена информацией. В частности, он определяет, как выполняется соединение, преодолевается шум на линии и обеспечивается безошибочная передача данных между модемами. Стандарт, в свою очередь, включает в себя общепринятый протокол или набор протоколов.

Транспортный процесс поддерживается транспортным уровнем, определяющим процедуры и формы передачи информации от одной системы к другой. Протоколы ТР (Transport Protocol) обеспечивают надежную передачу и доставку блоков информации адресатам и управляют этой доставкой.

Коммуникационные процессы определяются сетевым, канальным и физическим уровнями, обеспечивающими передачу данных между множеством систем, действующих в сети.

ЛАБОРАТОРНАЯ РАБОТА № 25,26,27

ТЕМА: Изучение протоколов взаимодействия систем