5. Сеансовый уровень (Session Layer)

Обеспечивает процесс взаимодействия сторон, фиксирует какая из сторон сейчас является активной и предоставляет средства синхронизации сеанса. Эти средства позволяют в ходе длинных передач сохранять информацию о состоянии этих передач в виде контрольных точек, чтобы в случае отказа можно было вернуться назад к последней контрольной точке, а не начинать все сначала. Этот уровень редко реализуется в виде отдельных протоколов. Функции этого уровня часто объединяют с функциями прикладного уровня и реализуют в одном протоколе.

6. Уровень представления (Presentation Layer)

На этом уровне выполняется функция трансляции синтаксиса между различными системами (например, различная кодировка символов в разных системах – ASCII и EBCDIC).

7. Прикладной уровень (Application Layer)

Это набор разнообразных протоколов, с помощью которых пользователи сети получают доступ к ресурсам, таким как файлы, принтеры, гипертекстовые документы, а также организуют свою совместную работу, например, по протоколу электронной почты. Единица данных, которой оперирует прикладной уровень, обычно называется сообщением.

Примеры сетевых протоколовпоказаны на рис.43.

Рис.43 Основные протоколы уровней модели OSI

Контрольные вопросы для самоподготовки студентов

1. Определение локальной компьютерной сети.

2. Одноранговая ЛВС.

3. ЛВС с выделенным сервером.

4. Назначение принт-сервера.

5. Достоинства и недостатки одноранговых сетей.

6. Достоинства и недостатки сетей с выделенным сервером.

7. Что такое выделенный сервер?

8. Функции сетевого администратора?

9. Назначение сетевой операционной системы?

10. Что такое протокол?

11. Объяснить назначение модели OSI и описать ее работу.

12. Привести и объяснить методы доступа к среде передачи данных.

13. Перечислить протоколы прикладного уровня.

14. Перечислить и объяснить работу протоколов транспортного уровня.

Ссылки на литературные источники, приведенные в рабочей программе дисциплины

1. Информатика. Базовый курс. 2-е издание/Под. Ред. С.В. Симоновича. - СПб.:Питер, 2008.-640 с.

2. Информатика: учебн.пособие для студ.высш.пед.завед-й/А.В. Могилев, Е.К. Хеннер, Н.И. Пак; под ред. А.В. Могилева. –М.: Изд.Центр «Академия», 2006.-336 с.

3. Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. 2-е изд. – СПб.: Питер, 2005 – 864 с.

4. Климанов В.П. Локальные вычислительные сети: Учебное пособие.-М.: МГТУ «Станкин». 2001. – 78 с.

Лекция №18 Тема «Коммутация. Технологии лвс»

План лекции

1. Способы коммутации и передачи данных.

2. Архитектура сети.

3. Средства защиты от несанкционированного доступа по сети.

Способы коммутации и передачи данных

Основная функция систем передачи данных в условиях функционирования вычислительных сетей заключается в организации быстрой и надежной передачи информации произвольным абонентам сети, а также сокращение затрат на передачу данных.

Важнейшая характеристика сетей передачи данных – время доставки информации зависит:

• от структуры сети передачи данных;

• пропускной способности линий связи;

• от способа соединения каналов связи между взаимодействующими абонентами сети;

• способа передачи данных по этим каналам.

В настоящее время различают системы передачи данных с постоянным включением каналов связи (некоммутируемые каналы связи) и коммутацией на время передачи информации по этим каналам.

При использовании некоммутируемых каналов связи средства приема-передачи абонентских пунктов и ЭВМ постоянно соединены между собой, т.е. находятся в режиме “on-line”. В этом случае отсутствуют потери времени на коммутацию, обеспечивается высокая степень готовности системы передаче информации, более высокая надежность каналов связи и, как следствие, достоверность передачи информации. Недостатками такого способа организации связи являются низкий коэффициент использования аппаратуры передачи данных и линий связи, высокие расходы на эксплуатацию сети. Рентабельность подобных сетей достигается только при условии достаточно полной загрузки этих каналов.

Коммутация – процесс соединения абонентов сети через транзитные узлы. Коммутатором может быть как специализированное устройство, так и универсальный компьютер со встроенным программным механизмом коммутации, в этом случае коммутатор называется программным.

Компьютер может совмещать функции по коммутации данных, направляемых на другие узлы, с выполнением своих обычных функций как конечного узла. Однако во многих случаях более рациональным является решение, в соответствии с которым некоторые узлы в сети выделяются специально для выполнения коммутации. Эти узлы образуют коммутационную сеть, к которой подключаются все остальные (см. рис.44).

При коммутации абонентских пунктов и ЭВМ только на время передачи информации (т.е. нормальным режимом для которых является режим “off-line”) принцип построения узла коммутации определяется способами организации прохождения информации в сетях передачи данных. Существуют три основных способа подготовки и передачи информации в сетях, основанных на коммутации: каналов, сообщений и пакетов.

Рис. 44 Коммутационная сеть

Коммутация каналов. Коммутационная сеть в случае коммутации каналов образует между конечными узлами непрерывный составной физический канал из последовательно соединенных коммутаторами промежуточных канальных участков. Условием того, что несколько физических каналов при последовательном соединении образуют единый физический канал, является равенство скоростей передачи данных в каждом из составляющих физических каналов. Равенство скоростей означает, что коммутаторы такой сети не должны буферизировать передаваемые данные.

В сети с коммутацией каналов перед передачей данных всегда необходимо выполнить процедуру установления соединения, в процессе которой и создается составной канал.

Если сеть работает по технологии коммутации каналов, то узел 1, чтобы передать данные узлу 7, прежде всего должен передать специальный запрос на установление соединения коммутатору А, указав адрес назначения 7. Коммутатор А должен выбрать маршрут образования составного канала, а затем передать запрос следующему коммутатору, в данном случае Е. Далее коммутатор Е передает запрос коммутатору F, а тот, в свою очередь, передает запрос узлу 7. Если узел 7 принимает запрос на установление соединения, он направляет по уже установленному каналу ответ исходному узлу. После чего составной канал считается скоммутированным и узлы 1 и 7 могут обмениваться по нему данными.

Коммутация сообщений. Коммутация сообщений по своим принципам близка к коммутации пакетов. Под коммутацией сообщений понимается передача единого блока данных между транзитными компьютерами сети с временной буферизацией этого блока на диске каждого компьютера. Причем время хранения может быть достаточно большим, если компьютер загружен другими работами или сеть временно перегружена. По такой схеме обычно передаются сообщения, не требующие немедленного ответа, чаще всего сообщения электронной почты.

Техника коммутации сообщений появилась в компьютерных сетях раньше техники коммутации пакетов, но была вытеснена последней, как более эффективной по критерию пропускной способности сети. Запись сообщения на диск занимает достаточно много времени, кроме того, наличие дисков предполагает использование в качестве коммутаторов специализированных компьютеров, что удорожает сеть.

Коммутация пакетов. При коммутации пакетов все передаваемые пользователем сети сообщения разбиваются в исходном узле на сравнительно небольшие части, называемые пакетами. (Сообщением называется логически завершенная порция данных – запрос на передачу файла, ответ на этот запрос, содержащий весь файл. Сообщения могут иметь произвольную длину, от нескольких байт до многих мегабайт. Пакеты обычно тоже могут иметь переменную длину, но в узких пределах, например от 46 до 1500 байт.

Каждый пакет снабжается заголовком, в котором указывается адресная информация, необходимая для доставки пакета узлу назначения, а также номер пакета, который будет использоваться узлом назначения для сборки сообщения.

Пакеты транспортируются в сети как независимые информационные блоки. Коммутаторы сети принимают пакеты от конечных узлов и на основании адресной информации передают их друг другу, а в конечном итоге – узлу назначения.

Коммутаторы пакетной сети отличаются от коммутаторов каналов тем, что имеют внутреннюю буферную память для временного хранения пакетов, когда выходной порт коммутатора в момент принятия пакета занят передачей другого пакета. В этом случае пакет находится некоторое время в очереди пакетов в буферной памяти выходного порта, а когда до него дойдет очередь, то он передается следующему коммутатору.

Архитектура сети

Архитектура сети определяет технологию передачи данных в сети. Наиболее распространены следующие архитектуры:

• Ethernet – пакетная технология, преимущественно локальных сетей;

• Token Ring – маркерное кольцо;

• ArcNet – маркер шины (принцип работы сети аналогичен TokenRing);

• FDDI – волоконно-оптический распределенный механизм передачи данных технология ориентирована на волоконную оптику. Поддерживает сеть с передачей маркера.

В таблице 8представлены сравнительные характеристики наиболее распространенных технологий ЛВС.

Таблица 8

Характеристики	FDDI	Ethernet	Token Ring	ArcNet
Скорость передачи	100 Мбит/с	10 (100) Мбит/с	16 Мбит/с	2,5 Мбит/с
Топология	кольцо	шина	кольцо/звезда	шина, звезда
Среда передачи	оптоволокно, витая пара	коаксиальный кабель, витая пара, оптоволокно	витая пара, оптоволокно	коаксиальный кабель, витая пара, оптоволокно
Метод доступа	маркер	CSMA/CD	маркер	маркер
Максимальная протяженность сети	100 км	2500 м	4000 м	6000 м
Максимальное количество узлов	500	1024	260	255
Максимальное расстояние между узлами	2 км	2500 м	100 м	600 м

Рассмотрим две наиболее распространенные архитектуры Ethernet и TokenRing.

Ethernet

Появилась данная технология во второй половине 70-х годов 20 века. Ее разработали совместно фирмы DEC, Intel и Xerox. В настоящее время эта технология наиболее доступна и популярна.

• Топология – шина, звезда.

• Среда передачи данных – коаксиал, витая пара, оптическое волокно.

• Скорость передачи данных – до 10 Мбит/с.

• Длина кабельного сегмента сети – не более 100 м до концентратора.

Принцип работы сети Ethernet:

1. Никому не разрешается посылать сообщение в то время, когда этим занят уже кто-то другой.

2. Если два или несколько отправителей начинают посылать сообщения примерно в один и тот же момент. Рано или поздно их сообщения «столкнуться» друг с другом в проводе, что называется коллизией. Коллизии нетрудно распознать, поскольку они всегда вызывают сигнал помехи, который не похож на допустимое сообщение. Ethernet может распознать помехи и заставляет отправителя приостановить передачу, подождать некоторое время, прежде, чем повторно отправить сообщение. Передаваемые данные помещаются в кадры определенной структуры и снабжаются уникальным адресом станции назначения.

Из описания метода передачи данных видно, что он носит вероятностный характер, и вероятность успешного получения в свое распоряжение общей среды зависит от загруженности сети, т.е. интенсивности возникновения в станциях потребности передачи кадров.

Достоинства Ethernet:

• Дешевизна.

• Большой опыт использования.

• Продолжающиеся нововведения (FastEthernet, передает данные со скоростью 100 Мбит/с, GigabitEthernet, передает данные со скоростью 1000 Мбит/с).

• Богатство выбора. Многие изготовители предлагают аппаратуру построения сетей, базирующуюся на Ethernet.

Недостатки Ethernet:

• Возможность столкновения сообщений (коллизии, помехи).

• В случае большой загрузки сети время передачи сообщений непредсказуемо.

TokenRing (компания IBM)

Более молодой, по сравнению с Ethernet, является технология TokenRing. Она разработана фирмой IBM. Технология ориентирована на кольцо, по которому постоянно движется маркер. Маркер представляет собой особого рода пакет, предназначенный для синхронизации передачи данных.

• Топология – кольцо.

• Среда передачи данных – коаксиал, витая пара, оптическое волокно.

• Скорость передачи данных – до 100 Мбит/с.

• Длина кабельного сегмента сети – не более 185 м до коммутатора.

Принципы работы сети Token Ring:

Каждый абонент сети в Token Ring работает согласно принципу «Ждать маркера, если необходимо послать сообщение, присоединить его к маркеру, когда он будет проходить мимо. Если проходит маркер снять с него сообщение и послать маркер дальше».

Данная технология, как видно из принципа работы, обеспечивает детерминированный доступ к разделяемой среде. Каждое устройство использует два порта: один для посылки сообщений, другой – для их получения.

По кольцу постоянно циркулирует один и только один блок информации. Иногда этот блок сжимается до минимального пакета, называемого маркером (token), иногда он разрастается до одного или нескольких сообщений. У каждого устройства в кольце есть свой адрес. Каждое сообщение начинается с заголовка (Header), кто его послал и кому оно адресовано.

Получив блок информации от своего соседа, ПК просматривает заголовки сообщений, и изымает из блока содержимое предназначенных ему сообщений, но не их заголовки. Заголовки помечаются специальным образом, показывающим, что сообщения, для которых они были конвертами (envelopes) приняты. Если у ПК есть какие-то сообщения для посылки, то перед тем как послать блок другому соседу по кольцу, они добавляются в конец блока. И, наконец, если, просматривая блок, ПК встречает заголовки посланных им сообщений, подтверждающих их доставку, такие заголовки изымаются. Такая стратегия гарантирует доставку сообщений их получателям и дает возможность каждому ПК послать свои сообщения – нужно лишь дождаться прихода маркера, а маркер, сколь скоро он циркулирует по кругу, обязательно придет.

Достоинства Token Ring:

• Гарантированная доставка сообщений.

• Высокая скорость

Недостатки Token Ring:

• Необходимы дорогостоящие устройства доступа к сети.

• Высокая сложность технологии реализации сети.

• Высокая стоимость (160-200% от Ethernet).

• Необходимы два кабеля (для повышения надежности): один входящий, другой исходящий от компьютера к концентратору (вторая модификация кольца, коммутатор).

Средства защиты от несанкционированного доступа по сети

Наиболее действенными методами защиты от несанкционированного доступа по компьютерным сетям являются виртуальные частные сети (VPN – Virtual Private Network) и межсетевое экранирование. Рассмотрим их подробно.

Виртуальные частные сети

Виртуальные частные сети обеспечивают автоматическую защиту целостности и конфиденциальности сообщений, передаваемых через различные сети общего пользования, прежде всего, через Интернет. Фактически, VPN – это совокупность сетей, на внешнем периметре которых установлены VPN-агенты (см. рис.45).

Рис. 45 Организация защиты ЛВС с помощью VPN

VPN-агент – это программа (или программно-аппаратный комплекс), собственно обеспечивающая защиту передаваемой информации путем выполнения описанных ниже операций.

Перед отправкой в сеть любого IP-пакета VPN-агент производит следующее:

1. Из заголовка IP-пакета выделяется информация о его адресате. Согласно этой информации на основе политики безопасности данного VPN-агента выбираются алгоритмы защиты (если VPN-агент поддерживает несколько алгоритмов) и криптографические ключи, с помощью которых будет защищен данный пакет. В том случае, если политикой безопасности VPN-агента не предусмотрена отправка IP-пакета данному адресату или IP-пакета с данными характеристиками, отправка IP-пакета блокируется.

2. С помощью выбранного алгоритма защиты целостности формируется и добавляется в IP-пакет электронная цифровая подпись (ЭЦП), имитоприставка или аналогичная контрольная сумма.

3. С помощью выбранного алгоритма шифрования производится зашифрование IP-пакета.

4. С помощью установленного алгоритма инкапсуляции пакетов зашифрованный IP-пакет помещается в готовый для передачи IP-пакет, заголовок которого вместо исходной информации об адресате и отправителе содержит соответственно информацию о VPN-агенте адресата и VPN-агенте отправителя. Т.е. выполняется трансляция сетевых адресов.

5. Пакет отправляется VPN-агенту адресата. При необходимости, производится его разбиение и поочередная отправка результирующих пакетов.

При приеме IP-пакета VPN-агент производит следующее:

6. Из заголовка IP-пакета выделяется информация о его отправителе. В том случае, если отправитель не входит в число разрешенных (согласно политике безопасности) или неизвестен (например, при приеме пакета с намеренно или случайно поврежденным заголовком), пакет не обрабатывается и отбрасывается.

1. Согласно политике безопасности выбираются алгоритмы защиты данного пакета и ключи, с помощью которых будет выполнено расшифрование пакета и проверка его целостности.

2. Выделяется информационная (инкапсулированная) часть пакета и производится ее расшифрование.

3. Производится контроль целостности пакета на основе выбранного алгоритма. В случае обнаружения нарушения целостности пакет отбрасывается.

4. Пакет отправляется адресату (по внутренней сети) согласно информации, находящейся в его оригинальном заголовке.

VPN-агент может находиться непосредственно на защищаемом компьютере (например, компьютеры «удаленных пользователей» на рис. 45). В этом случае с его помощью защищается информационный обмен только того компьютера, на котором он установлен, однако описанные выше принципы его действия остаются неизменными.

Основное правило построения VPN – связь между защищенной ЛВС и открытой сетью должна осуществляться только через VPN-агенты. Категорически не должно быть каких-либо способов связи, минующих защитный барьер в виде VPN-агента. Т.е. должен быть определен защищаемый периметр, связь с которым может осуществляться только через соответствующее средство защиты.

Политика безопасности является набором правил, согласно которым устанавливаются защищенные каналы связи между абонентами VPN. Такие каналы обычно называют туннелями, аналогия с которыми просматривается в следующем:

1. Вся передаваемая в рамках одного туннеля информация защищена как от несанкционированного просмотра, так и от модификации.

2. Инкапсуляция IP-пакетов позволяет добиться сокрытия топологии внутренней ЛВС: из Интернет обмен информации между двумя защищенными ЛВС виден как обмен информацией только между их VPN-агентами, поскольку все внутренние IP-адреса в передаваемых через Интернет IP-пакетах в этом случае не фигурируют.

Правила создания туннелей формируются в зависимости от различных характеристик IP-пакетов, например, основной при построении большинства VPN протокол IPSec (Security Architecture for IP) устанавливает следующий набор входных данных, по которым выбираются параметры туннелирования и принимается решение при фильтрации конкретного IP-пакета:

1. IP-адрес источника. Это может быть не только одиночный IP-адрес, но и адрес подсети или диапазон адресов.

2. IP-адрес назначения. Также может быть диапазон адресов, указываемый явно, с помощью маски подсети или шаблона.

3. Идентификатор пользователя (отправителя или получателя).

4. Протокол транспортного уровня (TCP/UDP).

5. Номер порта, с которого или на который отправлен пакет.

Межсетевое экранирование

Межсетевой экран представляет собой программное или программно-аппаратное средство, обеспечивающее защиту локальных сетей и отдельных компьютеров от несанкционированного доступа со стороны внешних сетей путем фильтрации двустороннего потока сообщений при обмене информацией. Фактически, межсетевой экран является «урезанным» VPN-агентом, не выполняющим шифрование пакетов и контроль их целостности, но в ряде случаев имеющим ряд дополнительных функций, наиболее часто из которых встречаются следующие:

• антивирусное сканирование;

• контроль корректности пакетов;

• контроль корректности соединений (например, установления, использования и разрыва TCP-сессий);

• контент-контроль.

Межсетевые экраны, не обладающие описанными выше функциями и выполняющими только фильтрацию пакетов, называют пакетными фильтрами.

По аналогии с VPN-агентами существуют и персональные межсетевые экраны, защищающие только компьютер, на котором они установлены.Межсетевые экраны также располагаются на периметре защищаемых сетей и фильтруют сетевой трафик согласно настроенной политике безопасности.