Теоретичні відомості
4.1. Корпоративні мережі передавання даних.
К
орпоративні
мережі охоплюють всі підрозділи
організації (корпорації, фірми), які
розміщені на великій території (місто,
держава, континент). До їх складу можуть
входити декілька LAN і WAN, які використовують
різноманітні лінії зв'язку, зокрема
телефонні канали, радіо- і супутниковий
зв'язок. Вони можуть використовувати
складне комунікаційне обладнання і
багатофункціональну апаратуру передавання
даних.
Рис. . Приклад побудови корпоративної мережі
На рис. наведено приклад побудови корпоративної мережі. На цій схемі підмережі трьох відділів побудовані на основі базових технологій Ethernet, Fast Ethernet та FDDI і під'єднані через відповідні комутатори до розподіленої магістралі FDDI, побудованої за стандартом PMD на базі багатомодового волоконно-оптичного кабелю. Мережа кампусу складається з підмереж будинків, з'єднаних магістраллю FDDI, побудованою за стандартом SMF-PMD на базі одномодового волоконно-оптичного кабелю максимальною довжиною до 60 км. З локальною мережею філії, яка може бути віддаленою на декілька тисяч кілометрів, зв'язуються глобальною мережею Х.25, до якої мережа кампусу і мережа філії під'єднані за допомогою маршрутизаторів. Порти маршрутизаторів, які під'єднані до WAN, повинні містити апаратуру передавання даних і підтримувати протоколи технології Х.25, а порти, під'єднані до LAN - протоколи цих технологій.
Для корпоративних мереж є характерним використання тисяч PC, сотень серверів, різноманітних операційних систем і пакетів прикладних програм, великих обсягів даних, які зберігаються у спільній базі даних.
Наведена структура корпоративної мережі належить до класу інтернет-мереж (об'єднаних, великих), до складу яких входять різнорідні, побудовані за різними технологіями глобальні і локальні мережі. Принципи побудови та роботи об'єднаних мереж будуть розглянуті нижче.
Якщо мережа нараховує більше від двох комп'ютерів, то для забезпечення надійного зв'язку між ними кожному комп'ютеру необхідно присвоїти свою адресу (ім'я). Ця адреса має відповідати певним вимогам:
Бути унікальною і однозначно визначати комп'ютер.
Бути зручною для користувача і легко запам'ятовуватися.
Бути компактною і займати небагато місця в пам'яті комп'ютерів і комунікаційних пристроїв.
Дозволяти адресувати комп'ютери у великих об'єднаних мережах, тобто мати ієрархічну структуру.
4.2. АТМ
АТМ (Asynchronous Transfer Mode)– розробка телефонних компаній. Відповідно, розроблялася не з розрахунку на комп'ютерні мережі передачі даних. АТМ радикально відрізняється від звичайних мережевих технологій.
Основна ідея - передача цифрових, голосових і мультимедійних даних по тим самим каналах. Строго говорячи, твердого стандарту на апаратуру ATM не існує.
Спочатку була обрана швидкість передачі 155 Мбіт/с (для настільних систем - 25 Мбіт/с), потім - 662 Мбіт/с, а зараз ведуться роботи з підвищення швидкості до 2488 Мбіт/с. По швидкості ATM успішно конкурує з Gigabit Ethernet. Як середовище передачі інформації в локальній мережі технологія ATM припускає використання оптоволоконого кабелю й неекранованої крученої пари.
Пристрої АТМ встановлюють зв'язок між собою і передають дані по віртуальних каналах зв'язку, які можуть бути тимчасовими або постійними. Постійний канал зв'язку - це шлях, по якому передається інформація. Він завжди залишається відкритим незалежно від трафіку. Тимчасові канали створюються на вимогу і, як тільки передача даних закінчується, закриваються.
Із самого початку АТМ проектувався як система комутації за допомогою віртуальних каналів зв'язку, які забезпечують наперед специфікований рівень якості сервісу (Quality of Service - QoS ) і підтримують постійну або змінну швидкість передачі даних. Модель QoS дозволяє додаткам запитати гарантовану швидкість передачі між приймачем і джерелом, не звертаючи уваги на те, наскільки складний шлях між ними. Кожен АТМ - комутатор, зв'язуючись з іншим, вибирає такий шлях, який гарантує потрібну додатком швидкість.
Якщо система не може задовольнити запит, то вона повідомляє про це додатку. Правда, існуючі протоколи передачі даних і додатку не мають ніякого поняття про QoS, так що це ще одна відмінна властивість, яку ніхто не використовує.
Завдяки наявності таких корисних властивостей АТМ нікого не дивує загальне бажання продовжувати вдосконалювати цей стандарт. Але поки існуючі реалізації устаткування досить обмежені первинним підходом, який орієнтувався на інші, некомп'ютерні, завдання.
Наприклад, АТМ не має вбудованої системи широкомовного сповіщення (це характерно для АТМ, є ідея, але немає стандарту). І хоча широкомовні повідомлення - одвічний головний біль для будь-якого адміністратора, в деяких випадках вони просто необхідні. Клієнт, який шукає сервер, повинен мати можливість розіслати повідомлення "Де сервер?", що б потім, одержавши відповідь, направляти свої запити вже безпосередньо за потрібною адресою.
Форум АТМ спеціально розробив специфікації для емуляції мережі - LAN emulation (LANE). LANE перетворює "точка-точка"-орієнтовану АТМ мережу в звичайну, де клієнти і сервери бачать її як нормальну широкомовну мережу, що використовує протокол IP (а скоро і IPX). LANE складається з чотирьох різних протоколів: протоколу конфігурації сервера (LAN emulation configuration service - LECS), протоколу сервера (LAN emulation server - LES), протоколу загального віщання і невідомого сервера (Broadcast and Unknown Server - BUS) і протоколу клієнта (LAN emulation client - LEC).
Коли клієнт за допомогою LANE намагається підключитися до мережі АТМ, то спочатку він використовує протокол LECS. Оскільки АТМ не підтримує широкомовних повідомлень, форум АТМ виділив спеціальну адресу LECS, яку ніхто інший вже не використовує. Посилаючи повідомлення за цією адресою клієнт одержує адресу відповідного йому LES. Рівень LES забезпечує необхідні функції ELAN (emulated LAN). З їх допомогою клієнт може одержати адресу BUS-сервісу і послати йому повідомлення "підключився такий-то клієнт", щоб потім BUS рівень міг, одержуючи повідомлення, переслати його всім клієнтам, що реєструються.
Для того, щоб використовувати не АТМ протоколи, необхідно використовувати LEC. LEC працює як конвертор, емулюючи звичайну топологію мережі, яку має на увазі IP. Оскільки LANE тільки моделює Ethernet, то він може усунути деякі старі технологічні помилки. Кожен ELAN може використовувати різні розміри пакетів. ELAN, який обслуговує станції, підключені за допомогою звичайного Ethernet, використовує пакети розміром 1516 байт, тоді як ELAN, що забезпечує зв'язок між серверами може посилати пакети по 9180 байт. Всім цим управляє LEC.
LEC перехоплює широкомовні повідомлення і посилає їх BUS. Коли BUS одержує таке повідомлення, то посилає його копію тому, що реєструється в LEC.
АТМ - даною абревіатурою може позначатися технологія асинхронної передачі даних (Asynchronous Transfer Mode), а не тільки Adobe Type Manager або Automatoc Teller Machine, що багатьом може здатися звичнішим. Дану технологію побудови високошвидкісних обчислювальних мереж з комутацією пакетів характеризує унікальна масштабованість від невеликих локальних мереж до трансконтинентальних мереж.
Загальні характеристики ATM:
1.Лінії зв’язку – оптичні, локальні і довгі. Довгі лінії можуть бути виділеними (орендованими) та комутаційними.
2.Забезпечення паралельної передачі. Кожний вузол може мати виділене з’єднання з будь-яким іншим вузлом.
3.Робота завжди на максимальній швидкості.
4.Використання пакетів фіксованої довжини - по 53 байти.
5.Корекція помилок і маршрутизації на апаратному рівні (частково завдяки фіксованому розміру комірок).
6.Одночасна передача даних, відеоінформації та голосу. Фіксований розмір комірок забезпечує рівномірний голосовий потік.
7.Легкість балансування завантаження. Комутація пакетів дозволяє при необхідності підвищення пропускної можливості встановити множину віртуальних ланцюгів між передатчиком та приймачем.
Плюси ATM:
ATM комбінує мультиплексацію і комутацію пакетів в одному універсальному методі передачі даних. Він підтримує передачу даних в локальних мережах, а також передачу голосової і відеоінфомації. Так як комірки мають невеликий розмір, вони обробляються швидко. Затримка на перемикання пакетів невелика. Це має важливе значення для передачі мови і відео, які дуже залежать від часу.
ATM – це транспортний протокол, який працює на підрівні MAC рівня зв’язку даних. Завдяки цьому він може працювати над багатьма топологіями фізичного рівня. ATM не базується на якомусь конкретному протоколі. Він може відображати будь-який вид пакету в 53-байтову комірку і передавати її по кабелю або глобальній мережі.
ATM може використовуватися в якості фізичного носія для організації глобальних мереж SONET, які телефонні компанії використовують в телефонних лініях і мережних комунікаціях. Стандарт ATM не обмежений швидкістю передачі як FDDI (працює зі швидкістю 100 Мбіт/с). Малий розмір комірок не потребує спеціальної обробки як в FDDI.
Головний недолік мереж з технологією ATM складається в їхній повній несумісності з жодною з наявних мереж. Плавний перехід на АТМ у принципі неможливий, потрібно міняти відразу все устаткування, а вартість його поки що дуже висока. Правда, роботи із забезпечення сумісності ведуться, знижується й вартість устаткування. Тим більше що завдань по передачі зображень по комп'ютерних мережах стає усе більше й більше. Технологія АТМ ще в недалекому минулому вважалася перспективною й універсальною, здатною потіснити звичні локальні мережі. Однак у даний момент внаслідок успішного розвитку традиційних локальних мереж застосування АТМ обмежене тільки глобальними й магістральними мережами.
4.3. VPN
VPN (Віртуальна приватна мережа, Virtual Private Network) — це логічна мережа, створена поверх інших мереж, на базі загальнодоступних або віртуальних каналів інших мереж. Безпека передавання пакетів через загальнодоступні мережі може реалізуватися за допомогою шифрування, внаслідок чого створюється закритий для сторонніх канал обміну інформацією. VPN дозволяє об'єднати, наприклад, декілька географічно віддалених мереж організації в єдину мережу з використанням для зв'язку між ними непідконтрольних каналів.
Прикладом створення віртуальної мережі використовується інкапсуляція протоколу PPP в будь-який інший протокол — IP (ця реалізація називається так само PPTP — Point-to-Point Tunneling Protocol) або Ethernet (PPPoE). Деякі інші протоколи так само надають можливість формування захищених каналів (SSH).
VPN складається з двох частин: «внутрішня» (підконтрольна) мережа, яких може бути декілька, і «зовнішня» мережа, через яку проходять інкапсульовані з'єднання (зазвичай використовується Інтернет).
Підключення до VPN віддаленого користувача робиться за допомогою сервера доступу, який підключений як до внутрішньої, так і до зовнішньої (загальнодоступною) мережі. При підключенні віддаленого користувача (або при установці з'єднання з іншою захищеною мережею) сервер доступу вимагає проходження процесу ідентифікації, а потім процесу аутентифікації. Після успішного проходження обох процесів, віддалений користувач (віддалена мережа) наділяється повноваженнями для роботи в мережі, тобто відбувається процес авторизації.
Класифікація VPN за типом використовуваного середовища
Захищені. Найпоширеніший варіант віртуальних приватних мереж. З його допомогою можливо створити надійну і захищену підмережу на основі ненадійної мережі, як правило, Інтернету. Прикладом захищених протоколів VPN є: Ipsec, SSL та PPTP. Прикладом використання протоколу SSL є програмне забезпечення OpenVPN.
Довірчі. Використовуються у випадках, коли передавальне середовище можна вважати надійним і необхідно вирішити лише завдання створення віртуальної підмережі в рамках більшої мережі. Питання забезпечення безпеки стають неактуальними. Прикладами подібних VPN рішенні є: Multi-protocol label switching (MPLS) і L2tp (Layer 2 Tunnelling Protocol). (Коректніше сказати, що ці протоколи перекладають завдання забезпечення безпеки на інших, наприклад L2tp, як правило, використовується в парі з Ipsec).
За способом реалізації
У вигляді спеціального програмно-апаратного забезпечення. Реалізація VPN мережі здійснюється за допомогою спеціального комплексу програмно-апаратних засобів. Така реалізація забезпечує високу продуктивність і, як правило, високий ступінь захищеності.
У вигляді програмного рішення Використовують персональний комп'ютер зі спеціальним програмним забезпеченням, що забезпечує функціональність VPN.
Інтегроване рішення Функціональність VPN забезпечує комплекс, який займається також фільтрацією мережевого трафіку, організацією мережного екрану і забезпеченням якості обслуговування.
За призначенням
Intranet VPN Використовують для об'єднання в єдину захищену мережу кількох розподілених філій однієї організації, які обмінюються даними по відкритих каналах зв'язку.
Remote Access VPN Використовують для створення захищеного каналу між сегментом корпоративної мережі (центральним офісом або філією) і одиночним користувачем, який, працюючи вдома, підключається до корпоративних ресурсів з домашнього комп'ютера, корпоративного ноутбука чи смартфона.
Extranet VPN Використовують для мереж, до яких підключаються «зовнішні» користувачі (наприклад, замовники або клієнти), яким обмежують доступ до особливо цінної, конфіденційної інформації.
Internet VPN Використовується для надання доступу до інтернету провайдерами, у випадку якщо по одному фізичному каналу підключаються декілька користувачів.
Client / Server VPN Він забезпечує захист переданих даних між двома вузлами(не мережами) корпоративної мережі. Особливість даного варіанту в тому, що VPN будується між вузлами, що перебувають, як правило, в одному сегменті мережі, наприклад, між робочою станцією і сервером. Така необхідність часто виникає в тих випадках, коли в одній фізичній мережі необхідно створити декілька логічних мереж. Наприклад, коли треба розділити трафік між фінансовим департаментом та відділом кадрів, що звертаються до серверів, які знаходяться в одному фізичному сегменті. Цей варіант схожий на технологію VLAN, але замість поділу трафіку, використовується його шифрування.
До VPN належать
IPSec (IP security) - часто використовується поверх IPv4.
PPTP (point-to-point tunneling protocol) - розроблявся спільними зусиллями декількох компаній, включаючи Microsoft.
PPPoE (PPP (Point-to-Point Protocol) over Ethernet)
L2TP (Layer 2 Tunnelling Protocol) - використовується в продуктах компаній Microsoft і Cisco.
L2TPv3 (Layer 2 Tunnelling Protocol version 3).
OpenVPN SSL VPN з відкритим вихідним кодом, підтримує режими PPP, bridge, point-to-point, multi-client server
Багато великих провайдерів пропонують свої послуги з організації VPN-мереж для бізнес-клієнтів.