ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ЗАЩИТЫ ИНФОРМАЦИИ
дима. Модель OSI определяет пять классов сервиса, которые предоставляются транспортным уровнем.
Эти виды сервиса отличаются качеством услуг, которые предоставляются: срочностью, возможностью возобновления прерванной связи, наличием средств мультиплексирования нескольких соединений между разными прикладными протоколами через общий транспортный протокол, а главное - способностью к определению и исправлению ошибок передачи, таких как искажение, потеря и дублирование пакетов.
Сеансовый уровень (5). Сеансовый уровень обеспечивает управление диалогом: фиксирует, какая из сторон является активной сейчас, предоставляет средства синхронизации. Последние дают возможность вставлять контрольные точки в длинные передачи, чтобы в случае отказа можно было вернуться обратно к последней контрольной точке, а не начинать все сначала. На практике немного приложений используют сеансовый уровень, и он редко реализуется в виде отдельных протоколов, хотя функции этого уровня часто объединяют с функциями прикладного уровня и реализуют в одном протоколе.
Представительский уровень (6). Представительский уровень имеет дело с формой представления информации, которая передается по сети, не изменяя при этом ее содержания. За счет уровня представления информация, которая передается прикладным уровнем одной системы, всегда понятна прикладному уровню другой системы. С помощью средств данного уровня протоколы прикладных уровней могут преодолеть синтаксические отличия в представлении данных или же отличия в кодах символов, например кодов ASCII и EBCDIC. На этом уровне может выполняться шифрование и дешифрование данных, благодаря чему секретность обмена данными обеспечивается сразу для всех прикладных служб. Примером такого протокола является протокол Secure Socket Layer (SSL), который обеспечивает секретный обмен сообщениями для протоколов прикладного уровня стека TCP/IP.
Прикладной уровень (7). Прикладной уровень - это в действительности просто набор многообразных протоколов, с помощью которых пользователи сети получают доступ к распределенным ресурсам, таким как файлы, принтеры или гипертекстовые Web-страницы, а также организовывают свою совместную работу, например с помощью протокола электронной почты. Единица данных, которой оперирует прикладной уровень, обычно называется
сообщением (message).
Принципы адресации в информационных сетях. IP адреса. Еще од-
ним заданием, которое нужно учитывать при использовании информационнокоммуникационных сетей, является задание адресации. На практике обычно используется сразу несколько схем адресации.
Наибольшее распространение получили три схемы адресации узлов информационных сетей.
420
Глава 6. Сети передачи информации
Аппаратные адреса. Эти адреса предназначены для сети небольшого или среднего размера, потому они не имеют иерархической структуры. Типичным представителем адреса такого типа является адрес сетевого адаптера локальной сети. Такой адрес обычно используется только аппаратурой, поэтому ее пытаются сделать по мере сил компактной и записывают в виде двоичного или шестнадцатиричного значения. В литературе такие адреса называют МАС-адресами.
Символьные адреса, или имена. Эти адреса предназначены для запоминания пользователем и поэтому обычно имеют смысловое значение. Символьные адреса легко использовать как в небольших, так и в глобальных сетях. Для работы в больших сетях символьное имя может иметь сложную иерархическую структуру, например cisco.netacad.net.
Числовые составные адреса. Символьные имена удобны для пользователя, но через переменный формат и потенциально большую длину их передача по сети не очень экономична. Поэтому часто для работы в больших сетях в качестве адресов узлов используют числовые составные адреса фиксированного и компактного форматов. Типичными представителями адресов этого типа являются IP адреса. У них поддерживается двухуровневая иерархия; адрес разделяется на старшую часть - номер сети и младшую - номер узла.
Для того чтобы сетевой уровень мог выполнить свое задание, ему необходима собственная система адресации, которая не зависит от способов адресации узлов в отдельных подсетях. Такая система адресации, которая дала бы возможность на сетевом уровне в универсальный и однозначный способ идентифицировать любой узел составленной сети. Естественным способом формирования сетевого адреса является уникальная нумерация всех подсетей основной сети и нумерация всех узлов в пределах каждой подсети.
Таким образом, сетевой адрес являет собой пару: номер сети (подсети) и номер узла.
Номером узла может быть или локальный адрес этого узла, или некоторое число, не связанное с локальной технологией, которая однозначно идентифицирует узел в пределах данной подсети.
В первом случае сетевой адрес становится зависимым от локальных технологий, и это ограничивает его применение.
Второй подход более универсален. Но в обоих случаях каждый узел составной сети имеет, рядом со своим локальным адресом, еще один - универсальный сетевой адрес.
Данные, которые поступают на сетевой уровень и которые необходимо передать через основную сеть, обеспечиваются заголовком сетевого уровня. Данные вместе с заголовком образуют пакет. Заголовок пакета сетевого уровня имеет унифицированный формат, который не зависит от форматов кадров канального уровня тех сетей, которые могут входить в объединенную сеть, и несет, рядом с другой служебной информацией, данные о номере той сети, которой назначается этот пакет.
421
ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ЗАЩИТЫ ИНФОРМАЦИИ
При передаче пакета из одной подсети в другую пакет сетевого уровня, инкапсулированный в полученный канальный кадр первой подсети, освобождается от заголовка этого кадра и окружается заголовками кадра канального уровня следующей подсети. Информацией, на основе которой выполняется эта замена, являются служебные поля пакета сетевого уровня.
Следовательно, сетевой уровень использует собственную адресацию, которая обеспечивает каждому узлу подсети основной сети свой универсальный сетевой адрес, который состоит из номера сети и номера узла. Благодаря такой системе адресации сетевой уровень может пересылать информацию к узлу получателю, «не обращая внимания» на внутреннюю структуру подсетей, а в то же время для непосредственного прохождения пакетов к адресату этот уровень использует технологию передачи данных конкретной подсети, через которую идут эти пакеты.
Основной тип адресов сетевого уровня - IP адрес. IP адрес разделяется на две части: номер сети и номер узла.
IP адрес имеет длину 4 байта (8 бит), это дает в совокупности 32 бита доступной информации. 32-битовая разрядность IP адреса приводит к тому, что числа выходят большими, даже если они поданы в десятичной форме исчисления. IP адрес записывается в виде четырех чисел, разделенных точками.
Для того чтобы более рационально определиться с размером сети и при этом размежевать части IP адреса, которые касаются номера сети и номера узла, используется система классов. Система классов использует значение первых битов адреса.
|
|
|
|
|
|
|
|
|
|
|
4 байта |
|
|
|
1 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Класc A |
0 |
Номер сети |
|
|
|
|
|
|
Номер узла |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2 |
|
|
|
|
|
|
|
2 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Класc B |
1 |
0 |
|
|
Номер сети |
|
|
Номер узла |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3 |
|
|
|
|
1 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Класc C |
1 |
1 |
0 |
|
|
|
|
|
Номер сети |
|
|
|
Номер узла |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Класc D |
1 |
1 |
1 |
0 |
|
|
|
|
|
Адреса группы multicast |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Класc E |
1 |
1 |
1 |
1 |
|
0 |
|
Зарезервированный |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рис. 6.6. Классы ІР адресов
Значение первых битов адреса является признаком того, к какому классу принадлежит тот или другой IP адрес (рис. 6.6).
422
Глава 6. Сети передачи информации
Если адрес начинается с 0, то сеть относят к классу А. Номер сети класса А занимает один байт, остальные 3 байта выделяются для номеров узла в этой сети. Таким образом, сети класса А имеют номера в диапазоне от 1 до 126. (№ 0 не используется, а № 127 зарезервировано для специальных целей).
Если первые два бита адреса равняются 10, то сеть принадлежит классу В (если первый октет IP адреса находится в диапазоне от 128 до 191).
Если адрес начинается с последовательности 110, то это сеть класса С (если значение первого октета в IP адресе находится в диапазоне от 192 до 223). В этом случае под номер сети выделяется 24 бита, а под номер узла - 8 бит. Сети класса С имеют небольшое (28, т.е. 256) количество узлов. Следует отметить, что именно сети класса С самые распространенные.
Если адрес начинается с последовательности 1110, то она является адресом класса D и обозначает особенный, групповой адрес - multicast. Если в пакете как адрес назначения отмечен адрес класса D, то такой пакет должны получить все узлы, которым присвоен этот адрес.
Если адрес начинается с последовательности 11110, то это значит, что этот адрес принадлежит к классу Е. Адреса этого класса зарезервировано для будущих применений.
Диапазоны номеров сетей и максимальное количество узлов, которые отвечают каждому классу сетей, приведены в табл. 6.1.
|
|
|
|
Таблица 6.1 |
|
|
|
|
|
Класс сети |
Первые |
Наименьший |
Наибольший |
Максимальное |
|
биты |
адрес сети |
адрес сети |
количество узлов |
А |
0 |
1.0.0.0 |
126.0.0.0 |
224 |
B |
10 |
128.0.0.0 |
191.255.0.0 |
216 |
C |
110 |
192.0.1.0 |
223.255.255.0 |
28 |
D |
1110 |
224.0.0.0 |
239.255.255.255 |
Multicast |
E |
11110 |
240.0.0.0 |
247.255.255.255 |
зарезервированный |
Таким образом, можно однозначно определить, что большие сети получают адреса класса А, средние - класса В, а малые - класса С. В зависимости от того, к какому классу (А, В, С) принадлежит адрес, номер сети может быть представлен первыми 8, 16 или 24 разрядами, а номер хоста - последними 24, 16 или 8 разрядами.
Диапазон значений первого байта для первых трех классов сетей приведен в табл. 6.2.
|
Таблица 6.2 |
|
|
Класс сети |
Диапазон (десятичный) значений первого байта |
A |
1 до 126 |
B |
128 до 191 |
C |
192 до 254 |
423
ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ЗАЩИТЫ ИНФОРМАЦИИ
6.2. Проектирование информационных сетей
Первыми шагами проектирования сети должны быть цель и задачи, которые в зависимости от конкретной организации или сложившейся ситуации предусмотрено возложить на информационную сеть.
Основные требования для большинства сетевых проектов: Функциональность - сеть должна удовлетворять рабочие требования
пользователей и обеспечивать связь пользователь-пользователь и пользова- тель-прикладная программа с необходимой скоростью и надежностью.
Масштабируемость - сеть должна быть способной к росту. Начальный проект должен расширяться без каких-либо серьезных изменений общего проекта.
Адаптируемость - сеть должна разрабатываться с учетом внедрения перспективных технологий. Сеть не должна содержать элементов, которые могут ограничивать реализацию новых технологий.
Управляемость - проектируемая сеть не должна осложнять решения вопросов сетевого мониторинга и управления.
При проектировании высокотехнологических информационно-коммуни- кационных сетей приходится решать такие базовые вопросы:
формирование и деление информационных ресурсов сети; топология сети; коммуникационное оборудование:
функции и размещения серверов; домены коллизий; сегментация сети;
широковещательные домены и тому подобное.
Серверы позволяют сетевым пользователям взаимодействовать и совместно использовать файлы, принтеры и сервисы прикладных программ. Серверы обычно не используют в качестве рабочих станций. На них запущены специализированные операционные системы, например NetWare, Windows NT, UNIX и Linux. Каждый сервер, как правило, реализует одну функцию, например электронную почту или доступ к файлам.
Файл-сервер информационно-коммуникационной сети - узел сети, ко-
торый обслуживает и предоставляет сервис другим узлам (пользователям) с помощью программного обеспечения и коммуникационного оборудования на основе деления совместно используемого информационного ресурса.
Программное обеспечение, которое дает возможность серверу предоставлять услуги другим компьютерам, часто также называют сервером, с которым контактируют программы-клиенты, установленные на этих компьютерах.
Программное обеспечение, ориентированное на работу в сети, находясь на сетевом сервере файла, одновременно доступно группе пользователей.
424
Глава 6. Сети передачи информации
Клиент-серверной информационной сетью называется сеть, которая использует один или несколько центральных выделенных серверов.
Серверное оборудование может выполнять свои функции в интересах всей информационно-коммуникационной сети или отдельных ее сегментов или рабочих групп.
Сервер информационно-коммуникационной сети поддерживает всех пользователей в пределах этой сети, предлагая общие сервисы, например электронную почту или деление адресации и контроль трафика. Сервер рабочей группы поддерживает специфический состав пользователей и реализует, например, текстовую обработку и файловое разделение.
Серверы целесообразно устанавливать в центральной серверной зоне
(main distribution facility - MDF) - рис. 6.7.
Сегмент 1 |
MDF (Основная серверная зона) |
|
Рабочая Группа 1 |
|
Интернет |
|
|
|
WWW сервер |
|
Рабочая Группа 2 |
FTP сервер |
|
|
Почтовый сервер |
|
|
|
НCC(Горизонтальное |
VCC(Вертикальное кабельное |
|
|
|
кабельное соединение) |
соединение) |
|
|
Сегмент 2 |
IDF (Дополнительная серверная зона) |
|
Рабочая Группа 1 |
Сервер рабочей |
Сервер рабочей |
|
|
|
|
группы 1 |
группы 2 |
|
|
Рабочая Группа 2
HCC
Комутатор рабочей |
Комутатор рабочей |
группы 1 |
группы 2 |
Рис. 6.7. Размещение серверов и рабочих групп информационно-коммуникационной сети
По возможности трафик к серверам информационно-коммуникационной сети должен передаваться непосредственно в MDF и не задевать других сетей. Однако некоторые сети используют маршрутизованную базовую магистраль для серверов. В этих случаях движение трафика через другие сети обычно нельзя предотвратить.
В идеале серверы рабочих групп должны устанавливаться в дополни-
тельных серверных зонах (intermediate distribution facilities - IDF) ближе к пользователям, которые имеют доступ к прикладным программам на этих серверах. Такое размещение дает возможность трафику двигаться только через сетевую инфраструктуру дополнительных серверных зон и не влиять на дру-
425
ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ЗАЩИТЫ ИНФОРМАЦИИ
гих пользователей в этом сетевом сегменте. Сетевые коммутаторы уровня 2 модели OSI информационно-коммуникационной сети размещены в центральной серверной зоне, при этом серверы дополнительных серверных зон должны работать со скоростями 100 Мбит/с или более высокими.
Поскольку узлы Ethernet используют протокол CSMA/CD, то каждый узел сети должен «соревноваться» со всеми другими узлами относительно получения доступа к среде передачи (домену коллизий). Если два узла сети начинают одновременную передачу - происходит коллизия. При столкновении кадров переданный фрейм уничтожается, а во все узлы сегмента отсылается соответствующий сигнал. Узлы ожидают произвольный период времени, потом передают данные повторно.
Избыточное количество столкновений может снизить доступную ширину полосы частот сетевого сегмента и соответственно уменьшить производительность сети до 35 или 40 %. Решение этой проблемы - сегментация.
Сегментация - деление единственного домену коллизий на несколько более мелких областей. В доменах меньшего размера количество коллизий меньше, что дает возможность эффективнее использовать ширину полосы частот.
Для сегментации домену коллизий на уровне 2 модели OSI могут использоваться мосты и коммутаторы. Сегментация на уровне 3 достигается применениям маршрутизаторов.
Важным при проектировании является оценивание доступности сети. Через доступность оценивается полезность сети. На доступность влияют производительность, время отзыва и доступ к ресурсам.
Физическая топология сети определяет, каким образом связаны между собой разные компоненты информационной сети (рис. 6.8).
Логическое проектирование сети касается информационных потоков данных, а также имен и схем адресации, использованных в реализации проектного решения отмеченной сети.
Маршрутизатор |
|
Уровень 3 |
(Routers) |
рівня 3 |
ISO/OSI |
Адресация |
|
|
Свич (LAN Switches) |
|
Уровень 2 |
|
ISO/OSI |
Адресация |
|
|
|
Повторитель, |
|
Уровень 1 |
коммутатор |
|
|
ISO/OSI |
(Hubs, |
|
|
|
Repeaters) |
|
|
Рис. 6.8. Проектирование топологии сети по уровнях модели OSI
426
Глава 6. Сети передачи информации
Топология сети согласно с уровнями модели OSI. Топология сети уровня 1. Одним из важнейших компонентов сети является кабельное оборудование. Сегодня соединение информационно-коммуникационной сети чаще всего базируется на технологии Fast Ethernet. Fast Ethernet - это 10 Мбит/с Ethernet, модернизируемый для скорости 100 Мбит/с и такой, который характеризуется полнодуплексной функциональностью.
Он использует стандартную Ethernet-ориентированную логическую топологию шины для адреса канального уровня (МАС-адреса) (рис. 6.9).
200 m
100 m
Рис. 6.9. Соединение сети по технологии Fast Ethernet
Проектные вопросы для топологии уровня 1 содержат тип используемого для прокладки кабеля (обычно медь или волоконно-оптический) и общую структуру кабельного оборудования.
Дополнительная |
|
Дополнительная |
серверная зона |
Центральная |
серверная зона |
|
серверная зона |
|
|
MDF |
|
IDF |
|
IDF |
Интернет
Дополнительная |
|
Дополнительная |
серверная зона |
|
серверная зона |
IDF |
Вертикальная |
IDF |
|
кабельная |
|
система
Рис. 6.10. Вертикальное соединение сети
427
ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ЗАЩИТЫ ИНФОРМАЦИИ
Сильные и слабые стороны топологии должны быть тщательным образом проанализированы, поскольку эффективность сети полностью зависит от используемых кабелей.
Для магистральных линий (вертикального соединения) необходимо использовать волоконно-оптический кабель (рис. 6.10).
В больших сетях, где невозможно выполнить ограничение на 100метровую длину кабеля для отдельного сегмента (особенно для нескольких дополнительных серверных зон), может использоваться несколько коммутационных панелей. Схема соединения для такой топологии приведена на рис. 6.11.
Основная серверная зона |
Маршрутизатор |
|
Пач-панель |
|
горизонтального |
Пач-панель |
кабельного соединения |
вертикального |
|
кабельного соединения |
Сеть передачи данных
Вертикальное кабельное соединение
|
Пач-панель |
Пач-панель |
|
вертикального |
|
горизонтального |
|
кабельного соединения |
|
кабельного соединения |
|
|
|
|
Вспомогательная серверная |
|
|
зона |
Рис. 6.11. Коммутирование основной и дополнительной серверной зоны на базе вертикальной и горизонтальной кросс-панели
Соединительные кабели (патч-кабели) служат для подключения горизонтальных сетевых кабелей уровня 1 к портам сетевого коммутатора уровня 2. Исходный порт коммутатора уровня 2 соединяется патч-кабелем с Ethernet-портом маршрутизатора уровня 3, чем обеспечивается физическое соединение отдельной конечной хост-машины с маршрутизатором.
Для связи разных дополнительных серверных зон с центральным MDF используются кросс-панели для вертикальных кабелей (VCC). Здесь необходимо применение волоконно-оптического кабеля, поскольку вертикальные кабельные длины превышают стандартную 100-метровую границу.
Топология сети уровня 2. Назначение устройств уровня 2 модели OSI в сети - перенаправление фреймов на основе информации из MAC-адреса узлаполучателя, определение ошибок и снижение перегрузок в сети. Наиболее
428
Глава 6. Сети передачи информации
распространенные сетевые устройства уровня 2 - это мосты (bridges) и сетевые коммутаторы (switches). Устройства уровня 2 ограничивают размер домена коллизий.
Коллизии и размер домена коллизий - два показателя, которые негативно влияют на производительность сети. Размеры домена коллизий и, соответственно, количество коллизий уменьшаются путем микросегментации сети. Принцип микросегментации иллюстрирует рис. 6.12.
До сегментации |
|
|
|
Посля сегментации |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Доступный |
Сеть |
|
коммутации |
|
сегмент |
|
|
Весь трафик |
Удвоенный путь трафика |
доступный в сети |
через свич |
Рис. 6.12. Микросегментация
Кроме микросегментации сетевой коммутатор поддерживает так называемую асимметричную коммутацию, другими словами, пересылка фреймов между каналами с разными скоростями передачи. Эта характеристика сетевого коммутатора важна для согласования трафика между общей для всей компании частью сети и элементами сети в подразделениях компании (рис. 6.13).
Вертикальное
кабельное
соединение
Горизонтальное
кабельное
соединение
Рис. 6.13. Асимметрическая коммутация
429
