n h i h x f g k d b c Вычислительные - distance.ruiside.distance.ru/w/books/62659.pdf4...

В ы с ш е е п р о ф е с с и о н а л ь н о е о б р а з о в а н и еБ а к а л а В р и а т

Вычислительные системы, сети и телекоммуникации

МоскваИздательский центр «Академия»2014

а. и. ГусеВа, В. с. кирееВ

учебник

Рекомендовано Учебно-методическим объединением по образованию в области прикладной информатики в качестве учебника для студентов высших учебных заведений, обучающихся по направлению «Прикладная информатика»

ФГБО

У ВПО

«Тюменский государственны

й университет» ФГБО

У ВПО


й университет»

Р е ц е н з е н т ы:профессор кафедры «Системы автоматизированного проектирования»

Московского государственного горного университета, д-р техн. наук М. И. Смирнов;

профессор кафедры Института криптографии, связи и информатики Академии ФСБ РФ, д-р техн. наук, проф. Д. О. Жуков

Гусева А.И.Г962 Вычислительные системы, сети и телекоммуникации : учеб -

ник для студ. учреждений высш. проф. образования / А.И.Гусе - ва, В.С.Киреев — М. : Издательский центр «Академия», 2014. — 288 с. — (Сер. Бакалавриат).

ISBN 978-5-7695-5813-9Учебник создан в соответствии с Федеральным государственным обра-

зовательным стандартом по направлению подготовки 230700 «Прикладная информатика» (квалификация «бакалавр»).

Изложены принципы построения и архитектуры вычислительных систем. Дана характеристика компьютерных сетей, сетевых архитектур и протоколов связи. Рассмотрены технологии передачи данных, локальных и беспроводных. Раскрыта технология TCP/IP как основа телекоммуникаций. Приведены основы сетевой безопасности. Показано управление сетевыми ресурсами на примере Windows 7. Описаны веб-технологии и интернет-приложения.

Для студентов учреждений высшего профессионального образования.

УДК 004.7(075.8)ББК 32.973.202я73

УДК 004.7(075.8)ББК 32.973.202я73 Г962

© Гусева А.И., Киреев В.С., 2014© Образовательно-издательский центр «Академия», 2014© Оформление. Издательский центр «Академия», 2014ISBN 978-5-7695-5813-9

Оригинал-макет данного издания является собственностью Издательского центра «Академия», и его воспроизведение любым

способом без согласия правообладателя запрещается

ФГБО

У ВПО



У ВПО



Предисловие

Предлагаемый учебник учитывает многолетний опыт препо-давания авторского коллектива в области вычислительных сетей и телекоммуникаций в Национальном исследовательском ядерном университете МИФИ. За годы преподавания по этому курсу прошли обучение более полутора тысяч студентов по направлениям подго-товки «Прикладная информатика» и «Прикладная математика и ин-форматика». При этом курс неоднократно обновлялся. Менялись по-коления сетевых операционных систем, на которых рассматриваются вопросы управления ресурсами; стремительно расширился спектр интернет- приложений; появились новые парадигмы построения рас-пределенных систем; изменились представления об информационной безопасности. Однако некоторые фундаментальные вещи остались неизменными.

В настоящее время для создания учебника использованы реко-мендации по преподаванию информатики в университетах, приве-денные в книге Computing Curricula 2001: Computer Science. В основу формирования учебного материала взята апробированная модель учебного плана СС 2001 для исследовательских университетов США, ориентированных на научную работу.

Материал учебника распределен между авторами следующим образом: гл. 9, 14 — 16, 19 — 21 написаны кандидатом технических наук, доцентом НИУЯ МИФИ В. С. Киреевым, гл. 1 — 8, 10 — 13, 17—21 — доктором технических наук, профессором НИУЯ МИФИ А. И. Гусевой.

Авторский коллектив искренне надеется, что данная книга помо-жет студентам, магистрам и аспирантам освоить и широко исполь-зовать сетевые технологии и телекоммуникации во всех аспектах их профессиональной деятельности.

Гусева Анна Ивановна,доктор технических наук, профессор, Microsoft Certified

System Engineer,Киреев Василий Сергеевич,

кандидат технических наук, Microsoft Certified Professional

ФГБО

У ВПО



У ВПО



4

ра з д е л I

ОснОвные пОнятия вычислительных машин и систем

Электронно- вычислительные машины (ЭВМ) настолько прочно вошли в нашу жизнь, что мы уже не представляем себя без них. Раз-ных размеров и назначения, с различными функциями, они стали доступны буквально каждому. Информатизация нашего общества невозможна без них.

Гл а в а 1

ОснОвные пОнятия вычислительных систем

1.1. история и тенденции развития вычислительной техники

ЭВМ, или компьютер — комплекс технических и программных средств, предназначенный для автоматизации подготовки и решения задач пользователя. Этот комплекс состоит из аппаратного, про-граммного и информационного обеспечения.

К аппаратному обеспечению относятся устройства, образующие конфигурацию компьютера. Различают внутренние и внешние устройства. Согласование между отдельными узлами и блоками вы-полняется с помощью аппаратно- логических устройств, называемых аппаратными интерфейсами. Стандарты на аппаратные интерфейсы называют протоколами. Протокол — это совокупность техниче-ских условий, которые должны быть обеспечены разработчиками устройств. Аппаратное обеспечение включает аппаратно- логические устройства, внешние устройства и диагностическую аппаратуру, энергетическое оборудование, батареи и аккумуляторы.

ФГБО

У ВПО



У ВПО



5

Т а б л и ц а 1.1. сравнительный анализ поколений Эвм

Поколение ЭВМКритерий

эффективности использования

Расположение пользователя

Тип пользователя Тип диалога

1950-е годы Машинные ресурсы Машинный зал Инженер- програм-мист

Работа за пультом

1660-е годы Отдельное помещение Профессиональный программист

Обмен перфоносителя-ми и машинными программами

1970-е годы Человеческие ресур-сы: трудоемкость разработки и сопро-вождения программ

Терминальный зал Программист- пользо-ватель

Интерактивный (клавиатура и экран)

1980-е годы Трудоемкость форма-лизации профессио-нальных знаний

Рабочий стол Пользователь с общей компьютерной подготовкой

Интерактивный по жесткому меню

1990-е годы Полнота и скорость доступа к информа-ции

Произвольное мобильное

Слабо обученный пользователь

Интерактивный, графический интер-фейс

ФГБО

У ВПО



У ВПО



6

Под программным обеспечением (ПО) понимается вся совокуп-ность программ, хранящихся на всех устройствах долговременной памяти компьютера. Информационное обеспечение включает в себя весь круг задач по обработке, хранению и передаче информации, которые решаются с использованием компьютерной техники.

В настоящее время существует пять поколений ЭВМ, которые отличаются элементной базой, функционально- логической организа-цией, конструктивно- технологическим исполнением, программным обеспечением, техническими и эксплуатационными характеристика-ми, степенью доступа к ЭВМ со стороны пользователя. Выделяются элементная база на лампах и пассивных элементах, на транзисторной основе, на интегральных схемах, на больших интегральных схемах и сверхбольших интегральных схемах (СБИС) огромного масштаба, которые вмещают сотни тысяч элементов на 1 см2.

Стив Джобс на презентации своего интернет- планшета Apple iPad2 в 2011 г. объявил о начале новой повой, посткомпьютерной эпохи. Он сказал, что «…на самом деле будущее за посткомпьютерными устройствами, которые проще и понятнее привычных персональных компьютеров». Возможно, через несколько лет это станет действи-тельностью.

Смене поколений ЭВМ сопутствуют изменения таких технических характеристик, как быстродействие, емкость памяти, надежность, стоимость. Результаты сравнительного анализа различных поколений ЭВМ представлены в табл. 1.1. По данным, приведенным в ней, вид-но, как изменяются критерии оценки эффективности компьютеров, меняется тип пользователя, как осуществляется переход из машин-ного зала в любую точку земного шара.

Основная тенденция развития вычислительной техники — умень-шить трудоемкость подготовки программ, облегчить связь операторов и машин, повысить эффективность использования ЭВМ.

1.2. Основные характеристики компьютеров

Рассмотрим подробнее основные характеристики компьютеров, позволяющие осуществить правильный подбор вычислительных средств для решения определенного класса автоматизируемых задач (рис. 1.1).

Быстродействие — число команд, выполняемых ЭВМ за 1 с. Сравнение по быстродействию различных типов ЭВМ не обеспечи-вает достоверных оценок, ввиду большой сложности определения численных значений. Очень часто вместо характеристики быстродей-ствия используют связанную с ней характеристику производитель-ности, которая более точно позволяет проводить сравнение разных компьютеров.

ФГБО

У ВПО



У ВПО



7

Производительность — объем работ, осуществляемых ЭВМ в еди-ницу времени. Единица измерения производительности компьютера — время, измеряемое в секундах.

Одной из альтернативных единиц измерения производительности про-цессора является MIPS — миллион команд в секунду. Измерение про-изводительности компьютеров при решении научно- технических задач, в которых используется арифметика с плавающей точкой, оценивается в MFLOPS — миллионах чисел- результатов вычислений с плавающей точкой в секунду, или миллионах элементарных арифметических операций над числами с плавающей точкой, выполненных в секунду. Используют также характеристики GFLOPS — миллиард операций над числами с плавающей запятой в секунду, и TFLOPS — триллион операций над числами с плавающей запятой в секунду.

Применяют также относительные характеристики производитель-ности. Например, корпорация Intel для оценки процессоров пред-ложила тест, получивший название индекс iCOMP (Intel Comparative Microprocessor Performance). При определении iCOMP учитываются четыре главных аспекта производительности: работа с целыми чис-лами, с плавающей запятой, графикой и видео. Данные имеют 16- и 32-разрядное представление. Каждый из восьми параметров при вычислении участвует со своим весовым коэффициентом, опреде-ляемым по усредненному соотношению между этими операциями в реальных задачах. По индексу iCOMP процессор Pentium100 имеет значение 810, а Pentium133 — значение 1 000.

Емкость  памяти — количество структурных единиц информа-ции, которое может одновременно находиться в памяти. При этом наименьшей структурной единицей информации является бит. Как правило, емкость памяти оценивается в более крупных единицах измерения — байтах (1 байт = 8 бит). Следующими единицами из-мерения служат 1 Кбит = 1 024 бит, 1 Кбайт = 1 024 байт, 1 Мбайт =•= 1 024 Кбайт, 1 Гбайт = 1 024 Мбайт, 1 Тбайт = 1 024 Гбайт.

Емкость оперативной памяти (ОЗУ) и емкость внешней памяти (ВЗУ) характеризуются отдельно. Показатель ОЗУ очень важен для определения, какие программные пакеты и их приложения могут одновременно обрабатываться в машине.

Надежность — способность ЭВМ при определенных условиях выполнять требуемые функции в течение заданного периода времени

Рис. 1.1. Основные характеристики ЭВМ

ФГБО

У ВПО



У ВПО



8

(стандарт ISO 2382/14-78). Высокая надежность ЭВМ закладывается в процессе ее производства. Модульный принцип построения по-зволяет легко проверять и контролировать работу всех устройств, проводить диагностику и устранение неисправностей. Как правило, надежность измеряется, как наработка на отказ, где под наработкой понимается время или объем работы.

Точность — возможность различать почти равные значения (стан-дарт ISO — 2382/2-76). Точность получения результатов обработки в основном определяется разрядностью ЭВМ, а также используемыми структурными единицами представления информации (байт, слово, двойное слово).

Достоверность — свойство информации быть правильно вос-принятой. Достоверность характеризуется вероятностью получения безошибочных результатов. Заданный уровень достоверности обе-спечивается аппаратно- программными средствами контроля самой ЭВМ. Возможны методы контроля достоверности путем решения эталонных задач и повторных расчетов. В особо ответственных случаях проводятся решения контрольных задач на других ЭВМ и сравнение результатов.

1.3. принципы построения и архитектура Эвм

В настоящее время архитектура вычислительной системы пони-мается как совокупность общих принципов организации аппаратно-

программных средств и их основных характеристик, определяющая функциональные возможности при решении соответствующих типов задач.

Основным принципом построения всех современных ЭВМ яв-ляется программа управления. В его основе лежит представление алгоритма решения любой задачи в виде программы вычисления.

Алгоритм — конечный набор предписаний, позволяющий по-лучить регулярным путем решение задачи за конечное число шагов. Алгоритм обладает рядом свойств: дискретность, конечность, мас-совость, результативность.

Программа — упорядоченная последовательность команд, подле-жащих обработке на ЭВМ. Алгоритм решения задачи вводится в ЭВМ в виде программы, написанной на каком- либо языке программиро-вания, и хранится в памяти ЭВМ в форме машинных кодов команд, осуществляющих управление ходом вычислительного процесса.

Принцип программного управления, предложенный Дж. фон Нейманом в 1945 г. для построения ЭВМ, формулируется следующим образом:

все вычисления, предписанные алгоритмом, должны быть пред-••ставлены в виде программы, состоящей из последовательности управляющих слов, т. е. команд;

ФГБО

У ВПО



У ВПО



9

программы и обрабатываемые ими данные должны совместно ••храниться в памяти ЭВМ;

массив всех переменных является дополнительным неотъемле-••мым элементом любой программы;

для доступа к программе, командам и операндам используют ••их адреса;

вся информация кодируется двоичными цифрами, различные ••типы информации в памяти машины практически не разделимы.

В настоящее время к общим принципам построения современных ЭВМ относятся следующие:

обеспечение максимального удобства в работе пользователей 1) и эффективной эксплуатации оборудования за счет введения в ЭВМ подсистемы управления и обслуживания;

возможность мультипрограммной работы. Для этого исполь-2) зуются средства распределения памяти между программами, системой защиты памяти, система прерываний и приоритетов, датчик време-ни (таймер), иерархическая организация структуры самой ЭВМ, ее памяти, программного обеспечения, управления вычислительным процессом;

модульный принцип построения ЭВМ (из логически закон-3) ченных блоков). Позволяет наращивать вычислительную мощность и по мере необходимости подключать дополнительные устройства или устанавливать более совершенные, благодаря чему облегчается адаптация ЭВМ в зависимости от требований пользователя;

возможность адаптации, развития, модернизации и наращи-4) вания технических средств. В наибольшей степени эти принципы используются в ЭВМ общего назначения, архитектура которых ха-рактеризуется универсальностью и совместимостью. Универсальность обеспечивает возможность одинаково эффективного решения задач различных классов;

совместимость различных ЭВМ. Это достигается за счет соот-5) ветствующего выбора аппаратных средств, операционных систем (ОС), алгоритмических языков, пользовательских средств. Суще-ствуют понятия аппаратной, программной и информационной со-вместимости. Информационная совместимость предполагает ис-пользование общих кодов и единых форматов представления данных, совпадение характеристик носителей информации и шин. Про-граммная совместимость чаще всего носит иерархический характер (снизу вверх — от младших моделей к старшим) и подразумевает единство логической структуры: систем адресации, команд, способов подключения периферийных устройств;

развитость программного обеспечения и высокая технологич-6) ность, унификация и стандартизация оборудования, обеспечивающая совместимость компонент различных производителей;

агрегатность технических средств, широкая номенклатура пе-7) риферийных устройств. При этом вся система разбивается на боль-

ФГБО

У ВПО



У ВПО



10

шое число конструктивных модулей, каждый из которых выполняет собственные функции.

1.4. Классификация Эвм

Существуют различные принципы классификации ЭВМ. Как правило, ЭВМ классифицируют по таким показателям, как произ-водительность, назначение, режимы работы, способ структурной организации, место и роль в информационных сетях.

По производительности выделяют супер- ЭВМ, большие ЭВМ, средние ЭВМ, персональные ЭВМ, мобильные и карманные ЭВМ, а также встраиваемые микропроцессоры.

Супер- ЭВМ — мощные, высокоскоростные вычислительные машины (системы) с производительностью от сотен миллионов до триллионов операций с плавающей точкой в секунду. Для них характерны огромное быстродействие числовой обработки и воз-можность решения широкого класса задач с числовыми расчетами. При производительности порядка нескольких GFLOPS можно еще обойтись одним векторно- конвейерным процессором (однопроцес-сорные супер- ЭВМ). Создание высокопроизводительной супер- ЭВМ с быстродействием порядка TFLOPS по современной технологии на одном процессоре не представляется возможным. Это связано с ограничением, обусловленным конечным значением скорости рас-пространения электромагнитных волн (300 000 км/с), так как время распространения сигнала на расстояние нескольких миллиметров (линейный размер стороны микропроцессора) при быстродействии 100 млрд оп/с становится соизмеримым со временем выполнения одной операции. Поэтому супер- ЭВМ с такой производительностью создаются в виде высокопараллельных многопроцессорных вычис-лительных систем.

В настоящее время в мире насчитывается несколько тысяч супер-

ЭВМ производительностью несколько десятков GFLOPS: Cyber 205 фирмы ControlData, VP 2000 фирмы Fujitsu, VPP500 фирмы Siemens и т. д.

Большие ЭВМ, или мэйнфреймы, поддерживают многополь-зовательский режим работы, обслуживают одновременно от 16 до 1 000 пользователей. Основное направление применения мэйнфрей-мов — решение научно- технических задач, работа в вычислительных системах с пакетной обработкой информации, работа с большими базами данных, управление вычислительными сетями и их ресур-сами, использование мэйнфреймов в качестве больших серверов вычислительных сетей. Примерами больших ЭВМ может служить классическое семейство больших машин ЕС ЭВМ, IBM ES/9000, IBM S/390, а также современные японские компьютеры М1800 фирмы Fujitsu.

ФГБО

У ВПО



У ВПО



11

Малые, или мини- ЭВМ, — надежные, недорогие и удобные в экс-плуатации компьютеры, обладающие несколько более низкими по сравнению с мэйнфреймами возможностями. В многопользователь-ском режиме поддерживаются 16—512 пользователей. Для мини- ЭВМ характерны широкий диапазон производительности при специали-зированном применении, простая реализация многопроцессорных и многомашинных систем, высокая скорость обработки прерываний, возможность работы с форматами данных различной длины, модуль-ная архитектура, широкая номенклатура периферийных устройств, повышенная точность вычислений. В настоящее время семейство мини- ЭВМ включает большое число моделей от VAX-11 до VAX 8000, VAX 9000 и т. д.

Микро- ЭВМ по своему назначению можно разделить на универ-сальные и специализированные. Универсальные однопользователь-ские ЭВМ или персональные компьютеры (ПК) должны удовлетво-рять требованиям общедоступности и универсальности применения и иметь относительно малую стоимость, возможность эксплуатации без специальных требований к условиям окружающей среды; адап-тивность к разнообразным применениям в сфере управления, науки, образования, в быту; «дружественность» ПО по отношения к мало-квалифицированному пользователю; высокую надежность работы. Наибольшей популярностью в настоящее время пользуется ПК с микропроцессорами фирмы Intel.

По конструктивным особенностям ПК можно выделить стацио-нарные и переносные (мощные переносные компьютеры (рабочие станции) массой до 15 кг; портативные (наколенные) компьютеры типа LapTop массой 5 … 10 кг; компьютеры- блокноты (Note Book и Sub Note Book массой 1,5 … 4 кг и др.), карманные компьютеры, планшеты и смартфоны.

Смартфон — мобильный телефон, сравнимый по функционалу с карманным ПК. Также для обозначения некоторых устройств, со-вмещающих функциональность мобильного телефона и карманного ПК, часто используют термин «коммуникатор».

Смартфоны и коммуникаторы отличаются от обычных мобильных телефонов наличием достаточно развитой ОС, открытой для раз-работки ПО сторонними разработчиками (ОС обычных мобильных телефонов закрыта для сторонних разработчиков). Установка допол-нительных приложений позволяет значительно улучшить функцио-нальность смартфонов и коммуникаторов по сравнению с обычными мобильными телефонами.

В последнее время граница между «обычными» телефонами и смартфонами все больше стирается, новые телефоны по своей функциональности приближаются к смартфонам, в них стала доступ-на электронная почта и HTML- браузер. Среди мобильных компью-теров можно выделить интернет- планшет — мобильный компьютер, относящийся к типу планшетных компьютеров, построенный на

ФГБО

У ВПО



У ВПО



12

аппаратной платформе того же класса, которая используется для смартфонов. Для управления интернет- планшетом используется сенсорный экран, взаимодействие с которым осуществляется при по-мощи пальцев, без клавиатуры и «мыши». Ввод текста на сенсорном экране в целом не уступает по скорости. Интернет- планшеты, как правило, могут постоянно работать с сетью, поэтому с их помощью удобен доступ к услугам Интернет. Необходимо учитывать, что ин-тернет- планшет в данный момент не является полной заменой ПК или ноутбука, так как его функциональность ограничена высокими требованиями к его мобильности, т. е. сочетанию низкого энерго-потребления и габаритов. Присутствуют на рынке и встраиваемые микро- ЭВМ, являющиеся составными элементами в промышлен-ных и транспортных системах, технических устройств и аппаратов, бытовых приборов.

По назначению выделяют ЭВМ общего применения и проблем-но- ориентированные ЭВМ, обладающие высоким быстродействием в сугубо ограниченных областях.

По режимам работы различают ЭВМ однопрограммные, муль-типрограммные, ЭВМ для построения многомашинных и много-процессорных вычислительных систем, ЭВМ для работы в системах реального времени.

По способу структурной организации выделяют однопроцессор-ные и мультипроцессорные ЭВМ.

По месту и роли в информационных сетях различают мощные машины, включаемые в состав вычислительных центров; кластерные структуры — многомашинные вычислительные системы; серверы — вычислительные машины и системы; рабочие станции; сетевые ком-пьютеры — коммутационные устройства.

Сетевые серверы выполняют такие специализированные функ-ции, как создание и управление базами и архивами данных, под-держка многоадресной факсимильной связи и электронной почты, управление многопользовательскими устройствами ввода- вывода информации (принтером, плоттером и др.). Файл- серверы, имеющие объемные дисковые ЗУ, используются для работы с файлами данных. Архивационный сервер, использующий накопители на магнитной ленте (стриммеры) со сменными картриджами, предназначен для резервного копирования информации. Факс- сервер, почтовый сервер — выделенные компьютеры для организации эффективной многоадресной факсимильной связи или электронной почты.

Рабочие станции появились на рынке ЭВМ почти одновременно с ПК и опережали всех по своим вычислительным возможностям. Переломным моментом в развитии рабочих станций стало появление новой архитектуры микропроцессоров RISC, позволившей резко под-нять производительность ЭВМ. Современные рабочие станции сопо-ставимы, а иногда даже превосходят ПК по своим характеристикам. Современная рабочая станция — не просто большая вычислительная

ФГБО

У ВПО



У ВПО



мощность, это однопользовательская система с мощным процессором и многозадачной ОС, имеющая развитую графику с высоким разре-шением, большую дисковую и оперативную память и встроенные се-тевые средства. Все это в значительной мере и определяло их область применения и проблемную ориентацию: автоматизированное про-ектирование, банковское дело, управление производством, разведка и добыча нефти, связь, издательская деятельность и др. Лидером на мировом рынке рабочих станций является американская фирма Sun Microsystems. Архитектура SPARC, разработанная этой фирмой и использующаяся в ее машинах, стала фактически стандартом де-

факто. Традиционно доминирующей ОС на рынке рабочих станций была система Unix и ей подобные системы (Solaris и др.). В последнее время наблюдается некоторое предпочтение ОС VAX VMS и в еще большей степени Windows.

воПросы и задания

Назовите основные характеристики ЭВМ.1. Что такое быстродействие ЭВМ, в чем оно измеряется?2. Что такое производительность ЭВМ, в чем она измеряется?3. В чем измеряется емкость запоминающих устройств?4. Что такое надежность ЭВМ, в чем она измеряется?5. Что такое точность ЭВМ, в чем она измеряется?6. Что такое достоверность, в чем она измеряется?7. Сформулируйте общие принципы построения современных ЭВМ.8. Сформулируйте принцип фон Неймана. Объясните, как он влияет на 9. архитектуру современных ЭВМ.Какие принципы могут быть положены в основу современной классифи-10. кации ЭВМ?

ФГБО

У ВПО



У ВПО



14

Гл а в а 2

архитеКтура сОвременных вычислительных систем

2.1. Классификация архитектур вычислительных систем

Архитектура вычислительной системы — совокупность общих принципов организации аппаратно- программных средств и их основ-ных характеристик, определяющая функциональные возможности при решении соответствующих типов задач.

Наиболее известная классификация архитектур вычислительных систем М. Флинна выделяет четыре класса архитектур (рис. 2.1):

одиночный поток команд — одиночный поток данных (ОКОД), 1) или SISD (single instruction stream / single data stream);

одиночный поток команд — множественный поток данных 2) (ОКМД) или SIMD (single instruction stream / multiple data stream);

множественный поток команд — одиночный поток данных 3) (МКОД) или MISD (multiple instruction stream / single data stream);

множественный поток команд — множественный поток данных 4) (МКМД) или MIMD (multiple instruction stream / multiple data stream).

Поток команд — последовательность команд, выполняемых ЭВМ (системой), поток данных — последовательность данных (исходная

Рис. 2.1. Классификация вычислительных архитектур по Флинну

ФГБО

У ВПО



У ВПО



15

информация и промежуточные результаты решения задачи), обраба-тываемых под управлением потока команд.

К классу ОКОД относятся, прежде всего, классические последова-тельные машины, т. е. машины фон- неймановского типа, например, PDP-11 или VAX 11/780. В таких машинах есть только один поток команд, все команды обрабатываются последовательно друг за дру-гом и каждая команда инициирует одну операцию с одним потоком данных. Для увеличения скорости обработки команд и скорости выполнения арифметических операций может применяться также конвейерная обработка (например, CDC 7600).

В архитектурах ОКМД сохраняется один поток команд, вклю-чающий, в отличие от предыдущего класса, векторные команды. Это позволяет выполнять одну арифметическую операцию сразу над многими данными — элементами вектора. Способ выполнения векторных операций не оговаривается, поэтому обработка элемен-тов вектора может производиться либо процессорной матрицей, как в ILLIAC IV, либо с помощью конвейера, как, например, в машине CRAY-1.

Определение МКОД подразумевает наличие в архитектуре мно-гих процессоров, обрабатывающих один и тот же поток данных. Однако ни Флинн, ни другие специалисты в области архитектуры компьютеров до сих пор не смогли представить убедительный пример реально существующей вычислительной системы, построенной на данном принципе. Ряд исследователей относят конвейерные машины к данному классу, однако это не нашло окончательного признания в научном сообществе. В настоящее время принято считать, что пока данный класс пуст.

Класс МКМД предполагает, что в вычислительной системе есть несколько устройств обработки команд, объединенных в единый комплекс и работающих каждое со своим потоком команд и дан-ных. Этот класс чрезвычайно широк, поскольку включает в себя всевозможные мультипроцессорные системы. В настоящее время он является чрезвычайно заполненным и возникает потребность в классификации, более избирательно систематизирующее архи-тектуры, которые попадают в один класс, но совершенно различны по числу процессоров, природе и топологии связи между ними, по способу организации памяти и конечно же по технологии програм-мирования. Например, считается, что множественный поток команд может быть обработан двумя способами: либо одним конвейерным устройством обработки, работающем в режиме разделения вре-мени для отдельных потоков, либо каждый поток обрабатывается своим собственным устройством. В первом случае в классе МКМД получаем конвейерные или векторные компьютеры, во втором — параллельные.

Схема классификации Флинна до настоящего времени самая при-меняемая при начальной характеристике того или иного компьютера.

ФГБО

У ВПО



У ВПО



16

Однако она обладает и явными недостатками. В частности, неко-торые заслуживающие внимания архитектуры, например, dataflow и векторно- конвейерные машины, четко не вписываются в данную классификацию. Другой недостаток — заполненность класса МКМД. Необходимо средство более избирательно систематизирующее архи-тектуры, которые по Флинну попадают в один класс, но совершенно различны по числу процессоров, природе и топологии связи между ними, по способу организации памяти и конечно же по технологии программирования.

Наличие пустого класса МКОД не стоит считать недостатком схе-мы. Такие классы могут стать чрезвычайно полезными для разработки принципиально новых концепций в теории и практике построения вычислительных систем.

2.2. Одиночный поток команд — одиночный поток данных

ОКОД- компьютеры — обычные, традиционные компьютеры, в которых в каждый момент времени выполняется лишь одна опе-рация над одним элементом данных (числовым или каким- либо другим значением). При работе такой системы в мультипрограммном режиме, когда совместно решается несколько задач (программы и ис-ходные данные по каждой из них хранятся в оперативной памяти), обеспечивается параллельная работа устройств системы, происходит разделение времени и оборудования между совместно выполняемы-ми программами. Однако в каждый данный момент операционное устройство (АЛУ), поскольку оно является единственным, занимается обработкой информации по какой- то одной команде, т. е. одновре-менное преобразование информации в АЛУ по нескольким коман-дам, принадлежащим разным участкам одной и той же программы или разным программам, невозможно.

Основная масса современных ЭВМ функционирует в соот-ветствии с принципом фон Неймана и имеет архитектуру класса ОКОД. Архитектуры этого класса охватывают те уровни програм-много параллелизма, которые связаны с одиночным потоком данных. Они реализуются многофункциональной обработкой и конвейером команд. Данная архитектура породила CISC, RISC и архитектуру с суперскалярной обработкой.

Компьютеры  с  CISC  (Complex Instruction Set Computer) архи-тектурой имеют комплексную (полную) систему команд, под управ-лением которой выполняются всевозможные операции типа «память-

память», «память- регистр», «регистр- память», «регистр- регистр». Данная архитектура характеризуется большим числом команд; пере-менной длиной команд; значительным числом способов адресации и форматов команд; сложностью команд и многозадачностью их

ФГБО

У ВПО



У ВПО



17

выполнения; наличием микропрограммного управления, что сни-жает быстродействие и усложняет процессор. Обмен с памятью в процессе выполнения команды делает практически невозможной глубокую конвейеризацию обработки, так как ограничивается так-товая частота процессора, следовательно, и его производитель-ность.

Большинство современных компьютеров типа IBM PC относятся к архитектуре CISC, например компьютеры с микропроцессорами Pentium 8080, 80486, 80586.

Компьютеры с RISC (Reduced Instruction Set Computer) архитек-турой содержат набор простых, часто употребляемых в программах команд. Основными являются операции типа «регистр- регистр». Данная архитектура характеризуется сокращенным числом команд; большинство команд выполняется за один машинный такт; посто-янной длиной команд; небольшим количеством способов адресации и форматов команд; для простых команд не используется микро-программное управление; большим числом регистров внутренней памяти процессора.

Компьютеры с архитектурой RISC имеют преимущество в произ-водительности по сравнению с CISC компьютерами, которое влечет за собой наличие в программах дополнительных команд обмена регистров процессора с оперативной памятью.

Еще одной разновидностью ОКОД является суперскалярная обработка, когда в аппаратуру процессора закладываются средства, позволяющие одновременно выполнять две или более скалярные операции, т. е. команды обработки пары чисел. Суперскалярная архитектура базируется на многофункциональном параллелизме и позволяет увеличить производительность компьютера пропор-ционально числу одновременно выполняемых операций. Спосо-бы реализации суперскалярной обработки могут быть разными. Аппаратная реализация суперскалярной обработки применяется как в CISC, так и в RISC — процессорах и заключается в чисто аппаратном механизме выборки из буфера инструкций (или кэша инструкций) несвязанных команд и параллельном запуске их на исполнение.

Другой способ реализации суперскалярной обработки заключается в кардинальной перестройке всего процесса трансляции и испол-нения программ. Уже на этапе подготовки программы компилятор группирует несвязанные операции в пакеты, содержимое которых строго соответствует структуре процессора. Сформированные пакеты операций преобразуются компилятором в командные слова, которые по сравнению с обычными инструкциями выглядят очень большими. Этот принцип дал название соответствующей архитектуры — VLIW (Very Large Instruction Word). По идее, затраты на формирование суперкоманд должны окупаться скоростью их выполнения и просто-той аппаратуры процессора, с которого снята вся работа по поиску

ФГБО

У ВПО



У ВПО



18

параллелизма несвязанных операций. Однако практическое внедре-ние архитектуры VLIW затрудняется значительными проблемами эффективной компиляции.

2.3. Одиночный поток команд — множественный поток данных

Параллелизм циклов и итераций тесно связан с понятием мно-жественности потоков данных и реализуется векторной обработкой. В классификации Флинна выделена специальная группа однопроцес-сорных систем с параллельной обработкой потоков данных — ОКМД. ОКМД- компьютеры состоят из одного командного процессора (управляющего модуля), называемого контроллером, и нескольких модулей обработки данных — процессорных элементов. Управляю-щий модуль принимает, анализирует и выполняет команды. Если в команде встречаются данные, контроллер рассылает на все процес-сорные элементы команду, и эта команда выполняется на нескольких или на всех процессорных элементах.

Все процессорные элементы идентичны и каждый из них пред-ставляет собой совокупность управляюще- обрабатывающего органа (быстродействующего процессора) и процессорной памяти не-большой емкости. Процессорные элементы выполняют операции параллельно над разными потоками данных (ПД) под управлением общего потока команд (ПК), вследствие чего такие ЭВМ называют-ся системами с общим потоком команд. В любой момент в каждом процессоре выполняется одна и та же команда, но обрабатываются различные данные, таким образом реализуется синхронный парал-лельный вычислительный процесс.

Одним из преимуществ данной архитектуры считается то, что в этом случае более эффективно реализована логика вычислений. До половины логических инструкций обычного процессора связано с управлением выполнением машинных команд, а остальная их часть относится к работе с внутренней памятью процессора и выполнению арифметических операций. В ОКМД- компьютере управление вы-полняется контроллером, а арифметические операции — процессор-ными элементами. Возможны два способа построения компьютеров этого класса: матричная структура ЭВМ и векторно- конвейерная обработка.

Суть матричной  структуры заключается в том, что имеется множество процессорных элементов, исполняющих одну и ту же команду над различными элементами вектора (потоков данных), объединенных коммутатором. Каждый процессорный элемент вклю-чает схемы местного управления, операционную часть, схемы связи и собственную оперативную память. Изменение производительности

ФГБО

У ВПО



У ВПО



19

матричной системы достигается за счет изменения числа процессор-ных элементов.

Основные преимущества матричных систем — высокая произво-дительность и экономичность. Недостатки заключаются в жесткости синхронного управления матрицей процессорных элементов и слож-ности программирования обмена данными между процессорными элементами через коммутатор. Они применяются главным образом для реализации алгоритмов, допускающих параллельную обработку многих потоков данных по одной и той же программе (одномерное и двумерное прямое и обратное преобразования Фурье, решение систем дифференциальных уравнений в частных производных, операций над векторами и матрицами и др.). Примером векторных супер- ЭВМ с матричной структурой является знаменитая в свое время система ILLIAC- IV.

В отличие от матричной, векторно- конвейерная структура ком-пьютера содержит конвейер операций, на котором обрабатываются параллельно элементы векторов и полученные результаты последо-вательно записываются в единую память. При этом отпадает необ-ходимость в коммутаторе процессорных элементов, служащем узким местом в матричных компьютерах. Векторно- конвейерную структуру имеют однопроцессорные супер- ЭВМ серии VP фирмы Fujitsu; C90, М90, Т90 фирмы CrayResearch; Сrау-3, Сrау-4 фирмы CrayComputer и т. д. Все они используют векторные операции с векторами опреде-ленной длины, которые выполняются над векторными регистрами.

Еще одним примером архитектуры ОКМД является технология ММХ (Multimedia Extensions), которая представляет собой компро-миссное решение, объединяющее подход классической CISC- архи-тектуры (Pentium), архитектуры ОКМД и ряд простых (RISC) команд параллельной обработки данных. Она разработана для ускорения выполнения мультимедийных и коммуникационных программ с до-бавлением новых типов данных и новых инструкций. Технология в полной мере использует параллелизм архитектуры ОКМД и со-храняет полную совместимость с существующими операционными системами и приложениями для ОКОД.

2.4. множественный поток команд — одиночный поток данных

МКОД- компьютеры представляет собой, как правило, регулярную структуру в виде цепочки последовательно соединенных процессоров П1, П2, ..., ПN, образующих процессорный конвейер. В такой систе-ме реализуется принцип конвейерной (магистральной) обработки, который основан на разбиении всего процесса на последовательно выполняемые этапы, причем каждый этап исполняется на отдельном

ФГБО

У ВПО



У ВПО



20

процессоре. Одинарный поток исходных данных для решения зада-чи поступает на вход процессорного конвейера. Каждый процессор решает свою часть задачи и передает результаты решения в качестве исходных данных на вход последующего процессора.

Вычислительных машин такого класса практически нет и трудно привести пример их успешной реализации. Один из немногих — си-столический массив процессоров, в котором процессоры находятся в узлах регулярной решетки. Роль ребер этой решетки играют меж-процессорные соединения. Все процессорные элементы управляются общим тактовым генератором. В каждом цикле работы каждый про-цессорный элемент получает данные от своих соседей, выполняет одну команду и передает результат соседям.

В настоящее время к МКОД относится распределенная мульти-процессорная система с общими данными. Наиболее простая и самая распространенная система этого класса — обычная локальная сеть ПК, работающая с единой базой данных, когда много процессоров обрабатывают один поток данных. Однако, как только в такой сети все пользователи переключаются на обработку собственных данных, недоступных для других абонентов сети, МКОД- система превраща-ется в систему с множеством потоков команд и множеством потоков данных, т. е. МКМД.

2.5. множественный поток команд — множественный поток данных

В категорию МКМД попадают симметричные параллельные вы-числительные системы, рабочие станции с несколькими процессора-ми, кластеры рабочих станций и т. д. Компьютеры с несколькими не-зависимыми процессорами существуют уже десятилетия, но вначале на таких компьютерах был реализован только параллелизм заданий, т. е. на разных процессорах одновременно выполнялись различные и независимые программы. МКМД- системы по способу взаимодей-ствия процессоров делят на системы с сильной и слабой связью.

Сильно- связанные  вычислительные  системы,  или многопро-цессорные вычислительные системы (МПВС), основаны на объеди-нении процессоров на общем поле оперативной памяти, называемой разделяемой памятью (Shared Memory). Управление обеспечивается одной общей ОС. При этом достигаются более быстрый обмен ин-формацией между процессорами, чем между ЭВМ в многомашинных вычислительных системах или комплексах, и более высокая суммар-ная производительность системы. Иногда их называют «истинными» мультипроцессорами.

В таких системах, как правило, число параллельных процессов невелико и управляет ими централизованная ОС. Процессы обме-

ФГБО

У ВПО



У ВПО



21

ниваются информацией через общую оперативную память. При этом возникают задержки из- за межпроцессорных конфликтов. При созда-нии больших мультипроцессорных ЭВМ (мэйнфреймов, супер- ЭВМ) основной задачей является увеличению пропускной способности оперативной памяти. Производительность таких систем является узким местом, так как не увеличивается пропорционально числу процессоров. Например, сложнейшие средства снижения межпроцес-сорных конфликтов в оперативной памяти суперкомпьютеров серии CRAY X- MP/Y- MP позволяют получить коэффициент ускорения не более 3,5 для четырехпроцессорной конфигурации системы.

По виду межмодульных функциональных и управляющих связей и организации работы выделяют два типа многопроцессорных си-стем МКМД: с общей шиной и с использованием многовходовой памяти.

Многопроцессорные вычислительные системы с общей шиной называют архитектура SMP (Shared Memory Proccessing), в которой все функциональные модули в виде процессоров, модулей памяти, устройств ввода- вывода подсоединены к одной общей шине межмо-дульных связей. Между модулями системы нет постоянных связей, информация между ними передается в режиме разделения времени. В каждый данный момент времени по шине передается лишь один пакет информации от какого- то одного источника, другие источники информации находятся в режиме ожидания.

SMP- системы характеризуются относительно низкой функцио-нальной сложностью и невысокой стоимостью и простотой реконфи-гурация структуры путем добавления или удаления функциональных модулей. К недостаткам таких систем относится: ограниченность пропускной способности общей шины, ухудшение общей произво-дительности системы при добавлении модулей, потери производи-тельности системы, связанные с разрешением конфликтов, когда не-сколько модулей одновременно претендуют на занятие общей шины для передачи информации, а также тот факт, что отказ общей шины приводит к выходу из строя всей системы. Архитектура SMP стала своего рода стандартом для всех современных многопроцессорных серверов, например, НР9000 и DEC Alpha Server AXP.

В многопроцессорных вычислительных системах с многовходовы-ми модулями памяти, или симметричных МПВС, взаимные соедине-ния выполняются с помощью индивидуальных шин, подключающих каждый процессор и каждое устройство ввода- вывода к отдельному входу оперативной памяти. Для этого необходимо, чтобы модули оперативной памяти имели по несколько входов и снабжались управ-ляющими схемами для разрешения конфликтов в случаях, когда два или более процессора или устройства ввода- вывода требуют доступа к одному и тому же модулю памяти в пределах одного временного цикла. Число подключаемых элементов системы к одному модулю памяти ограничивается числом его входов.

ФГБО

У ВПО



У ВПО



22

При построении общего поля оперативной памяти МПВС целе-сообразной оказывается реализация метода расслоения оперативной памяти, при которой ячейки с соседними адресами оказываются расположенными в соседних модулях. Обязательными условиями применения этого метода являются модульность структуры опера-тивной памяти и наличие для каждого модуля памяти автономного блока управления памятью.

Преимущества МПВС с многовходовыми модулями памяти со-стоят в том, что скорость передачи информации значительно выше, чем в МПВС с общей шиной и система может работать и в режиме однопроцессорной конфигурации. Как правило, принципы построе-ния МПВС с многовходовыми модулями оперативной памяти находят свое место при создании мэйнфреймов.

К недостаткам таких систем следует отнести большое число линий связи и разъемов, усложняющих конструкцию системы и снижающих ее надежность, а также высокую стоимость оперативной памяти, со-ставленной из многовходовых модулей.

В системах архитектуры МКМД реализуется асинхронный вы-числительный процесс, при котором каждый процессор системы выполняет свою программу (или свой участок сложной программы) с собственными данными. В таких системах происходит постоянное распараллеливание вычислений. Две основные причины создания этого типа вычислительных систем — дублирование важных бло-ков вычислений или модулей и повышение производительности систем.

Вычислительные  системы  со  слабой  связью, или распреде-ленные многомашинные вычислительные системы (ММВС), пред-ставлены многомашинными комплексами, в которых отдельные компьютеры объединены либо с помощью сетевых средств, либо с помощью общей внешней памяти (обычно — дисковые накопители большой емкости). Каждая ЭВМ системы имеет свою оперативную память и работает под управлением своей ОС. Обмен информацией между машинами происходит в результате взаимодействия их ОС, при этом каждая машина использует другую как канал.

Многомашинные вычислительные системы строятся из логически независимых компонентов: процессоров, устройств оперативной памяти, каналов ввода- вывода, ВЗУ, устройств управления ВЗУ, устройств ввода- вывода (УВВ), устройств управления УВВ. Логи-ческая независимость процессоров такой системы определяется возможностью их независимого функционирования. Для остальных компонентов эта независимость определяется возможностью их под-соединения к одному или к нескольким процессорам ММВС.

Связь между машинами (процессорами) ММВС может осущест-вляться на уровне любого из его логически независимых компонентов с помощью специальных мультисистемных средств или средств ком-плексирования. Такая связь должна быть достаточно гибкой и обе-

ФГБО

У ВПО



У ВПО



23

спечивать независимость функционирования различных модулей системы и их взаимодействие с разной скоростью, соответствующей скорости обмена информацией между элементами системы. Для этого на разных уровнях комплексирования применяют различные по тактовой частоте, разрядности, пропускной способности шины интерфейсов.

Очевидно, что система со всеми возможными уровнями связей бу-дет наиболее совершенной, гибкой и надежной в функционировании. Однако, с другой стороны, система с полными связями получается сложной по своей структуре и организации функционирования. В каждом конкретном многомашинном комплексе не обязательно реализуются все уровни комплексирования.

Для оценки эффективности взаимодействия вычислительных средств системы на различных уровнях могут привлекаться такие показатели эффективности вычислительных систем, как время ре-акции системы на запросы с учетом их приоритетов, пропускная способность, время на решение заданного набора задач. Рассмотрим уровни связи вычислительной системы в порядке возрастания ско-рости обмена информацией.

Межмашинная связь на уровне внешних устройств используется главным образом для организации общего поля внешней памяти. Такая связь организуется через каналы ввода- вывода этих устройств и шинные интерфейсы. При этом обычно часть ВЗУ остается в ин-дивидуальном пользовании отдельных машин. Преимуществом комплексирования на уровне ВЗУ является значительное увеличение объемов информации (данных и программ), одновременно доступных процессорам ММВС.

При взаимодействии вычислительных средств на уровне канал-

канал через адаптер обеспечивается быстрый обмен информацией между каналами. Адаптер подключается к двум каналам, причем функционально он рассматривается как устройство управления вво-да- вывода для каждого из каналов, а каждая из связанных адаптером машин по отношению друг к другу является внешним устройством. В отличие от любого другого устройства управления внешними устройствами адаптер не управляет устройствами ввода- вывода, а только осуществляет связь между каналами и синхронизирует их работу.

Взаимодействие на уровне операционной памяти (ОП) осущест-вляется для создания общего поля ОП, что значительно ускоряет обмен информацией между процессорами и повышает возможности функционирования системы. Наибольшая оперативность обмена информацией достигается при реализации именно такого уровня связи на многовходовых модулях памяти. При этом существенно усложняются структура и функции устройства управления общей ОП, а наибольшие затруднения связаны с созданием программных средств, обеспечивающих функционирование системы.

ФГБО

У ВПО



У ВПО



24

Взаимодействие на уровне процессоров через интерфейс межпро-цессорной связи осуществляется с целью синхронизации единого вычислительного процесса путем передачи между процессорами сигналов внешних прерываний и команд прямого управления.

Другим примером реализации слабосвязанной архитектуры являются системы с массовым параллелизмом (МРР), состоящие из десятков, сотен, а иногда и тысяч процессорных узлов. Строгой границы не существует, однако обычно считается, что при числе процессоров 128 и более система относится к архитектуре MPP. Большинство систем MPP имеют как логически, так и физически распределенную между процессорами память. Каждый узел такой системы содержит процессор и модуль памяти, в котором хранится процесс — совокупность команд, исходных и промежуточных данных вычислений, а также системные идентификаторы процесса. Узлы массово- параллельной системы объединяются коммутационными сетями самой различной формы — от простейшей двумерной ре-шетки до гиперкуба или трехмерного тора. В отличие от архитектуры фон Неймана, передача данных между узлами коммутационной сети происходит по готовности данных процесса, а не под управлени-ем некоторой программы. Отсюда еще одно название подобных систем — системы с управлением потоком данных (иногда просто потоковые машины).

К достоинствам данной архитектуры относится то, что она ис-пользует стандартные микропроцессоры и обладает неограниченным быстродействием (порядка TFLOPS). Тем не менее, программиро-вание коммутаций процессов является слабо автоматизированной и очень сложной процедурой. Так что для коммерческих задач и даже для подавляющего большинства инженерных приложений системы с массовым параллелизмом недоступны.

Сравнивая ММВС и МПВС, можно отметить, что в МПВС дости-гается более высокая скорость обмена информацией между элемента-ми системы и, как следствие, более высокая производительность. Так-же ей характерны более высокая реакция на возникающие в системе и ее внешней среде нестандартные ситуации, а также более высокие надежность и живучесть. С другой стороны, построение ММВС из серийно выпускаемых ЭВМ с их стандартными ОС значительно про-ще, чем построение МПВС, требующих преодоления определенных трудностей, связанных главным образом с организацией общего поля оперативной памяти и созданием единой ОС. Отличие организации систем МКОД с сильной и слабой связью проявляется еще и при об-работке приложений, отличающихся интенсивностью обменов между взаимодействующими процессами.

Вычислительные сети являются дальнейшим развитием вычис-лительных систем распределенного типа. Они представляют собой новый, более совершенный этап в использовании средств вычисли-тельной техники — переход к коллективному их использованию.

ФГБО

У ВПО



У ВПО



Кластеры также являются примером слабо связанных систем, по-скольку модули памяти распределены по всей системе и закреплены за отдельными процессорами. Добавление компьютеров в кластер по-зволяет увеличивать пропускную способность памяти и наращивать производительность.

Кластерные структуры, или просто кластеры, — самый дешевый способ наращивания производительности уже инсталлированных компьютеров. Кластер представляет собой набор из нескольких ЭВМ, соединенных через некоторую инфраструктуру. В качестве такой ин-фраструктуры может выступать обычная компьютерная сеть, однако из соображений повышения производительности желательно иметь высокоскоростные соединения (FDDI, ATM, HiPPI и т. п.). Кластеры могут быть образованы как из различных компьютеров (гетерогенные кластеры), так и из одинаковых (гомогенные кластеры).

В кластерных системах для организации взаимодействия между процессами, выполняющимися на разных компьютерах при решении одной задачи, применяются различные модели обмена сообщениями (PVM, MPI и др.). Однако задача распараллеливания вычислений в таких системах с распределенной между отдельными компьютерами памятью в рамках этих моделей является более сложной, чем в моде-лях с общим полем памяти, как, например, в SMP серверах.


Опишите классификацию Флинна. Объясните, что положено в ее основу. 1. Какие у нее достоинства и какие недостатки?Какие вычислительные структуры относятся к ОКОД?2. Какие вычислительные структуры относятся к ОКМД?3. Какие вычислительные структуры относятся к МКОД?4. Какие вычислительные структуры относятся к МКМД?5.

ФГБО

У ВПО



У ВПО



26

ра з д е л II

ОснОвные пОнятия вычислительных сетей

Использование передовых технологий в области электроники и техники связи позволило по- новому организовать многие виды систем обработки информации. Главной особенностью при этом является объединение в одну систему большого количества слож-ноорганизованных и интенсивно взаимодействующих между собой устройств. Одним из таких способов интегрирования вычислитель-ных ресурсов и являются вычислительные сети (ВС.). Главная цель интеграции в вычислительных сетях — передача, хранение и обра-ботка информации. С точки зрения пользователя этой информации, под вычислительной сетью понимается такое соединение двух или более компьютеров, которое позволяет им разделять ресурсы друг друга.

Основные понятия, которые обычно рассматриваются при изуче-нии вычислительных сетей, включают в себя технологии передачи данных, топологию, среду передачи, протоколы связи.

Для классификации вычислительных сетей обычно используют такие признаки, как географический размер сети, способ разделения ресурсов, технологию передачи данных и топологию связи.

Гл а в а 3

КОмпьютерные сети и сети интернет

3.1. Географический размер сети

В зависимости от размера географической области, которую охватывают вычислительные сети, их подразделяют на четыре основ-ных типа: локальные (Local Area Networks — LAN), региональные (Metropolitan Area Networks — MAN) и глобальные (Worldwide Area

ФГБО

У ВПО



У ВПО



27

Networks — WAN).Последние несколько лет выделяют еще персональ-ные вычислительные сети (Personal Area Networks — PAN).

Локальные вычислительные сети (ЛВС) объединяют компью-теры в пределах небольшого физического пространства, например одного или нескольких рядом находящихся зданий. Они обслужи-вают пользователей, находящихся на расстоянии десятков и сотен метров друг от друга, и число этих пользователей, в самом лучшем случае, не превышает несколько тысяч человек. Такие маленькие размеры ЛВС позволяют работать на скоростях взаимодействия 10 Мбит/с и выше. Например, локальная сеть Fast Ethernet работает со скоростью 100 Мбит/с. Существуют сети Ethernet на скоростях 100 Гбит/с. Обмен информацией между устройствами ЛВС проис-ходит с большой интенсивностью. Размер информационных блоков в разных сетях колеблется от 38 бит (сеть Cambridg Ring) до 8 Мбит в сетях с жезловым управлением. В качестве среды передачи данных в LAN часто используется витая пара, коаксиал, оптоволокно. Су-ществуют беспроводные сети, использующие для передачи инфор-мации инфракрасное излучение или электромагнитное излучение СВЧ- диапазона.

Особенности ЛВС:интегрируют компьютеры и другие сетевые устройства в преде-••

лах небольшого физического пространства (например, одного или нескольких рядом находящихся зданий);

работают на высоких скоростях передачи (10 Мбит/с, 100 Мбит/с, ••1 Гбит/с, 10 Гбит/с);

обмен информацией между устройствами происходит с большой ••интенсивностью;

среда передачи данных — витая пара, коаксиал, оптоволокно, ••беспроводная связь.

Региональные вычислительные сети (РВС) используют техно-логию глобальных сетей для объединения локальных сетей в кон-кретном регионе, например городе. Они имеют много общего с ЛВС, например, высокую скорость передачи и не очень высокий уровень ошибок в канале связи, но обладают возможностью передавать бо-лее широкий информационный спектр, не только данных и аудио, а также поддерживают видеообмен. Помимо этого, расстояния, на которые передается информация, намного больше.

Особенностью таких сетей является то, что они связывают между собой ЛВС нескольких предприятий и учреждений, что приводит к локализации трафика в отношении 80 к 20. Такое соотношение называют золотое сетевое сечение.

В качестве среды передачи в этом случае часто используют опто-волокно.

Особенности РВС:работают на скоростях передачи 100 Мбит/с, 1 Гбит/с, ••

10 Гбит/с;

ФГБО

У ВПО



У ВПО



28

обмен информацией между устройствами локализован по «зо-••лотому сетевому сечению»;

среда передачи данных — оптоволокно, спутниковая связь.••Глобальные  вычислительные  сети (ГВС) охватывают весь

земной шар, для этого используются дополнительные средства ком-муникаций — спутники, антенны т. д. Например, услуги Интернета доступны по всему миру. В качестве среды передачи данных часто используются телефонные линии, спутниковые системы и наземные микроволновые средства. Отличительной особенностью ГВС явля-ются невысокая скорость передачи и более высокий уровень ошибок передачи.

Персональные  вычислительные  сети (ПВС) позволяют уста-навливать беспроводные сетевые соединения с устройствами (напри-мер, PDA, сотовыми телефонами или переносными компьютерами), используемые внутри личного рабочего пространства POS (Personal Operating Space). Под личным рабочим пространством понимается пространство, окружающее пользователя, радиусом 10 м.

3.2. технология передачи данных

Система передачи данных (СПД) обеспечивает передачу данных между компьютерами в сети. Система передачи данных состоит из каналов, каналообразующей аппаратуры, коммутирующих элементов, например коммутаторов.

Каналы передачи данных — линии связи самой различной при-роды и каналообразующая аппаратура. Каналы соединяют два или более коммуникационных компьютера, либо коммутатора. Линиями связи могут служить такие среды, как витая пара, коаксиальный ка-бель, волоконно- оптический кабель, беспроводные радиочастотные каналы связи.

Каналообразующая аппаратура обеспечивает интерфейс между линией связи и оконечным устройством.

В настоящее время существует три общепризнанных критерия, по которому различают сети передачи данных: способ коммутации потоков данных, тип каналов и топология системы.

Помимо выделенных каналов связи, существуют два основных способа коммутации потоков данных — коммутацию каналов и ком-мутацию пакетов.

Коммутация  каналов — метод управления потоком данных в реальном времени, для которого от одного абонента к другому устанавливается канал связи, сохраняющийся все время передачи. Коммутация каналов ориентирована на передачу информации в виде потока двоичных данных с заданной скоростью. Мульти-плексирование в сети коммутации каналов может использовать частотное или временное уплотнение каналов, что неудобно для

ФГБО

У ВПО



У ВПО



29

конечного пользователя, который работает с каждым каналом ин-дивидуально.

К достоинствам такого вида коммутации относится то, что темп передачи данных определяется передатчиком, канал передачи соз-дается до начала передачи и фиксируется на все время передачи и сохраняет естественный порядок передаваемых данных. Накоплен большой опыт создания таких сетей и есть хорошо развитая инфра-структура (телефонные сети).

Недостатками коммутации каналов является неэффективное ис-пользование ресурсов, низкая надежность и ориентация на низкие скорости передачи и медленное установление соединения.

Коммутация  пакетов — способ управления передачей, при ко-тором пакеты (короткие блоки информации строго определенной структуры с заголовком и полем данных) передаются от одного узла к другому. Коммутация пакетов предназначена для информации, представленной в виде коротких сообщений, передаваемых с лю-быми приемлемыми скоростями. Особенно эффективен такой вид коммутации при передаче дейтаграмм — отдельных информационных блоков, не зависимых друг от друга.

Как достоинства коммутации пакетов следует отметить высокую скорость установления соединения (передатчик сразу начинает пере-дачу и не ждет физического установления соединения) и высокую производительность передачи за счет использования различных ви-дов мультиплексирования. К недостаткам относится необходимость дополнительных затрат на управление потоком пакетов и защиту от ошибок.

В общем случае, вне зависимости от способа коммутации, все каналы по типу можно разделить на два вида: каналы «точка— точка» и каналы с множественным доступом.

Каналы «точка—точка» соединяют между собой только два ком-пьютера. Все потоки данных, протекающие по каналу этого типа, доступны лишь этим двум машинам. Системы передачи данных с каналами «точка—точка» соединяют каждую пару компьютеров индивидуальным каналом. Прежде чем пакет достигнет адресата, он может пройти через несколько промежуточных звеньев. В этих сетях возникает потребность в маршрутизации пакетов. От ее эф-фективности зависит скорость доставка сообщений, распределение нагрузки в сети.

Каналы с множественным доступом образуют линию передачи данных, общую для нескольких компьютеров. Короткое сообщение, называемое пакетом, отправленное какой- либо машиной и имеющее специальную структуру, получают все другие машины, подключенные к этой линии. В определенном поле пакета указан адрес получателя. Каждая машина проверяет это поле. Если она обнаруживает в этом поле свой адрес, то она приступает к обработке пакета, в противном случае она просто игнорирует пакет.

ФГБО

У ВПО



У ВПО



30

Системы передачи данных с каналами с множественным досту-пом, как правило, имеют режим, когда один пакет адресуется всем машинам в сети. Это так называемый режим широкого вещания. Есть в таких сетях режим группового вещания, когда один и тот же пакет получают машины, принадлежащие к определенной группе в сети. СПД с каналами с множественным доступом разделяют на динами-ческие и статические, в соответствии с методом выделения канала:

статические — временное разделение (time-•• shearing) канала между компьютерами; канал простаивает, если нечего передавать;

динамические — централизованные и распределенные механиз-••мы выделения канала по требованию.

Системы СПД с каналами с множественным доступом, как пра-вило, используют на географически небольших территориях, СПД с каналами «точка—точка» — для построения крупных сетей, охва-тывающих большие регионы.

3.3. способ разделения ресурсов

По способу разделения ресурсов сетевые архитектуры бывают одноранговые и клиент- серверные (с выделенным сервером).

В одноранговых сетях все ПК могут предоставлять свои ресурсы в распоряжение всех остальных (серверы). Компьютеры, выступаю-щие как пользователи чужих ресурсов, называют клиентами. Все компьютеры равноправны и в сети отсутствует централизованное управление ресурсами. Работа в одноранговой сети дает возможность пользователю, например, предоставить свои файлы в распоряжение другим пользователям и обращаться к принтеру, подключенному к другому компьютеру. Каждый пользователь такой сети управляет доступом к своему собственному компьютеру, может установить тип доступа для других пользователей, определить, нужен ли пароль. Майкрософт называет такие сети ресурсо- ориентированными сетями или рабочими группами. Рабочая группа — небольшой коллектив, следовательно, в одноранговых сетях обычно не более 30 компьюте-ров. Одноранговые сети относительно просты. Поскольку каждый компьютер является одновременно и клиентом, и сервером, нет необ-ходимости в мощном центральном сервере или в других компонентах, обязательных для более сложных сетей. Одноранговые сети обычно дешевле клиент- серверных сетей, но требуют более мощных (и более дорогих) компьютеров. В одноранговой сети требования к произво-дительности и уровню защиты для сетевого ПО, как правило, ниже, чем в сетях с выделенным сервером. Типовые одноранговые сети из 25—30 компьютеров строятся под управлением ОС Windows XP или Windows 7.

Клиент- серверные сети работают в режиме выделенного сервера. В этом случае выделяется специальный компьютер- сервер, который

ФГБО

У ВПО



У ВПО



31

занимается только обслуживанием сетевых запросов. Сервер — цен-трализованное хранилище сетевых ресурсов и предназначен для цен-трализованного обеспечения безопасности и управления. В отличие от одноранговых, в клиент- серверных моделях обычно требуется один пароль для доступа к сетевым ресурсам. Такие сети называются пользователеориентированными. Примером этой сети служит кли-ент- серверное решение на основе Windows 2003 или Windows 7.

Подразделение ЛВС на клиент- серверные и одноранговые никак не связано с тем, какую топологию они поддерживают.

Различные способы организации сетей имеют свои достоинства и недостатки (табл. 3.1). Выбор сетевой архитектуры зависит от ряда обстоятельств.

Т а б л и ц а 3.1. сравнительный анализ сетевых архитектур

Достоинства Недостатки

Одноранговая архитектура

Легка в установке и настройкеНевысокая стоимость приобретения и эксплуатацииВыход из строя одного компьютера не влияет на работоспособность всей сетиПользователи контролируют все свои собственные ресурсыНе нужно дополнительного про-граммного обеспечения, кроме операционной системыНе нужен сетевой администраторХорошо подходит для 25—30 пользо-вателей

Отсутствует централизованная схема поиска и управления доступом к дан-нымПользователи должны помнить па-роль доступа к каждому ресурсуРезервное копирование проводится отдельно, на каждом компьютереПри подключении к разделяемому ресурсу происходит резкое падение производительностиСетевая безопасность применяется одновременно только к одному ре-сурсу.Отсутствуют средства масштабирова-ния сети

Клиент- серверная архитектура

Обеспечивает централизованное управление бюджетами пользовате-лей, безопасностью и доступом к ресурсамПользователи должны помнить толь-ко один пароль для доступаХорошо масштабируется, до миллио-на пользователейВысокая производительность сервера

Выход из строя сервера влияет на работоспособность всей сетиНужен сетевой администратор для сопровождения сложного специали-зированного ПОУвеличивается стоимость из- за вы-деленного оборудования и специали-зированного ПО

ФГБО

У ВПО



У ВПО



32

Использование одноранговой архитектуры оправданно, только если выполнены все следующие условия:

не более 30 сетевых пользователей в сети;••все компьютеры расположены близко друг к другу и их можно ••

объединить в одну локальную сеть, т. е. один сетевой сегмент;не нужны специализированные серверы (коммуникационные, ••

факсовые, приложений);требуется недорогое решение.••

Если организация предполагает провести расширение сети или предпочтение отдано использованию специализированных сетевых серверов, то необходима клиент- серверная архитектура. Отдавая предпочтение той или иной архитектуре, важно учитывать, какие аппаратные платформы они используют, на сколько рабочих мест они рассчитаны, с какими пользовательскими приложениями они совместимы, стоимость проекта и т. д.

3.4. топология сети

Большое значение для сети имеет топология, которая описывает физическое расположение программно- аппаратных компонентов (физическая топология) и методы для помещения, извлечения и перемещения данных в среде (логическая топология). Различают топологии: общая шина (bus); кольцо (ring); звезда (star); дерево (tree); сотовая (cellural) и полносвязная (mesh). Комбинация этих топологий дает гибридную топологию.

При выборе топологии необходимо учитывать множество факто-ров, таких, как расстояние, цена, вопросы безопасности, планируемая к использованию ОС, использование существующего оборудования и т. д. Большинство указанных топологий используют селективный отбор при приеме информации, когда в буфер приема станции за-качивается вся информация, которая проходит по каналу связи, затем лишнее сбрасывается. Такой подход позволил Р. Кларку, одному из идеологов локальных сетей, назвать их истинными сетями. К ним относятся топологии общая шина, дерево, звезда и кольцо.

Для топологий локальных сетей характерны следующие особен-ности:

широкое вещание;••селективный отбор, передаваемый по сети информации, осу-••

ществляемый каждым сетевым интерфейсом;единственный путь доставки информации между каждой парой ••

станций.Рассмотрим более подробно сетевые топологии. В системах с то-

пологией общая шина сетевые адаптеры подключены параллельно к единственному каналу связи — магистрали (рис. 3.1). Управление шиной может быть как централизованное, так и распределенное. При

ФГБО

У ВПО



У ВПО



33

централизованном управлении к шине подключается специальная станция- арбитр, которая регулирует право передачи информации в канал. При распределенном управлении все подключенные станции считаются равноправными и разделяют канал с помощью специаль-ной процедуры — метода множественного доступа.

Одной из самых известных сетей с общей шиной является Ethernet фирмы Xerox. В сети Ethernet устройства проверяют наличие сигнала в сетевом канале, т. е. прослушивают его. Если канал не использует никакое другое устройство, то устройство Ethernet передает данные. Каждая рабочая станция в этом сегменте ЛВС анализирует данные и определяет, предназначены ли они ей. Такая схема наиболее дей-ственна при небольшом числе пользователей или незначительном количестве передаваемых в сегменте сообщений. При увеличении числа пользователей сеть будет работать не столь эффективно.

Топология общая шина может использоваться при выделенных каналах связи между парами станций и при коммутации каналов. Например, в ЛВС Wangnet вся полоса пропускания коаксиального кабеля в 340 МГц разделена на четыре зоны пропускания; под вы-деленные каналы связи с 10 МГц до 22 МГц, коммутируемые каналы (48 … 84 МГц), видеоканалы (147 … 216 МГц) и для реализации слу-чайного множественного доступа (217…251 МГц).

Топология общая шина — быстрейший и простейший способ уста-новки маленькой или временной сети. Она требует меньше оборудо-вания, чем остальные сети и ее легче устанавливать и настраивать. Следует отметить уязвимость систем с топологией общая шина при неполадках в магистральном кабеле и трудность изоляции отдельных станций или других компонентов при неправильной работе.

Таким образом, достоинствами топологии являются следующие особенности: отказ одного из узлов не влияет на работу сети в целом; сеть легко настраивать и конфигурировать; сеть устойчива к неис-правностям отдельных узлов.

Недостатки этой топологии состоят в том, что в случае поврежде-ния кабеля сеть становится неработоспособной, существует ограниче-ние длины кабеля и количества рабочих станций, трудно определить дефекты соединений.

Для систем с топологией кольцо (рис. 3.2) характерно наличие однонаправленного замкнутого канала связи, который разрывается

Рис. 3.1. Топология общая шина

ФГБО

У ВПО



У ВПО



34

сетевыми устройствами доступа (интерфейсами). Посланное одним интерфейсом сообщение последовательно проходит по кольцу от одного узла к другому, пока не доберется до узла- получателя или не вернется к своему отправителю. В различных сетях удаление такого сообщения- кадра происходит на разных стадиях: кадр может уда-ляться своим отправителем либо получателем. В некоторых сетях вводят специальную станцию- монитор, которая отлавливает «за-блудившиеся» кадры, не нашедшие вовремя своих получателей или отправителей, и уничтожает их.

Классификация систем с топологией кольцо основывается на применении разных методов множественного доступа. При жезло-вом управлении от одного сетевого интерфейса к другому передается управляющий символ — жезл или маркер, который дает право на передачу кадра в канал. Все остальные станции могут лишь при-нимать сообщения. После завершения передачи жезл передается следующей на кольце станции и ей разрешается передача. Наиболее известны петли с жезловым (маркерным) управлением, с которой реализована сеть Token Ring фирмы IBM и волоконно- оптические сети FDDI (Fiber Distributed Data Interface).

Рассмотрим подробнее сеть Token Ring. Основной топологией Token Ring является однонаправленное замкнутое кольцо. Станции подключаются к кольцу с помощью специальных устройств на во-семь входов MSAU (Multiple Station Access Unit). В зависимости от модификации сети скорость передачи данных составляет 4 Мбит/с либо 16 Мбит/с. В качестве среды передачи применяются витые пары (экранированные STP и не экранированные UTP) и оптоволокно. В зависимости от типа используемого кабеля меняются физические раз-меры сети, но всего в кольце может функционировать до 33 MSAU.

Общая длина сегментов по кольцу между MSAU не может пре-высить 1 км для световодного кабеля, 120 м для UTP категории 3 и 200 м для STP. Количество станций зависит от типа кабеля и может достигать 72…260.

Распределенное жезловое управление на кольце осуществляется следующим образом. По кольцу циркулирует управляющий кадр — жезл (маркер) — строго заданного формата, который дает каждой

Рис. 3.2. Топология кольцо

ФГБО

У ВПО



У ВПО



35

станции право на передачу. Получив жезл, станция анализирует его, при необходимости модифицирует. Если у станции есть данные на передачу, жезл задерживается и вместо него посылается информаци-онный кадр или кадры. Если у станции нет данных на передачу, она посылает жезл дальше в кольцо для следующей станции.

Информационный кадр последовательно обходит кольцо от одной станции к другой, возвращается к станции-источнику и уни-чтожается. После этого станция-источник передает жезл дальше по кольцу.

Станция-приемник информационного кадра копирует его для себя и помечает соответствующим образом поле квитанции этого кадра. Затем информационный кадр с заполненным полем ответа передается далее по кольцу. В сетях Token Ring возможна адресация кадра данных не только одной станции, но и группе станций или использование широковещательной доставки.

Стация-источник, получив посланный кадр, анализирует поле квитанции. Если в поле квитанции нет пометок об удачной достав-ке, то в следующее владение жезла станция, как правило, не делает повторную попытку передачи, возлагая функции по исправлению ошибок на протоколы более высокого уровня связи. Тем не менее, по результатам анализа эта станция формирует специальный служебный кадр и оповещает управляющие станции о значении отрицательных квитанций в следующий интервал владения жезлом.

В сетях Token Ring каждая станция поддерживает механизмы защиты от ошибок и модификации кольца, на одну из станций воз-лагаются функции монитора. В поле управления доступом информа-ционного кадра присутствует специальный бит, с помощью которого монитор отлавливает и уничтожает кадры, циркулирующие по кольцу более 1 раза. При порождении информационного кадра станция-источник выставляет этот бит равным 0. Когда информационный кадр проходит через станцию-монитор, она помечает этот бит как 1. Когда через станцию-монитор снова проходит информационный кадр с 1 в данном бите, она определяет его как «заблудившийся» и уничтожает.

Распределенное управление сетью при жезловом доступе осущест-вляют пять функциональных станций, имеющих помимо адресов МАС еще и зарезервированные функциональные адреса. Станция, которой присвоен один из функциональных адресов, должна реаги-ровать на него так же, как на свой собственный аппаратный адрес. К этим станциям относятся два обязательных устройства (актив-ный и резервный мониторы) и три необязательных (сервер отчета о конфигурации, монитор отчета об ошибках и сервер параметров кольца).

Активный монитор является наиболее важной станцией для жезлового управления. Он порождает жезл при инициации кольца, обнаруживает потерю жезла и его генерацию после потери.

ФГБО

У ВПО



У ВПО



36

В задачу резервного монитора входит наблюдение за активным монитором, и если им за определенный тайм-аут обнаруживается потеря жезла, то пассивный монитор предполагает, что активный вышел из строя, и запускает процедуру опроса кольца.

Сервер отчета о конфигурации составляет протокол о событиях, произошедших в кольце. Монитор ошибок кольца собирает инфор-мацию об ошибках, которую посылают все остальные станции в про-цессе функционирования. Сервер параметров кольца устанавливает такие параметры каждой станции, как номер кольца, допустимый приоритет жезла, значение таймера владения жезлом и т. д.

К достоинствам сетей Token Ring относятся высокая пропускная способность; наличие встроенных средств управления как кольцом в целом, так и отдельными устройствами, что облегчает поиск неисправ-ностей; высокая отказоустойчивость и средства восстановления нор-мального функционирования после обнаружения неисправностей.

Недостатками являются значительная стоимость специального диагностического оборудования, сложность установки аппаратуры и дополнительные трудности, связанные масштабированием Token Ring с помощью специальных устройств, создающих звездообразную топологию из колец.

Дальнейшим развитием кольцевых сетей является FDDI — стан-дарт волоконно-оптического кабеля, разработанный комитетом X3T9.5 ANSI. Такая сеть работает со скоростью 100 Мбит/с и исполь-зует топологию двойного кольца. FDDI реализуется в сетях среднего масштаба и масштаба предприятия. Двойное кольцо обеспечивает избыточность и в случае разрыва кольца оно автоматически пере-конфигурируется и передача данных в сети может продолжаться до исправления повреждения.

Топология кольца имеет ряд недостатков: его трудно поддерживать и переконфигурировать в больших сетях. Кроме того, неполадки в кабеле фатальны для функционирования всей сети.

Таким образом, к достоинствам кольцевой топологии следует от-нести следующее:

отказ одного из узлов не влияет на работу сети в целом;••сеть легко настраивать и конфигурировать;••сеть устойчива к неисправностям отдельных узлов.••

Недостатком топологии является то, что в случае повреждения кабеля сеть становится неработоспособной, и кольцо трудно под-держивать и переконфигурировать в больших сетях.

Сети с топологией звезда  в качестве центрального узла имеют концентратор, который как бы тиражирует пришедшее по одной из линий связи сообщение и рассылает его всем остальным станциям сети. Таким образом, организуется широковещательная передача (рис. 3.3).

В качестве примера подобных сетей можно привести сеть Fast Ethernet на витой паре со скоростью передачи 100 Мбит/с. Концен-

ФГБО

У ВПО



У ВПО



37

тратор обеспечивает параллельное соединение рабочих станций. Та-ким образом, все компьютеры, подключенные к сети, могут общаться друг с другом. Данные от передающей станции сети передаются через хаб по всем линиям связи всем рабочим станциям. Информация поступает на все рабочие станции, но принимается только теми станциями, которым она предназначается.

Достоинства топологии звезда:прекрасное масштабирование, относительная простота расши-••

рения сети и ее реконфигурирования;независимость работоспособности всей сети от неполадок на ••

отдельной станции или фрагменте кабельной системы;возможность централизованного управления.••

К недостаткам данной топологии следует отнести необходимость большого количества кабеля, больше, чем при остальных топологиях; зависимость работоспособности сети от концентратора.

Системы с топологией дерево предназначены для масштаби-рования сетей на общей шине или в виде звезды. В случае общей шины для масштабирования используются повторители, для сетей топологии звезда — дополнительные концентраторы или хабы. В большинстве случаев при масштабировании имеются ограничения на количество объединяемых устройств .

Например, для любой пары станций в сетях Ethernet на общей шине действует правило 5-4-3, а для звездообразной Ethernet правило 5-4, где 5 — максимальное количество сетевых сегментов между лю-бой парой станций, 4 — количество повторителей или хабов, 3 — мак-симальное количество сегментов с подключенными компьютерами.

Сети с топологией  в  виде  сот определяют принципы беспро-водной связи для географических областей, разделенных на ячейки (соты). Каждая ячейка представляет собой часть общей области, вну-три которой функционируют конкретные соединения, связывающие устройства с центральной станцией. Центральные станции соединены в виде сетки. В этом случае при пересылке информации существует множество альтернативных маршрутов, что позволяет поддерживать отказоустойчивость сети, оптимизировать нагрузку при передаче и гарантировать минимальную задержку при доставке сообщений.

Рис. 3.3. Топология звезда

ФГБО

У ВПО



У ВПО



38

Полносвязная топология обеспечивает соединение точки к точке всех сетевых устройств между собой (рис. 3.4). Несмотря на то, что такая топология требует огромного количества кабеля и очень сложна в установке, полносвязные сети обладают повышенной устойчиво-стью к сбоям.

Следует отметить, что, хотя рассмотренные топологии обладают широким набором теоретических и практических преимуществ, определяющих их быстрое развитие, они не исчерпывают всего многообразия различных компьютерных сетей. Для описания этого многообразия служат гибридные  топологии, например, звезды на общей шине, звезды на кольце и т. д.

Топология сети в значительной мере определяет способы решения задачи организации совместного доступа к разделяемым линиям связи.

Для сетей с организацией совместного доступа к линиям связи ха-рактерно большое время на процедуры согласования доступа к линии связи и потеря производительности сети. Именно по этой причине разделяемые между сетевыми интерфейсами среды практически не используются в ГВС, а используются сотовая, полносвязная и сме-шанные топологии.

В локальных же сетях разделяемые среды используются доста-точно часто, благодаря простоте и экономичности их реализации (топологии общая шина — звезда, кольцо и дерево), а также высокой скорости передачи информации.

3.5. характеристики сетевых технологий

Назначением любой вычислительной сети является организация для пользователей доступа к разделяемым ресурсам всех компью-теров, объединенных в сеть. Качество выполнения этой основной задачи описывается с помощью таких характеристик, как произво-дительность, надежность, совместимость, управляемость, защищен-ность, расширяемость и масштабируемость.

Существует два подхода к обеспечению качества. Первый заклю-чается в том, что каждому пользователю гарантируется соблюдение некоторой числовой величины показателя качества обслуживания., например, задержку любого его пакета не более, чем на 150 мкс, или среднюю пропускную способность не менее 10 Мбит/с и т. д.

Рис. 3.4. Полносвязная топология

ФГБО

У ВПО



У ВПО



39

Второй подход основывается на приоритете пользователей. В этом случае гарантируется не качество обслуживания, а уровень привиле-гий пользователей. Такое обслуживание, например, построенное на коммутаторах с приоритезацией кадров, называется обслуживанием с наибольшим старанием (beseffort). При этом подходе сеть старает-ся по возможности более качественно обслужить пользователя, но никаких численных характеристик не гарантирует.

Более узко качество обслуживания QpS (Quality of Service) ком-пьютерной сети определяется только через две самые значимые характеристики — производительность и надежность.

Существует несколько основных показателей, описывающих про-изводительности сети. К ним относятся: время реакции, пропускная способность и задержка передачи и вариация задержки передачи.

Время реакции сети — интервал времени между возникновением запроса пользователя к какой- либо сетевой службе и получением ответа на этот запрос. Значение этого показателя зависит от типа службы или сервера, к которым обращается пользователь, а также от текущего состояния загруженности сегментов, коммутаторов и маршрутизаторов, через которые проходит запрос, загруженности сервера и т. п. Поэтому, как правило, используется средневзвешенная оценка времени реакции сети.

Время реакции сети обычно складывается из нескольких состав-ляющих: время подготовки запросов на клиентском компьютере, время передачи запросов между клиентом и сервером через сегмен-ты сети и промежуточное коммуникационное оборудование, время обработки запросов на сервере, время передачи ответов от сервера клиенту и время обработки получаемых от сервера ответов на кли-ентском компьютере. Знание сетевых составляющих времени реакции дает возможность оценить производительность отдельных элементов сети, выявить узкие места и в случае необходимости выполнить мо-дернизацию сети для повышения ее общей производительности.

Пропускная  способность — объем данных, переданных сетью или ее частью в единицу времени. Пропускная способность харак-теризует скорость выполнения внутренних операций сети, т. е. ско-рость передачи пакетов данных между узлами сети через различные коммуникационные устройства. Именно пропускная способность характеризует качество выполнения основной функции сети (транс-портировки сообщений) и поэтому чаще используется при анализе производительности сети, чем время реакции.

Пропускная способность измеряется либо в битах в секунду, либо в пакетах в секунду. Пропускная способность может быть мгновен-ной, максимальной и средней. Средняя пропускная способность вычисляется путем деления общего объема переданных данных на время их передачи, причем выбирается достаточно длительный про-межуток времени — час, день или неделя. Мгновенная пропускная способность отличается от средней тем, что для усреднения выбира-

ФГБО

У ВПО



У ВПО



40

ется очень маленький промежуток времени, например, 10 мс или 1 с. Максимальная пропускная способность — наибольшая мгновенная пропускная способность, зафиксированная в течение периода на-блюдения.

Пропускную способность можно измерять между любыми двумя узлами или точками сети, например, между клиентским компьютером и сервером, между входным и выходным портами маршрутизатора.

Для анализа и настройки сети очень важно знать данные о про-пускной способности отдельных элементов сети, так как общая пропускная способность сети любого составного пути в сети будет равна минимальной из пропускных способностей составляющих элементов маршрута.

Общая пропускная способность сети — среднее количество ин-формации, переданной между всеми узлами сети в единицу времени. Этот показатель характеризует качество сети в целом, не дифферен-цируя его по отдельным сегментам или устройствам.

Задержка передачи — задержка между моментом поступления пакета на вход какого- либо сетевого устройства или части сети и моментом появления его на выходе этого устройства. Этот пара-метр производительности близок к времени реакции сети, но всегда характеризует только сетевые этапы обработки данных, без задержек обработки компьютерами сети.

Обычно качество сети характеризуют значениями максимальной задержки передачи и вариацией задержки. Не все типы трафика чув-ствительны к обычным задержкам передачи в виде несколько сотен миллисекунд, но такие же задержки пакетов, переносящих голосовые данные или видеоизображение, могут приводить к значительному снижению качества предоставляемой пользователю информации.

Пропускная способность и задержки передачи являются независи-мыми параметрами, так что сеть может обладать, например высокой пропускной способностью, но вносить значительные задержки при передаче каждого пакета.

Надежность  (reliability) — способность системы корректно вы-полнять требуемые функции в установленных условиях и за установ-ленный временной интервал.

Существует несколько аспектов надежности. Например, согласно характеристикам качества по стандарту ИСО-9126 надежность изме-ряется с помощью таких показателей, как зрелость («обкатанность»), отказоустойчивость, способность восстанавливаться после сбоев. С другой стороны, для технических устройств используют такие по-казатели надежности, как среднее время наработки на отказ, вероят-ность отказа, интенсивность отказов.

Часто, говоря о надежности сетевых систем, используют показа-тель готовность или коэффициент готовности (availability) — доля времени, в течение которого система может быть использована. Готовность может быть улучшена за счет введения избыточности

ФГБО

У ВПО



У ВПО



41

в систему, такой подход называется резервированием. Например, в состав домена Windows 2003 может быть включено более, чем один контроллер домена, остальные контроллеры при отказе одного из них обеспечивают дальнейшее функционирование системы.

Другой характеристикой надежности является вероятность до-ставки пакета узлу назначения без искажений. Наряду с этой харак-теристикой могут использоваться и другие показатели: вероятность потери пакета, вероятность искажения отдельного бита передаваемых данных, отношение потерянных пакетов к доставленным. Помимо того необходимо обеспечить сохранность данных и защиту от иска-жений. Кроме этого, должна поддерживаться согласованность (не-противоречивость) данных, например, если для повышения надеж-ности на нескольких файловых серверах хранится несколько копий данных, то нужно постоянно обеспечивать их идентичность.

Еще одной характеристикой надежности является отказоустойчи-вость (faulttolerance) — способность системы скрыть от пользователя отказ отдельных ее элементов. Например, если копии таблицы базы данных хранятся одновременно на нескольких файловых серверах, то пользователи могут просто не заметить отказ одного из них. В отказоустойчивой системе отказ одного из ее элементов приво-дит к некоторому снижению качества ее работы (деградации), а не к полному останову.

Не следует путать надежность сети с ее безопасностью, это разные понятия.

Безопасность (security) системы определяется отсутствием недо-пустимого риска, связанного с деятельностью человека, как умыш-ленной (взлом, атака), так и неумышленной (неумелый пользователь). Поскольку любая вычислительная сеть предназначена для передачи, обработки и хранения информации, то безопасность информации обеспечивается как при передаче, при обработке, так и при хране-нии. При этом обеспечивается целостность, конфиденциальность и доступность информации.

Целостность информации означает, что в сети информация защи-щается от несанкционированного изменения; конфиденциальность — от несанкционированного просмотра; доступность — пользователь не может быть лишен доступа к своей собственной информации.

Другим аспектом безопасности является безопасность использо-вания. В этом случае пользователю предоставляются гарантии того, что информация не может нанести вред ни среде, в которой она на-ходится, ни субъекту, который ее использует.

Расширяемость  (extensibility)сети — возможность сравнитель-но легкого добавления отдельных элементов сети (пользователей, компьютеров, приложений, служб), наращивания длины сегментов сети и замены существующей аппаратуры более мощной. При этом важно, что легкость расширения системы обеспечивается в четко установленных пределах.

ФГБО

У ВПО



У ВПО



42

Например, локальная сеть Ethernet, построенная на основе одного сегмента толстого коаксиального кабеля, обладает хорошей расширя-емостью, в том смысле, что позволяет легко подключать новые стан-ции. Однако такая сеть имеет ограничение на число станций — их число не должно превышать 30—40. Хотя сеть допускает физическое подключение к сегменту и большего числа станций (до 100), но при этом чаще всего резко снижается производительность сети. Наличие такого ограничения и является признаком плохой масштабируемости системы при хорошей расширяемости.

Масштабируемость (scalability) — сеть позволяет наращивать количество узлов и протяженность связей в очень широких пределах, при этом производительность сети не ухудшается. Для обеспечения масштабируемости сети приходится применять дополнительное коммуникационное оборудование и специальным образом структу-рировать сеть. Например, хорошей масштабируемостью обладает сеть с большим количеством сегментов, построенная с использованием коммутаторов и маршрутизаторов и имеющая иерархическую струк-туру связей. Такая сеть может включать десятки тысяч компьютеров и при этом обеспечивать каждому пользователю сети нужное качество обслуживания.

Другим примером является клиент- серверная сеть под управ-лением операционной системы Windows 2003, в которой средство управления Active Directory может интегрировать несколько мил-лионов ресурсов.

Прозрачность (transparency) — свойство сети скрывать от поль-зователя детали своего внутреннего устройства, упрощая тем самым его работу в сети. Это означает, что для пользователя маскируется (делается прозрачным) взаимодействие различных программных и аппаратных сетевых компонентов и сложная сетевая система представляется как единая традиционная вычислительная машина с системой разделения времени.

Прозрачность достигается на двух различных уровнях — на уровне пользователя и на уровне программиста. На уровне пользователя прозрачность означает, что для работы с удаленными ресурсами он использует те же команды и процедуры, что и для работы с локальны-ми ресурсами, т. е. она создается приложением. На уровне програм-миста прозрачность заключается в том, что приложению для доступа к удаленным ресурсам требуются те же вызовы, что и для доступа к локальным ресурсам, т. е. обеспечивается средствами сетевой ОС.

Требование прозрачности может быть применено к различным аспектам функционирования сети. Например, прозрачность рас-положения означает, что от пользователя не требуется знаний о ме-сте расположения программных и аппаратных ресурсов, таких как процессоры, принтеры, файлы и базы данных, т. е. имя ресурса не должно включать информацию о месте его расположения. Аналогич-но прозрачность миграции означает, что ресурсы должны свободно

ФГБО

У ВПО



У ВПО



43

перемещаться из одного компьютера в другой без изменения своих имен. В настоящее время нельзя сказать, что свойство прозрачности в полной мере присуще многим вычислительным сетям, это скорее цель, к которой нужно стремиться при разработке.

Изначально, вычислительные сети предназначались для со-вместного доступа пользователей к ресурсам компьютеров: файлам, принтерам и т. п. Трафик, создаваемый этими традиционными сете-выми службами, имеет свои особенности и существенно отличается от трафика сообщений в телефонных сетях или в сетях кабельного телевидения. Однако в 1990-е годы в вычислительных сетях появился трафик мультимедийных данных, представляющий в цифровой форме речь и видеоизображение. Компьютерные сети стали использоваться для организации видеоконференций, обучения и развлечения на основе видеофильмов и т. п. Естественно, что для динамической передачи мультимедийного трафика требуются иные алгоритмы и протоколы и, соответственно, другое оборудование.

Под сетевым трафиком понимают объем информации, переда-ваемой через компьютерную сеть за определенный период времени. Трафик измеряется в пакетах, в байтах, килобайтах, мегабайтах, со-отнесенных в секунду.

Для трафика, образующегося при динамической передаче голоса или изображения, необходимо наличие жестких требований к син-хронности передаваемых сообщений. При запаздывании сообщений будут наблюдаться искажения. В то же время для трафика числовых данных характерна неравномерная интенсивность поступления со-общений в сеть, при этом жесткие требования к синхронности до-ставки этих сообщений отсутствуют. Все алгоритмы сетевой связи, соответствующие протоколы и коммуникационное оборудование рассчитаны именно на такой «пульсирующий» характер трафика, поэтому необходимость передавать мультимедийный трафик требует внесения принципиальных изменений как в протоколы, так и обо-рудование.

Особую сложность представляет совмещение в одной сети тра-диционного компьютерного и мультимедийного трафика. Передача исключительно мультимедийного трафика компьютерной сетью хотя и связана с определенными сложностями, но вызывает меньшие трудности. Однако сосуществование двух типов трафика с противопо-ложными требованиями к качеству обслуживания является намного более сложной задачей. Современные сетевые технологии ориен-тированы на перенос как компьютерного, так и мультимедийного трафика в одной сети.

Управляемость сети — возможность централизованно контро-лировать состояние основных элементов сети, выявлять и разре-шать проблемы, возникающие при работе сети, выполнять анализ производительности и планировать развитие сети. Средства управ-ления сетями представляют собой систему, которая обеспечивает

ФГБО

У ВПО



У ВПО



44

наблюдение, контроль и управление каждым элементом сети — от простейших до самых сложных устройств, при этом такая система рассматривает сеть как единое целое, а не как разрозненный набор отдельных устройств.

В соответствии с современным подходом система наблюдает за сетью и накапливает данные об инцидентах в сети, активизируя определенное действие, исправляя ситуацию и уведомляя админи-стратора о том, что произошло и какие шаги предприняты. Когда статистика об инцидентах свидетельствует, что возникла проблема, то разрешение этой проблемы требует уже вмешательства админи-стратора. Такого рода проблемы могут быть связаны с производи-тельностью, конфигурированием сети, обработкой сбоев и безопас-ности данных и для разрешения требуют стратегический подход, т. е. планирование сети. Планирование, кроме этого, включает прогноз изменений требований пользователей к сети, вопросы применения новых приложений, новых сетевых технологий и т. д. Наконец, си-стема управления должна быть независима от производителя и об-ладать удобным интерфейсом, позволяющим выполнять все действия с одной консоли. Важной особенностью является обозримость управ-ления, когда миллионы управляемых ресурсов организованы в виде иерархии и администратор системы имеет возможность управлять уровнем детализации.

Необходимость использования системы управления особенно ярко проявляется в больших сетях: корпоративных или публичных глобальных. Без системы управления в таких сетях необходимо присутствие квалифицированных специалистов по эксплуатации в каждом здании каждого города, где установлено оборудование сети, что в итоге приводит резкому увеличению совокупной стоимости владения.

Совместимость — способность включать в себя большое количе-ство разнообразного программного и аппаратного обеспечения, т. е. в ней совместно функционируют различные операционные системы, поддерживающие разные стеки протоколов, и работают аппаратные средства и приложения от разных производителей. Сеть, состоящая из разнотипных элементов, называется неоднородной или гетероген-ной, а если гетерогенная сеть работает без проблем, то она является интегрированной. Основной путь построения интегрированных сетей — использование модулей, выполненных в соответствии с от-крытыми стандартами и спецификациями.


Дайте определение вычислительной сети. По каким признакам обычно 1. классифицируют вычислительные сети?Что понимают под термином «локальные вычислительные сети»?2.

ФГБО

У ВПО



У ВПО



Какие среды используются в ЛВС? Какие ЛВС называют «истинными»?3. Какие топологии свойственны широковещательным ЛВС?4. Что понимают под термином «региональные вычислительные сети»?5. Что понимается под термином «глобальные вычислительные сети»?6. Какие технологии передачи данных вы можете назвать? Что между ними 7. общее, чем они отличаются?Каким образом классифицируются сети по способу разделения ресурсов? 8. Перечислите достоинства и недостатки каждого вида сетей.Назовите основные характеристики сети. Как описывается производи-9. тельность сети?Что такое надежность сети? В чем ее отличие от безопасности?10. Что общего и в чем отличие между расширяемостью и масштабируемо-11. стью? Что понимают под управляемостью сети?

ФГБО

У ВПО



У ВПО



46

Гл а в а 4

распределенная ОбрабОтКа данных

4.1. Основные понятия распределенной обработки данных

Распределенная обработка данных (РОД) — методика выполнения прикладных программ группой систем, при которой пользователь получает возможность работать с сетевыми службами и прикладны-ми процессами, расположенными в нескольких взаимосвязанных ЭВМ. Распределенная обработка подразумевает тот или иной вид организации сети связи и децентрализацию трех категорий ресурсов: аппаратных вычислительных средств и собственно вычислительной мощности, баз данных, управление системой.

Под распределенной обработкой данных понимается такой способ хранения и обработки данных, когда отдельное приложение может обрабатывать данные, распределенные на множестве различных баз данных, управление которыми осуществляют различными системами управления базами данных (СУБД), работать на разных машинах с различными ОС. Распределенная база данных (РБД) — виртуаль-ный объект, части которого расположены на удаленных базах данных, связанных коммуникационной сетью, для которой выполняются следующие правила:

каждый узел обладает своими собственными системами баз 1) данных;

узлы работают согласованно, пользователь может получить 2) доступ к данным на любом узле сети, как будто все данные находят-ся на собственном узле;

каждый узел обладает своими собственными базами данных, 3) собственными локальными пользователями, собственной СУБД и ПО для управления транзакциями, а также собственным диспет-чером передачи данных.

Распределенная СУБД может рассматриваться как некий способ совместной работы отдельных локальных СУБД, расположенных на разных локальных узлах. Причем новый компонент ПО на каждом узле поддерживает все необходимые функции совместной работы. Комбинация этого компонента и существующей СУБД называется распределенной системой управления базами данных (РСУБД). Таким образом, в основе РОД лежит вычислительная сеть, которая

ФГБО

У ВПО



У ВПО



47

обеспечивает совместное функционирование приложений, ориенти-рованных на обработку данных.

4.2. распределенные системы обработки данных

Распределенная система обработки данных (РСОД) — любая си-стема, позволяющая организовать взаимодействие независимых, но связанных между собой ЭВМ. Системы РСОД предназначены для автоматизации таких объектов, которые характеризуются террито-риальной распределенностью пунктов возникновения и потребления информации. Классификация РСОД представлена на рис. 4.1.

По степени однородности различают полностью неоднородные, частично неоднородные и однородные РСОД. Полностью неодно-родные РСОД характеризуются тем, что в них объединены ЭВМ, построенные на основе различных архитектур и функционирующие под управлением разных ОС. Как правило, РСОД этого типа в ка-честве коммуникационной службы используют ГВС, базирующиеся на протоколах Х.25, Frame Relay, ATM или интернет- технологиях. Частично неоднородные РСОД строят на базе однотипных ЭВМ, работающих под управлением различных ОС, либо они включают в себя компьютеры разных типов, работающие под управлением одной ОС. Например, в гетерогенной сети персональные компью-теры управляются различными ОС: MS DOS, OS/2, Windows 2000, Windows 2003, UNIX. Однородные распределенные системы строят

Рис. 4.1. Классификация РСОД

ФГБО

У ВПО



У ВПО



48

на однотипных вычислительных средствах, оснащенных одинако-выми ОС. Примерами таких систем могут служить RISK- системы, транспьютерные сети, другие многопроцессорные системы.

Архитектурные особенности распределенных систем обработки данных позволяют выделить РСОД на основе систем телеобработки и на основе сетевой технологии. Сетевая технология — такая форма взаимодействия ЭВМ, при которой любой из процессов одной из машин по своей инициативе может установить логическую связь с любым процессом в любой другой ЭВМ. В отличие от таких систем РСОД на основе систем телеобработки не обеспечивают полного, симметричного и независимого взаимодействия процессов.

По способу разделения ресурсов различают одноранговые (ресур-со- ориентированные) и клиент- серверные системы. В одноранговых системах управление ресурсами распределено, т. е. все персональные компьютеры могут предоставлять свои ресурсы в распоряжение всех остальных. В отличие от них, в клиент- серверных, т. е. с выделенным сервером (пользователь- ориентированные), системах управление ресурсами централизовано — в сети выделяется специальный ком-пьютер- сервер, который занимается только обслуживанием сетевых запросов от других компьютеров- клиентов.

В настоящее время появились новые виды распределенных си-стем, которые являются развитием систем телеобработки и клиент-

серверной архитектуры. К ним относятся:распределенные вычисления (грид-•• системы);центры обработки данных (ЦОД);••облачные вычисления;••виртуализация.••

4.3. распределенные вычисления, или грид-

системы

Грид- система — система, которая в условиях отсутствия центра-лизованного управления координирует использование вычислитель-ных ресурсов, опирается на стандартные, открытые, универсальные протоколы и интерфейсы, использует входящие в ее состав ресурсы таким образом, чтобы обеспечивалось высокое качество обслужи-вания.

Система координации использования вычислительных ресурсов должна обеспечивать выполнение следующих функций:

мониторинг, т. е. контроль состояния ресурсов и вычислений, ••прогноз изменения состояния системы;

управление ресурсами, т. е. включение/исключение ресурсов ••в грид- системы, предоставление доступа к ресурсам, выделение ре-сурсов заданиям, поддержание работоспособности ресурсов;

ФГБО

У ВПО



У ВПО



49

управление заданиями, т. е. планирование заданий, назначение ••заданий на выделенные ресурсы, управление заданиями в процессе их выполнения.

Грид- система предназначена для проведения научно- технических исследований и инновационных разработок через образование вирту-альных лабораторий в различных прикладных областях. Ее участники получат возможность удаленного выполнения высокопроизводитель-ных расчетов и обработки данных на географически распределенных ресурсах — от уникальных суперкомпьютеров до средних и малых суперкомпьютерных кластеров и отдельных серверов.

Наиболее характерными свойствами такой грид- системы явля-ются:

масштабы вычислительного ресурса (объем памяти, количество ••процессоров), которые многократно превосходят ресурсы отдельно-го компьютера или одного вычислительного комплекса;

гетерогенность среды; в ее состав могут входить компьютеры ••разной мощности, работающие под управлением различных ОС и собранные на разной элементной базе;

пространственное (географическое) распределение информа-••ционно- вычислительного ресурса;

объединение ресурсов, которые не могут управляться центра-••лизованно (в случае, если они не принадлежат одной организа-ции);

использование стандартных, открытых, общедоступных про-••токолов и интерфейсов;

обеспечение информационной безопасности.••По назначению в грид- системах принято выделять вычислитель-

ные системы (computational GRID) и системы, ориентированные на хранение больших массивов информации (data GRID). К приклад-ным задачам, которые могут использовать грид- системы, в частности, относятся: сложное моделирование и совместная визуализация очень больших наборов научных данных; распределенная обработка для анализа данных; связывание научного инструментария с удаленными компьютерами и архивами данных; «высокопоточные» вычисления, позволяющие организовать эффективное использование ресурсов для небольших задач, утилизируя временно простаивающие компью-терные ресурсы; проведение крупных разовых расчетов; вычисления с привлечением больших объемов распределенных данных, напри-мер, в метеорологии, астрономии, физике высоких энергий; а также коллективные вычисления (одновременная работа нескольких взаи-модействующих задач разных пользователей).

В настоящее время в рамках проекта «Развитие суперкомпьютеров и грид- технологий» Комиссией при Президенте Российской Феде-рации по модернизации и технологическому развитию экономики России создается национальная инфраструктура грид- сети для вы-сокопроизводительных вычислений.

ФГБО

У ВПО



У ВПО



50

4.4. Центры обработки данных

Центр обработки данных или дата- центр — вычислительная инфраструктура, т. е. набор взаимосвязанных программных и аппа-ратных компонентов, организационных процедур, мест размещения и персонала, предназначенная для безопасной централизованной обработки, хранения и предоставления данных, сервисов, прило-жений и обеспечивающая высокую степень виртуализации своих ресурсов.

К основным задачам ЦОД в первую очередь относятся эффек-тивное консолидированное хранение и обработка данных, предо-ставление пользователям прикладных сервисов, а также поддержка функционирования корпоративных приложений. В частности, со-временные ЦОД ориентированы прежде всего на предоставление услуг в виде информационных сервисов. Для хранения и обработки большого количества информации используются специализирован-ные технические решения, мощные серверы, дисковые хранилища. Создавать и обслуживать такие технические системы самостоятельно достаточно сложно и дорого, так как содержание серверов требует специальных технических условий, отдельных помещений и квали-фицированного персонала.

ЦОД специализируются на размещении специализированных компьютерных устройств, предназначенных для хранения, обработки информации, а также на предоставлении клиентам каналов связи для доступа в Интернет или передачи данных. Их главная задача со-стоит в создании защищенного надежного пространства с благопри-ятными для работы климатическими условиями, гарантированному электропитанию, благодаря которому компания- арендатор может всегда получить доступ к своим данным, закрытым для посторонних пользователей.

Преимущество дата- центра в том, что человек или компания мо-жет из любой точки планеты, используя любое устройство доступа в сеть, работать с необходимой и достаточной вычислительной мощ-ностью, требуемым объемом памяти, всем необходимым ПО, которое будет работать и храниться на серверах в дата- центре. Традиционные услуги в дата- центрах: аренда стойки, размещение серверов, под-ключение к Интернету, аренда каналов связи, установка, настройка ПО, администрирование. В настоящее время к ним добавились предоставление в аренду вычислительных мощностей, виртуальных серверов, дискового пространства для резервного копирования дан-ных, аренды приложений.

Первыми стали использовать в своей работе ЦОД крупные зарубежные компании. За ними последовали и российские пред-приниматели. В РФ в 2000 — 2001 гг. появились первые обладатели ЦОД. Пионером выступил Сбербанк России, так как именно он является наиболее территориально- распределенной организацией.

ФГБО

У ВПО



У ВПО



51

В дальнейшем собственными ЦОД обзавелись и крупные нефтяные компании.

К основным компонентам ЦОД относятся:вычислительный комплекс;••система хранения данных;••сеть передачи данных;••инженерное обеспечение;••система управления и эксплуатации.••

Сетевая инфраструктура ЦОД — высоконадежная интеллектуаль-ная система, объединяющая IP сеть и сеть хранения данных, а также включающая решения по обеспечению защиты информации в сети, управлению сетью, по балансировке нагрузки и оптимизации работы прикладных систем, сервисов и приложений. Повышенные требова-ния к надежности предъявляются к сетевой инфраструктуре ЦОД, благодаря которой происходит доступ пользователей к ресурсам ЦОД, репликация данных, управление и любой информационный обмен.

Для построения сетевой инфраструктуры ЦОД используют сле-дующие классы оборудования:

каналообразующее оборудование, т. е. мультиплексоры CWDM ••и DWDM, транспондеры, конверторы и т. д.;

высокопроизводительное и высоконадежное оборудование ком-••мутации Ethernet с функционалом маршрутизации и распределения нагрузки;

коммутационное оборудование стандарта Fibre Channel;••программные комплексы централизованного мониторинга ••

и управления сетью как единая точка управления всей сетевой ин-фраструктурой ЦОД посредством графического интерфейса и рас-ширенных средств визуализации наблюдаемых параметров.

По типу построения ЦОД обычно выделяют несколько видов. Классический ЦОД реализуется в специально подготовленных по-мещениях со стационарным централизованным размещением ком-пьютерного и телекоммуникационного оборудования. Мобильный ЦОД создается на базе перевозимых контейнеров, готовых к экс-плуатации практически сразу после доставки на место использования. Модульный ЦОД, как и классический, размещается в специально вы-деленном здании, но в отличие от стационарных классических ЦОД внутри помещений разворачиваются модули, обеспечивающие работу вычислительных средств, необходимое инженерное обеспечение, при этом к зданию не предъявляются особые требования.

4.5. Облачные вычисления

Облачные вычисления (cloud computing) — модель распределен-ных вычислений, основанная на динамически масштабируемых (scalable) и виртуализованных (virtual) ресурсах (данных, приложени-

ФГБО

У ВПО



У ВПО



52

ях, ОС и др.), которые доступны и используются как сервисы через Интернет и реализуются с помощью мощных ЦОД. При облачных вычислениях компьютерные ресурсы и мощности предоставляются пользователю как интернет- сервис, а термин «облако» используется как метафора, основанная на изображении Интернета на диаграмме компьютерной сети.

Согласно IEEE «Облачная обработка данных — это парадигма, в рамках которой информация постоянно хранится на серверах в Интернете и временно кэшируется на клиентской стороне (на персональных компьютерах, игровых приставках, ноутбуках, смарт-фонах и т. д.)».

Облачные вычисления — одна из самых молодых концепций по-строения распределенных вычислительных систем. Исследования в области облачных вычислений вносят огромный вклад в развитие критических технологий и ПО распределенных и высокопроизво-дительных вычислительных систем. Актуальность проведения иссле-дований и разработок в этой области настолько высока, что в 2012 г. Госкорпорация «Роснано» инвестировала 25 млн долл. в компанию Aquantia, ведущего производителя решений для передачи данных High Speed Ethernet для облачных вычислений и дата- центров.

В настоящее время основными поставщиками сервисов для конеч-ного потребителя на территории России являются Microsoft, Google, Amazon. Такой подход ставит много вопросов в отношении обеспече-ния экономической безопасности нашей страны. Более рациональ-ным является организация корпоративных облаков, в том числе и для национальных исследовательских университетов, на основе свободно распространяемого открытого ПО, например Vmware.

Технологии облачных вычислений являются одним из основных направлений развития в области современных информационных технологий. Производительность вычислительного потока в со-временных процессорах выходит на свой технологический предел, и дальнейший рост вычислительной мощности происходит уже с уве-личением числа процессорных ядер. В то же время ПО не успевает за растущим аппаратным параллелизмом вычислительных систем. Таким образом, возникает серьезная опасность того, что доступные вычислительные возможности окажутся незадействованными. Об-лачные вычисления как одно из средств совместного использования вычислительных ресурсов позволяют эффективно решить эту про-блему.

В настоящее время подход к построению облачных вычислений базируется на трех категориях услуг:

инфраструктура как сервис (Infrastructure as a Service — IaaS);1) платформа как сервис (Platform as a Service — PaaS);2) ПО как сервис (Software as a Service — SaaS).3)

В рамках первой категории пользователю «облака» доступны вир-туальные элементы вычислительной инфраструктуры, где он может

ФГБО

У ВПО



У ВПО



53

разворачивать образы виртуальных систем с пакетами приложений. В рамках второй категории пользователю доступен программный стек, где он может разрабатывать и внедрять свои приложения. В рамках третьей категории пользователю доступно только конечное приложение, на котором он может решать свои задачи.

Промежуточное ПО, управляющее «облаком», может работать с разными технологиями виртуализации. Виртуализация непосред-ственно затрагивает инфраструктуру как сервис и платформу как сервис. Именно виртуализация является той технологической про-слойкой, которая обеспечивает совместное, прозрачное и безопасное использование общих аппаратных ресурсов при построении облач-ных вычислений.

Рассмотрим более подробно, какие же решения «как сервис» (as a Service) могут предложить платформы облачных вычислений. Разбивая решения на три категории (инфраструктура, платформы, приложения), можно выделить следующие сервисы Cloud Computing (СС- сервисы):

хранение данных (Storage);••системы управления базами данных (Database);••хранение и поиск информации (Information);••управление процессами (Processes);••прикладные программы и ПО (Application);••аутсорсинг платформы (Platform);••интеграция сервисов и приложений (Integration);••системы сетевой безопасности (Security);••менеджмент и оперативное управление (Management/Gover-••

nance);системы тестирования ПО и приложений (Testing);••инфраструктура (Infrastructure).••

Хранение как сервис (Storage- as- a- Service) — самый простой из СС- сервисов, представляющий собой дисковое пространство по требованию, который позволит сохранять данные во внешнем хра-нилище в «облаке». Для пользователя оно будет выглядеть как до-полнительный логический диск или папка. Сервис является базовым для остальных СС- сервисов, поскольку входит в состав практически каждого из них.

База данных как сервис (Database- as- a- Service) предоставляет возможность работать с базами данных, как если бы СУБД была установлена на локальном ресурсе.

Информация как сервис (Information- as- a- Service) дает воз-можность удаленно использовать любые виды информации (курсы акций, инсайдерская и отраслевая информация для технического и фундаментального анализа фондового рынка, новостные ленты телеграфных агентств и т. д.), которая может меняться ежеминутно или даже ежесекундно, а также предоставляет доступ к архивам нуж-ной информации.

ФГБО

У ВПО



У ВПО



54

Управление процессом как сервис (Process- as- a- Service) пред-ставляет собой удаленный ресурс, который может связать воедино несколько ресурсов, таких как услуги или данные, содержащиеся в пределах одного «облака» или других доступных «облаков», для создания единого бизнес- процесса. В данном случае бизнес- процесс предстает в виде метаприложения, интегрирующего базовые услуги и информацию в определенную последовательность, формирующую процесс.

Приложение как сервис (Application- as- a- Service) или ПО как сервис (Software- as- a- Service) — любое приложение, которое поль-зователь может запускать через Интернет (Google Docs, Google Calendar и т. д.).

Платформа как сервис (Platform- as- a- Service) обеспечивает полную программную платформу, включая разработку приложений, разработку интерфейсов, разработку баз данных, хранение и тести-рование, предоставляется как «облачный» сервис.

Интеграция ПО как сервис (Integration- as- a- Service) дает воз-можность получать из «облака» полный интеграционный пакет, включая программные интерфейсы между приложениями, управ-ление алгоритмом и дизайн интегрированного пакета. Сюда входят известные услуги и функции пакетов централизации, оптимизации и интеграции корпоративных приложений, но предоставляемые как «облачный» сервис.

Безопасность как сервис (Security- as- a- Service) обеспечивает на-бор сервисов по организации безопасного доступа к корпоративной информации, включая идентификацию пользователя, распознавание прав доступа и т. д., предоставляющийся не через корпоративный сервер, а из «облака».

Администрирование и управление как сервис (Management/Governace- as- a- Service) позволяет управлять и задавать параметры ра-боты одного или многих «облачных» сервисов. Это в основном такие параметры, как топология, использование ресурсов, виртуализация, временные параметры работы сервисов.

Тестирование как сервис (Testing- as- a- Service) предоставляет воз-можность тестирования локальных или «облачных» систем с исполь-зованием тестового ПО из «облака». При этом можно тестиро вать системы из того же «облака», что и тестовое ПО, а также приложение из других «облаков», веб- сайты и внутренние системы предприятий, при этом никакого оборудования или ПО на предприятии не тре-буется.

Инфраструктура как сервис (Infrastructure- as- a- Service) обеспе-чивает возможность удаленного доступа к компьютерным ресурсам. При этом можно использовать программное и аппаратное обеспе чение удаленного сервера, как угодно: создавать на нем любые системы, хра- нить любую информацию, в том числе конфиденциальную, что по-зволяет обеспечить более высокий уровень защиты данных.

ФГБО

У ВПО



У ВПО



55

Из этих типовых сервисов строятся категории. Например, «плат-форма как сервис» может включать такие СС- сервисы, как хране-ние данных, управление базами данных, управление процессами, безопасность и тестирование.

4.6. виртуализация

Виртуализация — абстракция вычислительных ресурсов и предо-ставление пользователю системы, которая «инкапсулирует» (скры-вает в себе) собственную реализацию. Таким образом, пользова-тель работает с удобным для себя представлением объекта, и для него не имеет значения, как объект устроен в действительности. Виртуализацию можно рассматривать как одно из средств органи-зации доступа к аппаратным вычислительным ресурсам в рамках облачных вычислений. В этом случае предоставляется безопасный конкурентный доступ к вычислительным ресурсам, который наи-более подходит для научных приложений и позволяет эффективно использовать доступные ресурсы организаций, обеспечивая не только виртуализацию оборудования, но и прямой доступ к обо-рудованию.

Виртуализация обеспечивает консолидацию вычислительных ресурсов, безопасность и управляемость. Консолидация вычисли-тельных ресурсов как следствие виртуализации позволяет собрать на общей аппаратной платформе различные сервисы, которые в других случаях пришлось бы разносить по разным физическим вы-числительным машинам. Например, публичные и закрытые сетевые службы по соображениям безопасности должны работать на разных системах, независимо от нагрузки. Другой пример — приложения могут предъявлять разные, даже несовместимые требования к ОС. С точки зрения обеспечения безопасности изоляция приложений в рамках разных виртуальных серверов может значительно снизить уязвимость проекта. С точки зрения обеспечения управляемости ис-пользование виртуализации предоставляет администратору полный дистанционный доступ к гостевым системам, включая инсталляцию, остановку и пуск, что может быть особенно полезно для поддержки удаленных филиалов.

В настоящее время нет единого соглашения о терминах в сфере виртуализации. Возможная классификация по двум видам виртуа-лизации: виртуализация платформ и виртуализация ресурсов пред-ставлена на рис. 4.2.

Под виртуализацией платформ понимают создание программных систем на основе существующих аппаратно- программных комплек-сов, зависящих или не зависящих от них. Система, предоставляющая аппаратные ресурсы и ПО, называется хостовой (host), а симулируе-мые ей системы — гостевыми (guest). Виды виртуализации платформ

ФГБО

У ВПО



У ВПО



56

зависят от того, насколько полно осуществляется симуляция аппа-ратного обеспечения.

При полной эмуляции (симуляции) виртуальная машина делает полностью виртуальным все аппаратное обеспечение при сохранении гостевой ОС в неизменном виде. Такой подход позволяет эмулировать различные аппаратные архитектуры. Например, можно запускать виртуальные машины с гостевыми системами для x86-процессоров на платформах с другой архитектурой (например, на RISC- серверах компании Sun). Основной недостаток данного подхода заключается в том, что эмулируемое аппаратное обеспечение существенно за-медляет быстродействие гостевой системы. Примеры продуктов для создания эмуляторов: Bochs, PearPC, QEMU (без ускорения), Hercules Emulator.

В случае частичной эмуляции (нативной виртуализации) вирту-альная машина виртуализирует лишь необходимое количество аппа-ратного обеспечения, чтобы она могла быть запущена изолированно. Такой подход позволяет запускать гостевые ОС, разработанные только для той же архитектуры, что и у хоста. Таким образом, несколько эк-земпляров гостевых систем могут быть запущены одновременно. Этот вид виртуализации позволяет существенно увеличить быстродействие гостевых систем по сравнению с полной эмуляцией и широко исполь-зуется в настоящее время. Также в целях повышения быстродействия в платформах виртуализации, использующих данный подход, приме-няется специальная «прослойка» между гостевой ОС и оборудованием (гипервизор), позволяющая гостевой системе напрямую обращаться к ресурсам аппаратного обеспечения. Гипервизор, называемый также монитор виртуальных машин (Virtual Machine Monitor), — одно из ключевых понятий в мире виртуализации. Применение гипервизора, являющегося связующим звеном между гостевыми системами и ап-паратурой, существенно увеличивает быстродействие платформы, приближая его к быстродействию физической платформы.

К недостаткам данного вида виртуализации можно отнести зави-симость виртуальных машин от архитектуры аппаратной платформы. Примеры продуктов для нативной виртуализации: VMware Worksta-tion, VMware Server, VMware ESX Server, VirtualIron и др.

При частичной виртуализации, т. е. виртуализации адресного пространства (address space virtualization) виртуальная машина симу-

Рис. 4.2. Виды виртуализации

ФГБО

У ВПО



У ВПО



57

лирует несколько экземпляров аппаратного окружения, в частности, пространства адресов. Такой вид виртуализации позволяет совмест-но использовать ресурсы и изолировать процессы, но не позволяет разделять экземпляры гостевых ОС. Строго говоря, при таком виде виртуализации не создаются виртуальные машины, а происходит изоляция каких- либо процессов на уровне ОС. Примером может послужить использование UML (User- modeLinux), в котором «го-стевое» ядро запускается в пользовательском пространстве базового ядра (в его контексте).

Паравиртуализация — техника виртуализации, при которой го-стевые ОС подготавливаются для исполнения в виртуализированной среде, для чего их ядро незначительно модифицируется. Операцион-ная система взаимодействует с гипервизором, который предоставляет ей гостевой API, вместо использования напрямую таких ресурсов, как таблица страниц памяти. Метод паравиртуализации позволяет добиться более высокой производительности, чем метод динамиче-ской трансляции. Метод паравиртуализации применим лишь в том случае, если гостевые ОС имеют открытые исходные коды, которые можно модифицировать согласно лицензии.

Сутью виртуализации уровня ОС является виртуализация фи-зического сервера на уровне ОС в целях создания нескольких за-щищенных виртуальных серверов на одном физическом. Гостевая система разделяет использование одного ядра хостовой ОС с други-ми гостевыми системами. Виртуальная машина представляет собой окружение для приложений, запускаемых изолированно. Данный тип виртуализации применяется при организации систем хостинга, когда в рамках одного экземпляра ядра требуется поддерживать не-сколько виртуальных серверов клиентов. Примеры виртуализации уровня ОС: Linux- VServer, OpenVZ, Solaris Containers и Free BSD Jails.

Виртуализация уровня приложений не похожа на все осталь-ные: в данном случае само приложение помещается в контейнер с необходимыми элементами для своей работы: файлами реестра, конфигурационными файлами, пользовательскими и системными объектами. В результате получается приложение, не требующее установки на аналогичной платформе. При переносе такого при-ложения на другую машину и его запуске виртуальное окружение, созданное для программы, разрешает конфликты между ней и ОС, а также другими приложениями. Примером такого подхода служат: Thinstall и Softricity.

Виртуализация ресурсов позволяет концентрировать, абстраги-ровать и упрощать управление группами ресурсов, таких как сети, хранилища данных и пространства имен. Виртуализация ресурсов, в отличие от виртуализации платформ, предоставляет массу различ-ных подходов, направленных на повышение удобства обращения пользователей с системами в целом. Если используется объединение,

ФГБО

У ВПО



У ВПО



58

агрегация и концентрация компонентов, то в этом случае под видом виртуализации ресурсов понимается организация нескольких физи-ческих или логических объектов в пулы ресурсов (группы), представ-ляющих удобные интерфейсы пользователю. Примеры такого вида виртуализации могут служить многопроцессорные системы, пред-ставляющиеся как одна мощная система, RAID- массивы и средства управления томами, комбинирующие несколько физических дисков в один логический, виртуализация систем хранения, используемая при построении сетей хранения данных SAN (Storage Area Network), а также виртуальные частные сети (VPN) и трансляция сетевых адресов (NAT), позволяющие создавать виртуальные пространства сетевых адресов и имен.

При кластеризации компьютеров и распределенных вычислениях виртуализация включает в себя техники, применяемые при объеди-нении множества отдельных компьютеров в глобальные системы (метакомпьютеры), совместно решающие общую задачу.

При разделении ресурсов (partitioning) в процессе виртуализации происходит разделение какого- либо одного большого ресурса на не-сколько однотипных объектов, удобных для использования. В сетях хранения данных это называется зонированием ресурсов (zoning). Инкапсуляция применительно к виртуализации означает, что это процесс создания системы, предоставляющей пользователю удобный интерфейс для работы с ней и скрывающей подробности сложности своей реализации. Например, использование центральным процессо-ром кэша для ускорения вычислений не отражается на его внешних интерфейсах.

Области применения виртуализации в настоящее время дина-мично развиваются и включают в себя консолидацию серверов, разработку и тестирование приложений, использование виртуальных станций, а также эффективно применяется в бизнесе.

К достоинствам виртуализации относится следующее:экономия на аппаратном обеспечении при консолидации сер-••

веров;возможность поддержания старых операционных систем в целях ••

обеспечения совместимости;возможность изолировать потенциально опасные окружения;••виртуальные машины повышают мобильность;••виртуальные машины могут быть организованы в «пакеты при-••

ложений»;на одном хосте может быть запущено одновременно несколько ••

виртуальных машин, объединенных в виртуальную сеть;хорошая управляемость виртуальных машин.••

Недостатки виртуализации заключаются в том, что она требует дополнительных аппаратных ресурсов, некоторые платформы вир-туализации требовательны к конкретному аппаратному обеспечению и, главное то, что невозможно эмулировать все устройства!

ФГБО

У ВПО



У ВПО




Дайте определение распределенной обработке информации.1. По каким признакам обычно классифицируют системы распределенной 2. обработки информации?Что понимают под термином «распределенные вычисления»? В чем со-3. стоят особенности грид- систем?Что понимают под облачными вычислениями?4. Какие сервисы облака предоставляют пользователям?5. Какие услуги пользователям предоставляют ЦОД?6. Какие существуют типы виртуализации? В чем состоят их отличия?7. Достоинства и недостатки виртуализации.8.

ФГБО

У ВПО



У ВПО



60

Гл а в а 5

прОтОКОлы связи и семиурОвневая мОдель ISO

Термин «архитектура связи» означает, что отдельные подзадачи сети выполняются различными структурными элементами, между которыми устанавливаются пути передачи информации (каналы связи и интерфейсы). Способ, с помощью которого сообщение об-рабатывается структурными элементами и передается по сети, на-зывают сетевым протоколом.

Функционирование вычислительных сети обусловлено раз-нообразными стандартами, в частности моделью взаимодействия открытых систем. Кроме того, на основе модели ISO/OSI создано множество стандартов, ориентированных на передачу данных в сети, в соответствии с современными требованиями к скорости и безопас-ности. Стандарты определяют каким образом производители могут создавать компоненты, которые работают с продуктами других раз-работчиков без специальных драйверов или необязательного обо-рудования.

Принимая во внимание современные требования и возможности, организации разрабатывают все необходимые правила, использова-ние которых позволяет создать сеть с необходимыми возможностями. К числу таких организаций относятся:

международная организация по стандартизации ISO:••международная комиссия по электротехнике (International ••

Electrotechnical Commision — IEC);международный союз электросвязи (International Telecommuni-••

cations Union — ITU);институт инженеров электротехники и радиоэлектроники (In-••

stitute of Electrical and Electronic Engineers — IEEE);ассоциация производителей компьютеров и оргтехники (Com-••

puter and Business Equipment Manufacturers Association — CBEMA);американский национальный институт стандартов (American ••

National Standards Institute — ANSI) и др.Каждая из этих организаций проводит практические исследования

и вносит в создаваемые стандарты коррективы.Любой стандарт подобен живому организму, в него ежегодно

вносятся различные изменения.

ФГБО

У ВПО



У ВПО



61

5.1. протоколы связи

Проблемы совмещения и стыковок различных элементов вычис-лительных сетей привели Международную организацию стандарти-зации ISO к созданию модели архитектуры вычислительной сети, называемую моделью взаимодействия открытых систем (Open Systems Interconnection — OSI). В модели ISO принят принцип слоистой ар-хитектуры, в которой все функции сети разделены на уровни таким образом, что вышележащие уровни используют услуги по переносу информации, предоставляемые нижележащими уровнями, т. е. взаи-модействуют через интерфейс. Сами нижележащие уровни при этом сохраняют прозрачность и независимость (рис. 5.1). Такая слоистая структура позволяет модифицировать и даже заменять любой уро-вень, не затрагивая все остальные. Единственным условием при этом является сохранение интерфейсов. Кроме того, деление на уровни позволяет максимально упростить реализацию каждого из них.

Считается, что человек при декомпозиции системы может одно-временно охватить от 5 до 9 объектов (подсистем). В случае открытых систем таких подсистем уровней архитектуры связи ровно семь.

5.2. семиуровневая модель OSI

Стандарты OSI Международной организации стандартизации определяет каким образом производители могут создавать компо-ненты, которые работают с продуктами других разработчиков без специальных драйверов или необязательного оборудования. Целью здесь является так называемая открытость. Модель OSI основана на принципиальной совместимости между разнородными системами

Рис. 5.1. Протоколы связи

ФГБО

У ВПО



У ВПО



62

и представляет собой инструмент для лучшего понимания работы сетей и протоколов передачи данных.

Единственная проблема реализации модели ISO/OSI состоит в том, что многие фирмы уже разработали методы связи своего обо-рудования и ПО с другими системами. Хотя разработчики заявляют о потенциальной поддержке стандартов OSI, их собственные мето-ды настолько отличаются, что переход к OSI крайне затруднителен или просто невозможен. Novell, Microsoft, IBM и другие фирмы, занимающиеся сетями, расширяют свои собственные стандарты для обеспечения поддержки других систем и вплотную занимаются проблемой открытости.

Однако стандарты OSI обеспечивают полезный способ сравнения межсетевых средств различных разработчиков. В модели OSI несколь-ко уровней протоколов образует стек протоколов, в котором каждый протокол работает на своем уровне программного и аппаратного обеспечения.

Эталонная модель ISO распределяет сетевые функции по семи уровням, приведенным на рис. 5.2. При передаче информации в мо-дели используется три типа адресов:

1) физический адрес, который однозначно определяет устройство в сети. Иногда его называют аппаратным адресом, адресом NIC или МАС. Этот адрес записывается изготовителем на сетевой плате;

2) сетевой (логический) адрес, присваиваемый администрато-ром сети, определяющий сегмент сети, к которому присоединено устройство;

3) служебный (логический) адрес, определяющий порт или сокет для служб провайдера или сервера.

При передаче информации считается, что на канальном уровне передается кадр, на сетевом уровне — пакет, на более высоких уров-нях архитектуры связи — сообщение.

Рис. 5.2. Семиуровневая модель OSI

ФГБО

У ВПО



У ВПО



63

На физическом уровне определяются характеристики электриче-ских сигналов, механические свойства кабелей и разъемов, а также физическая топология сети, способ кодирования информации и об-щей синхронизации битов. Данные на этом уровне рассматриваются как поток прозрачных битов.

Канальный уровень в вычислительных сетях задает правила со-вместного использования узлами сети физического уровня. Протоколы этого уровня определяют, каким образом биты информации органи-зуются в логические последовательности (кадры, frames), и располо-жение и вид контрольной информации (заголовки и концевики). Этот уровень структурирован по двум подуровням: управление доступом к среде MAC (Media Access Control) и LLC — управление логической связью (Logical Link Control). Подуровень MAC поддерживает мно-жественный доступ к каналу связи, осуществляет прием и передачу информационных и управляющих кадров, обнаруживает ошибки по проверочной последовательности кадров либо по его длине.

Подуровень LLC считается независимым от особенностей физи-ческой среды и методов доступа к ней и определяет, каким образом осуществляется прием и передача информации. Кроме того, подуро-вень LLC обнаруживает и, возможно, исправляет ошибки передачи. На этом подуровне определяется класс обслуживания, осуществля-ется контроль ошибок передачи, синхронизация кадров. Возможные реализации подуровня LLC: дейтаграммное взаимодействие, дейта-граммное с квитированием, логическое соединение. Дейтаграммное взаимодействие предназначено для быстрой передачи отдельных дейтаграмм. При установлении логического соединения осуществля-ется перенос последовательности кадров, при этом обнаруживаются и исправляются ошибки связи.

На сетевом  уровне  стандартизуются протоколы для открытия и обслуживания сетевого маршрута между двумя системами. Он определяет, как передаются данные (пакеты).

Транспортный уровень обеспечивает наивысший уровень управ-ления процессом перемещения данных из одной системы в другую. С помощью обнаружения и коррекции ошибок транспортный уро-вень обеспечивает качественную и точную доставку. Кроме того, на этот уровень возлагаются функции по оптимизации накладных расходов.

Уровень  сеанса координирует обмен информацией между си-стемами. Этот уровень называется так по устанавливаемому и за-вершаемому сеансу коммуникаций.

Уровень  представления отвечает за преобразование форматов данных в вид, удобный для пользователя. Протоколы на уровне пред-ставления являются частью ОС и приложений, которые пользователь выполняет на рабочей станции. На этом уровне выполняется также кодирование данных, обработка других символьных последователь-ностей, форматирование, сжатие и т. д.

ФГБО

У ВПО



У ВПО



64

Прикладной уровень является границей между сетевыми и поль-зовательскими процессами. Он обслуживает запросы пользователей сети на совместно используемые услуги (электронную почту, файлы и печать, базы данных и т. д.), организует санкционированный до-ступ к запрашиваемым ресурсам, защищает сеть от вторжения на-рушителей.

Сетевая операционная система (СОС) и ее приложения доступны для пользователя на этом уровне. Пользователи дают команды запро-са на сетевые устройства, которые оформляются в пакеты и переда-ются по сети с помощью протоколов более низкого уровня.

Модель OSI описывает путь информации от одной прикладной задачи, исполняющейся на одном компьютере к другой, выполняю-щейся на другом компьютере. При этом информация должна пройти все уровни архитектуры связи в своей системе. По мере прохождения информация обрастает заголовками с адресами получателя и от-правителя.

Через физический уровень эта информация доставляется в другую систему (компьютер) и по мере прохождения уровней архитектуры связи снизу вверх она приобретает исходный вид.

5.3. стандарт IEEE 802

В настоящее время IEEE 802 представляет собой стандарт сете-вых коммуникаций Института инженерии в области электротехники и электроники, разработанный для физических компонентов сети. Расширяя физический и канальный уровень, IEEE 802 определяет, каким образом сетевой адаптер получает доступ к сетевому кабелю и как он передает данные.

В описание стандарта входят такие продукты, как интерфейсные платы, мосты, маршрутизаторы и другие компоненты, используемые для создания сетей с использованием коаксиального кабеля или ка-беля типа витая пара. Сюда включаются также ГВС, использующие общие носители, такие как телефонная система.

Стандарт 802 объединяет следующие компоненты.802.1. Принципы объединения сетей (Inter working), стандарты ••

по управлению ЛВС, принципам и логике работы активного сетево-го оборудования, безопасности протоколов уровня MAC и т. д.);

802.2. Управление логическими связями LLC;••802.3. Локальные сети CSMA/CD — стандарты для проводных ••

сетей стандарта Ethernet, которые для доступа к среде передачи дан-ных используют метод множественного доступа с контролем несущей частоты и обнаружением конфликтов CSMA/CD;

802.4. Локальные сети с жезловой шиной;••802.5. Локальные сети с жезловым кольцом Token Ring;••

ФГБО

У ВПО



У ВПО



65

802.6. Принципы и правила функционирования сетей городско-••го масштаба (Metropolitan Area Network — MAN);

802.7. Техническая консультационная группа по широкополос-••ной передаче;

802.8. Техническая консультационная группа по оптоволокон-••ным сетям;

802.9. Интегрированные сети передачи голоса и данных;••802.10. Сетевая безопасность;••802.11. Беспроводные сети, которые работают с частотами 2,4; ••

3,6 и 5 ГГц;802.12. ЛВС с приоритетом доступа по требованию;••802.15. Стандарты для персональных беспроводных сетей, ис-••

пользующих такие технологии передачи данных, как Zig Bee, Bluetooth и т. д.;

802.16. Стандарты функционирования локальных сетей (WiMAX) ••с использованием беспроводной связи в широком диапазоне частот (2…66 ГГц).

Стандарт 802.1 определяет соотношение между стандартами IEEE и моделью открытых систем ISO. Стандарты 802.3—802.7 позволяют компьютерам и устройствам многих независимых поставщиков логи-чески связываться друг с другом с помощью витой пары, коаксиаль-ного кабеля или других типов носителя. Стандарт 802.8 определяет высокоскоростные оптические сети.

5.4. протоколы Гвс

Протоколы ГВС позволяют связывать между собой на больших расстояниях не только отдельные компьютеры, но и локальные сети. Выделенные каналы широко используются для образования глобаль-ных связей между удаленными ЛВС. В зависимости от аппаратуры длительной коммутации выделенные каналы делятся на аналоговые и цифровые. В аналоговых каналах используются FDM- коммутаторы, а в цифровых — TDM.

Различают несколько типов аналоговых каналов: в зависимости от полосы пропускания — каналы тональной частоты (3 100 Гц) и широкополосные каналы (48 кГц). Для передачи компьютерных данных по аналоговым каналам используются модемы. Для работы на выделенных каналах модемы классифицируют следующим обра-зом: асинхронные, асинхронно- синхронные и синхронные модемы; модемы, работающие только в полудуплексном режиме, и дуплексные модемы; модемы, поддерживающие протоколы коррекции ошибок; широкополосные модемы и модемы для канала тональной частоты.

Линии T1 и T3 представляют собой двухточечные технологии передачи. Цифровая линия Т1 состоит из 24 каналов по 64 Кбит/с

ФГБО

У ВПО



У ВПО



66

каждый, т. е. 1,544 Мбит/с общей пропускной способностью. Более быстрая линия называется Т3. Это эквивалент 28 линий Т1 с об-щей скоростью передачи данных и голоса 44,736 Мбит/с. Расходы по ежемесячному обслуживанию таких линий достаточно высоки, поэтому возможна аренда только части полосы пропускания в виде нескольких каналов.

Цифровые выделенные каналы образуются первичными сетями технологии SONET/SDH, которая ориентируется на использование волоконно- оптических кабелей и включает два совместимых вари-анта — североамериканский (SONET) и европейско- международный (SDH). Технология SONET/SDH основана на полной синхрониза-ции между каналами и устройствами сети, которая обеспечивается наличием центрального пункта распределения синхронизирующих импульсов для всей сети и поддерживает скорость передачи от 155,52 Мбит/с до 10 Гбит/с.

Синхронная передача кадров различного уровня иерархии позво-ляет получить доступ к данным низкоскоростного пользовательского канала, не выполняя полного демультиплексирования высокоско-ростного потока. Техника указателей позволяет определить начало пользовательских подкадров внутри синхронного кадра и считать их или добавить «на лету». Эта техника называется техникой вставки и удаления (add and drop) пользовательских данных.

Сети SONET/SDH обладают встроенной отказоустойчивостью за счет избыточности своих кадров и способности мультиплексоров выполнять реконфигурирование путей следования данных. Основной отказоустойчивой конфигурацией является конфигурация двойных волоконно- оптических колец. Протоколы SONET/SDH обеспечива-ют мониторинг и управление первичной сетью, в том числе удаленное создание постоянных соединений между абонентами сети.

Для передачи компьютерных данных по выделенным каналам лю-бой природы применяется несколько протоколов канального уровня: SLIP, HDLC и РРР.

Протокол для последовательных линий SLIP был спроектирован для обеспечения связи с сетями TCP/IP через публичную телефон-ную сеть PSTN (Public Switched Telephone Network), которая может передавать как голос, так и данные. В настоящее время этот протокол используется для связи по телефону с интернет- провайдером. SLIP действует на физическом уровне модели OSI для обеспечения ком-муникаций в рамках IP- протокола по асинхронной коммутируемой линии связи. Несмотря на простоту реализации, протокол SLIP об-ладает рядом недостатков:

поддерживает только IP в качестве транспорта;••не поддерживает согласование IP-•• адресов;не обеспечивает аутентификацию.••

Протокол двухточечного соединения PPP используется как аль-тернатива SLIP. Протокол PPP наиболее популярен для телефонного

ФГБО

У ВПО



У ВПО



67

доступа к Интернету. Он обладает рядом возможностей физического и канального уровней. К его достоинствам относятся:

контроль ошибок;••поддержка транспортов TCP/IP, IPX/SPX, NetBIOS, NWlink;••согласование адреса IP поддержкой протокола динамической ••

конфигурации узла DHCP;пароль для регистрации входа.••

Протокол РРР в наибольшей степени соответствует современным выделенным каналам, аппаратура которых самостоятельно решает задачу надежной передачи данных. Протокол РРР обеспечивает со-гласование многих важных параметров канального и сетевого уровня при установлении соединения между узлами.

Протоколы Х.25, предназначенные только для передачи данных, описывают взаимодействие на физическом, канальном и сетевом уровнях и отличаются повышенной надежностью. Данный стандарт впервые был предложен Международными консультационным коми-тетом по телефонии и телеграфии (МККТТ) в 1974 г.

Сети с ретрансляцией кадров Frame Relay используют пакеты переменной длины в среде с коммутацией пакетов, а также уста-новление постоянного виртуального канала PVC между конеч-ными точками для переноса данных. Сеть действует на скоростях 56 Кбит/с…1,544 Мбит/с.

Интегрированные службы цифровых сетей ISDN предназначены для комбинированной передачи голоса и данных через цифровые телефонные линии (предложены МККТТ в 1994 г.). Сейчас эта орга-низация называется Международный телекоммуникационный союз. ISDN описывает взаимодействие на физическом, канальном и сетевом уровнях и использует мультиплексирование с разделением времени (TDM) для преобразование аналоговых сигналов в цифровые.

Технология асинхронной передачи ATM использует протокол коммутации пакетов, который пересылает данные в локальных и глобальных сетях фрагментами (cells) по 53 байт со скоростью до 622 Мбит/с.

5.5. стеки протоколов фирм- производителей

Как упоминалось, многие разработчики и производители не следуют точно стеку протоколов OSI. Продукт, который использует один стек протокола, не может взаимодействовать с продуктом, ис-пользующим другой стек протокола напрямую. Перечислим основные стеки протоколов.

Протокол NetWare SPX/IPX (NetWare Sequenced Packet Exchange/Intenational Packet Exchange) — это разработка фирмы Novell для се-тей NetWare, разработанный на основе стека протокола XNS (Xerox Network Services).

ФГБО

У ВПО



У ВПО



TCP/IP (Transmission Control Protocol/Internet Protocol) один из первых стеков сетевых протоколов. Первоначально он был разработан Министерством обороны США и использовался для связи аппара-туры разных производителей. Часть протокола IP обеспечивает одно из лучших на сегодня определений межсетевой связи и используется многими разработчиками в качестве метода взаимодействия продук-тов в локальных и ГВС.

Протоколы Apple Talk, разработанные фирмой Apple Computer в качестве способа взаимодействия систем Apple Macintosh, вклю-чают в себя DDP (Delivery Datagram Protocol) для сетевого уровня, ATP (Apple Talk Transaction Protocol) — сеансовый и транспортный протоколы, файловый AFP (Apple Talk File Protocol).

Протоколы NetBEUI/ NetBIOS фирмы Микрософт представляют собой транспортный и сетевой протокол, не поддерживающий марш-рутизацию. Обладают хорошими временными характеристиками, защитой от ошибок, легко реализуемы.

воПросы и уПражнения

Какой уровень архитектуры связи отвечает за управление доступом к среде 1. передачи?На каком уровне архитектуры связи происходит разделение вычислитель-2. ных ресурсов?На каких уровнях архитектуры связи происходит обнаружение и исправ-3. ление ошибок?Какой уровень архитектуры связи отвечает за межсетевые взаимодей-4. ствия?Какие способы обеспечения прозрачности информации используются 5. в вычислительных сетях?На каких уровнях архитектуры связи происходит обнаружение и исправ-6. ление ошибок?Каким образом архитектуры открытых систем ISO7. упрощают совместную работу аппаратного и программного обеспечения?Какой подуровень ISO отвечает за организацию доступа к среде передачи 8. данных?Назовите протоколы передачи данных ГВС и опишите их.9. Назовите стеки протоколов фирм-производителей и опишите их.10.

ФГБО

У ВПО



У ВПО



69

Гл а в а 6

технОлОГии передачи данных

6.1. Коммутация каналов

Система передачи данных обеспечивает передачу данных между компьютерами в сети и состоит из каналов, каналообразующей ап-паратуры, коммутирующих элементов, например коммутаторов.

К задачам, которые решают с помощью сети передачи данных, относится определение потоков и соответствующих маршрутов, фиксация маршрутов в конфигурационных параметрах и таблицах сетевых устройств, распознавание потоков и передача данных между интерфейсами одного устройства, мультиплексирование/демульти-плексирование потоков, разделение среды передачи.

В системе передачи данных, помимо выделенных каналов связи, различают две основные технологии коммутации потоков данных — коммутацию каналов и коммутацию пакетов. Обе технологии исполь-зуют одну и ту же топологию сети для передачи данных.

Коммутация каналов — метод управления потоком данных в реальном времени, для которого от одного абонента к другому устанавливается канал связи, сохраняющийся все время передачи. Коммутация каналов ориентирована на передачу информации в виде потока двоичных данных с заданной скоростью. Мультиплексирова-ние в сети коммутации каналов может использовать частотное или временное уплотнение каналов, что неудобно для конечного поль-зователя, работающего с каждым каналом индивидуально.

При коммутации каналов коммутационная сеть образует между конечными узлами непрерывный составной физический канал из последовательно соединенных коммутаторами промежуточных канальных участков. Необходимым условием того, что несколько физических каналов при последовательном соединении образуют единый физический канал, является равенство скоростей передачи данных в каждом из составляющих физических каналов, что означает, что коммутаторы такой сети не должны буферизовать передаваемые данные. Перед началом передачи данных необходимо выполнить процедуру установления соединения, в процессе которой и создается составной канал для передачи данных. Задержки, возникающие при коммутации каналов, складываются из задержек соединения по каж-дой составной части канала передачи и задержки распространения.

ФГБО

У ВПО



У ВПО



70

К достоинствам технологии коммутации каналов следует отнести постоянную и известную скорость передачи данных по установ-ленному между конечными узлами каналу и естественный порядок передаваемых данных. Канал передачи создается до начала передачи и фиксируется на все время передачи, при этом сохраняется низкий и постоянный уровень задержки передачи данных через сеть для передачи трафика реального времени (голос, видео и т. д.). Помимо этого, накоплен большой опыт создания таких сетей и хорошо раз-витая инфраструктура (телефонные сети).

Тем не менее, низкая производительность представляет собой принципиальное ограничение сети с коммутацией каналов, так как единицей коммутации здесь является информационный поток в целом и динамическое перераспределение пропускной способности невозможно. Следует отметить медленное установление соединения и принципиальную ориентацию на низкие скорости передачи, а так-же низкую надежность, так как велика вероятность отказа сети в об-служивании запроса на установление соединения через канал с мак-симально возможным количеством информационных потоков.

6.2. Коммутация пакетов

Коммутация пакетов — способ управления передачей, при ко-тором пакеты — короткие блоки информации строго определенной структуры с заголовком и полем данных, передаются от одного узла к другому. Коммутация пакетов предназначена для информации, представленной в виде коротких сообщений, передаваемых с лю-быми приемлемыми скоростями. Особенно эффективен такой вид коммутации при передачи дейтаграмм — отдельных информационных блоков, не зависимых друг от друга. При коммутации пакетов все передаваемые пользователем сообщения разбиваются в исходном узле на сравнительно небольшие части — пакеты. Сообщения могут иметь произвольную длину, от нескольких байт до многих мегабайт, размер пакета колеблется от 46 до 1 500 байт. Все пакеты транспортируются по сети как независимые информационные блоки.

Коммутаторы сети принимают пакеты от конечных узлов и на основании адресной информации передают их друг другу, а в конеч-ном итоге — узлу назначения. Каждый пакет снабжается заголовком, в котором указывается адресная информация, необходимая для до-ставки пакета на узел назначения, а также номер пакета, который будет использоваться узлом назначения для сборки сообщения.

Коммутаторы пакетной сети отличаются от коммутаторов каналов тем, что они имеют внутреннюю буферную память для временного хранения пакетов, если выходной порт коммутатора в момент при-нятия пакета занят передачей другого пакета. В этом случае пакет находится некоторое время в очереди пакетов в буферной памяти

ФГБО

У ВПО



У ВПО



71

выходного порта, а когда до него дойдет очередь, он передается следующему коммутатору. Такая схема передачи данных позволяет сглаживать пульсацию трафика на магистральных связях между ком-мутаторами и наиболее эффективно использовать их для повышения пропускной способности сети в целом. В данном случае коммутаторы постоянно и равномерно загружены работой, если число обслужи-ваемых ими абонентов действительно велико. Трафик, поступающий от конечных узлов на коммутаторы, распределен во времени очень неравномерно. Сеть с коммутацией пакетов замедляет процесс взаи-модействия конкретной пары абонентов, но повышает пропускную способность сети в целом. В настоящее время в сетях с коммутацией пакетов применяются дейтаграммная передача и виртуальные каналы. Примерами сетей, реализующих дейтаграммный механизм передачи, являются сети Ethernet, IP и IPX фирмы Novell. С помощью вирту-альных каналов передают данные сети X.25, Frame Relay и ATM.

Задержки, которые возникают при коммутации пакетов в источ-нике передачи, складываются из времени на передачу заголовков и задержек, вызванных интервалами между передачей каждого сле-дующего пакета. Задержки, возникающие в каждом коммутаторе, рас-считывают как время буферизации пакета плюс время коммутации, которое складывается из времени ожидания пакета в очереди (пере-менная величина) и времени перемещения пакета в выходной порт. Несмотря на задержки, для коммутации пакетов характерна высокая скорость установления соединения, так как передатчик сразу начи-нает передачу и не ждет физического установления соединения.

К достоинствам технологии коммутации пакетов следует отнести высокую производительность передачи за счет использования раз-личных видов мультиплексирования и высокую общую пропускную способность сети, в том числе при передаче пульсирующего трафика. Помимо этого, существует возможность динамически перераспреде-лять пропускную способность физических каналов связи между або-нентами в соответствии с реальными потребностями их трафика.

Недостатки технологии коммутации пакетов заключаются в не-обходимости дополнительных затрат на управление потоком пакетов и защиту от ошибок, неопределенность скорости передачи данных между абонентами сети, обусловленной тем, что задержки в очередях буферов коммутаторов сети зависят от общей загрузки сети и воз-можностью потери данных из- за переполнения буферов.

В настоящее время разрабатываются и внедряются методы обе-спечения качества обслуживания QoS, позволяющие преодолеть указанные недостатки. Например, архитектура цифровых сетей ISDN предусматривает несколько видов служб, таких как некоммутируемые средства (выделенные цифровые каналы), коммутируемая телефон-ная сеть общего пользования, сеть передачи данных с коммутацией каналов, сеть передачи данных с коммутацией пакетов, сеть пере-дачи данных с трансляцией кадров (Frame Relay), средства контроля

ФГБО

У ВПО



У ВПО



и управления работой сети. Подобная интеграция различных техно-логий позволяет использовать лишь достоинства, компенсируя при этом недостатки.

6.3. сети с динамической и постоянной коммутацией

Сети с коммутацией каналов можно разделить на два класса: сети с динамической коммутацией и сети с постоянной коммутацией.

В сетях с динамической коммутацией разрешается устанавливать соединение по инициативе пользователя сети, коммутация выполня-ется только на время сеанса связи, а затем (по инициативе одного из пользователей) разрывается. В общем случае пользователь сети может соединиться с любым другим пользователем сети.

Время соединения между парой пользователей при динамической коммутации составляет от нескольких секунд до нескольких часов и завершается после выполнения определенной работы (передачи файла, просмотра страницы текста или изображения и т. д.). К сетям с динамической коммутацией относятся телефонные сети общего пользования, локальные сети и сети TCP/IP.

Режим постоянной  (permanent)  коммутации в сетях с комму-тацией каналов часто называется сервисом выделенных (dedicated) или арендуемых (leased) каналов. В сетях с постоянной коммутацией соединение устанавливается не пользователями, а персоналом, обслу-живающим сеть. При этом паре пользователей разрешается заказать соединение на длительный период времени. Временной период, на который устанавливается постоянная коммутация, обычно составляет несколько месяцев. Наиболее популярными сетями, работающими в режиме постоянной коммутации, сегодня являются сети технологии SDH, на основе которых строятся выделенные каналы связи с про-пускной способностью в несколько гигабит в секунду.

воПросы и уПражнения

Какие технологии передачи данных используются в сетях?1. Назовите особенности коммутации каналов. В чем ее достоинства и не-2. достатки?Какими особенностями обладает коммутация пакетов? В чем ее досто-3. инства и недостатки?Перечислите механизмы передачи пакетов в сетях.4. В чем различие сетей с динамической и постоянной коммутацией?5.

ФГБО

У ВПО



У ВПО



73

Гл а в а 7

ФизичесКий урОвень связи и урОвень Канала данных

7.1. Физический уровень OSI

На физическом уровне определяются характеристики электриче-ских сигналов, механические свойства кабелей и разъемов, а также физическая топология сети, способ кодирования информации и об-щей синхронизации битов. Данные на этом уровне рассматриваются, как поток прозрачный битов.

При битстаффинге, как одном из способов обеспечения про-зрачности, в информационном потоке передатчик после каждой последовательности из шести единиц вставляет нуль, который затем удаляется при приеме информации. Этой процедуре не подвергаются только флаги начала и конца кадра, которые содержат не менее семи единиц подряд. Таким образом, вся информация между флагами не содержит управляющих символов и каждый кадр отделяется один от другого. Битстаффинг не единственный способ обеспечения прозрач-ности. Кроме этого метода в кадре можно использовать поле длины данных либо жесткую структуру управляющих полей, либо просто фиксированную длину кадра.

Физический уровень определяет физические характеристики ка-бельной системы (коаксиальный кабель, витые пары, оптоволокно), организованной с помощью всех доступных сетевых методов, вклю-чая такие общеупотребимые сети, как Token Ring, Ethernet и FDDI. Он описывает также коммуникации с помощью радиосвязи и инфра-красных лучей (беспроводные сети), оптоволоконные кабели и кабель RS-232, используемый для подключения модемов к компьютерам.

7.2. Канальный уровень OSI

Канальный уровень в вычислительных сетях определяет правила совместного использования узлами сети физического уровня. Про-токолы этого уровня определяют каким образом биты информации организуются в логические последовательности (кадры, frames), рас-положение и вид контрольной информации (заголовки и концевики). Канальные протоколы, так же как среда связи и сетевая топология,

ФГБО

У ВПО



У ВПО



74

определяют сеть передачи данных локальных сетей. В соответствии с моделью IEEE802.1 канальные протоколы структурированы по двум подуровням:

1) управление доступом к среде MAC;2) управление логической связью LLC.Доступ к LLC со стороны протоколов верхних уровней возможен

только через точки доступа к канальной услуге SAP (Service Access Point), адрес которых занимает ровно 1 байт. С помощью точек SAP происходит регулирование информационных потоков через каналь-ный протокол и осуществляются различные способы доставки ка-дров. Адрес SAP может быть индивидуальным, широковещательным или групповым. Таким образом, через точку SAP можно адресовать сообщение другому пользователю, группе пользователей или всем пользователям канальной службы.

7.3. подуровень MAC

Основное назначение подуровня MAC — прием и передача кадров по каналу связи. В процессе приема определяются неправильно до-ставленные кадры, которые немедленно сбрасываются из буфера приемника. В некоторых сетях происходит исправление ошибок при помощи повторной передачи указанного кадра.

Подуровень MAC поддерживает множественный доступ к ка-налу связи, осуществляет прием и передачу информационных и управляющих кадров, обнаруживает ошибки по проверочной последовательности кадров либо по его длине. Для системы связи огромное значение имеет используемый метод множественного до-ступа, с помощью которого несколько станций разделяют во времени единую кабельную систему. Метод множественного доступа реали-зуется сетевым адаптером. Управление каналом связи может быть как централизованным, так и распределенным, когда все сетевые станции считаются равноправными. Физический адрес помещается в заголовок кадра и используется для идентификации приемника и, возможно, источника.

В каждой своей реализации кадры MAC имеют свои собственные форматы и назначение. Следует отметить, что большинство сетей использует универсальную структуру адресов станций размером 16 или 48 бит. Такой адрес может начинаться с нуля, тогда он считается индивидуальным и сообщение доставляется только одной станции. Например, адрес станции- источника всегда индивидуален. С по-мощью широковещательного адреса, состоящего из одних единиц, можно обращаться ко всем сетевым станциям сразу. Групповой адрес начинается с единицы и содержит хотя бы один нуль. Использование группового адреса позволяет отправить сообщение сразу нескольким станциям одновременно.

ФГБО

У ВПО



У ВПО



75

В отечественной литературе существует следующая классификация классов методов множественного доступа при распределенном управ-лении: случайный доступ; пропорциональный доступ; приоритетный доступ; локально- приоритетный доступ, свойственный кольцевой топологии.

Накопленный опыт по разработке и эксплуатации сетей позволяет выделить основные направления развития сетей в области использо-вания имеющихся способов доступа и развития новых:

интеграция передачи различных видов информации (речи, дан-••ных, изображения, графических файлов и т. д.);

увеличение скорости передачи информации, использование ••волоконно- оптических линий связи FDDI (100 Мбит/c);

повышение надежности передачи и защиты информации;••развитие беспроводной связи.••

При случайном  доступе возможно возникновение конфликтов из- за одновременной передачи сообщений несколькими станциями. В этом случае передача считается неуспешной, и станции- источни-ки начинают ее заново со случайным сдвигом во времени. Метод случайного доступа был впервые предложен в радиосети ALOHA на Гавайских островах в 1970 г. Метод управления каналом был чрез-вычайно прост. Как только на станции появляется кадр данных, он выталкивается в канал.

При таком подходе велика вероятность конфликтов, так как со-общения разных станций накладываются друг на друга и для их ис-правления необходима повторная передача.

В дальнейшем случайный метод доступа подвергся многим улуч-шениям, и его производительность может достигать 0,93 пропускной способности канала, что считается лучшим достижением в области технологии связи. К этим улучшениям относятся:

прослушивание до передачи для определения свободен или за-••нят канал и для контроля несущей, т. е. основной частоты, на которой ведется передача. Если при прослушивании до передачи определяет-ся в канале связи сигнал от другой станции, станция- источник от-казывается от передачи;

прослушивание во время передачи, т. е. во время передачи пре-••амбулы определенной длины. Длина преамбулы подбирается таким образом, что она дает возможность определить конфликт между двумя наиболее удаленными друг от друга станциями. В случае определения конфликта во время передачи данные уже не выталки-ваются в канал, а вместо них выпускается короткая заглушка, что уменьшает время непроизводительной работы сети;

случайная отсрочка во времени, когда при определении кон-••фликта станция организует повторную передачу со случайным сдви-гом во времени, что уменьшает вероятность повторного конфликта;

введение так называемого глобального тактирования, когда по-••сле каждого сообщения в сети все станции выдерживают строго

ФГБО

У ВПО



У ВПО



76

определенную паузу молчания. Окончание этой паузы дает разреше-ние всем станциям на передачу сообщений.

Такой случайный коллективный доступ с контролем несущей и об-наружением конфликтов получил название CSMA/CD (Carrier Sence Maltiple Access with Collision Detection) и был реализован в локальной сети Ethernet в 1973 г. Преимущества CSMA/CD (высокая надеж-ность и производительность, простота введения и удаления станций, дешевизна реализации) определили его широкое распространение. В настоящее время существует несколько десятков различных ЛВС, поддерживающих этот метод доступа.

Все методы случайного доступа требуют небольших аппаратных затрат при реализации, обеспечивают высокую скорость передачи, надежны и эффективны. Однако при большом числе абонентов и интенсивном графике передачи они не гарантируют всем станциям доступ к каналу связи. Для разрешения этой ситуации был предложен метод CSMA/CA (Carrier Sence Maltiple Acces with Collisin Avoidence) для сети Hyper Channel, когда станции, столкнувшиеся в конфликте, по примеру CSMA/CD образуют некоторую популяцию и обслужи-ваются в зависимости от своих приоритетов. Для реализации этой процедуры сеть переходит в специальный режим. Эксплуатационные характеристики этой сети оказались очень хороши, но широкого применения она не получила.

Для пропорциональных  методов  доступа характерна работа по заранее известному расписанию, изменить которое довольно сложно. Управление сетью при этом методе доступа может быть как распределенное, так и централизованное. В настоящее вре-мя накоплен достаточно обширный опыт по разработке методов пропорционального доступа. При централизованном управлении, которое используется только для топологии общая шина, наиболее часто употребляются способы опрос (polling) и раструб. При polling станция- арбитр последовательно адресует управляющий кадр каж-дой станции в сети. Получение управляющего символа означает право на передачу в канал. Если станция не имеет информации для передачи, она молчит. Арбитр фиксирует паузу молчания в канале и адресует управляющий кадр следующей станции. Если станция передает информационный кадр в канал сразу после получения разрешения, то пауза молчания фиксируется арбитром после этого информационного кадра.

Таким образом, арбитр последовательно опрашивает все станции в сети по заранее известному расписанию. Введение новых стан-ций в этом случае должно сопровождаться изменением расписания опроса. Такой способ управления сетью прост, дешев, но при не-равномерной активности станций непроизводителен. Действительно, если часть станций в основном молчит, то большое время уходит на регистрацию пауз молчания, а не на передачу полезной информации в канал.

ФГБО

У ВПО



У ВПО



77

Улучшением способов опроса может служить раструб. В этом слу-чае арбитр вырабатывает только один управляющий кадр и передает его станции. В зависимости от своего состояния станция либо сразу переадресует его следующей станции, либо сначала выпускает ин-формационный кадр, а затем отдает право на передачу. Управляющий кадр последовательно обходит все станции на сети и возвращается к арбитру. При таком способе управления не происходит потерь на регистрацию пауз молчания. Однако при введении новых станций или удалении имеющихся возникают непредвиденные трудности, по-скольку приходится корректировать адреса пересылки управляющих кадров не только для арбитра, но и для большинства станций.

Распределенные методы пропорционального управления повы-шают надежность сети и расширяют возможную топологию. Очень хорошо себя зарекомендовала передача жезла (маркера) на общей шине, звезде и в кольце.

При жезловом управлении жезл последовательно передается от одной станции к другой, давая им право на передачу. Адреса стан-ций при этом образуют логическое кольцо, по которому постоянно передается жезл. Для одних сетей передача жезла осуществляется в сторону уменьшения адресов, для других — в сторону увеличе-ния. Для ввода и вывода станций и при потере жезла используются специальные процедуры, позволяющие обеспечить правильность функционирования сети.

К основным достоинствам пропорциональных методов доступа следует отнести хорошую надежность, гарантированное время до-ступа к каналу связи, хорошую производительность при равномерной и высокой активности станций в сети. Однако следует учесть, что возможность модификации сети требует дорогостоящих програм-мно- аппаратных добавлений, что сильно влияет на стоимость таких сетей. Наиболее известны сети с жезловым управлением Arcnet фирмы Data point.

Приоритетный  доступ предполагает конкуренцию среди ис-точников за право вести передачу, доступ к каналу имеет станция с наибольшим приоритетом. Назначение приоритетов может быть как статическим, так и динамическим. Наилучшие характеристики по быстродействию указанные методы показывают при низкой на-грузке в близкодействующих сетях. Подобные методы множествен-ного доступа используются в специальных сетях: бортовые системы, летательные аппараты и т. д.

Локально- приоритетные способы доступа свойственны после-довательному кольцевому каналу. При этом станция- источник пере-дает информацию в канал в зависимости от приоритета проходящего мимо пакета информации и своего собственного состояния. К таким сетям относятся Cambridge Ring, Token Ring, FDDI и т. д. При кольце-вой топологии жезл передается от станции к станции, в зависимости от их физического подключения к сети. К достоинствам локально-

ФГБО

У ВПО



У ВПО



78

приоритетных методов доступа относятся: независимость основных параметров от дальности действия, малое время передачи при низких нагрузках, гарантированное время доступа к каналу связи, возмож-ность многократно использовать пропускную ссылки управляющих кадров не только для арбитра, но и для большинства станций.

7.4. подуровень LLC

Подуровень LLC считается независимым от особенностей физиче-ской среды и методов доступа к ней. На подуровне LLC определяется класс обслуживания, осуществляется контроль ошибок передачи, синхронизация кадров.

В отличие от подуровня MAC, которому свойственен широкий спектр возможных реализаций, для подуровня LLC существуют строгие рамки. Этот подуровень должен поддерживать один или не-сколько следующих режимов:

дейтаграммное взаимодействие, когда кадр данных выталкива-••ется в канал и просто сбрасывается в случае неправильного прие-ма;

дейтаграммное взаимодействие с квитированием, когда при-••емник посылает положительное подтверждение в случае успешной доставки кадра;

установление логического соединения между источником и при-••емником, благодаря которому обнаруживаются ошибки в виде на-рушения последовательности передачи, приход кадров- дубликатов, неверно сформированных полей и эти ошибки исправляются с по-мощью повторной передачи.

Указанные жесткие ограничения позволяют совместно исполь-зовать в вычислительных сетях компоненты различных фирм- про-изводителей.

При дейтаграммном взаимодействии общение двух удаленных подуровней LLC происходит простейшим образом (рис. 7.1). По при-митиву лежащего выше уровня L. DATA.запрос подуровень LLC A формирует дейтаграмму с данными, которая называется MUI. Блок MUI выталкивается на нижележащий уровень, и забота о правильной доставке кадра ложится на станцию- приемник LLC В.

В свою очередь, LLC В, получив от нижележащего уровня MUI, не содержащий ошибок, формирует по нему примитив L. DATA.

Рис. 7.1. Дейтаграммное взаимодействие

ФГБО

У ВПО



У ВПО



79

индикация и выталкивает его вверх. В случае ошибки передачи кадр MUI сбрасывается.

Дейтаграммное взаимодействие обладает наилучшими времен-ными характеристиками и наибольшей эффективностью передачи среди всех режимов, так как время тратится только на обмен полез-ной информации в виде данных, а объем служебной информации сведен к минимуму.

При дейтаграммном взаимодействии с квитированием по за-просу пользователя LLC А формирует информационный кадр CAI-

запрос, который должен быть квитирован, т. е. подтвержден, кадром CAI- ответ в случае успешной доставки на противоположный LLC. CAI- ответ отличается от CAI- запроса только отсутствием поля дан-ных и одним битом в поле управления. После выталкивания кадра CAI- запрос уровень LLC A блокируется от остальных запросов поль-зователей до тех пор, пока не получит квитанцию. Ожидание квитан-ции длится строго установленный промежуток времени Т (тайм- аут), который может закончиться досрочно, по приходу квитанции (рис. 7.2). В случае неуспеха по истечении тайм- аута производится повтор-ная передача CAI- дубликата. Попытка повторной передачи может быть только одна. Если она не позволила организовать безошибочную передачу, то протокол LLC отказывается от передачи именно этого кадра и приступает к обслуживанию остальных запросов пользова-телей, т. е. снимает блокировку.

Введение квитирования в дейтаграммный режим снижает бы-стродействие службы LLC, но повышает надежность и обеспечивает исправление ошибок передачи. Следует подчеркнуть, что рассмотрен-ные режимы взаимодействия позволяют адресовать кадры индиви-дуальным, групповым и широковещательным образом.

Работа протокола с логическим соединением состоит из несколь-ких последовательных фаз, каждая из которых использует собствен-ные примитивы и кадры:

фаза установления логического соединения;••фаза переноса информации;••фаза разрыва соединения.••

Рис. 7.2. Дейтаграммное взаимодействие с квитированием

ФГБО

У ВПО



У ВПО



80

В фазе установки соединения LLC А получает примитив от стоя-щего выше уровня L. Connect.запрос и формирует по нему управляю-щий кадр запроса на установку соединения SABM, который вытал-кивается на нижний уровень. Получив из сети запрос на установку соединения LLC B, в зависимости от своего внутреннего состояния либо отвечает согласием UA и оповещает об этом своего собствен-ного пользователя примитивом L. Connect.индикация, либо отвергает возможность установки соединения DM. Следует подчеркнуть, что в большинстве реализаций протокол LLC решает вопрос об уста-новке соединения в зависимости от своего внутреннего состояния, оповещая о согласии своего пользователя насильственным образом. Такой подход позволяет упростить реализацию протокольного объ-екта и уменьшить временные задержки (рис. 7.3).

Получив из сети ненумерованное подтверждение UA, прото-кол LLC A оповещает своего пользователя об этом примитивом L. Connect.подтверждение и переходит к фазе переноса информации. Для удаленного протокола LLC B фаза переноса наступила несколько ранее, когда он вытолкнул примитив L. Connect.индикация. В слу-чае отказа DM, LLC A оповещает своего пользователя примитивом L. Disconnect.индикация.

В фазе переноса протокольные объекта LLC A и LLC B считаются равноправными и получают от своих пользователей данные в виде примитивов L. Data.запросы. Обмен данными через сеть происходит с помощью последовательности нумерованных кадров I, которые в сво-ем поле управления содержат номер посылаемого кадра N(s) и номер ожидаемого кадра N(r). Нумерация кадров происходит по модулю 8. Использование указанных полей позволяет обнаруживать и исправлять нарушения последовательности передачи, ошибочные кадры, попутно с передачей квитировать правильно пришедшие кадры.

Кроме информационных кадров при переносе по логическому соединению используются и управляющие кадры:

RR (готов к приему) может служить нумерованной квитанцией;••RNR•• (не готов к приему) регулирует информационный поток

по логическому соединению, может служить нумерованной квитан-цией;

Рис. 7.3. Установление логического соединения

ФГБО

У ВПО



У ВПО



REJ•• (отказ от кадра с указанным номером N(r));FRMR требует отработки специальной процедуры примитивов ••

L. Resert.Фаза разрыва соединения может отрабатываться неявным образом

по инициативе протокольных объектов LLC. При этом протокол LLC оповещает пользователя о разрыве соединения примитивом L. Disconnect.индикация и выталкивает в сеть кадр DM. В случае явной фазы разрыва разъединение происходит по инициативе одного из пользователей канальной службы, который формирует примитив L. Disconnectзапрос. При этом в сеть выталкивается кадр DISC.

Режим логического соединения используется либо при пересылке через сеть больших объемов связанной информации, либо при тре-бовании повышенной надежности доставки.

7.5. взаимодействие MAC и LLC

Взаимодействие уровней MAC и LLC определяется с помощью трех примитивов (команд соответствующего формата):

M. DATA.запрос (адрес источника, адрес приемника, данные, 1) класс обслуживания);

M. DATA.индикация (адрес приемника, адрес источника, дан-2) ные, класс обслуживания);

M. DATA.ответ (адрес приемника, адрес источника, класс 3) предоставленных услуг).

M. DATA.запрос запрашивает передачу одного кадра данных, M. DATA.индикация указывает на прием кадра данных, M. DATA.ответ дает информацию о принятом к исполнению примитиве на подуровне MAC. Под адресами понимаются адреса станций ЛВС длиной 48 бит.

Форматы и назначение примитивов на подуровнях MAC и LLC в первую очередь зависят от режима функционирования LLC и со-держат такие сведенья, как адрес отправителя, адрес получателя, данные и предоставленный класс услуг.


Какой из классов LLC обеспечивает большую эффективность передачи, 1. предназначен для передачи больших объемов связанной информации?Каким образом происходит обнаружение и исправление ошибок в LLC 2. с дейтаграммной передачей, при дейтаграммной передаче с квитирова-нием, при установлении логического соединения?Какой из классов МАС обеспечивает большую эффективность передачи?3. Какую роль в ЛВС играет среда передачи данных?4. При какой топологии возможна реализация случайного метода доступа?5. Как организовано управление передачей при жезловом способе управ-6. ления?

ФГБО

У ВПО



У ВПО



82

Гл а в а 8

типОвые сетевые технОлОГии лОКальных сетей

8.1. сеть Ethernet

В настоящее время технология Ethernet уже стала нарицательной. Если в 1973 г. впервые сетевому сообществу была представлена сеть на коаксиальном кабеле со скоростью передачи в 10 Мбит/с, то сейчас ежегодно повсеместно проводится конференция EternetForum, где обсуждаются уже офисные беспроводные решения Ethernet и кабель-ные решения Ethernet со скоростями 10, 40 и 100 Гбит для построения инфраструктуры центров обработки данных.

Локальная сеть Ethernet фирмы Xerox считается одной из самых удачных разработок в области ЛВС. Ее эксплуатационные характе-ристики, дешевизна и универсальность позволили завоевать ведущие позиции в области рынка сбыта. Метод доступа к среде реализован, как случайный — CSMA/CD.

Все методы случайного доступа требуют небольших аппаратурных затрат при реализации, обеспечивают высокую скорость передачи, надежны и эффективны. Однако при большом числе абонентов и интенсивном трафике передачи они не гарантируют всем станциям доступ к каналу связи. Кроме того, при обрыве кабеля, когда отка-зывает весь сегмент, бывает довольно сложно локализовать станцию, из- за которой возникает основная масса ошибок в сети.

Технические характеристики Ethernet были рассчитаны для клас-сической сети на толстом коаксиальном кабеле 50 Ом со скоростью передачи 10 Мбит/с. Длина каждого сегмента кабеля 500 м, отдель-ные сегменты соединяются друг с другом через повторители таким образом, что получается древовидная топология, и максимальное расстояние между станциями не превышает 1 500 м. В качестве управ-ления сетью используется CSMA/CD. Приемопередатчики врезаются прямо в кабель на расстоянии не ближе, чем 2,5 м друг от друга; от приемопередатчика отходит интерфейсный кабель (не более 50 м), который подключается к сетевому интерфейсу (сетевой карте), под-держивающий CSMA/CD. На каждый сегмент кабеля используется только одно заземление.

Подобные физические параметры позволяют формировать кадры следующим образом (рис. 8.1) . Кадр- дейтаграмма начинается с пре-амбулы длиной в 64 бит, во время передачи которой приемопередат-

ФГБО

У ВПО



У ВПО



83

чик прослушивает канал и определяет не произошел ли конфликт. В отсутствии конфликта следом за преамбулой выпускаются адрес приемника (индивидуальный, групповой или широковещательный) длиной 48 бит, адрес источника такой же длины, управляющее поле верхних уровней архитектуры связи (16 бит), данные и контрольную последовательность для обнаружения ошибок. Поле данных кадра не превышает 1,5 Кбайт.

Если во время преамбулы был зарегистрирован конфликт, то в ка-нал выталкивается «заглушка», т. е. произвольный набор бит, длина которого меньше самого короткого кадра. Затем станция выжидает определенный промежуток времени, определяемый случайным об-разом, и делает попытку повторной передачи. Всего возможно 16 попыток повторной передачи, после чего данный кадр сбрасывается. Межкадровый интервал составляет 9,6 мкс. Его длительность позво-ляет опознать паузу молчания между всеми станциями сети.

Все остальное время станция прослушивает канал и записывает к себе в буфер все кадры, которые передаются по сети. Записанная информация немедленно анализируется, и если это «заглушка» либо слишком длинный кадр, либо ошибочный, либо просто кадр адре-сован другой станции, то он сбрасывается. В противном случае кадр передается на более высокий уровень архитектуры связи.

В настоящее время существует несколько отличающихся по своим возможностям (frames) протоколы Ethernet:

Ethernet _802.3 — сырой (raw) кадр без выделения управляющих ••подполей в поле данных, вместо поля Тип пакета используется Дли-на поля данных;

Ethernet_802.II — для взаимодействия с UNIX-•• архитектурой и Internet, поле Тип пакета используется, как в классическом Ether-net;

Ethernet_802.2 — в поле данных выделяется три управляющих ••подполя, вместо поля Тип пакета используется Длина поля данных;

Ethernet _SNAP — для адресации подсетей.••Все эти протоколы реализуют метод CSMA/CD, но форматы

кадров несколько отличаются друг от друга. В большинстве случаев драйвер сетевой карты можно настроить на любой из указанных типов протоколов, а при необходимости и на все четыре.

Опыт эксплуатации сетей Ethernet показывает, что они хорошо приспособлены к использованию в различных прикладных областях, обладают прекрасной производительностью — до 93 %, позволяют легко модифицировать набор взаимодействующих станций. В настоя-

Рис. 8.1. Формат кадра Ethernet

ФГБО

У ВПО



У ВПО



84

щее время выпускаются сети Ethernet на тонком коаксиальном кабеле (50 Ом), на толстом кабеле Ethernet, на витой паре, на оптическом волокне. Кроме этого, выпускаются сеть Fast Ethernet со скоростью передача 100 Мбит/с, высокоскоростные Gigabit Ethernet, 10-гигабит-ный Ethernet, 40-гигабитный и 100-гигабитный Ethernet.

Физические характеристики ранних версий сети представлены в табл. 8.1.

Кабель для Ethernet маркируют следующим образом. Название состоит из трех частей: на первом месте стоит скорость передачи; на втором — Base, если передача ведется в базовой полосе частот, Broad — если используется широкая полоса; на третьем месте стоит указатель на тип кабеля, 2 — тонкий коаксиал, 5 — толстый коаксиал, Т — витая пара (UTP), F — оптоволокно.

У «толстого» Ethernet (10Base5) есть свои преимущества и недо-статки. Этот хорошо защищенный кабель довольно прочен, длина каждого сегмента составляет 500 м. Для подключения сетевой карты необходим интерфейсный кабель длиной не более 5 м и приемопере-датчик, который врезается в сегмент. Подключение интерфейсного кабеля происходит через высокочастотный разъем на плате. Однако угол изгиба этого кабеля составляет 90° и при раскладке его могут возникнуть сложности.

«Тонкий» Ethernet (10Base2) имеет угол изгиба 360° и прекрасно раскладывается по помещению любой формы. Сегмент этого кабе-ля достигает 185 м и подключается непосредственно к плате через BNC- разъем. При этом кабель разрезается на куски не менее 0,5 м и соединяется через Т- коннектор.

При увеличении размеров сети Ethernet для коаксиального ка-беля действует правило 5-4-3, обеспечивающее правильную работу CSMA/CD:

5 — максимальное количество кабельных сегментов в сети;••4 — максимальное количество повторителей между сегмен-••

тами;

Т а б л и ц а 8.1. начальные версии Ethernet

Сеть Топология НосительДлина

сегмента, м

Ethernet Шина Толстый коаксиал 50 Ом 500

10Base2 Шина Тонкий коаксиал 50 Ом 185

10Base5 Шина Толстый коаксиал 50 Ом 500

10BaseF Звезда Оптоволокно 500 —2 000

10BaseT Звезда Неэкранированная витая пара (UTP)

100

ФГБО

У ВПО



У ВПО



85

3 — максимальное количество сегментов с подсоединенными ••узлами.

Для организации взаимодействия через витые пары и оптоволокно используют специальные устройства — хабы, и топологически сеть уже выглядит как звезда. Возможны более сложные подключения, когда через хабы вместе соединяются разные сегменты и все это является одной сетью учреждения.

Для витой пары 10BaseТ тоже действует правило 5-4-3, но не-сколько измененное:

5 — максимальное количество кабельных сегментов в сети;••4 — максимальное количество концентраторов (многопортовых ••

повторителей), допустимых между двумя сообщающимися узлами.Основные характеристики, из- за которых сеть Ethernet не может

использоваться повсеместно — отсутствие гарантированного времени доступа к каналу связи и падение эффективности при большом числе активно взаимодействующих станций за счет увеличения числа кон-фликтов. Во всех описанных случаях сеть представляет собой один домен конфликтов (коллизий), и при интенсивном взаимодействии станций наступает «широковещательный шторм», когда большинство станций входят в конфликт и передача информации невозможна.

Быстрый Ethernet (FastEthernet) со скоростью 100 Мбит/с осно-ваны на использовании случайного метода множественного доступа CSMA/CD, что сохраняет преемственность и согласованность сетей 10 и 100 Мбит/с.

Все отличия технологии Fast Ethernet от Ethernet сосредоточены на физическом уровне. Уровни MAC и LLC в Fast Ethernet остались без изменений и их описывают стандартами 802.3 и 802.2. При этом сохранены тот же алгоритм и те же временные параметры в битовых интервалах, что и в Ethernet, при этом сам битовый интервал умень-шен в 10 раз.

Рассмотрим более подробно технологию Fast Ethernet с точки зрения реализации ее физического уровня. Более сложная структура физического уровня вызвана тем, что в сети используются три вари-анта кабельных систем:

1) 100Base- TX для двухпарного кабеля на неэкранированной витой паре UTP категории 5 или экранированной витой паре STP Type 1;

2) 100Base- T4 для четырехпарного кабеля на неэкранированной витой паре UTP категории 3, 4 или 5;

3) 100Base- FX для многомодового оптоволоконного кабеля, ис-пользуются два волокна.

При этом для различных вариантов реализаций меняется не толь-ко количество проводников, но и методы кодирования.

Среди возможных реализаций физического уровня Fast Ethernet отсутствует коаксил, поскольку на небольших расстояниях витая пара категории 5 позволяет передавать данные с той же скоростью, что и коаксиальный кабель, но сеть получается более дешевой и удобной

ФГБО

У ВПО



У ВПО



86

в эксплуатации. На больших расстояниях оптическое волокно обла-дает гораздо более широкой полосой пропускания, чем коаксиальный кабель, а стоимость сети получается ненамного выше, особенно если учесть высокие затраты на поиск и устранение неисправностей в крупной кабельной коаксиальной системе.

Особенности реализации физического уровня привели к тому, что сети Fast Ethernet всегда имеют иерархическую древовидную струк-туру, построенную на концентраторах, как и сети 10Base- T/10Base-

F. Основным отличием конфигураций сетей Fast Ethernet является сокращение расстояния между самыми удаленными друг от друга станциями примерно до 200 м, что объясняется уменьшением време-ни передачи кадра минимальной длины в 10 раз за счет увеличения скорости передачи в 10 раз по сравнению с 10-мегабитным Ethernet.

Тем не менее, при использовании коммутаторов Fast Ethernet может работать в полнодуплексном режиме, в котором нет ограни-чений на общую длину сети, а есть только ограничения на длину физических сегментов, соединяющих адаптер — коммутатор или коммутатор — коммутатор. Следовательно, при создании маги-стралей локальных сетей большой протяженности технология Fast Ethernet также активно применяется, но только в полнодуплексном варианте, совместно с коммутаторами. Сведения по используемым стандартам технологии Fast Ethernet приведены в табл. 8.2. Для сети определены три спецификации физического уровня: 100BaseTX для двух пар UTP категории 5 или двух пар STP Type 1, использующие метод кодирования 4В/5В; l00BaseFX для многомодового волокон-но- оптического кабеля с двумя оптическими волокнами (метод кодирования 4В/5В) и 100Base- T4, работающую на четырех парах UTP категории 3, но использующую одновременно только три пары

Т а б л и ц а 8.2. версии FastEthernet (100 мбит/с) топологии звезда

Сеть Носитель Длина сегмента, м

100BaseTX 2 витые пары Т5 100

100BaseT4 4 витые пары Т3, Т4 или Т5

100

100BaseFX Одномодовое оптово-локно

400 полудуплексный кабель

2 000 полнодуп лексный кабель

100BaseSX Многомодовое волокно От 2 000 до 10 000

100BaseFX WDM Одномодовое оптово-локно

От 2 000 до 10 000

ФГБО

У ВПО



У ВПО



87

для передачи, а оставшуюся — для обнаружения конфликтов (метод кодирования 8В/6Т).

Стандарты l00BaseTX/FX могут работать в полнодуплексном ре-жиме.

Fast Ethernet при работе на витой паре позволяет за счет процеду-ры автопереговоров двум портам выбирать наиболее эффективный режим работы — скорость 10 или 100 Мбит/с, а также полудуплекс-ный или полнодуплексный режим.

Для  гигабитной  сети  Ethernet (GigabitEthernet, 1 Гбит/с) со-храняются все форматы кадров Ethernet. По- прежнему существует полудуплексная версия протокола, поддерживающая метод доступа CSMA/CD, и полнодуплексная версия, работающая с коммутато-рами. Сохранение этого недорогого решения для разделяемых сред позволяет применить Gigabit Ethernet в небольших рабочих группах, имеющих быстрые серверы и рабочие станции.

Для этой версии сети поддерживаются все основные виды кабелей, используемых как в Ethernet, так и в Fast Ethernet: волоконно- опти-ческий, витая пара категории 5, коаксиальный кабель.

Однако разработчикам технологии Gigabit Ethernet для сохранения приведенных выше свойств пришлось внести изменения не только в физический уровень, но и в уровень MAC. Основные характери-стики Gigabit Ethernet приведены в табл. 8.3.

При разработке данного сетевого решения был преодолен ряд проблем: обеспечение приемлемого диаметра сети (200 м) для полуду-плексного режима работы; достижение битовой скорости 1 000 Мбит/с на основных типах кабелей; поддержка кабеля на витой паре.

В связи с ограничениями, накладываемыми методом CSMA/CD на длину кабеля, версия Gigabit Ethernet для разделяемой среды до-пускала бы длину сегмента всего 25 м при сохранении размера ка-дров и всех параметров метода CSMA/CD неизменными. Поскольку существует большое количество применений, когда нужно повысить диаметр сети хотя бы до 200 м, необходимо было решить эту задачу за счет минимальных изменений в технологии Fast Ethernet.

Для обеспечения приемлемого максимального диаметра сети 200 м в полудуплексном режиме разработчики технологии пошли на увеличение минимального размера кадра с 64 до 512 байт. Раз-решается также передавать несколько кадров подряд, не освобождая среду, на интервале 8 096 байт, тогда кадры не обязательно дополнять до 512 байт. Остальные параметры метода доступа и максимального размера кадра остались неизменными.

В 1998 г. был принят стандарт 802.3z, который определяет ис-пользование в качестве физической среды трех типов кабеля: много-модового оптоволоконного (расстояние до 500 м), одномодового оптоволоконного (расстояние до 5 000 м) и двойного коаксиального (twinax), по которому данные передаются одновременно по двум медным экранированным проводникам на расстояние до 25 м.

ФГБО

У ВПО



У ВПО



88

Новый стандарт 10-гигабитного Ethernet включает в себя семь стандартов физической среды для LAN, MAN и WAN. В настоящее время он описывается поправкой IEEE 802.3ae и должен войти в сле-дующую ревизию стандарта IEEE 802.3. Информация об основных реализациях Ethernet 10G со скоростью передачи 10 Гбит/с пред-ставлена в табл. 8.4.

Версии сети 40-гигабитный Ethernet и 100-гигабитный Ethe-rnet — стандарты, разработанные группой IEEE P802.3ba Ethernet Task Force. Эти стандарты являются следующим этапом развития группы стандартов Ethernet со скоростью в 10 Гбит/с. Итоговая версия стандарта принята под названием IEEE 802.3ba-2010, в нем обеспечивается скорость передачи данных в 40 и 100 Гбит/с при со-вместном использовании нескольких 10 Гбит/с или 25 Гбит/с линий связи.

В стандартах 40/100-гигабитного Ethernet содержится описание не-скольких различных стандартов физического уровня. Сетевые устрой-ства могут использовать различные типы физического уровня путем использования сменных модулей. Модули, использующие оптическое волокно, стандартизированы в 802.3ba. Один из стандартизованных модулей, поддерживающий и 40- и 100-гигабитный Ethernet — это CFP MSA, который может использоваться для расстояний 100 и бо-

Т а б л и ц а 8.3. версии Gigabit Ethernet топологии звезда

Сеть НосительСкорость передачи

Длина сегмента

1000BaseT (IEEE 802.3ab)

Четыре витые пары Т5

250 Мбит/с на пару, суммарно 1 000 Мбит/с

100 м

1000BaseTX (TIA, Telecommunica-tions Industry Association)

Использует раз-дельную приемо- пере-дачу две витые пары Т6

1 000 Мбит/с 100 м

1000BaseSX (IEEE 802.3z)

Многомодовое оптоволокно

1 000 Мбит/с Без повторителей до 550 м

1000BaseLX (IEEE 802.3z)

Одномодовое оптоволокно

1 000 Мбит/с От 3 до 50 км

1000BaseCX Твинаксиаль-ный кабель, 75 Ом

1 000 Мбит/с До 25 м

1000BaseLH Одномодовое оптоволокно

1 000 Мбит/с До 100 км

ФГБО

У ВПО



У ВПО



89

лее метров. Модули QSFP и CXP обеспечивают работу на меньших дистанциях.

Стандарт 802.3ba поддерживает только полнодуплексный режим работы.

При разработке физической части стандарта были решены сле-дующие задачи:

сохранен формат кадров Ethernet стандарта 802.3MAC;••сохранены минимальные и максимальные размеры кадра, со-••

впадающие с текущей редакцией стандарта 802.3;обеспечена соответствующая поддержка оптических транспорт-••

ных сетей OTN (Optical Transport Network);обеспечена скорость передачи данных на уровне MAC в 40 и ••

100 Гбит/с;варианты использования физического уровня: одномодовое ••

оптическое волокно (SMF), многомодовое оптическое волокно OM3 (MMF), кабели с медными проводниками.

8.2. Token Ring

Рассмотрим более подробно работу станций в сетях Token Ring. Топология таких сетей сочетает в себе звезду и кольцо, в зависимо-сти от модификации скорость передачи данных составляет 4 либо 16 Мбит/с.

Т а б л и ц а 8.4. версии Ethernet 10G (10 Гбит/с) топологии звезда

Сеть Носитель Длина сегмента

10GBaseT (IEEE 802.3an-2006)

Экранированная витая пара

100 м

10GBaseSR Многомодовое оптово-локно

До 26 или 82 м, в зави-симости от типа кабеля

10GBaseLX4 Многомодовое оптово-локно

240 … 300 м

Одномодовое оптово-локно

До 10 км

10GBaseCX4 Медный кабель CX4 по четырем линиям в каждом направлении

До 15 м

10GBase LR Одномодовое оптово-локно

До 10 км

10G Base ER До 40 км

ФГБО

У ВПО



У ВПО



90

Сети Token Ring, так же как и сети Ethernet, имеют разделяемую среду передачи данных, которая в данном случае состоит из отрезков кабеля, соединяющих все станции сети в кольцо. Кольцо рассматри-вается как общий разделяемый ресурс и для доступа к нему требуется не случайный алгоритм, как в сетях Ethernet, а локально- приори-тетный, основанный на передаче станциям права на использование кольца в определенном порядке. Это право передается с помощью кадра специального формата, называемого жезлом, маркером или токеном (token).

Технология Token Ring был разработана компанией IBM в 1984 г., а затем стандартизована как IEEE 802.5. Компания IBM использует технологию Token Ring в качестве своей основной сетевой технологии для построения ЛВС на основе компьютеров различных классов — мэйнфреймов, мини- компьютеров и персональных компьютеров. В настоящее время именно компания IBM является основным за-конодателем моды технологии Token Ring, производя около 60 % сетевых адаптеров этой технологии.

В Token Ring сетевые станции собираются в однонаправлен-ное кольцо с помощью специальных 8-входовых устройств MSAU (Multiple Station Access Unit), к которым подсоединяются станции. Для каждой станции имеется сосед- последователь и сосед- предше-ственник.

В качестве среды передачи используются витые пары, экраниро-ванные и не экранированные UTP и оптоволокно. В зависимости от типа используемого кабеля меняются физические размеры сети, но всего в кольце может функционировать до 33 MSAU.

Общая длина сегментов по кольцу между MSAU не превышает: 1 км для световодного кабеля; 120 м для UTP категории 3; 200 м для STP. Количество станций зависит от типа кабеля и колеблется от 72 до 260.

Для правильной работы сети по кольцу циркулирует управляющий кадр (жезл или маркер) строго заданного формата. Захватив такой жезл, станция анализирует его, при необходимости модифицирует. Если у станции нет данных на передачу, она выталкивает жезл дальше в кольцо.

При наличии данных на передачу жезл задерживается и вместо него выталкивается информационный кадр или кадры. Информа-ционный кадр последовательно обходит кольцо от одной станции к другой и уничтожается станцией- источником.

Если пришедший информационный кадр адресован получившей его станции, она копирует его для себя и помечает соответствую-щим образом поле квитанции этого кадра. Затем информационный кадр с заполненным полем ответа выталкивается далее по кольцу. Следует отметить, что возможна адресация кадра данных не только одной станции, но и группе станций или использование широко-вещательного адреса.

ФГБО

У ВПО



У ВПО



91

Обойдя кольцо, информационный кадр возвращается к своему создателю, где он уничтожается и станция выталкивает жезл для следующей станции. Если поле квитанции указывает на неудавшуюся доставку, то в следующее владение жезла станция, как правило, не делает повторную попытку передачи, возлагая функции по исправ-лению ошибок на протоколы более высокого уровня связи. Тем не менее, эта станция формирует специальный служебный кадр и опо-вещает управляющие станции о значении отрицательных квитанций. Такая информация особенно важна для поиска неисправностей.

Максимальный размер поля данных кадра Token Ring зависит от скорости работы кольца. Для скорости 4 Мбит/с он равен около 5 000 байт, а при скорости 16 Мбит/с — около 16 Кбайт. Минимальный размер поля данных кадра не определен, т. е. может быть равен 0.

Время владения жезлом строго ограничено для каждой станции и гарантирует время доступа к каналу связи для всех станций на коль-це. При передаче разных сообщений могут использоваться разные приоритеты, от 0 (низший) до 7 (высший). Станция сама определяет приоритет текущего кадра и может захватить кольцо только в том случае, когда в кольце нет более приоритетных кадров. Каждая стан-ция поддерживает механизмы защиты от ошибок и модификации кольца, на одну из станций возлагаются функции монитора. В поле управления доступом присутствует специальный бит, с помощью которого монитор отлавливает и уничтожает кадры, циркулирующие более одного раза по кольцу.

Протокол с жезловым доступом предусматривает активное управление сетью. Часть этих управляющих функций возложена на пять функциональных станций, имеющих зарезервированные функциональные адреса. Станция, которой присвоен один из функ-циональных адресов, должна реагировать на него так же, как на свой собственный аппаратный адрес. К этим станциям относятся два обязательных устройства (активный и резервный мониторы) и три необязательных (сервер отчета о конфигурации, монитор отчета об ошибках и сервер параметров кольца).

Активный монитор является наиболее важной станцией для жез-лового управления. К его функциям относятся:

генерация синхроимпульсов;••введение 24-битной задержки для согласования длины кольца ••

и длины жезла;запуск процесса опроса кольца;••наблюдение за корректностью функционирования кольца;••перезапуск после потери жезла.••

В задачу резервного монитора входит наблюдение за активным монитором, и в случае необходимости, запуск процедуры опроса кольца. Монитор ошибок кольца всего лишь собирает информацию об ошибках, которую посылают все остальные станции в процес-се функционирования. Сервер отчета о конфигурации составляет

ФГБО

У ВПО



У ВПО



92

протокол о событиях, произошедших в кольце. Сервер параметров кольца устанавливает такие параметры каждой станции, как номер кольца, допустимый приоритет жезла, значение таймера владения жезлом и т. д.

Несмотря на ряд таких достоинств Token Ring, как высокая про-пускная способность, наличие встроенных средств управления как кольцом в целом, так и отдельными устройствами, что облегчает поиск неисправностей; высокая отказоустойчивость и средства вос-становления нормального функционирования после обнаружения неисправностей, жезловые кольца стремительно теряют рынок из- за популярности Ethernet. Кроме того, необходимо учитывать еще зна-чительную стоимость специального диагностического оборудования, сложность установки аппаратуры и дополнительные трудности, свя-занные с глобальными сетями.

8.3. технология FDDI

Одной из наиболее популярных сетей, использующих оптическое волокно, является FDDI (Fiber Distributed Data Interface), принятая ISO. Технология связи рассчитана на физическую скорость передачи информации 100 Мбит/с и предназначена для сетей с суммарной длиной до 100 км, при расстоянии между узлами 2 км или более. Для доступа к сети используется специальный жезл — маркер (развитие протокола IEEE 802.5 — Token Ring). Обе сети имеют одинаковые ха-рактеристики, включая топологию (кольцевая сеть), технику доступа к носителю (передача маркера), характеристики надежности и др.

Поскольку FDDI использует оптоволокно в качестве передающей среды, она обладает рядом преимуществ по сравнению с традици-онной кабельной системой, включая защиту данных (оптоволокно не излучает электрические сигналы, которые можно перехватывать), надежность (оптоволокно устойчиво к электрическим помехам) и скорость (потенциальная пропускная способность световода на-много выше, чем у медного кабеля).

Стандарт FDDI устанавливает два типа оптического волокна: одномодовое (мономодовым) и многомодовое. Моды можно пред-ставить в виде пучков лучей света, входящего в оптическое волокно под определенным углом. Одномодовое волокно позволяет распро-страняться через оптическое волокно только одному моду света, в то время как по многомодовому волокну может распространяться мно-жество мод света. Одномодовое оптоволокно обеспечивает большую полосу пропускания, чем многомодовые световоды. Так же передача сигнала возможна на более далекие расстояния для одномодового оптоволокна. В многомодовом световоде в качестве генераторов света используются диоды, излучающие свет (LED), в то время как в модномодовом оптоволокне обычно применяются лазеры.

ФГБО

У ВПО



У ВПО



93

FDDI стандартизует применение двойных кольцевых сетей. Тра-фик по этим кольцам движется в противоположных направлениях. В физическом выражении кольцо состоит из двух или более двухто-чечных соединений между соседними станциями. Одно из двух колец FDDI называется первичным кольцом, другое — вторичным кольцом. Первичное кольцо используется для передачи данных, вторичное кольцо обычно является дублирующим.

Управление логической связью (datalink service) реализуются через протокол IEEE 802.2 LLC. MAC, т. е. управление доступом к среде передачи, определяет способ доступа к носителю, включая формат пакета, обработку маркера, адресацию, алгоритм CRC (проверка из-быточности цикла) и механизмы устранения ошибок.

Physical Layer Protocol (PHY) — протокол физического уровня, определяет процедуры кодирования/декодирования информации, требования к синхронизации, формированию кадров и другие функ-ции. Physical Media Dependent (PMD) определяет характеристики транспортной среды, включая оптические каналы, уровни питания, регламентирует частоту ошибок, задает требования к оптическим компонентам и разъемам. Station Management (SMT) — управление станциями, определяет конфигурацию станций FDDI, конфигура-цию кольцевой сети и особенности управления кольцевой сетью, включая вставку и исключение станций, инициализацию, изоля-цию и устранение неисправностей, составление графика и набор статистики.

В стандарте FDDI предусмотрено наличие в сети конечных узлов — станций (Station), а также концентраторов (Concentrator). Для станций и концентраторов допустим любой вид подключения к сети — как одиночный, так и двойной.

Станции класса В, или станции, подключаемые к одному кольцу (Single Attached Station — SAS), подсоединены к одной кольцевой сети; станции класса А, или станции, подключаемые к двум кольцам (Dual Attached Station — DAS) — подсоединены к обеим кольцевым сетям. SAS подключены к первичному кольцу через концентратор, который обеспечивает связи для множества SAS. Koнцентратор от-вечает за то, чтобы отказ или отключение питания в любой из SAS не прерывали кольцо. Это особенно необходимо, когда к кольцу подключен персональный компьютер или аналогичные устройства, у которых питание часто включается и выключается. К одному кольцу можно подключить до 500 DAS и 1 000 SAS.

Типичная конфигурация FDDI, включающая как DAS, так и SAS, представлена на рис. 8.2. Каждая станция DAS FDDI имеет два порта, обозначенных А и В. Эти порты подключают станцию к двойному кольцу FDDI и каждый порт обеспечивает соединение как с первич-ным, так и с вторичным кольцом.

FDDI поддерживает распределение полосы пропускания сети в масштабе реального времени, выделяя два типа трафика: син-

ФГБО

У ВПО



У ВПО



94

хронного и асинхронного. Синхронный трафик может потреблять часть общей полосы пропускания сети FDDI, равную 100 Mбит/с; остальную часть может потреблять асинхронный трафик. Синхронная полоса пропускания назначается тем станциям, которым необходима постоянная возможность передачи (например, при передаче голоса и видеоинформации). Другие станции используют остальную часть полосы пропускания асинхронно. Спецификация SMT для сети FDDI определяет схему распределенных заявок на выделение полосы пропускания FDDI.

Распределение асинхронной полосы пропускания производится с использованием 8-уровневой схемы приоритетов. Каждой стан-ции присваивается определенный уровень приоритета пользования асинхронной полосой пропускания. FDDI также разрешает дли-тельные диалоги, когда станции могут временно использовать всю асинхронную полосу пропускания. Механизм приоритетов FDDI может фактически блокировать станции, которые не могут пользо-ваться синхронной полосой пропускания и имеют слишком низкий приоритет пользования асинхронной полосой пропускания.

Технология FDDI характеризуется рядом особенностей отка-зоустойчивости. Топология связей в FDDI устроена таким образом, что отказ в любом из узлов из- за выхода из строя оборудования или отключения питания не приведет к разрыву кольца, поток ка-дров автоматически пойдет в обход поврежденного участка. Если какая- нибудь станция, подключенная к двойной кольцевой сети, отказывает или у нее отключается питание, или если поврежден кабель, то двойная кольцевая сеть автоматически свертывается,

Рис. 8.2. Двойное кольцо FDDI

ФГБО

У ВПО



У ВПО



образуя одинарное кольцо. При этом сеть продолжает работать для оставшихся станций.

FDDI позволяет работать с кадрами размером 4 500 байт, за вы-четом места, занимаемого преамбулой, остается 4 470 байт для пере-дачи данных. При этом 256 байт отводится для заголовков, оставляя для данных 4 096 байт. Маршрутизатор, поддерживающий протокол FDDI, должен быть способен принимать такие длинные пакеты.

По мере увеличения размеров сетей FDDI растет вероятность повышения числа отказов кольцевой сети. Если имеют место два отказа кольцевой сети, то кольцо будет свернуто в обоих случаях, что приводит к фактическому сегментированию кольца на два отдельных кольца, которые не могут сообщаться друг с другом. Последующие отказы вызовут дополнительную сегментацию кольца.


Для чего в кадр Ethernet1. введен адрес источника? Какая адресация до-пустима?Что дает прослушивание во время передачи для множественного метода 2. доступа CSMA/CD? Что дает прослушивание перед передачей при способе доступа CSMA/CD?Для чего в сети Ethernet используется преамбула?3. Почему в4. Ethernet накладывается ограничение на минимальную длину кадра?Опишите особенности множественного доступа в сетях TokenRing.5. Опишите особенности сетях FDDI.6. Вы создаете локальную сеть для маленькой фирмы. Она хочет объединить 7. все 25 компьютеров, которые расположены в четырех комнатах (50 × 25) на трех этажах старого здания. Толщина стен — 1,5 м. Предложите реше-ние в виде технического проекта локальной сети (топология, стоимость, комплектующие). Обосновать полученные результаты.

Требуемый результат: необходима сеть, обеспечивающая скорость передачи 10 Мбит/с.

Желательные  результаты: необходимо минимизировать стои-мость проекта, при этом использовать уже установленный кабель (с разъемами): a) RJ 45; b) 10BaseT; c) 10Base2.

Вы устанавливаете сеть для фирмы, у которой два офиса на расстоянии 8. 750 м друг от друга. В каждом здании уже есть небольшая локальная сеть указанного типа. Предложите решение в виде технического проекта локальной сети (топология, стоимость, комплектующие). Обосновать полученные результаты.

Требуемый  результат: необходима сеть, обеспечивающая ско-рость передачи 100 Мбит/с.

Желательные  результаты: необходимо минимизировать стои-мость проекта, при этом использовать уже установленный кабель (с разъемами) 100BaseT.

ФГБО

У ВПО



У ВПО



96

Гл а в а 9

технОлОГия беспрОвОдных сетей

9.1. беспроводные среды передачи

В беспроводной связи используется широкий диапазон электро-магнитного спектра (от радиоволн низкой частоты в несколько ки-логерц до видимого света), частота которого составляет примерно 8 КГц. В схеме беспроводной линии связи каждый узел оснащается антенной, являющейся одновременно передатчиком и приемником электромагнитных волн. Электромагнитные волны распространяются в атмосфере или вакууме со скоростью 300 м/c во всех направлениях или же в пределах определенного сектора.

Тип антенны определяет имеется ли направленность распро-странения сигнала. Например, параболическая антенна является направленной. Другой тип — изотропная антенна представляет со-бой вертикальный проводник длиной в четверть волны излучения. Изотропные антенны являются ненаправленными, они широко используются в автомобилях и портативных устройствах. Распро-странение излучения во всех направлениях можно также обеспечить несколькими направленными антеннами. Поскольку при ненаправ-ленном распространении электромагнитные волны заполняют все пространство (в пределах определенного радиуса, определяемого затуханием мощности сигнала), то это пространство может служить разделяемой средой.

Для передачи дискретной информации с помощью беспроводной линии связи необходимо модулировать электромагнитные колебания передатчика в соответствии с потоком передаваемых битов. Эту функ-цию осуществляет устройство DCE, располагаемое между антенной и устройством DTE, которым может быть компьютер, коммутатор или маршрутизатор компьютерной сети.

Характеристики беспроводной линии связи (расстояние между узлами, территория охвата, скорость передачи информации и т. п.) во многом зависят от частоты используемого электромагнитного спектра (частота f и длина волны λ связаны соотношением c = fλ).

Диапазон до 300 ГГц имеет общее стандартное название — ра-диодиапазон. Союз ITU разделил его на несколько поддиапазонов, начиная от сверхнизких частот ELF (Extremely Low Frequency) и за-канчивая сверхвысокими EHF (Extra High Frequency). Привычные

ФГБО

У ВПО



У ВПО



97

для нас радиостанции работают в диапазоне 20 кГц…300 МГц и их называют широковещательное радио. Сюда попадают низкоскорост-ные системы AM- и FM- диапазонов, предназначенные для передачи данных со скоростями от нескольких десятков до сотен килобит в секунду. Несколько диапазонов от 300 МГц до 300 ГГц имеют также нестандартное название микроволновые диапазоны.

Микроволновые системы — наиболее широкий класс систем, объединяющий радиорелейные линии связи, спутниковые каналы, беспроводные локальные сети и системы фиксированного беспровод-ного доступа, называемые также системами беспроводных абонент-ских окончаний WLL (Wireless Local Loop). Выше микроволновых диапазонов располагается инфракрасный диапазон. Микроволновые и инфракрасный диапазоны также широко используются для беспро-водной передачи информации. В последние годы видимый свет тоже стали применять для передачи информации (с помощью лазеров). Системы видимого света используются как высокоскоростная аль-тернатива микроволновым двухточечным каналам для организации доступа на небольших расстояниях.

Чем выше несущая частота, тем выше возможная скорость пере-дачи информации. Чем выше частота, тем хуже проникает сигнал через препятствия. Низкочастотные радиоволны AM- диапазонов легко проникают в дома, позволяя обходиться комнатной антенной. Более высокочастотный сигнал телевидения требует, как правило, внешней антенны. И наконец, инфракрасный и видимый свет не проходят через стены, ограничивая передачу прямой видимостью LOS (Line Of Sight). Чем выше частота, тем быстрее убывает энер-гия сигнала с расстояниям от источника. При распространении электромагнитных волн в свободном пространстве (без отражений) затухание мощности сигнала пропорционально произведению ква-драта расстояния от источника сигнала на квадрат частоты сигнала. Низкие частоты (до 2 МГц) распространяются вдоль поверхности земли. Именно поэтому сигналы AM- радио могут передаваться на расстояния в сотни километров. Сигналы частот 2…30 МГц отража-ются ионосферой земли, поэтому они могут распространяться даже на более значительные расстояния в несколько тысяч километров (при достаточной мощности передатчика). Сигналы в диапазоне выше 30 МГц распространяются только по прямой (т. е. сигналы прямой видимости). Потребность в скоростной передаче информа-ции является превалирующей, поэтому все современные системы беспроводной передачи информации работают в высокочастотных диапазонах, начиная с 800 МГц, несмотря на преимущества, которые сулят низкочастотные диапазоны благодаря распространению сигнала вдоль поверхности земли или отражения от ионосферы.

Сигнал, встретившись с препятствием, может распространяться в соответствии с тремя механизмами: отражением, дифракцией и рас-сеиванием. Волны микроволнового диапазона имеют длину несколь-

ФГБО

У ВПО



У ВПО



98

ко сантиметров, поэтому они частично отражаются от стен домов при передаче сигналов в городе. Если сигнал встречает непроницаемое для него препятствие (например, металлическую пластину) намного большего размера, чем длина волны, происходит дифракция — сигнал как бы огибает препятствие, так что такой сигнал можно получить, даже не находясь в зоне прямой видимости. И наконец, при встрече с препятствием, размеры которого соизмеримы с длиной волны, сигнал рассеивается, распространяясь под различными углами.

Результатом подобных явлений, которые повсеместно встречаются при беспроводной связи в городе, является то, что приемник может получить несколько копий одного и того же сигнала. Такой эффект называется многолучевым распространением сигнала. Во многих случаях результат многолучевого распространения сигнала оказы-вается отрицательным, поскольку один из сигналов может прийти с обратной фазой и подавить основной сигнал. Поскольку время распространения сигнала вдоль различных путей в общем случае раз-личным, то может также наблюдаться межсимвольная интерферен-ция — ситуация, когда в результате задержки сигналы, кодирующие соседние биты данных, доходят до приемника одновременно. Иска-жения из- за многолучевого распространения приводят к ослаблению сигнала, этот эффект называется многолучевым замиранием.

Отказ от проводов и обретение мобильности сопровождается высоким уровнем помех в беспроводных линиях связи. Если интен-сивность битовых ошибок (BER) в проводных линиях связи равна 10-9—10-10, то в беспроводных линиях связи она достигает значения 10-3. Проблема высокого уровня помех беспроводных каналов ре-шается различными способами. Важную роль играют специальные методы кодирования, распределяющие энергию сигнала в широком диапазоне частот. Кроме того, передатчики сигнала (и приемники, если это возможно) стараются разместить на высоких башнях, чтобы избежать многократных отражений. Еще одним приемом является применение протоколов с установлением соединений и повторны-ми передачами кадров уже на канальном уровне стека протоколов. Эти протоколы позволяют быстрее корректировать ошибки, так как работают с меньшими значениями тайм- аутов, чем корректирующие протоколы транспортного уровня, такие как TCP.

9.2. требования к беспроводным сетям

Беспроводные сети должны удовлетворять некоторым требова-ниям, типичным для всех ЛВС, в том числе: высокая пропускная способность, возможность охвата небольших расстояний, связность подключенных станций и возможность широковещания. Кроме того, существует набор требований, характерных только для беспроводных ЛВС сетей. Перечислим важнейшие из них:

ФГБО

У ВПО



У ВПО



99

производительность. Протокол управления доступом к среде ••должен максимально эффективно использовать беспроводную среду для максимизации пропускной способности;

число узлов. От беспроводных ЛВС может требоваться под-••держка сотен узлов из множества ячеек;

соединение с магистральной локальной сетью. В большинстве ••случаев требуется взаимосвязь со станциями магистральной ЛВС. Для беспроводных ЛВС, имеющих внутреннюю инфраструктуру, это тре-бование легко удовлетворяется посредством использования модулей управления, присоединяемых к локальным сетям обоих типов;

обслуживаемая область. Типичная сфера охвата беспроводной ••ЛВС имеет диаметр 100…300 м;

потребление питания от батарей. Питание от батарей делает ••неприменимым протокол MAC, требующий, чтобы мобильные узлы постоянно следили за точками доступа или часто связывались с основной станцией;

устойчивость передачи и безопасность. Беспроводные сети, если ••они разработаны неправильно, могут быть подвержены интерферен-ции и легко прослушиваться. Структура беспроводной ЛВС должна обеспечивать надежную передачу даже в обстановке шума, а также некоторый уровень зашиты от прослушивания;

совместная работа в сети. Существует вероятность того, что две ••или более сетей будут работать в одной области или в нескольких областях, допускающих интерференцию разных локальных сетей. Такая интерференция может мешать нормальной работе алгоритма MAC и способствовать несанкционированному доступу к отдельной ЛВС;

работа без лицензии. Пользователи желали бы приобретать ••продукты рынка беспроводных ЛВС и работать с ними на нелицен-зируемой полосе частот;

переключение/роуминг. Протокол MAC, используемый в бес-••проводных ЛВС, должен позволять мобильным станциям переме-щаться из одной ячейки в другую;

динамическая конфигурация. МАС-•• адресация и сетевое управ-ление ЛВС должны позволять динамическое и автоматическое до-бавление, удаление и передислокацию конечных систем, не причиняя неудобств другим пользователям.

9.3. типы беспроводных сетей

Современные беспроводные сети можно разделить в соответствии с радиусом действия и назначением, как представлено на рис. 9.1.

Персональные сети (WPAN) предназначены для связывания между собой компонентов компьютера в пределах малого радиу-са действия — в так называемой персональной зоне. WPAN- сети

ФГБО

У ВПО



У ВПО



100

нужны не только для подключения компьютерной периферии: по мере того как растет количество устройств, подключаемых к сети, все актуальнее становится проблема их беспроводного соединения в персональной зоне.

Технологии WLAN базируются на семействе стандартов 802.11. Многие организации и домашние пользователи используют Wi- Fi как альтернативу проводным ЛВС. Технологии WLAN часто обозначают термином Wi- Fi. Изначально данный термин был введен органи-зацией Wi- Fi Alliance, для обозначения продуктов серии стандарта 802.11b, однако сегодня этот термин применяют для продуктов, со-ответствующих любому стандарту из семейства 802.11.

К городским беспроводным сетям (WMAN) относятся сети стан-дартов IEEE 802.16 (WiMAX) и 802.20 (Mobile Fi). Поскольку данные технологии используются в качестве стандартов беспроводного широ-кополосного доступа BWA (Broadband Wireless Access), то технологию WiMAX также обозначают как BWA 802.16, а стандарт 802.20 (Mobile Fi) — как BWA- m (802.20).

Глобальные беспроводные сети WWAN отличаются от беспровод-ных ЛВС WLAN тем, что для передачи данных в них используются беспроводные технологии сотовой связи, такие как UMTS, GPRS, CDMA2000, GSM, CDPD, Mobitex, HSDPA, 3G, LTE. Технологии WWAN дают возможность пользователю, например, с ноутбуком и WWAN- адаптером получать доступ к Всемирной паутине, пользо-ваться электронной почтой и подключаться к виртуальным частным сетям из любой точки в пределах зоны действия оператора беспро-водной связи. Многие современные портативные компьютеры имеют встроенные адаптеры WWAN (например, HSDPA). С точки зрения видов коммутации. В сетях передачи данных сети WWAN можно использовать как коммутацию пакетов (GPRS), так и коммутацию каналов (CSD, HSCSD).

Рис. 9.1. Типы беспроводных сетей

ФГБО

У ВПО



У ВПО



101

9.4. беспроводные персональные сети

Беспроводные персональные сети — сети, стандарт которых раз-работан рабочей группой IEEE 802.15. WPAN, применяются для связи различных устройств, включая компьютерную, бытовую и оргтехнику, средства связи и т. д. Физический и канальный уровни регламенти-руются стандартом IEEE 802.15.4. Радиус действия WPAN составляет от нескольких метров до нескольких десятков сантиметров. WPAN используется как для объединения отдельных устройств между со-бой, так и для связи их с сетями более высокого уровня, например глобальной сетью Интернет. К сетевым технологиям WPAN относятся Bluetooth, ZigBee, 6loWPAN, UWB и др.

Bluetooth (в переводе синий зуб) назван в честь Харальда I Сине-зубого, правившего в X в. Данией и частью Норвегии и объединив-шего враждовавшие датские племена в единое королевство — про-изводственная спецификация беспроводных персональных сетей WPAN.

Bluetooth обеспечивает обмен информацией в радиусе до 100 м друг от друга между такими устройствами как персональные ком-пьютеры, мобильные телефоны, принтеры и пр. на надежной, бес-платной, повсеместно доступной радиочастоте для ближней связи.

Спецификация Bluetooth была разработана группой Bluetooth Special Interest Group (Bluetooth SIG), которая была основана в 1998 г. В нее вошли компании Ericsson, IBM, Intel, Toshiba и Nokia. Впослед-ствии Bluetooth SIG и IEEE достигли соглашения, на основе которого спецификация Bluetooth стала частью стандарта IEEE 802.15.1 (дата опубликования — 14 июня 2002 г.). Работы по созданию Bluetooth компания Ericsson Mobile Communication начала в 1994 г. Первона-чально эта технология была приспособлена под потребности системы FLYWAY в функциональном интерфейсе между путешественниками и системой.

Принцип действия основан на использовании радиоволн. Радио-связь Bluetooth осуществляется в ISM- диапазоне (Industry, Science and Medicine), который используется в различных бытовых прибо-рах и беспроводных сетях (свободный от лицензирования диапазон 2,4…2,4835 ГГц). В Bluetooth применяется метод расширения спектра со скачкообразной перестройкой частоты FHSS (Frequency Hopping Spread Spectrum). Метод FHSS прост в реализации, обеспечивает устойчивость к широкополосным помехам, а оборудование недо-рого.

Согласно алгоритму FHSS в Bluetooth несущая частота сигнала скачкообразно меняется 1 600 раз в секунду (всего выделяется 79 ра-бочих частот шириной в 1 МГц, а в Японии, Франции и Испании по-лоса уже — 23 частотных канала). Последовательность переключения между частотами для каждого соединения является псевдослучайной и известна только передатчику и приемнику, которые каждые 625 мкс

ФГБО

У ВПО



У ВПО



102

(один временной слот) синхронно перестраиваются с одной несущей частоты на другую. Этот алгоритм является также составной частью системы защиты конфиденциальности передаваемой информации: переход происходит по псевдослучайному алгоритму и определяется отдельно для каждого соединения. При передаче цифровых данных и аудиосигнала (64 Кбит/с в обоих направлениях) используются различные схемы кодирования: аудиосигнал не повторяется (как правило), а цифровые данные в случае утери пакета информации будут переданы повторно.

Протокол Bluetooth поддерживает не только соединение point- to-

point, но и соединение point- to- multipoint.В Bluetooth 1.1 было исправлено множество ошибок, найденных

в версии 1.0B, добавлена поддержка для нешифрованных каналов, индикация уровня мощности принимаемого сигнала RSSI. В версию Bluetooth 1.2 добавлена технология адаптивной перестройки рабочей частоты AFH, что улучшило сопротивляемость к электромагнитной интерференции (помехам) путем использования разнесенных частот в последовательности перестройки. При этом также увеличилась скорость передачи и добавилась технология eSCO, которая улучшала качество передачи голоса путем повторения поврежденных пакетов. В HCI добавилась поддержка трехпроводного интерфейса UART.

Bluetooth 2.0 + EDR был выпущен 10 ноября 2004 г. Имеет обрат-ную совместимость с предыдущими версиями 1.x. Основным ново-введением стала поддержка EDR (Enhanced Data Rate) для ускорения передачи данных. Номинальная скорость EDR составляет около 3 Мбит/с, однако на практике это позволило повысить скорость пере-дачи данных только до 2,1 Мбит/с. Стандартная (базовая) скорость передачи данных использует GFSK- модуляцию радиосигнала при скорости передачи 1 Мбит/с. EDR использует сочетание модуляций GFSK и PSK с двумя вариантами, π/4-DQPSK и 8DPSK. Они имеют большие скорости передачи данных по воздуху — 2 и 3 Mбит/с со-ответственно.

В Bluetooth 2.1 добавлена технология расширенного запроса ха-рактеристик устройства (для дополнительной фильтрации списка при сопряжении), энергосберегающая технология Sniff Subrating, которая увеличивает продолжительность работы устройства от одного заряда аккумулятора в 3—10 раз. Кроме того обновленная специфи-кация позволяет производить обновление ключа шифрования без разрыва соединения, а также делает указанные соединения более защищенными, благодаря использованию технологии Near Field Communication.

Bluetooth 2.1 + EDR представлена компанией Bluetooth SIG в августе 2008 г. Новая редакция Bluetooth снижает потребление энергии в 5 раз, повышает уровень защиты данных и облегчает распознавание и соединение Bluetooth- устройств благодаря умень-шению количества шагов, за которые оно выполняется. Bluetooth

ФГБО

У ВПО



У ВПО



103

3.0 + HS была принята Bluetooth SIG 21 апреля 2009 г. Она под-держивает теоретическую скорость передачи данных до 24 Мбит/с. Ее основной особенностью является добавление асимметричной мультипроцессорной обработки (AMP) (альтернативно MAC/PHY), дополнение к 802.11 как высокоскоростное сообщение. Для AMP: 802.11 и UWB были предусмотрены две технологии, но UWB отсут-ствует в спецификации. Модули с поддержкой новой спецификации соединяют в себе две радиосистемы: первая обеспечивает передачу данных в 3 Мбит/с (стандартная для Bluetooth 2.0) и имеет низкое энергопотребление; вторая совместима со стандартом 802.11 и обе-спечивает возможность передачи данных со скоростью до 24 Мбит/с, что сравнимо со скоростью сетей Wi- Fi. Выбор радиосистемы для передачи данных зависит от размера передаваемого файла. Не-большие файлы передаются по медленному каналу, а большие — по высокоскоростному. Bluetooth 3.0 использует более общий стандарт 802.11 (без суффикса), т. е. не совместим с такими спецификациями Wi- Fi, как 802.11b/g или 802.11n.

Спецификация Bluetooth 4.0 утверждена 30 июня 2010 г. и вклю-чает в себя протоколы классический Bluetooth, высокоскоростной Bluetooth и Bluetooth с низким энергопотреблением. Высокоскорост-ной Bluetooth основан на Wi- Fi, а классический Bluetooth состоит из протоколов предыдущих спецификаций Bluetooth.

Протокол Bluetooth с низким энергопотреблением предназначен, прежде всего, для миниатюрных электронных датчиков. Низкое энергопотребление достигается за счет использования специального алгоритма работы. Передатчик включается только на время отправки данных, что обеспечивает возможность работы от одной батарейки типа CR2032 в течение нескольких лет. Стандарт предоставляет ско-рость передачи данных в 1 Мбит/с при размере пакета данных 8…27 байт. В новой версии два Bluetooth- устройства смогут устанавливать соединение менее чем за 5 мс и поддерживать его на расстоянии до 100 м. Для этого используется усовершенствованная коррекция оши-бок, а необходимый уровень безопасности обеспечивает 128-битное AES- шифрование.

ZigBee — спецификация сетевых протоколов верхнего уровня (уровня приложений API и сетевого уровня), использующих сервисы нижних уровней — уровня управления доступом к среде MAC и фи-зического уровня, регламентированных стандартом IEEE 802.15.4. ZigBee и IEEE 802.15.4 описывают беспроводные персональные вы-числительные сети (WPAN). Спецификация ZigBee ориентирована на приложения, требующие гарантированной безопасной передачи данных при относительно небольших скоростях и возможности длительной работы сетевых устройств от автономных источников питания (батарей).

Основная особенность технологии ZigBee заключается в том, что она при малом энергопотреблении поддерживает не только такие

ФГБО

У ВПО



У ВПО



104

простые топологии сети, как точка- точка, дерево и звезда, но и са-моорганизующуюся и самовосстанавливающуюся ячеистую (mesh) топологию с ретрансляцией и маршрутизацией сообщений. Кроме того, спецификация ZigBee содержит возможность выбора алгоритма маршрутизации, в зависимости от требований приложения и со-стояния сети, механизм стандартизации приложений — профили приложений, библиотека стандартных кластеров, конечные точки, привязки, гибкий механизм безопасности, а также обеспечивает простоту развертывания, обслуживания и модернизации. Примене-ние сетей ZigBee в Российской Федерации в частотном диапазоне 2,405…2,485 ГГц не требует получения частотных разрешений и до-полнительных согласований. Основными областями применения технологии ZigBee являются беспроводные сенсорные сети, авто-матизация жилья («Умный дом» и «Интеллектуальное здание»), медицинское оборудование, системы промышленного мониторинга и управления, а также бытовая электроника и «периферия» персо-нальных компьютеров.

UWB (Ultra- Wide Band) — беспроводная технология связи на малых расстояниях при низких затратах энергии, использующая в качестве несущей сверхширокополосные сигналы с крайне низ-кой спектральной плотностью мощности. Для безлицензионного использования сверхширокополосных сигналов в Российской Фе-дерации выделен диапазон 2,85...10 ГГц, в США — 3,1...10,6 ГГц, в Евросоюзе — 6...8 ГГц. При этом спектральная плотность мощности сверхширокой полосы приемопередатчика при работе в помещении не должна превышать -47...-45 дБм/МГц (-41,3 дБм/МГц в США и Евросоюзе). Использование сверхширокой полосы частот (не менее 500 МГц) позволяет UWB достичь скорости передачи до 480 Мбит/с на расстоянии до 3 м. На дистанциях до 10 м технология позволяет достичь лишь 110 Мбит/с.

6LoWPAN (IPv6 over Low power Wireless Personal Area Networks — стандарт взаимодействия по протоколу IPv6 поверх маломощных беспроводных персональных сетей стандарта IEEE 802.15.4) — версия протокола IPv6 для беспроводных сенсорных сетей с низким энерго-потреблением. Основные особенности сетей 6LoWPAN: доступность любого узла сети по его адресу; отсутствие необходимости в шлюзе прикладного уровня для работы с узлами сети.

Поскольку 6LoWPAN является протоколом сетевого уровня, то может использоваться с любым физическим и канальным уровнем, аналогичная ситуация и со стеком TCP/IP. Более того, не обязательно использовать беспроводную среду передачи. Для поддержки боль-ших сетей узлы 6LoWPAN могут выполнять роль маршрутизаторов, возможна маршрутизация с ориентацией на уровень сигнала, что позволяет передавать данные на низкой мощности, экономя энерго-ресурс источника питания. Отсутствует единая точка отказа сети. Тех-нологии 6LoWPAN — очень важный этап в развитии беспроводной

ФГБО

У ВПО



У ВПО



105

связи, поскольку дают возможность использовать Интернет в сетях стандарта IEEE 802.15.4 без дополнительных затрат. Таким образом, появляется возможность объединять локальные беспроводные сети, расположенные в различных регионах мира.

9.5. беспроводные локальные сети

Технологии WLAN базируются на семействе стандартов 802.11. Многие организации и домашние пользователи используют Wi- Fi. Несмотря на то, что поначалу в некоторых пресс- релизах WECA фи-гурировало словосочетание Wireless Fidelity (беспроводная точность), на данный момент от такой формулировки отказались, и термин Wi- Fi никак не расшифровывается.

Wi- Fi был создан в 1991 г. NCR Corporation/AT&T (впослед-ствии — Lucent Technologies и Agere Systems) в Ньивегейн, Нидерлан-ды. Продукты, предназначавшиеся изначально для систем кассового обслуживания, были выведены на рынок под маркой WaveLAN и обе-спечивали скорость передачи данных от 1 до 2 Мбит/с. Создатель Wi- Fi — Вик Хейз находился в команде, участвовавшей в разработке таких стандартов, как IEEE 802.11b, 802.11a и 802.11g. В 2003 г. Вик ушел из Agere Systems. Agere Systems не смогла конкурировать на равных в тяжелых рыночных условиях, несмотря на то, что ее про-дукция занимала нишу дешевых Wi- Fi решений. 802.11abg all- in- one чипсет от Agere (WARP) плохо продавался и Agere Systems решила уйти с рынка Wi- Fi в конце 2004 г.

IEEE 802.11a — наиболее «широкополосный» из семейства стандартов 802.11, предусматривая скорость передачи данных до 54 Мбит/с (редакцией стандарта, утвержденной в 1999 г., определены три обязательных скорости — 6, 12 и 24 Мбит/с и пять необязатель-ных — 9, 18, 36, 48 и 54 Мбит/с). В отличие от базового стандарта, ориентированного на область частот 2,4 ГГц, спецификациями 802.11а предусмотрена работа в диапазоне 5 ГГц. В качестве метода модуля-ции сигнала выбрано ортогональное частотное мультиплексирование OFDM (Orthogonal Frequency Division Multiplexing). Наиболее суще-ственное различие между этим методом и технологиями DSSS и FHSS заключается в том, что OFDM предполагает параллельную передачу полезного сигнала одновременно по нескольким частотам диапазона, в то время как технологии расширения спектра передают сигналы последовательно. В результате повышается пропускная способность канала и качество сигнала. К недостаткам стандарта 802.11а относятся более высокая потребляемая мощность радиопередатчиков для частот 5 ГГц, а также меньший радиус действия (оборудование для 2,4 ГГц может работать на расстоянии до 300 м, а для 5 ГГц — около 100 м). Для увеличения пропускной способности канала применяется диа-пазон частот передачи 5,5 ГГц. Для передачи в 802.11a используется

ФГБО

У ВПО



У ВПО



106

метод множества несущих, когда диапазон частот разбивается на под-каналы с разными несущими частотами OFDM, по которым поток передается параллельно, разбитым на части. Использование метода квадратурной фазовой модуляции позволяет достичь пропускной способности канала 54 Мбит/с.

Вопреки своему названию, принятый в 1999 г. стандарт IEEE 802.11b не является продолжением стандарта 802.11a, поскольку в них используются различные технологии: DSSS (точнее, его улучшен-ная версия HR- DSSS) в 802.11b против OFDM в 802.11a. Стандарт предусматривает использование нелицензируемого диапазона частот 2,4 ГГц. Скорость передачи до 11 Мбит/с.

Спецификации 802.11g — развитие стандарта 802.11b, позволя-ют повысить скорость передачи данных в беспроводных ЛВС до 22 Мбит/с (а возможно, и выше) благодаря использованию более эффективной модуляциии сигнала. Одним из достоинств стандарта является обратная совместимость с 802.11b.

Стандарт IEEE 802.11n был утвержден 11 сентября 2009 г. Его применение позволяет повысить скорость передачи данных прак-тически вчетверо по сравнению с устройствами стандартов 802.11g (максимальная скорость которых равна 54 Мбит/с), при условии использования в режиме 802.11n с другими устройствами 802.11n. Теоретически 802.11n способен обеспечить скорость передачи данных до 600 Мбит/с.

Главный постулат безопасности любой сети, не только беспро-водной, — управление доступом и конфиденциальностью. Одним из надежных способов управления доступом к WLAN является аутенти-фикация, позволяющая предотвратить доступ несанкционированных пользователей к передаче данных через точки доступа. Действенные меры управления доступом к WLAN помогают определить круг раз-решенных клиентских станций и связать их только с доверенными точками доступа, исключая несанкционированные или опасные точки доступа.

Конфиденциальность сетей WLAN подразумевает, что передавае-мые данные будут правильно расшифрованы только той стороной, для которой они были предназначены. Статус конфиденциальности передаваемых по WLAN данных считается защищенным, если данные зашифрованы ключом, которым может воспользоваться только тот получатель данных, для которого они предназначались. Шифрова-ние подразумевает, что целостность данных не нарушается в течение всего процесса передачи — отправки и получения. На сегодняшний день компании, использующие сети WLAN, внедряют четыре от-дельных решения для безопасности WLAN и управления доступом и конфиденциальностью: открытый доступ, базовая безопасность, повышенная безопасность и безопасность удаленного доступа.

Базовая безопасность заключается в использовании идентифи-каторов сети SSID (Service Set Identifier), открытой аутентификации

ФГБО

У ВПО



У ВПО



107

или аутентификации с использованием общего ключа, статических WEP- ключей и, как вариант, аутентификации по MAC- адресу. С по-мощью этой комбинации можно настроить элементарные средства управления доступом и конфиденциальностью, однако каждый от-дельный элемент такой защиты может быть взломан. Идентификатор SSID — общее имя сети для устройств в подсистеме WLAN, служит для логического обособления данной подсистемы. SSID предотвра-щает доступ любого клиентского устройства, не имеющего SSID. Однако, по умолчанию, точка доступа передает в эфир среди своих сигналов и свой SSID. Даже если отключить передачу в эфир SSID, взломщик или хакер может обнаружить нужный SSID с помощью так называемого сниффинга, или вынюхивания — незаметного мо-ниторинга сети.

Стандарт 802.11, группа спецификаций для сетей WLAN, вырабо-танная IEEE, поддерживает два средства аутентификации клиента: открытую аутентификацию и аутентификация с использованием общих ключей. При аутентификации с использованием общих ключей точка доступа посылает на клиентское устройство тестовый текстовый пакет, который клиент должен зашифровать правильным WEP- ключом и вернуть на точку доступа. Без правильного ключа аутентификация будет прервана и клиент не будет допущен в группу пользователей точки доступа. Аутентификация с использованием общих ключей не считается надежной, поскольку взломщик, по-лучивший в свое распоряжение начальное тестовое текстовое со-общение и это же сообщение, зашифрованное WEP- ключом, может расшифровать сам WEP- ключ. При открытой аутентификации, даже если клиент проходит аутентификацию и получает доступ в группу пользователей точки доступа, использование WEP- защиты не позво-ляет клиенту передавать данные с этой точки доступа без правильного WEP- ключа.

WEP- ключи могут состоять из 40 или 128 бит и обычно статически определяются сетевым администратором на точке доступа и каж-дом клиенте, передающем данные через эту точку доступа. Если устройство, использующее статические WEP- ключи, потеряно или украдено, обладатель пропавшего устройства может получить доступ к сети WLAN. Администратор не сможет определить, что в сеть про-ник несанкционированный пользователь, до тех пор, пока не будет доложено о пропаже. После этого администратор должен сменить WEP- ключ на каждом устройстве, использующем тот же статический WEP- ключ, что и пропавшее устройство.

Если статический WEP- ключ был расшифрован с помощью такого инструмента, как AirSnort, администратор никак не узнает о том, что ключ был взломан несанкционированным пользователем. Некоторые поставщики решений WLAN поддерживают аутентификацию на базе физического адреса или MAC- адреса, клиентской сетевой карты (NIC). Точка доступа позволит клиенту ассоциироваться с точкой

ФГБО

У ВПО



У ВПО



108

доступа только в случае, если MAC- адрес клиента соответствует одному из адресов в таблице аутентификации, используемой точкой доступа. Однако аутентификация по MAC- адресу не является адек-ватной мерой безопасности, поскольку MAC- адрес можно подделать, а сетевую карту — потерять или украсть.

Другая форма доступной на сегодняшний день базовой безопас-ности — это WPA или WPA2 с использованием общих ключей PSK (Pre- Shared Key). Клиент может получить доступ к сети только в том случае, если пароль клиента соответствует паролю точки доступа. Общий ключ также предоставляет данные для генерации ключа шифрования, который используется алгоритмами TKIP или AES для каждого пакета передаваемых данных. Являясь более защищенным, чем статический WEP- ключ, общий ключ аналогичен статическому WEP- ключу в том, что хранится на клиентской станции и может быть взломан, если клиентская станция потеряна или украдена.

9.6. беспроводные городские сети

WiMAX — протокол беспроводной широкополосной радиосвязи, разработанный консорциумом WiMAX Forum, который был основан в июне 2001 г. с целью продвижения и развития технологии WiMAX. Форум описывает WiMAX как «основанную на стандарте технологию, предоставляющую высокоскоростной беспроводной доступ к сети, альтернативный выделенным линиям и DCL». Максимальная ско-рость — до 1 Гбит/с на ячейку. В основе его лежит стандарт 802.16. WiMAX относится к технологии Wireless MAN, которая может соеди-няться с точками доступа стандарта IEEE 802.11 (Wi- Fi). WiMAX явля-ется альтернативой прокладке кабеля или линии DSL. Теоретически технология стандарта 802.16 должна обеспечивать покрытие сигналом площади радиусом до 50 км без прямой видимости. В общем виде WiMAX сети состоят из следующих основных частей: базовых и або-нентских станций, а также оборудования, связывающего базовые станции между собой, с поставщиком сервисов и с Интернетом.

Для соединения базовой станции с абонентской используется высокочастотный диапазон радиоволн 1,5 … 11 ГГц. В идеальных условиях скорость обмена данными может достигать 70 Мбит/с, при этом не требуется обеспечения прямой видимости между базовой станцией и приемником.

Между базовыми станциями устанавливаются соединения (прямой видимости), использующие диапазон частот от 10 до 66 ГГц, скорость обмена данными может достигать 140 Мбит/c. При этом, по крайней мере одна базовая станция подключается к сети провайдера с исполь-зованием классических проводных соединений. Однако, чем большее число беспроводных сетей подключено к сетям провайдера, тем выше скорость передачи данных и надежность сети в целом.

ФГБО

У ВПО



У ВПО



109

Структура сетей семейства стандартов IEEE 802.16 схожа с тради-ционными GSM сетями (базовые станции действуют на расстояниях до десятков километров, для их установки не обязательно строить вышки — допускается установка на крышах домов при соблюдении условия прямой видимости между станциями).

В Wi- Fi- сетях все пользовательские станции, которые хотят передать информацию через точку доступа (АР), соревнуются за «внимание» последней. Такой подход может вызвать ситуацию, при которой связь для более удаленных станций будет постоянно обрываться в пользу более близких станций. Подобное положение вещей делает затруднительным использование таких сервисов как Voice over IP (VoIP), которые очень сильно зависят от непрерывного соединения.

Что же касается сетей 802.16, в них MAC использует алгоритм планирования. Любой пользовательской станции стоит лишь под-ключиться к точке доступа, для нее будет создан выделенный слот на точке доступа, недоступный другим пользователям.

Технология широкополосного беспроводного доступа BWA стан-дарта IEEE 802.16 (WiMAX) предназначена для оказания услуг по передаче данных удаленным абонентам, в частности, доступа к Ин-тернету, IP- телефонии, передачи видео- и аудиоинформации (видео по требованию, видеоконференции и др.).

Стандарт IEEE 802.16 определяет применение широкополосного шумоподобного радиосигнала с модуляцией OFDMA для мобиль-ных приложений с частотным FDD (Frequency Division Duplex) и временным методом разделения сеансов приема- передачи данных TDD (Time Division Dupleх), а также методом мультиплексирования с временным разделением каналов TDMA (Time Division Multiply Access) множественного доступа абонентов.

Оборудование FDD для дуплексного приема и передачи радио-сигнала использует различные полосы частоты, разнесенные на 100 МГц. В свою очередь, в оборудовании TDD для приема и передачи используется один и тот же частотный канал с разделением сеанса приема- передачи по временным интервалам.

BWA- m 802.20 — стандарт для мобильного доступа к данным, который, в отличие от WiMAX, рассчитан на работу в городах при ограниченном числе базовых станций. Данный стандарт имеет боль-ше сходства с обычными сотовыми системами и предназначен для быстродействующих мобильных подключений на скоростях свыше 1 Мбит/с.

9.7. беспроводные глобальные сети

В стандартах сетей WWAN принято выделять поколения. К перво-му 1G (The 1-st Generation) относятся аналоговые стандарты, ко-

ФГБО

У ВПО



У ВПО



110

торые постепенно ушли в прошлое. Говоря о втором поколении, прежде всего следует сказать о GSM (Global Standard for Mobile Communications) — глобальном стандарте для мобильной сотовой связи с разделением канала по принципу TDMA, подразумеваю-щему множественный доступ с разделением по времени. При этом способе использования радиочастот в одном частотном слоте на-ходится несколько абонентов, а разные абоненты применяют раз-личные временные слоты для передачи. В сотовых цифровых сетях стандарта GSM может передаваться не только оцифрованная речь, но и цифровые данные.

Абоненты сетей GSM могут пользоваться услугами мобильного модема, получать доступ к компьютерным системам их офисов, посылать и принимать сообщения электронной почты. Одним из основных недостатков таких сетей является низкая скорость переда-чи. Возможности мобильного доступа в Интернет были значительно расширены с переходом на использование технологии пакетной передачи данных по радиосетям GPRS (General Packet Radio Service), но радикальное увеличение произошло в высокопроизводительных сотовых сетях третьего поколения (3G). Поскольку функциональные возможности сети GPRS меньше, чем у полноценной сети третьего поколения, то данный стандарт получил название 2,5G, что отражает его переходное состояние от второго поколения к третьему.

LTE (Long- Term Evolution) —  технология построения сетей бес-проводной связи поколения, следующего за 3G, на базе IP- техно-логий, отличающаяся высокими скоростями передачи данных. Со-ответствующий стандарт разработан и утвержден международным партнерским объединением 3GPP. LTE предполагает более глубокое изменение 3G, знаменующее переход от систем CDMA (WCDMA) к системам OFDMA, а также переход от систем с коммутацией ка-налов к системе коммутации пакетов.

Реализация LTE возможна в разных частотных диапазонах — от 1,4 до 20 МГц, а также по различным технологиям разделения — FDD (частотное) и TDD (временное). Для реализации скоростей до 326,4 Мбит/с планируется использовать технологию MIMO в кон-фигурации антенн 4×4. В конфигурации 2×2 предельные скорости «вниз» могут достигать 172,8 Мбит/с (в каждой частотной полосе 20 МГц). Пиковая скорость в направлении «вверх» может достигать 86,4 Мбит/с на каждую полосу в 20 МГц. Радиус действия базовой станции LTE может быть различным. Оптимальный радиус действия составляет около 5 км, но при необходимости он может достигать 30 км или даже 100 км (при достаточном поднятии антенны). Звонок или сеанс передачи данных, инициированный в зоне покрытия LTE, технически может быть передан без разрыва в сеть 3G (WCDMA), CDMA2000 или в GSM/GPRS/EDGE.

Сеть LTE лучше использует частотный спектр, отличается по-вышенной емкостью и меньшими значениями задержки (latency),

ФГБО

У ВПО



У ВПО



которая для небольших пакетов может снижаться до значения всего в 5 мс. Еще одно преимущество — в отличие от WCDMA (требующей полосы в 5 МГц), LTE способна работать с различными полосами частот — 1,5 … 20 МГц. Внедрение технологии LTE позволяет опе-раторам уменьшить капитальные и операционные затраты, снизить совокупную стоимость владения сетью, расширить свои возмож-ности в области конвергенции услуг и технологий, повысить до-ходы от предоставления услуг передачи данных. Сеть поддерживает MBSFN (Multicast Droadcast Single Frequency Network), что позволяет предоставлять такие услуги, как мобильное ТВ в противовес DVB- H. Стандарт Rel.8 предусматривает возможность одновременной работы до 200 активных пользователей в каждой соте, использующей полосу 5 МГц.


Что лежит в основе классификации беспроводных вычислительных се-1. тей?Перечислите требования, предъявляемые к беспроводным сетям.2. Какие технологии используются в персональных беспроводных сетях?3. Какие технологии используются в локальных беспроводных сетях?4. Как обеспечивается безопасность в сетях Wi-5. Fi?Какие технологии используются в городских беспроводных сетях?6. Какие технологии используются в глобальных беспроводных сетях?7.

ФГБО

У ВПО



У ВПО



112

Гл а в а 10

интеГраЦиОннОе ОбОрудОвание

10.1. средства масштабирования сетей

Возможность совместной работы имеет большое значение, когда нужно совместно использовать файлы в разных ОС. Это предусма-тривает не только подключение аппаратуры для совместной работы в сети, но и использование протоколов, позволяющих системам взаимодействовать друг с другом через сетевой кабель. Физические протоколы охватывают физическое подключение аналогичной аппа-ратуры и протоколы связи данных, используемые этим аппаратным обеспечением. Межсетевые протоколы определяют подключение аналогичной и различающейся аппаратуры через мосты и маршрути-заторы. Прикладные протоколы определяют возможности совместной работы операционных систем и приложений.

Сеть в общем случае рассматривается как совокупность не-скольких сетей и называется составной сетью или интерсетью (inter network). Сети, входящие в составную сеть, называются подсетями (subnet), составляющими сетями или просто сетями. Подсети соеди-няются между собой маршрутизаторами. Компонентами составной сети могут являться как локальные, так и глобальные сети. Все узлы в пределах одной подсети взаимодействуют, используя единую для них технологию. В составную сеть может входить несколько сетей разных технологий: локальные сети Ethernet, Fast Ethernet, Token Ring, FDDI и глобальные сети frame relay, X.25, ISDN. Каждая из этих технологий достаточна для того, чтобы организовать взаимодействие всех узлов в своей подсети, но не способна построить информационную связь между произвольно выбранными узлами, принадлежащими разным подсетям.

Уровень протоколов сетевого и межсетевого обмена включает в себя сетевой и транспортный уровень. Он определяет связь (через мосты) аналогичных сетей и маршрутизацию между подобными и различными сетями. На этом уровне происходит межсетевое взаимодействие сетей с различными топологиями. Данный уровень позволяет отфильтровывать пакеты одних локальных сетей, чтобы они без необходимости не попадали в другие локальные сети. Сле-довательно, для организации взаимодействия между любой про-

ФГБО

У ВПО



У ВПО



113

извольной парой узлов этой «большой» составной сети требуются дополнительные средства. Такие средства и предоставляет сетевой уровень. Сетевой уровень выступает в качестве координатора, ор-ганизующего работу всех подсетей, лежащих на пути продвижения пакета по составной сети. Для перемещения данных в пределах под-сетей сетевой уровень обращается к используемым в этих подсетях технологиям.

Хотя многие технологии локальных сетей (Ethernet, Token Ring, FDDI, Fast Ethernet и др.) используют одну и ту же систему адресации узлов на основе МАС — адресов, существует немало технологий (X.25, АТМ, frame relay), в которых применяются другие схемы адресации. Адреса, присвоенные узлам в соответствии с технологиями подсетей, называют локальными. Чтобы сетевой уровень мог выполнить свою задачу, ему необходима собственная система адресации, не зависящая от способов адресации узлов в отдельных подсетях, которая позволи-ла бы на сетевом уровне универсальным и однозначным способами идентифицировать любой узел составной сети. Естественным спосо-бом формирования сетевого адреса является уникальная нумерация всех подсетей составной сети и нумерация всех узлов в пределах каждой подсети. Таким образом, сетевой адрес представляет собой пару: номер сети (подсети) и номер узла.

Возможны различные типы соединения сетей — с помощью по-вторителей, мостов, коммутаторов и маршрутизаторов.

10.2. повторители

Повторитель усиливает сигнал сетевого кабеля, что позволяет увеличить его длину. Он не требует ПО и обычно представляет собой автономное устройство без непроизводительных издержек при пере-даче данных. Повторитель без задержки выполняет прозрачную пере-дачу данных. Использование повторителей, соединяющих кабельные сегменты друг с другом, позволяет наращивать пространственные параметры сети. Например, в Ethernet подключать повторители к сети можно через модули сопряжения со средой и интерфейсы с модулем сопряжения (поддерживая режим обнаружения конфликта и преры-вания длинных последовательностей), либо прямым подключением к кабелю.

Повторитель — простое устройство, которое всего лишь усиливает сигнал кабеля таким образом, что можно увеличить протяженность сети. Повторитель, как правило, представляет собой «неинтеллек-туальное» устройство и регенерирует сетевые сигналы, позволяя передавать их дальше. Повторители используют обычно в линейных кабельных системах, таких как Ethernet и, как правило, применяются в одном здании. Повторители работают на физическом уровне — нижнем уровне стека протоколов; протоколы высокого уровня не

ФГБО

У ВПО



У ВПО



114

используются. Связанные повторителем сегменты становятся частью одной и той же сети и имеют один и тот же сетевой адрес.

Каждый узел в сетевом сегменте имеет свой собственный адрес; узлы в расширенных сегментах не могут иметь те же адреса, что и узлы существующих сегментов, так как становятся частью одного сетевого сегмента. При расширении локальной сети число рабочих станций обычно не должно превышать определенного значения (как правило, это 50 станций на сегмент). Если это число превышено, то лучше разбить локальную сеть на несколько сегментов с помощью моста.

Любой повторитель должен быть прозрачным и не адресуемым; поддерживать амплитудные и прочие характеристики сигналов на выходе в пределах требуемых допусков; не накапливать дрожание сигналов при прохождении через сегменты сети и передавать кадры без искажений, модификаций, вычеркиваний и добавлений. Повто-рители работают обычно с той же скоростью передачи, что и сети, которые они связывают. Скорость передачи повторителя составляет около 15 000 пакетов в секунду (для типичной сети Ethernet).

10.3. мосты

Мост — устройство уровня связи данных, объединяющее две сети с одной или разной топологией. Например, на сервере Windows 2003 мост можно создать, просто добавив в него несколько сетевых плат, не более пяти, подключив каждую к своему сегменту сети. Компью-теры, работающие как мосты, называются multihomed.

Мост использует уровень MAC, так как на этом уровне известен адрес целевой рабочей станции. Поскольку мост видит все рабочие станции объединенных локальных сетей, он просто направляет пакет на нужную рабочую станцию. Трафик между локальными сетями не фильтруется, поэтому при сильном трафике возможны некоторые потери в производительности. Более того, если на мост попадает кадр с неизвестным адресом приемника, он тиражируется по всем остальным портам моста, кроме исходного. Основной задачей моста является обеспечение прозрачной связи между абонентами различ-ных сетей. Происходит это с помощью преобразования протоколов уровня MAC, не затрагивая функции LLC.

Мосты могут соединять две или более ЛВС и обеспечивать аль-тернативные маршруты между сетями в случае выхода из строя тех или иных сетевых звеньев. Подключение к мостам происходит через порты. Следует напомнить, что в локальных сетях между любыми двумя станциями должен существовать единственный путь, поэтому в объединенных ЛВС мосты поддерживают активную конфигурацию сети, которая обеспечивает единственность маршрута. В случае вы-хода из строя каких- либо сегментов сети активная конфигурация

ФГБО

У ВПО



У ВПО



115

меняется с помощью активизации новых портов в мостах, однако свойство единственности маршрута сохраняется. Алгоритмы, по которым происходит формирование активной конфигурации, на-зываются алгоритмами покрывающего дерева — STP (Spanning Tree Protocol).

Каждый мост должен выполнять следующие функции:транслировать и фильтровать кадры MAC из одной сети в дру-••

гую;формировать и поддерживать активную конфигурацию;••поддерживать актуальность информации, т. е. сбрасывать кадры ••

с просроченной доставкой;осуществлять общее управление и координировать службы мо-••

ста.При передаче информационных кадров мост считается неадре-

суемым, но при изменении активной конфигурации мосты обме-ниваются управляющими кадрами, и в качестве адреса получателя в каждом мосту выделяется адрес одного единственного порта, ко-торый считается управляющим. Мост добавляет к сетевой связи не-который уровень «интеллектуальности». Мост можно рассматривать как некий сортировщик почты, который анализирует адреса кадров и направляет их в соответствующие сетевые сегменты.

Можно создать мост, разбив большую сеть на две или более мелких сети. Это улучшает производительность, сокращая трафик, так как мост отфильтровывает трафик, локальный для каждого сегмента. За счет установки мостов можно расширить существующую сеть, ког-да достигнуто максимальное расстояние или для устранения узких мест в трафике, обусловленных слишком большим числом рабочих станций, подключенных к одному сегменту локальной сети. В на-стоящее время многие функции мостов реализуются маршрутиза-торами, которые предлагают дополнительные средства и функции маршрутизации. В последние несколько лет цены на маршрутизаторы неуклонно снижаются, и это делает их лучшим способом объедине-ния локальных сетей.

Рассмотрим некоторые разновидности мостов. Адаптивные или  обучающиеся  мосты «запоминают» адреса других станций локальной сети, делая излишним для администратора создание таблицы этих адресов. Рабочие станции постоянно рассылают идентификационные сигналы, на основе которых мост сам строит эти таблицы. Такими средствами располагает большинство совре-менных мостов.

Мосты со средствами отказоустойчивости — одни из наиболее используемых. Когда обеспечение связи через мост является очень важным, может потребоваться подключение дополнительных мостов и поддержка средств отказоустойчивости. Однако при наличии двух связей существует возможность зацикливания. Разделение таких мостов позволяет обнаружить кадры данных, циркулирующие по

ФГБО

У ВПО



У ВПО



116

сети много раз, и запретить такие многократные обходы по сети. Специальный протокол STP стандарта IEEE 801.2 запрещает циклы в дополнительных мостах. В соответствии с этими алгоритмами дополнительный мост начинает функционировать только, если от-ключается основной мост.

Мосты со сбалансированной нагрузкой — наиболее эффектив-ный тип моста. Он использует алгоритм типа SPT и применяет для передачи пакетов двойную связь, улучшая, таким образом, произво-дительность межсетевого обмена.

Некоторые мосты по своим функциям называют мосты- маршру-тизаторы. Например, такой мост для сегментов Ethernet на сервере NetWare считывает целевой адрес кадра и определяет, принадлежит ли кадр одной из его рабочих станций или его нужно передать в дру-гой сегмент локальной сети. Мост фильтрует все кадры и направляет дальше те из них, которые не предназначены для его рабочих стан-ций. Поскольку они обеспечивают функции маршрутизации, Novell часто называет такие мосты маршрутизаторами. В сетях Token Ring для организации межсегментной связи фирма IBM использует специ-альную программу маршрутизация с указанием источника, которая сообщает мосту не только куда нужно направить пакеты, но и как их туда направить. Эти мосты не поддерживает таблицы адресации. Они посылают пакеты в локальные сегменты на основе адресной информации пакета.

Фильтрация помогает избежать узких мест в мостах, предохра-няя объединенную сеть от локального трафика. Так как адреса сети и узла — единственная доступная мостам информация, они могут выполнять фильтрацию только такого вида. Маршрутизаторы рабо-тают на сетевом уровне и могут получить доступ к другой инфор-мации о пакете и его назначении, используя эту информацию для улучшения доставки пакета. Например, маршрутизатор хост- системы IBM может отфильтровывать пакеты, отличные от IBM. Мосты этого делать не могут.

Рассмотрим работу моста Token Ring. Эти мосты отличаются двумя особенностями: во- первых, они объединяют только кольца Token Ring между собой, а во- вторых, определение маршрута доставки кадра данных возлагается на каждую станцию. Мосты с маршрутизацией от источника копируют только те кадры, у которых индикатор инфор-мации о маршруте равен 1. Эти мосты не создают свои собственные базы данных о расположении станций по сети, а определяют маршрут исходя из информации, заложенной в самом кадре. Рабочая станция, которой требуется послать сообщение рабочей станции или серверу другого сегмента локальной сети, посылает по всей сети исследую-щий кадр. При наличии в сети нескольких мостов адресат получает несколько копий кадра, поскольку каждый мост посылает ему свою собственную копию следующего кадра. Целевая рабочая станция получает все эти копии и на основе записанной в кадре информа-

ФГБО

У ВПО



У ВПО



117

ции о маршрутах определяет наилучший маршрут. После этого она посылает информацию о наилучшем маршруте обратно передающей рабочей станции, которая сохраняет ее для будущего использования и помещает в кадры, посылаемые адресату.

Поле управления маршрутом кадра с информацией о маршрутах содержит информацию, по которой мост определяет способ интер-претации маршрута. В трех битах, показывающих широковещатель-ность, может быть заложена доставка по всем маршрутам — 10х, широковещательность по одному маршруту — 11х и передача по конкретному маршруту — 0хх. Поле длины показывает в байтах длину информации о маршрутах, от 2 до 16. Направление доставки определяется следующим образом: 0 — от источнику к приемнику, и 1 — от приемника к источнику. Максимальная длина кадра ука-зывается мостом в байтах; от моста к мосту она не может увеличи-ваться. Поле номера сегмента определяется, как номер кольца (12 бит) и номер моста (бита). Таблица маршрутизации обычно хранится в оперативной памяти компьютера и видоизменяется в течение ра-боты. Конкретная запись в таблице хранится до момента удаления или модификации.

Основной функцией любого моста является ограничение потока данных между сегментами сети, поэтому так важно правильно их размещать. Для этого используется правило 80/20, в соответствии с которым не менее 80 % трафика данных должно быть локальными и не более 20 % — внешним. Если указанное соотношение не вы-полняется, то использование мостов становится неэффективным. Если в существующей конфигурации сети невозможно удовлетворить требованиям 80/20, то следует перенести часть системы из одного сегмента в другой.

10.4. Коммутаторы

Коммутаторы (коммутирующие концентраторы, switchs) сочетают в себе функции многопортового повторителя и высокоскоростного моста. Такая комбинация обладает гораздо более высокой произво-дительность, чем обычный концентратор и позволяет с легкостью модернизировать сети, не меняя ничего из аппаратного обеспечения (помимо самих коммутаторов).

Коммутатор создает таблицу MAC- адресов всех устройств, под-ключенных к его портам, и использует ее для передачи пакетов только в требуемый порт. Таким образом, пропускную способность каждого порта делят между собой только устройства, подключенные к нему. Например, если 12 компьютеров подключены к концентратору (хабу) 10BaseT, который в свою очередь подключен к порту коммутатора, они делят между собой 10 Мбит/c. Наибольшее распространение получили коммутаторы с пропускной способность 10 Мбит/c и 100

ФГБО

У ВПО



У ВПО



118

Мбит/c. Часто встречаются коммутаторы, имеющие порты обоих типов. Производятся коммутаторы, работающие с разными MAC-

протоколами, например, Ethernet и FDDI.В настоящее время с помощью коммутаторов создаются виртуаль-

ные локальные сети (VLAN). Виртуальные сети могут быть определе-ны как группы пользователей, отнесенные к определенным отделам или выполняющие общие функции, без ограничения физическим местонахождением пользователей и даже без ограничения исполь-зования разных сетевых устройств (коммутаторов), к которым они подключены физически.

Локальная сеть представляет собой общий домен широкого веща-ния, или общий домен конфликтов. Технология VLAN делит большой домен широкого вещания на меньшие домены, ограничивая широко-вещательный трафик в пределах одной группы. В порт- ориентиро-ванных виртуальных локальных сетях (ВЛВС) членство каждой ВЛС определяется на основе номера подключенного порта.

В сетях VLAN с маркированными кадрами (IEEE 802.1Q) в каж-дый кадр вставляется тег ID, идентифицирующий их членство в определенной VLAN. Эту технологию используют для создания виртуальных сетей, охватывающие множество коммутаторов. Управ-ляемые коммутаторы (например, SXP1216/24WM или SGX3224/PLUS фирмы Compex) позволяют одному коммутируемому порту иметь членство в нескольких VLAN.

С помощью коммутаторов возможно объединение различных сегментов из разных ЛВС в виртуальную сеть ВЛВС. В этом случае пакеты передаются только в рамках одной ВЛВС, а не ко всем под-ключенным к коммутатору сегментам. Коммутатор может создавать ВЛСВ как на канальном уровне, так и на сетевом. Существенным недостатком этих средств сопряжения сетей служит нехватка средств анализа и управления.

Построение сложных сетей только на основе повторителей, мостов и коммутаторов имеет существенные ограничения и недостатки. Во-

первых, в топологии получившейся сети не должно быть петель. Это связано с тем, что мост/коммутатор может решать задачу доставки па-кета адресату только тогда, когда между отправителем и получателем существует единственный путь. В то же время наличие избыточных связей, которые и образуют петли, часто необходимо для лучшей балансировки нагрузки, а также для повышения надежности сети за счет образования резервных путей.

Во- вторых, логические сегменты сети, расположенные между мостами или коммутаторами, слабо изолированы друг от друга и не защищены от широковещательных штормов. Если какая- либо стан-ция посылает широковещательное сообщение, то это сообщение передается всем станциям всех логических сегментов сети. Защита от широковещательных штормов в сетях, построенных на основе мостов и коммутаторов, имеет количественный, а не качественный

ФГБО

У ВПО



У ВПО



119

характер: администратор просто ограничивает количество широко-вещательных пакетов, которое разрешается генерировать некоторому узлу в единицу времени. Использование же механизма виртуальных сетей, реализованного во многих коммутаторах, хотя и позволяет достаточно гибко создавать изолированные по трафику группы станций, но при этом изолирует их полностью, так что узлы одной виртуальной сети не могут взаимодействовать с узлами другой вир-туальной сети.

В- третьих, в сетях, построенных на основе мостов и коммутато-ров, достаточно сложно решается задача управления трафиком на основе значения данных, содержащихся в пакете. В таких сетях это возможно только с помощью пользовательских фильтров, для за-дания которых администратору приходится иметь дело с двоичным представлением содержимого пакетов.

В- четвертых, реализация транспортной подсистемы только сред-ствами физического и канального уровней, к которым относятся мосты и коммутаторы, приводит к недостаточно гибкой, одноуров-невой системе адресации: в качестве адреса назначения используется МАС- адрес, жестко связанный с сетевым адаптером.

Наконец, возможностью трансляции протоколов канального уровня обладают далеко не все типы мостов и коммутаторов, к тому же эти возможности ограничены. В частности, в объединяемых сетях должны совпадать максимально допустимые размеры полей данных в кадрах, так как мостами и коммутаторами не поддерживается функ-ция фрагментации кадров. Наличие серьезных ограничений у про-токолов канального уровня показывает, что построение на основе средств этого уровня больших неоднородных сетей является весьма проблематичным. Естественное решение в этих случаях — привле-чение средств более высокого, сетевого уровня.

10.5. маршрутизаторы, протоколы маршрутизации и шлюзы

Маршрутизатор требует более высокого уровня протоколов ар-хитектуры связи, чем мост или коммутатор. Он связывает сегменты сети через сетевой уровень, например, инструкции по маршрутиза-ции пакетов содержатся в сетевом уровне IP. Маршрутизатор отли-чается от моста тем, что он может считывать адрес рабочей станции и адрес локальной сети в пакете. Благодаря этому маршрутизатор может фильтровать пакеты и перенаправлять их по возможному наилучшему маршруту, который определяется по таблице маршру-тизации.

Маршрутизатор позволяет сегментировать сеть на логические подсети, которые легче обслуживать. Каждый сегмент локальной

ФГБО

У ВПО



У ВПО



120

сети имеет свой собственный номер, а каждая рабочая станция в этом сегменте — свой адрес. Эта информация хранится на сетевом уровне и доступна маршрутизаторам. Сегментация предотвращает перегрузку сети, возникающую при неправильном соединении узлов, из- за чего сеть насыщается сообщениями, ищущими своего адресата. При сегментации этот эффект можно уменьшить за счет фильтрации и методов определения наилучшего маршрута.

Протоколы маршрутизации определяют метод, с помощью кото-рого маршрутизаторы могут взаимодействовать друг с другом и со-вместно использовать информацию о сети. Эти протоколы могут выполняться в маршрутизаторах для построения таблиц маршрутиза-ции или обмена информацией о маршрутизации с другим маршрути-затором. Со временем таблицы маршрутизации маршрутизирующих устройств будут содержать примерно одну и ту же информацию. Таблицы маршрутизации содержат информацию о числе связей с дру-гим маршрутизатором. Они могут также содержать информацию об остановленных маршрутизаторах, альтернативных маршрутизаторах и полную информацию, которая может помочь в маршрутизации пакетов. Существует несколько способов получения информации о маршрутизации.

Протоколы маршрутизации по своим функциям резко отличаются от сетевых и транспортных протоколов. Задача протокола маршрути-зации — определить оптимальный маршрут, в то время, как сетевые и транспортные протоколы предназначены для передачи пакетов с информацией.

Метод  протокола дистанционного вектора — метод периоди-ческого опроса таблиц маршрутизации по всей сети. Оповещение в масштабе сети может не сильно влиять на малые сети, но может существенно воздействовать на пропускную способность больших сетей. Методы дистанционного вектора находят наилучший маршрут к адресату на основе числа переходов до этого адресата. Используе-мый протоколом SPX/IPX метод RIP (Routing Information Protocol) не допускает более 16 переходов. Методы протокола состояния связи предлагают лучшее решение.

Методы протокола состояния связи больше походят для боль-ших объединенных сетей. Информация о маршрутизации посылается только в том случае, когда она изменяется. Она не рассылается на регулярной основе, как в случае метода дистанционного вектора. Благодаря протоколам состояния связи можно установить наи-лучший маршрут, создав несколько маршрутов или задав маршрут с наивысшей скоростью, наибольшей емкостью, либо максимальной надежностью.

К наиболее общим протоколам маршрутизации относятся:RIP — первоначально разработан фирмой Xerox, теперь ис-••

пользуется в SPX/IPX и TCP/IP. RIP — протокол дистанционного вектора, и в глобальных сетях он неэффективен;

ФГБО

У ВПО



У ВПО



121

NLSP (NetWare Link Service Protocol) — протокол, разработан-••ный Novell, для замены RIP и используется в SPX/IPX. Он улучшает передачу пакетов между пользователями различных сегментов ло-кальных сетей на основе знания топологии;

OSPF (Open Shor test Path First) — протокол состояния связи, ••являющийся частью комплекта протоколов TCP/IP. OSPF маршру-тизирует пакеты в соответствии с трафиком, стоимостью пересылки, приоритетом и загрузкой сети;

OSI IS-•• IS (Open Systems Inter connections Intermediate System to Intermediate System) — протокол состояния связи, средства которого во многом аналогичны OSPF, но он обеспечивают большие межопе-ративные возможности для систем, согласующихся со стандартами OSI;

RTMP (Routing Table Maintenance Protocol) — протокол фирмы ••Apple, позволяющий находить наилучший маршрут между зонами AppleTalk. Циркулярная рассылка происходит каждые 10 с.

Если сеть невелика или находится в одном здании, то построить ее можно с помощью мостов. Это предполагает, что в объединенной сети не образуется сложного маршрута из одного конца в другой. Сложные сети могут состоять из многих различных сегментов локальных сетей, объединенных различными типами связей (FDDI, модемы или циф-ровые линии). Такие сети требуют использования маршрутизаторов, предохраняющих объединенную сеть от перегрузки. Маршрутизаторы предлагают также такие управляющие возможности, которые не обе-спечиваются мостами и концентраторами.

Еще одним важным устройством является многопротокольный маршрутизатор. Например, рассмотрим случай, когда по сети цир-кулируют пакеты протокола IPX NetWare. Маршрутизаторы NetWare знают формат пакетов и могут идентифицировать адреса, необходи-мые для доставки такого пакета. Предположим, что по сети передают-ся пакеты IPX и TCP/IP. Многопротокольный маршрутизатор должен знать, как считывать адреса в обоих типах пакетов и передавать эти пакеты корректным сегментам (локальным сетям). Очень часто ПО такого многопротокольного маршрутизатора устанавливается на сервере NetWare или Windows NT Server.

Часто маршрутизаторы в сетях обеспечивают взаимодействие ЛВС с сетями типа Х.25. Осуществляется такое преобразование на третьем, сетевом уровне архитектуры связи. В рамках одной сети этот уровень прозрачен и необходим только для межсетевого взаимодействия. Маршрутизатор в этом случае поддерживает специальный протокол SNDCP (Subnet Dependent Convergence Protocol) для установления однозначного соответствия между точками доступа к канальной услуге SAP на канальной станции ЛВС и номером виртуального соединения на пакетном уровне Х.25.

Маршрутизаторы имеют очень большое значение для объединен-ных и глобальных сетей, в которых используются удаленные комму-

ФГБО

У ВПО



У ВПО



122

никации и требуют обеспечения оптимального трафика по сложным маршрутам. Если используются выделенные или арендуемые линии с низкой пропускной способностью, то важно отфильтровывать ненужные пакеты и не передавать их по этой линии. Кроме того, большие глобальные сети могут иметь избыточные связи. При этом важно найти наилучший маршрут к адресату. Именно здесь могут помочь маршрутизаторы.

Маршрутизаторы могут анализировать информацию сетевого уровня и определять с ее помощью наилучший маршрут. Многие маршрутизаторы обеспечивают поддержку различных коммуника-ционных методов, например, T1 или X.25.

Использование маршрутизаторов может быть вызвано необхо-димостью усовершенствованной фильтрации пакетов, что имеет большое значение при использовании медленных и удаленных коммуникационных линий или развитых средств маршрутизации, улучшающих производительность. В этом случае «интеллектуальный» маршрутизатор знает схему сети и может легко найти для пакета наилучший маршрут. Иногда в объединенной сети необходимы не-скольких протоколов.

Некоторые протоколы, такие как NetBIOS, не являются марш-рутизируемыми, так как не включают в свои пакеты информацию о сетевом адресе. Однако для передачи по объединенной сети пакеты NetBIOS могут инкапсулироваться в пакеты IPX и TCP/IP. Анало-гично, для передачи в сегменты с протоколом TCP/IP пакеты IPX можно инкапсулировать в пакеты TCP/IP.

Процесс передачи пакетов уменьшает пропускную способность, и, если ПО маршрутизатора загружено на сервер, например на Windows2003-сервер, это может уменьшить его производительность. Если это происходит, можно передать функции маршрутизации внешней системе, установив многопротокольный маршрутизатор, как выделенное устройство. Для минимизации издержек, связанных с обработкой пакетов, многие маршрутизаторы независимых обра-ботчиков используют продвинутую обработку.

Шлюзы обычно работают на самом высоком уровне стека про-токолов и обеспечивают взаимодействие систем и сетей, которые используют несовместимые протоколы. Возможности этих видов взаимодействия вычислительных систем определяются верхними уровнями стека протокола. Можно работать с базой данных, в ко-торой серверная часть функционирует на сервере NetWare, а кли-ентная — на системах DOS, OS/2, Macintosh и Unix.

Примерами других межсистемных продуктов являются пакеты электронной почты. Они позволяют обмениваться почтовыми фай-лами пользователей на самых различных системах.

Лидерами в этой области являются продукты фирм Torefront и Майкрософт. Помимо шлюзов электронной почты, часто использу-ются файловые шлюзы и почтовые шлюзы.

ФГБО

У ВПО



У ВПО



123

10.6. практика решения задач

Рассмотрим несколько примеров выбора сетевой архитектуры.«Рога и копыта» 1. - небольшая, быстро растущая фирма. Объем

ее издательской деятельности постоянно растет. До недавнего вре-мени все компьютеры были связаны с помощью повторителей, но система работает крайне медленно. В настоящее время сеть объеди-няет 50 компьютеров, основной протокол NetBIOS. Какое сетевое оборудование нужно использовать в этом случае?

В данном случае на первом шаге необходимо отсечь маршрути-заторы, так как телекоммуникации не нужны. Протокол NetBIOS сразу предписывает мостовое решение, но выбор между мостом и коммутатором зависит от технологии связи.

Если используется коаксиал 10Base2, то мост увеличивает полосу пропускания, отсекая ненужный трафик между сегментами сети. В этом случае, скорее всего, понадобятся просто дополнительные сетевые карты на multihomed (с несколькими сетевыми картами) компьютер, который может играть роль моста.

Если используется витая пара 10BaseТ, то целесообразно купить коммутатор. Кроме того, при быстром росте фирмы, в целях обеспе-чения безопасности, могут понадобиться виртуальные ЛВС, которые обеспечивает коммутатор.

«Чубмэн и К0» 2. - большая компания, которая в настоящее время пытается объединить разбросанные по все стране филиалы. Объем ее деятельности, связанной с энергоносителями, постоянно растет. До конца года планируется поглощение еще трех маленьких компаний. В настоящее время в компании работает до 10 000 компьютеров, использующих протоколы TCP/IP и IPX/SPX. Какое сетевое обо-рудование нужно использовать в этом случае?

В данном случае наиболее приемлемым решением, удовлетворяю-щим сегодняшние нужды компании и учитывающим планируемое расширение, является комбинация коммутаторов и маршрутиза-торов.

Очень успешные спекулятивные операции на рынке ценных 3. бумаг привели к тому, что московская компания «Намбо» хочет открыть еще один филиал в Санкт- Петербурге. Экономный руко-водитель компании хочет получить преимущества от магистрали Т1 для передачи как данных, так и речи в одном и том же несущем сигнале. Какое сетевое оборудование нужно поставить в главном офисе в этом случае?

В данном случае на первом шаге необходимо отсечь как повто-рители, так и мосты и коммутаторы, так как они не объединяют несколько сигналов в одной линии передачи, а мультиплексоры объединяют, а демультиплексоры — разделяют (модемы). Таким об-разом, в данном случае необходима связь через модем.

ФГБО

У ВПО



У ВПО




Назовите устройства для масштабирования сетей.1. Какие функции выполняют повторители?2. Какие функции выполняют мосты? В чем их отличие от повторителей?3. Какие функции выполняют коммутаторы и концентраторы? Каким об-4. разом можно построить виртуальные локальные сети?Какие ограничения существуют при масштабировании сетей с помощью 5. повторителей, мостов и коммутаторов?Опишите протоколы маршрутизации. Какие между ними отличия?6. Какие функции выполняют шлюзы?7.

ФГБО

У ВПО



У ВПО



125

ра з д е л III

TCP/IP КаК ОснОва телеКОммуниКаЦий

В настоящее время стек протоколов TCP/IP становится основным средством построения больших сетей. В силу того, что стек TCP/IP был разработан до появления модели взаимодействия открытых систем ISO/OSI, то, хотя он также имеет многоуровневую структуру, соответствие уровней стека TCP/IP уровням модели OSI достаточно условно. Стек TCP/IP состоит из четырех уровней: прикладного, основного, межсетевого взаимодействия и сетевых интерфейсов. Прикладной уровень объединяет все службы, предоставляемые системой пользовательским приложениям: традиционные сетевые службы типа TELNET, FTP, TFTP, DNS, SNMP, а также сравнитель-но новые, такие, например, как протокол передачи гипертекстовой информации HTTP.

На основном уровне стека TCP/IP, называемом также транспорт-ным, функционируют протоколы TCP и UDP. Протокол управления передачей TCP решает задачу обеспечения надежной информаци-онной связи между двумя конечными узлами. Дейтаграммный про-токол UDP используется как экономичное средство связи уровня межсетевого взаимодействия с прикладным уровнем.

Уровень межсетевого взаимодействия реализует концепцию ком-мутации пакетов в режиме без установления соединений. Основными протоколами этого уровня являются дейтаграммный протокол IP и протоколы маршрутизации (RIP,OSPF, BGP и др.). Вспомогатель-ную роль выполняют протокол межсетевых управляющих сообщений ICMP, протокол группового управления IGMP и протокол разреше-ния адресов ARP.

Протоколы уровня сетевых интерфейсов обеспечивают интегра-цию в составную сеть других сетей. Этот уровень не регламентиру-ется, но поддерживает все популярные стандарты физического и ка-нального уровней: для локальных сетей — Ethernet, TokenRing, FDDI и др., для глобальных сетей — Х.25, FrameRelay, PPP, ISDN и др.

Структура логической адресации TC/IP позволяет говорить о нем, как о стеке протоколов глобальных сетей, в отличие от COX/IPX и AppleTalk.

ФГБО

У ВПО



У ВПО



126

Гл а в а 11

ОснОвные пОнятия TCP/IP

11.1. сравнение стека протоколов TCP/IP с моделью OSI

TCP/IP — обширное семейство протоколов, которые можно ис-пользовать в гетерогенных сетях (UNIX, NetWare, Windows), обеспе-чивая при этом маршрутизацию. TCP/IP основан на идее открытых систем и состоит из протокола транспортного уровня TCP и сетевого протокола IP. Дейтаграммный протокол IP содержит целевой адрес пакетов и интерфейсы с уровнем TCP. TCP, ориентированный на виртуальное соединение, обеспечивает гарантированную связь.

Рассмотрим стек протоколов TCP/IP, который включает в себя целое семейство других протоколов, функционирующих в среде вы-числительных сетей (рис. 11.1):

UDP (User Datagram Protocol) — протокол пользовательских ••дейтаграмм для посылки коротких сообщений, который не предусма-тривает сборку и разборку сообщений. Прикладные программы, ис-пользующие услуги UDP, каждой посланной дейтаграмме ставят в соответствие тайм- аут, по которому определяется неудачная достав-ка и организуется повторная посылка потерянной дейтаграммы;

ТCP (Transmission Control Protocol) — обеспечивает надежную ••передачу данных от одного узла к другому в рамках устанавливаемо-

Рис. 11.1. Архитектура TCP/IP

ФГБО

У ВПО



У ВПО



127

го виртуального соединения по принципу «трехстороннего рукопо-жатия;

IP (Internet Protocol) — межсетевой дейтаграммный протокол, ••обеспечивающий доставку пакетов из одной сети в другую, или из одного сетевого сегмента в другой;

ARP (Address Resolution Protocol) •• - протокол преобразования IP- адресов в адреса конкретной сетевой карты (МАС- адрес);

RARP (Reverse Address Resolution Protocol) — протокол обрат-••ного определения адресов, позволяющий по МАС- адресу определить IP- адрес;

ICMP (Internet Control Management Protocol) — протокол, ис-••пользуемый IP и другими вышестоящими протоколами для отправки и получения сообщений о статусе передаваемой информации;

IGMP (Internet Group Management Protocol) — протокол от-••правки широковещательных сообщений. Используется для пересыл-ки группе получателей.

Помимо рассмотренных протоколов на стек TCP/IP опирают-ся следующие протоколы и службы. Протокол SMTP (Simple Mail Transfer Protocol)- это простой протокол для электронного обмена со-общениями. SNMP (Simple Network Management Protocol) - простой протокол управления сетью, работает на базе UDP и предназначен к использованию сетевыми управляющими станциями для сбора ин-формации. TELNET - протокол прикладного уровня, используемый для входа в другие компьютеры сети Интернет. Обеспечивает доступ к открытым серверам, библиотечным каталогам и различным базам данных. TELNET эмулирует терминалы vt100 и vt330 фирмы DEC. FPT (File Transfer Protocol) - протокол пересылки файлов, позволяю-щий передавать данные между рабочей станцией и хост- системой Unix или NFS (Novell Net Ware), или Windows 2003.

Для поддержки стека TCP/IP в состав ОС Windows 2003 входят следующие службы:

WINS — служба определения имен Интернета, которая именам ••NetBIOS ставит в соответствие адреса IP;

DNS — служба формирования имен узлов, когда по именам ••узлов определяются их IP- адреса, например, eai.mephi.ru соответ-ствует адрес 194.67.66.75;

DHCP — протокол динамической конфигурации узла, когда ••IP- адрес выдается станции на какое- то время (аренда адреса) из определенного интервала возможных адресов.

Все эти протоколы предназначены для объединения в единую сеть с коммутацией пакетов разнородных подсетей, которые соединяются через устройства сопряжения (мосты или шлюзы). Эта единая сеть называется Интернет и охватывает почти все континенты.

По мере прохождения информации от прикладного уровня вниз, меняется название блоков данных. Сформированное на верхнем уровне прикладное сообщение преобразуется в транспортное со-

ФГБО

У ВПО



У ВПО



128

общение (TCP- сегмент, или UDP- дейтаграмму), которые, в свою очередь, разбиваются на нумерованные IP- пакеты, а попав в Ethernet, получают название кадров.

Для каждого такого узла TCP/IP, несмотря на использование раз-личных сетевых сегментов, всегда известны два адреса: 48-битный адрес карты Ethernet и 32-битный адрес IP, уникальный в пределах всей сети Интернет.

11.2. протоколы ARP и RARP

Рассмотрим подробнее механизм преобразования IP- адресов в Ethernet- адреса, который использует ARP- протокол при посылке пакетов. Этот процесс называется разрешением физических адре-сов.

Преобразование адресов осуществляется с помощью ARP- таблиц, где каждой строке ставится в соответствие IP- адрес компьютера и соответствующий ему адрес сетевой карты Ethernet. IP- адрес на-значается администратором сети с учетом места подключения ком-пьютера в сети Интернет. Если изменяется положение компьютера по отношению к узлам Интернет, меняется и его IP- адрес. Адрес сетевой карты присваивает изготовитель, исходя из адресного пространства, соответствующего его лицензии. Этот адрес не может быть изменен, пока работает данная сетевая карта.

При посылке IP- пакета протоколом ARP определяется адрес сетевой карты узла- приемника. При этом происходит обращение к соответствующей строке ARP- таблицы, где каждому IP- адресу ста-вится в соответствие хотя бы один Ethernet- адрес. Эта ARP- таблица содержится в кэше данного компьютера. В случае отсутствия соответ-ствующей строки, формируется специальный ARP- запрос, который упаковывается в широковещательный кадр Ethernet, адресованный всем станциям данной локальной сети. Исходящий IP- пакет, для которого пока невозможно преобразование адресов, задерживается и ставится в очередь.

В локальной сети каждый сетевой адаптер принимает широкове-щательный кадр Ethernet. В случае успешной доставки, по 2-байто-вому полю типа определяется, что это ARP- запрос, и он передается протоколу ARP локального узла. В данном случае речь идет о Ethernet (Ethernet_II), где в каждом кадре имеется 2-байтовое поле типа про-токола верхнего уровня. Для сетей IEEE 802.3 и ISO 8802/3 поле типа заменено на 2-байтовое поле длины данных (Ethernet 802_2, Ethernet 802_3), а идентификация протоколов стоящих выше уровней ведет-ся по номеру точки доступа к канальной услуге SAP, содержащейся в первом байте поля данных (Ethernet 802_2). Протокольный объект ARP проверяет поле IP- адреса приемника и, если оно не совпадает с его собственным адресом, сбрасывает пакет.

ФГБО

У ВПО



У ВПО



129

Если адреса совпадают, то по принципу «эхо» формируется ARP-

ответ, где в поле искомого адреса вставляется собственный Ethernet-

адрес. Данный ARP- ответ запаковывается в кадр Ethernet с индивиду-альными адресами и передается в сеть. Получив такой кадр, сетевой адаптер распаковывает его и передает ARP- ответ протоколу ARP узла- источника запроса, который обновляет свою таблицу, добавив в нее еще одну строку. Эта строка должна сохраняться в ARP- кэше по умолчанию 10 мин, но в Windows обновление ARP- кэша произ-водится по мере его переполнения, даже если срок давности строки не истек.

После обновления ARP- таблицы для задержанного IP- пакета ста-новится возможно преобразование адресов. Для этого формируется соответствующий кадр и передается в сеть. При отсутствии ARP- от-вета, IP- пакет будет сброшен. Протоколы верхних уровней не могут отличить два события: потерю кадров в среде Ethernet и отсутствие адреса- приемника в кадре.

Восстановление потерянных пакетов возлагается на протоколы TCP или UDP, которые используют механизмы тайм- аутов для определения потерь и повторную передачу для восстановления паке-тов. Каждому узлу TCP/IP может соответствовать несколько разных сетевых карт и для каждой из них поддерживается своя собственная ARP- таблица.

Рассмотрим процесс определения адресов с участием маршрутиза-тора. Получив запрос на посылку IP- запроса в удаленную сеть, ком-пьютер определяет это по маске подсети и ищет в кэше аппаратный Ethernet- адрес шлюза по умолчанию, т. е. маршрутизатора. Если этот адрес не найден, то формируется широковещательный ARP- запрос на аппаратный адрес маршрутизатора. Получив ответ, компьютер отправляет при помощи ICMP эхо- запрос приемнику через маршру-тизатор. При этом маршрутизатор начинает свой собственный ARP-

сеанс поиска далее по сети, и т. д. Наконец, узел- приемник сообщает своему локальному маршрутизатору свой аппаратный адрес, а также ответ на ICMP- запрос. Процесс определения удаленного аппаратного адреса называется ARP- прокси.

Важное отличие локальных и удаленных адресов заключается в том, что при определении удаленного адреса ответ на запрос содер-жит адрес шлюза по умолчанию, а при определении локального адреса ответ содержит аппаратный адрес непосредственно узла- получателя. При появлении ошибок наиболее частая проблема, которая возникает при разрешении адреса, связана с неверными масками подсетей. Если маска определена неверно, то удаленный адрес трактуется системой как локальный и производится непрерывная широковещательная атака для определения адреса. Такое явление называется широко-вещательным штормом. Протокол обратного определения адреса RARP позволяет по данному аппаратному адресу определит адрес IP и используется в основном на бездисковых рабочих станциях.

ФГБО

У ВПО



У ВПО



130

11.3. протоколы IP, UDP и TCP

Ядром IP- протокола  является таблица маршрутизации, содер-жание которой формирует администратор сети. В сети Интернет используются два вида маршрутизации — прямая и косвенная.

При прямой маршрутизации взаимодействие двух IP- протоко-лов происходит напрямую, без участия каких- либо дополнительных устройств типа шлюза. Майкрософт называет это устройство шлюзом по умолчанию. В этом случае кадр, передаваемый в канал связи, адре-сован тому же узлу, на который указывает IP- адрес приемника. При косвенной адресации взаимодействуют узлы, находящиеся в разных сетях, соединенных через шлюз.

Представим шлюз как узел IP с единственным протоколом IP, взаимодействующим сразу с несколькими сетевыми картами Ethernet, каждая со своей ARP- таблицей и уникальным адресом Ethernet.

Пакет, адресованный станции В, упаковывается в кадр, адресован-ный сетевой карте шлюза. Получив этот пакет, IP- шлюз ретрансли-рует его, т. е. опознает как собственный и упаковывает его в другой кадр, адресованный уже непосредственно станции B. Таким образом, для пришедшего с верхнего уровня протокола связи сообщения IP- протокол должен выбрать способ маршрутизации и определить Ethernet- адрес сетевой карты.

Для пришедших по сети пакетов IP- протокол решает, нужно ли ретранслировать его в другую сеть, передать ли на верхний уровень своей архитектуры связи или просто сбросить.

Структура IP- адреса такова, что в него входит не только номер узла, но и номер сети. В ряде случаев адресное пространство Интер-нета может быть разделено на непересекающиеся подпространства — подсети, каждая из которых обычно соответствует одной физической сети, например Ethernet.

Использование подсетей необязательно, но очень экономично: если каждой из физических сегментов Ethernet назначить свой номер сети, то машины вне ваших сегментов должны поддерживать все записи о маршрутах доступа к каждой из этих новых IP- сетей. Если используются подсети, то извне маршрутизация определяется только для одного номера сети, а описание конфигурации подсетей — это внутренняя сеть вашей организации, которую не видно из других сетей. Таким образом, компьютеры вне вашей организации видят только одну большую IP- сеть и поддерживают маршруты доступа к шлюзу, соединяющему ваши подсети с остальной частью Интер-нета. В этом случае легче модернизировать свои подсети.

Используя подсети, необходимо выбрать маску подсети. Эта маска используется протоколом для выделения номера подсети из IP- адреса: биты, определяющие номер IP- сети, должны быть равны 1, а биты, соответствующие номерам узла - 0. Информация о маске вносится в файл конфигурации сети.

ФГБО

У ВПО



У ВПО



131

Кроме того, в специальных файлах с именем hosts хранится ин-формация о соответствии IP- адресов логическим именам компью-теров, взаимодействующих по сети, причем каждому такому имени может соответствовать более одного IP- адреса. В файле networks со-держится информация о соответствии логических имен IP- сетей их номерам. Название этих файлов менять нельзя! Оба файла использу-ются командами администратора сети и прикладными программами при работе с именами. Они не нужны собственно для работы самой сети, но очень помогают администратору сопровождать таблицы маршрутизации.

Протокол UDP — один из основных протоколов, пользующих-ся услугами IP. Протокол UDP обеспечивает доставку дейтаграмм и не гарантирует отсутствие потерь. Запросы к UDP от прикладных процессов поступают в нумерованные UDP- порты, упаковываются в дейтаграммы с помощью полей контрольной суммы и номера ло-гического порта и передаются на уровень IP. Логический порт имеет огромное значение при доставке дейтаграмм. Среди всего множества возможных номеров логических портов часть номеров является общеизвестными и предназначена для взаимодействия между заре-зервированными сетевыми службами. Например, простой протокол управления сетью SNMP, использующий UDP для передачи своих блоков данных, приписан к общеизвестному порту 161 и свои со-общения может адресовать только через указанный номер.

Протокол UDP не использует сборку- разборку дейтаграмм и не обеспечивает первоначальный порядок их следования. В случае не-верной адресации, несовпадающей контрольной суммы или пере-полнения буфера приема дейтаграмм эти дейтаграммы немедленно сбрасываются.

Протокол  TCP  относится к группе протоколов транспортных протоколов надежной доставки и работает с установлением вирту-ального канала.

Подобно всем транспортным протоколам он использует понятие логического порта доступа к услугам связи и часть этих портов яв-ляется общеизвестными. Например, прикладной протокол TELNET назначается на общеизвестный порт 23, и все логические каналы между протокольными объектами TCP, обслуживающие доставку сообщений TELNET, адресуются именно этому порту.

По своей реализации, протокол TCP сходен с транспортным протоколом класса 4 ISO и использует все механизмы надежной доставки.

Услугами надежной транспортной связи TCP пользуются при-кладные протоколы FPT и TELNET.

Общеизвестные номера портов, используемых различными службами по умолчанию, приведены в табл. 11.1. Например, порт 80 отвечает за взаимодействие в рамках протокола HTTP, а 20 — за передачу файлов по FTP.

ФГБО

У ВПО



У ВПО



132

Т а б л и ц а 11.1. номера портов TCP и UDP

Протокол Номер порта Описание

TCP 20 FTP, канал данных

21 FTP, управляющий канал

23 Виртуальный терминал TELNET

25 Пересылка сообщений по SMTP

80 Гипертекст WWW

139 Служба сеансов NetBIOS

UDP 53 Запросы имен DNS

69 Простой протокол переноса данных TFPT

137 Служба имен NetBIOS

138 Служба дейтаграмм NetBIOS

161 Простой управляющий протокол SNMP

11.4. Классы IP- адресов

Распределение IP- адресов до недавнего времени проводила кор-порация Network Solutions, более известная как InterNIC (Network Information Centre), которая следила за уникальностью адресного пространства. В настоящее время управление адресами возложено также и на некоммерческую организацию ARIN (American Registry for Internet Numbers). Обе эти организации осуществляют управление IP- адресами в Северной и Южной Америке, Южной Африке и странах Карибского бассейна. В Европе для этих целей служит организация RIPE (Reseaux IP Europeens), а в Азии и Тихоокеанском регионе — APNIC (Asia Pacific Network Information Centre).

Семейство протоколов TCP/IP использует 32-разрядную схему адресации, которая для каждого узла определяет не только его соб-ственный адрес, но и адрес сети, в которой этот узел находится. Перемещение компьютеров из одной сети в другую приводит к тому, что его IP- адрес изменяется.

IP- адрес состоит из четырех последовательностей, по 8 бит каж-дая, всего 32 бит. Для удобства восприятия при записи IP- адреса используются десятичные числа, разделенные точками, X. Y. Z. W,

ФГБО

У ВПО



У ВПО



133

например 194.67.67.97. Старшие биты данного адреса соответствуют номеру IP- сети, младшие — номеру узла.

При работе с IP- адресацией требуется быстрое преобразование адресов из десятичного формата в двоичный и наоборот. Такое пре-образование производится побайтно в соответствии с правилами позиционной системы счисления, двоичной или десятичной. В по-зиционной системе счисления каждое число представляется после-довательностью цифр, причем позиции каждой цифры хi присвоен определенный вес bi, где b — основание системы:

D x b x b x b x x xnn

nb

n n= ⋅ + ⋅ +…+ = …--

-⋅11

00

1 0 .

Например, число 2001 представляется в системе с десятичным основанием (в десятичной системе), как 2001 = 2 ⋅103 + 1 ⋅100 .

Двоичный эквивалент числа 2001 имеет вид

2001 = 1 024 + 512 + 256 + 128 + 64 + 16 + 1 = 1 ⋅210 + 1 ⋅29+• + 1 ⋅28 + 1 ⋅27 + 1 ⋅26 + 1 ⋅24 + 1 ⋅20 = 11111010001.

Десятичное значение числа всегда равно сумме десятичных экви-валентов всех позиций, на которых в этой записи стоят единицы!

Десятичные значения байтов IP- адреса принимают значение от 0 до 255. Нулевые значения разрешаются не во всех байтах, только во втором и третьем, а адрес 255 используется для широкого вещания.

Выделяют пять классов IP- адресов, которые отличаются коли-чеством бит в номере сети и в номере узла (рис. 11.2). Класс адреса идентифицируется по значению первого байта. Узлам можно при-сваивать адреса классов от А до С, классы Е и D зарезервированы для специальных целей. Описание классов приведено в табл. 11.2. Класс адреса всегда определяется по значению первого байта!

Рис. 11.2. Структура IP-адресов в зависимости от класса

ФГБО

У ВПО



У ВПО



134

Т а б л и ц а 11.2. Описание классов адресов

КлассЗначение первого

байта адресаВозможное

количество сетейВозможное

количество узлов

А 1—126 126 16 777 214

В 128—191 16 382 65 534

С 192—223 2 097 150 254

D 224—239 Нет Применяется толь-ко для сообщений маршрутизаторов

E 240—247 Нет Экспериментальное использование

Подробная структура IP- адресов в зависимости от класса пред-ставлена на рис. 11.3. Адреса класса А используются в больших сетях с огромным количеством узлов, структура адреса выглядит так: адрес сети занимает один байт X (первый бит равен 0), адрес узла занимает три байта Y.Z.W.

Адреса класса B используются в средних сетях, содержащих не более 216 узлов, и имеют следующую структуру: адрес сети занимает два байта X.Y (первые два бита равны 10), адрес узла также занимает два байта Z.W.

Рис. 11.3. Выделение подсетей

ФГБО

У ВПО



У ВПО



135

Адреса класса С используются в сетях с небольшим количеством узлов и имеют следующую структуру: адрес сети занимает три байта X. Y. Z (первые три бита 110), адрес узла занимает 1 байт W.

Адреса класса D представляют собой специальные адреса, не от-носящиеся к отдельным сетям. Первые 4 бита этих адресов равны 1110. Адреса класса D используются для многоадресатных пакетов, с помощью которых во многих разных протоколах данные передают-ся многочисленным группам хостов. К таким протоколам относится протокол обнаружения устройств корпорации Cisco (Cisco Discovery Protocol — CDP), функционирующий на основе протокола ICMP, или межсетевой протокол управления группами IGMP, который находит все более широкое распространение, после того, как был реализован в ПО Cisco IOS. Данные адреса можно рассматривать как заранее запрограммированные в логической структуре большин-ства сетевых устройств. Это означает, что при обнаружении в пакете адреса получателя такого типа устройство на него обязательно от-вечает. Например, если один из хостов передает пакет с IP- адресом получателя 224.0.0.5, на него отвечают все находящиеся в сегменте маршрутизаторы, использующие протокол OSPF.

Адреса в диапазоне 240.0.0.0—255.255.255.255 называются адреса-ми класса E. Первый октет таких адресов начинается с битов 1111. Эти адреса зарезервированы для будущих дополнений в схеме адресации IP. Однако возможность того, что эти дополнения когда- либо будут приняты, находится под вопросом, поскольку уже появилась версия 6 протокола IP (IPv6).

Некоторые IP- адреса зафиксированы и являются общеизвест-ными:

0.0.0.0 — означает принятый маршрут по умолчанию, исполь-••зуется для упрощения таблиц маршрутизации;

127.0.0.1 — используется для адресации на локальный узел ••(loopbackadaptеr);

255.255.255.255 — широковещательный адрес узлов в пределах ••одной (данной) сети;

все биты в адресе узла или сети установлены равными 1 — адре-••сация на все узлы;

все биты в адресе узла установлены равными 0 — обозначает ••саму сеть;

все биты в адресе сети установлены равными 0 — обозначает ••узел в данной сети.

Таким образом, посылка пакетов в рамках данной локальной IP- сети (т. е. сети, в которой содержится как источник, так и при-емник пакетов) осуществляется в IP-адресе при нулевом номере сети и номере узла, отличном от нуля. Адресация пакетов всем узлам данной локальной сети происходит с помощью широковещательного номера узла, состоящего из всех единиц; номер сети, по- прежне-му, нулевой. Конкретная IP- сеть определяется по номеру сети при

ФГБО

У ВПО



У ВПО



136

нулевом номере узла, при использовании широковещательного номера узла обращение ведется сразу ко всем узлам данной сети. Например, рассмотрим, что означает IP- адрес 0.0.112.39. Если все биты идентификатора сети установлены в 0, то этот адрес относится к конкретной локальной сети. Таким образом, данный адрес обо-значает конкретный узел в данной, текущей локальной сети.

IP- адрес, старший байт которого равен 127, считается служебным и используется для тестирования и диагностики ПО. Взаимодействие в этом случае происходит в рамках одного узла. Например, когда IP-

протокол получает пакет с адресом приемника 127.0.0.1, он не пере-дает этот пакет на сетевую карту Ethernet, а передает его обратно, на верхние уровни архитектуры связи TCP или UDP.

В InterNIC существуют зарезервированные диапазоны IP- адре-сов, которые локально используются в сетях, не имеют зарегистри-рованных идентификаторов (частные сети). Эти адреса нормально распознаются маршрутизаторами. К ним относятся:

класс •• А: 10.0.0.0 — 10.255.255.255;класс •• В: 172.16.0.0 — 172.31.255.255;класс •• С: 192.168.0.0. — 192.168.255.255.

Если локальная сеть в любое время должна иметь выход в Ин-тернет, то необходим зарегистрированный IP- адрес, полученный от интернет- провайдера.

11.5. Формирование масок подсетей

При необходимости, можно разделить одну IP- сеть, подсоеди-ненную к Интернет, на несколько связанных между собой сетей, которые называются подсетями. Такое разбиение целесообразно, если его целью является:

расширение сети, когда добавление маршрутизаторов и исполь-••зование подсетей позволяет превзойти физические ограничения;

снижение нагрузок на саму сеть за счет локализации трафика ••внутри подсетей;

снижение нагрузки на компьютеры с уменьшением сетевых ••подключений;

использование различных сетевых сред в подсетях;••улучшение защиты информации, когда скрывается внутренняя ••

структура корпоративной сети, подключенной к Интернет посред-ством одного зарегистрированного IP- адреса;

локализация неисправностей внутри отдельных сетевых сегмен-••тов.

Подсеть — сеть или идентификатор сети, созданный при помощи переноса несколько бит из части IP- адреса, содержащей идентифи-катор узла, в часть, содержащую идентификатор сети. Например, в IP- адресах класса В третий байт используется для задания номера

ФГБО

У ВПО



У ВПО



137

подсети, тогда маска 255.255.255.0 позволяет задать 256 различных подсетей с 254 узлами в каждой. Определяя маску 255.255.255.192, вы адресуете 1024 подсети с 60 узлами в каждой.

Например, вы получили от провайдера Интернета идентифика-тор сети класса IP = 194.66.67.0 и хотите выделить пять подсетей для локализации трафика и снижения нагрузки на сеть. Каким образом выделить эти подсети? Сколько разрядов в адресе узлов отвести на адресацию подсетей?

При выделении подсетей необходимо руководствоваться следую-щими принципами:

в идентификаторе подсети все нули и все единицы используют-••ся для служебных целей, таким образом, количество подсетей опре-деляется, как 2k - 2, где k — количество бит, отведенных на адресацию подсетей в адресе;

при определении количества подсетей учитывайте дальнейшее ••расширение сети;

количество узлов в каждой подсети не превосходит 2•• n - 2, где n — количество бит, отведенных на адресацию узлов, так как в иден-тификаторе узла все 0 и все 1 используются служебным образом.

Таким образом, в рассматриваемом примере, необходимое чис-ло подсетей 5 + 2 = 7. Для кодирования этого числа в двоичном счислении нужно три разряда. Выделенный IP- адрес относится к классу С.

Для распознавания того, какие биты в IP- адресе относятся к сети, а какие к узлу, протокол TCP/IP использует метод масок подсетей. В силу этого, любой сети присваивается маска, независимо от того, выделяем мы подсети или нет.

Под маской понимают 32-разрядное двоичное число в формате IP-

адреса, единицы которого указывают на то, какие разряды указывают на адрес сети, и нули указывают на то, какие разряды указывают на адрес узла. В нашем примере, маска подсети имеет вид MASKA =•= 11111111.11111111.11111111.11100000 = 255.255.255.224.

Маршрутизатор определяет адреса сети и узла, используя опе-рацию логическое И, которая рассчитывается по соответствующей таблице истинности и дает возможность выделить сетевой адрес 194.66.67.64.

В зависимости от класса IP- сети рекомендуются маски по умол-чанию, представленные ниже.

Маски по умолчанию для классов А, В и С

Класс сети Маска по умолчанию

Класс A ......................................................................................... 255.0.0.0Класс B .....................................................................................255.255.0.0.Класс C ................................................................................. 255.255.255.0

ФГБО

У ВПО



У ВПО



138

Если сетевой администратор не использует подсети, то сохраня-ется соответствующая маска по умолчанию. По соглашению маски подсети присваиваются непрерывным последовательностям разрядов, начиная со старшего бита в байте. Десятичное значение крайнего правого бита маски может быть использовано для определения наи-меньшего возможного адреса подсети в байте.

Адреса IP, которые согласуются с масками по умолчанию для соответствующего класса, образуют классовую иерархию подсетей. При классовой иерархии адресов, адреса класса А всегда используют 8 разрядов на адрес сети и 24 разряда на адрес узла. Для класса В на идентификатор сети приходится 16 бит и столько же на адрес узла. Для класса С идентификатор сети состоит из 24 разрядов, а иденти-фикатор узла только из 8 разрядов.

При бесклассовой адресации для адреса сети происходит заим-ствование нескольких разрядов из младших байтов. Таким образом, адреса, не согласованные с масками по умолчанию, образуют бес-классовую иерархию подсетей.

Присваивая адреса узлам в подсети, необходимо помнить:все узлы в одной подсети должны иметь один и тот же адрес ••

сети и один и тот же адрес подсети;адрес каждого узла должен быть уникален в рамках подсети;••адреса узлов не могут состоять только из одних нулей или толь-••

ко из одних единиц;адреса узлов присваиваются в порядке возрастания, начиная ••

с крайнего правого бита в адресе узла.Использование подсетей подразумевает разбиение IP- адреса на

подсети. Создание надсетей происходит объединением нескольких IP- адресов класса С в одну сеть.

Как правило, построение надсетей считается целесообразным, если:

все адреса класса •• В уже присвоены, в то время как многие адреса С еще свободны;

один адрес •• С поддерживает не более 254 узлов, что недостаточ-но для быстрорастущих организаций;

объем таблиц маршрутизации в Интернете приводит к огром-••ным сложностям в управлении ими;

с расширением Интернета существующие принципы IP-•• адре-сации изменятся.

При создании надсети используются только соседние адре-са, различающиеся в одном единственном разряде. Например, пара 194.66.66.0 и 194.66.67.0 может образовывать надсеть, а пара 194.66.67.0 и 194.66.68.0 — нет.

В случае пары 194.66.66.0 и 194.66.67.0 маска подсети MASKA =•= 11111111.11111111.11111110.00000000 = 255.255.254.0 позволяет отнести младший, 24-й, разряд адреса сети к идентификатору узла и породить 510 (29 - 2) узлов. Во втором случае различие кодов захватывает уже

ФГБО

У ВПО



У ВПО



139

три разряда, коды не соседние и надсеть на двух адресах 194.66.67.0 и 194.66.68.0 строить нельзя.

В надсети можно объединять более, чем две сети класса С. Для этого необходимо, чтобы различающиеся разряды в их адресах об-разовывали гиперкуб. Например, пять IP- адресов А1, А2, А3, А4 и А5 при маске подсети MASKA = 255.255.248.0 образуют надсеть. При этом три младших разряда в идентификаторе сети отводятся для адресации узла. Адресуемое количество узлов в такой надсети равно 2046 (211 - 2):

А1 = 222.22.16.0 = 11011110.00010110.00010000.00000000;

А2 = 222.22.17.0 = 11011110.00010110.00010001.00000000;

А3 = 222.22.18.0 = 11011110.00010110.00010010.00000000;

А4 = 222.22.19.0 = 11011110.00010110.00010011.00000000;

А5 = 222.22.20.0 = 11011110.00010110.00010100.00000000;

MASKA = 11111111.11111111.11111000.00000000.

Для работы с бесклассовыми IP- адресами надсетей была изобре-тена бесклассовая междоменная маршрутизация CIDR (Classless Inter Domain Routing), позволяющая маршрутизаторам использовать маски подсетей, отличных от принятых по умолчанию, для классов А, В и С. Например, адрес 222.22.16.0/21 воспринимается маршрутизатором как имеющий маску подсети 255.255.248.0. Последовательность сим-волов «/21» в адресе показывает маршрутизатору, что маску подсети составляет первый 21 бит.

Такая возможность трактовать весь диапазон объединяемых адре-сов как один адрес очень сильно уменьшает объем перенаправляемой маршрутизатором информации (рис. 11.4).

К сожалению, далеко не все маршрутизаторы поддерживают CIDR. Поэтому прежде чем создавать надсети, убедитесь, что ваши маршрутизаторы поддерживают эту технологию.

Рис. 11.4. Построение надсети

ФГБО

У ВПО



У ВПО



140


Рассмотрим несколько примеров.Какие из адресов 133.23.24.256, 126.15.36.71, 129.17.76.15, 10111111.

1.11010011.01110010.00001010 относятся к сетям класса В? По опреде-лению класса В, первый байт IP- адреса должен иметь вид 10хххххх и принадлежать диапазону от 128 до 191. В требуемый диапазон по-падают 1-й, 3-й и 4-й адреса. Но значение байта не может превысить 255, поэтому первый адрес неверен. Остаются только два правильных IP- адреса, 10111111.11010011.01110010.00001010 и 129.17.76.15.

Какие из адресов 129.17.76.15, 193.23.24.255, 127.15.36.71, 1111102. 01.11010011.01110010.00001010 нельзя присваивать узлам сети? Адрес 193.23.24.255 нельзя присваивать узлам сети, так как он соответствует широковещательной адресации, т. е. всем узлам данной сети. Адрес 127.15.36.71 нельзя использовать как адрес узла, потому что он за-резервирован как 127.0.0.1 и соответствует локальному узлу, причем любому. Адрес 11111001.11010011.01110010.00001010 соответствует сети класса Е и не может быть присвоен отдельному узлу. Остается толь-ко один адрес, который может быть использован как адрес узла — 129.17.76.15.

Необходимо разбить сеть организации «Рога и копыта» с ID 3. =•= 150.150.0.0 на две подсети, по 600 компьютеров в каждой. Как уста-новить маску подсети? При выделении подсетей необходимо пом-нить, что к требуемому количеству добавляется еще два служебных адреса, 2 + 2 = 4. Для адресации четырех подсетей требуется всего два разряда. Таким образом, в этом случае маска подсети равна MASKA =•= 11111111.11111111.11000000.00000000 = 255.255.192.0. При такой маске подсети возможное количество узлов в каждом сегменте составляет 214 - 2 = 16 382 узла. Обратите внимание, при такой маске подсети мы решаем чисто тактическую задачу, т. е. лишаемся возможности расширять сеть!

В вашей организации работает TCP/IP сеть с подсетями 4. A, B, C и D. Идентификатор сети ID = 211.40.88.0, маска подсети 255.255.255.224. Используемый диапазон IP- адресов следующий:

A: 211.40.88.33 — 211.40.88.62;B: 211.40.88. 65 — 211.40.88. 92;C: 211.40.88.94 — 211.40.88. 126;D: 211.40.88. 129 — 211.40.88. 158.

IP- адреса на маршрутизаторах привязаны к сетевым картам:

Router AB 211.40.88.62/ 211.40.88.65;Router BC 211.40.88. 92/ 211.40.88.94;Router CD 211.40.88.126/211.40.88.129.

Пользователь WinXP J_Bond из сети В с адресом 211.40.88. 88 жа-луется, что у него нет доступа к серверу Win 2003 из сети С с адресом

ФГБО

У ВПО



У ВПО



141

211.40.88.109, но с сетью А у него нет проблем. В чем может быть причина неисправностей?

Наиболее часто встречающаяся неисправность — неверная маска подсети или неверное разбиение на подсети. Проверим это. Маска MASKA = 255.255.255.224 = 1111111111.11111111.11111111.11100000 позво-ляет выделить следующие диапазоны адресов в подсетях:

211.40.88.33 —211.40.88.62;211.40.88.65 — 211.40.88.94;211.40.88.97 — 211.40.88.126;211.40.88.129 — 211.40.88.158;211.40.88.161 — 211.40.88.190.

По условию задачи подсеть С неверно сформирована и, как след-ствие, неверно настроены адреса сетевых карт маршрутизатора Router BC. Правильная настройка:

Router BC 211.40.88. 94/ 211.40.88.97,

а диапазон возможных адресов подсетей:

B: 211.40.88. 65 — 211.40.88. 94;C: 211.40.88.97 — 211.40.88. 126.

J_Bond поступил на работу в фирму — новому провайдеру 5. Интернет. Один из клиентов затребовал шесть идентификаторов сети класса С и получил их, от 222.223.66.0 до 222.223.71.0. Какую из масок подсети должен установить J_Bond, чтобы оптимизировать таблицу маршрутизатора, поддерживающего CIDR? Наибольшую оптимизацию работы маршрутизатора CIDR можно получить, если построить надсеть и шесть строк в таблице заменить на одну един-ственную строку. Для адресации шести сетей необходимо исполь-зовать три бита. Поэтому в маске подсети для адресации надсети нужно отвести 21 бит:

222.223.66.0 = 11011110.11011111.01001110.00000000;222.223.67.0 = 11011110.11011111.01000011.00000000;222.223.68.0 = 11011110.11011111.01000100.00000000;222.223.69.0 = 11011110.11011111.01000101.00000000;222.223.70.0 = 11011110.11011111.01000110.00000000;222.223.71.0 = 11011110.11011111.01000111.00000000;MASKA = 11111111.11111111.11111000.00000000 = 255.255.248.0.

Идентификатор надсети в таблице маршрутизации определяется как результат логического И между маской и любым выделенным идентификатором сети и равен 222.223.64.0/21.

Компания «Чубмэн и К» недавно получила идентификатор 6. сети 150.160.0.0. В настоящий момент в сети работает 48 отдельных сегментов, в течение полугода их количество должно удвоиться. Какую маску подсети необходимо установить, чтобы поддерживать

ФГБО

У ВПО



У ВПО



максимально возможное количество узлов в одной подсети? Иденти-фикатор сети относится к классу В и может поддерживать при маске по умолчанию 255.255.0.0 до 65 534 узлов. При выделении подсетей необходимо учитывать будущее увеличение сегментов, т. е. их коли-чество рассчитывается как 48 + 48 = 96. Для адресации 96 подсетей необходимо семь разрядов. Поэтому в маске подсети в третьем байте старшие семь разрядов отводим под адресацию подсети, оставшиеся разряды используются для адресации узлов, MASKA = 11111111.11111111.11111110.00000000 = 255.255.254.0. При такой маске подсети возможное количество узлов в каждом сегменте составляет 29 - 2 = 510 узлов.


Что понимают под стеком протоколов TCP/IP?1. Какие расширения в реализацию стека TCP/IP вносит Майкрософт?2. Какие функции берет на себя протокол ARP?3. Какую роль играет протокол IP?4. Перечислите функции TCP и UDP. В чем отличие между этими прото-5. колами?Какие прикладные протоколы пользуются услугами TCP/IP?6. Каким образом формируются классы IP-7. адресов?Перечислите достоинства и недостатки существующей схемы формиро-8. вания IP- адресов?Как рассчитываются маски подсетей?9. Что такое адресация CIDR?10.

ФГБО

У ВПО



У ВПО



143

Гл а в а 12

прОтОКОл DHCP и маршрутизаЦия

12.1. механизм аренды IP- адреса

Протокол динамической конфигурации узла DHCP был разра-ботан для централизованного управления IP- адресами и является расширением протокола BOOTP (Bootstrap Protocol — протокол для загрузки и настройки TCP/IP на бездисковых клиентах). Про-токол выполняет динамическое выделение IP- адресов (IP- аренда) из определенного интервала, автоматически настраивает маску подсети, упрощает начальную настройку клиентских мест и снижает нагрузку на администратора сети. Для работы необходимо инсталлировать сервер DHCP, который отвечает на запросы клиентов и следит за тем, чтобы в сети не было повторяющихся адресов. В сети может быть сколько угодно серверов DHCP, но каждому из них должен быть выделен свой собственный интервал IP- адресов. Эти интервалы не должны совпадать или пересекаться! Более того, можно выделить адресные интервалы, адреса которых зарезервированы за определен-ными компьютерами и не отдаются во временную аренду.

Процесс аренды DHCP состоит из четырех шагов. На первом шаге клиент запрашивает аренду, формируя широковещательный пакет, где указан адрес отправителя 0.0.0.0 и 255.255.255.255 как адрес получателя. На втором шаге сервер DHCP, имеющий свободные IP-

адреса, предлагает аренду в виде IP- адреса, маски подсети, время аренды в часах и свой адрес. Следующий шаг называется выбором аренды, так как клиент подтверждает первое полученное сообщение на свой запрос. Это подтверждение содержит адрес сервера, которому посылают согласие на аренду. На четвертом шаге сервер выделяет клиенту предложенный адрес и сообщает ему об этом. Клиент реа-лизует полученные ранее настройки.

После истечения 50 % времени аренды клиент может обратиться к серверу с просьбой о продлении аренды. Не получив подтверж-дения, клиент может вторично запросить продление, когда истечет 87,5 % времени аренды. Если подтверждение не получено, процесс получения аренды начинается вновь. Следует отметить, что если сеть содержит маршрутизаторы между серверами DHCP и его клиентами, эти маршрутизаторы обязательно должны быть настроены на ре-трансляцию пакетов DHCP. Если в сети для увеличения надежности

ФГБО

У ВПО



У ВПО



144

функционирования кроме основного сервера DHCP используется еще и резервный DHCP, то при его настройке действует правило 80/20, когда все пространство возможных IP- адресов разбивается на две непересекающихся области (80 и 20 %). В этом случае локальный DHCP- сервер отвечает на запросы локальных компьютеров, а ре-зервный сервер назначает адреса клиентам, только если локальный недоступен или его пул адресов исчерпан.

Протокол DHCP легко реализуем, при его использовании сни-жается количество возможных ошибок, компьютеры без дополни-тельной перенастройки могут перемещаться по сети. Кроме того, количество возможных клиентских мест может быть значительно большим, чем количество IP- адресов. Однако эта услуга очень плохо реализуется при наличии брандмауэров. Дополнительные сложности вызывают попытки отследить, какому компьютеру присвоен какой IP- адрес. Если в гетерогенной сети присутствуют серверы под Unix, то IP- адрес в аренду не выдается и осуществляется статическая при-вязка IP- адреса.

Проверка настроек протокола производится с помощью двух ли-нейных команд — PING и IPCONFIG.

Команда PING использует протокол ICMP для опроса TCP/IP-

узла и по команде

PING<IP- адрес или имя узла>

выводится информация о работающих настройках.Команда PING выполняет четыре эхо- запроса, выводя соответ-

ствующие ответы. При определении неисправностей команда PING, как правило, используется в следующем порядке:

PING 127.0.0.1, когда тестируется свой собственный адаптер, без ••выхода в сеть;

PING< свой IP-•• адрес> — определяется правильная настройка своего адреса (нет ли адресов- дубликатов в сети);

PING<соседний IP — адрес в локальной сети> — проверка ••работы внутри сетевого сегмента;

PING<IP-•• адрес ближайшего интерфейса к маршрутизатору, подключенному к вашему сегменту сети>;

PING<IP-•• адрес интерфейса маршрутизатора, не подключенно-го к вашему сегменту сети>, и т. д.

Команда IPCONFIG предоставляет доступ к большей части TCP/IP настроек. Обычно эту команду используют в формате, по-зволяющем собрать максимально возможную информацию об узле:

IPCONFIG /ALL.

12.2. IP- маршрутизация

Windows 2003 поддерживает два типа маршрутизации: дина-мическую и статическую. Динамическая маршрутизация является

ФГБО

У ВПО



У ВПО



145

функцией протокола маршрутизации (RIP или OSPF) и автомати-чески поддерживает таблицы маршрутизации. Как правило, дина-мическая маршрутизация используется в больших и сложных сетях. Статическая маршрутизация является встроенной функцией IP, не требует дополнительных служб и может быть реализована сервером с несколькими сетевыми картами. Таблицы маршрутизации в этом случае создаются вручную. Для этого при наличии нескольких се-тевых интерфейсов у сервера Windows 2003 необходимо настроить свойство TCP/IP и создать соответствующую таблицу маршрутизации командой ROUTE.

Статическая таблица маршрутизации состоит из записей, содер-жащих следующую информацию:

адрес сети. Может быть показан идентификатор, или IP-•• адрес узла- получателя, включая локальный адрес 0.0.0.0 и широковеща-тельный адрес 255.255.255.255;

маска сети. Используется для сравнения адреса получателя ••с идентификатором подсети;

адрес шлюза, т. е. следующий IP-•• адрес интерфейса маршрути-затора для перехода;

интерфейс, т. е. IP-•• адрес сетевого интерфейса, по которому нужно переслать IP- пакет;

метрика, т. е. количество переходов (хопков) для достижения ••сети.

Как правило, статическая маршрутизация используется для не-больших сетей либо сетей с устойчивым и однообразным IP- тра-фиком.

Рассмотрим таблицу маршрутизации (рис. 12.1) для отдельного узла с IР- адресом 192.0.3.10, маской подсети 255.255.255.240 и адресом шлюза 192.0.3.113. Первой строкой в таблице указывается маршрут по умолчанию 0.0.0.0. Вторая срока указывает адрес для проверки настройки стека TCP/IP. Далее указаны адрес ограниченной широко-

Рис. 12.1. Таблица маршрутизации

ФГБО

У ВПО



У ВПО



вещательной рассылки (255.255.255.255) и адрес широковещательной рассылки для данной сети (192.0.3.255).


Какие функции выполняет DHCP? Достоинства и недостатки DHCP?1. Какими свойствами должны обладать сети, чтобы служба DHCP предо-2. ставляла максимальный сервис?Каким образом происходит аренда IР-3. адреса?В чем заключаются различия статической и динамической маршрутиза-4. ции?Какие сведения содержатся в таблице маршрутизации?5.

ФГБО

У ВПО



У ВПО



147

Гл а в а 13

ФунКЦиОнирОвание службы DNS

13.1. имена службы DNS

Каждый узел в Интернет имеет свой собственный, уникальный адрес, по которому можно связаться с любым другим адресом и по-слать ему сообщение. Однако человеку обычно трудно запомнить эти 32-битные адреса, ему проще ориентироваться по именам. Именно для этого в Интернет используется гибкая и масштабируемая систе-ма доменных имен DNS (Domain Name Service), когда каждому узлу присваивается уникальное символическое имя FQDN (Fully Qualified Domain Name), ассоциированное с его IP- адресом. Кроме того, имена узлов удобны еще и тем, что не зависят от физического расположения, в то время как IP- адрес компьютера соответствует его физическому расположению в сети. Если компьютер перемещается из одной сети в другую, то его IP- адрес должен быть изменен, в то время как домен-ное имя остается прежним. Например, просматривая информацию об Экономико- аналитическом институте НИЯУ МИФИ на сервере eai.mephi.ru, вы не знаете его конкретный IP- адрес, а миграция сервера не влияет на предоставление доступа к информации.

Существуют стандарты, публикуемые с именем RFC (Requestfor Comments), на правила именования FQDN. Стандарт RFC 1123 определяет:

имена доменов имеют иерархическую структуру, уровни иерар-••хии отделяются друг от друга точкой, имя формируется справа на-лево;

суммарное имя домена (узла) не содержит более 255 символов ••(a—z, A—Z, 0—9, дефис, точка);

имя на каждом уровне иерархии не может состоять только из ••цифр, но может начинаться с цифры;

имена не различают регистр букв (прописные или строчные);••метка на каждом уровне иерархии не может быть больше 63 ••

символов;метка нулевой длины зарезервирована для корневого домена.••

Рассмотрим несколько примеров, какие имена могут использо-ваться как FQDN, а какие нет:

cyber..mephi.ru — нельзя, так как в этом имени метка нулевой ••длины помещена не на верхний уровень иерархии, а в середину;

ФГБО

У ВПО



У ВПО



148

cyber.22.mephi.ru — нельзя, поскольку имя домена состоит толь-••ко из одних цифр;

cyber_22.mephi.ru — нельзя, так как в имени присутствует за-••прещенный символ подчеркивания;

cyber-22.mephi.ru — да, поскольку это имя удовлетворяет пра-••вилам стандарта RFC 1123;

22-cyber.mephi.ru — да, так как это имя удовлетворяет правилам ••стандарта RFC 1123.

Уникальность имен FQDN, в первую очередь, обеспечивается иерархической структурой (рис. 13.1). На корневом уровне иерархии присутствует нулевая метка. На следующем, верхнем уровне, может присутствовать один из трех типов доменов: домен организации, географический домен либо домен обратного просмотра.

К доменам организаций относятся трехсимвольные имена, ис-пользуемые обычно только для организаций в пределах США:

COM — коммерческие предприятия;••EDU — образовательные учреждения;••GOV — правительственные службы США;••MIL — военное ведомство США;••NET — поставщики услуг в Интернет;••INT — международная организация;••ORG — неклассифицированные организации.••

К географическим доменам относятся имена из двух символов, определяющие коды стран или регионов, например: AU — Австралия; BR — Бразилия; CA — Канада; DE — Германия; FR — Франция; RU — Россия; UK — Великобритания и т. д.

Доменами обратного просмотра являются in- addr.arpa и IP6.INT.

13.2. распознавание имен

Все пространство имен DNS делится на логические непересе-кающиеся разделы- множества (ветки на дереве пространства имен),

Рис. 13.1. Иерархическая структура имен

ФГБО

У ВПО



У ВПО



149

которые называются зонами. Структура дерева пространства имен такова, что один из узлов в зоне всегда ближе к корню, чем осталь-ные. Имя этого узла используется в качестве имени зоны, а сама зона распространяется вниз от этого узла до самого нижнего уровня либо до начала следующей зоны. Использование зон упрощает про-цесс определения имен, когда имени FQDN ставится в соответствие конкретный IP- адрес. Для осуществления этого процесса серверам сети присваивают разные роли.

Один из серверов в каждой зоне берет на себя функции по хра-нению и распознаванию части базы данных DNS для этой зоны. Такой сервер называется главным доменным сервером имен (domain master name server). Все изменения и обновление информации по зоне вносятся именно на этом сервере. Сама база данных содержит следующую информацию:

имена всех зон;••адреса серверов имен всех зон;••адреса серверов имен корневых доменов;••адреса серверов доменов, связывающих текущий домен с ие-••

рархией DNS;IP-•• адреса всех узлов в текущем домене.

Резервные (репликативные) серверы имен обеспечивают отказо-устойчивость. Серверы данного типа содержат копию информации о зоне, которую получили от главного сервера, что повышает надеж-ность функционирования системы. Кроме того, резервный сервер берет на себя часть нагрузки по определению имен.

Кэширующие серверы имен используются для увеличения эф-фективности процесса определения имен. Такой сервер не содержит постоянного списка узлов в зоне, а кэширует результат выполнения запросов, полученный при обращении к другим серверам имен. Па-раметр, отвечающий за время сохранения имени в кэше, называется TTL (Time To Live), когда время истекает, запись удаляется.

Серверы имен используют не только свои собственные базы для определения имени, они могут опрашивать другие серверы имен. Такая поддержка службы DNS распределенной базы данных позволяет работать доменной иерархической структуре имен по всему миру. При определении имени может применяться три типа запросов: рекурсивный, итеративный и обратный. Рекурсивный запрос необходим при определении полного IP- адреса и наиболее часто используется клиентами. Итеративный запрос необходим для частичного определения имени и используется серверами имен. Об-ратный запрос позволяет IP- адресу поставить в соответствие имя запрашиваемого ресурса.

Рассмотрим процесс обработки типичного запроса на определение имени (рис. 13.2).

1. Клиент запрашивает IP- адрес узла www.mephi.ru в Интер-нете.

ФГБО

У ВПО



У ВПО



150

2. Сервер имен домена (локальный для клиента) пытается найти требуемый IP- адрес в своих базах данных и в кэше DNS и вернуть его клиенту. Если адрес не найден, то данный сервер имен домена выступает как преобразователь имен и производит запрос к корне-вому серверу имен (таких серверов сейчас около 15).

3. Корневой сервер имен просматривает запрос www.mephi.ru и сообщает преобразователю, где находится сервер .ru, т. е. его IP-

адрес.4. Преобразователь запрашивает сервер .ru на определение адреса

www.mephi.ru.5. Сервер .ru ищет в своей базе адрес .mephi.ru и результат поиска

сообщает преобразователю.6. Преобразователь еще раз посылает запрос на определение име-

ни www.mephi.ru, в этот раз уже серверу .mephi.ru.Полученный ответ в виде полного IP- адреса преобразователь по-

мещает в кэш и передает его клиенту, который его запрашивал.Один из методов определения адреса самим клиентом является

использование файла HOSTS. Этот файл представляет собой ло-кальную базу данных, связывающую IP- адреса с именами узлов. В большинстве UNIX- систем она находится в файле /etc/hosts, а в системе Windows ХР местоположение файла HOSTS должно быть в \%Systemroot\system32\drivers\etc. В файле HOSTS содержится ото-бражение IP- адреса на соответствующее имя узла, причем одному адресу могут соответствовать несколько имен, которые отделяются друг от друга пробелом. Чувствительность к регистру букв зависит от конкретной платформы. Помните, что для Windows ХР регистр букв не имеет значения. Главное, чтобы файл HOSTS не содержал оши-

Рис. 13.2. Определение имени с помощью сервера DNS

ФГБО

У ВПО



У ВПО



151

бок, не имел расширения в имени и находился в требуемом месте. Вид типичного файла HOSTS приведен на рис. 13.3, где знаком «#» отмечены комментарии.

Преимущества использования файла HOSTS в том, что пользо-ватели могут его настраивать сами, вводя имена часто используемых ресурсов вверх таблицы отображения. Для маленьких сетей использо-вание этого файла не загружает трафик лишними запросами клиент-ских станций по определению имен и повышает производительность работы. Однако при большом количестве записей или при необходи-мости частых обновлений таблицы такой метод не эффективен.

В сетях Windows 2003 имеется возможность использовать оба спо-соба, как через файл HOSTS, так и через службу DNS- сервера. Когда запрашивается имя узла, то выполняются следующие шаги:

служба TCP/IP проверяет, содержится ли данное имя в файле 1) HOSTS;

если там его нет, то формируется и посылается запрос на раз-2) решение имени соответствующему DNS- серверу.

По умолчанию имя узла в поле HostName должно совпадать с те-кущем именем данного компьютера (его NetBIOS- именем). В окне Domain задается имя домена организации. Сочетание имени узла и имени домена образует FQDN, под которым данный компьютер будет известен DNS- серверу. В окно DNS (Service Search Order) вводится IP- адрес DNS- сервера, при необходимости этот список может быть увеличен до трех адресов. Порядок, в котором указаны адреса, определяет порядок опроса при разрешении имени. Опция Domain Suffix Search Order позволяет использовать дополнительные суффиксы для образования полных доменных имен при определении адреса компьютера, заданного только именем узла.

13.3. WINS и разрешение имен NetBIOS

В сетях Windows XP, помимо стандартных средств DNS и HOSTS, для распознавания имен используется и служба определения имен Интернета WINS (Windows Internet Name Service). Это обусловлено

Рис. 13.3. Файл HOSTS

ФГБО

У ВПО



У ВПО



152

тем, что все ресурсы в сетях Windows NT (компьютеры, пользовате-ли, папки, общие принтеры и т. д.) имеют имена NetBIOS, которые динамически регистрируются при входе пользователя в сеть или при запуске службы или приложения. При запросе сетевого ресурса его имя NetBIOS разрешается в IP- адрес с помощью широковещатель-ных пакетов.

Для уменьшения широковещательного трафика NetBIOS Май-крософт предлагает использовать сервера WINS или статический файл LMHOSTS. Использование сервера WINS позволяет не только посылать запросы на разрешение имени NetBIOS не в широковеща-тельном режиме, а непосредственно самому серверу, что уменьшает вероятность появления «широковещательных штормов», но и эффек-тивно использовать динамически изменяемую базу данных WINS при частой смене IP- адресов клиентов, например при DHCP.

Помимо сетевого адаптера и IP- адреса основного сервера WINS, можно указать адрес резервного сервера WINS, указать возможность использования DNS- имен и FQDN при работе с приложениями Windows.

Примером такой возможности является использование линейной команды NETUSE или NETVIEW . Формат команд NETUSE:

NETUSEG:\\< имя NetBIOS>\< имя разделяемого ресурса>,

где \\< имя NetBIOS>\< имя разделяемого ресурса> представляет собой UNC.

Если установлена опция Enable DNSfor Windows Resolution, то для Windows- команд можно использовать и другой формат:

NETUSEG:\\<FQDN или IP- адрес>\<имя разделяемого ре-сурса>.

Помимо возможности использования FQDN, на данной вклад-ке устанавливается дисциплина использования файла LMHOSTS, который содержит отображение имен NetBIOS в IP- адреса, и его автоматический импорт с любого компьютера сети.

13.4. управление сетями TCP/IP и протоколы прикладного уровня

В любой реализации TCP/IP существует множество приложений, функционирующих на всех платформах. Эти приложения хорошо документированы и могут работать совместно. В сетях Windows часто используется специальный сервер приложений фирмы Май-крософт — IIS (Internet Information Server), позволяющий управлять этими приложениями и организовывать к ним доступ со стороны клиентов.

Основным компонентом IIS является веб- сервер, который под-держивает службу WWW и позволяет размещать в Интернете сайты.

ФГБО

У ВПО



У ВПО



153

Служба WWW (иногда ее называют W3SVC) предоставляет клиентам доступ к сайтам по протоколам HTTP и, если произведена настройка, HTTPS. Один сервер IIS, версии 6.0 и выше, может обслуживать не-сколько сайтов. Для каждого сайта необходимо задать IP- адрес сайта; TCP- порт, на котором служба WWW ожидает подключений к данному сайту; значение заголовка Host запроса HTTP, указывающее обычно DNS- имя сайта.

Таким образом, например, один сервер с одним IP- адресом может обслуживать на одном TCP- порту несколько сайтов. Для этого не-обходимо создать несколько DNS- записей, указывающих на IP- адрес сервера, сайты в этом случае различаются по заголовкам узла. Для каждого сайта также указывается домашний каталог— каталог в фай-ловой системе сервера, соответствующий «корню» сайта. IIS поддер-живает протоколы HTTP, HTTPS, FTP, POP3, SMTP, NNTP.

Протокол  передачи  гипертекста  HTTP обеспечивает доступ к информации World Wide Web на основе запросов и ответов. Для получения информации клиент HTTP посылает запрос на сервер, который содержит информацию о целях запроса, основные функции поиска и извлечения данных.

Основой HTTP является технология «клиент- сервер», т. е. пред-полагается существование потребителей (клиентов), которые ини-циируют соединение и посылают запрос, и поставщиков (серверов), которые ожидают соединения для получения запроса, производят необходимые действия и возвращают обратно сообщение с резуль-татом.

Протокол HTTPS (Hyper Text Transfer Protocol Secure) является расширением протокола HTTP, поддерживающим шифрование. Дан-ные, передаваемые по протоколу HTTPS, «упаковываются» в крип-тографический протокол SSL или TLS, тем самым обеспечивается защита этих данных. В отличие от HTTP, для HTTPS по умолчанию используется TCP- порт443. HTTPS обеспечивает защиту от атак, основанных на прослушивании сетевого соединения при условии, что будут использоваться шифрующие средства и сертификат сервера проверен и ему доверяют.

Так же, как IIS может служить сервером службы WWW, так же IIS может быть сервером FTP.

Протокол передачи файлов FTP — самый популярный протокол уровня приложений. Он основан на установлении виртуальных кана-лов для надежной передачи между узлами. При работе FTP опирается на TCP с установлением соединения.

К основным функциям FTP относятся:регистрация пользователя;••просмотр каталогов;••работа с файлами;••перемещение и копирование файлов;••исполнение команд.••

ФГБО

У ВПО



У ВПО



154

Для переноса файлов сервер, поддерживающий протокол FTP, можно настроить на аутентификацию по ученой записи пользователя и паролю либо оставить возможность анонимного входа по имени «anonymous» с адресом электронной почты вместо пароля. Возмож-ность настройки службы FTP поддерживается приложением IIS, которая позволяет играть роль сервера FTP.

Простой протокол передачи почты SMTP определяет как пере-даются сообщения между узлами в сети TCP/IP. Этот протокол не обеспечивает локальный интерфейс пользователя или локальную доставку, он определяет только способ пересылки от узла к узлу. Для создания сообщений, работы с почтовыми ящиками и отправки сообщений необходима локальная почтовая программа. Обычно эта дополнительная программа использует еще два протокола: POP3 (Post Office Protocolv.3) — почтовый протокол версии 3 и IMAP (Internet Messaging Access) — протокол доступа к сообщениям в Интернет.

POP и IMAP— наиболее распространенные интернет- протоколы для извлечения почты. Практически все современные клиенты и сер-веры электронной почты поддерживают оба стандарта.

Протокол POP поддерживает простые требования в виде загруз-ки с последующим удалением для доступа к удаленным почтовым ящикам. Хотя большей части POP- клиентов предоставляется воз-можность оставить почту на сервере после загрузки, использующие POP- клиенты обычно соединяются, извлекают все письма, сохраняют их на пользовательском компьютере как новые сообщения, удаляют их с сервера, после чего разъединяются.

POP3 — стандартный интернет- протокол прикладного уров-ня, используемый клиентами электронной почты для извлечения электронного сообщения с удаленного сервера по TCP/IP- соедине-нию. POP3-сервер прослушивает общеизвестный порт 110. Шиф-рование связи для POP3 запрашивается после запуска протокола, с помощью либо команды STLS (если она поддерживается), либо POP3S, которая соединяется с сервером, используя TLS или SSL по TCP- порту 995.

Доступные сообщения клиента фиксируются при открытии почтового ящика POP- сессией и определяются количеством со-общений для сессии, или, по желанию, с помощью уникального идентификатора, присваиваемого сообщению POP- сервером. Этот уникальный идентификатор является постоянным и уникальным для почтового ящика и позволяет клиенту получить доступ к одному и тому же сообщению в разных POP- сессиях. Почта извлекается и помечается для удаления с помощью номера сообщения. При выходе клиента из сессии помеченные сообщения удаляются из почтового ящика.

Простой протокол управления сетью SNMP основан на дейта-граммном взаимодействии UDP и является основным инструментом

ФГБО

У ВПО



У ВПО



155

управления в гетерогенных сетях TCP/IP. Протокол позволяет ис-пользовать одну из рабочих станций в качестве менеджера SNMP. Из менеджера SNMP можно посылать запросы любому другому активному сетевому устройству, содержащему соответствующее про-граммное обеспечение, т. е. агенту SNMP. У каждого агента SNMP есть свой набор объектов базы данных управляющей информации MIB (Management Information Base), которую менеджер может за-прашивать с того или иного узла.

В SNMP определено пять типов команд, которыми можно обме-ниваться:

Get Next Request — позволяет менеджеру получить инфор-1) мацию из таблицы. Менеджер посылает этот запрос до тех пор, пока не получит требуемую информацию либо не считает всю та-блицу;

Get Request — посылается менеджером для получения инфор-2) мации от агента;

Get Response — посылается агентом в ответ на запрос менед-3) жера;

Set Request– используется менеджером для изменения значений 4) того или иного параметра MIB, ответ на него не обязателен;

Trap — используется агентом для уведомления менеджера о не-5) которых специальных событиях.

В каждый запрос, посылаемый агенту от менеджера, включается имя сообщества. Под именем сообщества понимается текстовая регистрозависимая строка. Имя сообщества подразделяется на не-сколько категорий:

сообщества управления — наличие имени сообщества дает ••менеджеру SNMP право чтения и записи на ограниченный набор объектов MIB. По умолчанию использование имени сообщества управления запрещено, поскольку это позволяет защитить MIB от изменения со стороны менеджера, не имеющего на это права;

сообщества наблюдения — дает право менеджеру SNMP право ••чтения информации из MIB, по умолчанию присваивается имя «public»;

сообщества уведомления — имя сообщества прерывания вклю-••чается во все уведомления, исходящих из агента, по умолчанию при-сваивается имя public.

Если имя сообщества не удается опознать или оно не уполно-мочено сопровождать данный конкретный запрос, то формируется сообщение об ошибке аутентификации.

К основным преимуществам использования SNMP в управлении сетью относятся:

широкое распространение;••надежность и технологичность;••простота интеграции с другими сетевыми технологиями;••легкость масштабирования и построения больших сетей;••

ФГБО

У ВПО



У ВПО



156

преемственность, когда более поздние программные продукты ••могут динамически управлять более старыми версиями.

Однако SNMP имеет серьезные проблемы с поддержкой политики безопасности, которые могут привести к несанкционированному доступу к информации. Кроме того, в нем отсутствуют усовершен-ствования, которые позволяют получить более полную и структури-рованную информацию о сети.

Для того чтобы спланировать эффективную реализацию SNMP в сетях Windows, администратор системы должен определить: имена сообществ, разделяемые сетевыми узлами; IP- адрес или имя узла, который будет работать как менеджер SNMP; человека, который будет управлять этим менеджером SNMP.

После того, как указанные свойства определены, необходимо инсталлировать и настроить службу SNMP, входящую в дистрибутив Window 2003.

После инсталляции в утилите Performance Monitor прибавляются дополнительные счетчики, позволяющие наблюдать за производи-тельностью ICMP, IP, TCP, DHCP, FTP, WINS и IIS. Новые файлы MIB с интересующими администратора сети показателями создаются утилитой Perf2MIB.

Протокол  NNTP  (Network News Transfer Protocol) — сетевой протокол распространения, запрашивания, размещения и полу-чения групп новостей при взаимодействии между сервером групп новостей и клиентом. NNTP разработан для обмена сообщениями в телеконференциях и по строению во многом сходен с протоколом приема и передачи электронной почты SMTP. Существует вариация протокола NNTP, называемая NNRP (Network News Readers Protocol). Она отличается только набором поддерживаемых команд и предна-значена для чтения конференций с сервера новостей клиентским ПО в режиме онлайн. Функционально NNTP ориентирован на то, что статьи отправляются подписчикам при их появлении на сервере, а NNRP — по запросу клиента. Соответственно NNTP используется для обмена сообщениями между серверами новостей, а NNRP— для чтения сообщений с сервера новостей и создания новых сообщений. За NNTP закреплен TCP- порт119, при подключении к NNTP- сер-веру по SSL используется порт 563 NNTP предполагает, что серверы новостей имеют постоянное IP- подключение.

Важная особенность протокола NNTP — эффективность в случае сложных графов связей между серверами новостей. Чтобы одно и то же сообщение не передавалось многократно, обычно отправляющий сервер сначала сообщает идентификатор нового сообщения, а само сообщение отправляет только после подтверждения принимающей стороны о том, что этого сообщения там еще нет. Часто серверы новостей держат постоянно открытыми одну или несколько NNTP-

сессий, чтобы не открывать их каждый раз заново при получении новых сообщений.

ФГБО

У ВПО



У ВПО




Перечислите функции службы DNS. В чем ее достоинства и недостатки?1. Каким образом формируется имя FQDN? Какие имена заведомо непра-2. вильные?Перечислите функции службы WINS. В чем ее достоинства и в чем не-3. достатки?Для чего используются файлы HOSTS и LMHOSTS? В чем их отличие?4. Что такое «разрешение адреса»? Как работает этот процесс?5. Что такое «разрешение физического адреса»? Как работает этот про-6. цесс?Какими свойствами должна обладать сеть, чтобы использование файла 7. HOSTS давало преимущества перед службой DNS?Какими свойствами должна обладать сеть, чтобы использование файла 8. LMHOSTS давало преимущества перед службой WINS?Какими свойствами должна обладать сеть, чтобы использование службы 9. DNS было оптимальным?Какими свойствами должна обладать сеть, чтобы использование службы 10. WINS было оптимальным?Для чего используется протокол SMNP? В чем его достоинства и недо-11. статки?Какими свойствами должна обладать сеть, чтобы использование SMNP 12. давало наибольшие преимущества в управлении?Какие функции выполняет протокол FTP?13. Какие функции выполняет протокол HTTP?14. Какие функции выполняет протокол NNTP?15.

ФГБО

У ВПО



У ВПО



158

Гл а в а 14

развитие прОтОКОла TCP/IP

14.1. проблемы расширения адресного пространства

Для последнего десятилетия характерно, что помимо традицион-ного использования простых протоколов электронной почты, пере-дачи файлов, удаленного доступа, все активнее применяются средства распределенной обработки мультимедийной информации, растет объем данных, предназначенных для одновременного коллективного доступа большого числа абонентов. В настоящее время разработано несколько протоколов прикладного уровня, обеспечивающих ин-формационную безопасность таких приложений, как электронная почта, служба WWW, сетевое управление и т. д. Все это приводит к необходимости изменения концепций традиционных протоколов семейства TCP/IP.

Современная среда межсетевого взаимодействия должна обеспе-чивать передачу информации в режиме реального времени, иметь средства контроля загрузки каналов передачи данных, предоставлять механизмы защиты информации. Базовые протоколы семейства TCP/IP не удовлетворяют ни одному из этих требований. При этом близко практически полное исчерпание 4-миллиардной емкости адресного пространства TCP/IP. В настоящее время традиционный стек про-токолов TCP/IP называется IPv4.

Обобщая изменения, произошедшие в сетевых технологиях за по-следнее 10-летие, можно выделить рост масштабов сетей, изменение характера сетевых приложений, изменение взглядов на информаци-онную безопасность.

По компьютерным сетям сейчас передаются не только компью-терные данные, но все виды информации, в том числе и мультиме-дийной. Информация, предназначенная для восприятия человеком, как правило, чувствительна к задержкам. То же можно сказать об информации, циркулирующей в системах управления. Кроме того, с ростом числа сетевых приложений объем трафика растет не линей-но, а существенно быстрее.

При формировании семейства протоколов TCP/IP вопросы информационной безопасности не стояли на первом плане. Они, конечно, учитывались, но в начале 1970-х гг. механизмы сетевой безопасности не были глубоко проработаны. Возможно, сказывалось

ФГБО

У ВПО



У ВПО



159

и интуитивное представление о допустимом уровне накладных рас-ходов. Сейчас ситуация изменилась и сеть, не предоставляющая не-которых заданных гарантий безопасности, не может использоваться хотя бы по законодательным причинам. Конечно, защитные средства можно размещать на разных уровнях эталонной модели ISO/OSI, но по многим причинам сетевой уровень — уровень IP, оказывается наиболее предпочтительным.

Недостатки традиционной версии IPv4 можно разделить на две большие группы: проблемы масштабируемости и отсутствие неко-торых обязательных механизмов.

Проблемы масштабируемости IPv4 проявляются не только в Ин-тернет, но и в крупных корпоративных сетях. Следует отметить:

недостаточность объема 32-битного адресного пространства;••сложность агрегирования маршрутов, разрастание таблиц марш-••

рутизации;сложность массового изменения IP-•• адресов;относительную сложность обработки заголовков пакетов IPv4.••

Обычно, когда говорят о недостатках IPv4, в первую очередь от-мечают проблему исчерпания 32-битного адресного пространства.

Не менее важной опасностью является чрезмерный рост таблиц магистральных маршрутизаторов и, как следствие, резкое падение производительности последних. Эта опасность вызвана не столь-ко ростом числа IP- адресов, сколько сложностью решения задачи маршрутизации и администрирования маршрутных таблиц в силу их огромной размерности. Бесклассовая маршрутизация CIDR, по-зволившая сформировать иерархию IP- адресов на основе маршрутов их достижения, существенно улучшила положение, продлив век IPv4. Тем не менее, большое количество старых выделенных IP- адресов продолжает отягощать схему CIDR.

Введение в рамках CIDR иерархии на основе отношения по-ставщик/пользователь интернет- услуг обострило проблему адми-нистрирования IP- хостов. По существу IP- адрес распался на две составляющие, одна из которых определяется интернет- провайдером, а вторая находится в ведении организации. При изменении каждой из этих составляющих (например, при переходе к другому постав-щику интернет- услуг) приходится решать задачу «перенумерации» узлов сети, т. е. массового изменения их IP- адресов. Для больших организаций подобная задача является нетривиальной, требующей выделения соответствующих ресурсов и чреватой перерывами в ра-боте сети. Перенумерация затрагивает не только оконечные системы, но и маршрутизаторы, DNS- серверы, межсетевые экраны и т. п. Зна-чит, нужны развитые средства автоматического конфигурирования, позволяющие узлам сети динамически выяснять свои IP- адреса, находить маршрутизаторы, определять адреса смежных узлов и т. п. Ручное вмешательство в перенумерацию должно ограничиваться кон-фигурированием небольшого числа параметров на небольшом числе

ФГБО

У ВПО



У ВПО



160

систем. Отчасти данную проблему решает протокол динамического конфигурирования хостов DCHP, но для полноценного решения необходима большая, чем это возможно в рамках IPv4, структуриза-ция сетевых адресов, а также пересмотр управляющих протоколов, таких как ARP и ICMP. Таким образом, масштабируемость IP- сетей следует рассматривать не только с точки зрения увеличения числа узлов, но и повышения скорости передачи и уменьшения задержек при маршрутизации.

В IPv4 отсутствуют следующие обязательные по современным меркам услуг: механизмы информационной безопасности и средства поддержки классов обслуживания.

С точки зрения информационной безопасности особенно следует отметить отсутствие стандартных средств аутентификации и шиф-рования данных. Исходный IP- адрес идентифицирует отправителя, но каких- либо средств аутентификации в пакете IPv4 нет, поэтому проверить подлинность отправителя практически невозможно, как невозможно и сформировать защищенный канал передачи данных с произвольным абонентом сети. Средства безопасности желательно реализовать именно на сетевом уровне, так как они будут функ-ционировать прозрачным для приложений образом и не придется вносить изменения в существующее прикладное ПО.

Отсутствие поддержки классов обслуживания в IPv4 многие маршрутизаторы компенсируют собственными механизмами выде-ления IP- потоков, анализируя информацию транспортного уровня. Очевидно, что такие решения оказываются закрытыми, не обеспечи-вающими сквозной поддержки классов обслуживания в разнородной среде, что в значительной степени эти решения обесценивает. Как и в случае механизмов безопасности, поддержка классов обслуживания должна быть реализована на сетевом уровне, поскольку обеспечивать ее будут маршрутизаторы, связывающие оконечные системы.

14.2. протокол IPv6

В 1992 г. для решения проблем адресного пространства и ряда смежных задач сообщество Интернет разработало три проекта протоколов: TCP and UDP with Bigger Addresses (TUBA), Common Architecture for the Internet (CatnIP) и Simple Internet Protocol Plus (SIPP). После анализа всех этих предложений был принят новый протокол IPv6 с IP- адресами в 128 бит вместо 32 для IPv4. Адресное пространство IPv6 будет распределяться комиссией по стандартным числам в Интернет IANA (Internet Assigned Numbers Authority). IANA будет делегировать права выдачи IP- адресов региональным сервис-

провайдерам, субрегиональным структурам и организациям. Отдель-ные лица и организации могут получить адреса непосредственно от регионального распределителя или сервис-провайдера.

ФГБО

У ВПО



У ВПО



161

Передача адресного пространства от IANA не является необрати-мой. Если, по мнению IANA, распорядитель адресного пространства допустил серьезные ошибки, IANA может аннулировать выполненное ранее выделение.

Таким образом, IPv6 представляет собой новую версию протоко-ла Интернет (RFC-1883), являющуюся преемницей версии 4 (IPv4; RFC-791). Все изменения планировались таким образом, чтобы минимизировать изменения на других уровнях протокольного стека TCP/IP.

Изменения IPv6 можно характеризовать следующим образом:используется 128-разрядное адресное пространство, благодаря 1)

чему масштабируемость Интернет резко повышается. Такое расши-рение адресного пространства позволит исключить необходимость преобразования сетевых адресов (Network Address Translation — NAT), если протокол будет реализован в сети соответствующим образом. Другое преимущество IPv6 состоит в том, что он предусматривает возможность использования различных типов адресов, например IPX;

автоматическая конфигурация адресов представляет собой одну 2) из важнейших практических технологий в IPv6. Она не только из-бавляет от необходимости назначать новые адреса вручную, но и упрощает изменение ранее назначенных адресов. Однако такая система будет работать только при использовании эффективной методики перенумерации;

IPv6 имеет три типа адресов, в этом случае предусматривают 3) уникальную адресацию (unicast addressing), когда пакеты передаются одному адресату, и групповую адресацию (multicast addressing), при которой пакеты передаются каждому члену группы, увеличивая на-кладные расходы на маршрутизацию. Такие сообщения посылаются одному из членов предопределенной группы из нескольких адресов, а не каждому из них;

IPv6 включает также поддержку мобильного IP для обеспечения 4) маршрутизации между беспроводными и наземными сетями. Мо-бильное устройство сохраняет свой исходный адрес, но при этом оно получает второй адрес с информацией о местонахождении.

IPv6 предусматривает и функции для упрощения и усовершен-ствования маршрутизации. Некоторые из полей заголовка IPv4 были исключены или стали необязательными, в результате чего накладные расходы на обработку пакетов на маршрутизаторе должны сократить-ся. Изменение заголовка позволяет также повысить гибкость с точки зрения возможности введения новых опций.

Важнейшие изменения, внесенные в структуру пакета IPv6, со-стоят в следующем:

упрощен стандартный заголовок, ликвидировано его контроль-••ное суммирование;

изменено представление необязательных полей заголовка;••

ФГБО

У ВПО



У ВПО



162

расширено адресное пространство;••улучшена поддержка иерархической адресации, агрегирования ••

маршрутов и автоматического конфигурирования адресов;введены механизмы аутентификации и шифрования на уровне ••

IP- пакетов;введены метки потоков данных.••

Важно отметить, что в IPv6 пакеты не могут фрагментироваться и собираться маршрутизаторами. Отправитель должен заранее выяс-нить максимальный размер пакетов, поддерживаемый на всем пути до получателя, и, при необходимости, выполнить фрагментацию своими силами. Снятие с маршрутизаторов забот о фрагментации также спо-собствует повышению эффективности их работы, хотя и усложняет в определенной степени жизнь оконечным системам.

Средства аутентификации и шифрования вынесены на IP- уровень. Это позволяет пользоваться данными средствами другим протоколам, например управляющим. Тем самым уменьшается сложность и по-вышается надежность реализации. С другой стороны, соединение сетевых и криптографических протоколов способно создать пробле-мы в таких странах, как Россия, где государство жестко контролирует производство и импорт криптосредств. Стандартная реализация стека TCP/IP может рассматриваться как криптосредство со всеми вытекающими отсюда последствиями.

Средства безопасности для IP описываются семейством специ-фикаций IPsec, разработанных рабочей группой IP Security. Эти спецификации применимы как к IPv4, так и к IPv6. Для IPv4 под-держка IPsec является желательной, а для IPv6 — обязательной. Протоколы IPsec обеспечивают управление доступом, целостность вне соединения, аутентификацию источника данных, защиту от вос-произведения, конфиденциальность и частичную защиту от анализа трафика.

В состав IPsec входят протоколы обеспечения аутентичности в виде протокола аутентифицирующего заголовка AH (Authentication Header) и конфиденциальности в виде протокола инкапсулирующей защиты содержимого ESP (Encapsulating Security Payload), а также ме-ханизмы управления криптографическими ключами. На более низком архитектурном уровне располагаются конкретные алгоритмы шиф-рования, контроля целостности и аутентичности. Роль фундамента выполняет домен интерпретации DOI (Domain of Interpretation), яв-ляющийся по сути базой данных, хранящей сведения об алгоритмах, их параметрах, протокольных идентификаторах и т. п.

Протоколы обеспечения аутентичности и конфиденциальности в IPsec не зависят от конкретных криптографических алгоритмов. В принципе, в каждой стране могут применяться свои алгоритмы, соответствующие национальным стандартам, но для этого как ми-нимум нужно позаботиться об их регистрации в домене интерпрета-ции. Протоколы обеспечения аутентичности и конфиденциальности

ФГБО

У ВПО



У ВПО



могут использоваться в двух режимах: транспортном и туннельном. В первом случае защищается только содержимое пакетов и, быть мо-жет, некоторые поля заголовков. Как правило, транспортный режим используется хостами.

В туннельном режиме защищается весь пакет — он инкапсули-руется в другой IP- пакет. Туннельный режим обычно реализуют на специально выделенных защитных шлюзах, маршрутизаторах или межсетевых экранах.


В чем заключаются проблемы масштабирования сетей IPv4?1. Как решаются проблемы марсшрутизации в IPv6?2. Какая адресация допустима в IPv6?3. Как поддерживается мобильный IP в IPv6?4. Какие средства обеспечения безопасности предоставляет IPsec?5.

ФГБО

У ВПО



У ВПО



164

ра з д е л IV

ОснОвы сетевОй безОпаснОсти

При рассмотрении безопасности информационных систем можно выделить две основные категории проблем:

безопасность компьютера;••сетевая безопасность.••

К первой категории относятся все проблемы защиты данных, хранящихся и обрабатывающихся компьютером, который рассматри-вается как автономная система. Эти проблемы решаются средствами ОС и приложений, таких как базы данных, а также встроенными аппаратными средствами компьютера.

Под второй категорией (сетевой безопасностью) обычно понима-ют все вопросы, связанные с взаимодействием устройств в сети, т. е. прежде всего защита данных в момент их передачи по линиям связи и защита от несанкционированного удаленного доступа в сеть. Хотя проблемы сетевой и компьютерной безопасности трудно отделить друг от друга ввиду их тесной взаимосвязанности, очевидно, что в сетевой безопасности существуют свои нюансы.

Помимо проблем, обусловленных возможностью удаленного входа в сетевые компьютеры, сети по своей природе подвержены еще одно-му виду опасности — перехвату и анализу сообщений, передаваемых по сети, а также созданию «ложного» трафика. Большая часть средств обеспечения сетевой безопасности направлена на предотвращение именно этого типа нарушений.

В настоящее время вопросы сетевой безопасности приоб-ретают особое значение, когда при построении корпоративных сетей наблюдается переход от использования выделенных каналов к публичным сетям (Интернет, frame relay). Поставщики услуг пу-бличных сетей пока редко обеспечивают защиту пользовательских данных при их транспортировке по своим магистралям, возлагая на пользователей заботы по их конфиденциальности, целостности и доступности.

Помимо общих понятий сетевой и компьютерной безопасности, в данном разделе рассмотрены выпросы построения виртуальных сетей, электронная надпись, средства антивирусной и антиспамовой защиты.

ФГБО

У ВПО



У ВПО



165

Гл а в а 15

ОснОвные пОнятия безОпаснОсти

15.1. безопасная информационная система

Безопасная информационная система — система, которая, во- пер-вых, защищает данные от несанкционированного доступа, во- вто-рых, всегда готова предоставить их своим пользователям, в- третьих, надежно хранит информацию и гарантирует неизменность данных. Отсюда следует, что безопасная система по определению обладает свойствами конфиденциальности, доступности и целостности. Кон-фиденциальность (confidentiality) — гарантия того, что секретные данные будут доступны только авторизованным пользователям, т. е. тем, которым этот доступ разрешен. Доступность (availability) — гарантия того, что авторизованные пользователи всегда получат доступ к данным. Целостность (integrity) — гарантия сохранности данными правильных значений, которая обеспечивается запретом для неавторизованных пользователей каким- либо образом изменять, модифицировать, разрушать или создавать данные.

Требования безопасности могут меняться в зависимости от назна-чения системы, характера используемых данных и типа возможных угроз. Трудно представить систему, для которой были бы не важны свойства целостности и доступности, но свойство конфиденциально-сти не всегда является обязательным. Например, если вы публикуете информацию в Интернете на веб- сервере и вашей целью является сделать ее доступной для самого широкого круга людей, то конфи-денциальность в данном случае не требуется. Однако требования целостности и доступности остаются актуальными.

Действительно, если не предпринимать специальных мер по обе-спечению целостности данных, злоумышленник может изменить дан-ные на вашем сервере и нанести этим ущерб вашему предприятию. Преступник может, например, внести такие изменения в помещен-ный на веб- сервере прайс- лист, которые снизят конкурентоспособ-ность вашего предприятия, или испортить коды свободно распро-страняемого вашей фирмой программного продукта, что безусловно скажется на ее деловом имидже.

Не менее важным в данном случае, является и обеспечение до-ступности данных. Затратив немалые средства на создание и под-держание сервера в Интернете, предприятие вправе рассчитывать на отдачу: увеличение числа клиентов, количества продаж и т. д. Однако существует вероятность того, что злоумышленник пред-примет атаку, в результате которой помещенные на сервер данные станут недоступными для тех, кому они предназначались. Примером

ФГБО

У ВПО



У ВПО



166

таких злонамеренных действий может служить «бомбардировка» сервера IP- пакетами с неправильным обратным адресом, которые в соответствии с логикой работы этого протокола могут вызывать тайм- ауты, а в конечном счете сделать сервер недоступным для всех остальных запросов.

Понятия конфиденциальности, доступности и целостности могут быть определены не только по отношению к информации, но и к другим ресурсам вычислительной сети, например, внешним устройствам или приложениям. Существует множество системных ресурсов, возможность «незаконного» использования которых может привести к нарушению безопасности системы. Например, неогра-ниченный доступ к устройству печати позволяет злоумышленнику получать копии распечатываемых документов, изменять параметры настройки, что может привести к изменению очередности работ и даже к выводу устройства из строя. Свойство конфиденциаль-ности, примененное к устройству печати, можно интерпретировать таким образом: доступ к устройству имеют те и только те пользова-тели, которым этот доступ разрешен, причем они могут выполнять только те операции с устройством, которые для них определены. Свойство доступности устройства означает его готовность к ис-пользованию всякий раз, когда в этом возникает необходимость. А свойство целостности может быть определено как свойство неиз-менности параметров настройки данного устройства. Легальность использования сетевых устройств важна, так как она влияет на безопасность данных. Устройства могут предоставлять различные услуги: распечатку текстов, отправку факсов, доступ в Интернет, электронную почту и т. п., незаконное потребление которых, нанося-щее материальный ущерб предприятию, также является нарушением безопасности системы.

Любое действие, которое направлено на нарушение конфиден-циальности, целостности и/или доступности информации, а также на нелегальное использование других ресурсов сети, называется угрозой. Реализованная угроза называется атакой. Риск — веро-ятностная оценка величины возможного ущерба, который может понести владелец информационного ресурса в результате успешно проведенной атаки. Значение риска тем выше, чем более уязвимой является существующая система безопасности и чем выше вероят-ность реализации атаки.

15.2. Классификация угроз

Универсальной классификации угроз не существует, возможно, и потому, что нет предела творческим способностям человека, и каж-дый день применяются новые способы незаконного проникновения в сеть, разрабатываются новые средства мониторинга сетевого трафи-

ФГБО

У ВПО



У ВПО



167

ка, появляются новые вирусы, находятся новые изъяны в существую-щих программных и аппаратных сетевых продуктах. В ответ на это разрабатываются все более изощренные средства защиты, которые ставят преграду на пути многих типов угроз, но затем сами становятся новыми объектами атак. Тем не менее, попытаемся сделать некото-рые обобщения. Так, прежде всего угрозы могут быть разделены на умышленные и неумышленные.

Неумышленные угрозы вызываются ошибочными действиями ло-яльных сотрудников, становятся следствием их низкой квалификации или безответственности. Кроме того, к такому роду угроз относятся последствия ненадежной работы программных и аппаратных средств системы. Так, например, из- за отказа диска, контроллера диска или всего файлового сервера могут оказаться недоступными данные, критически важные для работы предприятия. Поэтому вопросы безопасности так тесно переплетаются с вопросами надежности, отказоустойчивости технических средств. Угрозы безопасности, ко-торые вытекают из ненадежности работы программно- аппаратных средств, предотвращаются путем их совершенствования, использова-ния резервирования на уровне аппаратуры (RAID- массивы, много-процессорные компьютеры, источники бесперебойного питания, кластерные архитектуры) или на уровне массивов данных (тиражи-рование файлов, резервное копирование).

Умышленные угрозы могут ограничиваться либо пассивным чтением данных или мониторингом системы, либо включать в себя активные действия, например, нарушение целостности и доступно-сти информации, приведение в нерабочее состояние приложений и устройств. Так, умышленные угрозы возникают в результате дея-тельности хакеров и явно направлены на нанесение ущерба пред-приятию. В вычислительных сетях можно выделить следующие типы умышленных угроз: незаконное проникновение в один из компью-теров сети под видом легального пользователя; разрушение системы с помощью программ- вирусов; нелегальные действия легального пользователя; «подслушивание» внутрисетевого трафика.

Незаконное проникновение может быть реализовано через уяз-вимые места в системе безопасности с использованием недокумен-тированных возможностей ОС. Эти возможности могут позволить злоумышленнику «обойти» стандартную процедуру, контролирующую вход в сеть. Другим способом незаконного проникновения в сеть является использование «чужих» паролей, полученных путем под-глядывания, расшифровки файла паролей, подбора паролей или получения пароля путем анализа сетевого трафика. Особенно опасно проникновение злоумышленника под именем пользователя, наде-ленного большими полномочиями, например администратора сети. Для того чтобы завладеть паролем администратора, злоумышленник может попытаться войти в сеть под именем простого пользователя. Поэтому очень важно, чтобы все пользователи сети сохраняли свои

ФГБО

У ВПО



У ВПО



168

пароли в тайне, а также выбирали их так, чтобы максимально за-труднить угадывание.

Подбор паролей злоумышленник выполняет с использованием специальных программ, работающих путем перебора слов из неко-торого файла, содержащего большое количество слов. Содержимое файла- словаря формируется с учетом психологических особенностей человека, которые выражаются в том, что человек выбирает в каче-стве пароля легко запоминаемые слова или буквенные сочетания. Еще один способ получения пароля — внедрение в чужой компью-тер «троянского коня» — резидентную программу, работающую без ведома хозяина данного компьютера и выполняющую действия, заданные злоумышленником. В частности, такого рода программа может считывать коды пароля, вводимого пользователем во время логического входа в систему.

Программа «троянский конь» всегда маскируется под какую-

нибудь полезную утилиту или игру, а производит действия, разру-шающие систему. По такому принципу действуют и программы- ви-русы, отличительной особенностью которых является способность «заражать» другие файлы, внедряя в них свои собственные копии. Чаще всего вирусы поражают исполняемые файлы. Когда такой ис-полняемый код загружается в оперативную память для выполнения, вместе с ним получает возможность исполнить свои вредительские действия вирус. Вирусы могут привести к повреждению или даже полной утрате информации.

Нелегальные действия легального пользователя — этот тип угроз исходит от легальных пользователей сети, которые, используя свои полномочия, пытаются выполнять действия, выходящие за рамки их должностных обязанностей. Например, администратор сети имеет практически неограниченные права на доступ ко всем сетевым ре-сурсам. Однако на предприятии может быть информация, доступ к которой администратору сети запрещен. Для реализации этих ограничений могут быть предприняты специальные меры, такие, например, как шифрование данных, но и в этом случае админи-стратор может попытаться получить доступ к ключу. Нелегальные действия может попытаться предпринять и обычный пользователь сети. Существующая статистика говорит о том, что едва ли не по-ловина всех попыток нарушения безопасности системы исходит от сотрудников предприятия, которые как раз и являются легальными пользователями сети.

«Подслушивание» внутрисетевого трафика — незаконный мони-торинг сети, захват и анализ сетевых сообщений. Существует много доступных программных и аппаратных анализаторов трафика, ко-торые делают эту задачу достаточно тривиальной. Еще более услож-няется защита от этого типа угроз в сетях с глобальными связями. Глобальные связи, простирающиеся на десятки и тысячи километров, по своей природе являются менее защищенными, чем локальные

ФГБО

У ВПО



У ВПО



169

связи (больше возможностей для прослушивания трафика, более удобная для злоумышленника позиция при проведении процедур аутентификации). Такая опасность одинаково присуща всем видам территориальных каналов связи и никак не зависит от того, исполь-зуются собственные, арендуемые каналы или услуги общедоступных территориальных сетей, подобных Интернету.

Однако использование общественных сетей (речь в основном идет об Интернете) еще более усугубляет ситуацию. Действительно, использование Интернета добавляет к опасности перехвата данных, передаваемых по линиям связи, опасность несанкционированно-го входа в узлы сети, поскольку наличие огромного числа хакеров в Интернете увеличивает вероятность попыток незаконного про-никновения в компьютер. Это представляет постоянную угрозу для сетей, подсоединенных к Интернету.

Интернет сам является целью для разного рода злоумышленников. Поскольку он создавался как открытая система, предназначенная для свободного обмена информацией, совсем не удивительно, что практически все протоколы стека TCP/IP имеют «врожденные» недостатки защиты. Используя эти недостатки, злоумышленники все чаще предпринимают попытки несанкционированного доступа к информации, хранящейся на узлах Интернета.

15.3. построение системы обеспечения безопасности

Построение и поддержка безопасной системы требует системного подхода. В соответствии с этим подходом, прежде всего, необхо-димо осознать весь спектр возможных угроз для конкретной сети и для каждой из этих угроз продумать тактику ее отражения. В этой борьбе можно и нужно использовать самые разноплановые средства и приемы — морально- этические и законодательные, администра-тивные и психологические, защитные возможности программных и аппаратных средств сети.

К морально- этическим средствам защиты можно отнести все-возможные нормы, которые сложились по мере распространения вычислительных средств в той или иной стране. Например, подобно тому как в борьбе против пиратского копирования программ в на-стоящее время в основном используются меры воспитательного плана, необходимо внедрять в сознание людей аморальность всяче-ских покушений на нарушение конфиденциальности, целостности и доступности чужих информационных ресурсов.

Законодательные средства защиты — законы, постановления правительства и указы президента, нормативные акты и стандарты, которыми регламентируются правила использования и обработки

ФГБО

У ВПО



У ВПО



170

информации ограниченного доступа, а также вводятся меры от-ветственности за нарушения этих правил. Правовая регламентация деятельности в области защиты информации имеет целью защиту информации, составляющей государственную тайну, обеспечение прав потребителей на получение качественных продуктов, защиту конституционных прав граждан на сохранение личной тайны, борьбу с организованной преступностью.

Административные меры — действия, предпринимаемые руко-водством предприятия или организации для обеспечения инфор-мационной безопасности. К таким мерам относятся конкретные правила работы сотрудников предприятия, например, режим работы сотрудников, их должностные инструкции, строго определяющие порядок работы с конфиденциальной информацией на компьютере. К административным мерам также относятся правила приобретения предприятием средств безопасности. Представители администрации, которые несут ответственность за защиту информации, должны вы-яснить, насколько безопасным является использование продуктов, приобретенных у зарубежных поставщиков. Особенно это касается продуктов, связанных с шифрованием. В таких случаях желательно проверить наличие у продукта сертификата, выданного российскими тестирующими организациями.

Психологические меры безопасности могут играть значительную роль в укреплении безопасности системы. Пренебрежение учетом психологических моментов в неформальных процедурах, связан-ных с безопасностью, может привести к нарушениям защиты. Рас-смотрим, например, сеть предприятия, в которой работает много удаленных пользователей. Время от времени пользователи должны менять пароли (обычная практика для предотвращения их подбора). В данной системе выбор паролей осуществляет администратор. В та-ких условиях злоумышленник может позвонить администратору по телефону и от имени легального пользователя попробовать получить пароль. При большом количестве удаленных пользователей не исклю-чено, что такой простой психологический прием может сработать.

К физическим средствам защиты относятся экранирование по-мещений для защиты от излучения, проверка поставляемой аппа-ратуры на соответствие ее спецификациям и отсутствие аппаратных «жучков», средства наружного наблюдения, устройства, блокирующие физический доступ к отдельным блокам компьютера, различные зам-ки и другое оборудование, защищающие помещения, где находятся носители информации, от незаконного проникновения и т. д. и т. п.

Технические средства информационной безопасности реализуются программным и аппаратным обеспечением вычислительных сетей. Такие средства, называемые также службами сетевой безопасности, решают самые разнообразные задачи по защите системы, напри-мер, контроль доступа, включающий процедуры аутентификации и авторизации, аудит, шифрование информации, антивирусную за-

ФГБО

У ВПО



У ВПО



щиту, контроль сетевого трафика и много других задач. Технические средства безопасности могут быть либо встроены в программное (ОС и приложения) и аппаратное (компьютеры и коммуникаци-онное оборудование) обеспечение сети, либо реализованы в виде отдельных продуктов, созданных специально для решения проблем безопасности.

Конечной целью создания системы компьютерной безопасности вычислительной системы является защита всех категорий субъектов, прямо или косвенно участвующих в процессах информационного взаимодействия, от нанесения им ощутимого материального, мораль-ного или иного ущерба в результате случайных или преднамеренных нежелательных воздействий на информацию и системы ее обработки и передачи.


Перечислите виды средств защиты, используемые в построении системы 1. безопасности.Назовите виды умышленных угроз в модели сетевой безопасности.2. Перечислите свойства безопасной системы.3. Дайте определение понятию нелегальных действий легального пользо-4. вателя.Дайте определение понятию неумышленных угроз.5.

ФГБО

У ВПО



У ВПО



172

Гл а в а 16

технОлОГии Обеспечения безОпаснОсти

16.1. аутентификация, авторизация и аудит

Аутентификация — процедура проверки подлинности входящего в систему объекта, предъявившего свой идентификатор. В зависимо-сти от степени доверительных отношений, структуры, особенностей сети и удаленности объекта проверка может быть односторонней или взаимной. Идентификация — процедура распознавания субъекта по его уникальному идентификатору, присвоенному данному субъекту ранее и занесенному в базу данных в момент регистрации субъекта в качестве легального пользователя системы.

В процедуре аутентификации участвуют две стороны: одна сторона доказывает свою аутентичность, предъявляя некоторые доказатель-ства, а другая сторона — аутентификатор — проверяет эти доказатель-ства и принимает решение. В качестве доказательства аутентичности используются самые разнообразные приемы: аутентифицируемый может продемонстрировать знание некоего общего для обеих сторон секрета: слова (пароля) или факта (даты и места события, прозвища человека и т. п.); аутентифицируемый может продемонстрировать, что он владеет неким уникальным предметом (физическим ключом), в качестве которого может выступать, например электронная магнит-ная карта; аутентифицируемый может доказать свою идентичность, используя собственные биохарактеристики: рисунок радужной обо-лочки глаза или отпечатки пальцев, которые предварительно были занесены в базу данных аутентификатора.

Сетевые службы аутентификации строятся на основе всех этих приемов, но чаще всего для доказательства идентичности пользовате-ля используются пароли. Для снижения уровня угрозы от раскрытия паролей администраторы сети, как правило, применяют встроенные программные средства для формирования политики назначения и использования паролей: задание максимального и минимального сроков действия пароля, хранение списка уже использованных па-ролей, управление поведением системы после нескольких неудачных попыток логического входа и т. п. Перехват паролей по сети можно предупредить путем их шифрования перед передачей в сеть.

Легальность пользователя может устанавливаться по отношению к различным системам. Так, работая в сети, пользователь может про-

ФГБО

У ВПО



У ВПО



173

ходить процедуру аутентификации и как локальный пользователь, претендующий на использование ресурсов только данного компью-тера, и как пользователь сети, который хочет получить доступ ко всем сетевым ресурсам. При локальной аутентификации пользователь вводит свои идентификатор и пароль, автономно обрабатываемые ОС, установленной на данном компьютере. При логическом входе в сеть данные о пользователе (идентификатор и пароль) передаются на сервер, который хранит учетные записи обо всех пользователях сети. Многие приложения имеют свои средства определения является ли пользователь законным. И тогда пользователю приходится про-ходить дополнительные этапы проверки.

В качестве объектов, требующих аутентификации, могут выступать не только пользователи, но и различные устройства, приложения, текстовая и другая информация. При аутентификации на уровне приложений, сервер и клиент должны пройти процедуру взаим-ной аутентификации. При установлении сеанса связи между двумя устройствами также часто предусматриваются процедуры взаимной аутентификации на более низком, канальном уровне. Примером такой процедуры является аутентификация по протоколам РАР и CHAP, входящим в семейство протоколов РРР. Аутентификация данных означает доказательство целостности этих данных, а также того, что они поступили именно от того человека, который объявил об этом. Для этого используется механизм электронной подписи.

В вычислительных сетях процедуры аутентификации часто реали-зуются теми же программными средствами, что и процедуры автори-зации. В отличие от аутентификации, которая распознает легальных и нелегальных пользователей, система авторизации имеет дело только с легальными пользователями, которые уже успешно прошли про-цедуру аутентификации. Цель подсистем авторизации состоит в том, чтобы предоставить каждому легальному пользователю именно те виды доступа и к тем ресурсам, которые были для него определены администратором системы.

Средства авторизации (authorization) контролируют доступ легаль-ных пользователей к ресурсам системы, предоставляя каждому из них именно те права, которые ему были определены администратором. Кроме предоставления прав доступа пользователям к каталогам, файлам и принтерам система авторизации может контролировать возможность выполнения пользователями различных системных функций, таких как локальный доступ к серверу, установка си-стемного времени, создание резервных копий данных, выключение сервера и т. п.

Система авторизации наделяет пользователя сети правами вы-полнять определенные действия над определенными ресурсами. Для этого могут быть использованы различные формы предоставления правил доступа, которые можно разделить на избирательный доступ и мандатный доступ.

ФГБО

У ВПО



У ВПО



174

Избирательные права доступа реализуются в ОС универсального назначения. В наиболее распространенном варианте такого подхода определенные операции над определенным ресурсом разрешаются или запрещаются пользователям или группам пользователей, явно указанным своими идентификаторами. Модификацией этого спо-соба является использование для идентификации пользователей их должностей или факта их принадлежности к персоналу того или иного производственного подразделения, или еще каких- либо других позиционирующих характеристик.

Мандатный подход к определению прав доступа заключается в том, что вся информация делится на уровни в зависимости от степени секретности, а все пользователи сети также делятся на группы, образующие иерархию в соответствии с уровнем допуска к этой информации. Такой подход используется в известном делении информации: для служебного пользования, секретно, совершенно секретно. При этом пользователи этой информации в зависимости от определенного для них статуса получают различные формы допуска: первую, вторую или третью. В отличие от систем с избирательными правами доступа в системах с мандатным подходом пользователи в принципе не имеют возможности изменить уровень доступности информации.

Процедуры авторизации реализуются программными средствами, которые могут быть встроены в ОС или в приложение, а также могут поставляться в виде отдельных программных продуктов. При этом программные системы авторизации могут строиться на базе двух схем: централизованная схема авторизации, базирующаяся на серве-ре; децентрализованная схема, базирующаяся на рабочих станциях. В первой схеме сервер управляет процессом предоставления ресурсов пользователю. Главная цель таких систем — реализовать «принцип единого входа». В соответствии с централизованной схемой пользо-ватель 1 раз логически входит в сеть и получает на все время работы некоторый набор разрешений по доступу к ресурсам сети.

К наиболее распространенным протоколам сетевой аутентифика-ции относятся: Kerberos — протокол сетевой аутентификации с ис-пользованием секретного ключа, в котором используется алгоритм шифрования DES для шифрования и аутентификации; RADIUS — протокол дистанционной аутентификации пользователей по ком-мутируемым линиям; TACACS+ — приложение для обеспечения безопасности, в котором выполняется централизованная проверка пользователей, претендующих на доступ к маршрутизатору или се-тевому серверу доступа.

Система аутентификации и авторизации Kerberos основана на шифровании и предназначена для того, чтобы исключить передачу паролей в незашифрованном виде между клиентом и прикладным сервером, обеспечивающим доступ к сетевым ресурсам. Клиент пере-сылает серверу билет, содержащий идентификатор клиента и ключ

ФГБО

У ВПО



У ВПО



175

сеанса, зашифрованные с помощью ключа, известного серверу. Теперь ключ сеанса, известный и клиенту, и серверу, может быть использован для аутентификации клиента и сервера. Ключ сеанса можно применять для шифрования передаваемой в сеансе информа-ции или для взаимного обмена ключами подсеанса для шифрования последующей передаваемой информации.

RADIUS (Remote Authentication in Dial- In User Service) — кли-ент- серверный протокол AAA (Authentication, Authorization and ac-counting), работающий поверх UDP. Выбор UDP обусловлен тем, что в случае отказа сервера аутентификации UDP позволяет быстрее переключиться на запасной сервер. Использование UDP делает не-обходимым реализацию контроля доставки и повторной передачи средствами самого протокола RADIUS.

TACACS+ — простой протокол управления доступом, основанный на стандартах UDP (User Datagram Protocol). Протокол TACACS+ ра-ботает по технологии клиент/сервер, его фундаментальным структур-ным компонентом является разделение аутентификации, авторизации и учета AAA. Транзакции между клиентом TACACS+ и сервером TACACS+ идентифицируются с помощью общего «секрета», который никогда не передается по каналам связи. Обычно этот секрет вручную устанавливается на сервере и на клиенте.

В крупных сетях часто применяется комбинированный подход предоставления пользователю прав доступа к ресурсам сети: сервер удаленного доступа ограничивает доступ пользователя к подсетям или серверам корпоративной сети, т. е. к укрупненным элементам сети, а каждый отдельный сервер сети сам по себе ограничивает доступ пользователя к своим внутренним ресурсам: разделяемым каталогам, принтерам или приложениям. Сервер удаленного доступа предоставляет доступ на основании имеющегося у него списка прав доступа пользователя ACL (Access Control List), а каждый отдельный сервер сети предоставляет доступ к своим ресурсам на основании хранящегося у него списка прав доступа, например ACL файловой системы.

Аудит — фиксация в системном журнале событий, связанных с доступом к защищаемым системным ресурсам. Подсистема аудита современных ОС позволяет дифференцированно задавать перечень интересующих администратора событий с помощью удобного гра-фического интерфейса. Средства учета и наблюдения обеспечивают возможность обнаружить и зафиксировать важные события, связан-ные с безопасностью, или любые попытки создать, получить доступ или удалить системные ресурсы. Аудит используется для того, чтобы «засекать» даже неудачные попытки «взлома» системы.

Учет и наблюдение позволяет системе безопасности наблюдать за выбранными объектами и их пользователями и выдавать сообще-ния тревоги, когда кто- нибудь пытается читать или модифициро-вать системный файл. Если кто- то пытается выполнить действия,

ФГБО

У ВПО



У ВПО



176

определенные системой безопасности для отслеживания, то система аудита пишет сообщение в журнал регистрации, идентифицируя пользователя. Системный менеджер может создавать отчеты о без-опасности, которые содержат информацию из журнала регистрации. Для «сверхбезопасных» систем предусматриваются аудио- и видео-сигналы тревоги, устанавливаемые на машинах администраторов, отвечающих за безопасность. Если при настройке службы аудита были правильно заданы события, которые требуется отслеживать, то подробный анализ записей в журнале может содержать много по-лезной информации.

16.2. Контроль доступа

В настоящее время в современных вычислительных сетях исполь-зуется средство централизованного управления ресурсами, соответ-ствующее стандарту Х.500, предложенному ITU. В Х.500 используется распределенный подход к службам каталогов, чтобы максимизировать его эффективность и работоспособность. К ним относятся Windows 2000 и последующие версии фирмы Майкрософт, NetWare 4.0 и по-следующие версии фирмы Novell и т. д.

Фирма Novell, начиная с версии NetWare 4.0, с 1994 г. предлагает службу распределенных каталогов NDS (Network Directory Service) eDirectory. NDS является основой для управления сетевыми ресур-сами всех ОС в условиях максимальной защищенности и позволяет интегрироваться различным серверам и клиентам под управлением Unix, NetWare, Linux, Compaq Tru64, Windows в рамках структуры единого каталога (рис. 16.1).

Фирма Майкрософт, начиная с версии Windows 2000, также предлагает службу распределенных каталогов AD (Active Directory), которая дает возможность доступа с различных клиентских рабочих станций к ресурсам единого каталога. Службы каталога позволяют клиентам логично организовать сетевые ресурсы по иерархическому принципу и представить их в виде дерева (рис. 16.2).

Дерево каталога состоит из корневого объекта Root, контейнеров и листьев. Контейнеры, в отличие от листьев, предполагают вложен-ность друг в друга. Политики управления контейнерами наследуются всеми дочерними объектами, находящимися в подчиненном поло-жении к этим объектам в структуре дерева. Основой NDS является одно дерево, в котором представлены все сетевые ресурсы. Дерево и его логические ветви сетевых ресурсов можно перестраивать с уче-том происходящих изменений. Независимо от того, каким образом организовано дерево, права наследования постоянно действуют в масштабе всего дерева сверху вниз по иерархии. Такой унифициро-ванный подход к службе каталога обеспечивает легкость в управлении и возможность быстрой модификации и масштабирования.

ФГБО

У ВПО



У ВПО



177

Крупные сети могут хранить в каталоге до нескольких миллионов объектов. Поскольку служба каталога выступает в качестве централи-зованного хранилища огромных объемов данных, она должна обладать эффективными механизмами хранения, чтобы не допустить перегруз-ки сервера и снизить аппаратные расходы. Лучшие службы каталога поддерживают автоматическое тиражирование разделов каталога.

Рис. 16.1. Дерево NDS

Рис. 16.2. Служба каталогов AD

ФГБО

У ВПО



У ВПО



178

Тиражирование позволяет клиентам переносить копии отдель-ных данных каталога (разделов) на множество серверов каталогов. Функция тиражирования также дает возможность администраторам вносить изменения в данные каталога с любой реплики и прозрачно распространять соответствующие изменения на все реплики того же раздела. Тиражирование в NDS позволяет осуществлять полностью распределенное управление каталогом и таким образом увеличить эффективность работы в сети. Реплики повышают масштабируемость системы, давая возможность распределять нагрузку среди большего числа серверов и разместить их физически ближе к пользователям и администраторам для увеличения производительности. Размещение множества реплик одной и той же информации (т. е. резервирование) повышает отказоустойчивость системы.

В службе каталогов AD используются сайты для оптимизации се-тевого трафика. DNS упрощает и централизирует процесс назначения IP- адресов клиентам. Кроме того, с помощью DNS корпоративные настольные системы могут получить доступ к узлам Интернета. Служба каталога NDS рассматривает DNS в качестве одного из объектов дерева каталогов и обеспечивает DNS- информацией все корпоративные серверы имен. Зоны DNS, серверы имен и записи о ресурсах управляются как объекты NDS централизованно из любой точки сети, поэтому заказчики могут создать иерархическую модель DNS в том виде, который их устраивает и позволяет импортировать существующие DNS- конфигурации в формат главного файла BIND. Возможности DNS полностью интегрированы со службой каталога NDS и поэтому могут использовать многие из ее преимуществ. Майкрософт позволяет использовать службу доменов DNS для того, чтобы AD- клиенты могли найти AD- серверы, а также в целях вну-треннего или внешнего именования объектов.

Службы каталогов обеспечивают централизованное управление сетевыми ресурсами с графической консоли администрирования. В этом случае управление физически удаленными ресурсами может быть достаточно сложным для больших сетей или замедленных WAN-

соединений. NDS реализует централизованное и унифицированное управление всеми видами сетевых ресурсов. В AD в зависимости от требований можно все разнородные средства управления собрать в единую консоль.

Дерево каталога дает возможность пользователям логически орга-низовать сетевые объекты и получать визуальное отображение сети и ее ресурсов. Учитывая частоту реорганизаций, служба каталога должна отличаться достаточной гибкостью, чтобы администрато-ры могли полностью перестраивать дерево с учетом проводимых в организации изменений. При работе с деревом каталога NDS полностью поддерживает функции усечения, прививки, переиме-нования, слияния и разделения (в дополнение ко многим другим основополагающим функциям), что позволяет со временем изменять

ФГБО

У ВПО



У ВПО



179

иерархическую структуру каталога с целью ее адаптации в соответ-ствии с изменениями в структуре организации. Active Directory не поддерживает усечение, прививку, переименование, слияние и раз-деление на уровне доменов, а только на уровне организационных подразделений, поэтому возникают проблемы при организационных изменениях доменов.

Каталоги содержат интегрированные службы аутентификации и авторизации, основанные на паролях и списках контроля за до-ступом, которые хранятся в защищенной форме. Средства аутен-тификации и интеграции предназначены для централизованного и унифицированного контроля за всеми сетевыми ресурсами. NDS использует механизм аутентификации с помощью открытого ключа, в основе которого лежит технология RSA Security. Майкрософт пред-ставила в Active Directory систему аутентификации на базе протокола Kerberos. Kerberos — механизм аутентификации с помощью секрет-ного ключа и один из многих инструментов, которые предлагаются на рынке в качестве службы аутентификации. Срок практического использования этого механизма составляет 10 лет и он подтвердил свои высокие эксплуатационные качества

Списки контроля за доступом ACL (Access Control Lists) — ин-струменты, которые используются службой каталога для отслежи-вания прав доступа каждого сетевого объекта. ACL обеспечивает надлежащее функционирование каталога и упрощает управление. NDS автоматизирует основные ACL- процессы, поддерживая вну-тренние «обратные ссылки», указывающие на сетевые ресурсы, к которым пользователь получает доступ. В отличие от NDS, Active Directory не поддерживает обратные ссылки, и поэтому при удале-нии пользователя список контроля за доступом (ACL) для каждого ресурса, с которым работал пользователь, необходимо обновлять. Кроме того, отсутствие в AD «обратных ссылок» также не позволяет администраторам быстро установить те сетевые ресурсы, к которым пользователь получил доступ, что осложняет соответствующие дей-ствия администратора.

Каталоги реализуют функцию наследования прав, которая упро-щает управление правами. Благодаря этому, дочерний объект авто-матически наследует права доступа, определенные для родительского объекта. Если меняются права доступа для родительского объекта, аналогичные изменения применятся ко всем расположенным ниже дочерним объектам дерева каталога. В NDS полные права доступа для такого сетевого объекта, как пользователь, группа или организа-ционная роль, динамически определяются с учетом предоставленных явных прав доступа, эквивалентностей защиты и унаследованных прав. Когда сетевой объект пытается получить доступ к ресурсу, права доступа динамически вычисляются для определения возмож-ностей предоставления такого доступа. Поскольку вычисление прав происходит в динамическом режиме, изменения, вносимые в права

ФГБО

У ВПО



У ВПО



180

доступа для родительского объекта, сразу переходят на все дочерние объекты.

В AD, напротив, полные права сетевого объекта сохраняются в статическом режиме в списке контроля за доступом (ACL) взаимо-связанного с ним объекта. Чтобы отразить произошедшее изменение, при наследовании AD необходимо обновить список ACL для каж-дого дочернего объекта. Этот процесс внесения изменений создает некоторый разрыв во времени — когда были изменены права для родительского объекта и когда были обновлены списки доступа для дочерних объектов. Еще больше усложняет работу и то обстоятель-ство, что при регистрации пользователя в сети AD генерирует маркер безопасности, который содержит его текущее состояние в группах. Все внесенные изменения для данного пользователя вступают в силу, только когда он повторно войдет в сеть.

NDS и AD поддерживается средством Delegated Administration, позволяющее распределять административные полномочия между любым количеством пользователей, в то же время ограничивая круг административных задач, которые может выполнять каждый из них. Функция делегирования позволяет основной группе администрато-ров делить ответственность по администрированию крупной сети, и таким образом делает управление более масштабируемым. Возмож-ность ограничить круг делегированных прав также повышает уровень безопасности системы, поскольку в этом случае администраторы не могут вносить несанкционированные изменения на других сегментах сети. С помощью NDS можно осуществлять передачу администра-тивных прав в отношении любого объекта каталога, в то время как AD ограничивает возможности такой передачи. NDS передает права таким объектам каталога, как пользователи, группы, организацион-ные роли, организационные подразделения с наследованием полно-мочий. Делегирование прав подразделению организации происходит независимо от местоположения объекта, его типа и других факторов. AD разрешает делегировать права только пользователям и группам, что, естественно, ограничивает возможности передачи прав. В AD зона делегирования прав сужается исключительно до тех ресурсов, которые находятся в домене.

16.3. шифрование и электронная цифровая подпись

Электронная цифровая подпись (ЭЦП) — средство защиты электронных документов от искажений, позволяющее при этом однозначно идентифицировать отправителя сообщения. Электронная цифровая подпись формируется при помощи специальных мате-матических алгоритмов на основе собственно документа и некоего

ФГБО

У ВПО



У ВПО



181

«закрытого ключа», однозначно идентифицирующего отправителя сообщения. Электронная цифровая подпись функционирует на основе криптоалгоритмов с асимметричными (открытыми) ключами и инфраструктуры открытых ключей.

В криптосистемах на основе асимметричных ключей для шиф-рования и дешифрования используется пара ключей — секретный и публичный ключи, уникальные для каждого пользователя, и циф-ровой сертификат. Цифровой сертификат — расширение открытого ключа, включающего не только сам ключ, но и дополнительную информацию, описывающую принадлежность ключа, время ис-пользования, доступные криптосистемы, название удостоверяющего центра и т. д.

Для реализации взаимодействия используются специальные структуры — удостоверяющие центры. Их основная функция — распространение публичных и секретных ключей пользователей, а также верификация сертификатов. Удостоверяющие центры могут объединяться в цепочки — например, вышестоящий (корневой) удостоверяющий центр может выдать сертификат и права на выдачу ключей нижестоящему центру.

Технология применения системы ЭЦП предполагает наличие сети абонентов, посылающих друг другу подписанные электронные доку-менты. Для каждого абонента генерируется пара ключей: секретный и открытый.

Секретный ключ хранится абонентом в тайне и используется им для формирования ЭЦП. Открытый ключ известен всем другим пользователям и предназначен для проверки ЭЦП получателем под-писанного электронного документа.

Открытый ключ не позволяет вычислить секретный ключ. За-крытый ключ — некоторая информация длиной 256 бит, хранится в недоступном другим лицам месте на дискете, смарт- карте, touch memory. Работает закрытый ключ только в паре с открытым клю-чом. Открытый ключ используется для проверки ЭЦП получаемых документов- файлов; технически это некоторая информация длиной 1 024 бит. Работает открытый ключ только в паре с закрытым ключом. На открытый ключ выдается сертификат, который автоматически пе-редается вместе с письмом пользователя, подписанным ЭЦП. Центр обеспечивает регистрацию и надежное хранение открытых ключей во избежание внесения искажений или попыток подделки. Пользо-ватель, получивший подписанный документ и имеющий открытый ключ ЭЦП отправителя, на основании текста документа и открытого ключа отправителя выполняет обратное криптографическое преоб-разование, обеспечивающее проверку ЭЦП отправителя. Если ЭЦП под документом верна, то это значит, что документ действительно подписан отправителем и в текст документа не внесено никаких изменений. В противном случае будет выдаваться сообщение, что сертификат отправителя не является действительным.

ФГБО

У ВПО



У ВПО



182

Защита информации в PKI (public key infrastructure) основана на методе асимметричного шифрования с использованием пары ключей: открытого и закрытого. В асимметричном шифровании криптоалго-ритмы составляют асимметричные пары. Если один из алгоритмов использует закрытый ключ, тогда парный ему алгоритм — соответ-ствующий открытый ключ. Такие пары составляют алгоритмы соб-ственно асимметричного шифрования (зашифровки и расшифров-ки), а также выработки и проверки ЭЦП. Владелец закрытого ключа всегда применяет один алгоритм из пары, а все остальные, знающие только открытый ключ, — парный ему алгоритм. Неотрекаемость от подписи основывается на том, что правильно подписать документ можно, только владея закрытым ключом.

Каждая криптосистема с открытым ключом имеет собственный способ генерации ключевой пары и включает свой набор крипто-алгоритмов. Не все асимметричные криптосистемы универсальны, т. е. реализуют как технологию ЭЦП, так и конфиденциальную передачу информации, но каждая из них обеспечивает аутентифи-кацию субъекта, которая сводится к доказательству владения им соответствующим закрытым ключом. За последние 20 лет получили широкое распространение криптосистемы на базе асимметричного шифрования, позволяющие не только организовать конфиденциаль-ную передачу информации без предварительного обмена секретным ключом, но и значительно расширяющие функции криптографии, включая технологию ЭЦП.

Первой и наиболее известной во всем мире конкретной системой ЭЦП стала система RSA, разработанная в 1977 г. в Массачусетском технологическом институте США. Надежность алгоритма основы-вается на трудности факторизации больших чисел. Более надежный и удобный для реализации на персональных компьютерах ЭЦП ал-горитм EGSA (El Gamal Signature Algorithm) был разработан в 1984 г. американцем арабского происхождения Тахером Эль Гамалем.). В 1991 г. в США для использования в стандарте цифровой подписи DSS предложен алгоритм ЭЦП DSA (Digital Signature Algorithm). По сравнению с алгоритмом ЭЦП EGSA алгоритм DSA имеет ряд преимуществ: сокращен объем памяти и время вычисления под-писи.

Российский стандарт ЭЦП описан в ГОСТ Р 34.10 — 94. Алго-ритм ЭЦП, определяемый этим стандартом, концептуально близок к алгоритму DSA. Отличие этих стандартов заключается в использо-вании параметров ЭЦП разного порядка, что обеспечивает лучшую защиту подписи при использовании российского стандарта. Алго-ритмы цифровых подписей ECDSA (Elliptic Curve Digital Signature Algorithm) и ГОСТ Р 34.10 — 2001 являются усовершенствованием (на базе математического аппарата эллиптических кривых над про-стым полем Галуа) цифровых подписей DSA и ГОСТ Р 34.10 — 94 соответственно.

ФГБО

У ВПО



У ВПО



183

К методам построения ЭЦП относят: шифрование электрон-ного документа (ЭД) на основе симметричных алгоритмов и окон-чательного результата обработки ЭД хеш- функцией при помощи ассиметричного алгоритма, а также использование ассиметричных алгоритмов шифрования, групповой подписи, неоспариваемой под-писи, доверенной подписи и др.

16.4. виртуальные частные сети

Концепция построения виртуальных сетей VPN (Virtual Private Network) основана на том, что если в глобальной сети имеются два узла, которым нужно обменяться информацией, то между этими узлами необходимо построить виртуальный защищенный туннель для обеспечения конфиденциальности и целостности информации, передаваемой через открытые сети. Доступ к виртуальному туннелю должен быть чрезвычайно затруднен всем возможным активным и пассивным внешним наблюдателям. Преимущества, получаемые компанией от создания таких виртуальных туннелей, заключаются в значительной экономии финансовых средств, так как в этом случае можно отказаться от построения или аренды дорогих выделенных каналов связи и использовать для этого дешевые интернет- каналы, надежность и скорость передачи которых не уступает выделенным ли-ниям. Очевидная экономическая эффективность от внедрения VPN-

технологий стимулирует предприятия к активному их внедрению.Виртуальная частная сеть (VPN) — соединение, установленное

между двумя или несколькими точками доступа в общедоступную часть Интернета и защищенное от «прослушивания» и модификации с помощью средств шифрования (рис. 16.3).

Характеристики VPN: трафик шифруется для обеспечения защи-ты от прослушивания; осуществляется аутентификация удаленного сайта; виртуальные частные сети обеспечивают поддержку множества протоколов; соединение поддерживает связь только между двумя конкретными абонентами.

Виртуальная защищенная сеть VPN формируется путем построе-ния виртуальных защищенных каналов связи, создаваемых на базе открытых каналов связи общедоступной сети. Эти виртуальные защищенные каналы связи называют туннелями VPN. Сеть VPN позволяет с помощью туннелей VPN соединить центральный офис, офисы филиалов, офисы бизнес- партнеров и удаленных пользовате-лей и безопасно передавать информацию через Интернет.

Устройства VPN в виртуальных частных сетях могут выполнять роль VPN- клиента, VPN- сервера или шлюза безопасности VPN. VPN- клиент представляет собой программный или программно- ап-паратный комплекс на базе персонального компьютера. Его сетевое ПО модифицируется для шифрования и аутентификации трафика,

ФГБО

У ВПО



У ВПО



184

которым это устройство обменивается с другими VPN- клиентами, VPN- серверами или шлюзами безопасности VPN. Обычно реализа-ция VPN- клиента представляет собой ПО, дополняющее стандартную ОС — Windows NT/2000/XP или Unix.

VPN- сервер — программный или программно- аппаратный ком-плекс, устанавливаемый на компьютере, выполняющем функции сервера. VPN- сервер обеспечивает защиту серверов от несанкцио-нированного доступа из внешних сетей, а также организацию за-щищенных соединений (ассоциаций) с отдельными компьютерами и сегментам локальных сетей, защищенных VPN- продуктами. VPN-

сервер — функциональный аналог продукта VPN- клиент для сервер-ных платформ, отличается, прежде всего, расширенными ресурсами для поддержания множественных соединений с VPN- клиентами. Он может поддерживать защищенные соединения с мобильными пользователями.

Шлюз безопасности VPN (security gateway) — сетевое устройство, подключаемое к двум сетям и выполняющее функции шифрования и аутентификации для многочисленных хостов, расположенных за ним. Размещен шлюз безопасности VPN так, чтобы через него проходил весь трафик внутренней корпоративной сети. Сетевое соединение шлюза VPN прозрачно для пользователей за шлюзом, и представляется им выделенной линией, хотя на самом деле про-кладывается через открытую сеть с коммутацией пакетов. Адрес шлюза безопасности VPN указывается как внешний адрес входя-щего туннелируемого пакета, а внутренний адрес пакета является адресом конкретного хоста позади шлюза. Шлюз безопасности VPN может быть реализован в виде отдельного программного решения,

Рис. 16.3. Схема подключения VPN-канала

ФГБО

У ВПО



У ВПО



185

отдельного аппаратного устройства, а также в виде маршрутизатора, дополненного функциями VPN.

Для безопасной передачи данных через открытые сети использу-ют инкапсуляцию и туннелирование. С помощью методики тунне-лирования пакеты данных передаются через общедоступную сеть, как по обычному двухточечному соединению. Между каждой парой «отправитель — получатель данных» устанавливается своеобразный туннель — логическое соединение, позволяющее инкапсулировать данные одного протокола в пакеты другого. Суть туннелирования со-стоит в том, чтобы инкапсулировать, т. е. «упаковать», передаваемую порцию данных, вместе со служебными полями, в новый «конверт». При этом пакет протокола более низкого уровня помещается в поле данных пакета протокола более высокого или того же уровня.

Чтобы обеспечить конфиденциальность передаваемых данных, отправитель шифрует исходные пакеты, упаковывает их во внеш-ний пакет с новым IP- заголовком и отправляет по транзитной сети. Исходный пакет зашифровывают полностью, вместе с заголовком, затем его помещают в другой внешний пакет с открытым заголов-ком. Для транспортировки данных по открытой сети используются открытые поля заголовка внешнего пакета. По прибытии в конеч-ную точку защищенного канала из внешнего пакета извлекают внутренний исходный пакет, расшифровывают его и используют его восстановленный заголовок для дальнейшей передачи по вну-тренней сети.

Туннель VPN — соединение, проведенное через открытую сеть, по которому передаются криптографически защищенные пакеты сообщений виртуальной сети. Защита информации в процессе ее передачи по туннелю VPN основана: на аутентификации взаимо-действующих сторон; криптографическом закрытии (шифровании) передаваемых данных; проверке подлинности и целостности достав-ляемой информации.

Следует отметить, что существуют различные виды реализации VPN- туннелирования: VPN на базе маршрутизаторов; VPN на базе сетевых операционных систем; VPN на базе межсетевых экранов; VPN на базе специализированного ПО. Различают два типа вирту-альных частных сетей — пользовательские VPN и узловые VPN.

Пользовательские VPN — виртуальные частные сети, построен-ные между отдельной пользовательской системой и узлом или сетью организации. Пользователь подключается к Интернету через теле-фонное подключение к локальному поставщику услуг, через канал DSL или кабельный модем и инициирует VPN- соединение с узлом организации через Интернет. Пользовательские VPN обладают двумя основными преимуществами: 1) сотрудники, находящиеся в командировке, могут осуществлять доступ к электронной почте, файлам и внутренним системам в любое время без необходимости в осуществлении дорогостоящих междугородних и международных

ФГБО

У ВПО



У ВПО



186

телефонных вызовов для соединения с серверами; 2) сотрудники, работающие из дома, могут осуществлять доступ к службам сети, как и сотрудники, работающие в организации, без аренды дорогостоящих выделенных каналов.

Узловые виртуальные частные сети используются организациями для подключения к удаленным узлам без применения дорогостоящих выделенных каналов или для соединения двух различных организа-ций, между которыми необходима связь для осуществления инфор-мационного обмена, связанного с деятельностью этих организаций. Основные преимущества узловой VPN:

экономичность, когда организация с небольшими офисами ••может создать виртуальную частную сеть со значительно меньшими затратами;

быстрое применение сетевой инфраструктуры на базе локаль-••ных ISP для каналов ISDN или DSL;

повышенные средства безопасности в виде политик безопас-••ности, определяющих, каким образом удаленные сайты будут под-ключаться к центральному сайту или друг к другу.

Для создания сетей VPN разработано множество протоколов. Каждый из этих протоколов обеспечивает определенные возмож-ности VPN.

Протокол IPSec (IP Security) — набор протоколов и алгоритмов за-щиты, основанный на стандартах. IPSec действует на сетевом уровне, обеспечивая защиту и аутентификацию пакетов IP, пересылаемых между устройствами (сторонами) IPSec.

Протокол GRE (Generic Routing Encapsulation) — разработанный Cisco туннельный протокол, обеспечивающий инкапсуляцию мно-гих типов протокольных пакетов в туннели IP; создает виртуальную двухточечную связь с маршрутизаторами Cisco в удаленных точках IP- сети.

Протокол L2F (Layer 2 Forwarding) — разработанный Cisco тун-нельный протокол, который позволяет создать сеть VPDN (Virtual Private Dialup Network), распространяющихся на удаленные домаш-ние офисы, которые кажутся при этом непосредственной частью сети предприятия.

Протокол РРTР (Point- to- Point Tunneling Protocol) — разработан-ный Microsoft сетевой протокол, обеспечивающий защищенную пере-дачу данных от удаленного клиента к частному серверу предприятия с помощью создания сети VPN над IP- сетями.

Протокол L2TP (Layer 2 Tunnel Protocol) — разработанный Cisco и Microsoft туннельный протокол, позволяющий создавать сети VPDN. Протокол L2TP является расширением протокола РРР, ис-пользуемого для сетей VPN.

Протокол МРРЕ (Microsoft Point- to- Point Encryption) — средство перевода пакетов РРР в шифрованную форму, позволяет создать защищенную VPN- связь через коммутируемую или удаленную сеть.

ФГБО

У ВПО



У ВПО



187

Для обеспечения конфиденциальности данных в рамках МРРЕ ис-пользуется алгоритм шифрования RSA типа RC4 .

16.5. брандмауэры

Брандмауэр (межсетевой экран) — система или комбинация систем, позволяющих разделить сеть на две или более частей и реа-лизовать набор правил, которые определяют условия прохождения пакетов из одной части в другую. Как правило, брандмауэр предот-вращает несанкционированный доступ извне во внутреннюю сеть. Брандмауэры бывают аппаратными или программными, прикладного уровня или с пакетной фильтрацией (рис. 16.4).

Аппаратный брандмауэр — устройство, которое подключается к сети физически, фильтрует входящий и исходящий трафик и за-щищает от нежелательных проникновений во внутреннюю сеть или на персональный компьютер. Программный брандмауэр выполняет те же функции, но является не внешним аппаратным устройством, а программой, установленной на компьютере. В качестве параметров фильтрации выступают адреса получателя и отправителя каждого сетевого пакета, протокол передачи данных (например, HTTP, FTP и т. д.), приложение, которое отсылает или принимает сетевой пакет и т. д. Все брандмауэры можно разделить на следующие типы: пакет-ные фильтры (packet filter), серверы прикладного уровня (application gateways), серверы уровня соединения (circuit gateways), различные комбинации перечисленного.

Рис. 16.4. Схема работы брандмауэра

ФГБО

У ВПО



У ВПО



188

Брандмауэры с пакетной фильтрацией могут быть программны-ми пакетами, базирующимися на ОС общего назначения либо на аппаратных платформах межсетевых экранов. При использовании межсетевого экрана с пакетной фильтрацией соединения не пре-рываются на межсетевом экране, а направляются непосредственно к конечной системе.

Брандмауэры с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить, просматривая IP- адреса, флаги или номера TCP портов в заголовке этого пакета. IP- адрес и номер пор-та — информация сетевого и транспортного уровней соответствен-но, но пакетные фильтры используют и информацию прикладного уровня, так как все стандартные сервисы в TCP/IP ассоциируются с определенным номером порта.

К достоинствам брандмауеров с пакетными фильтрами относятся: относительно невысокая стоимость, гибкость в определении правил фильтрации, небольшая временная задержка при прохождении па-кетов. В качестве недостатков таких брандмауеров можно отметить следующее: локальная сеть видна (маршрутизируется) из Интер-нета; правила фильтрации пакетов трудны в описании, требуются очень хорошие знания технологий TCP и UDP; при нарушении работоспособности брандмауэра все компьютеры за ним становятся полностью незащищенными либо недоступными; аутентификацию с использованием IP- адреса можно обмануть с использованием IP- спуфинга (атакующая система выдает себя за другую систему, используя ее IP- адрес); отсутствует аутентификация на пользова-тельском уровне.

Брандмауэры прикладного уровня, или прокси- экраны — про-граммные пакеты, базирующиеся на ОС общего назначения или на аппаратной платформе межсетевых экранов. Межсетевой экран об-ладает несколькими интерфейсами, по одному на каждую из сетей, к которым он подключен. Набор правил политики определяет каким образом трафик передается из одной сети в другую. Если в правиле отсутствует явное разрешение на пропуск трафика, межсетевой экран отклоняет или аннулирует пакеты.

Брандмауэры с серверами прикладного уровня используют сер-веры конкретных сервисов — TELNET, FTP и т. д. (proxy server), за-пускаемые на брандмауэре и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером образуются два соединения: от клиента до брандмауэра и от брандмауэра до места назначения. Полный набор поддержи-ваемых серверов отличается для каждого конкретного брандмауэра, однако чаще всего встречаются серверы для следующих сервисов:

терминалы (Telnet, Rlogin);••передача файлов (Ftp);••электронная почта (SMTP, POP3;)••WWW (HTTP);••

ФГБО

У ВПО



У ВПО



189

Gopher;••Wais ;••X Window System (X11);••принтер;••Rsh;••Finger;••новости (NNTP) и т. д.••

Достоинствами брандмауэров с серверами прикладного уровня являются: локальная сеть невидима из Интернета; при нарушении работоспособности брандмауэра пакеты перестают проходить че-рез брандмауэр, тем самым не возникает угрозы для защищаемых им машин; защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, снижая тем самым вероятность взлома с использованием дыр в ПО; аутентификация на пользовательском уровне может быть реализована как система немедленного предупреждения о попытке взлома.

К недостаткам брандмауэров с серверами прикладного уровня относятся: более высокая, чем для пакетных фильтров, стоимость; невозможность использования протоколов RPC и UDP; произво-дительность ниже, чем для пакетных фильтров.

Рис. 16.5. Встроенный брандмауэр Windows XP. Вкладка «Общие»

ФГБО

У ВПО



У ВПО



190

В качестве примера брандмауера можно привести встроенный брандмауер Windows XP (рис. 16.5). Его основные характеристики приведены ниже:

Брандмауэр может Брандмауэр не может

Блокировать компьютерным вирусам и «червям» доступ на компьютер

Обнаружить или обезвредить ком-пьютерных вирусов и «червей», если они уже попали на компью-тер

Запросить пользователя о вы-боре блокировки или разреше-ния для определенных запросов на подключение

Запретить пользователю открывать сообщения электронной почты с опасными вложениями

Вести учет (журнал безопас-ности) по желанию пользовате-ля — записывая разрешенные и заблокированные попытки подключения к компьютеру. Этот журнал может оказаться полезным для диагностики не-поладок

Блокировать спам или несанкцио-нированные почтовые рассылки, чтобы они не поступали в папку входящих сообщений

16.6. антивирусная защита

Компьютерный вирус — программа, способная создавать свои дубликаты и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. Основные цели любого компьютерного вируса — распространение на другие ресурсы компьютера и выполнение специальных действий при определенных событиях или действиях пользователя. Вирусы классифицируют по следующим признакам: среде обитания; способу заражения среды обитания; воздействию; особенностям алгоритма.

По среде обитания различают вирусы:загрузочный вирус — вирус, который записывает свой код ••

в главную загрузочную запись Master Boot Record диска или загру-зочную запись Boot Record диска и дискет, загрузочный вирус акти-визируется после загрузки компьютера;

файловый вирус — вирус, записывающий свой код в тело про-••граммного файла или офисного документа (документа, содержащего макрокоманды и созданного такой программой, как Microsoft Office или аналогичной), во время запуска программы (или загрузке офис-ного документа для редактирования) вирус получает управление;

стелс-•• вирус — вирус, оставляющий в памяти компьютера мо-дули, перехватывающие обращение программ к дискам. Когда про-

ФГБО

У ВПО



У ВПО



191

грамма читает зараженный файл или загрузочную запись, стелс- ви-рус подменяет данные, чтобы ввести в заблуждение антивирусные программы;

макрокомандный вирус — вирус, который прикрепляется к фай-••лам офисных документов и распространяется вместе с ними. Такие вирусы написаны с использованием интерпретируемого языка про-граммирования, встроенного в офисные приложения для автомати-зации обработки офисных документов;

скрипт-•• вирус — вирус, записывающий свой код в тело выпол-няемого скрипта. Очень часто такой вирус распространяется через компьютерные сети.

По способу заражения выделяют:резидентный вирус при заражении компьютера оставляет в ОП ••

свою резидентную часть, которая потом перехватывает обращение ОС к объектам заражения (файлами и т. п.) и внедряется в них. Ре-зидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера;

нерезидентные вирусы не заражают память компьютера и яв-••ляются активными ограниченное время;

неопасные вирусы не мешают работе компьютера, но уменьша-••ют объем свободной ОП и памяти на дисках, действия таких вирусов проявляются в каких- либо графических или звуковых эффектах;

опасные вирусы, которые могут привести к различным нару-••шениям в работе компьютера;

очень опасные вирусы, воздействие которых может привести ••к потере программ, уничтожению данных, стиранию информации в системных областях диска.

По виду алгоритма различают:шифрующийся вирус — вирус, который при заражении новых ••

файлов и системных областей диска шифрует собственный код, пользуясь для этого случайными паролями (ключами). Когда вирус получает управление, он расшифровывает свой собственный код и передает ему управление;

метаморфный вирус — вирус, в котором вирусные копии соз-••даются путем замены некоторых команд на аналогичные, используя перестановки местами частей кода;

вирус-•• генераторы — специализированный набор библиотек, который позволяет легко сконструировать новый вирус, используя библиотеки генератора и вызовы внешних процедур, сигнатура ви-руса будет в этом случае каждый раз другая;

полиморфный вирус — вирус, который при заражении новых ••файлов и системных областей диска шифрует собственный код, при этом для шифрования вирус пользуется случайными паролями (клю-чами), а также различными методами шифрования, что исключает возможность опознания вируса по сигнатурам. Полиморфные виру-сы получили свое название благодаря способности при заражении

ФГБО

У ВПО



У ВПО



192

полностью менять свой код, образуя многообразие форм одного и того же вируса;

червь (сетевой червь) — вредоносная программа, распростра-••няющаяся по сетевым каналам и способная к самостоятельному преодолению систем защиты компьютерных сетей, а также к созда-нию и дальнейшему распространению своих копий, не обязательно совпадающих с оригиналом.

В зависимости от способа проникновения в систему черви де-лятся на сетевые, почтовые, IM- черви, IRC- черви, P2P- черви. По методу активации все черви можно разделить на две большие груп-пы — требующие активного участия пользователя и не требующие. Троян (троянский конь) — программа, основной целью которой является вредоносное воздействие по отношению к компьютерной системе путем выполнения несанкционированных пользователем действий: кражи, порчи или удаления конфиденциальных данных, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях. Трояны классифицируются по типу вредоносной нагрузки: клавиатурные шпионы, похитители паролей, утилиты скрытого удаленного управления, анонимные SMTP- сер-веры и прокси- серверы, утилиты дозвона, модификаторы настроек браузера, логические бомбы, организаторы DDoS- атак.

В классификации вирусов по виду назначения к вредоносным программам относятся:

riskware — утилиты удаленного управления, которыми часто ••пользуются администраторы больших сетей, клиенты IRC, програм-мы для загрузки файлов из Интернета, утилиты восстановления за-бытых паролей и др.;

adware — условно-•• бесплатные программы, которые в качестве платы за свое использование демонстрируют пользователю рекламу, чаще всего в виде графических баннеров; pornware — утилиты, свя-занные с показом пользователям информации порнографического характера;

утилиты для взлома — к этому виду программ относятся про-••граммы скрытия кода, зараженных файлов от антивирусной про-верки, конструкторы вирусов и подобные утилиты;

злые шутки — программы, которые намеренно вводят пользо-••вателя в заблуждение путем показа разного рода уведомлений или угроз.

По способу действия антивирусных программ можно выделить несколько основных групп:

программы-•• мониторы (программы- фильтры) располагаются резидентно в ОП компьютера, перехватывают и сообщают об об-ращениях ОС, которые используются вирусами для размножения и нанесения ущерба. Программы- фильтры обнаруживают вирусы на ранней стадии заражения компьютера. К преимуществу таких про-грамм относится возможность обнаружения неизвестных вирусов.

ФГБО

У ВПО



У ВПО



193

Недостатками программ являются невозможность отслеживания вирусов, обращающихся непосредственно к BIOS, а также загрузоч-ных вирусов, активизирующихся до запуска антивируса при загрузке DOS, и частая выдача запросов на выполнение операций;

программы-•• детекторы проверяют имеется ли в файлах и на дисках специфическая для данного вируса комбинация байтов, при ее обнаружении выводится соответствующее сообщение. Недоста-ток — возможность защиты только от известных вирусов;

программы-•• доктора восстанавливают зараженные программы путем удаления из них тела вируса. Как правило, эти программы рассчитаны на конкретные типы вирусов и основаны на сравнении последовательности кодов, содержащихся в теле вируса, с кодами проверяемых программ. Программы- доктора необходимо периоди-чески обновлять с целью получения новых версий, обнаруживающих новые виды вирусов;

программы-•• ревизоры анализируют изменения состояния фай-лов и системных областей диска. Проверяют состояние загрузочно-го сектора и таблицы FAT; длину, атрибуты и время создания файлов; контрольную сумму кодов, пользователю сообщается о выявлении несоответствий;

программы-•• вакцины модифицируют программы и риски так, что это не отражается на работе программ, но вирус, от которого производится вакцинация, считает программы или диски уже зара-женными;

программы-•• сканеры (устаревший вариант «полифаги») опреде-ляют наличие вируса по базе данных хранящей сигнатуры (или их контрольные суммы) вирусов. Эффективность сканеров определяет-ся актуальностью вирусной базы и наличием эвристического анали-затора.

Существующие антивирусные программы в основном относятся к классу гибридных (детекторы- доктора, доктора- ревизоры и пр.). Антивирусный комплекс — набор антивирусов, использующих одинаковое антивирусное ядро или ядра, предназначенный для решения практических проблем по обеспечению антивирусной безопасности компьютерных систем. В антивирусный комплекс также в обязательном порядке входят средства обновления анти-вирусных баз (рис. 16.6, 16.7).

Антивирусный комплекс для защиты рабочих станций обеспе-чивает безопасную работу на рассматриваемом компьютере. Для этого необходима проверка в режиме реального времени, проверка по требованию и проверка локальной электронной почты. Антиви-русный комплекс для защиты сетевых серверов производит проверку файлов в режиме реального времени и проверку по требованию. Антивирусный комплекс для защиты почтовых систем предназначен для проверки всех проходящих электронных писем на наличие в них вирусов, к нему предъявляются требования по наличию собственно

ФГБО

У ВПО



У ВПО



194

Рис. 16.6. Внешний вид АК «Антивирус Касперского»

Рис. 16.7. Внешний вид АК «ESETNOD32»

ФГБО

У ВПО



У ВПО



195

программы для проверки всей принимаемой и отправляемой по-чтовой корреспонденции в режиме реального времени, и дополни-тельно механизма проверки по требованию почтовых баз данных. Антивирусный комплекс для шлюза осуществляет только проверку проходящих через шлюз данных.

В качестве методов, используемых в антивирусных программах, выделяют:

сигнатурные методы — точные методы обнаружения вирусов, ••основанные на сравнении файла с известными образцами вирусов. Сигнатурой вируса считается совокупность черт, позволяющих одно-значно идентифицировать наличие вируса в файле (включая случаи, когда файл целиком является вирусом), все вместе сигнатуры извест-ных вирусов составляют антивирусную базу. Задачу выделения сигна-тур решают люди — эксперты в области компьютерной вирусологии, способные выделить код вируса из кода программы и сформулировать его характерные черты в форме, наиболее удобной для поиска;

эвристические методы — приблизительные методы обнаруже-••ния, которые позволяют с определенной вероятностью предположить, что файл заражен. Эвристический анализ основывается на предпо-ложении, что новые вирусы часто оказываются похожи на какие- либо из уже известных. Основанный на таком предположении эвристиче-ский метод заключается в поиске файлов, которые не полностью, но очень близко соответствуют сигнатурам известных вирусов.

16.7. антиспамовая защита

В настоящее время выделяют несколько видов спама: спам рас-сылки; поисковый спам; спам форумов. Под термином «рассылка спама» понимается технологический процесс сбор данных — созда-ние сообщения — отправка — транспортировка — доставка, пред-полагающий массовое анонимное непрошенное распространение электронных сообщений. Термин «поисковый спам» (спамдексинг) используется для обозначения любых умышленных действий чело-века, которые вызывают не имеющие оправдания релевантность или важность некоторых веб- страниц, по отношению к действительно значимой странице.

Цель спама форумов (как и поискового спама) — проиндекси-ровать ссылку в поисковой системе и придать ей намного больше веса, чтобы занять верхние (топовые) позиции по нужным запросам за кратчайший срок. Пользователи Интернета, которые используют технологии спама, называются спамерами. В последнее время коли-чество поискового спама резко возросло, что приводит к ухудшению результатов поиска.

Существует две категории методов, связанных с поисковым спамом. Первая категория включает рекламные методы, например,

ФГБО

У ВПО



У ВПО



196

с помощью которых можно достигнуть высокой релевантности и/или значимости некоторых страниц. Вторую категорию составляют скры-тые методы, способы, которые сами по себе не влияют на алгоритмы ранжирования поисковых систем, но используются, чтобы скрыть усвоенные рекламные методы от глаз простых пользователей

Угрозы, связанные со спамом: распространение программ с по-тенциально опасными последствиями, способных привести к на-рушению работоспособности внутренней инфраструктуры получа-теля; увеличение паразитной нагрузки на программно- аппаратные компоненты инфраструктуры получателя, что влечет за собой угрозу нарушения непрерывности функционирования всех компонентов; попадание учетных данных получателя в базу рассылки спамеров и дальнейшее несанкционированное владельцем использование этого адреса; использование спам- рассылки как части «социальной инженерии» (phishing) с целью получения учетной информации и персональных данных получателя спама; распространение заведомо ложной информации с целью формирования общественного мнения и/или получения единовременной прибыли.

Современная защита от спама должна включать в себя следующие элементы и обладать свойствами: комплексная система защиты, в состав которой должны входить: фильтры содержимого, сигна-турный анализ, проверка по черным спискам, проверка по серым спискам, байесовские фильтры, эвристический анализ, интегриро-ванный комплекс антивирусной защиты; высокая производитель-ность аппаратной платформы (интерфейсы и шины с пропускной способностью от 1 Гбит/с) и программных компонентов (разбор не менее 10 сообщений в секунду); постоянная поддержка решения производителем и автоматическое обновление сигнатур, фильтров в режиме, близком к режиму реального времени; наличие обратной связи с получателем сообщения (возможность просмотра карантина, изменения персональных параметров фильтрации, информирование пользователя о наступлении событий в системе и т. д.).

К антиспамовым средствам относятся специальные службы филь-трации, которые могут находиться у почтового провайдера или на отдельном сервере. В некоторых случаях вся почта отправляется на определенный адрес, где фильтруется, и к пользователю приходит уже чистой. Этот метод самый простой для пользователя, но, как правило, и наименее контролируемый.

Можно использовать входные фильтры, основанные на анализе IP- адреса хоста, передающего спам (который можно узнать, напри-мер, по отзывам пострадавших), и использовать общие базы данных с адресами таких спамеров (DNSBL — DNS Black Lists). Однако сегодня это уже малоэффективный способ борьбы с современными методами спама.

Существует фильтрация на основе автоматического пополнения черного access- листа с адресами спамеров. Например, при такой

ФГБО

У ВПО



У ВПО



фильтрации может использоваться встречный анализ подозритель-ности отправляющего хоста, однако данный фильтр плох тем, что требует постоянного контроля и тонкой настройки. Причем первое письмо от потенциального спамера он в любом случае пропустит, что делает его работу малоэффективной в современных условиях

И наконец, существуют программы или встраиваемые модули для анализа содержимого письма. Программы для такой проверки (их может быть несколько) принимают информацию от почтовой про-граммы, а возвращают, как правило, свою оценку и рекомендацию к дальнейшему действию.

В качестве выводов относительно угрозы спама следует отме-тить:

от спама нельзя защититься на 100 %, количество приходящих ••спам- писем можно только уменьшить;

определить принадлежность письма к классу спама со 100%-ной ••вероятностью может только его получатель;

адекватный анализ ссылочного алгоритма для поисковых машин ••может быть использован, чтобы отделить известные страницы от любого вида спама, без принятия во внимание методов спама по от-дельности.


В какой криптологии применяются одинаковые ключи для шифрования 1. и дешифрования?Перечислите уровни разграничения прав доступа к данным в полях базы 2. данных.Как называются в соответствии с классификацией программы, которые 3. не изменяют файлы на дисках, а распространяются в компьютерной сети, проникают в ОС компьютера, находят адреса других компьютеров или пользователей и рассылают по этим адресам свои копии?В чем отличие целей процедур аутентификации и авторизации?4. Перечислите составляющие сетевого аудита.5. Какие результаты реализации угрозы безопасности информации могут 6. возникнуть?Каким антивирусным программам присуща возможность лечения зара-7. женных вирусами объектов?Какие цели преследует внедрение ЭЦП?8. Какие три вида информации подлежат защите?9. Какие сетевые протоколы могут быть использованы при создании VPN-10.

каналов?

ФГБО

У ВПО



У ВПО



198

ра з д е л V

управление сетевыми ресурсами на примере WINDOWS 7

Данный раздел посвящен основным механизмам управления сетевыми ресурсами на примере корпоративных ОС Майкрософт: пользователями, группами, разделяемыми папками и общедоступ-ными принтерами. Рассмотрены вопросы, связанные с политиками безопасности.

В настоящее время сетевые ОС корпорации Майкрософт счита-ются самым используемыми в мире. Например, операционная си-стема Windows 8 выпущена в октябре 2012 г. А через два месяца, как пишет Википедия, количество пользователей, перешедших на нее, составило уже 40 млн человек. Именно поэтому в качестве примера рассмотрения средств управления сетевыми ресурсами мы выбрали линию Windows.

Гл а в а 17

ОсОбеннОсти сетевОй архитеКтуры WINDOWS

17.1. история развития Ос Windows

Приведем небольшую историческую справку развития ОС Windows. В конце 1980-х гг. появилась графическая оболочка Windows, которая запускалась в ОС MSDOS командой win. К обо-лочкам относятся Windows 3.0, Windows 3.11, Windows for Workgroups для рабочих групп.

В 1996 г. запущен Windows NT 4.0 на основе Win32 API, содержат серверную версию Windows NT Server и Windows NT Work Station. Эта версия является знаковой для Майкрософт — ОС Windows NT 4.0 вобрала в себя все лучшее, что было ранее предложено в области

ФГБО

У ВПО



У ВПО



199

сетевых технологий, и на долгие годы определила сетевую архитектуру разработок фирмы. В этой ОС впервые появилась файловая система NTFS, обладающая встроенными механизмами зашиты данных.

Конец 1990-х гг. характеризуется появлением семейства кли-ентских ОС Windows 9x: Windows 95 и Windows 98, затем Windows Millennium.

В 2000 г. запущена линия Windows 2000: многоцелевая 32-раз-рядная ОС с поддержкой одноранговых и клиент- серверных сетей, клиентская версия Windows 2000 Professional и серверные версии Windows 2000 Server, Windows 2000 Advanced Server, Windows 2000 Datacenter Server, имеющие средство централизованного управления ресурсами, пользователями, группами и службами безопасности Active Directory.

В 2001 г. выходит ОС Windows XP, которая до сих пор (с Service Packs 1, 2 и 3) является одной из наиболее широко используемых ОС в мире.

2003 год знаменателен тем, что Майкрософт впервые применила запретительную политику для разделяемых сетевых объектов и вы-пустила ОС Windows 2003 Server со средствами повышенной безопас-ности.

Продолжая эту линию, в 2008 г. Майкрософт выпустила ОС Windows 2008 — серверную ОС с удобными средствами конфигу-рирования, удобной поддержкой сети, поддержкой параллельного программирования. Существует также специальная версия Windows 2008 HPC (High Performance Computing) для расширенной поддержки параллелизма.

В 2009 г. появляется клиентская ОС, надежная и удобная Windows 7. В настоящее время наиболее популярна в мире линия развития ОС Windows NT — Windows 2000 — Windows XP — Windows 2003 — Windows Vista — Windows 2008 — Windows 7. Это семейство ОС использует общие принципы архитектуры и общий код ядра.

Windows 8, следующая в линейке за Windows 7, выпущена осенью 2012 г. Серверной версией является Windows Server 2012, которая поддерживает усовершенствованные функции, позволяющие транс-формировать ИТ- среды виртуализации и облачных вычислений, се-тевых технологий, систем хранения данных и удобства. ОС обладает новым интерфейсом.

Поэтому, изучая принципы организации, фактически будем рас-сматривать архитектуру всех новых ОС семейства Windows для рабо-чих станций. Далее в разделе возможности рабочих станций под управлением Windows 7 мы будем рассматривать как для домашней расширенной версии ОС Home Premium, так и для версии Professional, предназначенной для корпоративных пользователей.

Для серверной версии выбран Windows 2003 Server, реализующий запретительную политику безопасности и поддерживающий все со-временные механизмы управления сетевыми ресурсами.

ФГБО

У ВПО



У ВПО



200

17.2. сетевая архитектура Windows

Интегрированные сетевые средства предполагают, что Windows 7 Professional может быть сконфигурирована и как одноранговая ло-кальная сеть, и как сеть клиент- сервер. Все компьютеры под Windows 7 Professional могут одновременно работать и как клиенты, и как серверы приложений, разделяя файлы и принтеры и осуществляя обмен сообщениями по всей сети. Windows 7 Professional может поддерживать домен и в ее состав включены средства построения масштабируемых клиент- серверных сетей, такие как средства управ-ления доменами Active Directory.

Windows 7 Home Premium не поддерживает домен и может рабо-тать только в составе рабочих групп.

ОС Windows 7 модульная, каждая из функций системы и каждый компонент представлены своим программным кодом, что упрощает отладку. Система функционирует в двух режимах: режиме пользова-теля и режиме ядра (рис. 17.1).

Под режимом понимают набор программных и операционных компонентов, функций и служб. Пользовательские программы и подсистемы среды работают в пользовательском, непривилегиро-ванном, режиме и должны обращаться к исполнительным службам, как компонентам ядра.

Режим  ядра представляет собой основу ОС, его компоненты (исполнительные службы, само ядро с драйверами, уровень аппа-

Рис. 17.1. Два режима функционирования ОС Windows

ФГБО

У ВПО



У ВПО



201

ратных абстракций HAL) загружаются в память и не могут быть вы-гружены на диск диспетчером виртуальной памяти. На этом уровне Windows 7 защищает все компоненты от вмешательства приложений пользователя.

Слой аппаратных абстракций HAL, реализованный в виде ди-намической библиотеки, скрывает детали аппаратного интерфейса и позволяет переносить Windows 7 на другие платформы.

Драйверы режима ядра, реализованные как отдельные компонен-ты, обеспечивают переносимость, вытесняющую многозадачность и объектно- ориентированную архитектуру. Ядро выполняет такие важнейшие функции, как планирование потоков, обработку пре-рываний и исключений, низкоуровневую синхронизацию процессов, восстановление после отказов электропитания и т. д.

Важной и принципиально новой особенностью является то, что ядро системы Windows — объектно- ориентированное и использует два набора объектов:

объекты-•• диспетчеры — объекты, управляющие диспетчериза-цией и синхронизацией (события, семафоры, потоки, таймеры);

управляющие объекты — асинхронные вызовы процедур, об-••работчики прерываний, объекты нотификации об электропитании, объекты состояния электропитания, объекты профилирования.

К исполнительным службам ядра относятся:менеджер ввода-•• вывода — следит за процессами ввода- вывода,

перехватывает запросы приложений и передает команды соответ-ствующим устройствам, в его состав входят файловые системы, драйверы устройств и диспетчер кэша;

менеджер объектов — создает, удаляет и управляет операциями ••над объектами (процессами, потоками и структурами данных);

монитор безопасности — следит за входом в систему, осущест-••вляет аутентификацию пользователей и управляет защитой в поль-зовательском режиме;

менеджер виртуальной памяти — управляет виртуальной памя-••тью, т. е. собственным адресным пространством каждого процесса, позволяет использовать память на диске как часть физической па-мяти, контролирует подкачку;

менеджер процессов — управляет действиями процессов и по-••токов (создание, удаление, протоколирование);

менеджер межпроцессного взаимодействия — управляет взаи-••модействием клиентов и серверов, внешними подсистемами и ис-полняемой системой; включает в себя два типа компонентов: средства локального вызова процедур LPC (Local Procedure Call) и средства удаленного вызова процедур RPC (Remote Procedure Call), которые отвечают за обмен информацией, поддерживает работу приложений и подсистем среды;

менеджер Plug-•• and- Play — служит средством связи со слоем аппаратных абстракций HAL, который реализован как динамическая

ФГБО

У ВПО



У ВПО



202

библиотека, скрывает детали аппаратного интерфейса и позволяет переносить Windows 7 на другие платформы;

менеджер электропитания — управляет API-•• интерфейсами пи-тания.

На пользовательском уровне находятся как внешние, так и вну-тренние подсистемы. Над исполняющими службами надстраиваются процессы пользовательского режима, обеспечивающие исполнение программ, разработанных для других ОС.

Внешние подсистемы позволяют запускать и выполнять различ-ные компоненты, они эмулируют разные ОС, используя интерфей-сы прикладного программирования API (Application Programming Interface) и не имеют прямого доступа к аппаратным компонентам и драйверам и ограничены выделенным им адресным пространством. Внешние подсистемы используют дисковое пространство как вирту-альную память каждый раз, когда системе нужна память, приоритет этих подсистем ниже, чем у процессов режима ядра.

Внешние подсистемы перехватывают API- вызовы приложений, переводят их в формат Windows 7 и передают исполняемым компонен-там ядра. 32-разрядная ОС Windows 7 использует подсистему Win32 как основное операционное окружение для запуска всех процессов. Win32 управляет 32-разрядными приложениями и обеспечивает среду для работы с приложениями Win16 и MS- DOS, а также обеспечивает средства работы с мышью, клавиатурой и средства графики.

Win64 — 64-разрядная версия Win32, содержащая дополнитель-ные функции для использования на 64-разрядных компьютерах. Win64 API присутствует только в 64-разрядных версиях WindowsXP, WindowsServer 2003, WindowsVista, WindowsServer 2008, WindowsServer 2008 R2, Windows 7 и Windows 8.

Окружение MS- DOS обеспечивается приложением Win32, на-зываемым Virtual Dos Machine (VDM), процессом пользовательско-го уровня, для которого поддерживается страничная организация и диспетчеризация, как и для всех других потоков. Окружение для 16-битовых Windows обеспечивается VDM, которая содержит подси-стему WOW (Windows on Windows) и предоставляет процедуры ядра Windows 3.1 для менеджера окон и функций GDI. Подсистема OS/2 выполняет OS/2- приложения. POSIX предоставляет API- интерфей-сы для POSIX- приложений, которые базируются на модели UNIX, и гарантирует переносимость на разные платформы.

Внутренние подсистемы выполняют основные функции ОС. При инсталляции Windows автоматически устанавливаются следующие компоненты:

интерфейс NetBIOS •• - для поддержки низкоуровневых процес-сов;

Workstation Service •• - для доступа к сетевым ресурсам;Server Service •• - для обращения другим компьютерам к общим

и локальным ресурсам;

ФГБО

У ВПО



У ВПО



203

Computer Browser •• - для взаимодействия со списком ресурсов;NICdriver •• - драйвер сетевой карты;RPCservice •• - для управления сетевыми взаимодействиями

между процессами.В структуру Windows включены программные компоненты, обе-

спечивающие соединения с другими компьютерами. К ним относятся NetBIOS и сокеты Windows. Оба этих компонента входят в пакет механизмов межпроцессных коммуникаций и используются для приложений клиент- сервер. Кроме того, в состав ОС включены еще три механизма межпроцессных коммуникаций в виде именованных каналов, почтовых слотов (mailslots) и вызова удаленной процедуры RPC. Фактически именованные каналы и почтовые слоты реали-зованы как файловые системы, которые могут разделять с другими файловыми системами такие общие функциональные возможности, как кэширование.

Помимо рассмотренных особенностей, в Windows сервис уда-ленного доступа и маршрутизации RRAS (Remote Access Server) дает возможность удаленным пользователям подключиться к кор-поративной сети через протокол РРР на основе TCP/IP, NetBIOS, IPX/SPX.

Служба рабочей станции позволяет компьютеру работать в сети, обращается к сетевым ресурсам удаленных серверов. В случае от-ключения службы подключения станут недоступны. Служба сервера обслуживает запросы доступа к ресурсам из сети.

Подсистема безопасности также относится к внутренним подси-стемам и создает маркеры безопасности и отслеживает права и раз-решения доступа, связанные с бюджетами пользователей. Подсистема безопасности принимает запрос на регистрацию пользователей, отвечает за аудит системных ресурсов.

Сетевая архитектура Windows 7 имеет многоуровневую структуру. В состав этой архитектуры входит очень важный интерфейс сетевого драйвера NDIS (Network Driver Interface Specification). Возможности NDIS предназначены для сопряжения сетевых адаптеров с ОС. NDIS позволяет установить несколько сетевых карт на одном компьютере, инициировать различные способы обработки кадров (FRAME) и свя-зать их с разными типами транспортных протоколов. Преимущества использования интерфейса NDIS заключаются в том, что один компьютер под управлением Windows одновременно может иметь доступ к различным типам сетевых серверов, каждый из которых поддерживает свой собственный сетевой протокол.

Функционирование системы Windows 7 происходит в двух режи-мах — пользовательском и режиме ядра. В режиме ядра присутствует уровень аппаратных абстракций HAL, который позволяет настраивать систему на соответствующие аппаратные компоненты и обеспечивает переносимость. Кроме того, Windows 7 поддерживает симметричную и асимметричную многопроцессорную реализацию.

ФГБО

У ВПО



У ВПО



204

Windows 7 — ОС с вытесняющей многозадачностью, при этом для 16-разрядных приложений используется кооперативная многозадач-ность. Многопоточность ОС обеспечивает выполнение нескольких процессов в рамках одной программы.

Подсистемы Windows 7 могут взаимодействовать друг с другом с помощью высокопроизводительной передачи сообщений. Windows 7 спроектирована для поддержки симметричного мультипроцессиро-вания. Масштабируемость системы позволяет интегрировать вместе до несколько миллионов ресурсов в рамках одного домена.

Надежность функционирования Windows 7 обеспечивается аппа-ратной защитой для виртуальной памяти и программными защитны-ми механизмами для ресурсов ОС.

В ОС входят такие средства повышенной безопасности, как аутен-тификация пользователей при входе и выработка маркера безопас-ности, поддержка уровней доступа, списки управления доступом ACL, защита памяти и т. д.

Система безопасности начинает работать, как только пользователь нажимает Ctrl + Alt + Del и запускает утилиту WINLOGON. Монитор безопасности SRM устанавливает защищенный канал с базой данных безопасности диспетчера SAM для аутентификации пользователя. Если вход пользователю разрешен, то вырабатывается маркер без-опасности, который определяет ограничения и права пользователя на доступ в течение всего сеанса работы на данном компьютере. Маркер безопасности генерируется на основании уникального учетного кода пользователя SID, присвоенного при создании, учетного кода групп, к которым принадлежит пользователь, и полномочий на доступ. Как только WINLOGON получает маркер безопасности, она запускает оболочку пользователя, которая и наследует выработанный маркер безопасности.

В Windows 7 все элементы системы являются объектами: фай-лы, папки, принтеры, процессы, потоки, порты, устройства, окна и т. д. Каждый объект имеет тип, который определяет наборы служб и атрибуты. Службы представляют собой действия, которые можно совершать над объектом: просмотр, чтение, изменение, удаление и т. д. К атрибутам относится имя объекта, данные и список управ-ления доступом ACL, который и определяет, кто и что может делать с данным объектом.

Windows 7 имеет встроенный стек протоколов, который обе-спечивает совместимость с сетевыми архитектурами NetWare, Unix, Macintosh, DEC. В качестве транспортных протоколов Windows 7 использует пять основных:

NBF (Windows Net BEUI), родной протокол Майкрософт, обе-1) спечивающий взаимодействие с более ранними версиями ОС;

IPX/SPX (NWLink), NDIS — совместимая версия для связи 2) с Net Ware;

TCP/IP для связи с UNIX и сетями Интернета;3)

ФГБО

У ВПО



У ВПО



205

DLC (Data Link Control) для связи с майнфреймами и работы 4) с подсоединенными непосредственно к локальной сети принтерам;

Apple Talk для связи с Macintosh.5)

17.3. Active Directory

Для централизованного управления большими сетями, охва-тывающими несколько миллионов пользователей и компьютеров, и быстрого доступа к ресурсам Windows 2003 использует службу ка-талогов Active Directory. Под каталогом в данном случае понимается хранилище наборов сведений об объектах сети, а служба каталогов не только однозначно идентифицирует и организует пользователей и ресурсы, но и обеспечивает доступ к ним.

Служба каталогов Active Directory, входящая состав Windows Server 2003, объединяет все объекты сети (пользователи, файлы, каталоги, принтеры, базы данных, службы и другие ресурсы) в одну базу, хра-нящуюся на сервере, и позволяет централизованно управлять всеми этими сетевыми ресурсами (рис. 17.2).

Управление Active Directory производится через набор консолей, т. е. специализированных программ небольшой функциональности. Консоли — средства администрирования, которые управляют обо-рудованием, программными и сетевыми компонентами ОС Windows. Консоли содержат оснастки — инструменты для работы консоли. В Windows Server 2003 при установке уже встроены консоли, рас-крывающиеся в виде стандартных окон Windows.

Преимущество консолей состоит в том, что в одной консоли мож-но собрать различные оснастки, сделав ее многофункциональной. Такой подход упрощает выполнение задач управления сетевыми ресурсами.

Active Directory создает иерархическое представление объек-тов. Она расширяема, масштабируема и обладает распределенной системой безопасности. DNS упорядочивает объекты в доменах в иерархию организационных подразделений OU (Organization Unit) и объединяет несколько доменов в древовидную структуру. Введе-ние нового домена возможно с помощью оснастки Active Directory Domainsand Trust.

В Active Directory выделяют две структуры сети: логическую и фи-зическую.

Логическая структура Active Directory определяет способ орга-низации ресурсов вне зависимости от их физического расположения. Каждому сетевому ресурсу соответствует объект, т. е. отличительный набор именованных атрибутов в каталоге. Однотипные объекты ло-гически группируются в классы. Некоторые объекты (контейнеры), такие как домены или организационные подразделения, могут со-держать в себе другие объекты. Классами могут быть: домены; ор-

ФГБО

У ВПО



У ВПО



206

ганизационные подразделения; компьютеры; пользователи; группы; контакты; принтеры; разделяемые папки; объекты политик.

Совокупность объектов, допустимых для хранения в каталоге, называется схемой. Схема в Windows 2003 может обновляться ди-намически, т. е. приложение имеет право добавить в схему новые атрибуты и классы объектов.

Домен представляет основную структурную единицу Active Direc-tory. Все сетевые объекты существуют внутри доменов и каждый до-мен хранит информацию только о тех объектах, которые содержатся в нем. Утверждается, что домен может содержать до 10 млн объектов, однако достоверно известно только о цифре 1 млн. С другой стороны, доменом называется раздел Active Directory и совокупность доменов в пределах леса образуют службу Active Directory.

Доступ к объектам домена определяется списком контроля до-ступа ACL. Все политики безопасности, списки ACL объектов и ад-министративные разрешения действуют только внутри домена, не пересекаясь с остальными.

Иерархия нескольких доменов, предоставляющих глобальный совместный доступ к ресурсам, называется лесом. Лес может со-держать только один домен. Все домены одного леса обеспечивают доступ к глобальному каталогу и создают общее пространство имен. По стандартам DNS, имя дочернего домена присоединяется в конец родительского имени, например cyber.mephi.ru. Имя дерева доменов должно соответствовать зарегистрированному в Интернете имени предприятия, в данном случае mephi.ru.

При создании дерева доменов устанавливаются доверительные отношения по протоколу Kerberos. Использование данного про-токола означает, что доверительные отношения домена в дереве симметричны и транзитивны. В силу транзитивности Kerberos, если домен A доверяет домену B и домен B доверяет C, то это означает, что A доверяет C. Таким образом, все три домена доверяют друг другу.

Рис. 17.2. Оснастка Active Directory — пользователи и компьютеры

ФГБО

У ВПО



У ВПО



207

При вступлении нового домена в дерево доверительные отношения устанавливаются автоматически между ним и корнем родительского домена. Установление доверительных отношений в окне Trust оснаст-ки Active Directory Domains and Trust показано на рис. 17.3.

При введении нового домена указывается режим функционирова-ния (смешанный или основной), название доменов, между которыми устанавливаются отношения доверия, имя пользователя, управляю-щего отношениями.

Домен может работать в четырех режимах: смешанном, основном, промежуточном и режиме Windows Server 2003.

Смешанный режим позволяет использовать в домене контроллеры не только под управлением Windows Server 2003/Windows 2000, но и под управлением Windows NT 3.51 или 4.0. В этом режиме контрол-лер под управлением Windows Server 2003/Windows 2000 эмулирует главный контроллер домена, а контроллеры под управлением Windows NT являются резервными контроллерами домена. Домен, работающий в смешанном режиме, необходим любому клиенту, использующему службу каталога Windows NT и NTLM для аутентификации. Кроме того, для разрешения имен для таких клиентов на сервере должна быть установлена служба WINS. Выполнение этих функций создает дополнительную нагрузку на сервер Windows Server 2003.

Рис. 17.3. Установление доверительных отношений

ФГБО

У ВПО



У ВПО



208

Основной режим работы Active Directory позволяет использовать в домене контроллеры только под управлением Windows Server 2003 и Windows 2000. В этом режиме все контроллеры домена являются равноправными и изменения могут вноситься на любом из них. Для нормального функционирования домена не требуется служба WINS. Домен Windows Server 2003 / Windows 2000 в основном режиме нор-мально поддерживает работу любых Windows- клиентов.

Промежуточный режим работы Active Directory позволяет исполь-зовать в домене контроллеры под управлением Windows Server 2003 и Windows NT 4.0. В этом режиме, как и в смешанном, контроллер под управлением Windows Server 2003 эмулирует главный контрол-лер домена, а контроллеры под управлением Windows NT являются резервными контроллерами домена.

Режим работы Windows Server 2003 позволяет использовать в до-мене только контроллеры только под управлением семейства Windows Server 2003. При повышении режима работы домена до Windows Server 2003 становятся доступны дополнительные возможности Active Directory.

Организационное подразделение представляет собой контейнер для организации объектов в логические административные группы внутри доменов. В состав одного организационного подразделения может входить сколько угодно других организационных подразделе-ний. Они, вместе со своим содержимым, будут видны в виде иерархи-ческой структуры через оснастку Active Directory Usersand Groups.

В домен могут входить компьютеры следующих типов:контроллеры доменов под управлением Windows 2003 Server ••

хранят и поддерживают копию каталога, проводят авторизацию пользователей, обеспечивают работу Active Directory (возможные ОС Windows 2000 Advanced Server, Windows 2000 Datacenter). Все контрол-леры в домене равны между собой и реплицируют изменения, про-изошедшие на одном из них;

серверы Active Directory, которые могут не являться контролле-••рами доменов;

рядовые серверы под управлением Windows 2003 Server для ••предоставления доступа к своим ресурсам;

компьютеры-•• клиенты под управлением Windows XP для досту-па к ресурсам домена.

Создание новых объектов компьютеров, выполняющих разные роли в домене, возможно с помощью оснастки Active Directory Usersand Groups. Для этого используются контейнеры Domain Controllers и Computers. Для контроллера домена задаются общие свойства, тип ОС, группы, бюджеты пользователей и групп для управ-ления, опции удаленного доступа. Те же атрибуты используются и при управлении рабочими станциями и серверами приложений.

Основным инструментом для управления возможностями поль-зователей в Windows 2003 является группа. Под группой понимается

ФГБО

У ВПО



У ВПО



209

набор учетных записей пользователей. Группы объединяют учетные записи пользователей, учетные записи компьютеров и учетные за-писи групп в управляемые элементы. Использование групп позволяет упростить управление ресурсами, обслуживание и администрирова-ние сети.

Контакты представляют пользователя — не члена домена. Кон-такты используются для хранения в каталоге информации о внешних пользователях, не являются учетными записями и не позволяют пользователям регистрироваться в домене. Принтеры представляют сетевые принтеры, к которым организован общий доступ. Разделяе-мые папки являются ссылкой на общий сетевой ресурс и не содержат никаких данных.

Политика — понятие, предназначено для автоматизации рабо-ты администратора по настройке рабочих станций. В зависимости от объекта может обозначать групповую политику (влияющую на группы объектов) или системную политику (влияющую на операци-онную систему). В Windows 2003 применяются следующие объекты политики;

доменная политика, позволяющая настраивать параметры по-••литики уровня домена;

политика контроллера домена, применяемая к контроллеру до-••мена;

групповая политика, предназначенная для управления объек-••тами того контейнера, к которому применена.

Active Directory применяет в качестве службы поиска доменную систему имен сети Интернет. Active Directory поддерживает несколько форматов имен, что создает удобства для различных приложений и пользователей. К ним относятся:

имена RFC 822 в виде имя_пользователя@имя_домена;••имена LDAP в виде //имя_сервера.имя_OU._имя_домена;••имена UNC для доступа к папкам, принтерам и файлам \\••

servername.cyber.mephi.ru\new_folder\new.doc.Физическая  структура  Active  Directory определяет тиражи-

рование каталога между контроллерами доменов. Эффективность тиражирования определяется организацией сайтов, т. е. наборов IP- подсетей, соединенных высокоскоростными линиями связи. Вы-деляя диапазон IP- подсетей в сайт, например всю высокоскоростную локальную сеть, мы тем самым локализуем трафик. Происходит это по двум направлениям:

1) при регистрации пользователя клиенты Active Directory пыта-ются найти контроллер домена на сайте компьютера пользователя, чтобы уменьшить трафик при обслуживании запроса на регистрацию и дальнейших запросов сетевой информации;

2) репликация каталогов может быть настроена так, чтобы межсайтовые репликации происходили гораздо реже, чем внутри сайта.

ФГБО

У ВПО



У ВПО



210

Важно, что сайты не являются частью пространства имен Active Directory, они содержатся в отдельной части каталога и управляются оснасткой Active Directory Sitesand Services. Сайты включают в себя только то, что нужно для настройки репликаций, т. е. объекты ком-пьютеров и соединений.


Рассмотрим несколько примеров применения Active Directory.Маленькая фирма с несколькими отделами, расположенными 1.

в одном здании в соседних комнатах, хочет применить доменную модель Windows 2003. Нужно ли создавать сайты?

В этом случае необходимость в сайте отсутствует, так как при ма-леньком локализованном наборе ресурсов достаточно только одного домена и в нем одного контроллера домена.

Маленькая фирма с несколькими отделами, расположенными 2. в Москве, Санкт- Петербурге и Нижнем Новгороде, хочет применить одну из доменных моделей. Офисы отделов связаны друг с другом ISDN WAN. При решении задачи должны быть выполнены как основные требования, так и дополнительные. Основные требования: каждый отдел должен иметь доступ ко всем серверам приложений и ресурсам, модель должна поддерживать централизованное управ-ление пользовательскими бюджетами. Дополнительные требования: должен быть минимизирован поток информации, связанный с реги-страцией пользователей, по линиям связи WAN. Какую логическую и физическую структуру Active Directory Windows 2003 выбрать?

Модель дерева из одного домена удовлетворяет основным требо-ваниям: она ориентирована на маленькие компании и поддерживает одну схему именования, централизованное управление и доступ к ресурсам. Помимо этого, для минимизации потока информации по линиям связи необходимо выделить три сайта: в Москве, Санкт-

Петербурге и Нижнем Новгороде с одним контроллером в каждом из них. На этих контроллерах будет проводиться аутентификация пользователей по месту их расположения. Кроме того, трафик ре-пликации на низкоскоростных линиях связи надо настроить так, чтобы репликации осуществлялись в период наименьшей нагрузки и с более длительными интервалами, например по ночам.

Большая организация (50 тыс. человек) с многочисленными 3. отделами, расположенными в одном здании, хочет применить Active Directory Windows 2003. При этом каждый отдел должен иметь доступ только к своим серверам приложений и принтерам, а вы хотите под-держивать централизованное управление пользовательскими бюдже-тами? Какую логическую структуру Active Directory нужно выбрать?

Структура дерева с одним доменом и несколькими организаци-онными подразделениями наилучшим образом подходит для такой

ФГБО

У ВПО



У ВПО



организации: она дает возможность ограничить доступ пользова-телей к ресурсам только своего организационного подразделения и поддерживает централизованное управление пользовательскими бюджетами.

Большая организация (50 тыс. человек) с многочисленными 4. отделами, расположенными в одном здании, хочет применить Active Directory Windows 2003. При этом каждый отдел должен иметь воз-можность управления доступом ко всем серверами приложений и принтерам и поддерживать управление своими пользовательскими бюджетами. Какую логическую структуру Active Directory нужно вы-брать?

Структура дерева с несколькими доменами наилучшим образом подходит для такой организации: она дает возможность организации доступа ко всем своим ресурсам каждому офису, а административ-ные полномочия распространяются только в пределах одного домена (офиса).

В маленьком издательстве всего шесть компьютеров и они 5. вполне справляются с работой. В ближайшее время не планируется никаких расширений. Какую модель необходимо выбрать: доменную Active Directory или рабочую группу?

Для маленьких сетей, в которых всего несколько компьютеров, целесообразно выбрать модель рабочей группы ввиду дешевизны и простоты обслуживания.

ВОПРОСЫ И ЗАДАНИЯ

1. Что представляет собой режим пользователя и режим ядра Windows 7? Как они дополняют друг друга?

2. Какие особенности характерны для Windows 7 и Windows 2003?3. Для чего предназначена Active Directory Windows 2003?4. Какие объекты включает схема каталога Active Directory Windows 2003?5. Для чего выделяются логическая и физическая структуры Active

Directory?

ФГБО

У ВПО



У ВПО



212

Гл а в а 18

управление ресурсами WINDOWS 7

18.1. Консоли Windows 7

Основным средством управления в Windows 7 являются консо-ли ММС. Собственно консоль управления не выполняет функции администрирования, она представляет собой стандартный способ создания, хранения и открытия административных приложений — оснасток. Консоли выполняют следующие функции:

задачи администрирования с использованием единого интер-••фейса;

централизованное администрирование с одного компьютера ••независимо от размера сети;

удаленное администрирование и разрешение проблем.••При этом оснастки консоли могут разрабатывать сторонние фир-

мы- производители.В каждой консоли имеется дерево консоли, отражающее иерархию

оснасток. Каждая консоль включает в себя меню Action и View. Су-ществуют два вида оснасток: изолированные и расширения, которые предоставляют дополнительные функции. Например, изолированная оснастка Shared Folders включает в себя три расширения: Shares, Sessions и Open Files. Доступ к консоли возможен в двух режимах: авторском и пользовательском. Сохраняя консоль в авторском режи-ме, пользователь может создавать новые окна, добавлять и удалять оснастки, сохранять изменения, внесенные в консоль. Консоли, созданные для других администраторов, рекомендуется сохранять в пользовательском режиме, когда возможности изменения ограни-чены или вообще отсутствуют.

Для создания новой консоли вначале необходимо запустить ММС с пустой открытой консолью. Это сделать можно из меню START\RUN в поле Open, введя команду MMC. После этого открывается пустая консоль (рис. 18.1), куда можно добавить требуемые изоли-рованные оснастки.

Кроме средств администрирования, в семейство Windows 7 встро-ен специальный Планировщик заданий, который применяется для запуска приложений, командных файлов, сценариев, программ и до-кументов по расписанию, а также при наступлении определенных событий системы. Назначенные задания сохраняются в папке Би-

ФГБО

У ВПО



У ВПО



213

блиотеке планировщика заданий (рис. 18.2), что позволяет создавать их на одном компьютере и назначать для отработки на любых других. Один из самых удобных способов работы с антивирусными програм-

Рис. 18.1. Создание консоли управления

Рис. 18.2. Папка Библиотека планировщика заданий

ФГБО

У ВПО



У ВПО



214

мами — запускать их ежедневно по определенному расписанию, на всех компьютерах сети с помощью Планировщика заданий.

При настройке задания в Планировщике заданий необходимо выполнить четыре шага:

содать задачу, т. е. задать ей имя и описание;1) задать триггер, т. е. указать, когда запускать задачу;2) указать действие, запустить программу или отобразить сообще-3)

ние, указав, какой именно сценарий или файл запускается;завершить планирование задачи.4)

Информация о конфигурации системы хранится в двух местах: в иерархической базе данных, которая называется реестр Windows 7, и службе каталогов Active Directory. Для их изменения используются консоли, рассмотренные ранее — панель управления Control Panel и редактор реестра Registry Editor.

Панель управления применяется для настройки оборудования, среды конкретного пользователя и стандартной среды Windows 7.

Реестр представляет собой базу данных Windows, в которой содер-жатся важные сведения о системном оборудовании, установленных программах и их параметрах, а также профилях каждой из учетных записей пользователей компьютера. Windows постоянно обращается к этим сведениям.

В реестре содержится информация об аппаратном обеспечении компьютера, установленных драйверах устройств, установленных се-тевых протоколах, установленных приложениях, параметрах сетевой карты и т. д. Структура реестра имеет пять поддеревьев, содержащих свой набор ключей (рис. 18.3):

HKEY_LOCAL_MACHINE — хранит информацию о локаль-1) ном компьютере, об аппаратном и программном обеспечении;

HKEY_USERS — хранит информацию о параметрах системы 2) по умолчанию для контроля индивидуальных параметров среды;

HKEY_CURRENT_USER — содержит данные о текущем поль-3) зователе;

HKEY_CLASSES_ROOT — содержит информацию о привязках 4) типов файлов к приложениям;

Рис. 18.3. Структура реестра

ФГБО

У ВПО



У ВПО



215

HKEY_CURRENT_CONFIG — содержит информацию об 5) активном аппаратном профиле.

Большинству пользователей Windows 7 никогда не приходится об-ращаться к реестру, однако некорректное использование редактора реестра может вызвать серьезные общесистемные проблемы.

18.2. управление группами

В доменах Windows 2003 существуют два типа групп: распростра-нения — для использования приложениями и безопасности — для назначения прав и предоставления доступа к ресурсам. Для этих групп определяется область действия — локальная, глобальная и универсальная.

В Active Directory группы распространения могут быть использо-ваны для создания списков рассылки электронной почты. Группы безопасности создаются для задания разрешений на использование общих ресурсов. Если группа создается для контроля доступа к общим ресурсам, эта группа должна быть только группой безопасности.

Группы безопасности могут быть встроенные, локальные, гло-бальные и системные. Встроенные локальные и глобальные группы порождаются при инсталляции ОС, другие создаются пользователями в зависимости от выполнения задач. Состав созданных групп может изменяться, т. е. пользователи могут включать и удалять соответствую-щие бюджеты пользователей в группы. Состав встроенных системных групп регулировать нельзя, так как им принадлежит любой бюджет, использующий компьютер определенным образом.

В домене при инсталляции порождаются встроенные локальные и глобальные группы. На рабочих станциях и серверах приложений порождаются встроенные изолированные локальные группы.

Встроенные группы домена. Управление встроенными глобаль-ными и локальными группами домена производится с помощью оснастки Пользователи и компьютеров Win 2003 Server. Для глобаль-ных групп используется контейнер Users, для локальных — контейнер Bultin (рис. 18.4). С помощью этих же контейнеров создаются новые глобальные и локальные группы.

В основном режиме или режиме Windows Server 2003 доступны локальные, глобальные и универсальные группы.

Глобальные группы предназначены для организации пользователей с одинаковыми требованиями к системе и содержат учетные записи пользователей и компьютеров, глобальные группы из того же домена. Список встроенных глобальных групп представлен в табл. 18.1.

Глобальная группа в Active Directory обладает ограниченным членством, т. е. в нее можно добавлять пользователей лишь из того домена, где она была создана. Доступ к ресурсам для глобальной группы возможен в любом домене.

ФГБО

У ВПО



У ВПО



216

Чтобы присвоить глобальной группе права, ее нужно включить в локальную встроенную группу или сделать явное назначение. Локальные группы домена содержат любые учетные записи поль-

Рис. 18.4. Основные встроенные локальные группы

Т а б л и ц а 18.1. Основные встроенные глобальные группы

Группа Стандартные члены Описание

Domain Admins Administrator Администраторы домена. Авто-матически включаются в ло-кальную группу Administrators

Domain Guests Guest Все гости домена. Автоматиче-ски включаются в локальную группу Guests. По умолчанию бюджет пользователя Guest не активен

Domain Users Administrator Все пользователи домена. Ав-томатически включаются в ло-кальную группу Users

Enterprise Admins Administrators,

Administrator

Администраторы масштаба предприятия.Автоматически включаются в локальную группу Administra-tors

ФГБО

У ВПО



У ВПО



217

зователей и компьютеров, глобальные и универсальные группы и предназначены для организации доступа к ресурсам одного доме-на. Список основных встроенных локальных групп и их основные свойства приведены в табл. 18.2.

Т а б л и ц а 18.2. Основные встроенные локальные группы


Administrators Administrator, Domain Admins, Enterprise Admins

Полностью управляют ресурсами своего домена

Users Domain Users, Interactive, Authenticated Users

Имеют ограниченные права в пре-делах домена. Могут создавать но-вые локальные группы. Возможен только сетевой доступ

Guests Guest, Domain Guests

Имеют ограниченные права в пре-делах домена. Не могут изменять установки компьютера. Не могут создавать новые локальные группы

Replicator Нет Используется только службой ре-пликации системы. Нельзя устанав-ливать членам группы пароль. Могут создавать новые локальные группы и копировать файлы в домене

Print Operators Могут управлять разделяемыми принтерами, закрывать систему

Backup operators Могут резервировать и восстанав-ливать любые файлы и каталоги, несмотря на установленные полно-мочия доступа, создавать новые локальные группы

Account Operators Могут управлять групповыми и ин-дивидуальными бюджетами, кроме администраторских, операторов сервера, операторов бюджетов, опе-раторов печати и операторов резер-вирования

Server Operators Могут управлять разделяемыми пап-ками и принтерами, резервировать и восстанавливать файлы, формати-ровать диски, блокировать сервер и переопределять блокировку

ФГБО

У ВПО



У ВПО



218

Универсальные группы содержат любые учетные записи пользо-вателей и компьютеров, глобальные и универсальные группы и пред-назначены для организации доступа к ресурсам нескольких доменов. При смешанном режиме универсальные группы недоступны.

Локальные группы домена создаются в хранилище Active Directory и используются всеми контроллерами домена для предоставления разрешений к любому ресурсу на контроллерах домена

Встроенные  изолированные  локальные  группы. Локальные группы содержат набор учетных записей на локальном компьюте-ре и предоставляют доступ к ресурсам именно этого компьютера, т. е. Windows 7 создает локальные группы в локальной базе данных безопасности. Эти изолированные группы не отображаются в Active Directory. В зависимости от версии Windows 7 набор встроенных изо-лированных локальных групп различен.

Для версии Windows 7 Домашняя расширенная возможно исполь-зование только трех групп, новые локальные группы создавать нельзя, только новых локальных пользователей. Для каждой группы можно задать членов, входящих в данную группу, возможность вхождения в другие группы и субъекта, которому делегируются полномочия на управления данной группой.

На рабочих станциях группы Windows 7 Professional порождаются встроенные изолированные локальные группы. Подробное описание возможностей основных изолированных групп приведено в табл. 18.3, а дополнительных групп — в табл. 18.4.

Т а б л и ц а 18.3. Основные встроенные изолированные локальные группы


Administrators Administrator, Domain Admins

Полностью управляют ресурсами компьютера. Пользователи, входя-щие в эту группу, имеют полный доступ на управление компьюте-ром и могут при необходимости назначать пользователям права пользователей и разрешения на управление доступом.

Users Все локальные пользователи компьютера, Interactive, Authenticated Users DomainUsers

Имеют ограниченные права в пре-делах домена и своего компьютера. Пользователи, входящие в эту группу, могут выполнять типовые задачи, такие как запуск приложе-ний, использование локальных и сетевых принтеров и блокировку компьютера. Члены этой группы

ФГБО

У ВПО



У ВПО



219


не могут предоставлять общий до-ступ к папкам или создавать ло-кальные принтеры. Могут созда-вать новые локальные группы (только Windows 7 Professional и Windows 7 Enterprise)

Guests Guest Имеют ограниченные права в пре-делах домена.Не могут изменять установки ком-пьютера.Не могут создавать новые локаль-ные группы

Replicator Нет Могут копировать файлы в домене. Используется только службой ре-пликации системы. Нельзя уста-навливать членам группы пароль

Backup operators Могут резервировать и восстанав-ливать любые файлы и каталоги, несмотря на установленные полно-мочия доступа. Пользователи, входящие в эту группу, могут архи-вировать и восстанавливать файлы на компьютере независимо от лю-бых разрешений, которыми защи-щены эти файлы. Это обусловлено тем, что право выполнения архи-вации получает приоритет над всеми разрешениями. Члены этой группы не могут изменять параме-тры безопасности

Power Users По умолчанию члены этой группы имеют те же права пользователя и разрешения, что и учетные за-писи обычных пользователей. В предыдущих версиях ОС Windows эта группа была создана для того, чтобы назначать пользователям особые административные права и разрешения для выполнения рас-пространенных системных задач.

Продолжение табл. 18.3

ФГБО

У ВПО



У ВПО



220


Для старых приложений, требу-ющих тех же прав опытных пользо-вателей, которые имелись в преды-дущих версиях ОС Windows, адми-нистраторы могут применять ша-блон безопасности, который поз-воляет группе Опытные пользова-тели присваивать эти права и раз-решения, как это было в предыду-щих версиях операционной систе-мы Windows

Т а б л и ц а 18.4. дополнительные встроенные изолированные локальные группы

Группа Описание

Операторы криптографии

Членам этой группы разрешено выполнение операций криптографии. Права пользователя по умолчанию от-сутствуют

Пользователи DCOM

Членам этой группы разрешено запускать, активиро-вать и использовать объекты DCOM на компьютере. Права пользователя по умолчанию отсутствуют

IIS_IUSRS Это встроенная группа, используемая службами IIS. Права пользователя по умолчанию отсутствуют

Операторы настройки сети

Пользователи, входящие в эту группу, могут изменять параметры TCP/IP, а также обновлять и освобождать адреса TCP/IP. Эта группа не имеет членов по умолча-нию. Права пользователя по умолчанию отсутствуют

Пользователи жур-налов производи-тельности

Пользователи, входящие в эту группу, могут управлять счетчиками производительности, журналами и опо-вещениями на локальном или удаленном компьютере, не являясь при этом членами группы Администраторы. Права пользователя по умолчанию отсутствуют

Пользователи си-стемного монито-ра

Пользователи этой группы могут наблюдать за счетчи-ками производительности на локальном или удаленном компьютере, не являясь при этом участниками групп Администраторы или Пользователи журналов произ-водительности. Права пользователя по умолчанию отсутствуют

Окончание табл. 18.3

ФГБО

У ВПО



У ВПО



221

Группа Описание

Пользователи уда-ленного рабочего стола

Пользователи, входящие в эту группу, имеют право удаленного входа на компьютер

Группа удаленных помощников

Члены этой группы могут предлагать удаленную по-мощь пользователям данного компьютера. Права пользователя по умолчанию отсутствуют

Для управления изолированными встроенными локальными груп-пами используется оснастка Локальные пользователи и группы.

Встроенные системные группы. Помимо рассмотренных поль-зовательских групп в Windows существуют еще системные группы, состав которых регулировать нельзя, а назначать права на объекты (например, файлы) можно:

Everyone — все пользователи как локальные, так и сетевые;••System — ОС;••Creator/Owner — создатель ресурса;••Network — пользователи, получившие доступ к ресурсу по сети;••Interactive — пользователи, получившие доступ к ресурсу ло-••

кально;Authenticated Users — аутентифицированные пользователи ••

сети;Anonymous Logon — все учетные записи, не аутентифицирован-••

ные Windows;Dialup — пользователи по удаленному соединению.••

Членство в системных группах определяет сама ОС, так как к ним принадлежит любой бюджет, использующий компьютер определен-ным образом. Системные группы Windows нужны для выполнения ряда специализированных функций и членство в них определяет сама ОС.

18.3. управление пользовательскими бюджетами

В Windows 2003 различается три типа учетных записей:доменные (domain user account) — позволяют подключиться 1)

к домену и получить доступ к ресурсам сети;локальные (local user account) — позволяют зарегистрировать-2)

ся на конкретном компьютере и получить доступ к его ресурсам;встроенные (built-3) in user account) — позволяют администриро-

вать (Administrator) или получить доступ к сетевым или локальным ресурсам (Guest).


ФГБО

У ВПО



У ВПО



222

Доменные учетные записи создаются на контроллерах домена, когда активирована Active Directory, и позволяют подключиться из любого места в сети. В процессе регистрации доменный пользователь вводит свое сетевое имя и пароль. Аутентификация пользователя производится в глобальной базе данных безопасности. Контролер домена Windows 2003 в Active Directory опознает пользователя и вы-деляет ему маркер безопасности, который содержит информацию о пользователе и параметры защиты. Этот маркер действителен до тех пор, пока пользователь не завершит данную сессию.

При создании пользователя домена могут задаваться такие свой-ства бюджета пользователя, как членство в группах, профиль поль-зователя, домашний каталог, сценарий входа; полное доменное имя пользователя и дополнительные сведения, параметры ограничения длительности соединения с системой и т. д.

При создании пользователь домена Windows по умолчанию по-падает в группу Domain Users. Именно как член этой группы поль-зователь домена получает право сетевого входа. Для управления бюджетами пользователей используется оснастка Active Directory.

При создании локальной учетной записи Windows 7 создает ее только в локальной базе данных безопасности и не тиражирует ее на какой- либо другой компьютер. Доступ для этого бюджета возможен только к ресурсам данного компьютера.

Локальные учетные записи создаются на Windows, выполняющих функции рабочих станций в доменах, и на изолированных серверах. При создании локальных пользователей задаются следующие свой-ства: имя пользователя, полное имя, описание, задать пароль, смена пароля при каждом входе, можно ли вообще менять пароль, бессроч-ный ли бюджет пользователя, возможность блокирования бюджета.

При создании на рабочей станции пользователь автоматически попадает в локальную группу Users. Именно как член этой группы пользователь получает право локального входа. К встроенным учет-ным записям относятся Guest и Administrator. Учетная запись Guest предназначена для случайных пользователей и временного доступа к ресурсам. По умолчанию учетная запись Guest отключена, при ее включении необходимо назначить ей соответствующий пароль. Учетная запись Administrator предназначена для управления ресур-сами компьютера.

18.4. права пользователей и групп

Права (rights) дают возможность пользователям выполнять систем-ную задачу, например, создавать новых пользователей или изменять системное время.

Некоторые права пользователь может только унаследовать, как член встроенной локальной группы: создание и удаление новых

ФГБО

У ВПО



У ВПО



223

пользователей и групп, создание ресурсов общего доступа, управ-ления и т. д.

Наследуемые права, предназначенные для управления ресурсами, присущи только встроенным локальным группам. На контроллерах домена выделяются следующие встроенные локальные группы, права которых для управления ресурсами пользователь наследует: Операторы сервера, Операторы бюджетов, Операторы печати и Ад-министраторы.

На рабочих станциях и серверах приложений для управления ре-сурсами используется только группа Администраторы. Другие права можно получить через прямое назначение. К часто назначаемым пра-вам относятся: сетевой вход, локальный вход, архивирование файлов и каталогов, восстановление файлов и каталогов, добавление рабочих станций к домену, завершение работы системы, загрузка и выгрузка драйверов, овладение объектами, принудительное удаленное завер-шение, управление аудитом и журналом безопасности и т. д.

На контроллерах домена назначение прав осуществляется с по-мощью оснастки Локальная политика безопасности Active Directory. На рабочих станциях Windows 7 используется оснастка Локальные пользователи и группы.

18.5. Файловые системы

Файловая система — один из самых важных компонентов сети. В первую очередь сеть создается для разделения данных, и от того, каким образом организованы эти данные, зависят и производитель-ность всей системы, и надежность, и устойчивость функционирова-ния. ОС Windows предполагает использование нескольких файловых систем, например, FAT32 (File Allocate Table) и NTFS 5.0 (NT File System).

FAT 32 эффективно использует дисковое пространство, посколь-ку даже при разделе в 8 Гбайт может использовать размер кластера 4 Кбайт. В системе можно перемещать корневой каталог и исполь-зовать резервную копию FAT, зеркальное копирование можно от-ключить для повышения производительности системы.

Расширенная загрузочная запись содержит копии критических структур данных, например сведения о таблице разделов, что по-вышает отказоустойчивость системы. Размер создаваемого тома под Windows 7 не может превышать 32 Гбайт, но разрешается мон-тировать тома большего раздела, созданные в другой ОС, например Windows 98.

При файловой системе NTFS 5.0 в начале диска находится за-грузочный сектор, который содержит информацию BIOS о структуре тома и файловой системе, и код местоположения системных файлов для загрузки. В загрузочном секторе существует таблица MFT (Master

ФГБО

У ВПО



У ВПО



224

File Table), которая содержит информацию о файлах в своих записях и метаданные; следом идет зеркальная копия MFT.

Записи о файлах размещаются в двух килобайтных элементах, из которых 512 байт отводится на имя файла и расширенный список атрибутов, а остальное — на данные. Короткие файлы помещаются в элемент целиком, а большие располагаются на диске с помощью ссылочных механизмов типа B- деревьев. Каждый файл представлен своим именем, размером, датой и временем создания, правами до-ступа и его содержимым.

Если файл содержит слишком много атрибутов или сильно фраг-ментирован, то может понадобиться больше, чем одна запись. Тогда первая запись о файле (базовая) содержит ссылку на внешнее храни-лище данных, где хранятся остальные записи о файле. MFT содер-жит информацию о себе самой, первые 16 записей под метаданные, которые используются для реализации структуры файловой системы. Если страдает первая запись MFT, то файловая система считывает вторую, чтобы найти дубликат MFT. В конце раздела всегда есть дубликат загрузочного сектора. По сравнению с NTFS 4.0, NTFS 5.0 обладает следующими дополнительными возможностями:

возможность квотирования дисков, т. е. выделять каждому поль-••зователю максимально возможный размер дискового пространства, за пределы которого он выйти не может;

возможность сжатия отдельных файлов и папок на разделе;••возможность шифрования файлов с помощью EFS (Encrypting ••

File System) на основе алгоритма открытого ключа.

18.6. управление дисками

Жесткий диск Windows 2003 можно разбить от 1 до 32 логических дисков. Файловая система NTFS 5.0 может поддерживать множество схем разбиения жесткого диска на разделы. Один диск может со-держать до четырех основных разделов или 1 — 3 основных и 1 до-полнительный. Дополнительный раздел разбивается на несколько логических дисков, но общее количество на любом жестком диске под управлением Windows 2003 не может превышать 32.

Существуют следующие способы организации дисков:тома (Volumes);1) чередование дисков (Disk Striping);2) зеркалирование дисков (Disk Mirrowing);3) дуплексирование дисков (Disk Duplexing).4) чередование дисков с контролем четности (Disk Striping 5)

withparity).Четыре последних способа организации разделов Windows пред-

ставляют собой программные реализации RAID (Redundant Array of Inexpensive Disks).

ФГБО

У ВПО



У ВПО



225

В том входят один (FAT 32) или несколько разделов (NTFS) диска. Тома не обеспечивают устойчивости к ошибкам. Если какой- либо из разделов или дисков будет поврежден, то все данные тома будут потеряны.

В результате чередования дисков (Disk Striping) получается набор, состоящий из нескольких разделов одинакового размера, которые хранятся на разных физических дисках. Данные в этом случае запи-сываются порциями по 64 Кбайт последовательно на разные диски: 1, 2, 3, 1, 2, 3 и т. д. Минимальное количество дисков — два. Файловые системы могут быть как FAT 32, так и NTFS.

Чередование дисков не обеспечивает устойчивости к ошибкам. Если какой- либо из разделов будет поврежден, то все данные будут потеряны. Загрузочные и системные разделы не могут входить в со-став чередующегося набора.

В зеркалировании дисков должно участвовать два физических. При этом устанавливается отражение одного раздела на другой. При использовании одного контроллера диска метод называется зеркалированием (Disk Mirroring), двух контроллеров — дуплекси-рованием (Disk Duplexing). В силу особенностей процесса загрузки ОС Windows, это единственный способ резервирования системных и загрузочных разделов.

Для чередования дисков с контролем четности (Disk Striping with-parity) необходимо не менее трех физических дисков. Данные запи-сываются последовательно, как при простом чередовании, но одна из порций содержит код контроля четности, а не данные. В случае потери одного из дисков данные восстанавливаются по коду четности.

Возможность восстановления данных требует определенной из-быточности. При чередовании N дисков с контролем четности 1/N отводится под код четности. Сравнительный анализ систем управле-ния дисками приведен в табл. 18.5.

Т а б л и ц а 18.5. сравнительный анализ систем управления дисками

Способ организации дисков Уровень RAIDОбеспечение производи-тельности

Обеспечение безопасности

Тома — Да Нет

Чередование дисков RAID 0

Зеркалирование RAID 1 Нет Да

Дуплексирование RAID 1

Чередование дисков с кон-тролем четности

RAID 5 Да

ФГБО

У ВПО



У ВПО



226

18.7. разделяемые папки и встроенные средства безопасности

Общий доступ к папке устанавливается через вкладку Доступ/Раз-решения (рис. 18.5). Эти разрешения выполняются только для членов системной группы Net Work. Для всех остальных пользователей по умолчанию выполняется Full Control.

Общие папки могут содержать данные, программное обеспечение, различные приложения. Каждый вид информации требует своего на-бора разрешений к ней. К общей папке можно не только разрешать доступ, но и запрещать его. Для запрета всех видов доступа нужно запретить разрешение Full Control (Полный доступ) для группы Everyone (Все).

Доступ к общей папке регламентируется следующим образом (табл. 18.6):

разрешения устанавливаются только для папок, но не для 1) файлов;

это единственная защита ресурсов для систем FAT;2) установленные разрешения распространяются только на тех 3)

пользователей, которые получают к ней доступ по сети, для локаль-ных пользователей эти разрешения прозрачны;

по умолчанию при создании разделяемой папки для нее уста-4) навливаются полномочия Чтение для группы Everyone (Все).

Рис. 18.5. Назначение прав локальным пользователям

ФГБО

У ВПО



У ВПО



227

Т а б л и ц а 18.6. разрешения общего доступа

Разрешения Описание

Чтение (Read) Просмотр списка файлов и папок, содер-жания файлов и их атрибутов, запуск про-грамм и изменение папки внутри общей

Изменение (Change) Создание папок, добавление к ним файлов, изменение содержимого и атрибутов фай-лов, удаление папок и файлов, выполнение действий Read

Полный доступ (Full Control) Все права, включая изменение разрешений на папки, захват права владения и выпол-нение действий Change

Полномочия доступа NTFS устанавливаются по вкладке Безопас-ность. Эти полномочия выполняются для всех пользователей.

С помощью опции Дополнительно можно получить информацию о параметрах управления доступом, где можно установить или от-менить дополнительные разрешения. По умолчанию при создании папки для нее устанавливаются Чтение разрешения для группы Everyone (Все). При перемещении файловых объектов в пределах одного раздела NTFS 5.0 установленные полномочия сохраняются. При создании, копировании, перемещении из одного раздела NTFS в другой наследуются полномочия родительской папки. Полномочия для папок и файлов приведены в табл. 18.7 и 18.8 соответственно.

Т а б л и ц а 18.7. перечень разрешений NTFS

Разрешение Описание

Обзор папок / Выполнение файлов

«Обзор папок» разрешает или запрещает перемещение по структуре папок в поисках других файлов или папок, даже если пользо-ватель не обладает разрешением на доступ к просматриваемым папкам. Разрешение на обзор папок действительно только в том слу-чае, если группа или пользователь не облада-ет правом «Обход перекрестной проверки», устанавливаемым на консоли управления групповой политикой. «Выполнение файлов» разрешает или запрещает запуск программ (применимо только к файлам). Разрешение «Обзор папок» для папки не устанавливает разрешение «Выполнение файлов» для всех файлов в этой папке автоматически

ФГБО

У ВПО



У ВПО



228


Содержание папки / Чтение данных

«Чтение данных» разрешает или запрещает чтение данных, содержащихся в файлах (при-менимо только к файлам)

Чтение атрибутов Разрешает или запрещает просмотр атрибутов файла или папки, таких как «Только чтение» и «Скрытый». Атрибуты определяются фай-ловой системой NTFS

Чтение дополнительных атрибутов

Разрешает или запрещает просмотр дополни-тельных атрибутов файла или папки. Допол-нительные атрибуты определяются програм-мами и зависят от них

Создание файлов / Запись данных

«Создание файлов» разрешает или запрещает создание файлов в папке (применимо только к папкам)

«Запись данных» разрешает или запрещает внесение изменений в файл и запись поверх имеющегося содержимого (применимо толь-ко к файлам)

Создание папок / Добавле-ние данных

«Дозапись данных» разрешает или запрещает внесение данных в конец файла, но не из-менение, удаление или замену имеющихся данных (применимо только к файлам)

Запись атрибутов Разрешает или запрещает смену таких атри-бутов файла или папки, как «Только чтение» и «Скрытый». Атрибуты определяются фай-ловой системой NTFS.Разрешение «Запись атрибутов» не подразу-мевает права на создание или удаление фай-лов или папок: разрешается только вносить изменения в их атрибуты

Запись дополнительных атрибутов

Разрешает или запрещает смену дополнитель-ных атрибутов файла или папки. Дополни-тельные атрибуты определяются программами и зависят от них.Разрешение «Запись дополнительных атрибу-тов» не подразумевает права на создание или удаление файлов или папок: разрешается только вносить изменения в их атрибуты

Продолжение табл. 18.7

ФГБО

У ВПО



У ВПО



229


Удаление подпапок и фай-лов

Разрешает или запрещает удаление подпапок и файлов, даже при отсутствии разрешения «Удаление»

Удалить Разрешает или запрещает удаление файла или папки. Если для файла или папки отсутству-ет разрешение «Удаление», объект все же можно удалить при наличии разрешения «Удаление подпапок и файлов» для родитель-ской папки

Чтение разрешений Разрешает или запрещает чтение разрешений на доступ к файлу или папке, таких как «Пол-ный доступ», «Чтение» и «Запись»

Смена разрешений Разрешает или запрещает чтение разрешений на доступ к файлу или папке, таких как «Пол-ный доступ», «Чтение» и «Запись»

Смена владельца Разрешает или запрещает возможность стать владельцем файла или папки. Владелец файла или папки всегда может изменить разрешения на доступ к ним независимо от любых раз-решений, защищающих этот файл или папку

Синхронизация Разрешает или запрещает ожидание различ-ными потоками файлов или папок и синхро-низацию с другим потоком, который может подавать сигнал об этом. Это разрешение применимо только к программам, выполняе-мым в многопоточном режиме с несколькими процессами

По умолчанию группа «Все» наделена правом Обход перекрестной проверки (применимо только к папкам).

Для того чтобы пользователь получил доступ к ресурсу, в ACL этого ресурса должна присутствовать запись управления доступом для его учетной записи или группы, членом которой он является. Если запись отсутствует, то пользователь не сможет обратиться к ресурсу.

Каждой учетной записи пользователя и каждой группе, где он на-ходится, можно назначить несколько разрешений. Чтобы определить, какие разрешения действуют, нужно руководствоваться следующими правилами:


ФГБО

У ВПО



У ВПО



230

Т а б л и ц а 18.8. доступ к файлам и папкам

Особые разрешения

Пол

ны

й

дост

уп

Изм

енен

ие

Чте

ни

е и

вы

пол

не-

ни

е

Сп

исо

к

соде

ржи

мог

о п

апк

и

Чте

ни

е

Зап

ись

Обзор папок / Выполнение файлов

+ + + +

Содержание папки / Чтение данных

+ + + + +

Чтение атрибутов + + + + +

Чтение дополнитель-ных атрибутов

+ + + + +

Создание файлов / Запись данных

+ + +

Создание папок / Дозапись данных

+ + +

Запись атрибутов + + +

Запись дополнитель-ных атрибутов

+ + +

Удаление подпапок и файлов

+

Удаление + +

Чтение разрешений + + + + + +

Смена разрешений +

Смена владельца +

Синхронизация + + + + + +

разрешения NTFS суммируются; сумма разрешений пользова-1) теля и всех групп, в которых он находится, называется эффектив-ными разрешениями доступа;

разрешения файлов приоритетнее разрешений папок;2) отмена перекрывает другие разрешения;3) по умолчанию разрешения родительской папки наследуются 4)

на содержащиеся в ней подпапки и файлы, а также на вновь созда-ваемые подпапки и файлы;

наследование разрешений можно предотвратить.5)

ФГБО

У ВПО



У ВПО



231

Назначить или сменить разрешения доступа к ресурсу могут только администраторы, пользователи с типом доступа [Full Control] или владельцы файлов и папок. Заблокировать наследования можно установкой опции «Заменить разрешения заданными здесь разреше-ниями на дочерние объекты».

Windows 7 автоматически создает общие административные скры-тые ресурсы на каждом компьютере, к которым можно получить до-ступ по сети. Обозначаются эти ресурсы знаком «$» и используются для удаленного администрирования. К ним относятся корневые папки C$, D$ и главная системная папка Admin$, соответствующая C\Win.

После установки первого сетевого принтера становится доступна папка Print$ для доступа к драйверам принтера из директории System root\System32\Spool\Drivers.

Скрытым общим ресурсом могут быть не только те папки, ко-торые рассмотрены выше. Добавление знака «$» к имени любой общей папки делает ее скрытой. После этого к ней могут обратиться только те пользователи, которые знают ее имя и имеют разрешения на доступ.

18.8. сетевая печать

В сетях Windows 7 используются печатающие устройства, под-ключенные к рабочим станциям, серверам, контроллерам доменов, принтеры с сетевыми интерфейсами. Все эти способы подключения позволяют разделять ресурсы печати всеми пользователями сети.

Логический принтер — программный интерфейс Windows между ОС и принтером на сервере печати. Этот программный интерфейс определяет порядок обработки задания и его маршрут (в локальный или сетевой принтер, в файл или на удаленный ресурс печати). До непосредственной отправки на принтер печатаемый документ по-мещается в очередь логического принтера.

Печатающее устройство — устройство, физически выполняющее печать, выводящее текст и изображения на бумагу или другие мате-риалы (лазерный или матричный принтер).

Создание, удаление и модификация объектов печати произво-дится через утилиту Print Manager, доступную через меню Принтеры и факсы, без использования консолей.

Установка общего принтера для локального и сетевого печатающе-го устройства различаются незначительно. Установка принтера произ-водится программным компонентом «Мастер установки принтера».

На первом шаге необходимо выбрать опцию «Локальный прин-тер» и «Автоматическое определение и установка принтера Plug and Play» для того, чтобы Windows XP могла автоматически обнаружить и установить PnP принтер. Если принтер нельзя установить авто-

ФГБО

У ВПО



У ВПО



232

матически, то на втором шаге необходимо указать порт, к которому подсоединено печатающее устройство. Затем необходимо выбрать из соответствующего списка изготовителя печатающего устройства и его модель для установки на сервер печати требуемого драйвера.

На следующем шаге задается имя принтера и, при необходимости, определение его как принтера по умолчанию для всех приложений. Обратите внимание, что если имя принтера соответствует прави-лам 8 + 3 DOS, то оно воспринимается всеми сетевыми клиентами. В противном случае у некоторых сетевых клиентов могут возникнуть сложности.

Затем устанавливается опция «Имя общего ресурса» для организа-ции общего доступа к принтеру. Кроме этого, можно указать место-положение данного устройства печати, дать некоторый комментарий и напечатать пробную страницу.

Разрешения доступа к объекту принтер могут быть установлены следующим образом:

печать — право на печать и управлять своими документами, ••«чужие» только видеть;

управление документами — право управлять всеми документа-••ми данного принтера;

управление принтерами — право на печать, управление, изме-••нение опекунов, установка драйверов.

Параметр «Особые разрешения» используется для установления дополнительных возможностей системы безопасности (смена вла-дельца и т. д.).

Разрешения доступа можно как назначить, так и запретить. Бло-кирование разрешений имеет наивысший приоритет. Если запретить Manage Document группе Everyone, то управлять документами не смогут все пользователи, чтобы им не было предоставлено допол-нительно. Такие ограничения связаны с тем, что все пользователи входят в группу Everyone. Возможности по печати, управлению до-кументами и принтерами представлены в табл. 18.9.

Т а б л и ц а 18.9. возможности полномочий доступа

Возможности ПечатьУправление

документамиУправление принтерами

Печать документов + + +

Приостановка, возобновле-ние, повтор и отмена печа-ти своего документа

+ + +

Подключение к принтеру + + +

Управление заданиями пе-чати для всех документов

+ +

ФГБО

У ВПО



У ВПО



233

Возможности ПечатьУправление

документамиУправление принтерами

Приостановка, возобновле-ние, повтор и отмена печа-ти документов других поль-зователей

+ +

Отмена печати всех доку-ментов

+

Совместное использование принтера

+

Изменение свойства принтера

+

Удаление принтера +

Изменение разрешений +

По умолчанию при создании нового принтера присваиваются разрешения:

печать — группе ВСЕ;••управление документами — группе СОЗДАТЕЛЬ-•• ВЛАДЕЛЕЦ;управление принтерами — группам Администраторы, Операто-••

ры печати, Операторы сервера, Опытные пользователи.Windows 2003 позволяет управлять документами: приостанавли-

вать, возобновлять, повторять и отменять документ при необходимо-сти. Кроме указанных возможностей по управлению документами, возможно настроить уведомления, время печати и приоритет.

При сетевой печати в Windows используется три схемы взаимо-действия принтеров и устройств печати:

один к одному (один принтер — одно устройство печати);1) один ко многим (один принтер — несколько однотипных 2)

устройств печати);многие к одному (несколько принтеров — одно устройство 3)

печати).Схема «один ко многим» (один принтер — несколько однотипных

устройств печати) называется пул принтеров (опрос принтеров). При пуле принтеров один логический принтер управляет сразу нескольки-ми однотипными физическими устройствами и обслуживает задания, стоящие в очереди на печать, по принципу FIFO.

Схема «многие к одному» (несколько принтеров — одно устрой-ство печати) означает, что физическим устройством управляют не-сколько логических принтеров. В этом случае для управления исполь-


ФГБО

У ВПО



У ВПО



234

зуются дополнительные опции печати в виде настройки приоритетов и интервала доступности (рис. 18.6).


Рассмотрим решение нескольких задач.Пользователь Джим является членом следующих групп: Бухгал-1.

терия, Менеджеры и Операторы печати и для общего ресурса Sales Feb эти группы имеют следующие разрешения:

бухгалтерия: Изменение[Change];••менеджеры: Чтение[Read];••операторы печати: Полный доступ [Full Control].••

Какие разрешения у Джима?После логического сложения полномочий по группам, разрешения

пользователя Джима будут Полный доступ [Full Control] .Джим является членом группы Бухгалтерия, Менеджеры и Опе-2.

раторы печати; кроме того, раздраженный начальник добавил его в группу Опасные. Эти группы имеют следующие разрешения на доступ к общему ресурсу Sales Feb:

бухгалтерия: Изменение [Change];••менеджеры: Чтение [Read];••

Рис. 18.6. Дополнительные опции печати

ФГБО

У ВПО



У ВПО



235

операторы печати: Полный доступ [Full Control];••опасные: запрет Полного доступа [Full Control] .••

Какие разрешения у Джима?В этом случае при удаленном доступе к папке прав у Джима не

будет!Как организовать доступ к общей папке Public, исходя из сле-3.

дующих требований:все пользователи группы Domain Users должны иметь возмож-••

ность считывать документы и файлы в этой папке;все пользователи группы Domain Users должны иметь возмож-••

ность создавать документы в этой папке;все пользователи группы Domain Users должны иметь возмож-••

ность изменять содержание, свойства и разрешения только своих документов.

Для решения задачи нужно создать новую папку Board, через вкладку Свойства/Доступ сделать ее общедоступной. Используя вкладку Свойства:/Безопасность, удалить группу из списка опекунов Everyone (Все), добавив группу Domain Users (Пользователи домена) в список опекунов с разрешениями Запись [Write]. Затем нужно добавить группу CREATOROWNER (Создатель- владелец) в список опекунов с разрешениями Полный доступ [Full Control].

Вашим принтером пользуются сотрудники из доменов А, В и 4. С. Пользователи домена С работают с очень длинными документами и не дают возможность для других печатать что- либо. Эти документы, как правило, бывают нужны только на следующий день. Как нужно поступить для организации нормальной работы?

Для решения задачи необходимо создать логический принтер специально для С, задать ему часы работы после окончания рабочего дня, например с 18.00 до 8.00; затем назначить права доступа Печать для группы Domain Users (Domain C) на этот принтер, удалив группу Все из списка пользователей. Создать еще один логический принтер для всех остальных пользователей и установить для глобальных групп Domain Users соответствующих доменов право Печать, удалив группу Все из списка пользователей. Для обоих логических принтеров уста-навливается один и тот же порт, так как речь идет об одном и том же физическом устройстве, подключенном к компьютеру!

У вашего отдела очень капризный босс. Когда он появляется на 5. рабочем месте, все работники сразу начинают срочно выполнять его поручения, оставляя все другие дела: быстро пишутся и печатаются разнообразные проекты, которые сразу переделываются и отправ-ляются на печать снова и снова… После отъезда босса нормальная работа возобновляется. Каким образом нужно организовать обслу-живание единственного принтера вашего отдела?

Для работы в таком «рваном» ритме необходимо создать еще один логический принтер специально для босса и установить ему наивысший приоритет — 99, сделав этот принтер всегда доступным,

ФГБО

У ВПО



У ВПО



и назначить права доступа Печать только для пользователя Босс на этот принтер, удалив группу Все из списка пользователей. Приоритет остальных логических принтеров должен быть меньшим, чем 99.


Вам нужно получить доступ к файлу VENDORS. TXT, который находится 1. в только что созданном общем каталоге \\Sales\Documents домена Sales. Вы — член группы Маркетинг домена Sales. Какие дополнительные уста-новки должны быть указаны, чтобы вы могли получить доступ на чтение к файлу VENDORS. TXT?В папке OLD, где пользователь имеет разрешения [Read], он нашел файл 2. с именем file.txt и переместил его в папку NEW, где его разрешения — Из-менения [Modify]. Какие разрешения на этот файл имеет пользователь, если обе папки находятся на одном и том же разделе NTFS?Вам нужно организовать доступ к личным почтовым ящикам US1, US2 3. и US3 для членов группы пользователей DELEGATESUSER1, USER2 и USER3 домена IT_DOMAIN. В своих личных почтовых ящиках поль-зователи должны иметь возможность управлять документами, а в чужих — только помещать новые письма, не видя содержимого ящика. Каким образом это можно сделать?Войдя в сеть под именем User1 в папке OLD, вы нашли файл с именем 4. file.txt, который был создан администратором, и скопировали его в папку NEW. Кто является владельцем этого файла, если обе папки находятся на одном и том же разделе NTFS?Вам нужно организовать доступ к общей папке BOARD, используемой 5. как публичная доска объявлений для группы пользователей DELEGATES домена IT_DOMAIN. Пользователи этой группы должны просматривать список объявлений, читать все объявления (файлы) на этой доске, в любой момент помещать свои собственные объявления на доску, не иметь воз-можности удалять эти объявления после их публикации на доске. Какие полномочия на доступ NTFS 5.0 должны быть у группы Delegates?В дереве доменов cyber.mephi.ru все домены работают под управлением 6. Windows 2003. Вам необходимо создать группу привилегированных поль-зователей, которые могут управлять ресурсами и учетными записями каждого домена. Как это можно сделать?

ФГБО

У ВПО



У ВПО



237

Гл а в а 19

ГруппОвые пОлитиКи

В терминах Майкрософт групповой политикой называется инфраструктура, которая позволяет создавать различные конфи-гурации для пользователей и компьютеров. Объекты групповой политики (GPO), связанные с сайтами, доменами и организацион-ными единицами- контейнерами службы каталогов Active Directory, содержат параметры групповой политики. Настройки групповой политики применяются к целевым объектам в соответствии с ие-рархией Active Directory.

Впервые групповые политики были использованы в ОС Windows 2000 и включали в себя около 900 настроек для пользователей и ком-пьютеров, которые могли в полной мере применяться к компьютерам, входящим в состав домена. Групповые политики ОС Windows 2000, изначально предназначенные для изменения данных системного реестра, превратились в компонент для изменения параметров кон-фигурации ОС. Система Windows 2000 Server уже позволяет распро-странять объекты групповых политик для компьютеров домена.

Большинство настроек локального компьютера, а также компью-теров, которые входят в состав доменной сети, настраивают с помо-щью групповых политик. Все настройки параметров безопасности, учетных записей, ОС, аудита, системного реестра, установки ПО и другие опции развертываются и обновляются в рамках домена при помощи параметров GPO. Групповые политики являются компонен-том ОС Windows и основываются на нескольких тысячах отдельных параметров.

Снижение производительности работы конечного пользователя из- за ошибок, сложности, несанкционированных приложений — одна из главных издержек при оценке общей стоимости владения (ТСО) в распределенной среде компьютеров. За счет возможности централизованного управления рабочим столом, снижающего TCO, групповая политика позволяет работать более эффективно. С помо-щью групповой политики можно снизить потери производительно-сти, поскольку комбинировать параметры политики и разрешенные действия для пользователей и компьютеров можно в зависимости от опыта и должностных обязанностей пользователя.

ФГБО

У ВПО



У ВПО



238

19.1. Оснастка редактора групповых политик

Различают две категории объектов групповых политик:1) доменные объекты групповых политик, которые используются

для централизованного управления конфигурацией компьютеров и пользователей, входящих в состав домена Active Directory. Эти объ-екты хранятся только на контроллере домена;

2) локальные объекты групповых политик, которые позволяют настраивать конфигурацию локального компьютера, а также всех пользователей, созданных на этом компьютере. Эти объекты хранятся только в локальной системе. Локальные объекты групповых политик могут применяться, даже если компьютер входит в состав домена.

Для управления локальными объектами групповых политик в ОС Windows используется оснастка консоли управления  «Редактор ло-кальной групповой политики» (рис. 19.1).

Данная оснастка позволяет настраивать большинство системных компонентов и приложений. Эту оснастку можно открыть следую-щими способами:

1) нажать на кнопку  «Пуск»  для открытия меню, в поле поиска ввести Редактор локальной групповой политики и открыть при-ложение в найденных результатах;

2) использовать комбинацию клавиш + R для открытия диалога «Выполнить». В диалоговом окне  «Выполнить», в поле «Открыть» ввести gpedit.msc и нажать на кнопку «ОК»;

3) открыть  «Консоль управления MMC». Для этого нажать на кнопку «Пуск», в поле поиска ввести mmc, а затем нажать на кнопку «Enter». Откроется пустая консоль MMC. В меню «Консоль» выбрать команду «Добавить или удалить оснастку» или воспользоваться ком-бинацией клавиш Ctrl + M;

4) в диалоге «Добавление и удаление оснасток» выбрать оснастку «Редактор объектов групповой политики»и нажать на кнопку «До-

Рис. 19.1. Окно редактора локальной групповой политики

ФГБО

У ВПО



У ВПО



239

бавить». В появившемся диалоге «Выбор объекта групповой полити-ки» нажать на кнопку «Обзор» для выбора компьютера или нажать на кнопку «Готово» (по умолчанию установлен объект «Локальный компьютер»). В диалоге «Добавление или удаление оснасток» нажать на кнопку «ОК».

В оснастке редактора локальных объектов групповой политики присутствуют два основных узла:

1) конфигурация компьютера — предназначен для настройки параметров компьютера. В этом узле расположены параметры, кото-рые применяются к компьютеру, невзирая на то, под какой учетной записью пользователь вошел в систему. Эти параметры применя-ются при запуске ОС и обновляются в фоновом режиме каждые 90…120 мин;

2) конфигурация пользователя — предназначен для настроек па-раметров пользователей. Параметры, которые находятся в этом узле, применяются при входе конкретного пользователя в систему. Так же, как и параметры, расположенные в узле конфигурации компьютера, параметры, расположенные в узле конфигурации пользователя об-новляются в фоновом режиме каждые 90… 120 мин.

В основных узлах можно найти по три дочерних узла, при по-мощи которых настраиваются все параметры локальных объектов групповых политик.

В узле конфигурации программ расположено только одно рас-ширение клиентской стороны «Установка программ», благодаря которому можно указать определенную процедуру установки ПО. Расширение клиентской стороны (Client- Side- Extension — CSE) пре-образовывает указанные параметры в объект групповой политики и вносит изменения в конфигурацию пользователя или компьютера. Создавать объекты GPO для развертывания ПО можно только в ОС Windows Server 2008/2008R2.

Узел  «Конфигурация Windows»,  в основном, предназначен для обеспечения безопасности компьютера и учетной записи, для ко-торой применяются данные политики (рис. 19.2). В конфигурации Windows можно найти несколько узлов.

Узел «Политика разрешения имен» предоставляет возможность управлением расширением таблицы политик разрешения имен (NRTP), которая хранит параметры конфигурации для безопасности DNS (DNSSEC). Политика разрешения имен — объект групповой политики, в котором указаны сведения о политике, отображаемые в NRTP. Это расширение стоит настраивать только в том случае, если ваш компьютер входит в состав домена Active Directory. Данная по-литика расположена только в узле «Конфигурация компьютера».

В поле «Центр сертификации» можно указать центр сертифи-кации, который используется для создания цифровых подписей. Можно вводить центр сертификации вручную или выбрать нужный, воспользовавшись кнопкой «Обзор».

ФГБО

У ВПО



У ВПО



240

На вкладке «DNSSEC» можно включить DNSSEC для создавае-мого правила и указать принудительную проверку конфигурации для безопасности DNS, а также выбрать тип шифрования, который будет использоваться для данного правила. Доступные значения: «Без шиф-рования (только целостность)», «Тройной DES (3DES)», «Advanced Encryption Standard (AES)» с длиной ключа 128, 192 или 256 бит, или AES с длиной ключа 192 и 256 бит.

На вкладке «Параметры DNS для прямого доступа» можно указать серверы, которые клиент DNS будет использовать при соответствии указанного имени; прокси- сервер, который будет использоваться для подключения к Интернету; также можно указать тип шифрова-ния для использования IPSec при взаимодействии между клиентом и сервером DNS.

При помощи CSE- расширения «Сценарии» можно указывать по два типа сценариев автозапуска или завершения работы для узлов конфигурации компьютера и пользователя соответственно. В том случае, если вы укажете более одного сценария, то они будут вы-полняться согласно перечню в списке. Время ожидания обработки сценариев — 10 мин. В ОС, предшествующих Windows Server 2008R2 и Windows 7, можно было использовать только языки сценариев ActiveX (Microsoft Visual Basic, Jscript, VBScript, Perl) и пакетные файлы (*.bat, *.cmd). Сейчас появилась возможность использовать сценарии Power Shell.

Узел «Политика безопасности» позволяет настраивать безопас-ность средствами GPO. В этом узле для конфигурации компьютера доступны настройки политик учетных записей, которые позволяют устанавливать политику паролей и блокировки учетных записей, и локальных политик, отвечающих за политику аудита, параметры безопасности и назначения прав пользователя (рис. 19.3).

Брандмауэр Windows в режиме повышенной безопасности (рис. 19.4) позволяет создавать правила входящих и исходящих подклю-чений, а также правила безопасности подключений так же, как и в одноименной оснастке. Отличие состоит лишь в том, что после созда-

Рис. 19.2. Состав узла «Конфигурация Windows»

ФГБО

У ВПО



У ВПО



241

ния правила его настройки нельзя будет изменить, а также в оснастке «Брандмауэр Windows в режиме повышенной безопасности» у вас не будет прав для удаления текущего правила.

Политики диспетчера списка сетей позволяют управлять всеми вашими сетевыми профилями. Политики открытого ключа (рис. 19.5) позволяют:

настраивать компьютеры на автоматическую отправку запросов ••в центр сертификации предприятия и установку выдаваемых серти-фикатов;

Рис. 19.3. Состав узла «Параметры безопасности»

Рис. 19.4. Свойства узла «Брандмауэр Windows»

ФГБО

У ВПО



У ВПО



242

создавать и распространять список доверия сертификатов ••(CTL);

добавлять агенты восстановления шифрованных данных и из-••менение параметров политики восстановления шифрованных дан-ных;

добавлять агенты восстановления данных шифрования диска ••Bit Locker.

Политики ограниченного использования программ позволяют осуществлять идентификацию программ и управлять возможностью их выполнения на локальном компьютере, в подразделении, домене и узле. Политики управления приложениями отвечают за создание и управления правилами и свойствами функционала App Locker, который позволяет управлять установкой приложений и сценариев. Политики IP- безопасности на «Локальный компьютер» позволяют создавать политику IP- безопасности локального компьютера и управ-лять списками IP- фильтров. Конфигурация расширенного аудита предоставляет дополняющие локальные политики, отвечающие за аудит.

В дополнение ко всем этим параметрам безопасности Windows 7 в ОС Windows Server 2008 R2 доступны еще следующие параметры:

журнал событий — позволяет настраивать параметры журналов ••событий приложений, системных событий и событий безопасно-сти;

группы с ограниченным доступом — позволяют включать поль-••зователей в отдельные группы;

системные службы — определяют типы запуска и разрешения ••доступа для системных служб;

реестр — задает разрешения контроля доступа к отдельным ••разделам системного реестра;

файловая система — определяет разрешения контроля доступа ••для файлов и папок NTFS;

политики проводной сети (IEEE 802.3) — управляют настрой-••ками проводных сетей;

Рис. 19.5. Состав узла «Политики открытого ключа»

ФГБО

У ВПО



У ВПО



243

политики беспроводной сети (IEEE 802.11) — управляют на-••стройками беспроводных сетей;

Network Access Protection — позволяют создавать политики за-••щиты сетевого доступа.

Узел «QoS на основе политики» определяет политики, управляю-щие сетевым трафиком, которые позволяют настраивать проводные сети. Параметры QoS на основе политик позволяют настраивать приоритеты и управлять скоростью передачи для исходящего трафика на основе таких факторов, как:

отправляющее приложение;••URL-•• адрес;исходные или конечные адреса или префиксы адресов IPv4 ••

и IPv6;исходные или конечные порты или диапазоны портов протоко-••

лов TCP и UDP;протоколы TCP или UDP.••

Узел «Развернутые принтеры» применяют в случае, если принтер используется совместно в закрытой среде, такой как школа, где все компьютеры в аудитории или офисе должны иметь доступ к одному принтеру или когда пользователю при перемещении в другое место-положение необходимо автоматическое подключение принтера.

Настройки Internet Explorer используются для настройки внешнего вида браузера и его функций для применения стандартов организа-ции, связанных с Интернетом, а также, чтобы предоставить пользо-вателям общий интерфейс браузера. При помощи этого функционала можно настраивать заголовки браузера, панели инструментов, строки User- Agent, зон безопасности, оценки содержимого и многое другое. В узле «Конфигурация Windows» ОС Windows Server 2008 R2 можно найти узел «Перенаправленные папки», которые позволяют менять местоположение специальных папок внутри профиля пользователя на новое, например на место в общем сетевом ресурсе.

19.2. административные шаблоны

Узел «Административные шаблоны» (рис. 19.6) — крупнейший из всех возможных расширений групповой политики и включает тысячи параметров для приложений и компонентов ОС Windows. Каждому параметру политики административных шаблонов соот-ветствует определенный параметр системного реестра. Политики в узле «Административные шаблоны» конфигурации компьютера изменяют значения реестра в ключе HKEY_LOCAL_MACHINE (или просто HKLM), а политики в узле «Административные шаблоны» конфигурации пользователя — HKEY_CURRENT_USER (HKCU). В некоторых литературных источниках административные шаблоны называют политики на основе реестра.

ФГБО

У ВПО



У ВПО



244

Системным администраторам узел «Административные шаблоны» предоставляет возможности динамического управления ОС. Несмо-тря на то, что администратору требуется много времени на настройку этого узла, все изменения, примененные при помощи групповых политик, невозможно будет изменить средствами пользовательского интерфейса.

Административные шаблоны ОС Windows 7 и Windows Server 2008 R2 в настоящее время поддерживают мультистроковые значения (REG_MULTI_SZ) и значения реестра QWORD, что значительно расширяет возможности групповой политики. Благодаря этим но-вовведениям можно применять административные шаблоны для управления тех приложений, которые используют в реестре зна-чения типа REG_MULTI_SZ и QWORD. Возникает вопрос, в чем же могут быть преимущества этих двух типов значений реестра по сравнению с параметрами политики административных шаблонов предшествующих ОС?

При помощи типа значений реестра QWORD можно изменять пара-метры политики административных шаблонов для 64-разрядных при-ложений, а при помощи значений реестра REG_MULTI_SZ — вводить несколько строк текста, добавлять новые позиции строки, выбирать одну или несколько записей, а также удалять выбранные записи.

Большинство настроек политик административных шаблонов располагаются в следующих разделах системного реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\policies — конфигура-••ция компьютера;

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\••CurrentVersion\policies — конфигурация компьютера;

HKEY_CURRENT_USER\SOFTWARE\policies — конфигурация ••пользователя;

HKEY_ CURRENT_USER\SOFTWARE\Microsoft\Windows\••CurrentVersion\policies — конфигурация пользователя.

В операционных системах Windows 7 и Windows Server 2008 R2 диалоговое окно параметров политики административных шабло-

Рис. 19.6.Состав узла «Административные шаблоны»

ФГБО

У ВПО



У ВПО



245

нов значительно изменилось. В предыдущих ОС это диалоговое окно содержало три вкладки: «Параметр», где можно было вклю-чать или отключать настройки выбранной политики; «Объясне-ние» — вкладка, предназначенная для отображения справочной информации;»Комментарий» — вкладка, позволяющая вводить до-полнительную информацию о параметре политики. Теперь все эти настройки присутствуют только на одной вкладке, что избавляет от выполнения лишних действий.

В оснастке «Редактор локальной групповой политики», начиная с ОС Windows Vista и Windows Server 2008, появилось еще одно важное нововведение — фильтрация параметров политики админи-стративных шаблонов. Данные фильтры позволяют выполнять поиск определенных параметров политики на основании:

управляемых, настраиваемых, а также комментируемых пара-••метров политики;

ключевых слов заголовка параметра политики, справки или ••комментария;

требований к платформе или приложениям.••Фильтрация с использованием свойств может быть реализова-

на при помощи управляемых, настраиваемых параметров, а также комментариев.

Для административных шаблонов существуют два вида параметров политики: управляемые и неуправляемые (рис. 19.7). Управляемые параметры политики влияют на тип изменения конфигурации при применении параметра объектов групповой политики. Когда поль-зователь или компьютер больше не подпадает под область действия объекта GPO, конфигурация автоматически возвращается в со-стояние по умолчанию. Неуправляемые параметры политики вносят постоянные изменения в реестр. Если объект групповой политики больше не применяется, изменение параметра остается в реестре. По-

другому это изменение называется татуировкой реестра. Все поли-тики являются постоянными и не удаляются даже в том случае, если выберите один любой из этих видов параметров политики. Фильтр

Рис. 19.7. Параметры узла «Административные шаблоны»

ФГБО

У ВПО



У ВПО



246

по управляемым параметрам может быть в одном из трех состояний: «Любой», «Да», «Нет».

При указании значения «Любой» в редакторе локальной групповой политики отображаются все параметры политики административных шаблонов; при указании значения «Да» — только управляемые пара-метры политики административных шаблонов, а все неуправляемые параметры будут скрыты; при указании значения «Нет» — только неуправляемые параметры политики административных шаблонов, а все управляемые параметры будут скрыты.

У всех параметров политики административных шаблонов может быть только одно из трех возможных состояний: «Не задано», «Вклю-чить» и «Отключить».

«Не задано» — состояние, которое применяется по умолчанию для всех параметров политики. Параметры политики в состоянии «Не задано» не влияют на пользователей или компьютеры. Включение параметра политики административных шаблонов задействует па-раметр политики. «Включить» — состояние, указывающее на то, что действие, применяемое в данном параметре политики, должно при-меняться к компьютеру или пользователю. «Отключить» — состояние, указывающее на то, что действие, применяемое в данном параметре политики, не должно применяться к компьютеру или пользователю. Фильтр может быть в одном из трех состояний: «Любой», «Да», «Нет». При указании значения «Любые» в редакторе локальной групповой политики отображаются все параметры политики административных шаблонов. Это значение является параметром по умолчанию для данного фильтра; при указании значения «Да» — только настроенные параметры политики административных шаблонов, а все ненастроен-ные параметры будут скрыты; при указании значения «Нет» — только ненастроенные параметры политики административных шаблонов, а все настроенные параметры будут скрыты.

Поиск и фильтрация также может выполняться на основе коммен-тариев политики. Как говорилось выше, в параметры политики адми-нистративных шаблонов можно добавлять комментарии (обычно они выполняются с целью документирования выполняемого действия). Фильтр может быть в одном из трех состояний: «Любой», «Да», «Нет». При указании значения «Любые» в редакторе локальной групповой политики отображаются все параметры политики административных шаблонов. Это значение является параметром по умолчанию для данного фильтра; при указании значения «Да» — только прокоммен-тированные параметры политики административных шаблонов, а все параметры без комментариев будут скрыты; при указании значения «Нет» — только параметры политики административных шаблонов, не имеющие комментариев, а все параметры с комментариями будут скрыты.

Кроме перечисленных выше фильтров можно создавать фильтр на основании ключевых слов. Ключевыми словами могут быть заголовки

ФГБО

У ВПО



У ВПО



247

параметров политики административных шаблонов, текст, который отображается в справочной информации к параметру политики, а также комментарии, которые добавляются вручную. Для того чтобы выбрать определенное свойство, можно снять флажки с ненужных для параметров. Также можно управлять отображением параметров политики при помощи одного из следующих фильтров:

«Любой» — содержит любое слово, находящееся в текстовом ••поле «Фильтры по словам»;

«Все» — содержит все слова, находящиеся в текстовом поле ••«Фильтры по словам»;

«Точное» — содержит точное соответствие слов, находящихся ••в текстовом поле «Фильтры по словам».

В оснастке «Редактор локальной групповой политики» существует еще способ фильтрации параметров политики — «Фильтрация по требованию». При помощи такого фильтра можно отобразить параме-тры, соответствующие всем выбранным платформам, или параметры, соответствующие любым из выбранных платформ. По требованию «Включить параметры, соответствующие любым из выбранных платформ», отображаются параметры политики административных шаблонов, которые соответствуют любому из элементов, выбранных в управляемом списке. Указав требование «Включить параметры, соответствующие всем выбранным платформам», фильтр отобразит только те параметры, которые соответствуют всем выбранным эле-ментам одновременно.

Кроме того, оснастка «Редактор локальной групповой политики» позволяет добавлять файлы классических административных шабло-нов, т. е. *.adm- файлы, которые не используют формат XML. В опе-рационных системах Windows Server 2008 по умолчанию шаблоны с расширением .adm не используются.

19.3. политика безопасности

Политика безопасности — набор параметров, которые регулиру-ют безопасность компьютера и управляются с помощью локального объекта GPO. Настраивать данные политики можно при помощи оснастки «Редактор локальной групповой политики» или оснастки «Локальная политика безопасности». Оснастка «Локальная политика безопасности» используется для изменения политики учетных за-писей и локальной политики на локальном компьютере, а политики учетных записей, привязанных к домену Active Directory, можно на-страивать при помощи оснастки «Редактор управления групповыми политиками».

В том случае, если компьютер подсоединен к домену Active Directory, политика безопасности определяется политикой домена или политикой подразделения, членом которого является компьютер.

ФГБО

У ВПО



У ВПО



248

При помощи узла «Политика паролей» можно изменять настройки паролей учетных записей пользователей, которые состоят как в до-мене, так и в рабочих группах. В организациях можно применять одинаковые политики паролей для всех пользователей, входящих в домен или только для отдельных групп при помощи оснастки «Консоль управления групповыми политиками». В узле «Политика паролей» можно использовать до шести политик безопасности, при помощи которых можно указать наиболее важные параметры без-опасности, применяемые для управления паролями учетных записей. Настоятельно рекомендуем не игнорировать данные политики. Даже если администратор уговорит своих пользователей использовать сложные пароли, не факт, что они действительно будут это делать. Если правильно настроить все шесть политик безопасности, располо-женных в этом узле, безопасность паролей пользователей организа-ции значительно повысится. Применив все политики, пользователям действительно придется создавать безопасные пароли, в отличие от тех, которые они считают «сложными». Доступны следующие по-литики безопасности:

вести журнал паролей. Насколько не был бы пароль безопасным, злоумышленник рано или поздно сможет его подобрать. Поэтому необходимо периодически изменять пароли учетных записей. При помощи этой политики можно указать количество новых паролей, которые назначаются для учетных записей до повторного использо-вания старого пароля. После того как эта политика будет настроена, контроллер домена будет проверять кэш предыдущих хэш- кодов пользователей, чтобы в качестве нового пароля пользователи не мог-ли использовать старый. Число паролей может варьироваться от 0 до 24, т. е., если в качестве параметра указано число 24, то пользователь сможет использовать старый пароль с 25-го раза;

максимальный срок действия пароля. Эта политика указывает период времени, в течение которого пользователь может использовать свой пароль до последующего изменения. По окончанию установ-ленного срока пользователь обязан изменить свой пароль, так как без изменения пароля войти в систему ему не удастся. Доступные значения могут быть установлены в диапазоне от 0 до 999 дней. Если установлено значения равное 0, срок действия пароля неограничен. В связи с мерами безопасности желательно отказаться от такого выбора. Если значения максимального срока действия пароля ва-рьируется от 1 до 999 дней, значение минимального срока должно быть меньше максимального. Лучше всего использовать значения от 30 до 45 дней.

Минимальная длина пароля. При помощи этой политики можно указать минимальное количество знаков, которое должно содержаться в пароле. Если активировать этот параметр, то при вводе нового паро-ля количество знаков будет сравниваться с тем, которое установлено в этой политике. Если количество знаков будет меньше указанного, то

ФГБО

У ВПО



У ВПО



249

придется изменить пароль в соответствии с политикой безопасности. Можно указать значение политики от 1 до 14 знаков. Оптимальным значением для количества знаков для пароля пользователей является 8, а для серверов от 10 до 12.

Минимальный срок действия пароля. Многие пользователи не хотят утруждать себя запоминанием нового сложного пароля и про-буют сразу при вводе изменить такое количество новых паролей, чтобы использовать свой хорошо известный первоначальный пароль. Для предотвращения подобных действий была разработана текущая политика безопасности. Можно указать минимальное количество дней, в течение которого пользователь должен использовать свой новый пароль. Доступные значения этой политики устанавливаются в диапазоне от 0 до 998 дней. Установив значение равное 0 дней, пользователь сможет изменить пароль сразу после создания нового. Необходимо обратить внимание на то, что минимальный срок дей-ствия нового пароля не должен превышать значение максимального срока действия.

Пароль должен отвечать требованиям сложности. Это одна из самых важных политик паролей, которая отвечает за то, должен ли пароль соответствовать требованиям сложности при создании или изменении пароля. В связи с этими требованиями пароли должны:

содержать буквы верхнего и нижнего регистра одновременно;••содержать цифры от 0 до 9;••содержать символы, которые отличаются от букв и цифр (на-••

пример, !, @, *);не содержать имени учетной записи пользователя или частей ••

полного имени пользователя длиной более двух рядом стоящих зна-ков.

В том случае, если пользователь создал или изменил пароль, который соответствует требованиям, пароль пропускается через ма-тематический алгоритм, преобразовывающий его в хэш- код (также называемый односторонней функцией), рассмотренный в политике «Вести журнал паролей».

Хранить пароли, используя обратимое шифрование. Для того чтобы пароли невозможно было перехватить при помощи приложе-ний, Active Directory хранит только хэш- код. Однако если необхо-дима поддержка приложений, использующих протоколы, которые требуют знание пароля пользователя для проверки подлинности, можно использовать текущую политику. Обратимое шифрование по умолчанию отключено, так как, используя эту политику, уровень безопасности паролей и всего домена в частности значительно пони-жается. Использование этой функции аналогично хранению пароля в открытом виде.

Даже после создания сложного пароля и правильной настройки политик безопасности учетные записи пользователей все еще мо-гут быть подвергнуты атакам недоброжелателей. Например, если

ФГБО

У ВПО



У ВПО



250

установлен минимальный срок действия пароля в 20 дней, у хакера достаточно времени для подбора пароля к учетной записи. Узнать имя учетной записи не является проблемой для хакеров, так как за-частую имена учетных записей пользователей совпадают с именем адреса почтового ящика. А если известно имя, то за две- три недели можно подобрать пароль.

Групповые политики безопасности Windows могут противо-стоять таким действиям, используя набор политик узла «Политика блокировки учетной записи». Данный набор политик предоставляет возможность ограничения количества некорректных попыток входа пользователя в систему. Разумеется, для пользователей это может быть проблемой, так как не у всех получится ввести пароль за ука-занное количество попыток, но при этом безопасность учетных за-писей перейдет на «новый уровень». Для этого узла доступны только три политики:

1) время до сброса счетчиков блокировки. Active Directory и груп-повые политики позволяют автоматически разблокировать учетную запись, количество попыток входа в которую превышает установлен-ное пороговое значение. При помощи этой политики устанавливается количество минут, которые должны пройти после неудачной попытки для автоматической разблокировки. Можно установить значение от 1 до 99 999 мин. Это значение должно быть меньше значения политики «Продолжительность блокировки учетной записи»;

2) пороговое значение блокировки. Используя эту политику, можно указать количество некорректных попыток входа, после чего учетная запись будет заблокирована. Окончание периода блокировки учетной записи задается политикой «Продолжительность блокировки учетной записи» или администратор может разблокировать учетную запись вручную. Количество неудачных попыток входа может варьи-роваться от 0 до 999. Мы рекомендуем устанавливать допустимое количество от трех до семи попыток;

3) продолжительность блокировки учетной записи. При по-мощи этого параметра можно указать время, в течение которого учетная запись будет заблокирована до ее автоматической разблоки-ровки. Можно установить значение от 0 до 99 999 мин. В том случае, если значение этой политики будет равно 0, учетная запись будет заблокирована до тех пор, пока администратор не разблокирует ее вручную. Политика аудита настраивает в системе определенного пользователя и группы аудит активности. Для того чтобы отконфи-гурировать политики аудита, в редакторе управления групповыми политиками нужно открыть узел «Конфигурация компьютера/Конфигурация Windows/Параметры безопасности/Локальные по-литики/Политика аудита». Необходимо помнить, что по умолчанию параметр политики аудита для рабочих станций установлен на «Не определено». В общей сложности, можно настраивать девять по-литик аудита.

ФГБО

У ВПО



У ВПО



251

Так же, как и с остальными политиками безопасности, для настройки аудита нужно определить параметр политики. После двойного нажатия левой кнопкой мыши на любом из параметров установите флажок на опции «Определить следующие параметры политики» и укажите параметры ведения аудита успеха, отказа или обоих типов событий. После настройки политики аудита события будут заноситься в журнал безопасности. Просмотреть эти события можно в журнале безопасности. Рассмотрим подробно каждую по-литику аудита.

Аудит входа в систему. Текущая политика определяет, будет ли ОС пользователя выполнять аудит каждой попытки входа пользо-вателя в систему или выхода из нее. Например, при удачном входе пользователя на компьютер генерируется событие входа учетной записи. События выхода из системы создаются каждый раз, когда завершается сеанс вошедшей в систему учетной записи пользователя. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа в систему.

Аудит доступа к объектам. Данная политика безопасности вы-полняет аудит попыток доступа пользователей к объектам, которые не имеют отношения к Active Directory. К таким объектам можно отнести файлы, папки, принтеры, разделы системного реестра, которые задаются собственными списками в системном списке управления доступом (SACL). Аудит создается только для объектов, для которых указаны списки управления доступом, при условии, что запрашиваемый тип доступа и учетная запись, выполняющая запрос, соответствуют данным спискам.

Аудит  доступа  к  службе  каталогов. При помощи этой поли-тики безопасности можно определить, будет ли выполняться аудит событий, указанных в системном списке контроля доступа (SACL), который можно редактировать в диалоговом окне «Дополнительные параметры безопасности» свойств объекта Active Directory. Аудит создается только для объектов, для которых указан системный список управления доступом, при условии, что запрашиваемый тип доступа и учетная запись, выполняющая запрос, соответствуют параметрам в данном списке. Эта политика в какой- то степени похожа на поли-тику «Аудит доступа к объектам». Аудит успехов означает создание записи аудита при каждом успешном доступе пользователя к объ-екту Active Directory, для которого определена таблица SACL. Аудит отказов означает создание записи аудита при каждой неудачной по-пытке доступа пользователя к объекту Active Directory, для которого определена таблица SACL.

Аудит  изменения  политики. Эта политика аудита указывает, будет ли ОС выполнять аудит каждой попытки изменения политики назначения прав пользователям, аудита, учетной записи или доверия. Аудит успехов означает создание записи аудита при каждом успешном

ФГБО

У ВПО



У ВПО



252

изменении политик назначения прав пользователей, политик ауди-та или политик доверительных отношений. Аудит отказов означает создание записи аудита при каждой неудачной попытке изменения политик назначения прав пользователей, политик аудита или политик доверительных отношений.

Аудит изменения привилегий. Используя эту политику безопас-ности, можно определить, будет ли выполняться аудит использования привилегий и прав пользователей. Аудит успехов означает создание записи аудита для каждого успешного применения права пользова-теля. Аудит отказов означает создание записи аудита для каждого неудачного применения права пользователя.

Аудит  отслеживания  процессов. Текущая политика аудита определяет, будет ли ОС выполнять аудит событий, связанных с про-цессами, такими как создание и завершение процессов, а также активация программ и непрямой доступ к объектам. Аудит успехов означает создание записи аудита для каждого успешного события, связанного с отслеживаемым процессом. Аудит отказов означает создание записи аудита для каждого неудачного события, связанного с отслеживаемым процессом.

Аудит  системных  событий. Данная политика безопасности имеет особую ценность, так как именно при помощи этой политики можно узнать, перегружался ли у пользователя компьютер, превы-сил ли размер журнала безопасности пороговое значение предупре-ждений, была ли потеря отслеженных событий из- за сбоя системы аудита и даже вносились ли изменения, которые могли повлиять на безопасность системы или журнала безопасности вплоть до измене-ния системного времени. Аудит успехов означает создание записи аудита для каждого успешного системного события. Аудит отказов означает создание записи аудита для каждого неудачного завершения системного события.

Аудит  событий  входа  в  систему. При помощи этой политики аудита можно указать, будет ли ОС выполнять аудит каждый раз при проверке данным компьютером учетных данных. При использовании этой политики создается событие для локального и удаленного входа пользователя в систему. Члены домена и компьютеры, не входящие в домен, являются доверенными для своих локальных учетных за-писей. Когда пользователь пытается подключиться к общей папке на сервере, в журнал безопасности записывается событие удаленного входа, причем события выхода из системы не записываются. Аудит успехов означает создание записи аудита для каждой успешной по-пытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа в систему.

Аудит управления учетными записями. Эта последняя политика тоже считается очень важной, так как именно с ее помощью можно определить, необходимо ли выполнять аудит каждого события управ-ления учетными записями на компьютере. В журнал безопасности

ФГБО

У ВПО



У ВПО



253

будут записываться такие действия, как создание, перемещение и отключение учетных записей, а также изменение паролей и групп. Аудит успехов означает создание записи аудита для каждого успешно-го события управления учетными записями. Аудит отказов означает создание записи аудита для каждого неудачного события управления учетными записями.

В доменах Active Directory для проверки подлинности учетных за-писей пользователей и компьютеров домена используется протокол Kerberos. Сразу после аутентификации пользователя или компьютера этот протокол проверяет подлинность указанных реквизитов, а затем выдает особый пакет данных, который называется «Билет предостав-ления билета (Ticket Granting Ticket — TGT)». Перед подключением пользователя к серверу для запроса документа на контроллер домена пересылается запрос вместе с билетом TGT, который идентифицирует пользователя, прошедшего проверку подлинности Kerberos. После этого контроллер домена передает пользователю еще один пакет данных, называемый билетом доступа к службе. Пользователь предо-ставляет билет на доступ службе на сервере, который принимает его как подтверждение прохождения проверки подлинности.

Узел «Политика Kerberos» присутствует только на контроллерах домена. Для управления этим узлом доступны следующие пять по-литик безопасности:

1) максимальная погрешность синхронизации часов компью-тера. Для предотвращения «атак повторной передачи пакетов» существует текущая политика безопасности, которая определяет максимальную разность времени, допускающую Kerberos между временем клиента и временем на контроллере домена для обеспе-чения проверки подлинности. В случае установки данной политики на обоих часах должны быть установлены одинаковые дата и время. Подлинной считается та отметка времени, которая используется на обоих компьютерах, если разница между часами клиентского компьютера и контроллера домена меньше максимальной разницы времени, определенной этой политикой;

2) максимальный срок жизни билета пользователя. При помо-щи текущей политики можно указать максимальный интервал време-ни, в течение которого может быть использован билет представления билета (TGT). По истечении срока действия билета TGT необходимо возобновить существующий билет или запросить новый;

3) максимальный срок жизни билета службы. Используя эту политику безопасности, сервер будет выдавать сообщение об ошиб-ке в том случае, если клиент, запрашивающий подключение к сер-веру, предъявляет просроченный билет сеанса. Можно определить максимальное количество минут, в течение которого полученный билет сеанса разрешается использовать для доступа к конкретной службе. Билеты сеансов применяются только для проверки под-линности на новых подключениях к серверам. После того как под-

ФГБО

У ВПО



У ВПО



ключение пройдет проверку подлинности, срок действия билета теряет смысл;

4) максимальный срок жизни для возобновления билета пользо-вателя. С помощью данной политики можно установить количество дней, в течение которых может быть восстановлен билет предостав-ления билета;

5) принудительные ограничения входа пользователей. Эта по-литика позволяет определить, должен ли центр распределения ключей Kerberos проверять каждый запрос билета сеанса на соответствие политике прав, действующей для учетных записей пользователей.


Для чего используются групповые политики?1. С каким узлом групповой политики связан раздел реестра HKEY_LOCAL_2. MACHINE?С каким узлом групповой политики связан раздел реестра HKEY_3. CURRENT_USER?В каком временном промежутке происходит обновление параметров 4. групповой политики в фоновом режиме?Какие виды политик существуют для административных шаблонов?5. Включение политики «Хранить пароли, используя обратимое шифро-6. вание» приводит к повышению или снижению уровня безопасности на компьютере или корпоративной сети?Пакет данных TGT протокола Kerberos высылается до или после аутенти-7. фикации пользователя?

ФГБО

У ВПО



У ВПО



255

ра з д е л VI

веб- технОлОГии и интернет-

прилОжения

Парадигма распределенных вычислений возникла одновременно с появлением компьютерных сетей. Изначально сетевые приложе-ния имели два компонента: первый — клиентский, инициировал распределенные операции, а второй — серверный, обеспечивал их выполнение. Такая децентрализация распределяла рабочую нагрузку между несколькими системами, что снижало вероятность возник-новения узких мест. Однако двухзвенная архитектура имеет и свои ограничения, обусловленные отказоустойчивостью и масштабируе-мостью. Для решения этих проблем была предложена трехзвенная модель, разделяющая приложения на презентационную часть (про-межуточное звено, содержащее бизнес- логику) и третье звено, не-посредственно связанное с данными. Основой для взаимодействия между распределенными частями приложения этой модели являются вызовы удаленных процедур (RPC).

Чтобы избавить разработчиков трехзвенных приложений от вы-полнения заданий нижнего уровня, например, от преобразования данных или от их побайтового упорядочивания на различных маши-нах, на рынок был выпущено ПО нового уровня. Это промежуточное ПО (middleware) скрывает различия между типами сетевых узлов. Оно размещается над ОС и сетевыми службами, установленными на этих хостах, обслуживая находящиеся на более высоком уровне приложения. Основные подходы к созданию этого ПО реализованы в CORBA, DCOM или RMI, которые в настоящее время являются наиболее популярным ПО этого класса.

Все эти три технологии использования промежуточного ПО ра-ботают по одному схожему сценарию. Их отличия состоят, прежде всего, в разных поддерживаемых возможностях, а также в уровне сложности, но все они приводят к установлению надежного соеди-нения клиента с сервером. При этом устанавливается соединение по принципу «от точки к точке».

Следует отметить, что данное промежуточное ПО обычно исполь-зуется для интранет- приложений и организовать его работу через брандмауэр весьма проблематично. Для подключения к серверу за

ФГБО

У ВПО



У ВПО



256

брандмауэром все эти технологии предусматривают механизм HTTP-

туннелирования.Новая парадигма распределенных вычислений связана с веб-

сервисами. Веб- сервисы — приложения, которые могут быть опу-бликованы, обнаружены и запущены с помощью Интернет. Для вы-полнения своих задач одни веб- сервисы могут использовать другие веб- сервисы. Поэтому различий между веб- сервисом и сервером для распределенного приложения не существует. Отличие лежит глубже, на уровнях, где выполняется логика приложений и происходит об-работка данных. В Интернете, где как на серверной, так и на кли-ентской стороне, могут быть гетерогенные среды, никогда заранее неизвестно, какого типа промежуточное ПО использует каждая из соединяющихся сторон. Поэтому для реализации веб- сервисов ис-пользуется принципиально иной подход.

Гл а в а 20

веб КаК пример архитеКтуры Клиент- сервер

20.1. двухзвенная и трехзвенная архитектура клиент- сервер

Клиент- сервер (Client- server) — вычислительная или сетевая архитектура, в которой задания или сетевая нагрузка распределены между поставщиками услуг (сервисов), называемых серверами, и за-казчиками услуг, называемых клиентами.

Первоначально системы такого уровня базировались на клас-сической двухуровневой клиент- серверной архитектуре (Two- tier architecture). Под клиент- серверным приложением в этом случае по-нимается информационная система, основанная на использовании серверов баз данных.

Двухзвенная  архитектура применяется в клиент- серверных системах, где сервер отвечает на клиентские запросы напрямую и в полном объеме, при этом используя только собственные ресурсы, т. е. сервер не вызывает сторонние сетевые приложения и не об-ращается к сторонним ресурсам для выполнения какой- либо части запроса (рис. 20.1). Данный вид архитектуры называют архитектурой с «толстым» клиентом, так как клиентская часть приложения берет на себя часть функций по обработке информации.

Достоинства двухзвенной архитектуры:возможность, в большинстве случаев, распределить функции ••

вычислительной системы между несколькими независимыми ком-пьютерами в сети;

ФГБО

У ВПО



У ВПО



257

все данные хранятся на сервере, который, как правило, защи-••щен гораздо лучше большинства клиентов. Также на сервере проще обеспечить контроль полномочий, чтобы разрешать доступ к данным только клиентам с соответствующими правами доступа;

поддержка многопользовательской работы;••гарантия целостности данных.••

Недостатки двухзвенной архитектуры:неработоспособность сервера может сделать неработоспособной ••

всю вычислительную сеть;администрирование данной системы требует квалифицирован-••

ного профессионала;высокая стоимость оборудования;••бизнес-•• логика приложений осталась в клиентском ПО, что

делает его уязвимым с точки зрения информационной безопасно-сти.

Трехзвенная  архитектура также используется в клиент- сер-верных системах и предполагает наличие следующих компонентов приложения:

клиентское приложение («тонкий» клиент или терминал);••сервер приложений;••сервер базы данных.••

Рис. 20.1. Двухзвенная архитектура приложений

ФГБО

У ВПО



У ВПО



258

Таким образом, в архитектуру вводится промежуточное звено, со-держащее бизнес- логику и третье звено, непосредственно связанное с данными. Схематическое взаимодействие в рамках трехзвенной архитектуры представлено на рис. 20.2. Данный вид архитектуры называют архитектурой с «тонким» клиентом, в силу того, что кли-ентское приложение практически не содержит функционала, и в качестве него может выступать обычный интернет- браузер.

Трехзвенная архитектура компенсирует многие недостатки двух-звенной и к ее достоинствам можно отнести следующее:

клиентское ПО не нуждается в администрировании;••изолированность уровней друг от друга позволяет быстро и про-••

стыми средствами переконфигурировать систему при возникновении сбоев или при плановом обслуживании на одном из уровней;

масштабируемость;••высокая безопасность и высокая надежность;••низкие требования к скорости канала (сети) между терминала-••

ми и сервером приложений;низкие требования к производительности и техническим харак-••

теристикам клиентов как следствие снижение их стоимости.Недостатки трехзвенной архитектуры заключаются в следую-

щем:повышенная сложность серверной части и, как следствие, за-••

траты на администрирование и обслуживание;

Рис. 20.2. Трехзвенная архитектура приложений

ФГБО

У ВПО



У ВПО



259

более высокая сложность создания приложений;••сложнее в разворачивании и администрировании;••высокие требования к производительности серверов приложе-••

ний и сервера базы данных, а также высокая стоимость серверного оборудования;

высокие требования к скорости канала (сети) между сервером ••базы данных и серверами приложений.

20.2. технологии промежуточного пО: RMI, CORBA и DCOM

Следующий шаг в развитии трехзвенной архитектуры — появление промежуточного ПО (middle ware). В настоящий момент существует три основные технологии промежуточного ПО: DCOM, CORBA и RMI. Каждая из них имеет свои преимущества и недостатки, но все они скрывают различия между типами сетевых узлов и размещаются над ОС и сетевыми службами, которые установлены на этих хостах, обслуживая находящиеся на более высоком уровне приложения.

По сути, все три технологии позволяют создать некую среду взаи-модействия, основной целью которой является реализация механизма обмена сообщениями для гетерогенных распределенных систем. В этом случае система построена из распределенных объектов, взаи-модействующих друг с другом. Объекты, как правило, разбросаны по сети и выполняются отдельно друг от друга.

Технология  вызова  удаленных  методов  RMI (Remote Method Invocation) позволяет создавать распределенные приложения Java- to-

Java, в которых методы удаленных Java- объектов могут вызываться из других виртуальных машин Java (JVM), находящихся в различных узлах сети. Технология RMI — продукт компании JavaSoft, реализует распределенную модель вычислений.

Java- программа может выполнить вызов удаленного объекта после получения на него ссылки, либо выполнив поиск удаленного объекта в самозагружаемом пространстве имен, предлагаемом RMI, либо получив ссылку в качестве аргумента или возвращаемого значения. Клиент может вызвать удаленный объект на сервере. Этот сервер в свою очередь тоже может быть клиентом для других удаленных объектов. Технология RMI использует сериализацию объектов, что-бы упорядочить и разупорядочить их параметры и предотвратить усечение типов, поддерживая объектно- ориентированный полимор-физм. Для коммуникаций используется протокол JRMP (Java Remote Method Protocol).

Программирование с использованием RMI не вызывает проблем, если разработчик имеет определенный опыт создания распределен-ных приложений и программирования на языке Java. При этом для

ФГБО

У ВПО



У ВПО



260

описания удаленного серверного объекта не требуются абстрактные языки (такие как IDL). Кроме того, RMI поддерживает распределен-ный механизм регенерации освобождаемой памяти.

С другой стороны, для использования этой технологии необходи-мо наличие Java- машин на обеих сторонах соединения. Благодаря от-носительной простоте этого промежуточного ПО, его удобно и легко использовать. При этом не создается никаких сервисов.

Достоинства технологии RMI:возможно быстрое и простое создание приложений;••реализованы механизмы Java-•• оптимизации;предусмотрены динамическая загрузка компонент-•• переходников

и возможность передачи объектов по значению;встроены средства безопасности.••

К недостаткам технологии можно отнести поддержку только одно-го языка — Java, трудность интеграции с существующими приложе-ниями, свой собственный, не совместимый c IIOP (Internet Inter ORB Protocol) протокол взаимодействия и плохую масштабируемость.

Технология CORBA (Common Object Request Broker Architecture) — решение для выполнения распределенных вычислений, основанное на открытых стандартах. Промышленный консорциум OMG (груп-па по развитию стандартов управления программными объектами) разработал спецификацию для CORBA и определил протокол IIOP Protocol (Internet Inter ORB), являющийся стандартным протоколом коммуникации между диспетчерами объектных запросов ORB (Object Request Brokers).

Технология CORBA создана для поддержки разработки и развер-тывания сложных объектно- ориентированных прикладных систем. CORBA является механизмом в ПО для осуществления интеграции изолированных систем, который дает возможность программам, написанным на разных языках программирования, работающих в разных узлах сети, взаимодействовать друг с другом так же просто, как если бы они находились в адресном пространстве одного про-цесса. Основное преимущество данной технологии состоит в том, что и клиенты, и серверы могут быть написаны на любом языке программирования. Это возможно, поскольку объекты определяются с высоким уровнем абстракции, обеспечиваемым языком определе-ния интерфейса IDL (Interface Definition Language). Взаимодействия между объектами, клиентами и серверами обрабатываются с помо-щью диспетчеров объектных запросов ORB.

Для охвата различных областей применения CORBA использует так называемые сервисы. Сервисы сильно утяжеляют спецификацию, делают ее очень сложной; кроме того, до сих пор поставщиками выпущен относительно небольшой набор таких сервисов. Чтобы обеспечить взаимодействие между клиентскими и серверными объ-ектами, диспетчеры объектных запросов должны размещаться по обе стороны такого соединения. Если от распределенного приложения

ФГБО

У ВПО



У ВПО



261

требуется высокая производительность, то CORBA — лучший выбор промежуточного ПО.

К основным достоинствам CORBA можно отнести межъязыковую и межплатформенную поддержку, возможность динамических вызо-вов и динамического обнаружения объектов, а также масштабируе-мость и наличие CORBA- сервисов. Помимо этого технология имеет широкую индустриальную поддержку, так как в состав консорциума OMG входят более 700 компаний- производителей программных про-дуктов, компьютеров, телекоммуникационных систем, разработчиков прикладных систем и конечных пользователей.

Недостатки CORBA заключаются в том, что в нем используются динамическая загрузка компонент- переходников, передача параме-тров «по значению» и правила именования объектов не поддержи-вают ссылки URL.

Технология  DCOM  (Microsoft Distributed Component Object Model) позволяет осуществлять вызовы удаленных объектов с по-мощью звена, надстраиваемого поверх механизма DCE RPC и взаи-модействующего с оперативными COM- сервисами.

Сервер DCOM публикует свои методы для клиентов, поддержи-вая различные интерфейсы, написанные на языке IDL. Компилятор IDL создает модули доступа (заместители), заглушки и скелетные элементы программы и регистрирует их в системном реестре. Кроме этого создаются библиотеки типов — файлы, в которых описываются удаленные объекты и указывается, какие из них могут запрашиваться интерфейсами, обеспечиваемыми механизмом COM. Для взаимо-действия используется протокол вызовов удаленных объектных про-цедур ORPC (Object Remote Procedure Call). Спецификация DCOM на двоичном уровне позволяет использовать различные языки для программирования серверных объектов.

Так же как и RMI, технология DCOM поддерживает распреде-ленный механизм регенерации памяти, освобождаемой удаленными серверными объектами. Это достигается благодаря использованию механизма опроса, проверяющего, по- прежнему ли активно подклю-чение клиента. На серверной стороне для клиентов поддерживается соответствующий счетчик ссылок. Если показываемое им значение сокращается до нуля, происходит освобождение ресурсов, занимае-мых объектом.

К основным достоинствам DCOM, так же как и CORBA, можно отнести реализацию на разных языках, возможность динамических вызовов и динамического обнаружения объектов, а также масшта-бируемость и наличие CORBA- сервисов.

Главным недостатком DCOM является отсутствие межплатфор-менной поддержки. В основном данная технология используется в ОС Winwows. Помимо этого, для технологии характерны сложность реализации и отсутствие проверки безопасности на уровне выпол-нения ActiveX компонент.

ФГБО

У ВПО



У ВПО



262

20.3. веб как архитектура клиент- сервер

В соответствии с принципами построения клиент- серверной ар-хитектуры система гипертекстовых ресурсов веб также может быть построена подобным образом. В этом случае под веб- сервером по-нимается сервер, подключенный к Интернету и предоставляющий находящиеся на нем файлы по запросу программ- клиентов, как правило, браузеров, используя HTTP- протокол (Hyper Text Transfer Protocol). С другой стороны, веб- сервером называют как ПО, кото-рое выдает запрошенную информацию, так и сам сервер (мощный компьютер), на котором это ПО работает как положено.

В этом случае взаимодействие клиент- сервер предполагает, что потребитель- клиент, инициировав соединение с поставщиком- сер-вером, посылает ему запрос; а поставщик- сервер, получив запрос, производит необходимые действия и возвращает обратно клиенту ответ с результатом.

Самые распространенные веб- серверы: Apache от Apache Software Foundation, IIS от Microsoft и iPlanet server от компаний Netscape и Sune. В настоящее время на рынке ПО для веб- серверов существует огромное разнообразие продуктов, как коммерческих, так и бес-платных приложений.

При этом возможны два способа организации работы компью-тера- клиента:

1) «тонкий» клиент — компьютер- клиент, который переносит все задачи по обработке информации на сервер. Примером тонкого клиента может служить компьютер с браузером, использующийся для работы с веб- приложениями;

2) «толстый» клиент — производит обработку информации неза-висимо от сервера, используя сервер в основном лишь для хранения данных.

Как правило, веб- приложение представляет собой приложение, работающее по HTTP- протоколу, в котором клиентом выступает браузер, а сервером — веб- сервер. Однако помимо клиента и сер-вера в веб- сеансе могут участвовать и другие программы, которые и являются объектом веб- программирования. Результат работы веб-

приложения — веб- страница, отображаемая в окне браузера. При этом само веб- приложение может выполняться как на компьютере сервера, так и на компьютере клиента.

Рассмотрим подробнее обе схемы.Спецификация СGI (Сommon Gateway Interface). Эта специфи-

кация предназначена для обмена информацией между веб- сервером и CGI- программой и определяет порядок запуска программы на компьютере- сервере, способы передачи программе параметров и до-ставки результатов ее выполнения клиенту.

Программа, написанная по правилам CGI, называется CGI-

сценарием. CGI- сценарии являются наиболее распространенным

ФГБО

У ВПО



У ВПО



263

способом динамического взаимодействия веб- серверов с пользо-вателями.

CGI- сценарий — любая программа, написанная на любом языке программирования (C, Perl, Java, Visual Basic) и предназначенная для приема и возвращения данных в соответствии со спецификаци-ей CGI. Обработка данных программой CGI всегда происходит на веб- сервере. Код программы, работающей на сервере, не передается клиенту. При получении от клиента специального запроса, предпо-лагающего выполнение такой программы, сервер запускает ее и пере-дает параметры, входящие в состав запроса. Средства для генерации подобного запроса обычно входят в состав HTML- документа.

Результаты своей работы программа оформляет в виде HTML- до-кумента и передает их веб- серверу, а тот, в свою очередь, дополняет полученные данные HTTP- заголовком и передает их клиенту. Каж-дый раз, когда веб- сервер получает запрос от клиента, он анализирует содержимое запроса и возвращает соответствующий ответ: если за-прос содержит указание на файл, находящийся на жестком диске, то сервер возвращает в составе ответа этот файл; если запрос содержит указание на программу и необходимые для нее аргументы, то сервер исполняет программу и результат ее работы возвращает клиенту.

CGI определяет каким образом информация о сервере и запросе клиента передается программе в форме аргументов и переменных окружения; а также каким образом программа может передавать на-зад дополнительную информацию о результатах в форме заголовков ответа сервера.

К основным достоинствам разработки приложений на стороне веб- сервера в форме сценариев можно отнести следующее:

поскольку сценарии не компилируются, а интерпретируются, ••то ошибки в сценарии вызовут только диагностическое сообщение, но не приведут к дестабилизации веб- сервера или ОС;

существуют лучшие выразительные возможности, поскольку ••язык сценариев, как правило, имеет собственный проблемно- ори-ентированный набор команд и одна строка сценария может делать то же, что несколько десятков строк на традиционном языке. Как следствие, на этом языке может писать программист низкой квали-фикации;

поддержка кроссплатформенности;••поскольку сценарии интерпретируются из исходного кода ди-••

намически при каждом исполнении, они выполняются обычно зна-чительно медленнее готовых программ, транслированных в машин-ный код на этапе компиляции.

Клиентские  сценарии  и  апплеты. Другой, более распростра-ненный способ обеспечить динамическую обратную связь для веб-

пользователей, состоит в использовании клиентских сценариев, или программ, которые выполняются на машине пользователя, а не веб-

сервере. В качестве таких программ могут использоваться Java- аппле-

ФГБО

У ВПО



У ВПО



264

ты, Java- скрипты или элементы управления ActiveX. Эти технологии известны как клиентские решения, в то время как CGI — серверное решение, поскольку обработка происходит на веб- сервере.

Ко всем программам, которые передаются с сервера на клиентские машины и запускаются на выполнение, предъявляется важнейшее требование — эти программы должны быть лишены возможности обращаться к ресурсам компьютера, на котором они выполняются. Такое требование вполне обосновано, так как передача по сети и за-пуск Java- апплетов и Java Script- сценариев происходит автоматически без участия пользователя, поэтому работа программ должна быть абсолютно безопасной для компьютера. Следовательно, языки, пред-назначенные для создания программ, выполняющихся на клиенте, должны быть абсолютно непригодны для написания вирусов и по-добных программ.

Одним из типов программ, предназначенных для выполнения на клиент- машине, являются сценарии, например, Java Script или VB Scrip. Исходный текст сценария представляет собой часть веб-

страницы, поэтому сценарий Java Script передается клиенту вместе с документом, в состав которого он входит. Обрабатывая HTML- до-кумент, браузер обнаруживает исходный текст сценария и запускает его на выполнение.

Для обеспечения интерактивности на веб- странице используются насыщенные интернет- приложения RIA (Rich Internet Application) для предоставления интерактивных возможностей веб- приложений, которые не возможны в HTML. В этом случае Adobe Flash или Java-

апплеты позволяют полностью или частично реализовать пользова-тельский интерфейс.

Использование апплетов обусловлено тем, что в рамках веб- при-ложений с «тонким» клиентом взаимодействие пользователя с при-ложением реализуется через сервер, что требует отправки данных на сервер, получение ответа от сервера и перезагрузку страницы на стороне клиента. В состав HTML- документа включается специаль-ный дескриптор, описывающий расположение файла, содержащего код апплета, на сервере. После получения клиентом HTML- кода документа, включающего апплет, он генерирует дополнительный за-прос серверу. После пересылки сервером клиенту кода апплета сам апплет запускается на выполнение.

Java- апплет — программа, написанная на языке Java и откомпи-лированная в байт- код, которая выполняется в браузере запуском виртуальной Java- машины (JVM). При использовании Java- апплетов в состав HTML- документа включается специальный дескриптор, описывающий расположение файла, содержащего код апплета, на сервере. После того как клиент получает HTML- код документа, включающего апплет, он генерирует дополнительный запрос сер-веру. После пересылки сервером кода апплета клиенту сам апплет запускается на выполнение.

ФГБО

У ВПО



У ВПО



265

Java- апплеты предназначены для выполнения в безопасной среде с целью предотвращения их доступа к локальным ресурсам клиент-ского компьютера. Код апплета загружается с веб- сервера и браузер либо вставляет апплет в веб- страницу, либо открывает отдельное окно с собственным пользовательским интерфейсом апплета. Апплет может быть внедрен в веб- страницу с помощью соответствующего HTML- тэга. Java- апплеты могут выполняться браузерами на многих операционных платформах.

20.4. язык XML

Язык HTML первоначально был всего лишь одним из возможных способов создания веб- документов. К его недостаткам традиционно относят следующее:

имеет фиксированный набор тэгов, в нем нельзя создавать свои ••тэги, понятные другим пользователям;

HTML — это исключительно технология представления данных. ••Он не несет информации о значении содержания, заключенного в тэгах;

в нем не задана значимость тэгов, поэтому с его помощью нель-••зя описать иерархию данных;

недостаточная мощность для написания сложных приложений ••для профессиональной обработки и поиска документов;

большие объемы трафика сети, поскольку существующие HTML-••

документы, используемые как приложения, перегружают Интернет большими объемами трафика в системах клиент- сервер. Примером может служить пересылка по сети большого по объему документа, в то время как необходима только небольшая часть этого документа.

Таким образом, с одной стороны, язык HTML является очень удобным средством разметки документов для использования в веб, а с другой — документ, размеченный в HTML, имеет мало информации о своем содержании. Если тот или иной документ несет достаточно полную информацию о своем содержании, появляется возможность сравнительно легко провести автоматическую обобщенную обработку и поиск в файле, хранящем документ.

Развитием языка гипертекстовой разметки HTML является язык XML (eXtensible Markup Language), предназначенный для хранения структурированных данных, для обмена информацией между про-граммами, а также для создания на его основе специализированных языков разметки.

XML — формат, основанный на международных стандартах, не зависит от платформы, представляет собой простой текст, свобод-ный от лицензирования и каких- либо ограничений. Иерархическая структура XML подходит для описания практически любых типов документов.

ФГБО

У ВПО



У ВПО



266

Достоинства языка XML:человеко-•• ориентированный формат документа, он понятен как

человеку, так и компьютеру, поддерживает Юникод, обладает фор-матом, основанным на международных стандартах;

в формате XML могут быть описаны основные структуры дан-••ных, такие как записи, списки и деревья; иерархическая структура XML подходит для описания практически любых типов докумен-тов;

имеет строго определенный синтаксис и требования к анализу, ••что позволяет ему оставаться простым, эффективным и непротиво-речивым;

представляет собой простой текст, свободный от лицензирова-••ния и каких- либо ограничений; не зависит от платформы.

К известным недостаткам языка можно отнести избыточность синтаксиса, большой размер XML- документов, а также то, что для большого количества задач не нужна вся мощь синтаксиса XML, и можно использовать значительно более простые и производитель-ные решения.

Несмотря на свои недостатки, XML представляет собой наиболее используемую платформу для интеграции распределенных инфор-мационных систем. Такая интеграция на основе XML может быть реализована в рамках протоколов: XML- RPC, протокола удаленного вызова процедур с передачей данных в формате XML через TCP- порт 80, т. е. HTTP- порт; WDDX (Web Distributed Exchange), механизма обмена сложными структурами данных по протоколу HTTP; ebXML (electronic buisiness XML) протокола, обеспечивающего безопасное глобальное использование информации электронного бизнеса; или веб- сервисов (веб- служб).

20.5. веб- сервисы

Следующим этапом развития парадигмы гетерогенных распреде-ленных систем стало появление веб- сервисов. Веб- сервисы являются средством интеграции в больших распределенных информационных системах.

Веб- сервис (web service) — программная система, имеющая иден-тификатор URI, и общедоступные интерфейсы которой определены на языке XML. Описание этой программной системы может быть найдено другими приложениями, которые могут взаимодействовать с ней в соответствии с этим описанием посредством сообщений, основанных на XML, и передаваемых с помощью интернет- про-токолов.

Веб- сервисы представляют собой еще одну парадигму для рас-пределенных приложений и состоят из тех же самых трех компо-нентов:

ФГБО

У ВПО



У ВПО



267

сервисного агента, играющего роль поисковой службы между 1) поставщиком и инициатором сервисного запроса;

поставщика сервисов, который публикует свои сервисы для 2) сервисного агента;

инициатора сервисного запроса, который запрашивает у сер-3) висного агента информацию о том, где найти подходящего постав-щика сервисов, а затем связывается с этим поставщиком.

Инициатор сервисного запроса запрашивает у сервисного инфор-мацию агента о том, где найти подходящего поставщика сервисов, а затем связывается с этим поставщиком.

К достоинствам веб- сервисов можно отнести открытость стан-дартов, межплатформенность, простоту и поддержку сообщений на понятном человеку языке. В веб- сервисах отсутствуют какие- либо скрытые или недоступные элементы, каждый аспект технологии (от способа поиска веб- сервиса до его описания и организации связи с ней) определен общедоступными стандартами. Язык программи-рования, который позволяет создавать XML- документы и отправлять информацию посредством HTTP, дает возможность взаимодейство-вать с любым веб- сервисом. Переход от двоичных стандартов, при-меняемых в DСОМ и CORBA, к XML- тексту позволил упростить исправление ошибок и обеспечил возможность осуществлять взаи-модействие с веб- сервисами по обычным каналам HTTP.

20.6. сервис- ориентированная архитектура

Веб- сервис является единицей модульности при использовании сервис- ориентированной архитектуры приложения. Сама сервис- ори-ентированная архитектура SOA (Service- Oriented Architecture) пред-ставляет собой модульный подход к разработке ПО, основанный на использовании сервисов со стандартизированными интерфейсами.

В основе SOA лежат принципы многократного использования функциональных элементов информационных систем, унификации типовых операционных процессов. Компоненты программы могут быть распределены по разным узлам сети и предлагаются как неза-висимые и слабо связанные, заменяемые сервисы- приложения. SOA хорошо зарекомендовала себя при построении крупных корпоратив-ных программных систем. Интерфейс компонентов SОА- программы осуществляет инкапсуляцию деталей реализации конкретного ком-понента (ОС, языка программирования и т. п.).

Целый ряд разработчиков и интеграторов предлагают инструменты и решения на основе SOA (например, платформы Microsoft NET, IBM Web Sphere, SAP Net Weaver, Diasoft и др.).

Работа веб- сервисов, составляющих основу SOA, построена на использовании нескольких открытых стандартов, образующих стек веб- сервисов:

ФГБО

У ВПО



У ВПО



268

XML — язык расширяемой разметки, предназначенный для ••хранения и передачи структурированных данных;

SOAP (Simple Object Access Protocol) — протокол обмена со-••общениями на базе XML;

WSDL (Web Services Definition Language) — язык описания ••внешних интерфейсов веб- сервисов на базе XML;

UDDI (Universal Discovery, Description and Integration) — уни-••версальный интерфейс распознавания, описания и интеграции, универсальная интеграция поиска описаний.

Связь между веб- сервисами и их клиентами осуществляется по-средством сообщений в формате XML. Каждый веб- сервис предо-ставляет документ WSDL, в котором описывается все, что клиенту необходимо для работы с этим сервисом. WSDL- документ предо-ставляет простой и последовательный способ задания разработчиком синтаксиса вызова любого веб- метода и позволяет использовать инструменты автоматического генерирования прокси- классов, подоб-ные включенным в среды Visual Studio .NET и .NET Frame work.

WSDL- документ имеет основанный на XML формат, в соответ-ствии с которым информация подразделяется на пять групп: первые три группы представляют собой абстрактные определения, не зави-сящие от особенностей платформы, сети или языка, а оставшиеся две группы включают конкретные описания.

SOAP — протокол сообщений для выбора веб- сервисов. Основная идея стандарта SOAP заключается в том, что сообщения должны быть закодированы в стандартизированном XML- формате.

Спецификация UDDI использует специальное хранилище (репо-зитории), где предприятия и организации могут размещать данные о предоставляемых ими сервисах. Информация в этом репозито-рии UDDI должна обновляться вручную. С этой целью некоторые «узловые операторы» хранят идентичные копии репозитория UDDI. В хранилище UDDI содержатся сведения о предприятиях, предостав-ляющих веб- сервисы, о типе каждого сервиса и связях с информаци-ей и спецификациями, относящимися к этим сервисам. Интерфейс UDDI сам по себе представляет собой веб- сервис. Для регистрации или поиска службы следует отправить SOAP- сообщение.

Схема взаимодействия веб- сервисов может быть представлена сле-дующим образом. Поставщик веб- сервиса описывает его в документе WSDL и публикует его в UDDI, используя регистрацию с помощью API для публикаций (созданного на основе SOAP). Инициатор сер-висного запроса использует API интерфейс запроса UDDI для поиска соответствующей регистрационной информации о подходящем по-ставщике сервисов. Если поставщик найден, можно выполнить поиск элемента tModel, указывающего на данный документ WSDL. Запрос SOAP будет создан в соответствии с этим документом WSDL. Этот запрос SOAP будет отправлен поставщику сервисов, а полученный ответ обработан.

ФГБО

У ВПО



У ВПО



269

20.7. примеры сервис- ориентированной архитектуры

В настоящее время широко распространены системы, имеющие сервис- ориентированную архитектуру. В качестве примеров таких систем можно привести системы управления веб- контентом, новост-ные ленты RSS, поисковые машины и порталы.

Система управления веб- контентом WCMS или Web CMS (Web Content Management System) — ПО CMS- класса, реализованное обычно в виде веб- приложения и предназначенное для создания и управления содержимым HTML. Обычно WCMS используется для управления и контроля большими, динамически изменяемыми коллекциями веб- материала (HTML- документами и связанными с ними картинками).

Эта система упрощает создание, управление, редактирование контента и многие другие важные задачи, связанные с поддержкой этих процессов. WCMS предоставляет следующие возможности: применение автоматических шаблонов отображения (в HTML- или XML- формате), автоматически применяемых к новому или суще-ствующему контенту; простота редактирования контента; масшта-бируемость и возможность расширения функциональности суще-ствующего сайта путем установки поставляемых с дистрибутивом WCMS плагинов и модулей; управление документами; визуализация контента.

RSS  (новостная  лента) — это аббревиатура от Really Simple Syndication, что переводится как «действительно простое получение информации». Формат RSS предназначен для публикации новостей на новостных и подобных им сайтах, начиная от ведущих новостных сайтов и кончая личными сетевыми дневниками, по сути, публико-вать можно не только новости. После того, как информация пре-образована в формат RSS, программа, понимающая этот формат, может вытягивать сведения о внесенных изменениях и в зависимости от результата, например, автоматически предпринимать какие- либо действия.

Программы, умеющие работать с RSS, называются агрегаторами, и они очень популярны у пользователей, ведущих сетевые дневники. Программа- агрегатор позволяет собирать все публикации вместе и одновременно следить за появлением новых новостей на всех сайтах сразу и читать их краткое содержание, не посещая каждый сайт в отдельности.

В первую очередь, системы RSS предназначены для использова-ния на очень часто обновляемых веб- сайтах как новостные сайты (списки новостей), сайты компаний (списки новостей и продуктов), календари (списки предстоящих событий и знаменательных дней), изменения сайтов (список обновленных и новых страниц).

ФГБО

У ВПО



У ВПО



270

Информационно- поисковые системы размещаются в Интернете на общедоступных серверах. Основой поисковых систем являются так называемые поисковые машины, или автоматические индексы.

Специальные программы- роботы (известные также как пауки) в автоматическом режиме периодически обследуют Интернет на основе определенных алгоритмов, проводя индексацию найденных документов. Поиск ведется на основе оригинальных и весьма слож-ных алгоритмов, а его результаты анализируются и сортируются таким образом, чтобы представленная пользователю информация в наибольшей степени соответствовала его ожиданиям. В настоящее время в развитии поисковых систем наблюдается тенденция объеди-нения автоматических индексных поисковых машин и составляемых вручную каталогов интернет- ресурсов. Ресурсы этих систем удачно дополняют друг друга, в объединение их возможностей вполне ло-гично.

Портал  предоставляет единую точку безопасного доступа ча-сто в форме веб- интерфейса и предназначен для агрегирования и персонализации информации с помощью подходящих портлетов. Веб- портал — веб- сайт, предоставляющий пользователю различные интерактивные сервисы, работающие в рамках одного веб- сайта (веб- страницы). Портлеты представляют собой подключаемые про-граммные компоненты пользовательского интерфейса, управляемые и отображаемые в веб- портале. Портлеты генерируют фрагменты кода разметки, которые внедряются на страницу портала, представляющую собой набор непересекающихся окон портлетов. Стандартизация портлетов нацелена на предоставление в распоряжение программиста портлетов, которые могут быть встроены в любой портал, поддержи-вающий стандарты.

WSRP (WebServicesforRemote Portlets) — протокол, который можно рассматривать как стандарт для веб- сервисов, позволяющий автома-тически встраивать удаленно запущенные портлеты из совершенно разных источников. Наряду со стандартной функцией поиска веб-

порталы предлагают и другие сервисы, такие как электронная почта, новости, форумы, голосования и др.


Перечислите достоинства и недостатки двухзвенной архитектуры при-1. ложений.Назовите достоинства и недостатки трехзвенной архитектуры приложе-2. ний.Какую нагрузку несет на себе промежуточное ПО middle ware?3. В чем заключаются отличия и в чем схожесть основных технологий ПО: 4. DCOM, CORBA и RMI?Перечислите достоинства и недостатки методы реализации клиент-5. сер-верных и веб- приложений.

ФГБО

У ВПО



У ВПО



Какие требования предъявляются к языкам программирования, исполь-6. зуемые для клиентских сценариев и апплетов?В чем состоят главные достоинства языка XML?7. Как строятся приложения, использующие веб-8. сервисы?На каких стандартах основывается сервис-9. ориентированная архитектура? Назовите ее достоинства и недостатки.Приведите примеры различных интернет-10. систем, обладающих сервис-

ориентированной архитектурой.

ФГБО

У ВПО



У ВПО



272

Гл а в а 21

различные прилОжения интернета

21.1. телекоммуникационные средства общения

К традиционным средствам интернет- общения в настоящее вре- мя можно отнести: электронную почту, теле-, видео- и почтовые кон- ференции, чаты, форумы, блоги и доски объявлений, ICQ- обмен мгновенными сообщениями, системы электронного голосования и заполнение активных электронных форм, вики- среды для работы над групповыми проектами, публикации или вещание в Интернете.

Электронная  почта первой продемонстрировала саму возмож-ность общения посредством вычислительных сетей. Архитектурно предназначенная для обмена сообщениями между двумя абонен-тами, при небольшой модификации она позволила обмениваться информацией группам людей. Такой модификацией стали группы или списки рассылки.

Телеконференции — следующий этап развития систем обще-ния. Их особенностями являются, во- первых, хранение сообще-ний и предоставление заинтересованным лицам доступа ко всей истории обмена, а во- вторых, различные способы группировки сообщений.

Гостевые  книги — первая и самая простая форма организа-ции общения в виде веб- приложений. Простейшая гостевая книга представляет собой список сообщений, показанных от последних сообщений к первым. Каждый посетитель может оставить свое со-общение.

Большой популярностью в Интернете пользуются вики- справоч-ники (вики), т. е. веб- сайты, содержимое которых может редактиро-ваться всеми посетителями сайта. Наиболее известный пример — Википедия.

Форумы, чаты, блоги являются развитием идеи телеконферен-ций. Сообщения пользователей в форумах группируются по темам, которые задаются, как правило, первым сообщением. Все посетители могут увидеть тему и поместить свое сообщение в ответ на уже на-писанные сообщения. Исторически первые форумы появились как усовершенствование гостевых книг и организовывали сообщения в ветви — так же, как и в телеконференциях. Как правило, темы группируются в тематические форумы, управление системой осущест-

ФГБО

У ВПО



У ВПО



273

вляют администраторы и модераторы. Наиболее развитые форумы начинают обладать первыми признаками социальных сетей — между участниками могут быть установлены социальные связи.

С развитием телекоммуникаций все большее число пользователей начинают работать в Интернете в режиме постоянного присутствия, и как логичное развитие этого, появляется сервис общения в режиме реального времени, когда абонент получает сообщение в течение не-значительного промежутка времени в пределах нескольких секунд по-сле отправки его собеседником. Специализированный сервис такого рода получил название IRC (Internet Relation Chat). В рамках этого сервиса общение проходит через специальные узлы в рамках общих направлений — каналов.

Системы мгновенных сообщений позволяют общаться с другим пользователем через сеть в режиме реального времени. К наиболее популярным можно отнести Skype, ICQ, Yahoo!, MSN Messenger, AOL Instant Messenger. К системам, ориентированным на бизнес, относятся IBM Lotus Sametime, Microsoft Messenger и Jabber.

Блог (weblog) — веб- журнал, веб- протокол. В этих сервисах каждый участник ведет собственный журнал, т. е. оставляет записи в хронологическом порядке. Темы записей могут быть любыми; са-мый распространенный подход — ведение блога как собственного дневника. Другие посетители могут оставлять комментарии на эти записи. В этом случае пользователь, помимо возможности вести свой журнал, может организовывать ленту просмотра — список записей из журналов «друзей», регулировать доступ к записям, искать себе собеседников по интересам. На базе таких систем создаются сообще-ства — журналы, которые ведутся коллективно. В таком сообществе его членом может быть размещено любое сообщение по направлению деятельности сообщества.

Информационно- поисковые системы размещаются в Интернете на общедоступных серверах. Основой поисковых систем являются так называемые поисковые машины, или автоматические индексы. Специальные программы- роботы (известные также как пауки) в ав-томатическом режиме периодически обследуют Интернет на основе определенных алгоритмов, проводя индексацию найденных докумен-тов. Созданные индексные базы данных используются поисковыми машинами для предоставления пользователю доступа к размещенной на узлах Сети информации. Пользователь в рамках соответствующего интерфейса формулирует запрос, который обрабатывается системой, после чего в окно браузера выдаются результаты обработки запро-са. Механизмы обработки запросов постоянно совершенствуются и современные поисковые системы не просто перебирают огромное число документов. Поиск ведется на основе оригинальных и весьма сложных алгоритмов, а его результаты анализируются и сортируются таким образом, чтобы представленная пользователю информация в наибольшей степени соответствовала его ожиданиям.

ФГБО

У ВПО



У ВПО



274

В настоящее время в развитии поисковых систем наблюдается тенденция объединения автоматических индексных поисковых ма-шин и составляемых вручную каталогов интернет- ресурсов. Ресур-сы этих систем удачно дополняют друг друга и объединение их возможностей вполне логично. Тем не менее, исследования возмож-ностей поисковых машин, даже самых мощных из них, таких как Alta Vista или Hot Bot, показывают, что реальная полнота охвата ресурсов Всемирной паутины отдельной такой системой не превы-шает 30 %.

Каждая поисковая система имеет свои особенности и качество полученного результата зависит от предмета поиска и точности формулировки запроса. Для поиска в области профессиональных знаний, особенно информации на иностранном языке, лучше всего подходят такие системы, как www.Alta Vista.com, www.hotbot.com, www.yahoo.com, www. google.com. Однако для поиска информации на русском языке, особенно в российской части Интернета, наи-более приспособлены русские поисковые машины. Во- первых, они специально ориентированы именно на русскоязычные ресурсы Сети и, как правило, отличаются большей полнотой охвата и глубиной ис-следования эти ресурсов. Во- вторых, российские системы работают с учетом морфологии русского языка, т. е. в поиск включаются все формы искомых слов. Российские системы лучше учитывают и та-кую исторически сложившуюся особенность российских интернет-

ресурсов, как сосуществование нескольких кодировок кириллицы, например, www.yandex.ru, www.rambler.ru.

Интерфейс всех поисковых систем построен примерно одина-ково. Пользователю предлагается ввести запрос о специальном поле, а затем инициировать поиск щелчком по кнопке. Система выполняет поиск и выдает результаты в окне браузера. Кроме того, пользователю предоставляется возможность задать дополнительные критерии поиска. Например, можно искать только в определенной тематической категории или только определенных серверах. Кроме обычного запроса на естественном языке пользователи могут также воспользоваться режимом «расширенного поиска», в котором с по-мощью специальных символов можно задать более точные критерии и область поиска.

Большинство поисковых систем позволяет использовать весьма развитый и сложный синтаксис запросов. С помощью усложнен-ных запросов можно задать самые разнообразные режимы поиска, например, ограничить поиск только определенными сайтами или определенными элементами документа. Зачастую создатели системы предоставляют также возможность указания взаимного расположения искомых слов в предложении или документе, например, насколько далеко одно искомое слово может отстоять от другого. Подробное описание синтаксиса запросов для конкретных систем имеется на сайтах этих систем в разделе справочной информации.

ФГБО

У ВПО



У ВПО



275

Новостные  ленты  RSS  предназначены для публикации ново-стей на новостных и подобных им сайтах, начиная от таких ведущих новостных сайтов, как Wired, Slashdot, и кончая личными сетевыми дневниками. По сути, публиковать на них можно не только ново-сти. Практически любой материал, который можно разделить на отдельные части, можно публиковать с помощью RSS: например, объявления о последних публикациях в wiki, информация об обновле-ниях в CVS, история изменений, внесенных в книгу. После того, как информация преобразована в формат RSS, программа, понимающая этот формат, может вытягивать сведения о внесенных изменениях и в зависимости от результата, например, автоматически предпринимать какие- либо действия.

Программы, умеющие работать с RSS, называются агрегаторами (рис. 21.1). Они очень популярны у людей, ведущих сетевые дневни-ки. Некоторые программы- дневники даже позволяют другим делать комментарии к записям. И многие дневники умеют публиковать

Рис. 21.1. Программа-агрегатор RSS

Рис. 21.2. Объем рынка рекламы в социальных сетях

ФГБО

У ВПО



У ВПО



276

записи в формате RSS. Программа- агрегатор позволяет собирать все эти публикации вместе и одновременно следить за появлением новых новостей на всех сайтах сразу и читать их краткое содержание, не посещая каждый сайт в отдельности. Многие современные браузеры, почтовые клиенты и интернет- пейджеры умеют работать с RSS- лен-тами: Safari, Maxthon, Miranda, Mozilla Firefox, Mozilla Thunderbird, Opera, Microsoft Internet Explorer (начиная с 7-й версии).

Также очень популярны веб- агрегаторы, представляющие собой сайты по сбору и отображению RSS- каналов, такие как Яндекс, Лента, Google Reader, Новотека и Bloglines (рис. 21.2).

21.2. социальные сети

Социальные сети и поддерживающие их сервисы оказались очень эффективным методом обеспечения посещаемости сайтов, обратной связи и постепенно стали одним из средств генерации контента (со-держимого, имеющего ценность). На основе такого подхода появи-лось и быстро стало популярным довольно большое количество со-циальных веб- сервисов, объединенных общим названием сервисы Web 2.0.

В настоящее время социальные сети являются одним из самых востребованных приложений в Интернете, направленные на по-строение сообществ в Интернете из людей со схожими интересами и/или деятельностью. Связь в социальных сетях осуществляется по-средством веб- сервиса внутренней почты или мгновенного обмена сообщениями. Также бывают социальные сети для поиска не только людей по интересам, но и самих объектов этих интересов: веб- сайтов, прослушиваемой музыки и т. д.

Начало социальных сетей положил в 1995 г. американский портал Classmates.com («Одноклассники» — его русский аналог). Проект оказался весьма успешным, что в последующие годы спровоцировало появление не одного десятка аналогичных сервисов. Официальным началом бума социальных сетей принято считать 2003 — 2004 гг., когда были запущены LinkedIn, MySpace и Facebook. Если LinkedIn создавалась с целью установления/поддержания деловых контактов, то владельцы MySpace и Facebook сделали ставку в первую очередь на удовлетворение человеческой потребности в самовыражении. При этом каждый пользователь получил возможность не просто общаться и творить, но и делиться плодами своего творчества с многомилли-онной аудиторией той или иной социальной сети.

По числу пользователей лидируют следующие социальные сети (по данным Википедии): Facebook (471 млн пользователей); MySpace (120 млн пользователей); Twitter (74 млн пользователей); Hi5 (47 млн пользователей); В контакте (25 млн пользователей); Friendster (15 млн пользователей).

ФГБО

У ВПО



У ВПО



277

Facebook — крупнейшая в мире социальная сеть, созданная в 2004 г. в США и управляемая компанией Facebook Inc. Пользо-ватели сети могут создавать собственные аккаунты, отправлять со-общения друзьям, загружать и размещать фото и видеоматериалы, организовывать сообщества и др.

Выручка Facebook по результатам 2008 г. составила более 300 млн долл., в 2009 г. доход Facebook по некоторым данным превысил 0,5 млрд долл. В международном рейтинге Alexa социальная сеть Facebook занимает 2-е место. Трафик социальной сети в США уже опережает трафик крупнейшего в мире поисковика Google.

MySpace — вторая по величине социальная сеть в мире, созданная в 2003 г. в США. Долгое время MySpace была самой большой соци-альной сетью в мире, пик популярности MySpace пришелся на 2006 г. Однако уже весной 2008 г. MySpace уступила лидерство Facebook и с тех пор отрыв по количеству пользователей только увеличивается.

Социальная сеть MySpace входит в состав международного медиа-

гиганта News Corp. Результаты деятельности компании отдельно не разглашаются. Предположительно, оборот MySpace не превышает 100 млн долл.

Twitter — третья по величине социальная сеть в мире, созданная в 2006 г. в США. Основная идея сервиса этой социальной сети — микроблоги; пользователи могут создавать небольшие (до 140 зна-ков) текстовые сообщения (tweets), которые появляются в профиле пользователя и могут быть прочитаны его последователями (followers). Сервис удобен для мобильного пользования, иногда его называют СМС- сервис Интернета. Создатели Twitter настаивают, что это не социальная, а информационная сеть. Доход Twitter по результатам 2009 г. составил не более 2 млн долл. В международном рейтинге веб- сайтов Alexa Twitter занимает 11 позицию.

К русскоязычным социальным сетям относятся «В Контакте», «Мой Круг», «Мой Мир@mail.ru», «Одноклассники», ЖЖ (Живой журнал).

«В Контакте» — крупнейшая социальная сеть в Рунете, занимает 9-е место в списке самых крупных социальных сетей мира, запущена в 2006 г. Сервис приобрел широкую популярность непосредственно в России, в Украине, в Беларуси и Казахстане, насчитывает 25 млн пользователей.

Многие специалисты называют сеть «В Контакте» клоном Facebook, это касается как дизайна, интерфейса, так и функционала социальной сети, тем не менее, «В Контакте» снабжена рядом до-полнительных опций. По оценке ФИНАМ выручка социальной сети «В Контакте» в 2009 г. составила 1 … 1,2 млрд руб., на встроенные игры приходится 20…25 % выручки.

В марте 2006 г. был запущен российский аналог FaceBook, со-циальная сеть «Одноклассники». К настоящему времени у сервиса 8 млн зарегистрированных пользователей.

ФГБО

У ВПО



У ВПО



278

Объем рынка рекламы в социальных сетях неуклонно растет. В 2007 г., по оценкам аналитической компании eMarketer, он достиг отметки в 1,215 млрд долл. В соответствии с прогнозом к 2011 г. объем рынка рекламы в социальных сетях вырос до 3,8 млрд долл. (см. рис. 21.2). В настоящее время наибольший интерес к социальным сетям проявляют компании таких секторов, как потребительские товары, производители спиртных напитков, автопроизводители, компании индустрии развлечений.

21.3. Электронная коммерция

Электронная коммерция является еще одним видом интернет- при-ложений. Электронная коммерция (e- commerce) — сфера экономики, которая включает в себя все финансовые и торговые транзакции, осуществляемые при помощи компьютерных сетей, и бизнес- про-цессы, связанные с проведением таких транзакций. Цифровые деньги являются основой платежной системы Интернет. Они представляют собой денежные знаки, которые эмитированы в форме электронных документов и обращаются в Интернет.

К электронной коммерции относят:электронный обмен информацией EDI (Electronis Data Inter-••

change);электронное движение капитала EFS (Electronic Funds Transfer);••электронную торговлю (e-•• trade);электронные деньги (e-•• cash);электронный маркетинг (e-•• marketing);электронный банкинг (e-•• banking);электронные страховые услуги (e-•• insurance).

Рассмотрим некоторые из них более подробно.Электронная торговля означает продажу товаров посредством

Интернета. Выделяют следующие схемы взаимодействия:C2C (Customer-•• to- Customer) — взаимодействие конечных по-

требителей с конечными потребителями;B2C(Business-•• to- Customer) — коммерческие взаимоотношения

между организацией (Business) и частным, так называемым конечным потребителем (Customer);

B2B (Business to Business) — вид информационного и экономи-••ческого взаимодействия, классифицированного по типу взаимодей-ствующих субъектов, в данном случае юридических лиц.

B2B представляет собой сектор рынка, который работает не на конечного, рядового потребителя, а на такие же компании, т. е. на другой бизнес. Под понятием B2B также подразумеваются системы электронной коммерции, или системы электронной торговли — про-граммно- аппаратные комплексы, являющиеся инструментами для осуществления торгово- закупочной деятельности в Интернете.

ФГБО

У ВПО



У ВПО



279

Основная задача систем В2В — повышение эффективности рабо-ты компаний на В2В- рынке за счет снижения затрат на подготовку торговых процедур и расширения географии бизнеса до масштаба всего мира.

Межфирменная торговля в Интернете осуществляется через си-стемы электронной торговли, посредством организации торговых площадок, на которых компании могут выступать и в качестве по-купателей, и в качестве продавцов.

Некоторые системы электронной торговли предлагают клиентам дополнительные сервисы, такие как привлечение поставщиков под торговые процедуры, расчет логистики, перевод на иностранные язы-ки, разработка собственной торговой площадки под клиента и др.

Ядром системы выступают торги на понижение между прове-ренными потенциальными компаниями- поставщиками в режиме реального времени.

B2B- системы различаются по набору предлагаемых функций:корпоративный сайт компании предназначен для общения 1)

с партнерами и контрагентами, содержит информацию о компании, персонале, руководстве, продукции, описание услуг;

интернет-2) магазин — предназначен для сбыта продукции, по-зволяет размещать заказы, проводить электронные платежи, обе-спечивать доставку;

служба закупок снабжения ищет поставщиков, получает ком-3) мерческие предложения, осуществляет электронные платежи, кон-тролирует выполнение заказов;

информационный сайт предназначен для размещения инфор-4) мации оботраслевых компаний, параметров состояния рынка, от-раслевых стандартов;

брокерский сайт выполняет роль посредников между покупа-5) телями и продавцами;

электронная торговая площадка (ЭТП) предназначена для не-6) посредственного осуществления торгово- закупочной деятельности. ЭТП, как правило, выполняются в виде отдельных сайтов, и на них создаются рабочие места для предоставления пользователям целого ряда услуг.

Интернет- магазины  (виртуальные магазины) — реализованное в Интернете представительство путем создания веб- сервера для про-дажи товаров и услуг другим пользователям Интернета (рис. 21.3). Другими словами, виртуальный магазин — это сообщество террито-риально разобщенных сотрудников магазина (продавцов, кассиров) и покупателей, которые могут общаться и обмениваться информаци-ей через электронные средства связи при полном (или минимальном) отсутствии личного прямого контакта.

Члены Всемирной торговой организации (ВТО) договорились не вводить таможенные сборы на международные электронные платежи в Интернете. Покупка через глобальную сеть осуществляется так же,

ФГБО

У ВПО



У ВПО



280

как и по обычному почтовому каталогу, только в электронном виде. Покупатель указывает свои банковские реквизиты и тип покупки, затем получает товар. И здесь взимаются обычные почтовые сборы, как при обыкновенной пересылке.

Автоматический  магазин — эффективное и комплексное ре-шение в торговом бизнесе. Он не только выписывает счета, но и от-слеживает заказы, принимает электронные платежи и формирует заявки на доставку товаров покупателям. Задача менеджера — кон-тролировать работу системы, сложную в обслуживании. Поскольку автоматический магазин должен иметь постоянную связь с инфор-мационной системой компании, то размещать его лучше либо на корпоративном сервере в локальной сети, либо на удаленном сервере с постоянно действующим каналом связи. Интерактивные магазины могут торговать чем угодно.

Интернет- витрина — рекламный сервер. На витрине выкладывают информацию о товарах, которую постоянно обновляют. Потенци-альный покупатель, посетив витрину, должен позвонить на фирму, оплатить товар, договориться о доставке. Поэтому интернет- витрина оправдана в тех случаях, когда покупателя надо познакомить со слож-ной продукцией, на изучение которой в торговом зале у него уйдет, слишком много времени. Интернет- витрина может быть размещена где угодно — на собственном сервере, на сервере провайдера, на сервере, предоставляющем бесплатные страницы.

Торговый автомат может не только выполнять функции витрины, но и принимать заказы и передавать их менеджеру, т. е. оформлять заказы и выписывать счета на оплату без присутствия покупателя. Торговый автомат реально торгует и по соотношению затрат к ре-зультату наиболее предпочтителен для пилотных и тестовых проектов

Рис. 21.3. Интернет-магазин

ФГБО

У ВПО



У ВПО



281

с небольшим потоком покупателей. Торговый автомат, так же как и интернет- витрину, можно разместить и на своем сервере, и на сер-вере провайдера. Однако его создание и администрирование требует навыков и определенной квалификации.

Оплата  электронными  деньгами  предоставляет возможность оплачивать услуги или товары различных компаний через мобильный телефон, оснащенный функцией WAP или некоторым собственным микробраузером. Деньги, которые будут использованы владельцем мобильного телефона для покупки товаров или услуг, могут быть сняты со счета владельца телефона или со специальной карты, кото-рую нужно сначала купить, а затем активировать со своего телефона. Оплата услуги или товара происходит с помощью посылки секретного сообщения (SMS), включающего в себя цепочку информации типа номер счета владельца телефона/сумма к оплате или кодовый номер товара или услуги/номер счета продавца. В случае если размер со-вершаемого платежа превышает остаток средств на текущей карте, необходимо активировать новую карту. При этом неиспользованные остатки денежных средств с предыдущих карт прибавляются к номи-налу активированной карты.

Скретч- карты (карты предоплаты) получили свое название от английского слова «scratch», что значит царапать. Именно наличие особенного защитного слоя, скрывающего буквенно- цифровой на-бор, является отличительной особенностью карт предоплаты. Важно отметить, что каждая карта предоплаты имеет свой уникальный се-рийный номер, который будет использоваться при оплате услуг. Как правило, скретч- карта имеет ограниченный срок действия, который может варьироваться в зависимости от номинальной стоимости карты или других условий. Сама карта предоплаты представляет собой пластиковую карточку с размещенной на ней информацией о фирме- изготовителе, сферы ее применения и срока ее действия. Карты предоплаты получили достаточно широкое распространение, поскольку являются удобным способом платы услуг и покупок. Их активно используют компании, занимающиеся сотовой связью, предоставлением услуг интернет- провайдеров и т. п.

Цифровые  деньги — основа платежной системы Интернет. Они представляют собой денежные знаки, которые эмитированы в форме электронных документов и обращаются в Интернет. Циф-ровые деньги функционируют так же, как и их аналог — банкноты и монеты, только в виде файлов, а эмитируются как банками, так и небанковскими организациями. Электронные деньги могут хра-ниться, переноситься и использоваться с помощью специальных устройств и/или программных средств на обычных персональных компьютерах. Для того чтобы свободно обмениваться электронной наличностью по сети, участники системы устанавливают у себя на компьютерах особую программу — электронный кошелек, который обеспечивает учет и передачу «наличности», а также проверку ее под-

ФГБО

У ВПО



У ВПО



282

линности. Пополнить свой счет- кошелек можно либо при помощи предоплаченных карт, либо перечислением через банк. Крупнейшими системами цифровой наличности на сегодняшний день являются Net Cash, eCash, Web Money, Яндекс.Деньги, Cyber Plat и др.

Разновидностью электронных денег являются системы цифровых наличных, основанные на использовании технологии smart- card. Смарт- карты — пластиковые карты со встроенным микропроцессо-ром. Смарт- карта выпускается банком. На чипе карты сохраняется информация о банковском счете покупателя (номер счета и сумма денег, которая находится на счету), также информация об эмитенте и покупателе. Деньги с банковского карт- счета покупателя списыва-ются банком по мере того, как покупатель расходует их, и перечис-ляются на счет продавца. Соответствующие изменения производятся и на смарт- карте во время проведения операции покупки. Пополне-ние баланса карты происходит следующим образом — на карт- счет владельца в банке эмитенте заносится сумма, которая списывается с его обычного счета в банке либо поступает от владельца в виде на-личных денег. Карта может использоваться как для платежей через Интернет, так и через автономные принимающие устройства. Для оплаты по смарт- карте через Интернет клиент должен иметь в сво-ем распоряжении специальное устройство, при помощи которого считывается информация и производятся необходимые изменения. Благодаря наличию самых современных методов защиты инфор-мации и в силу природы потенциальной многофункциональности, смарт- карты являются более удобными для потребителей, чем тра-диционные пластиковые карты с магнитной полосой. К сожалению, широкому распространению этого вида карт препятствует их высокая себестоимость.

Кредитная  карта — именной платежно- расчетный документ в виде пластиковой карточки, выдаваемый банком своим вкладчикам для безналичной оплаты ими товаров и услуг в розничной торговой сети, снабженной компьютерными устройствами, передающими запрос на оплату товара в банк. Кредитная карточка удостоверяет наличие у ее владельца текущего счета в банке. В разных странах ис-пользуются кредитные карточки американских кредитно- финансовых групп типа Visa, MasterCard, American Express и т. д.

Дебетовые  карточки могут использоваться при оплате товаров и услуг через Интернет в режиме онлайн так же, как при получении наличных в банкомате: для совершения платежа клиент должен вве-сти номер карточки и PIN- код.

Поскольку использование классической кредитной карты для расчетов в Интернете является небезопасным, были разработаны виртуальные карты типа VISA E- c@rd и Virtual MasterCard, которые предназначены исключительно для расчетов в Интернете. VISA E- c@rd разработана по технологии международной платежной системы VISA Int. Virtual; MasterCard — по технологии международной платежной

ФГБО

У ВПО



У ВПО



системы MasterCard Int. Выпуском подобных карт сегодня занимают-ся различные банки, своевременно оценив их преимущества и потен-циал. VISA E- c@rd и Virtual MasterCard применяются исключительно для оплаты через Интернет товаров и услуг в электронных магазинах по всему миру, включая Россию, а также услуг операторов сотовой связи, провайдеров Интернета, туристических фирм и отелей.


Перечислите различные средства телекоммуникационного общения. В чем 1. состоят особенности каждого из них?В чем состоят причины успеха социальных сетей? Почему они оказывают 2. такое сильное влияние на пользователей?Какие услуги предоставляет пользователям электронная коммерция?3. Перечислите функции виртуального торгового автомата.4. Назовите особенности, относящиеся к различным электронным картам.5.

ФГБО

У ВПО



У ВПО



сПисок лиТераТуры

Калинкина Т. И.1. Телекоммуникационные и вычислительные сети. Архитектура, стандарты и технологии / Т. И. Калинкина, Б. В. Костров, В. Н. Ручкин. — СПб. : БВХ- Петербург, 2010.

Гусева А. И.2. Сети и межсетевые коммуникации. Windows 2000 / А. И. Гу-сева. — М. : ДИАЛОГ- МИФИ, 2002.

Гусева А. И.3. Сети и межсетевые взаимодействия / А. И. Гусева. — М. : МИФИ, 2006.

Мельников В. П.4. Информационная безопасность и защита информа-ции / В. П. Мельников, С. А. Клейменов, А. М. Петраков. — М. : Изд. центр «Академия», 2008.

Храмцов П. Б.5. Основы Web- технологий. Курс лекций. Специальность Интернет- технологии / П. Б. Храмцов, С. А. Брик, А. М. Русак, А. И. Сурин. — М. : Изд- во «Интернет- университет информационных технологий», 2003.

Тодд Мазерс.6. Администрирование Windows Server 2003/2000 на тер-минальном сервере / Мазерс Тодд. — М. : Издательский дом «Вильямс», 2010.

Сидни Фейт.7. TCP/IP. Архитектура, протоколы, реализация (включая IP версии 6 и IP Security) / Фейт Сидни. — М. : «Лори», 2009.

Белов Е. Б.8. Основы информационной безопасности / Е. Б. Белов, В. П. Лось, Р. В. Мещеряков, А. Л. Шелупанов. — М. : Горячая линия—Телеком, 2006.

Гусева А. И.9. Программный тренажер «Вычислительные сети и теле-коммуникации. Стек TCP/IP» / [А. И. Гусева, В. С. Киреев, С. И. Гаврилов и др.] // М. : РОСПАТЕНТ, Свидетельство о государственной регистрации программы для ЭВМ № 2010611485 от 19.02.2010 .

Электронный обучающий курс «Информатика. Вычислительные сети 10. и телекоммуникации» в формате SCORM 2004 / А. И. Гусева, В. С. Киреев, И. М. Кожин, А. В. Иванов, С. А. Романов // М. : РОСПАТЕНТ, Свидетель-ство о государственной регистрации № 2011613851 от 18.07.2011.

ФГБО

У ВПО



У ВПО



285

оГлавление

Предисловие ......................................................................................................3

Р А З Д Е Л I.  ОСНОВНыЕ ПОНяТИя ВычИСЛИТЕЛьНыХ  МАШИН И СИСТЕМ

Глава 1. Основные понятия вычислительных систем ..............................4

1.1. История и тенденции развития вычислительной техники ......................41.2. Основные характеристики компьютеров..................................................61.3. Принципы построения и архитектура ЭВМ ............................................81.4. Классификация ЭВМ ............................................................................... 10

Глава 2. Архитектура современных вычислительных систем ............... 14

2.1. Классификация архитектур вычислительных систем ............................ 142.2. Одиночный поток команд — одиночный поток данных ....................... 162.3. Одиночный поток команд — множественный поток данных ............... 182.4. Множественный поток команд — одиночный поток данных .............. 192.5. Множественный поток команд — множественный поток данных ...... 20

Р А З Д Е Л II.  ОСНОВНыЕ ПОНяТИя ВычИСЛИТЕЛьНыХ СЕТЕй

Глава 3. Компьютерные сети и сети Интернет ....................................... 26

3.1. Географический размер сети ................................................................... 263.2. Технология передачи данных .................................................................. 283.3. Способ разделения ресурсов ................................................................... 303.4. Топология сети ......................................................................................... 323.5. Характеристики сетевых технологий ...................................................... 38

Глава 4. Распределенная обработка данных............................................ 46

4.1. Основные понятия распределенной обработки данных ........................ 464.2. Распределенные системы обработки данных ......................................... 474.3. Распределенные вычисления, или грид- системы .................................. 484.4. Центры обработки данных ...................................................................... 504.5. Облачные вычисления ............................................................................. 514.6. Виртуализация .......................................................................................... 55

Глава 5. Протоколы связи и семиуровневая модель ISO ..................... 60

5.1. Протоколы связи ...................................................................................... 615.2. Семиуровневая модель OSI ..................................................................... 615.3. Стандарт IEEE 802 ...................................................................................64

ФГБО

У ВПО



У ВПО



286

5.4. Протоколы ГВС ....................................................................................... 655.5. Стеки протоколов фирм- производителей .............................................. 67

Глава 6. Технологии передачи данных ...................................................... 69

6.1. Коммутация каналов ................................................................................ 696.2. Коммутация пакетов ................................................................................ 706.3. Сети с динамической и постоянной коммутацией ................................ 72

Глава 7. Физический уровень связи и уровень канала данных ........... 73

7.1. Физический уровень OSI ......................................................................... 737.2. Канальный уровень OSI .......................................................................... 737.3. Подуровень MAC ..................................................................................... 747.4. Подуровень LLC ....................................................................................... 787.5. Взаимодействие MAC и LLC ................................................................... 81

Глава 8. Типовые сетевые технологии локальных сетей ....................... 82

8.1. Сеть Ethernet ............................................................................................. 828.2. Token Ring ................................................................................................. 898.3. Технология FDDI ..................................................................................... 92

Глава 9. Технология беспроводных сетей ................................................. 96

9.1. Беспроводные среды передачи ................................................................ 969.2. Требования к беспроводным сетям ........................................................ 989.3. Типы беспроводных сетей ....................................................................... 999.4. Беспроводные персональные сети .........................................................1019.5. Беспроводные локальные сети .............................................................. 1059.6. Беспроводные городские сети ............................................................... 1089.7. Беспроводные глобальные сети ............................................................. 109

Глава 10. Интеграционное оборудование ................................................112

10.1. Средства масштабирования сетей ........................................................11210.2. Повторители ..........................................................................................11310.3. Мосты .....................................................................................................11410.4. Коммутаторы ......................................................................................... 11710.5. Маршрутизаторы, протоколы маршрутизации и шлюзы ...................11910.6. Практика решения задач ......................................................................123

Р А З Д Е Л III.  TCP/IP КАК ОСНОВА ТЕЛЕКОММУНИКАЦИй

Глава 11. Основные понятия TCP/IP .................................................... 126

11.1. Сравнение стека протоколов TCP/IP с моделью OSI ........................ 12611.2. Протоколы ARP и RARP ...................................................................... 12811.3. Протоколы IP, UDP и TCP ...................................................................13011.4. Классы IP- адресов .................................................................................13211.5. Формирование масок подсетей .............................................................13611.6. Практика решения задач ...................................................................... 140

Глава 12. Протокол DHCP и маршрутизация ....................................... 143

12.1. Механизм аренды IP- адреса ................................................................ 143

ФГБО

У ВПО



У ВПО



287

12.2. IP- маршрутизация ................................................................................ 144

Глава 13. Функционирование службы DNS ...........................................147

13.1. Имена службы DNS ...............................................................................14713.2. Распознавание имен ............................................................................. 14813.3. WINS и разрешение имен NetBIOS .....................................................15113.4. Управление сетями TCP/IP и протоколы прикладного

уровня ..................................................................................................... 152

Глава 14. Развитие протокола TCP/IP................................................... 158

14.1. Проблемы расширения адресного пространства ............................... 15814.2. Протокол IPv6 ...................................................................................... 160

Р А З Д Е Л IV.  ОСНОВы СЕТЕВОй БЕзОПАСНОСТИ

Глава 15. Основные понятия безопасности ........................................... 165

15.1. Безопасная информационная система ................................................ 16515.2. Классификация угроз ........................................................................... 16615.3. Построение системы обеспечения безопасности .............................. 169

Глава 16. Технологии обеспечения безопасности ..................................172

16.1. Аутентификация, авторизация и аудит ................................................17216.2. Контроль доступа ..................................................................................17616.3. Шифрование и электронная цифровая подпись ............................... 18016.4. Виртуальные частные сети ................................................................... 18316.5. Брандмауэры ......................................................................................... 18716.6. Антивирусная защита ........................................................................... 19016.7. Антиспамовая защита .......................................................................... 195

Р А З Д Е Л V.  УПРАВЛЕНИЕ СЕТЕВыМИ РЕСУРСАМИ  НА ПРИМЕРЕ WINDOWS 7

Глава 17. Особенности сетевой архитектуры Windows ....................... 198

17.1. История развития ОС Windows ............................................................ 19817.2. Сетевая архитектура Windows .............................................................. 20017.3. Active Directory ...................................................................................... 20517.4. Практика решения задач .......................................................................210

Глава 18. Управление ресурсами Windows 7 ...........................................212

18.1. Консоли Windows 7 ................................................................................21218.2. Управление группами ............................................................................21518.3. Управление пользовательскими бюджетами ...................................... 22118.4. Права пользователей и групп .............................................................. 22218.5. Файловые системы ............................................................................... 22318.6. Управление дисками ............................................................................ 22418.7. Разделяемые папки и встроенные средства безопасности ................ 22618.8. Сетевая печать .......................................................................................23118.9. Практика решения задач ..................................................................... 234

ФГБО

У ВПО



У ВПО



Глава 19. Групповые политики.................................................................. 237

19.1..Оснастка.редактора.групповых.политик.............................................. 23819.2..Административные.шаблоны............................................................... 24319.3..Политика.безопасности........................................................................ 247

РА здел . VI. Веб- технолоГии и интернет- приложения

Глава 20. Веб как пример архитектуры клиент- сервер........................ 256

20.1..двухзвенная.и.трехзвенная.архитектура.клиент-.сервер..................... 25620.2..Технологии.промежуточного.ПО:.RMI,.CORBA.и.DCOM................ 25920.3..Веб.как.архитектура.клиент-.сервер..................................................... 26220.4..Язык.XML.............................................................................................. 26520.5..Веб-.сервисы........................................................................................... 26620.6..Сервис-.ориентированная.архитектура................................................ 26720.7..Примеры.сервис-.ориентированной.архитектуры............................... 269

Глава 21. различные приложения интернета........................................ 272

21.1..Телекоммуникационные.средства.общения......................................... 27221.2..Социальные.сети................................................................................... 27621.3..Электронная.коммерция....................................................................... 278

Список.литературы........................................................................................ 284

Учебное издание

Гусева Анна ивановна,Киреев Василий Сергеевич

Вычислительные системы, сети и телекоммуникации

Учебник

Технический.редактор.Е. Ф. КоржуеваКомпьютерная.верстка:.Г. Ю. НикитинаКорректор.А. П. Сизова

Изд..№.101114911..Подписано.в.печать.24.09.2013..Формат.60×90/16...Гарнитура.«Ньютон»..Бумага.офс..№.1..Печать.офсетная..Усл..печ..л..18,0...Тираж.1 200.экз..заказ.№

ООО.Издательский.центр.«Академия»..www.academia-moscow.ru129085,.Москва,.пр-т.Мира,.101.В,.стр..1,.а/я.48..Тел./факс:.(495)648-0507,.616-0029..Cанитарно-эпидемиологическое.заключение.№.РОСС.RU.AE51.H.16476.от.05.04.2013.

Отпечатано.с.электронных.носителей,.предоставленных.издательством,в.ОАО.«Саратовский.полиграфкомбинат»..www.sarpk.ru410004,.г..Саратов,.ул..Чернышевского,.59.

ФГБО

У ВПО



У ВПО

