Зміст
Вступ
1. Аналіз організації передачі даних по каналах комп’ютерних мереж
1.1 Аналіз фізичної організації передачі даних
1.1.1 Топологія фізичних зв'язків
1.1.2 Організація сумісного використання ліній зв'язку
1.2 Структуризація каналів як засіб побудови великих мереж
1.2.1 Фізична структуризація мережі
1.2.2 Логічна структуризація мережі
1.3 Висновок
2. Фізична сутність та порядок організації каналів комп’ютерних мереж
2.1 Структурована кабельна система комп’ютерної мережі
2.2 Кабель кручена пара
2.3 Коаксіальний кабель
2.4 Оптоволоконний кабель
2.5 Висновок
3. Сутність існуючих методів доступу до каналів комп’ютерних мереж
3.1 Метод доступу до каналів комп’ютерних мереж з перевіркою несучої та виявленням колізій CSMA/CD
3.2 Методи подолання колізій
3.3 Метод маркерного доступу в локальних мережах з різною топологією
3.4 Висновок
4. Засоби здійснення авторизації доступу до каналів комп’ютерних мереж
4.1 Місце процесів авторизації доступу при організації інформаційних систем на основі комп’ютерних мереж
4.2 Настройка мережевих служб для здійснення авторизації доступу до мережі Інтернет
4.2.1 Авторизація на основі логіна і пароля
4.2.2 Авторизація через облікові записи Windows
4.2.3 Практичне вирішення побудови системи авторизації через Windows домен
4.3 Практичні рекомендації щодо забезпечення доступу до каналів комп’ютерної мережі підприємства
4.3.1 Авторизація доступу на фізичному рівні організації комп’ютерних мереж
4.3.2 Авторизація доступу на канальному рівні організації комп’ютерних мереж
4.3.3 Авторизація доступу на мережевому рівні організації комп’ютерних мереж
4.3.4 Авторизація доступу на транспортному рівні організації комп’ютерних мереж
4.4 Висновок
Висновки
Вступ
Тільки в мережі з повнозв’язною топологією для з'єднання кожної пари комп'ютерів є окремий канал. У решті випадків неминуче виникає питання про те, як організувати сумісне використання каналів комп’ютерних мереж кількома комп'ютерами мережі. Як завжди при розділенні ресурсів, головною метою тут є здешевлення мережі.
У комп’ютерних мережах використовують як індивідуальні лінії зв'язку між комп'ютерами, так загальні поділювані (shared) лінії, коли одна лінія зв'язку почергово використовується кількома комп'ютерами. У разі застосування поділюваних ліній зв'язку (часто використовується також термін поділюване середовище передачі даних – shared media) виникає комплекс проблем, пов'язаних з їх сумісним використанням, який включає як чисто електричні проблеми забезпечення потрібної якості сигналів при підключенні до одного і того ж дроту кількох приймачів і передавачів, так і логічні проблеми розділення в часі доступу до цих ліній.
Класичним прикладом мережі з поділюваними лініями зв'язку є мережі з топологією «загальна шина», в яких один кабель спільно використовується всіма комп'ютерами мережі. Жоден з комп'ютерів мережі у принципі не може індивідуально, незалежно від всіх інших комп'ютерів мережі, використовувати кабель, оскільки при одночасній передачі даних відразу декількома вузлами сигнали змішуються і спотворюються. У токологіях «кільце» або «зірка» індивідуальне використання ліній зв'язку, що сполучають комп'ютери, принципово можливе, але ці кабелі часто також розглядають як поділюваний ресурс мережі для всіх комп'ютерів, так що, наприклад, тільки один комп'ютер кільця має право в даний момент часу відправляти по кільцю пакети іншим комп'ютерам.
Існують різні способи рішення задачі організації доступу до каналів комп’ютерних мереж. Усередині комп'ютера проблеми розділення ліній зв'язку між різними модулями також існують – прикладом є доступ до системної шини, яким управляє або процесор, або спеціальний арбітр шини. У мережах організація сумісного доступу до ліній зв'язку має свою специфіку через істотно більший час розповсюдження сигналів по довгих лініях, до того ж цей час для різних пар комп'ютерів може бути різним. Через це процедури узгодження доступу до лінії зв'язку можуть займати дуже великий проміжок часу і приводити до значних втрат продуктивності мережі.
Не дивлячись на всі ці складнощі, в локальних мережах поділювані лінії зв'язку використовуються дуже часто. Цей підхід, зокрема, реалізований в широко поширених класичних технологіях Ethernet і Token Ring. Проте останніми роками намітилася тенденція відмови від середовищ передачі даних, що розділяються, і в локальних мережах. Це пов'язано з тим, що за здешевлення мережі, що досягається таким чином, доводиться розплачуватися продуктивністю.
Мережа з поділюваним середовищем при великій кількості вузлів працюватиме завжди повільніше, ніж аналогічна мережа з індивідуальними лініями зв'язку, оскільки пропускна спроможність каналу одному комп'ютеру, а при її сумісному використанні – ділиться на всі комп'ютери мережі.
Часто з такою втратою продуктивності миряться ради збільшення економічної ефективності мережі. Не тільки у класичних, але і в зовсім нових технологіях, розроблених для локальних мереж, зберігається режим поділюваних ліній зв'язку. Наприклад, розробники технології Gigabit Ethernet, прийнятої в 1998 році як новий стандарт, включили режим розділення передавального середовища в свої специфікації разом з режимом роботи по індивідуальних лініях зв'язку.
При використанні індивідуальних каналів зв'язку в повнозв'язних топологіях кінцеві вузли повинні мати по одному порту на кожну лінію зв'язку. У зіркоподібних топологіях кінцеві вузли можуть підключатися індивідуальними лініями зв'язку до спеціального пристрою – комутатору. У глобальних мережах комутатори використовувалися вже на початковому етапі, а в локальних мережах – з початку 90-х років. Комутатори приводять до подорожчання локальної мережі, тому поки їх застосування обмежене, але по мірі зниження вартості комутації цей підхід, можливо, витіснить застосування поділюваних ліній зв'язку. Необхідно підкреслити, що індивідуальними в таких мережах є тільки лінії зв'язку між кінцевими вузлами і комутаторами мережі, а зв'язки між комутаторами залишаються поділюваними, оскільки по ним передаються повідомлення різних кінцевих вузлів.
У глобальних мережах відмова від поділюваних ліній зв'язку пояснюється технічними причинами. Тут великі часові затримки розповсюдження сигналів принципово обмежують застосовність техніки розділення лінії зв'язку. Комп'ютери можуть витратити більше часу на переговори про те, кому зараз можна використовувати лінію зв'язку, ніж безпосередньо на передачу даних по цій лінії зв'язку. Проте це не відноситься до каналів зв'язку типу «комутатор-комутатор». В такому випадку тільки два комутатори борються за доступ до каналу мережі, і це істотно спрощує завдання організації сумісного його використання. Тому питання авторизації доступу до каналів комп’ютерних мереж і досі є вельми актуальним.
Виходячи з цього, метою даної роботи є дослідження засобів здійснення авторизації доступу до каналів комп’ютерних мереж.
Для досягнення поставленої мети в роботі слід вирішити наступні завдання:
1. Провести класифікацію методів доступу до каналів зв’язку в комп’ютерних мережах.
2. Проаналізувати особливості фізичної організації каналів комп’ютерних мереж.
3. Детально дослідити принципи і суть організації доступу до каналів комп’ютерних мереж з перевіркою несучої.
4. Детально дослідити принципи і суть організації доступу до каналів комп’ютерних мереж на основі маркеру.
5. Обґрунтувати технічні засоби здійснення авторизації доступу до каналів комп’ютерних мереж.
6. Обґрунтувати місце процесів авторизації доступу при організації інформаційних систем на основі комп’ютерних мереж.
7. Здійснити практичну настройку мережевих служб для авторизації доступу до мережі Інтернет.
8. Розробити рекомендації щодо забезпечення доступу до каналів комп’ютерної мережі підприємства.
Розділ 1. Аналіз організації передачі даних по каналах комп’ютерних мереж
1.1 Аналіз фізичної організації передачі даних
Навіть при розгляді простої мережі, що складається всього з двох машин, можна побачити багато проблем, властивих будь-якій обчислювальній мережі, зокрема проблеми, пов'язані з фізичною передачею сигналів по лініях зв'язку, без вирішення якої неможливий будь-який вид зв'язку.
У обчислювальній техніці для представлення даних використовується двійковий код. Усередині комп'ютера одиницям і нулям даних відповідають дискретні електричні сигнали. Представлення даних у вигляді електричних або оптичних сигналів називається кодуванням. Існують різні способи кодування двійкових цифр 1 і 0, наприклад, потенційний спосіб, при якому одиниці відповідає один рівень напруги, а нулю - інший, або імпульсний спосіб, коли для представлення цифр використовуються імпульси різною або одній полярності.
Аналогічні підходи можуть бути використані для кодування даних і при передачі їх між двома комп'ютерами по лініях зв'язку. Проте ці лінії зв'язку відрізняються по своїх електричних характеристиках від тих, які існують усередині комп'ютера. Головна відмінність зовнішніх ліній зв'язку від внутрішніх полягає в їх набагато більшій протяжності, а також в тому, що вони проходять поза екранованим корпусом по просторах, часто схильних до дії сильних електромагнітних перешкод. Все це приводить до значно великих спотворень прямокутних імпульсів (наприклад, «заваленню» фронтів), чим усередині комп'ютера. Тому для надійного розпізнавання імпульсів на приймальному кінці лінії зв'язку при передачі даних усередині і поза комп'ютером не завжди можна використовувати одні і ті ж швидкості і способи кодування. Наприклад, повільне наростання фронту імпульсу із-за високого ємкісного навантаження лінії вимагає передачі імпульсів з меншою швидкістю (щоб передній і задній фронти сусідніх імпульсів не перекривалися і імпульс встиг дорости до необхідного рівня).
У обчислювальних мережах застосовують як потенційне, так і імпульсне кодування дискретних даних, а також специфічний спосіб представлення даних, який ніколи не використовується усередині комп'ютера, - модуляцію (рис. 1.1). При модуляції дискретна інформація представляється синусоїдальним сигналом тієї частоти, яку добре передає наявна лінія зв'язку.
Рис. 1.1. Приклади представлення дискретної інформації
Потенційне або імпульсне кодування застосовується на каналах високої якості, а модуляція на основі синусоїдальних сигналів переважно у тому випадку, коли канал вносить сильні спотворення до передаваних сигналів. Зазвичай модуляція використовується в глобальних мережах при передачі даних через аналогові телефонні канали зв'язки, які були розроблені для передачі голосу в аналоговій формі і тому погано підходять для безпосередньої передачі імпульсів.
На спосіб передачі сигналів впливає і кількість проводів в лініях зв'язку між комп'ютерами. Для скорочення вартості ліній зв'язку в мережах зазвичай прагнуть до скорочення кількості проводів і через це використовують не паралельну передачу всіх біт одного байта або навіть декілька байт, як це робиться усередині комп'ютера, а послідовну, побитную передачу, що вимагає всього однієї пари проводів.
Ще однією проблемою, яку потрібно вирішувати при передачі сигналів, є проблема взаємної синхронізації передавача одного комп'ютера з приймачем іншого. При організації взаємодії модулів усередині комп'ютера ця проблема вирішується дуже просто, оскільки в цьому випадку всі модулі синхронізуються від загального тактового генератора. Проблема синхронізації при зв'язку комп'ютерів може вирішуватися різними способами, як за допомогою обміну спеціальними тактовими синхроімпульсами по окремій лінії, так і за допомогою періодичної синхронізації заздалегідь обумовленими кодами або імпульсами характерної форми, що відрізняється від форми імпульсів даних.
Не дивлячись на заходи, що робляться, - вибір відповідної швидкості обміну даними, ліній зв'язку з певними характеристиками, способу синхронізації приймача і передавача, - існує вірогідність спотворення деяких біт передаваних даних. Для підвищення надійності передачі даних між комп'ютерами часто використовується стандартний прийом - підрахунок контрольної суми і передача її по лініях зв'язку після кожного байта або після деякого блоку байтів. Часто в протокол обміну даними включається як обов'язковий елемент сигнал-квитанція, який підтверджує правильність прийому даних і посилається від одержувача відправникові.
Завдання надійного обміну двійковими сигналами, представленими відповідними електромагнітними сигналами, в обчислювальних мережах вирішує певний клас устаткування. У локальних мережах це мережеві адаптери, а в глобальних мережах - апаратура передачі даних, до якої відносяться, наприклад, пристрої, виконуючу модуляцію і демодуляцію дискретних сигналів, - модеми. Це устаткування кодує і декодує кожен інформаційний біт, синхронізує передачу електромагнітних сигналів по лініях зв'язку, перевіряє правильність передачі по контрольній сумі і може виконувати деякі інші операції. Мережеві адаптери розраховані, як правило, на роботу з певним передавальним середовищем - коаксіальним кабелем, витою парою, оптоволокном і тому подібне Кожен тип передавального середовища володіє певними електричними характеристиками, що впливають на спосіб використання даного середовища, і визначає швидкість передачі сигналів, спосіб їх кодування і деякі інші параметри
1.1.1 Топологія фізичних зв'язків
При об'єднанні в мережу більшого числа комп'ютерів виникає цілий комплекс нових проблем.
Насамперед необхідно вибрати спосіб організації фізичних зв'язків, тобто топологію. Під топологією обчислювальної мережі розуміється конфігурація графа, вершинам якого відповідають комп'ютери мережі (іноді і інше устаткування, наприклад концентратори), а ребрам - фізичні зв'язки між ними. Комп'ютери, підключені до мережі, часто називають станціями або вузлами мережі.
Відмітимо, що конфігурація фізичних зв'язків визначається електричними з'єднаннями комп'ютерів між собою і може відрізнятися від конфігурації логічних зв'язків між вузлами мережі. Логічними зв'язками є маршрути передачі даних між вузлами мережі і утворюються шляхом відповідного налаштування комунікаційного устаткування.
Вибір топології електричних зв'язків істотно впливає на багато характеристик мережі. Наприклад, наявність резервних зв'язків підвищує надійність мережі і робить можливим балансування завантаження окремих каналів. Простота приєднання нових вузлів, властива деяким топологиям, робить мережу легко розширюваною. Економічні міркування часто приводять до вибору топологий, для яких характерна мінімальна сумарна довжина ліній зв'язку. Розглянемо деякі, що найчастіше зустрічаються топології.
Повнозв'язна топологія
(рис. 1.2, а) відповідає мережі, в якій кожен комп'ютер мережі пов'язаний зі всіма останніми. Не дивлячись на логічну простоту, цей варіант виявляється громіздким і неефективним. Дійсно, кожен комп'ютер в мережі повинен мати велику кількість комунікаційних портів, достатню для зв'язку з кожним з решти комп'ютерів мережі. Для кожної пари комп'ютерів має бути виділена окрема електрична лінія зв'язку. Повнозв'язні топології застосовуються рідко, оскільки не задовольняють жодному з приведених вище вимог. Частіше цей вид топології використовується в багатомашинних комплексах або глобальних мережах при невеликій кількості комп'ютерів.
Всі інші варіанти засновані на неполносвязных топологиях, коли для обміну даними між двома комп'ютерами може потрібно проміжна передача даних через інші вузли мережі.
Комірчаста топологія (mesh)
виходить з повнозв'язної шляхом видалення деяких можливих зв'язків (рис. 1.2, б). У мережі з комірчастою топологією безпосередньо зв'язуються тільки ті комп'ютери, між якими відбувається інтенсивний обмін даними, а для обміну даними між комп'ютерами, не сполученими прямими зв'язками, використовуються транзитні передачі через проміжні вузли. Комірчаста топологія допускає з'єднання великої кількості комп'ютерів і характерна, як правило, для глобальних мереж.
Загальна шина
(рис. 1.2, в) є дуже поширеною (а до недавнього часу найпоширенішою) топологією для локальних мереж. В цьому випадку комп'ютери підключаються до одного коаксіального кабелю по схемі «монтажного АБО». Передавана інформація може розповсюджуватися в обидві сторони. Застосування загальної шини знижує вартість проводки, уніфікує підключення різних модулів, забезпечує можливість майже миттєвого широкомовного звернення до всіх станцій мережі. Таким чином, основними перевагами такої схеми є дешевизна і простота розводки кабелю по приміщеннях. Найсерйозніший недолік загальної шини полягає в її низькій надійності: будь-який дефект кабелю або якого-небудь з численних роз'ємів повністю паралізує всю мережу. На жаль, дефект коаксіального роз'єму рідкістю не є. Іншим недоліком загальної шини є її невисока продуктивність, оскільки при такому способі підключення в кожен момент часу тільки один комп'ютер може передавати дані в мережу. Тому пропускна спроможність каналу зв'язку завжди ділиться тут між всіма вузлами мережі.
Топологія зірка
(рис. 1.2, г). В цьому випадку кожен комп'ютер підключається окремим кабелем до загального пристрою, званого концентратором, який знаходиться в центрі мережі. У функції концентратора входить напрям передаваній комп'ютером інформації одному або решті всіх комп'ютерів мережі. Головна перевага цієї топології перед загальною шиною - істотно велика надійність. Будь-які неприємності з кабелем стосуються лише того комп'ютера, до якого цей кабель приєднаний, і лише несправність концентратора може вивести з ладу всю мережу. Крім того, концентратор може грати роль інтелектуального фільтру інформації, що поступає від вузлів в мережу, і при необхідності блокувати заборонені адміністратором передачі.
До недоліків топології типу зірка відноситься вища вартість мережевого устаткування із-за необхідності придбання концентратора. Крім того, можливості по нарощуванню кількості вузлів в мережі обмежуються кількістю портів концентратора. Іноді має сенс будувати мережу з використанням декількох концентраторів, ієрархічно сполучених між собою зв'язками типу зірка (рис. 1.2, д). В даний час ієрархічна зірка є найпоширенішим типом топології зв'язків як в локальних, так і глобальних мережах.
У мережах з кільцевою конфігурацією (рис. 1.2, е) дані передаються по кільцю від одного комп'ютера до іншого, як правило, в одному напрямі. Якщо комп'ютер розпізнає дані як «свої», то він копіює їх собі у внутрішній буфер. У мережі з кільцевою топологією необхідно приймати спеціальні заходи, щоб у разі виходу з ладу або відключення якої-небудь станції не урвався канал зв'язку між рештою станцій. Кільце є дуже зручною конфігурацією для організації зворотного зв'язку - дані, зробивши повний оборот, повертаються до вузла-джерела. Тому цей вузол може контролювати процес доставки даних адресатові. Часто це властивість кільця використовується для тестування зв'язності мережі і пошуку вузла, що працює некоректно. Для цього в мережу посилаються спеціальні тестові повідомлення.
Рис. 1.2. Типові топології мереж
Тоді як невеликі мережі, як правило, мають типову топологію - зірка, кільце або загальна шина, для крупних мереж характерна наявність довільних зв'язків між комп'ютерами. У таких мережах можна виділити окремі довільно зв'язані фрагменти (підмережі), що мають типову топологію, тому їх називають мережами із змішаною топологією (рис. 1.3).
Рис. 1.3. Змішана топологія
1.1.2 Організація сумісного використання ліній зв'язку
Тільки у мережі з повнозв'язною топологією для з'єднання кожної пари комп'ютерів є окрема лінія зв'язку. У решті всіх випадків неминуче виникає питання про те, як організувати сумісне використання ліній зв'язку декількома комп'ютерами мережі. Як і завжди при розділенні ресурсів, головною метою тут є здешевлення мережі.
У обчислювальних мережах використовують як індивідуальні лінії зв'язку між комп'ютерами, так і що розділяються (shared), коли одна лінія зв'язку поперемінно використовується декількома комп'ютерами. У разі застосування ліній зв'язку (часто використовується також термін середовище передачі даних, що розділяється, - shared media), що розділяються, виникає комплекс проблем, пов'язаних з їх сумісним використанням, який включає як чисто електричні проблеми забезпечення потрібної якості сигналів при підключенні до одного і тому ж дроту декількох приймачів і передавачів, так і логічні проблеми розділення в часі доступу до цих ліній.
Класичним прикладом мережі з лініями зв'язку, що розділяються, є мережі з топологією «загальна шина», в яких один кабель спільно використовується всіма комп'ютерами мережі. Жоден з комп'ютерів мережі в принципі не може індивідуально, незалежно від всіх інших комп'ютерів мережі, використовувати кабель, оскільки при одночасній передачі даних відразу декількома вузлами сигнали змішуються і спотворюються. У топологиях «кільце» або «зірка» індивідуальне використання ліній зв'язку, що сполучають комп'ютери, принципово можливо, але ці кабелі часто також розглядають як мережі, що розділяються для всіх комп'ютерів, так що, наприклад, тільки один комп'ютер кільця має право в даний момент часу відправляти по кільцю пакети іншим комп'ютерам.
Існують різні способи рішення задачі організації сумісного доступу до ліній зв'язку, що розділяються. Усередині комп'ютера проблеми розділення ліній зв'язку між різними модулями також існують - прикладом є доступ до системної шини, яким управляє або процесор, або спеціальний арбітр шини. У мережах організація сумісного доступу до ліній зв'язку має свою специфіку із-за істотно більшого часу розповсюдження сигналів по довгих проводах, до того ж це час для різних пар комп'ютерів може бути різним. Через це процедури узгодження доступу до лінії зв'язку можуть займати дуже великий проміжок часу і приводити до значних втрат продуктивності мережі.
Не дивлячись на всі ці складнощі, в локальних мережах лінії зв'язку, що розділяються, використовуються дуже часто. Цей підхід, зокрема, реалізований в широко поширених класичних технологіях Ethernet і Token Ring. Проте останніми роками намітилася тенденція відмови від середовищ передачі даних, що розділялися, і в локальних мережах. Це пов'язано з тим, що за здешевлення мережі, що досягається таким чином, доводиться розплачуватися продуктивністю.
Мережа з середовищем, що розділяється, при великій кількості вузлів працюватиме завжди повільніше, ніж аналогічна мережа з індивідуальними лініями зв'язку, оскільки пропускна спроможність індивідуальної лінії зв'язку дістається одному комп'ютеру, а при її сумісному використанні - ділиться на всі комп'ютери мережі.
Часто з такою втратою продуктивності миряться ради збільшення економічної ефективності мережі. Не тільки у класичних, але і в зовсім нових технологіях, розроблених для локальних мереж, зберігається режим ліній зв'язку, що розділяються. Наприклад, розробники технології Gigabit Ethernet, прийнятої в 1998 році як новий стандарт, включили режим розділення передавального середовища в свої специфікації разом з режимом роботи по індивідуальних лініях зв'язку.
При використанні індивідуальних ліній зв'язку в повнозв'язних топологиях кінцеві вузли повинні мати по одному порту на кожну лінію зв'язку. У зіркоподібних топологиях кінцеві вузли можуть підключатися індивідуальними лініями зв'язку до спеціального пристрою - комутатора. У глобальних мережах комутатори використовувалися вже на початковому етапі, а в локальних мережах - з початку 90-х років. Комутатори приводять до істотного дорожчання локальної мережі, тому поки їх застосування обмежене, але у міру зниження вартості комутації цей підхід, можливо, витіснить застосування ліній зв'язку, що розділяються. Необхідно підкреслити, що індивідуальними в таких мережах є тільки лінії зв'язку між кінцевими вузлами і комутаторами мережі, а зв'язки між комутаторами залишаються такими, що розділяються, оскільки по ним передаються повідомлення різних кінцевих вузлів (рис. 1.4).
Рис. 1.4. Індивідуальні лінії зв'язку, що розділяються, в мережах на основі комутаторів
У глобальних мережах відмова від ліній, що розділяються, зв'язку пояснюється технічними причинами. Тут великі тимчасові затримки розповсюдження сигналів принципово обмежують застосовність техніки розділення лінії зв'язку. Комп'ютери можуть витратити більше часу на переговори про той, кому зараз можна використовувати лінію зв'язку, чим безпосередньо на передачу даних по цій лінії зв'язку. Проте це не відноситься до ліній зв'язку типу «комутатор - комутатор». В цьому випадку тільки два комутатори борються за доступ до лінії зв'язку, і це істотно спрощує завдання організації сумісного використання лінії.
1.2 Структуризація каналів як засіб побудови великих мереж
У мережах з невеликою (10-30) кількістю комп'ютерів найчастіше використовується одна з типових топологий - загальна шина, кільце, зірка або повнозв'язна мережа. Всі перераховані топології володіють властивістю однорідності, тобто всі комп'ютери в такій мережі мають однакові має рацію відносно доступу до інших комп'ютерів (за винятком центрального комп'ютера при з'єднанні зірка). Така однорідність структури робить простий процедуру нарощування числа комп'ютерів, полегшує обслуговування і експлуатацію мережі.
Проте при побудові великих мереж однорідна структура зв'язків перетворюється з переваги в недолік. У таких мережах використання типових структур породжує різні обмеження, найважливішими з яких є:
· обмеження на довжину зв'язку між вузлами;
· обмеження на кількість вузлів в мережі;
· обмеження на інтенсивність трафіку, що породжується вузлами мережі.
Наприклад, технологія Ethernet на тонкому коаксіальному кабелі дозволяє використовувати кабель завдовжки не більше 185 метрів, до якого можна підключити не більше 30 комп'ютерів. Проте, якщо комп'ютери інтенсивно обмінюються інформацією між собою, іноді доводиться знижувати число підключених до кабелю комп'ютерів 20, а то і до 10, щоб кожному комп'ютеру діставалася прийнятна частка загальної пропускної спроможності мережі.
Для зняття цих обмежень використовуються спеціальні методи структуризації мережі і спеціальне структуротворне устаткування - повторители, концентратори, мости, комутатори, маршрутизатори. Устаткування такого роду також називають комунікаційним, маючи на увазі, що за допомогою його окремі сегменти мережі взаємодіють між собою.
1.2.1 Фізична структуризація мережі
Просте з комунікаційних пристроїв - повторитель (repeater) - використовується для фізичного з'єднання різних сегментів кабелю локальної мережі з метою збільшення загальної довжини мережі. Повторітель передає сигнали, що приходять з одного сегменту мережі, в інших її сегменти (рис. 1.5). Повторітель дозволяє подолати обмеження на довжину ліній зв'язку за рахунок поліпшення якості передаваного сигналу - відновлення його потужності і амплітуди, поліпшення фронтів і тому подібне
Рис. 1.5. Повторитель дозволяє збільшити довжину мережі Ethernet
Концентратори характерні практично для всіх базових технологій локальних мереж - Ethernet, ArcNet, Token Ring, FDDI, Fast Ethernet, Gigabit Ethernet, l00VG-AnyLAN.
Потрібно підкреслити, що в роботі концентраторів будь-яких технологій багато загального - вони повторюють сигнали, що прийшли з одного зі своїх портів, на інших своїх портах. Різниця полягає в тому, на яких саме портах повторюються вхідні сигнали. Так, концентратор Ethernet повторює вхідні сигнали на всіх своїх портах, крім того, з якого сигнали поступають (рис. 1.6, а). А концентратор Token Ring (рис. 1.6, б) повторює вхідні сигнали, що поступають з деякого порту, тільки на одному порту - на тому, до якого підключений наступний в кільці комп'ютер.
Рис. 1.6. Концентратори різних технологій
Нагадаємо, що під фізичною топологією розуміється конфігурація зв'язків, утворених окремими частинами кабелю, а під логічною - конфігурація інформаційних потоків між комп'ютерами мережі. У багатьох випадках фізична і логічна топології мережі збігаються. Наприклад, мережа, представлена на рис. 1.7, а, має фізичну топологію кільце. Комп'ютери цієї мережі дістають доступ до кабелів кільця за рахунок передачі один одному спеціального кадру - маркера, причому цей маркер також передається послідовно від комп'ютера до комп'ютера в тому ж порядку, в якому комп'ютери утворюють фізичне кільце, тобто комп'ютер А передає маркер комп'ютеру В, комп'ютер В - комп'ютеру С и т. д.
Мережа, показана на рис. 1.7, б, демонструє приклад неспівпадання фізичної і логічної топології. Фізично комп'ютери сполучені по топології загальна шина. Доступ же до шини відбувається не по алгоритму випадкового доступу, вживаному в технології Ethernet, а шляхом передачі маркера в кільцевому порядку: від комп'ютера А - комп'ютеру В, від комп'ютера В - комп'ютеру С и т. д. Тут порядок передачі маркера вже не повторює фізичні зв'язки, а визначається логічною конфігурацією драйверів мережевих адаптерів. Ніщо не заважає набудувати мережеві адаптери і їх драйвери так, щоб комп'ютери утворили кільце в іншому порядку, наприклад: У, А, С... При цьому фізична структура мережі ніяк не змінюється.
Рис. 1.7. Логічна і фізична топології мережі
Іншим прикладом неспівпадання фізичної і логічної топологий мережі є вже розглянута мережа на рис. 1.6, а. Концентратор Ethernet підтримує в мережі фізичну топологію зірка. Проте логічна топологія мережі залишилася без змін - це загальна шина. Оскільки концентратор повторює дані, що прийшли з будь-якого порту, на решті всіх портів, то вони з'являються одночасно на всіх фізичних сегментах мережі, як і в мережі з фізичною загальною шиною. Логіка доступу до мережі абсолютно не міняється: всі компоненти алгоритму випадкового доступу - визначення незанятості середовища, захоплення середовища, розпізнавання і відробіток колізій - залишаються в силі.
Фізична структуризація мережі за допомогою концентраторів корисна не тільки для збільшення відстані між вузлами мережі, але і для підвищення її надійності. Наприклад, якщо який-небудь комп'ютер мережі Ethernet з фізичною загальною шиною із-за збою починає безперервно передавати дані по загальному кабелю, то вся мережа виходить з ладу, і для вирішення цієї проблеми залишається тільки один вихід - уручну від'єднати мережевий адаптер цього комп'ютера від кабелю. У мережі Ethernet, побудованій з використанням концентратора, ця проблема може бути вирішена автоматично - концентратор відключає свій порт, якщо виявляє, що приєднаний до нього вузол дуже довго монопольно займає мережу. Концентратор може блокувати некоректно працюючий вузол і в інших випадках, виконуючи роль деякого вузла, що управляє.
1.2.2 Логічна структуризація мережі
Фізична структуризація мережі корисна у багатьох відношеннях, проте у ряді випадків, що зазвичай відносяться до мереж великого і середнього розміру, неможливо обійтися без логічної структуризації мережі. Найбільш важливою проблемою, що не вирішується шляхом фізичної структуризації, залишається проблема перерозподілу передаваного трафіку між різними фізичними сегментами мережі.
У великій мережі природним чином виникає неоднорідність інформаційних потоків: мережа складається з безлічі підмереж робочих груп, відділів, філій підприємства і інших адміністративних утворень. Дуже часто найбільш інтенсивний обмін даними спостерігається між комп'ютерами, що належать до однієї підмережі, і лише невелика частина звернень відбувається до ресурсів комп'ютерів, що знаходяться поза локальними робочими групами. (До недавнього часу таке співвідношення трафіків не бралося під сумнів, і був навіть сформульований емпіричний закон «80/20», відповідно до якого в кожній підмережі 80 % трафіку є внутрішнім і лише 20 % - зовнішнім.) Зараз характер навантаження мереж багато в чому змінився, широко упроваджується технологія intranet, на багатьох підприємствах є централізовані сховища корпоративних даних, активно використовувані всіма співробітниками підприємства. Все це не могло не вплинути на розподіл інформаційних потоків. І тепер не рідкісні ситуації, коли інтенсивність зовнішніх звернень вище інтенсивності обміну між «сусідніми» машинами. Але незалежно від того, в якій пропорції розподіляються зовнішній і внутрішній трафік, для підвищення ефективності роботи мережі неоднорідність інформаційних потоків необхідно враховувати.
Мережа з типовою топологією (шина, кільце, зірка), в якій всі фізичні сегменти розглядаються як одне середовище, що розділяється, виявляється неадекватній структурі інформаційних потоків у великій мережі. Наприклад, в мережі із загальною шиною взаємодія будь-якої пари комп'ютерів займає її на весь час обміну, тому при збільшенні числа комп'ютерів в мережі шина стає вузьким местомом. Комп'ютери одного відділу вимушені чекати, коли закінчить обмін пари комп'ютерів іншого відділу, і це при тому, що необхідність в зв'язку між комп'ютерами двох різних відділів виникає набагато рідше і вимагає зовсім невеликої пропускної спроможності.
Цей випадок ілюструє рис. 1.8, а. Тут показана мережа, побудована з використанням концентраторів. Хай комп'ютер А, що знаходиться в одній підмережі з комп'ютером В, посилає йому дані. Не дивлячись на розгалужену фізичну структуру мережі, концентратори поширюють будь-який кадр по всіх її сегментах. Тому кадр, що посилається комп'ютером А комп'ютеру В, хоча і не потрібний комп'ютерам відділів 2 і 3, відповідно до логіки роботи концентраторів поступає на ці сегменти теж. І до тих пір, поки комп'ютер В не отримає адресований йому кадр, жоден з комп'ютерів цієї мережі не зможе передавати дані.
Така ситуація виникає через те, що логічна структура даної мережі залишилася однорідною - вона ніяк не враховує збільшення інтенсивності трафіку усередині відділу і надає всім парам комп'ютерів рівні можливості по обміну інформацією (рис. 1.8, б).
Вирішення проблеми полягає у відмові від ідеї єдиного однорідного середовища, що розділяється. Наприклад, в розглянутому вище прикладі бажано було б зробити так, щоб кадри, які передають комп'ютери відділу 1, виходили б за межі цієї частини мережі в тому і лише в тому випадку, якщо ці кадри направлені якому-небудь комп'ютеру з інших відділів. З іншого боку, в мережу кожного з відділів повинні потрапляти ті і лише ті кадри, які адресовані вузлам цієї мережі. При такій організації роботи мережі її продуктивність істотно підвищитися, оскільки комп'ютери одного відділу не простоюватимуть в той час, коли обмінюються даними комп'ютери інших відділів.
Рис. 1.8. Суперечність між логічною структурою мережі і структурою інформаційних потоків
Неважко відмітити, що в запропонованому рішенні ми відмовилися від ідеї загального середовища, що розділялося, в межах всієї мережі, хоча і залишили її в межах кожного відділу. Пропускна спроможність ліній зв'язку між відділами не повинна збігатися з пропускною спроможністю середовища усередині відділів. Якщо трафік між відділами складає тільки 20 % трафіку усередині відділу (як вже наголошувалося, ця величина може бути іншій), то і пропускна спроможність ліній зв'язку і комунікаційного устаткування, що сполучає відділи, може бути значно нижче за внутрішній трафік мережі відділу.
Таким чином, розповсюдження трафіку, призначеного для комп'ютерів деякого сегменту мережі, тільки в межах цього сегменту, називається локалізацією трафіку. Логічна структуризація мережі - це процес розбиття мережі на сегменти з локалізованим трафіком.
Для логічної структуризації мережі використовуються такі комунікаційні пристрої, як мости, комутатори, маршрутизатори і шлюзи.
Міст (bridge) ділить середовище передачі мережі, що розділяється, на частини (часто звані логічними сегментами), передаючи інформацію з одного сегменту в іншій тільки в тому випадку, якщо така передача дійсно необхідна, тобто якщо адреса комп'ютера призначення належить іншій підмережі. Тим самим міст ізолює трафік однієї підмережі від трафіку інший, підвищуючи загальну продуктивність передачі даних в мережі. Локалізація трафіку не тільки економить пропускну спроможність, але і зменшує можливість несанкціонованого доступу до даних, оскільки кадри не виходять за межі свого сегменту і їх складніше перехопити зловмисникові.
На рис. 1.9 показана мережа, яка була отримана з мережі з центральним концентратором (див. рис. 1.9) шляхом його заміни на міст. Мережі 1-го і 2-го відділів складаються з окремих логічних сегментів, а мережа відділу 3 - з двох логічних сегментів. Кожен логічний сегмент побудований на базі концентратора і має просту фізичну структуру, утворену відрізками кабелю, що пов'язують комп'ютери з портами концентратора.
Рис. 1.9. Логічна структуризація мережі за допомогою моста
Мости використовують для локалізації трафіку апаратні адреси комп'ютерів. Це утрудняє розпізнавання приналежності того або іншого комп'ютера до певного логічного сегменту - сама адреса не містить ніякої інформації із цього приводу. Тому міст достатньо спрощено представляє ділення мережі на сегменти - він запам'ятовує, через який порт на нього поступив кадр даних від кожного комп'ютера мережі, і надалі передає кадри, призначені для цього комп'ютера, на цей порт. Точної топології зв'язків між логічними сегментами міст не знає. Через це застосування мостів приводить до значних обмежень на конфігурацію зв'язків мережі - сегменти мають бути сполучені так, щоб в мережі не утворювалися замкнуті контури.
Комутатор (switch, switching hub) за принципом обробки кадрів нічим не відрізняється від моста. Основна його відмінність від моста полягає в тому, що він є свого роду комунікаційним мультипроцесором, оскільки кожен його порт оснащений спеціалізованим процесором, який обробляє кадри по алгоритму моста незалежно від процесорів інших портів. За рахунок цього загальна продуктивність комутатора зазвичай набагато вище за продуктивність традиційного моста, що має один процесорний блок. Можна сказати, що комутатори - це мости нового покоління, які обробляють кадри в паралельному режимі.
Обмеження, зв'язані із застосуванням мостів і комутаторів, - по топології зв'язків, а також ряд інших, - привели до того, що у ряді комунікаційних пристроїв з'явився ще один тип устаткування - маршрутизатор (router). Маршрутизатори надійніше і ефективніше, ніж мости, ізолюють трафік окремих частин мережі один від одного. Маршрутизатори утворюють логічні сегменти за допомогою явної адресації, оскільки використовують не плоскі апаратні, а складені числові адреси. У цих адресах є поле номера мережі, так що всі комп'ютери, у яких значення цього поля однакове, належать до одного сегменту, званого в даному випадку підмережею (subnet).
Окрім локалізації трафіку маршрутизатори виконують ще багато інших корисних функцій. Так, маршрутизатори можуть працювати в мережі із замкнутими контурами, при цьому вони здійснюють вибір найбільш раціонального маршруту з декількох можливих. Мережа, представлена на рис. 1.10, відрізняється від своєї попередниці (див. рис. 1.10) тим, що між підмережами відділів 1 і 2 прокладений додатковий зв'язок, який може використовуватися як для підвищення продуктивності мережі, так і для підвищення її надійності.
Рис. 1.10. Логічна структуризація мережі за допомогою маршрутизаторів
Іншою дуже важливою функцією маршрутизаторів є їх здатність зв'язувати в єдину мережу підмережі, побудовані з використанням разных мережевих технологій, наприклад Ethernet і Х.25.
Окрім перерахованих пристроїв окремі частини мережі може сполучати шлюз (gateway). Зазвичай основною причиною, по якій в мережі використовують шлюз, є необхідність об'єднати мережі з різними типами системного і прикладного програмного забезпечення, а не бажання локалізувати трафік. Проте шлюз забезпечує і локалізацію трафіку як деякий побічний ефект.
Крупні мережі практично ніколи не будуються без логічної структуризації. Для окремих сегментів і підмереж характерні типові однорідні топології базових технологій, і для їх об'єднання завжди використовується устаткування, що забезпечує локалізацію трафіку, - мости, комутатори, маршрутизатори і шлюзи.
1.3 Висновок
Таким чином, виходячи з проведеного аналізу організації каналів передачі даних в комп’ютерних мережах можна зробити ряд висновків:
у межах тієї або іншої архітектури КМ повинна забезпечуватись погоджена взаємодія різних її структур. Так, при деякій логічній структурі, яка відповідає прийнятій архітектурі КМ, може бути побудована множина фізичних структур у вигляді різнорідних каналів передачі даних, що впливають на властивості та можливості мережі. Вони являють собою узагальнений алгоритм інформаційного процесу, що протікає в КМ;
при передачі дискретних даних по каналах передачі даних застосовуються два основні типи фізичного кодування - на основі синусоїдального несучого сигналу і на основі послідовності прямокутних імпульсів. Перший спосіб часто називається також модуляцією або аналоговою модуляцією, підкреслюючи той факт, що кодування здійснюється за рахунок зміни параметрів аналогового сигналу. Другий спосіб звичайно називають цифровим кодуванням. Ці способи відрізняються шириною спектру результуючого сигналу і складністю апаратури, необхідної для їх реалізації.
Тому для детального вивчення особливостей доступу до каналів передачі даних розглянемо сутність існуючих методі доступу.
Розділ 2. Фізична сутність та порядок організації каналів комп’ютерних мереж
Канали передачі даних є фундаментом будь-якої мережі. Якщо в каналах щодня відбуваються короткі замикання, контакти роз’ємів то відходять, то знову входять у щільне з’єднання, додавання нової станції призводить до необхідності тестування десятків контактів роз’ємів через те, що документація на фізичні з’єднання не ведеться. Очевидно, що на основі таких каналів передачі даних будь-яке найсучасніше і продуктивне устаткування буде працювати погано. Користувачі будуть незадоволені великими періодами простоїв і низькою продуктивністю мережі, а обслуговуючий персонал буде в постійній "запарці", розшукуючи місця коротких замикань, обривів і поганих контактів. Причому проблем з каналами передачі даних стає набагато більше при збільшенні розмірів мережі.
2.1 Структурована кабельна система комп’ютерної мережі
Відповіддю на високі вимоги до якості каналів зв’язку в комп’ютерних мережах стали структуровані кабельні системи.
Структурована кабельна система (СКС) (Structured Cabling System, SCS) – це набір комутаційних елементів (кабелів, роз’ємів, конекторів, кросових панелей і шаф), а також методика їх спільного використання, яка дозволяє створювати регулярні, легко розширювані структури зв’язків в комп’ютерних мережах.
Структурована кабельна система представляє свого роду "конструктор", за допомогою якого проектувальник мережі будує потрібну йому конфігурацію зі стандартних кабелів, з’єднаних стандартними роз’ємами, які комутуються на стандартних кросових панелях. При необхідності конфігурацію зв’язків можна легко змінити – додати комп’ютер, сегмент, комутатор, вилучити непотрібне устаткування, а також замінити з’єднання між комп’ютерами і концентраторами.
При побудові структурованої кабельної системи мається на увазі, що кожне робоче місце на підприємстві повинне бути оснащене розетками для підключення телефону і комп’ютера, навіть якщо на даний момент цього не потрібно. Тобто добре структурована кабельна система будується надлишковою. У майбутньому це може заощадити час тому, що зміни в підключенні нових пристроїв можна здійснювати за рахунок перекомутації вже прокладених кабелів.
Структурована кабельна система планується і будується ієрархічно з головною магістраллю і численними відгалуженнями від неї (рис. 2.1).
Ця система може бути побудована на базі вже існуючих сучасних телефонних кабельних систем, у яких кабелі, що представляють собою набір кручених пар, прокладаються в кожному будинку, розводяться між поверхами. На кожному поверсі використовується спеціальна кросова шафа, від якої кабелі в трубах і коробах підводяться до кожної кімнати і розводяться по розетках. На жаль, далеко не у всіх будинках телефонні лінії прокладаються крученими парами, тому вони непридатні для створення комп’ютерних мереж, і кабельну систему в такому випадку потрібно будувати заново.
Типова ієрархічна структура структурованої кабельної системи (рис. 2.2) включає:
горизонтальні підсистеми (у межах поверху);
вертикальні підсистеми (усередині будинку);
підсистему кампусу (у межах однієї території з декількома будинками).
Горизонтальна підсистема з’єднує кросову шафу поверху з розетками користувачів. Підсистеми цього типу відповідають поверхам будинку.
Вертикальна підсистема з’єднує кросові шафи кожного поверху з центральною апаратною будинку.
Наступним кроком ієрархії є підсистема кампусу, що з’єднує кілька будинків з головною апаратною усього кампусу. Ця частина кабельної системи звичайно називається магістраллю (backbone).
Рис. 2.1. Ієрархія структурованої кабельної системи
Використання структурованої кабельної системи замість хаотично прокладених кабелів дає підприємству багато переваг.
Універсальність
. Структурована кабельна система при продуманій організації може стати єдиним середовищем для передачі комп’ютерних даних у локальній обчислювальній мережі, організації локальної телефонної мережі, передачі відеоінформації і навіть передачі сигналів від датчиків пожежної безпеки або охоронних систем. Це дозволяє автоматизувати більшість процесів контролю, моніторингу та управління господарськими службами і системами життєзабезпечення підприємства.
Збільшення терміну служби.
Термін морального старіння добре структурованої кабельної системи може складати 10 – 15 років.
Зменшення вартості добавлення нових користувачів і зміни місць їх розташування.
Відомо, що вартість кабельної системи значна і визначається в основному не вартістю кабелю, а вартістю робіт з його прокладки. Тому більш вигідно провести однократну роботу по прокладці кабелю, можливо, з великим запасом по довжині, ніж кілька разів виконувати прокладку, нарощуючи довжину кабелю. При такому підході всі роботи з добавлення або переміщення користувача зводяться до підключення комп’ютера до вже наявної розетки.
Можливість легкого розширення мережі.
Структурована кабельна система є модульною, тому її легко розширювати. Наприклад, до магістралі можна додати нову підмережу, не роблячи ніякого впливу на існуючі підмережі. Можна замінити в окремій підмережі тип кабелю незалежно від іншої частини мережі. Структурована кабельна система є основою для розподілу мережі на легко управляємі логічні сегменти тому, що вона сама вже розділена на фізичні сегменти.
Забезпечення більш ефективного обслуговування.
Структурована кабельна система полегшує обслуговування і пошук несправностей у порівнянні із шинною кабельною системою. При шинній організації кабельної системи відмова одного з пристроїв або сполучних елементів призводить до відмови всієї мережі, яку важко локалізувати. У структурованих кабельних системах відмова одного сегмента не діє на інші тому, що об’єднання сегментів здійснюється за допомогою концентраторів. Концентратори діагностують і локалізують несправний сегмент.
Надійність.
Структурована кабельна система має підвищену надійність, оскільки виробник такої системи гарантує не тільки якість її окремих компонентів, але і їх сумісність.
Більшість проектувальників починає розробку СКС з горизонтальних підсистем тому, що саме до них підключаються кінцеві користувачі. При цьому вони можуть вибирати між екранованою крученою парою, неекранованою крученою парою, коаксіальним кабелем і волоконно-оптичним кабелем. Можливе використання й безпровідних ліній зв’язку.
Горизонтальна підсистема характеризується дуже великою кількістю відгалужень кабелю (рис. 2.3) тому, що його потрібно провести до кожної розетки, причому й у тих кімнатах, де поки комп’ютери в мережу не об’єднуються. Тому до кабелю, який використовується в горизонтальній проводці, пред’являються підвищені вимоги до зручності виконання відгалужень, а також зручностей його прокладки в приміщеннях. На поверсі звичайно встановлюється кросова шафа, яка дозволяє за допомогою коротких відрізків кабелю, оснащеного роз’ємами, провести перекомутацію з’єднань між устаткуванням і концентраторами / комутаторами.
При виборі кабелю приймають до уваги такі характеристики: пропускна спроможність, відстань, фізична захищеність, електромагнітна перешкодозахищеність, вартість. Крім того, при виборі кабелю потрібно враховувати, яка кабельна система уже встановлена на підприємстві, а також які тенденції і перспективи існують на ринку на даний момент.
2.2 Кабель кручена пара
Мідний провід, зокрема неекранована кручена пара (Twisted Pair – TP), є кращим середовищем для горизонтальної кабельної підсистеми, хоча, якщо користувачам потрібна дуже висока пропускна спроможність, або кабельна система прокладається в агресивному середовищі, для неї підійде і волоконно-оптичний кабель. Коаксіальний кабель – це застаріла технологія, якої варто уникати, якщо тільки вона вже не використовується широко на підприємстві. Безпровідний зв’язок є новою і багатообіцяючою технологією, однак через порівняльну новизну і низьку перешкодостійкість краще обмежити масштаби її використання.
Кручена пара як середовище передачі використовується у всіх сучасних мережних технологіях, а також в аналоговій і цифровій телефонії. Уніфікація пасивних елементів мережі на крученій парі стала основою для концепції побудови структурованих кабельних систем, незалежних від прикладень (мережних технологій). Будь-які мережі на крученій парі (крім застарілої LocalTalk) засновані на зіркоподібній фізичній топології, що при відповідному активному устаткуванні може бути основою для будь-якої логічної топології.
Провід кручена пара являє собою два скручених ізольованих провідники. Провід застосовують для кросування (cross-wires) усередині комутаційних шаф або стійок, але ніяк не для прокладки з’єднань між приміщеннями, такий провід може складатися з однієї, двох, трьох і навіть чотирьох кручених пар.
Кабель відрізняється від проводу наявністю зовнішньої ізоляційної панчохи (jacket). Ця панчоха головним чином захищає провід (елементи кабелю) від механічних впливів і вологи. Найбільше поширення одержали кабелі, що містять дві або чотири кручені пари. Існують кабелі і на більше число пар – 25 пар і більше.
Категорія (Category) крученої пари визначає частотний діапазон, у якому її застосування ефективне (ACR має позитивне значення). На даний час діють стандартні шість категорій кабелю (Category 1 ÷ Category 5е), проробляється 6-а категорія й очікується поява кабелів категорії 7. Частотні діапазони кабелів різних категорій наведені в табл. 2.1.
Рис. 2.3. Структура кабельної системи поверху та будівлі
Таблиця 2.1
Класифікація кабелів на крученій парі
Категорія | Клас лінії | Смуга пропускання, МГц | Типове мережне застосування |
1 | A | 0,1 | Аналогова телефонія |
2 | B | 1 | Цифрова телефонія, ISDN |
3 | C | 16 | 10Base-T (Ethernet) |
4 | – | 20 | Token Ring 16 Mбіт/с |
5 | D | 100 | 100Base-TX (Fast Ethernet) |
5е | D | 125 | 1000Base-TX (Gigabit Ethernet) |
6* | E1 | 200 (250) | – |
7* | F1 | 600 | – |
Категорії визначаються стандартом EIA/TIA 568A. В останньому стовпці наводиться класифікація ліній зв’язку, які забезпечуються цими кабелями згідно стандарту ISO 11801 і EN 50173.
Кручена пара може бути як екранованою (shielded), так і неекранованою (unshielded), вид кабелів наведений на рис. 2.4. Термінологія конструкцій екрана неоднозначна, тут використовуються слова braid (оплітка), shield і screen (екран, захист), foil (фольга), tinned drain wire (луджений "дренажний" провід, що йде уздовж фольги).
Неекранована кручена пара (НКП) більше відома по абревіатурі UTP (Unshielded Twisted Pair). Якщо кабель укладений у загальний екран, але пари не мають індивідуальних екранів, то, відповідно до стандарту ISO 11801, він теж відноситься до неекранованих кручених пар і позначається UTP або S/UTP. Сюди ж відноситься ScTP (Screened Twisted Pair) або FTP (Foiled Twisted Pair) – кабель, у якому кручені пари укладені в загальний екран з фольги, а також SFTP (Shielded Foil Twisted Pair) – кабель, у якого загальний екран складається з фольги й оплітки.
Рис. 2.4.Кабелі кручена пара:
а
– UTP категорії 3-5, б
– UTP категорії 6, в –
ScTP, FTP, г –
SFTP, д –
STP Турe 1, е
– PiMF.
1 – провід в ізоляції, 2 – зовнішня оболонка, 3 – сепаратор,
4 – екран з фольги, 5 – дренажний провід, 6 – оплітка, що екранує
Екранована кручена пара (ЕКП), вона ж STP (Shielded Twisted Pair), має багато різновидів, але кожна пара обов’язково має власний екран.
Найбільше поширення одержали кабелі з числом пар 2 і 4. Існують і подвійні конструкції – два кабелі по дві або чотири пари, укладені в суміжні ізоляційні панчохи. У загальну панчоху можуть бути укладені і кабелі STP+UTP. З багатопарних популярні 25-парні, а також зборки по 6 штук
4-парних. Кабелі з великим числом пар (50, 100) застосовуються тільки в телефонії, оскільки виготовлення багатопарних кабелів високих категорій –дуже складна задача.
Для багатопарних кабелів стандартизоване колірне маркування проводів, яке дозволяє швидко і безпомилково виконувати їх обробку без попередньої перевірки. Кожна пара має умовно прямий (Tip) і зворотний (Ring) провід. Маркування для 25-парного кабелю наведені в табл. 2.2, для 4-парного – у табл. 2.3; крім основного варіанта існує й альтернативне маркування.
Таблиця 2.2
Колірне маркування 25-парного кабелю
№ пари | Колір: основний/смужки |
|
Прямий (Tip) | Зворотний (Ring) | |
1 | Білий/синій | Синій/білий |
2 | Білий/жовтогарячий | Жовтогарячий/білий |
3 | Білий/зелений | Зелений/білий |
4 | Білий/коричневий | Коричневий/білий |
5 | Білий/сірий | Сірий/білий |
6 | Червоний/синій | Синій/червоний |
7 | Червоний/жовтогарячий | Жовтогарячий/червоний |
8 | Червоний/зелений | Зелений/червоний |
9 | Червоний/коричневий | Коричневий/червоний |
10 | Червоний/сірий | Сірий/червоний |
11 | Чорний/синій | Синій/чорний |
12 | Чорний/жовтогарячий | Жовтогарячий/чорний |
13 | Чорний/зелений | Зелений/чорний |
14 | Чорний/коричневий | Коричневий/чорний |
15 | Чорний /сірий | Сірий/чорний |
16 | Жовтий/синій | Синій/жовтий |
17 | Жовтий/жовтогарячий | Жовтогарячий/жовтий |
18 | Жовтий/зелений | Зелений/жовтий |
19 | Жовтий/коричневий | Коричневий/жовтий |
20 | Жовтий/сірий | Сірий/жовтий |
21 | Фіолетовий/синій | Синій/фіолетовий |
22 | Фіолетовий/жовтогарячий | Жовтогарячий/фіолетовий |
23 | Фіолетовий/зелений | Зелений/фіолетовий |
24 | Фіолетовий/коричневий | Коричневий/фіолетовий |
25 | Фіолетовий/сірий | Сірий/фіолетовий |
Таблиця 2.3
Колірне маркування 4-парного кабелю
№ пари | Колір: основний/смужки | |||
Основний варіант (EIA/TIA 568A) | Альтернативний варіант | |||
Прямий (Tip) | Зворотний (Ring) | Прямий (Tip) | Зворотний (Ring) | |
1 | Білий/зелений | Зелений | Білий | Синій |
2 | Білий/жовтогарячий | Жовтогарячий | Чорний | Жовтий |
3 | Білий/синій | Синій | Зелений | Червоний |
4 | Білий/коричневий | Коричневий | Жовтогарячий | Коричневий |
Дешеві кабелі найчастіше мають невиразне маркування – у парі з кожним кольоровим проводом йде просто білий, що ускладнює візуальний контроль правильності обтиску.
З’єднувальна апаратура забезпечує можливість підключення до кабелів, тобто надає кабельні інтерфейси. Для крученої пари мається різноманітний асортимент конекторів, призначених як для нероз’ємного, так і роз’ємного з’єднання проводів, кабелів і шнурів. З нероз’ємних конекторів поширені роз’єми типів S110, S66 і Krone, що є промисловими стандартами. Серед роз’ємних найбільш популярні стандартизовані модульні роз’єми (RJ-11, RJ-45 та ін.). Зустрічаються і конектори фірми IBM, уведені з мережами Token Ring, а також деякі специфічні нестандартизовані конектори. Багатопарні кабелі часто з’єднують 25-парними роз’ємами Telco (RJ-21). До з’єднувальної апаратури відносяться і різні адаптери, що дозволяють поєднувати різнотипні кабельні інтерфейси.
Модульні роз’єми Modular Jack (гнізда, розетки) і Modular Plug (вилки) є роз’ємами для 1-, 2-, 3-, 4-парних кабелів категорій 3 – 6. У кабельних системах застосовуються 8- і 6-позиційні роз’єми, більше відомі під назвами RJ-45 і RJ-11 відповідно. Уявлення про конструкції вилок розповсюджених видів роз’ємів надає рис. 2.5.
Рис. 2.5. Геометрія модульних розеток:
а
– 6-позиційні, б
– 8-позиційні, в
– модифіковані (MMJ), г
– із ключем
Коректне позначення для розетки, яка використовується для підключення мережної апаратури, має вигляд "Modular Jack 8P8C", для вилки – "Modular Plug 8Р8С", де 8Р указує на розмір (8-позиційний), а 8С – на число контактів (8). Для підключення телефонів використовують конфігурацію 6Р4С (6 позицій, 4 контакти). Зустрічаються й інші позначення, наприклад "Р-6-4" – вилка (plug) на 6 позицій і 4 контакти, "PS-8-8" – вилка екранована (plug shielded) на 8 позицій і 8 контактів. 6-позиційні вилки можуть бути вставлені й у 8-позиційні розетки, але не навпаки. Крім звичайних симетричних роз’ємів (рис. 2.5, а
і б
), зустрічаються модифіковані (рис. 2.5, в
) MMJ (Modified Modular Jack) і з ключем (keyed, рис. 2.5, г
). У деяких випадках застосовують і 10-позиційні 10-контактні роз’єми.
Призначення контактів модульних роз’ємів, які застосовуються у телекомунікаціях, стандартизоване, розповсюджені варіанти наведені на рис. 3.6. Наведені розкладки розрізняються положенням пар проводів, кольори пар проводів повинні відповідати стандартній послідовності EIA/TIA 568A: білозелений – зелений – біложовтий – синій – білосиній – жовтий – білокоричневий – коричневий (табл. 2.4).
Рис. 2.6. Розкладка проводів для модульних роз’ємів 10Base-T (100BaseTX)
Модульні вилки різних категорій зовні можуть майже не відрізнятися одна від одної, але мати різну конструкцію (рис. 2.7). Вилки для категорії 5 можуть мати сепаратор, який надягається на проводи до зборки й обтиску, що дозволяє скоротити довжину розплетеної частини кабелю і полегшити розкладку проводів. Проте сепаратор – не обов’язковий атрибут вилок високих категорій. Контакти при установці (обтиску) врізаються в проводи крізь ізоляцію.
Вилки для одножильного і багатожильного кабелю розрізняються формою контактів. Голчасті контакти (рис. 2.7, г
) використовуються для багатожильного кабелю, голки встромляються між жилами проводів, забезпечуючи надійне з’єднання. Для одножильного кабелю використовуються контакти, які обтискують жилу з двох боків (рис. 2.7, д
). Ряд фірм випускає й універсальні вилки, що надійно з’єднуються з будь-яким кабелем відповідного типу. Застосування типів вилок, які не відповідають кабелю, чревате великим відсотком браку і недовговічністю з’єднання. Під час обтиску вдавлюється і виступ 3, що фіксує кабель (ту частину, що ще в панчосі). Фіксатор 2 служить для фіксації вилки в розетці.
Досить бажаний аксесуар вилки – гумовий ковпачок, що надягається позаду для пом’якшення навантаження на кабель у місці його виходу з вилки. Більш дорогі ковпачки мають виступ, що захищає фіксатор, і обтічну форму. Такі ковпачки корисні для комутаційних шнурів – вони дозволяють без ушкоджень витягати шнур з пучка "за хвіст" (вилка без ковпачків буде чіплятися своїми кутами і виступаючим фіксатором за інші проводи).
Рис. 2.7. Модульні вилки:
а
– із сепаратором (розріз), б
– без сепаратора (розріз), в
– у зборі з ковпачком, г
– контакт для багатожильного кабелю, д
– для одножильного кабелю
Модульні вилки допускають тільки однократну установку. До установки контакти в них підняті над каналами для проводів, затиск для кабелю не продавлений. У такому положенні в розетки вони не входять. При установці контактів затиск для кабелю вдавлюється всередину. Вилки різних виробників розрізняються кількістю точок закріплення кабелю і зручністю установки. Для установки вилок існує спеціальний обтискний інструмент (crimping tool), без якого якісна обробка кабелю неможлива. Якісна і надійна установка вилок вимагає навичок, оскільки контроль якості цієї операції проблематичний, в особливо відповідальних випадках є сенс придбати фірмові шнури заводського виготовлення.
2.3 Коаксіальний кабель (coaxial cable)
Коаксіальний кабель (coaxial cable, або coax) усе ще залишається одним з можливих варіантів кабелю для горизонтальних підсистем, особливо у випадках, коли високий рівень електромагнітних перешкод не дозволяє використовувати кручену пару, або ж невеликі розміри мережі не створюють великих проблем з експлуатацією кабельної системи.
Товстий Ethernet має в порівнянні з тонким більшу пропускну спроможність, він більш стійкий до ушкоджень і передає дані на великі відстані, однак до нього складніше приєднатися і він менш гнучкий. З товстим Ethernet складніше працювати, і він мало підходить для горизонтальних підсистем. Однак його можна використовувати у вертикальній підсистемі як магістраль, якщо оптоволоконний кабель з якихось причин не підходить.
Тонкий Ethernet – це кабель, що повинен був вирішити проблеми, позв’язані з застосуванням товстого Ethernet. До появи стандарту 10Base-T тонкий Ethernet був основним кабелем для горизонтальних підсистем. Тонкий Ethernet простіше монтувати, ніж товстий. Мережі з тонкого Ethernet можна швидко зібрати тому, що комп’ютери з’єднуються один з одним безпосередньо.
Головний недолік тонкого Ethernet – складність його обслуговування. Кожен кінець кабелю повинен закінчуватися термінатором 50 Ом. При відсутності термінатора або втраті ним своїх робочих властивостей (наприклад, через відсутність контакту) перестає працювати весь сегмент мережі, підключений до цього кабелю. Аналогічні наслідки має погане з’єднання будь-якої робочої станції (яке здійснюється через Т-конектор). Несправності в мережах на тонкому Ethernet складно локалізувати. Часто доводиться від’єднувати Т-конектор від мережного адаптера, тестувати кабельний сегмент і потім послідовно повторювати цю процедуру для всіх приєднаних вузлів. Тому вартість експлуатації мережі на тонкому Ethernet звичайно значно перевищує вартість експлуатації аналогічної мережі на крученій парі, хоча капітальні витрати на кабельну систему для тонкого Ethernet звичайно нижче.
Коаксіальний кабель як середовище передачі даних використовується тільки в застарілих мережних технологіях Ethernet 10Base5, Ethernet 10Base2 і ARCnet. Крім того, він використовується в кабельному телебаченні (CATV) як антенний кабель.
Коаксіальний кабель має конструкцію, схематично представлену на рис. 2.8.
Електричними провідниками є центральна жила і екрануюча оплітка. Діаметр жили і внутрішній діаметр оплітки, а також діелектрична проникність ізоляції між ними визначають частотні властивості кабелю. Матеріал і переріз провідників з ізоляцією визначають втрати сигналу в кабелі та його імпеданс. В ідеальному випадку електричне і магнітне поля, що утворюються при проходженні сигналу, цілком залишаються всередині кабелю, так що коаксіальний кабель не створює електромагнітних перешкод. Також він малочутливий до зовнішніх перешкод (якщо він знаходиться в однорідному полі перешкод). На практиці, звичайно ж, коаксіальний кабель і випромінює, і приймає перешкоди, але у відносно невеликому ступені. Найкращий за властивостями коаксіальний кабель, який застосовується в телекомунікаціях, товстий жовтий кабель Ethernet має посріблену центральну жилу товщиною 2 мм і подвійний шар екрануючої оплітки. Коаксіальний кабель використовується тільки при асиметричній передачі сигналів, оскільки він сам принципово асиметричний.
Головний недолік коаксіального кабелю – обмежена пропускна спроможність: у локальних мережах це 10 Мбіт/с, яка досягнута у технології Ethernet 10Base-2 і 10Base-5. У залежності від застосування використовується коаксіальний кабель з різними значеннями імпедансу: 50 Ом – Ethernet, 75 Ом – передача радіо- і телевізійних сигналів, 93 Ом – у ЛКМ ARCnet.
Для з’єднання коаксіального кабелю застосовують коаксіальні конектори (рис. 2.9). Щоб не виникало луни на кінцях, кожен кабельний сегмент повинен закінчуватися термінатором – резистором, опір якого збігається з імпедансом кабелю. Термінатор може бути зовнішнім – підключатися до конектору на кінці кабелю, або внутрішнім – знаходитись усередині пристрою, що підключається цим кабелем. Для кожного коаксіального кабелю характерний свій набір аксесуарів і правил підключення (топологічних обмежень). Тут буде розглянуте застосування коаксіала тільки для технології Ethernet. Технологія ARCnet, що також використовує коаксіальний кабель, уже давно не розвивається і не підтримується стандартами СКС.
Рис. 2.9. Коаксіальні конектори:
а
– вилка, б
– I-конектор, в, г
– термінатори, д
– перехідник до BNC
Коаксіальні кабелі застосовуються в технологіях Ethernet 10Base-5 ("товстий" кабель, класичний Ethernet) і 10Base-2 ("тонкий" кабель, CheaperNet) зі швидкістю передачі 10 Мбіт/с. Ethernet для коаксіала допускає тільки шинну топологію, Т-подібні відгалуження для підключення абонентів неприпустимі. Кабельний сегмент (послідовність електрично з’єднаних відрізків) повинен мати на кінцях 50-Омні зовнішні термінатори (2 шт.). Неправильний термінований сегмент (термінатори відсутні або їх опір не 50 Ом) є непрацездатним. До відмови всього сегмента призводить обрив або коротке замикання в будь-якій його частині (не зможуть зв’язатися абоненти, розташовані навіть з однієї сторони обриву). Кожен сегмент повинен заземлюватися в одній (і тільки одній!) точці. Кабелі компонуються коаксіальними вилками з обох боків. Для поєднання відрізків кабелю застосовують I-конектори (N і BNC, у залежності від типу кабелю).
Переважним кабелем для горизонтальної підсистеми є неекранована кручена пара категорії 5. Її позиції ще більш зміцняться з прийняттям специфікації 802.3аb для застосування на цьому виді кабелю технології Gigabit Ethernet.
На рис. 2.10 показані типові комутаційні елементи структурованої кабельної системи, які застосовані на поверсі при прокладці неекранованої крученої пари. Для скорочення кількості кабелів тут установлені 25-парний кабель і роз’єм для такого типу кабелю Telco, який має 50 контактів.
Кабель вертикальної (або магістральної) підсистеми, що з’єднує поверхи будинку, повинен передавати дані на великі відстані і з більшою швидкістю в порівнянні з кабелем горизонтальної підсистеми. У минулому основним видом кабелю для вертикальних підсистем був коаксіал. Тепер для цієї мети все частіше використовується оптоволоконний кабель.
Для вертикальної підсистеми вибір кабелю на даний час обмежується трьома варіантами:
Оптоволокно – відмінні характеристики пропускної спроможності, відстані і захисту даних, стійкість до електромагнітних перешкод. Може передавати голос, відео і дані. Порівняно дорогий та складний в обслуговуванні.
Товстий коаксіал – гарні характеристики пропускної спроможності, відстані і захисту даних, може передавати дані. Але з ним складно працювати.
Широкосмуговий кабель, який використовується у кабельному телебаченні – гарні показники пропускної спроможності і відстані. Може передавати голос, відео і дані. Потрібні великі витрати під час експлуатації.
Рис. 2.10. Комутаційні елементи горизонтальної підсистеми
2.4 Оптоволоконний кабель
Основні області застосування оптоволоконного кабелю – вертикальна підсистема і підсистеми кампусів. Однак, якщо потрібен високий ступінь захищеності даних, висока пропускна спроможність або стійкість до електромагнітних перешкод, волоконно-оптичний кабель може використовуватися й у горизонтальних підсистемах. З волоконно-оптичним кабелем працюють протоколи AppleTalk, ArcNet, Ethernet, FDDI і Token Ring, l00VG-AnyLAN, Fast Ethernet, ATM.
Вартість установки мереж на оптоволоконному кабелі для горизонтальної підсистеми виявляється досить високою. Ця вартість складається з вартості мережних адаптерів і вартості монтажних робіт, що у випадку оптоволокна набагато вище, ніж при роботі з іншими видами кабелю.
Застосування волоконно-оптичного кабелю у вертикальній підсистемі має ряд переваг. Він передає дані на дуже великі відстані без необхідності регенерації сигналу. Він має осердя меншого діаметра, тому може бути прокладений у вужчих місцях. Оптоволоконний кабель нечутливий до електромагнітних і радіочастотних перешкод, на відміну від мідного коаксіального кабелю тому, що сигнали є світловими, а не електричними. Це робить оптоволоконний кабель ідеальним середовищем передачі даних для промислових мереж. Оптоволоконному кабелю не страшна блискавка, тому він підходить для зовнішньої прокладки. Він забезпечує більш високий ступінь захисту від несанкціонованого доступу тому, що відгалуження набагато легше знайти, ніж у випадку мідного кабелю (при відгалуженні різко зменшується інтенсивність світла).
Оптоволоконний кабель має і недоліки. Він дорожчий за мідний кабель, дорожче обходиться і його прокладка. Оптоволоконний кабель менш міцний, ніж коаксіальний. Інструменти, які використовуються при прокладці і тестуванні оптоволоконного кабелю, мають високу вартість і складні в роботі. Приєднання конекторів до оптоволоконого кабелю вимагає великого мистецтва і часу, а отже, і грошей.
Для зменшення вартості побудови міжповерхової магістралі на оптоволокні деякі компанії, наприклад AMP, пропонують кабельну систему з одним комутаційним центром. Звичайно, комутаційний центр є на кожному поверсі, а в будинку мається загальний комутаційний центр (рис. 3.10), який з’єднує між собою комутаційні центри поверхів. При такій традиційній схемі і використанні волоконно-оптичного кабелю між поверхами потрібно виконувати досить велике число оптоволоконних з’єднань в комутаційних центрах поверхів. Якщо ж комутаційний центр у будинку один, то всі оптичні кабелі розходяться з єдиної кросової шафи прямо до роз’ємів кінцевого устаткування – комутаторів, концентраторів або мережних адаптерів з оптоволоконними трансиверами.
Товстий коаксіальний кабель також можливо використовувати як магістраль мережі, однак для нових кабельних систем більш раціонально використовувати оптоволоконний кабель тому, що він має більший термін служби і зможе в майбутньому підтримувати високошвидкісні і мультимедійні прикладення. Але для вже існуючих систем товстий коаксіальний кабель служив магістраллю системи багато років, і з цим потрібно рахуватися. Причинами його широкого застосування були: широка смуга пропускання, висока захищеність від електромагнітних перешкод і низьке радіовипромінювання.
Хоча товстий коаксіальний кабель і дешевше, ніж оптоволокно, але з ним набагато складніше працювати. Він особливо чутливий до різних рівнів напруги заземлення, що часто буває при переході від одного поверху до іншого. Цю проблему складно обійти, тому "кабелем номер один" для горизонтальної підсистеми сьогодні є волоконно-оптичний кабель.
Як і для вертикальних підсистем, оптоволоконний кабель є найкращим вибором для підсистем декількох будинків, розташованих у радіусі декількох кілометрів. Для цих підсистем також підходить товстий коаксіальний кабель.
При виборі кабелю для кампусу потрібно враховувати вплив середовища на кабель поза приміщенням. Для запобігання ураження блискавкою краще вибрати для зовнішньої проводки неметалевий оптоволоконний кабель. З багатьох причин зовнішній кабель виробляється в поліетиленовій захисній оболонці високої щільності. При підземній прокладці кабель повинен мати спеціальну вологозахисну оболонку (від дощу і підземної вологи), а також металевий захисний шар від гризунів і вандалів. Вологозахищений кабель має прошарок з інертного газу між діелектриком, екраном і зовнішньою оболонкою.
2.5 Висновок
Детальний аналіз фізичної сутності та порядка використання каналів передачі даних в гетерогенних комп’ютерних мережах дозволив зробити ряд висновків:
використання каналів передачі даних при побудові гетерогенних комп’ютерних мережах відбувається в рамках структурованої кабельної системи;
типова ієрархічна структура структурованої кабельної системи включає: горизонтальні підсистеми; вертикальні підсистеми; підсистему кампусу;
використання структурованої кабельної системи дає багато переваг: універсальність, збільшення терміну служби, зменшення вартості добавлення нових користувачів і зміни місць їх розташування, можливість легкого розширення мережі, забезпечення ефективнішого обслуговування, надійність;
при виборі типу кабелю приймають до уваги такі характеристики: пропускна спроможність, відстань, фізична захищеність, електромагнітна перешкодозахищеність, вартість;
найбільш поширеними є такі типи кабелю: кручена пара (екранована і неекранована), коаксіальний кабель, оптоволоконний кабель (одно- і багатомодовий);
для горизонтальної підсистеми найбільш прийнятним варіантом є неекранована кручена пара, для вертикальної підсистеми і підсистеми кампусу – оптоволоконний кабель або коаксіал;
Крім того, результати аналізу побудованої моделі комп'ютерної мережі за допомогою програмного пакету проектування і моделювання гетерогенних комп'ютерних мереж NetCracker Professional дозволили зробити висновок, про те що вибрані технології і фізичне середовище каналів передачі даних в мережі дозволяють функціонувати даної ГКМ в повному об'ємі покладених на неї функцій по обміну інформацією між хостами мережі.
Розділ 3. Сутність існуючих методів доступу до каналів комп’ютерних мереж
Методи доступу до загального поділюваного середовища передачі даних можна розділити на два великих класи: випадкові і детерміновані.
Випадкові методи доступу передбачають можливість захвату загального поділюваного середовища передачі даних будь-яким вузлом мережі у довільний випадковий момент часу, якщо в даний момент він вважає середовище вільним.
Через це не виключена можливість одночасного захоплення середовища двома або більше станціями мережі, що призводить до помилок передачі даних. Таке явище називається колізією. Таким чином, колізія в середовищі передачі – це спотворення даних, викликане накладенням сигналів при одночасній передачі кадрів декількома станціями.
Детерміновані методи, навпаки, передбачають можливість надання загального середовища в розпоряджен
3.1 Метод доступу до каналів комп’ютерних мереж з перевіркою несучої та виявленням колізій CSMA/CD
Метод багатостанційного доступу до середовища з контролем несучої та виявленням колізій (Carrier Sense Multiply Access / Collision Detection – CSMA/CD) походить від радіомереж.
Дана схема являє собою схему зі змаганням, у якій мережні вузли змагаються за право використання середовища. Вузол, що виграв змагання, може передати один пакет, а потім повинен звільнити середовище для інших вузлів. Якщо вузол вже використовує середовище, всі інші вузли повинні відкласти свої передачі, поки не звільниться середовище. При цьому здійснюється перевірка активності середовища (контроль несучої), коли відсутність активності означає, що середовище вільне. Тоді передачу можуть почати відразу декілька вузлів. Якщо один вузол встиг почати передачу, середовище стає зайнятим, а всі інші вузли, що спізнились, повинні чекати на його звільнення. Але якщо декілька вузлів починають передачу майже одночасно, спостерігається колізія. У цьому випадку всі передавачі повинні припинити свою передачу і зачекати деякий час перед її поновленням. Щоб уникнути повторення колізій, час чекання вибирається випадковим чином.
Рис. 3.1 представляє діаграму станів, яка ілюструє операції канального рівня, що реалізує схему CSMA/CD. Значну частину часу канальний рівень знаходиться в стані прослуховування каналу зв’язку. У цьому стані аналізуються всі кадри, передані фізичним рівнем (середовищем). Якщо заголовок кадру містить адресу отримувача, що збігається з адресою вузла, канальний рівень переходить до стану прийому, під час якого відбувається прийом кадру.
Рис. 3.1. Алгоритм CSMA/CD
Коли прийом кадру завершений, про це повідомляється вищому (мережному) рівню мережі, а канальний рівень повертається до стану прослуховування. Можливо, що колізія відбудеться під час прийому кадру. У цьому випадку прийом кадру переривається і канальний рівень переходить до стану прослуховування. Кадр можна передати в середовище тільки за запитом мережного рівня. Коли робиться такий запит і вузол не знаходиться в стані прийому, канальний рівень переходить до стану чекання. У цьому стані вузол чекає, коли середовище звільниться. Після звільнення середовища починається передача кадру. Якщо передача завершується успішно (без колізії), стан знову змінюється на стан прослуховування. Якщо під час передачі кадру трапляється колізія, передача переривається і її треба повторити знову. При цьому стан змінюється на стан затримки. У цьому стані вузол знаходиться деякий час і потім знову переходить до стану чекання.
Час затримки при кожній колізії обчислюється щоразу наново. Існує багато способів обчислення часу затримки. Основна мета полягає в недопущенні таких блокувань, із яких пара вузлів, що викликали колізію, не може вийти. Наприклад, такі блокування могли б зустрітися, якби час затримки був однаковим для всіх вузлів мережі. Після колізії обидва вузли затримали б свої операції на той самий час, а потім одночасно виявили, що середовище вільне, і знову одночасно почали передачу. У результаті виявилася б ще одна колізія, і цей процес ніколи не скінчився. Одним із способів запобігання взаємних блокувань є вибір часу затримки, пропорційний значенню адреси вузла (ID). Це ефективний спосіб, однак він забезпечує певні переваги вузлам із меншими значеннями адрес. Після колізії час затримки для вузла з найнижчим значенням адреси закінчується швидше інших, і він захоплює середовище. Інші вузли, зв’язані з колізією, при виході зі стану затримки знаходять середовище зайнятим. В іншому способі час затримки вибирається випадково. Цей спосіб не припускає ніяких пріоритетів, але він не застрахований від наступних колізій. У цьому випадку не можна гарантувати можливості передачі кадру протягом якогось фіксованого відрізка часу тому, що можуть зустрічатися повторні колізії, кількість яких невизначена.
Ethernet – це найпоширеніший стандарт локальних мереж. У мережах Ethernet використовується метод доступу до середовища передачі даних CSMA/CD.
Цей метод застосовується винятково в мережах із логічною загальною шиною. Одночасно всі комп’ютери мережі мають можливість негайно (із врахуванням затримки поширення сигналу по фізичному середовищу) одержати дані, які будь-який з комп’ютерів почав передавати на загальну шину (рис. 3.2). Простота схеми підключення – це один з факторів, що визначили успіх стандарту Ethernet. Кажуть, що кабель, до якого підключені всі станції, працює в режимі колективного доступу (Multiply Access – MA).
Рис. 3.2. Метод випадкового доступу CSMA/CD
Всі дані, передані по мережі, розміщуються в кадри визначеної структури і супроводжуються унікальною адресою станції-отримувача.
Щоб одержати можливість передавати кадр, станція повинна переконатися, що поділюване середовище вільне. Це досягається прослуховуванням основної гармоніки сигналу, що також називається несучою частотою (Carrier Sense – CS). Ознакою незайнятості середовища є відсутність в ньому несучої частоти, яка при манчестерському способі кодування дорівнює 5 ÷ 10 МГц, у залежності від послідовності одиниць і нулів, переданих на даний момент.
Якщо середовище вільне, то вузол має право почати передачу кадру. Цей кадр зображений на рис. 3.2 першим. Вузол 1 виявив, що середовище вільне, і почав передавати свій кадр. У класичній мережі Ethernet на коаксіальному кабелі сигнали передавача вузла 1 поширюються в обидва боки так, що їх одержують всі вузли мережі. Кадр даних завжди супроводжується преамбулою (preamble), що складається з 7 байтів, які складаються із значень 10101010, і 8-го байта, рівного 10101011. Преамбула потрібна для входження приймача в побітовий і побайтовий синхронізм із передавачем.
Всі станції, підключені до кабелю, можуть розпізнати факт передачі кадру, і та станція, яка розпізнає власну адресу в заголовках кадру, записує його вміст у свій внутрішній буфер, оброблює отримані дані, передає їх нагору по своєму стеку, а потім посилає по кабелю кадр-відповідь. Адреса станції-відправника міститься у вихідному кадрі, тому станція-отримувач знає, кому потрібно надіслати відповідь. Вузол 2 під час передачі кадру вузлом 1 також намагався почати передачу свого кадру, однак виявив, що середовище зайняте – в ньому присутня несуча частота – тому вузол 2 змушений чекати, поки вузол 1 не припинить передачу кадру.
Після закінчення передачі кадру всі вузли мережі зобов’язані витримати технологічну паузу (Inter Packet Gap) у 9,6 мкс. Ця пауза – так званий міжкадровий інтервал – потрібна для приведення мережних адаптерів до вихідного стану, а також для запобігання монопольного захоплення середовища однією станцією. Після закінчення технологічної паузи вузли мають право почати передачу свого кадру тому, що середовище вільне. Через затримку поширення сигналу по кабелю не всі вузли чітко одночасно фіксують факт закінчення передачі кадру вузлом 1. У наведеному прикладі вузол 2 дочекався закінчення передачі кадру вузлом 1, зробив паузу в 9,6 мкс і почав передачу свого кадру.
3.2 Методи подолання колізій
При описаному підході можлива ситуація, коли дві станції одночасно намагаються передати кадр даних по загальному середовищу. Механізм прослуховування середовища і паузи між кадрами не гарантують від виникнення такої ситуації, коли дві або більше станцій одночасно вирішують, що середовище вільне, і починають передавати свої кадри. Вважають, що при цьому відбувається колізія (collision) тому, що вміст обох кадрів зіштовхується на загальному кабелі і відбувається перекручування інформації – методи кодування, використовувані в Ethernet, не дозволяють виділяти сигнали кожної станції з загального сигналу.
Колізія – це нормальна ситуація в роботі мереж Ethernet. У прикладі, зображеному на рис. 3.3, колізію породила одночасна передача даних вузлами 3 і 1. Для виникнення колізії необов’язково, щоб декілька станцій почали передачу абсолютно одночасно, така ситуація малоймовірна. Набагато ймовірніше, що колізія виникає через те, що один вузол починає передачу раніше другого, але до другого вузла сигнали першого просто не встигають дійти на той час, коли другий вузол вирішує почати передачу свого кадру. Тобто колізії – це наслідок розподіленого характеру мережі.
Щоб коректно обробити колізію, всі станції одночасно спостерігають за виникаючими у кабелі сигналами. Якщо передані сигнали і сигнали, що спостерігаються, відрізняються, то фіксується виявлення колізії (collision detection, CD). Для збільшення імовірності швидкого виявлення колізії всіма станціями мережі станція, що виявила колізію, перериває передачу свого кадру (у довільному місці, можливо, і не на межі байта) і підсилює ситуацію колізії посиланням в мережу спеціальної послідовності з 32-х бітів – так званої jam-послідовності.
Після цього передаюча станція, яка виявила колізію, зобов’язана припинити передачу і зробити паузу протягом короткого випадкового інтервалу часу. Потім вона може знову почати спробу захоплення середовища і передачі кадру. Тривалість випадкової паузи вибирається за виразом
Пауза = T ´ L,
де T – інтервал чекання, який дорівнює 512 бітовим інтервалам (у технології Ethernet прийнято всі інтервали вимірювати в бітових інтервалах; бітовий інтервал позначається як bt і відповідає часу між появою двох послідовних бітів даних на кабелі; для швидкості 10 Мбіт/с розмір бітового інтервалу дорівнює 0,1 мкс або 100 нс);
L – ціле число, обране з рівною імовірністю з діапазону [0, 2N], де N – номер повторної спроби передачі даного кадру: 1, 2,..., 10.
Після 10-ї спроби інтервал, із якого вибирається пауза, не збільшується. Таким чином, випадкова пауза може приймати значення від 0 до 52,4 мс.
Якщо 16 послідовних спроб передачі кадру викликають колізію, то передавач повинен припинити спроби і видалити цей кадр.
Із описання методу доступу CSMA/CD видно, що він носить ймовірнісний характер, і ймовірність успішного одержання у своє розпорядження загального середовища залежить від завантаженості мережі, тобто від інтенсивності виникнення у станцій потреби в передачі кадрів. При розробці цього методу наприкінці 70-х років передбачалося, що швидкість передачі даних у 10 Мбіт/с дуже висока в порівнянні з потребами комп’ютерів у взаємному обміні даними, тому завантаження мережі буде завжди невеликим. Це припущення залишається іноді справедливим і донині, однак уже з’явилися прикладення, які працюють у реальному масштабі часу з мультимедійною інформацією, що дуже завантажують сегменти Ethernet. При цьому колізії виникають набагато частіше. При значній інтенсивності колізій корисна пропускна спроможність мережі Ethernet різко падає тому, що мережа майже постійно зайнята повторними спробами передачі кадрів. Для зменшення інтенсивності виникнення колізій потрібно або зменшити трафік, скоротивши, наприклад, кількість вузлів у сегменті, чи замінивши прикладення, або підвищити швидкість протоколу, наприклад перейти на Fast Ethernet.
Слід зазначити, що метод доступу CSMA/CD взагалі не гарантує станції, що вона коли-небудь зможе одержати доступ до середовища. Звичайно, при невеликому завантаженні мережі імовірність такої події невелика, але при коефіцієнті використання мережі, що наближається до 1, така подія стає дуже ймовірною. Цей недолік методу випадкового доступу – плата за його надзвичайну простоту, що зробила технологію Ethernet найдешевшою. Інші методи доступу – маркерний доступ мереж Token Ring і FDDI, метод Demand Priority мереж 100VG-AnyLAN – не мають цього недоліку.
Чітке розпізнавання колізій всіма станціями мережі є необхідною умовою коректної роботи мережі Ethernet. Якщо якась станція, що передає, не розпізнає колізію і вирішить, що кадр даних переданий нею вірно, то цей кадр даних буде загублений. Через накладення сигналів при колізії інформація кадру перекрутиться, і він буде відбракований станцією, яка приймає (можливо, через розбіжність контрольної суми). Найімовірніше, перекручена інформація буде повторно передана яким-небудь протоколом верхнього рівня, наприклад, транспортним або прикладним, що працює зі встановленням з’єднання. Але повторна передача повідомлення протоколами верхніх рівнів відбудеться через значно триваліший інтервал часу (іноді навіть через декілька секунд) у порівнянні з мікросекундними інтервалами, якими оперує протокол Ethernet. Тому, якщо колізії не будуть надійно розпізнаватися вузлами мережі Ethernet, то це призведе до помітного зниження корисної пропускної спроможності даної мережі.
3.3 Метод маркерного доступу в локальних мережах з різною топологією
Даний метод характеризується тим, що в ньому право використання середовища передається від вузла до вузла організаційним способом, а не шляхом змагання. Право на використання середовища передається за допомогою унікального кадру (названого маркером) уздовж логічного кільця в мережі з використанням адресації вузлів. Кожен вузол ідентифікується власним ідентифікатором (ID). У схемі типу шини з передачею маркера кожному вузлу відомий ідентифікатор наступного вузла в логічному кільці (NID – Next ID). Зазвичай наступний вузол має адресу з більшим значенням ID. Рис. 3.4 ілюструє поняття логічного кільця.
Крім передачі маркера, схема із шиною повинна вирішувати проблему втрати маркера і реконфігурації кільця. Втрата маркера може відбутися через ушкодження одного з вузлів логічного кільця. На деякий момент часу маркер приходить до ушкодженго вузла, але вузол не пропускає його далі, і інші вузли не одержують маркер. Реконфігурація кільця виконується, коли в логічне кільце добавляється або з нього вилучається один із вузлів.
Під час нормальної роботи, тобто коли не виконується ні відновлення маркера, ні реконфігурація кільця, кожен вузол працює відповідно до діаграми станів, поданої на рис. 3.4. Велику частину часу канальний рівень знаходиться в стані прослуховування.
Рис. 3.4. Логічне кільце
Якщо заголовок вхідного кадру в якості адреси отримувача містить ID вузла, вузол переходить до стану прийому і відбувається прийом кадру. Якщо прийнятий кадр є кадром даних, мережний рівень інформується про прийом, а канальний рівень повертається до стану прослуховування. Однак, якщо прийнятий кадр є маркером, це означає, що вузол одержує право передачі в середовище. Якщо на той час є кадр даних, що чекає передачі, стан змінюється на стан передачі кадру і починається його передача.
Після завершення передачі кадру стан змінюється на стан передачі маркера і починається передача маркера. Якщо на момент одержання маркера вузол не має кадру даних для передачі, стан канального рівня змінюється відразу на стан передачі маркера. Після передачі маркера стан знову змінюється на стан прослуховування середовища.
Діаграма станів, що представляє операції канального рівня під час реконфігурації кільця і відновлення маркера, показана на рис. 3.5.
Рис. 3.5. Протокол для шини з передачею маркера (нормальна робота)
Для успішної реконфігурації кільця використовуються три стани: збою, бездіяльності й опитування. При наявності тільки одного вузла неможливо здійснити реконфігурацію кільця. Спроба реконфігурації з єдиним вузлом призводить до стану чекання збою, поки в мережу не буде доданий ще один вузол. Для відновлення маркера досить двох станів: бездіяльності й опитування. Як у випадку реконфігурації, так і у випадку відновлення маркера, як тільки встановлюється NID, стан канального рівня змінюється на стан нормальної роботи. Деталі цього стану подані на рис. 3.5. Зауважимо, що перехід канального рівня до стану нормальної роботи є фактично переходом до стану прослуховування відповідно до рис. 3.5. Відзначимо також, що маркер можна сприйняти як загублений (що викликає перехід до стану бездіяльності) тільки тоді, коли канальний рівень знаходиться в стані прослуховування. В усіх інших станах на рис. 3.6 вузол володіє маркером і тому не може загубити його.
Рис. 3.6. Протокол для шини з передачею маркера (реконфігурація мережі та відновлення маркера)
Коли новий вузол підключається до мережі, він входить до стану збою, при якому в середовище починає передаватися безперервна збійна послідовність. Перешкоди в середовищі повинні викликати втрату маркера, примушуючи таким чином усі вузли, що беруть участь у передачі маркера по логічному кільцю, почати процедуру відновлення маркера. Після збою всі вузли, включаючи і новий, переходять до стану бездіяльності.
Вузол можна збудити, коли мине час його бездіяльності або коли він одержить маркер. Час бездіяльності різний для кожного вузла і пропорційний значенню ID. Оскільки всі вузли входять до стану бездіяльності практично одночасно, вузол із меншим значенням ID збудиться першим.
Після збудження вузол переходить до стану опитування, у якому він посилає маркер наступному вузлу в логічному кільці, починаючи з вузла NID, адреса якого на одиницю більше його власного ID (названого "my" ID або MID). Після посилання маркера вузлу, адресованому поточним значенням NID, вузол, що опитує, якийсь час чекає відповіді. Якщо в мережі немає вузла з таким ID, то немає і відповіді, і вузол, що опитує, збільшує NID на 1 і знову посилає маркер. Якщо в мережі є вузол із таким ID, він повинен бути в стані бездіяльності. Прихід маркера збуджує його, і він сам починає опитування мережі. Початок опитування наступним вузлом розглядається попереднім вузлом як відгук, і він вважає, що NID встановлений і переходить до стану нормальної роботи. Таким чином, стан опитування переходить від одного вузла до іншого за напрямком зростання розміру ID.
Логічне кільце замикається, коли вузол із найбільшим ID встановлює NID, що є адресою вузла, який збудився першим (із найменшим значенням ID, наявним у мережі).
На цей момент вузол із найменшим значенням ID уже знаходиться в стані нормальної роботи. Таким чином, коли він одержує опитуючий маркер, він не продовжує опитування, а посилає маркер вузлу з попередньо встановленим NID. На цьому опитування завершується і реконфігурація кільця, або відновлення маркера, закінчується.
Схема доступу до кільцевого середовища з передачею маркера
.
Основна відмінність між даною схемою і двома попередніми полягає у фізичній топології середовища. Як метод CSMA/CD, так і метод доступу до шини з передачею маркера, використовують спосіб фізичного підключення до шини, на той час як кільцева схема з передачею маркера будується на топології фізичного кільця.
Сигнали, передані вузлом мережі, заснованої на топології фізичної шини, поширюються по всьому середовищу (широкомовна передача). У топології фізичного кільця сигнали поширюються через однонаправлені двохточечні шляхи між вузлами мережі. Вузли й однонаправлені ланки з’єднуються послідовно, формуючи фізичне кільце. У шинній структурі вузли діють тільки як передавачі або приймачі. Якщо вузол видалиться з мережі із шинною структурою, наприклад, у результаті несправності, це не вплине на проходження сигналу до інших вузлів.
Деякі мережі з кільцевою топологією використовують метод естафетної передачі. Спеціальне коротке повідомлення-маркер циркулює по кільцю, поки комп’ютер не зажадає передати інформацію іншому вузлу. Він модифікує маркер, добавляє електронну адресу і дані, а потім відправляє його по кільцю. Кожен із комп’ютерів послідовно одержує даний маркер із доданою інформацією і передає його сусідній машині, поки електронна адреса не збіжиться з адресою комп’ютера-отримувача, або маркер не повернеться до відправника. Комп’ютер, що одержав повідомлення, повертає відправнику відповідь, яка підтверджує, що повідомлення прийняте. Тоді відправник створює ще один маркер і відправляє його в мережу, що дозволяє іншій станції перехопити маркер і почати передачу. Маркер циркулює по кільцю, поки якась із станцій не буде готова до передачі і не захопить його.
У кільцевій структурі при поширенні сигналу вузли відіграють активну роль. Для досягнення вузла-отримувача сигнали, породжені портом вузла-відправника, повинні бути передані всіма вузлами, розміщеними по кільцю між вузлами відправника і отримувача. Відзначимо, що, як показано на рис. 3.7, у кожному вузлі сигнали передаються усередині самого вузла від прийомного порту до передаючого порту. Під час цієї передачі вузли можуть аналізувати і модифікувати вхідні сигнали.
Рис. 3.7. Структура фізичного кільця
Перевага такого рішення полягає в тому, що сигнали під час передачі можуть підсилюватися, і, отже, максимальна довжина фізичного кільця не обмежується внаслідок ослаблення сигналу в середовищі. Однак ушкодження окремого вузла або кабельного сегмента фізичного кільця призводить до руйнації шляху проходження сигналів, і вся мережа виходить із ладу. Ця проблема кільцевих мереж із передачею маркера вирішується шляхом використання змішаної зірково-кільцевої топології (рис. 3.8).
Це рішення вимагає використання ведучих концентраторів, що можна легко (можливо, автоматично) переключити для обходження ушкоджених вузлів. Проста зміна внутрішньої конфігурації ведучого концентратора призводить до роз’єднання вузла C із мережею і зберігання кільцевого зв’язку для інших вузлів.
Як і у випадку шинної структури з передачею маркера, у схемі доступу до кільцевого середовища в якості маркера використовується унікальна послідовність бітів. Однак у цьому випадку маркер не має адреси. Замість цього маркер може перебувати в двох станах: вільному і зайнятому.
Рис. 3.8. Зірково-кільцева топологія
Якщо в жодному з вузлів кільця немає кадрів даних для передачі, вільний маркер циркулює по кільцю. Зауважимо, що на кожен конкретний момент часу в кільці циркулює тільки один вільний маркер (рис. 3.9, а). Вузол, у якого є кадр даних для передачі, повинен чекати, поки не одержить вільний маркер. На момент приходу вільного маркера вузол змінює його стан на "зайнятий", передає його далі по кільцю і добавляє до зайнятого маркера кадр даних.
Рис. 3.9. Передача маркера і пакета в кільцевій мережі з передачею маркера
Зайнятий маркер разом із кадром даних передається по всьому кільцю (рис. 3.9, б). Змінити стан маркера знову на вільний може тільки той вузол, який змінив його на зайнятий. Кадр даних містить у своєму заголовку адресу отримувача. При проходженні через вузол-отримувач кадр копіюється. Наприклад, кадр даних, сформований у вузлі А, був посланий вузлу С. Зайнятий маркер (разом із кадром даних, що надходить за маркером) повинен бути ретрансльованим вузлами B, С і D. Однак у вузлі С кадр даних буде скопійованим. Іншими словами, усі вузли кільця, за винятком вузла відправника, ретранслюють пакет, але його приймає тільки один із них (вузол-отримувач). Коли зайнятий маркер разом із кадром повертається у вузол відправника, стан маркера змінюється на вільний, а кадр даних видаляється з кільця, тобто просто не передається далі (рис. 3.9, в).
Як тільки маркер стає вільним, будь-який вузол може змінити його стан на зайнятий і почати передачу даних.
Протокол кільцевої мережі з передачею маркера повинен вирішувати проблему втрати маркера в результаті помилок при передачі, а також при збоях у вузлі або в середовищі. Ці функції виконуються мережним моніторним вузлом. Наприклад, відсутність передач у мережі означає втрату маркера. Якщо виявлена втрата маркера, мережний монітор починає процедуру відновлення кільця.
3.4 Висновок
Таким чином, методи доступу до загального поділюваного середовища передачі даних можна розділити на два великих класи: випадкові і детерміновані.
Випадкові методи доступу передбачають можливість захвату загального поділюваного середовища передачі даних будь-яким вузлом мережі у довільний випадковий момент часу, якщо в даний момент він вважає середовище вільним.
Детерміновані методи, навпаки, передбачають можливість надання загального середовища в розпорядження вузла мережі за суворо визначеним (детермінованим) порядком.
Розділ 4. Засоби здійснення авторізації доступу до каналів комп’ютерних мереж
4.1 Місце процесів авторизації доступу при організації інформаційних систем на основі комп’ютерних мереж
Інформація є одним з найбільш цінних ресурсів будь-якої компанії, тому забезпечення захисту інформації є одному з найважливіших і пріоритетніших завдань.
Безпека інформаційної системи (ІС) - це властивість, що укладає в здатності системи забезпечити її нормальне функціонування, тобто забезпечити цілісність і секретність інформації. Для забезпечення цілісності і конфіденційності інформації необхідно забезпечити захист інформації від випадкового знищення або несанкціонованого доступу до неї.
Під цілісністю розуміється неможливість несанкціонованого або випадкового знищення, а також модифікації інформації. Під конфіденційністю інформації - неможливість витоку і несанкціонованого заволодіння інформації, що зберігається, передаваної або такої, що приймається.
Відомі наступні джерела погроз безпеці інформаційних систем:
антропогенні джерела, викликані випадковими або навмисними діями суб'єктів;
техногенні джерела, що приводять до відмов і збоїв технічних і програмних засобів із-за застарілих програмних і апаратних засобів або помилок в ПЗ;
стихійні джерела, викликані природними катаклізмами або форс-мажорними обставинами.
У свою чергу антропогенні джерела погроз діляться:
на внутрішні (дії з боку співробітників компанії) і зовнішні (несанкціоноване втручання сторонніх осіб із зовнішніх мереж загального призначення) джерела;
на ненавмисні (випадкові) і навмисні дії суб'єктів.
Існує достатньо багато можливих напрямів витоку інформації і шляхів несанкціонованого доступу до неї в системах і мережах:
перехоплення інформації;
модифікація інформації (початкове повідомлення або документ змінюється або підміняється іншим і відсилається адресатові);
підміна авторства інформації (хтось може послати лист або документ від вашого імені);
використання недоліків операційних систем і прикладних програмних засобів;
копіювання носіїв інформації і файлів з подоланням мерів захисту;
незаконне підключення до апаратури і ліній зв'язку;
маскування під зареєстрованого користувача і привласнення його повноважень;
введення нових користувачів;
впровадження комп'ютерних вірусів і так далі.
Для забезпечення безпеки інформаційних систем застосовують системи захисту інформації, які є комплексом організаційно - технологічних мерів, програмно - технічних засобів і правових норм, направлених на протидію джерелам погроз безпеці інформації.
При комплексному підході методи протидії погрозам інтегруються, створюючи архітектуру безпеки систем. Необхідно відзначити, що будь-яка системи захисту інформації не є повністю безпечною. Завжди доводитися вибирати між рівнем захисту і ефективністю роботи інформаційних систем.
До засобів захисту інформації ІС від дій суб'єктів відносяться:
засоби захист інформації від несанкціонованого доступу;
захист інформації в комп'ютерних мережах;
криптографічний захист інформації;
електронний цифровий підпис;
захист інформації від комп'ютерних вірусів.
Під захистом інформації від несанкціонованого доступу понімається діставання доступу до ресурсів інформаційної системи шляхом виконання трьох процедур: ідентифікація, аутентифікація і авторизація.
Ідентифікація - привласнення користувачеві (об'єкту або суб'єктові ресурсів) унікальних імен і код (ідентифікаторів).
Аутентифікація - встановлення достовірності користувача, що представив ідентифікатор або перевірка того, що особа або пристрій, що повідомив ідентифікатор є дійсно тим, за кого воно себе видає. Найбільш поширеним способом аутентифікації є привласнення користувачеві пароля і зберігання його в комп'ютері.
Авторизація - перевірка повноважень або перевірка права користувача на доступ до конкретних ресурсів і виконання певних операцій над ними. Авторизація проводиться з метою розмежування прав доступу до мережевих і комп'ютерних ресурсів.
Для централізованого вирішення завдань авторизації в крупних мережах предназначена мережева служба Kerberos. Вона може працювати в середовищі багатьох популярних операційних систем. У основі цієї достатньо громіздкої системи лежить декілька простих принципів.
У мережах, що використовують систему безпеки Kerberos, всі процедури аутентифікації між клієнтами і серверами мережі виконуються через посередника, якому довіряють обидві сторони аутентифікаційного процесу, причому таким авторитетним арбітром є сама система Kerberos.
У системі Kerberos клієнт повинен доводити свою автентичність для доступу до кожної служби, послуги якої він викликає.
Всі обміни даними в мережі виконуються в захищеному вигляді з використанням алгоритму шифрування.
Мережева служба Kerberos побудована по архітектурі клієнт-сервер, що дозволяє їй працювати в найскладніших мережах. Kerberos-клиент встановлюється на всіх комп'ютерах мережі, які можуть звернеться до якої-небудь мережевої служби. У таких випадках Kerberos-клиент від імені користувача передає запит на Kerberos-сервер і підтримує з ним діалог, необхідний для виконання функцій системи Kerberos.
Отже, в системі Kerberos є наступні учасники: Kerberos-сервер, Kerberos-клиент і ресурсні сервери (рис. 4.1). Kerberos-клиенты намагаються дістати доступ до мережевих ресурсів – файлів, додатком, принтеру і так далі Цей доступ може бути наданий, по-перше, тільки легальним користувачам, а по-друге, за наявності у користувача достатніх повноважень, визначуваних службами авторизації відповідних ресурсних сервер, – файловим сервером, сервером додатків, сервером друку.
Рис. 4.1. Три етапи роботи системи Kerberos
Проте в системі Kerberos ресурсним серверам забороняється «безпосередньо» приймати запити від клієнтів, їм дозволяється починати розгляд запиту клієнта тільки тоді, коли на це поступає дозвіл від Kerberos-сервера. Таким чином, шлях клієнта до ресурсу в системі Kerberos складається з трьох етапів:
Визначення легальності клієнта, логічний вхід в мережу, отримання дозволу на продовження процесу діставання доступу до ресурсу.
Отримання дозволу на звернення до ресурсного сервера.
Отримання дозволу на доступ до ресурсу.
Для вирішення першого і другого завдання клієнт звертається до Kerberos-серверу. Кожне з цих завдань вирішується окремим сервером, що входить до складу Kerberos-сервера. Виконання первинної аутентифікації і видача дозволу на продовження процесу діставання доступу до ресурсу здійснюється так званим аутентифікаційним сервером (Authentication Server, AS). Цей сервер зберігає в своїй базі даних інформацію про ідентифікатори і паролі користувачів.
Другу задачу, пов'язану з отриманням дозволу на звернення до ресурсного сервера, вирішує інша частина Kerberos-сервера – сервер квитанцій (Ticket-Granting Server, TGS). Сервер квитанцій для легальних клієнтів виконує додаткову перевірку і дає клієнтові дозвіл на доступ до потрібного йому ресурсному серверу, для чого наділяє його електронною формою-квитанцією. Для виконання своїх функцій сервер квитанцій використовує копії секретних ключів всіх ресурсних серверів, які зберігаються у нього в базі даних. Окрім цих ключів сервер TGS має ще один секретний DES-ключ, який розділяє з сервером AS.
Третє завдання – отримання дозволу на доступ безпосередньо до ресурсу – вирішується на рівні ресурсного сервера.
Вивчаючи досить складний механізм системи Kerberos, не можна не задатися питанням: який вплив роблять всі ці численні процедури шифрування і обміну ключами на продуктивність мережі, яку частину ресурсів мережі вони споживають і як це позначається на її пропускній спроможності?
Відповідь вельми оптимістична – якщо система Kerberos реалізована і конфігурована правильно, вона трохи зменшує продуктивність мережі. Оскільки квитанції використовуються багато разів, мережеві ресурси, що витрачаються на запити надання квитанцій, невеликі. Хоча передача квитанції при аутентифікації логічного входу декілька знижує пропускну спроможність, такий обмін повинен здійснюватися і при використанні будь-яких інших систем і методів аутентифікації. Додаткові ж витрати незначні. Досвід впровадження системи Kerberos показав, що час відгуку при встановленій системі Kerberos істотно не відрізняється від часу відгуку без неї – навіть в дуже великих мережах з десятками тисяч вузлів. Така ефективність робить систему Kerberos вельми перспективною.
Серед вразливих місць системи Kerberos можна назвати централізоване зберігання всіх секретних ключів системи. Успішна атака на Kerberos-сервер, в якому зосереджена вся інформація, критична для системи безпеки, приводить до краху інформаційного захисту всієї мережі. Альтернативним рішенням могла б бути система, побудована на використанні алгоритмів шифрування з парними ключами, для яких характерний розподілене зберігання секретних ключів.
Ще однією слабкістю системи Kerberos є те, що початкові коди тих застосувань, доступ до яких здійснюється через Kerberos, мають бути відповідним чином модифіковані. Така модифікація називається «керберизацией» додатку. Деякі постачальники продають «керберизированные» версії своїх застосувань. Але якщо немає такої версії і немає початкового тексту, то Kerberos не може забезпечити доступ до такого застосування.
4.2 Настройка мережевих служб для здійснення авторизації доступу до мережі Інтернет
Класичним вирішенням стандарта підприємства для організації Інтернет-сервісів є сервер під управлінням UNIX. Практично завжди для Web і FTP трафіку використовують кеширующий сервер SQUID, який також є стандартом de facto.
Стандартним способом надання доступу до SQUID-серверу є доступ на основі специалицированных списків доступу (Access Lists або ACL). У свою чергу списки доступу зазвичай будуються на основі IP-сетей, яким дозволений доступ до SQUID. Наприклад, визначимо ACL, яка описує мережу 10.128.0.0/16 (або з маскою 255.255.0.0). і ACL, яка описує взагалі все адресаsquid.conf:
acl net10128 src 10.128.0.0/16
acl all src 0.0.0.0/0
а зараз дозволимо їй доступ до Інтернет ресурсам
http_access allow net10128
а всім останнім - заборонимо:
http_access deny all
Після цього, тільки комп'ютерам із заданої мережі дозволений доступ до Інтернет. При використанні Internet-ресурсов, в балку-файл squid записується інформація про конкретну адресу, що запитала конкретний Інтернет-ресурс: acess.log:
1032862411.262 96 10.128.15.4 TCP_MEM_HIT/200 2581 GET
http://www.ru/eng/images/ssilki.jpg board/sag NONE/- image/jpeg
Тут присутсвует дата, розмір ресурсу, IP-адрес станції, зпросившей ресурс, і сам ресурс. З такого роду записів можна підрахувати трафік як по станції, так і по підмережі.
Проте приведена вище технологія дозволяє контролювати трафік по IP-адресу Інтернет-користувача. В більшості випадків цей спосіб цілком підходить, проте при цьому необхідно, щоб за конретним комп'ютером завжди працювала конкретна людина.
Ця умова виконується не завжди і тоді облік трафіку порушується. Ось типові умови, при яких потрібна інша схема авторизації в Інтернеті:
Різні користувачі працюють на одному і тому ж робочому місці (наприклад, позмінно).
Користувачі взагалі не прив'язані до конкретних комп'ютерів.
Користувачі працюють в термінальних сесіях термінального сервера. Тоді взагалі весь Інтернет-трафік йде з IP-адреса сервера.
Тому часто встає проблема обліку трафіку не на основі IP, а на основі іншої інформації.
4.2.1 Авторизація на основі логіна і пароля
Логічним вирішенням проблеми авторизація на основі логіна і пароля є авторизація в SQUID по логіну і раолю. Така можливість в SQUID, естесвенно передбачена. У SQUID для цього розроблена можливість авторизувати через зовнішню програму, яка просто "говорить" "та чи ні" на визначеного користувача і пароль. Т.ч. Можна проводити авторизацію по обліковому запису уміє проводити авторизацію через облікові записи UNIX, через текстові файли і тому подібне
Наприклад, для того, щоб користувач авторизувався через файл /usr/local/squid/passwd формату Веб-сервера-авторизації (формат Apache), потрібно скомпілювати squid разом з цим модулем (--enable-auth="ncsa; докладніше за див. документацію до SQUID). І в конфиг SQUID додати ACL вирішуюче правило:
Дозволити доступ користувачам dima petya vasya, паролі яких будуть перевірені через файл /usr/local/squid/passwd
acl MYUSERS proxy_auth dima petya vasya
http_access allow MYUSERS
http_access deny all
authenticate_program /usr/local/squid/bin/ncsa_auth /usr/local/squid/etc/passwd *
(*для версии 2.4).
При цьому, це вирішує поставлені в "Введенні" проблеми, проте додає деякі незручності користувачам і адміністраторові:
При первинному вході в Інтернет користувачеві потрібно набратьв броузере логінпароль для доступу до SQUID. І кожному користувачеві необхідно пам'ятати свої параметри.
Адміністраторові необхідно вести базу логінів і паролів у файлі.
4.2.2 Авторизація через облікові записи Windows
При роботі в Windows-мережах кожен користувач при вході в мережу проходить авторизацію в NT(2000) -домене. Було б здорове використовувати ці дані для авторизації SQUID. Тоді вирішуються проблеми ведення в SQUID окремої бази даних користувачів і, як виявилось, можна вирішити проблему запиту логінапароля в броузере при вході в Інтернет.
Головна проблема при вирішенні авторизації через Windows-домен - знайти і набудувати програму для авторизації заданого користувача в Windows-домене. Команда SQUID рекомендує користуватися програмою winbindd, яка є частиною проекту SAMBA (реалізація Windows сервера і клієнта під UNIX), SQUID, починаючи з версії 2.5 підтримує різні схеми авторизації по логінупаролю, включаючи basic і NTLM (NT Lan Manager). Basic-схема призначена для авторизації через введення логінапароля в броузере, а NTLM-схема призначена для автоматичного прийому броузером логіна, пароля і домена, під якими користувач реєструвався в Windows-домене. Т.ч. за допомогою NTLM-авторизации можна автоматично реєструватися в SQUID без ручного підтвердження логіна і пароля.
4.3.3 Практичне вирішення побудови системи авторизації через Windows домен
Практичне вирішення проблеми було знайдене досвідченим шляхом і може бути не найвитонченішим і правильнішим. Але краса його в тому, що воно дороблене та кінця і працює.
Початкові дані:
1. Комп'ютер, підключений до Інтернет зі встановленою ОС: FREEBSD 4.4 (версія і сама ОС не мають принципового значення).
2. Мережа, що містить близько 200 Windows-станций, включаючи термінальні сервери і клієнти.
3. Близько 250 аккаунтов в домені під управлінням Windows 2000 Advanced сервер (домен WORK і 4 довірителях домена).
Завдання:
Забезпечити авторизацію користувачів на SQUID через облікові записи Windows найбільш зручним способом.
План дій:
1.Установка і конфігурація SAMBA.
Отже перше, що треба зробити - встановити SAMBA для того, щоб уміти авторизуватися в Windows-домене. Я встановив версію 2.2.6pre2. Причому, важливо скомпілювати SAMBA з підтримкою winbind, тобто з параметрами:
-with-winbind
-with-winbind-auth-challenge
Примітка:
У FREEBSD SAMBA була зібрана з портів (ports) і виявилось, що з поточною версією не збирається бібліотека CUPS. Тому SAMBA була зібрана без неї (--without_cups).
Після установки, SAMBA потрібно набудувати на домен Windows мережі і на використання winbind:
[global]
workgroup = WORK - Ім'я нашого Windows-домена
netbios name = vGATE - Ім'я сервера (необов'язково)
server string = vGate
hosts allow = 10.128. 127. - Для безпеки.
winbind separator = +
winbind use default domain = yes
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/winnt/%D/%U
template shell = /bin/bash
max log size = 50
security = domain
password server = Primary Exch - сервери паролів (PDC, BDC)
encrypt passwords = yes
Слід звернути увагу на 2 речі:
1. Спочатку в параметрі password server був вказаний тільки PDC (Primary) і winbind не зміг знайти контроллер домена. Все запрацювало коли був доданий BDC (Exch).
2. Обидва імена - це NETBIOS імена і для того, щоб вони равильно інтерпретувалися в IP я прописав їх в /usr/local/etc/lmhosts
10.128.1.40 Primary
10.128.1.34 Exch
Після цього необхідне заригестрировать SAMBA в домені Windows. Для цього нужэно набрати команду:
/usr/local/sbin/smbpass -j WORK (наш домен) -r Primary(наш PDC) -UAdministrator
Після цього, слід ввести пароль адміністратора домена.
Спостерігалися проблеми з samba 2.2.4 і реєстрацією в нашому домене - саме тому була поставлена версія 2.2.6 з портів.
Далі можна запустити nmbd (/usr/local/sbin/nmbd -D) краще з включеним дебагом (-d9) і подивитися в балку-файл, що мережа нормально видно.
Далі можна сміливо пускати winbindd (/usr/local/sbin/winbindd -d9) - теж з дебагом і подивитися як він себе "відчуває" в нашій мережі. Опісля зразково секунд 10, можна перевірити а чи запустився winbind і чи функціонує він.
Для взаємодії з winbind служить команда wbinfo. Перевірити чи "бачить" вона winbindd взагалі можна командою wbinfio -p. Якщо вона відповість: 'ping' to winbindd succeeded, то означає все гаразд. Інакше треба дивитися в балку-файл winbindd і розуміти чому він не запустився. (Насправді запускається він завжди, та ось на запити відповідає тільки якщо правильно бачить мережа). Далі можна спробувати перевірити а чи бачить winbindd сервер з паролями користувачів (wbinfo -t). Сервер повинен сказати "Secret is good". І, нарешті, можна спробувати авторизуватися з UNIX в Wondows домен:
wbinfo -a пользователеь_домена%пароль.
Якщо користувач авторизувався, буде видано:
plaintext password authentication succeeded
error code was NT_STATUS_OK (0x0)
challenge/response password authentication succeeded
error code was NT_STATUS_OK (0x0)
Якщо неправильний пароль, то:
error code was NT_STATUS_WRONG_PASSWORD (0xc000006a)
Could not authenticate user dmn%doct with plaintext password
challenge/response password authentication faile
error code was NT_STATUS_WRONG_PASSWORD (0xc000006a)
Could not authenticate user dmn with challenge/response
Все це означає, що модуль wbinfo нарешті настроєний і правильно функціонує. Можна приступати до налаштування SQUID.
Тепер потрібно набудувати SQUID.
Спершу, потрібно відзначити, що NTLM схему підтримує SQUID, починаючи з версії 2.5. Тому я викачав версію 2.5.PRE13.
Далі, SQUID потрібно скомпілювати з підтримкою схем авторизації і модулем:
winbind../configure -enable-auth="ntlm,basic"
--enable-basic-auth-helpers="winbind"
--enable-ntlm-auth-helpers="winbind"
Тепер можна перевірити а чи розуміє SQUID-овский авторизатор winbind. Для цього потрібно запустити:
/usr/local/squid/libexec/wb_auth -d
І ввести уручну ім'я пароль (через пропуск).
Якщо все працює коректно, то програма видасть:
/wb_auth[91945](wb_basic_auth.c:129): Got 'Dmn XXXXX' from squid (length: 10).
/wb_auth[91945](wb_basic_auth.c:55): winbindd result: 0
/wb_auth[91945](wb_basic_auth.c:58): sending 'OK' to squid
Після цього, потрібно набудувати squid, щоб він коректно працював на основі IP-авторизації.
Тепер залишилося підключити авторизацію до SQUID. Для цього в конфиге SQUID потрібно описати в схеми авторизації через winbind:
auth_param ntlm program /usr/local/squid/libexec/wb_ntlmauth
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutesauth_param basic program /usr/local/squid/libexec/wb_auth
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
Причому важливо щоб NTLM авторизація йшла першою, інакше застосовуватиметься авторизація basic і IE питатиме пароль.
Далі потрібно зробити соответсвующую ACL і параметр доступу. Важливо, щоб це йшло після опису авторизацій.
acl myusers proxy_auth REQUIRED
http_access allow myusers
http_access deny all
Тепер залишається запустити SQUID і все перевірити.
Що має бути:
Якщо користувач авторизувався в домені, то IE не запитає пароль, а пойдетт відразу в Інтернет. Причому, в лог-файле SQUID буде безцінна інформація, а хто це був:
1032943720.839 180 10.128.36.5 TCP_CLIENT_REFRESH_MISS/200 1280 GET http://www.ru/eng/images/demos.jpg workdmn DIRECT/194.87.0.50 image/jpeg
Тобто Це був користувач dmn з домена work.
Якщо користувач не авторизувався в домені - його запитають логін і пароль. Якщо він введе логінпароль такій же, як при вході в домен, то його пустять в Інтернет.
Якщо користувач користується не IE (наприклад, Mozilla, Netscape, Opera), він буде повинен набрати свій логін і пароль для авторизації в Windows.
Якщо аккаунт в Windows-домене закритий, то і доступ в Інтернет буде закритий.
4.3 Практичні рекомендації щодо забезпечення доступу до каналів комп’ютерної мережі підприємства
Сукупність засобів і правил обміну інформацією утворюють інформаційну систему (ІС) підприємства. Забезпечення доступу співробітників підприємства до ресурсів інформаційної системи є інформаційною підтримкою їх діяльності. Керівництво будь-якого підприємства прагнути забезпечити безперервність інформаційної підтримки своєї діяльності а, отже, постійно ставить і вирішує завдання захисту власної інформаційної системи.
Засобом забезпечення інформаційної підтримки підприємства в переважній більшості випадків є його комп'ютерна мережа. Такі засоби, як голосова телефонія і радіозв'язок, факс і традиційна пошта не розглядаються нами окремо від комп'ютерних мереж, оскільки можливості зловмисника, що використовує тільки ці засоби без залучення комп'ютерних технологій, сильно обмежені. Крім того, захист голосової інформації, факсних і поштових відправлень, забезпечується інженерно-технічними засобами і організаційними заходами. Застосування тільки цих засобів і мерів для захисту комп'ютерних мереж явно недостатньо у зв'язку з особливостями побудови мереж цього класу. Далі ми розглянемо особливості побудови комп'ютерних мереж як засоби інформаційної підтримки підприємства, деякі, відомі уразливості комп'ютерних мереж і рекомендації по їх усуненню.
Особливості архітектури комп'ютерних мереж описані семирівневою моделлю взаємодії відкритих систем (Open Systems Interconnection, OSI), розроблена Міжнародним комітетом із стандартизації ISO (найчастіше використовується скорочене найменування — «модель ISO/OSI» або просто «модель OSI»). Відповідно до концептуальних положень цієї моделі процес інформаційного обміну в комп'ютерних мережах можна розділити на сім етапів залежно від того, яким чином, і між якими об'єктами відбувається інформаційний обмін. Ці етапи називаються рівнями моделі взаємодії відкритих систем. Термін «відкрита система» означає, те, що при побудові цієї системи були використані доступні і відкрито опубліковані стандарти і специфікації. Кожному рівню моделі відповідає певна група стандартів і специфікацій.
Далі ми розглянемо послідовно особливості обробки інформації на фізичному, канальному, мережевому і транспортному рівнях. По кожному рівню будуть представлені відомості про уязвимостях механізмів інформаційної взаємодії, характерних для даного рівня і рекомендації по усуненню цих уязвимостей.
4.3.1 Авторизація доступу на фізчному рівні організації комп’ютерних мереж
Найнижчий рівень моделі взаємодії відкритих систем описує процеси, що відбуваються на фізичному рівні або рівні середовища передачі. Інформація, що обробляється в комп'ютерних мережах, представлена дискретними сигналами і при передачі залежно від характеристик середовища представляється кодуванням або модуляцією. Стандарти фізичного рівня встановлюють вимоги до складових середовища: кабельній системі, роз'ємам, модулям сполучення з середовищем, формату сигналів при кодуванні і модуляції.
Забезпечити безпеку інформаційного обміну на фізичному рівні моделі можна за рахунок структуризації фізичних зв'язків між вузлами комп'ютерної мережі. Захищене фізичне середовище передачі даних є першим рубежем для зловмисника або перешкодою для дії руйнівних чинників оточення.
Далі приведені класифікація і характеристики середовищ передачі, використовуваних при побудові комп'ютерних мереж:
1. Середовище передачі — коаксіальний екранований мідний кабель. Використання для передачі такого типу середовища припускає наявність топології фізичних зв'язків «загальна шина». Тобто один кабельний сегмент використовується для підключення всіх вузлів мережі. Порушення цілісності кабельного сегменту приводить до відмови мережі. Всі вузли мережі такої топології (зокрема вузол зловмисника) мають можливість управляти процесом передачі інформації. Комп'ютерні мережі, побудовані на цьому принципі, уразливі найбільшою мірою. Зловмисник використовує механізми розділення середовища передачі в мережах цього типу для прослуховування трафіку всіх вузлів і організації атак відмови в доступі до окремих вузлів або всієї мережі в цілому.
2. Середовище передачі, утворене мідною витою парою.Топологія фізичних зв'язків «зірка». Кількість кабельних сегментів в даній мережі відповідає кількості вузлів. Порушення цілісності середовища одного кабельного сегменту не впливає на працездатність всієї мережі. Найуразливішим елементом мережі є центральний комунікаційний пристрій (концентратор або комутатор). Фактично пристрої цього класу є засобом розділення середовища передачі.
Концентратор утворює єдине середовище передачі, доступне всім вузлам мережі. Комп'ютерні мережі, побудовані на цих пристроях, по специфіці розділення фізичного середовища передачі відповідають мережам топології «загальна шина». Середовище передачі, утворене концентратором, дозволяє зловмисникові реалізувати прослуховування трафіку і атаку відмови в доступі, засновану на широкомовній розсилці повідомлень. При цьому зловмисник може не мати безпосереднього фізичного доступу до самого концентратора.
Комутатори використовуються для здійснення поперемінного доступу вузлів до середовища передачі. Розділення фізичного середовища передачі між вузлами в часі утрудняє прослуховування мережі зловмисником і створює додаткову перешкоду для здійснення атак відмови в доступі, заснованих на широкомовній розсилці повідомлень в мережі.
Використання тих і інших пристроїв як засобів утворення середовища передачі дозволяє зловмисникові викликати відмову всієї мережі у нього фізичного доступу до них або до системи їх енергопостачання.
Крім того, для всіх різновидів мідних кабельних систем, використовуваних як середовище передачі даних, має місце наявність побічного електромагнітного випромінювання і наведень (ПЕМІН). Не дивлячись на свою вторинність, ПЕМІН є інформативним для зловмисника і дозволяє йому аналізувати списи мережевої активності, а за наявності аналізатора спектру електромагнітного випромінювання, здійснити перехоплення передаваних середовищем передачі повідомлень.
3. Середовище передачі, утворене оптоволоконним кабелем. Як правило, використовується при побудові магістральних каналів зв'язку. Типова топологія фізичних зв'язків для такого типу середовища передачі — «крапка-крапка» і «кільце». Проте, останнім часом, у зв'язку із здешевленням засобів комутації, оснащених інтерфейсами для підключення оптоволокна, все частіше зустрічається використання цього різновиду кабелю при побудові локальних мереж зіркоподібної топології. Істотною перевагою оптоволоконної кабельної системи перед мідною є відсутність ПЕМІН, що сильно утрудняє перехоплення передаваних середовищем повідомлень. Уразливою ланкою топології «зірка» для оптоволоконного середовища передачі також є концентратори або комутатори.
Важливим чинником при забезпеченні надійності роботи комп'ютерної мережі і, як наслідок, безперервності інформаційної підтримки підприємства є наявність резервних зв'язків. Найбільш відповідальні сегменти мережі, використовувані для зв'язку з критично важливими вузлами комп'ютерної мережі необхідно дублювати. При цьому рішення задачі «гарячого резервування» кабельної системи покладається на канальний і мережевий рівні взаємодії. Наприклад, у разі порушення цілісності основного кабельного сегменту — комутатор, оснащений функцією гарячого резервування портів, здійснює трансляцію кадрів канального рівня на резервний порт. При цьому підключений до комутатора вузол, у зв'язку з недоступністю середовища передачі на основному мережевому інтерфейсі починає прийом і передачу через резервний мережевий інтерфейс. Використання мережевих інтерфейсів вузлом заздалегідь визначене пріоритетами його таблиці маршрутизації.
Додатковий захист мережі можна забезпечити за рахунок обмеження фізичного доступу зловмисника до кабельної системи підприємства. Наприклад, використання прихованої проводки є перешкодою зловмисникові, що здійснює спроби моніторингу мережевої активності і перехоплення повідомлень з використанням засобів аналізу ПЕМІН.
Гнучкість системи управління доступом до середовища передачі даних забезпечується за рахунок перспективного будівництва структурованої кабельної системи (СКС) підприємства. При проектуванні і будівництві СКС необхідно передбачити індивідуальні лінії зв'язку для всіх вузлів комп'ютерної мережі. Управління конфігурацією фізичних зв'язків повинне здійснюватися центарлизовано.
Нижче приведені основні рекомендації, що дозволяють понизити вірогідність експлуатації кабельної системи комп'ютерної мережі підприємства зловмисником.
1. Конфігурація фізичних зв'язків, що рекомендується, в комп'ютерній мережі підприємства — «зірка», при цьому для підключення кожного вузла виділений окремий кабельний сегмент. Як середовище передачі використовується восьмижильний мідний кабель типу «витаючи пара» або оптоволокно.
2. Для підключення критично важливих для підприємства серверів використовують два кабельні сегменти — основний і резервний.
3. Прокладка мережевого кабелю здійснюється в прихованій проводці, або в кабель-каналах, що закриваються, з можливістю опечатання не зриваними наклейками — «стикерами».
4. Кабельні сегменти, використовувані для підключення всіх вузлів комп'ютерної мережі, мають бути сконцентровані на одній комутаційній панелі.
5. У початковій конфігурації топології фізичних зв'язків має бути виключене сумісне використання середовища передачі будь-якою парою вузлів мережі. Виняток становить зв'язок з «вузол-комутатор».
6. Управління конфігурацією фізичних зв'язків між вузлами здійснюється тільки на комутаційній панелі.
7. Комутаційна панель змонтована в комутаційній шафі, що замикається. Доступ в приміщення комутаційної шафи строго обмежений і контролюється службою безпеці підприємства.
На рис. 4.2 приведені рекомендації по побудові комп'ютерної мережі на фізичному рівні.
Рис. 4.2. Рекомендації по побудові комп'ютерної мережі на фізичному рівні.
Особливий клас середовищ передачі складає безпровідне середовище передачі або радіочастотний ресурс. При побудові комп'ютерних мереж підприємств в даний час широко застосовується технологія RadioEthernet. Топологія фізичних зв'язків мереж, побудованих за цим принципом, — або «крапка-крапка», або «зірка». Особливість організації безпровідних мереж передачі даних, побудованих з використанням технології RadioEthernet, припускає наявність у зловмисника повного доступу до середовища передачі. Зловмисник, що володіє радіомережевим адаптером в змозі без зусиль організувати прослуховування радіомережі передачі даних. Паралізувати роботу такої мережі можна за умови наявності у зловмисника випромінювача, працюючого 2ГГц-овом в діапазоні частот і що володіє вищими в порівнянні з випромінювачами радіомережі, що атакується, потужностними характеристиками.
Рекомендації по захисту радіомереж передачі даних.
1. Служба безпеці повинна забезпечити строге обмеження фізичного доступу персоналу підприємства і повне виключення доступу сторонніх на майданчики монтажу приймального і випромінюючого устаткування радіомереж передачі даних. Доступ на майданчики повинен контролюватися службою безпеці підприємства.
2. Прокладка високочастотного кабелю має бути виконана прихованим способом або в коробах з подальшим опечатанням коробів «стикерами».
3. Довжина високочастотного кабельного сегменту має бути мінімальною.
4. Доступ в приміщення з радіомодемами, радіомостами і станціями, оснащеними радіомережевими адаптерами повинен строго контролюватися службою безпеці підприємства.
5. Адміністратор мережі повинен детально документувати процедури налаштування радіомодемів, радіомостів і станцій, оснащених радіомережевими адаптерами.
6. Адміністратор мережі повинен регулярно міняти реквізити авторизації для видаленого управління цими пристроями.
7. Адміністратор мережі повинен виділити окремий адресний пул для адміністрування цих пристроїв по мережі.
8. Адміністратор мережі повинен відключити невживані функції радіомодемів, радіомостів і станцій, оснащених радіомережевими адаптерами.
9. Адміністратор повинен активувати функції радіомодему або радіомоста забезпечуючі «тунелирование» і криптографічний захист передаваних повідомлень, що приймаються.
10. Адміністратор повинен контролювати доступ до радіомодемів, радіомостів і станцій, оснащених радіоадаптерами з боку вузлів комп'ютерної мережі підприємства. Одін з можливих способів контролю — використання міжмережевого екрану.
4.3.2 Авторизація доступу на канальному рівні організації комп’ютерних мереж
Забезпечення безпеки розділення середовища передачі комунікаційними засобами канального рівня. Протоколи і стандарти цього рівня описують процедури перевірки доступності середовища передачі і коректності передачі даних. Здійснення контролю доступності середовища необхідне оскільки специфікації фізичного рівня не враховують те, що в деяких мережах лінії зв'язку можуть розділяється між декількома взаємодіючими вузлами і фізичне середовище передачі може бути зайнята. Переважна більшість комп'ютерних мереж побудована на основі технологій Ethernet, Fast Ethernet і Gigabit Ethernet. Алгоритм визначення доступності середовища для всіх технологій однаковий і заснований на постійному прослуховуванні середовища передачі всіма підключеними до неї вузлами. Ця особливість використовується зловмисниками для організації різних видів атак на комп'ютерні мережі. Навіть за умови дотримання рекомендацій щодо виключення розділення середовища передачі зловмисник може здійснити прослуховування трафіку між довільно вибраною парою вузлів комп'ютерної мережі. Причому використання простих комутаторів не є серйозною перешкодою для зловмисника. Твердження про повну захищеність мереж, побудованих на основі топології фізичних зв'язків «зірка» і оснащених простими комутаторами, є серйозною помилкою. Далі ми розглянемо недоліки застосування простих комутаторів як засоби забезпечення інформаційного обміну в комп'ютерних мережах на канальному рівні.
Процес передачі інформації від одного вузла (А) до іншого (Б) через простій комутатор відбувається поетапно і дані передаються блоками. Розмір блоків визначений стандартом канального рівня. Блок даних, яким оперує протокол канального рівня, називається кадром. Припустимо, що передавальний вузол (А) визначив доступність середовища і початків передачу. У першому передаваному кадрі буде широкомовний запит до всіх вузлів мережі про пошук вузла з необхідним мережевою адресою. Цей запит містить апаратна адреса вузла відправника (А) і його мережева адреса (в даному випадку мова йде про IP як протоколі мережевого рівня). Відмітимо, що комутатор відповідно до вимог специфікацій канального рівня зобов'язаний передати цей широкомовний запит всім підключеним до його портів вузлам. Звернемо увагу також на те, що в нашій комп'ютерній мережі виконана вимога про виключення розділення середовища передачі між двома вузлами, і кожен вузол підключений безпосередньо до свого порту комутатора. Проте, незважаючи, на виконання даної рекомендації, зловмисник отримає широкомовний запит вузла (А), оскільки вузол його (зловмисника може) опинитися шуканим. Таким чином, зловмисник отримуватиме нарівні зі всіма останніми широкомовні запити на дозвіл мережевих адрес. Накопичуючи відомості з широкомовних запитів, зловмисник матиме уявлення про мережеву активність всіх вузлів. Тобто про те - хто, і в який час і з ким намагався почати інформаційний обмін. За допомогою цієї нескладної техніки зловмисник може визначити апаратні і мережеві адреси вузлів що є серверами або маршрутизаторами. Кількість запитів на дозвіл мережевої адреси сервера або маршрутизатора буде на декілька порядків вище, ніж звичайній робочій станції. Сформувавши таким чином відомість мережевої активності і карту мережі з адресами передбачуваних серверів і маршрутизаторів, зловмисник може відразу приступити до реалізації атак відмови в доступі до цих вузлів. Відмітимо при цьому, що в процесі збору широкомовних пакетів зловмисник не проявляв ніякої мережевої активності, тобто залишався невидимим для всіх вузлів мережі окрім простого комутатора, до порту якого він підключений.
Розглянемо, що відбувається після того, як вузол призначення (Б) отримав кадр із запитом на дозвіл своєї мережевої адреси. Згідно вимог специфікацій канального рівня, вузол, що отримав широкомовний кадр, що містить запит на дозвіл своєї мережевої адреси, зобов'язаний передати відправникові цього кадру відповідь, що містить власні мережеву і апаратну адреси. Відповідь вузла (Б) буде вже не широкомовною, а адресованою вузлу (А). Комутатор, зобов'язаний транслювати відповідь вузла (Б) тільки на той порт, до якого підключений вузол (А). Таким чином, кадр канального рівня, що містить відповідь вузла (Б) вже ніяк не потрапить до зловмисника. Це пояснюється тим, що середовище передачі, використовуване для підключення зловмисника до комутатора, буде вільне у момент передачі відповіді. Після отримання кадру з відповіддю, вузол (А) дізнається апаратна (MAC) адреса вузла (Б) і зможе почати передачу пакетів мережевого рівня на аресу вузла (Б). Подальші аспекти взаємодії вузлів знаходяться поза компетенцією протоколів канального рівня. Завдання протоколу канального рівня вважається за виконане, якщо що обмінюються даними вузли знають апаратні адреси один одного і можуть інкапсулювати мережеві пакети в кадри канального рівня, що ідентифікуються комутатором по MAC-адресам вузлів.
Уразливість системи дозволу мережевих адрес, описаної вище (у IP-сетях ця система називається ARP — Address Resolution Protocol) полягає в тому, що вузол (А) довіряє вмісту кадру з відповіддю. Тобто дані, передані у відповідь на запит про дозвіл мережевої адреси, ніяк не перевіряються і нічим не підтверджуються. Цією уразливістю і скористається зловмисник, охочий підмінити собою вузол (Б) або прослуховувати потік кадрів, передаваних між будь-якими двома вузлами мережі. Відбувається це таким чином. Зловмисник, вузол якого далі позначимо літерою (Х), завчасно визначає апаратну і мережеву адреси вузлів, що атакуються. Потім починає безперервно відправляти на аресу вузла (А) помилкові відповіді з вказівкою мережевої адреси вузла (Б) і апаратної адреси свого вузла (Х). Отримуючи помилкові відповіді вузол (А) перебудовує свою таблицю дозволу мережевих адрес і з цієї миті всі кадри, що відправляються їм на аресу вузла (Б) матимуть в заголовку апаратну адресу вузла зловмисника. Оскільки простий комутатор ухвалює рішення про трансляцію кадру на той або інший порт тільки на підставі апаратної адреси, вказаної в заголовку цього кадру, зловмисник отримуватиме всі повідомлення, адресовані вузлу (Б). Якщо зловмисникові необхідно організувати прослуховування трафіку між вузлами (А) і (Б) він здійснює помилкову розсилку відповідей на аресу обох вузлів і отримані в свою адресу кадри після перегляду і аналізу транслює вузлу, якому вони призначалися.
Описана вище техніка підміни апаратних адрес (у народі відома під англомовною назвою ARP spoofing) не є новою, різні варіанти її реалізації доступні користувачам мережі Інтернет у вигляді готових програм з докладним керівництвом користувача. Проте, практика показує, що в комп'ютерних мережах підприємств продовжується використання дешевих простих комутаторів на відповідальних ділянках при підключенні критично важливих для підприємства вузлів (серверів, маршрутизаторів і так далі). Комп'ютерні мережі, оснащені багатофункціональними керованими комутаторами, часто також залишаються уразливими до подібного роду атакам. У багатьох випадках функції захисту і розмежування доступу до середовища передачі, реалізовані в цих виробах, залишаються незатребуваними у зв'язку з недоліком кваліфікації або недбалістю системних адміністраторів. Крім того, ефективне розмежування доступу засобами канального рівня можливо тільки за умови повної інвентаризації вузлів мережі і формалізації правил взаємодії між ними. На практиці керівництво підприємства неохоче виділяє кошти на проведення подібних робіт, не розуміючи їх важливості для забезпечення захисту комп'ютерної мережі.
Нижче приведені рекомендації, проходження яким дозволяє додатково захистити комп'ютерну мережу підприємства засобами канального рівня.
1. Адміністратор служби безпеці повинен вести інвентаризаційну відомість відповідності апаратних і мережевих адрес всіх вузлів мережі підприємства.
2. Службою безпеці, спільно з відділом інформаційних технологій, має бути розроблена політика захисту комп'ютерної мережі засобами канального рівня, що визначає допустимі маршрути передачі кадрів канального рівня. Розроблена політика повинна забороняти зв'язки типу «один-ко-многим», не обгрунтовані вимогами інформаційної підтримки діяльності підприємства. Політикою також мають бути визначені робочі місця, з яких дозволена конфігурація засобів комутації канального рівня.
3. Засоби комутації канального рівня, використовувані в комп'ютерній мережі підприємства, мають бути такими, що настроюються і забезпечувати розмежування доступу між вузлами мережі відповідно до розробленої політики. Як правило, такі засоби підтримують технологію VLAN, що дозволяє в рамках одного комутатора виділити групи апаратних адрес і сформувати для них правила трансляції кадрів.
4. Адміністратор мережі повинен виконати налаштування підсистеми управління VLAN комутатора, і інших підсистем, необхідних для реалізації розробленої політики захисту. У обов'язку адміністратора входить також відключення невживаних підсистем комутатора.
5. Адміністратор мережі повинен регулярно контролювати відповідність конфігурацій комутаторів розробленій політиці захисту.
6. Адміністратор мережі повинен вести моніторинг мережевої активності користувачів з метою виявлення джерел аномально високої кількості широкомовних запитів.
7. Служба безпеці повинна контролювати регулярність зміни реквізитів авторизації адміністратора в підсистемах управління комутаторами.
8. Служба безпеці повинна контролювати регулярність виконання адміністратором заходів, пов'язаних з моніторингом мережі, здійсненням профілактичних робіт по налаштуванню комутаторів, а також створенням резервних копій конфігурацій комутаторів.
9. Служба безпеці повинна забезпечити строгий контроль доступу в приміщення, в яких розташовані комутатори і робочі станції, з яких дозволено управління комутаторами. На рис. 4.3 приведений приклад формалізованої політики захисту комп'ютерної мережі засобами канального рівня.
Рис. 4.3. Приклад формалізованого запису політики захисту комп'ютерної мережі засобами канального рівня.
В центрі схеми знаходиться керований комутатор, що забезпечує реалізацію правил політики безпеки. Атрибути комутатора перераховані у верхній частині блоку, а його операції (функції) в нижней. Вузли мережі згруповані за функціональною ознакою. Приклад запису правил фільтрації трафіку керованим комутатором приведений з права у відповідній нотації.
4.3.3 Авторизація доступу на мережевому рівні організації комп’ютерних мереж
Використання в комп'ютерній мережі протоколів мережевого рівня є необхідною умовою для забезпечення взаємодії між вузлами мереж з різними канальними протоколами. Мережеві протоколи дозволяють подолати обмеження, що накладаються специфікаціями канального рівня. Наприклад, дозволяють об'єднати комп'ютерну мережу підприємства з мережею інтернет-провайдера з використанням телефонних мереж загального користування. Зробити це тільки засобами канальних протоколів досить складно. Крім того, об'єднання двох різних за призначенням мереж з використанням мостів украй негативно позначається на рівні захищеності об'єднуваних мереж. В більшості випадків адміністратор і служба безпеці підприємства не можуть повністю проинвентаризировать вузли мережі, що підключається, і, отже, формалізувати правила обміну кадрами канального рівня.
Другий важливий аспект використання протоколів мережевого рівня — це розмежування доступу до ресурсів усередині мережі підприємства, що використовує тільки один стандарт канального рівня. Використання для цієї мети протоколів мережевого рівня вельми ефективно навіть для мереж, побудованих з використанням тільки одного стандарту канального рівня. Проблема сумісності в таких мережах не актуальна, і тому корисні властивості мережевих протоколів можна використовувати для захисту від дії на мережу зловмисника. Однією з таких властивостей є використання протоколами мережевого рівня роздільної схеми адресації мережі (тобто групи комп'ютерів) і окремо узятого вузла цієї групи. Зокрема адреса протоколу мережевого рівня IP складається з двох частин — номера мережі, і номера вузла. При цьому максимально можлива кількість вузлів в мережі або її адресний простір визначається значенням мережевої маски або (раніше, до введення безкласової маршрутизації CIDR) класом мережі.
Дану особливість адресації можуть використовувати як адміністратор мережі, так і зловмисник. Одним із завдань адміністратора мережі і співробітників служби безпеці є захист адресного простору мережі від можливості його використання зловмисником. Частково цю функцію виконують механізми маршрутизації, реалізовані модулями протоколу мережевого рівня. Тобто здійснення обміну між вузлами мереж з різними номерами неможливе без попереднього налаштування локальних таблиць маршрутизації вузлів цих мереж, або без внесення змін до конфігурації маршрутизатора, що здійснює обмін пакетами (пакетом називається блок даних, з яким працює протокол мережевого рівня).
Проте майже завжди в адресному просторі мережі залишається частина адрес, не зайнятих зараз і тому доступних для експлуатації зловмисником. Це пояснюється форматом представлення номера мережі і номера вузла IP-протокола. Кількість вузлів в мережі — це завжди 2n, тобто 4,8,16,32,64 і так далі Реальна ж кількість вузлів не буває такою. Крім того, адміністратор завжди прагне зарезервувати адресний простір для нових вузлів. Саме цей резерв може і буде використаний зловмисником для здійснення атак на функціонуючі вузли комп'ютерної мережі.
Вирішення проблеми очевидне — потрібно використовувати весь адресний простір і не дати зловмисникові можливості захопити адреси невживаних вузлів. Одним із способів є застосування служби моніторингу мережі і підтримки віртуальних вузлів в резервному діапазоні адрес. Дана служба постійно використовує вільний адресний простір мережі, створюючи власні віртуальні хосты (нові віртуальні хосты створюються відразу після відключення від мережі реально функціонуючих довірених вузлів). Таким чином, служба підміняє собою відсутні зараз робочі станції, сервери, маршрутизатори і так далі
4.3.4 Авторизація доступу на транспортному рівні організації комп’ютерних мереж
Використання властивостей транспортних протоколів створює найбільш ефективну перешкоду діяльності зловмисника. Тут для захисту використовуються ознаки, що містяться в заголовках сегментів (сегмент — блок даних з якими працює транспортний протокол) транспортного протоколу. Цими ознаками є тип транспортного протоколу, номер порту і прапор синхронізації з'єднання.
Якщо засобами канального рівня можна захистити апаратуру комп'ютерної мережі, а протоколи мережевого рівня дозволяють розмежувати доступ до окремих хостам і підмереж, то транспортний протокол використовується як засіб комунікації мережевих застосувань, що функціонують на платформі окремих вузлів (хостов). Будь-яке мережеве застосування використовує транспортний протокол для доставки оброблюваних даних. Причому у кожного класу додатків є специфічний номер транспортного порту. Ця властивість може бути використане зловмисником для атаки на конкретний мережевий сервіс або службу, або адміністратором мережі для захисту мережевих сервісів і служб.
Адміністратор формує політику захисту мережі засобами транспортного рівня у вигляді відомості відповідності хостов, використовуваних ними мережевих адрес і довірених застосувань, що функціонують на платформах цих хостов. Формалізований запис цієї відомості є табличною структурою, що містить:
— перелік вузлів (хостов), їх символьні імена;
— відповідні цим вузлам (хостам) мережеві адреси;
— перелік використовуваних кожним вузлом (хостом) транспортних протоколів;
— перелік мережевих застосувань, що функціонують в кожному вузлі і відповідні цим застосуванням порти транспортного протоколу;
— по кожному мережевому застосуванню необхідно встановити, чи є воно споживачем або постачальником ресурсу, тобто чи дозволено йому ініціювати витікаючі з'єднання або приймати що входять.
Реалізація політики захисту засобами транспортного рівня здійснюється за допомогою міжмережевих екранів (firewall). Міжмережевий екран — це спеціалізоване програмне забезпечення, що реалізовує фільтрацію трафіку відповідно до правил політики захисту мережі засобами транспортного рівня. Як правило, дане програмне забезпечення функціонує на платформі маршрутизатора, керівника інформаційними потоками вузлів різних мереж.
4.4 Висновок
Таким чином, авторизація проводиться з метою розмежування прав доступу до мережевих і комп'ютерних ресурсів і є процедурою засобу захисту інформації від несанкціонованого доступу. Для централізованого вирішення завдань авторизації в крупних мережах предназначена мережева служба Kerberos. Вона може працювати в середовищі багатьох популярних операційних систем.
Висновки
Головним результатом даної роботи є дослідження засобів здійснення авторізації доступу до каналів комп’ютерних мереж.
До основних результатів дипломної роботи відносяться:
1. Аналіз фізичної сутності та порядка використання каналів передачі даних в комп’ютерних мережах показав, що:
використання каналів передачі даних при побудові комп’ютерних мережах відбувається в рамках структурованої кабельної системи;
типова ієрархічна структура структурованої кабельної системи включає: горизонтальні підсистеми; вертикальні підсистеми; підсистему кампусу;
використання структурованої кабельної системи дає багато переваг: універсальність, збільшення терміну служби, зменшення вартості добавлення нових користувачів і зміни місць їх розташування, можливість легкого розширення мережі, забезпечення ефективнішого обслуговування, надійність;
при виборі типу кабелю приймають до уваги такі характеристики: пропускна спроможність, відстань, фізична захищеність, електромагнітна перешкодозахищеність, вартість;
найбільш поширеними є такі типи кабелю: кручена пара (екранована і неекранована), коаксіальний кабель, оптоволоконний кабель (одно- і багатомодовий);
для горизонтальної підсистеми найбільш прийнятним варіантом є неекранована кручена пара, для вертикальної підсистеми і підсистеми кампусу – оптоволоконний кабель або коаксіал;
2. Аналіз методів доступу до загального поділюваного середовища передачі даних показав, що випадкові методи доступу передбачають можливість захвату загального поділюваного середовища передачі даних будь-яким вузлом мережі у довільний випадковий момент часу, якщо в даний момент він вважає середовище вільним. Детерміновані методи, навпаки, передбачають можливість надання загального середовища в розпорядження вузла мережі за суворо визначеним (детермінованим) порядком.
3. Практична настройка мережевих служб для авторизації доступу до мережі Інтернет та рекомендації щодо забезпечення доступу до каналів комп’ютерної мережі підприємства.