- •1.1. Информация и сигналы
- •1.2. Информационные технологии и системы
- •База знаний;
- •Механизм вывода;
- •Интерфейс и пользователь.
- •1.3. Передача и оценка информации
- •1.4. Алгоритмы
- •2.1. Цели создания, назначение и структура еаис
- •2.2. Этапы развития еаис
- •2.3. Ведомственная интегрированная телекоммуникационная сеть
- •3.1. Общие принципы и органы управления
- •3.2. Правовые основы применения электронных документов и информационных технологий в таможенном деле и торговле
- •Глава 1. Общие положения.
- •Глава 2. Условия использования электронной цифровой подписи. Глава 3. Удостоверяющие центры.
- •Глава 4. Особенности использования электронной цифровой подписи. Глава 5. Заключительные и переходные положения.
- •3.3. Основные направления развития
- •4.1. Назначение и классификация вычислительных сетей
- •4.2. Физическая передающая среда для связи компьютеров
- •4.3. Эталонная модель взаимодействия вычислительных систем
- •4.4. Устройства организации взаимодействия в вычислительных сетях
- •4.5. Принципы управления и доступа в вычислительных сетях
- •4.6. Глобальная сеть Интернет
- •4.7. Параметры рабочих станций и вычислительных сетей
- •4.8. Контроль и восстановление
- •4.9. Средства вычислительных сетей таможенных органов
- •5.1. Размещение и организация
- •5.2. Понятия базы данных и системы управления базами данных
- •5.3. Файловая модель
- •5.4. Иерархическая и сетевая модели представления данных
- •5.5. Реляционная модель данных
- •5.6. Системы управления базами данных
- •5.7. Классификация и кодирование
- •5.8. Базы данных еаис
- •5.9. Информационно-поисковые системы
- •Август 14.08.2007
- •Январь 27.01.2007
4.4. Устройства организации взаимодействия в вычислительных сетях
Работа отдельных ЭВМ в единой сети и организация взаимодействия с другими сетями предполагает испо.и зование целого ряда специальных устройств [12,13, 19,32, 39, 50].
Сетевые адаптеры
Работа отдельных ЭВМ и серверов в единой сети и организация взаимодействия с другими сетями предполагает использование целого ряда специальных дополнительных устройств, которые называются сетевыми адаптерами и обеспечивают совместимость (приспособление) работы различных элементов сети.
Сетевой адаптер (СА) представляет собой программно-аппаратурное устройство. Его функции реализуются электронными схемами и специальной программой-драйвером, которая выполняется процессором ЭВМ. В обязательном порядке он устанавливается в сервер и PC. Некоторые СА предназначены для установки в устройства межсетевого взаимодействия: мосты, маршрути-
202
заторы и др. Одной из особенностей СА, устанавливаемых в ЭВМ, является наличие собственного микропроцессора в аппаратурной части СА, что позволяет разгрузить процессор сервера.
Сетевой адаптер часто выполняется в виде сетевой платы, устанавливаемой в разъем материнской платы ЭВМ.
Основные функции сетевого адаптера:
-
подготовка и формирование пакета данных (с учетом требований сетевого обмена) к передаче его в сеть;
-
управление потоком данных между ЭВМ и передающей средой (буферизация и согласование скорости обмена данными через сеть, параллельно-последовательное преобразование и кодирование (декодирование) данных);
-
идентификация своего адреса в циркулирующих в сети пакетах данных, прием, преобразование и буферизация данных.
Электронно-вычислительная машина работает со словами длиной от одного до нескольких десятков байт. Чтобы послать по линии связи все слово сразу, надо в общем случае столько проводов, сколько бит в слове. В большинстве случаев связь ЭВМ с сетью осуществляется с помощью двух проводов, что позволяет в каждый момент времени посылать (принимать) один электрический импульс. Поэтому перед тем как послать данные в сеть, плата СА должна перевести слова ЭВМ в форму, необходимую для передачи по сетевому кабелю. В частности, СА должен преобразовать параллельный код, соответствующий слову, в последовательность бит, которые собственно и будут передаваться по сети. От ЭВМ слова поступают через разъем системной шины, к которой подключен адаптер.
Каждый СА должен иметь свой уникальный сетевой адрес, который закрепляется за ним и далее указывается в служебной части пересылаемого пакета данных для идентификации отправителя и получателя данных. Этот адрес называют также LAN-адресом, или физическим адресом. Он находится в специальной ячейке памяти СА, куда заносится его производителем. Чтобы не было пересечений адресов у разных производителей, они получают от особой международной организации (комитет IEEE) набор адресов, которые далее используются при изготовлении СА.
Заметим, что в случае подключения ЛВС к сети Интернет каждой рабочей станции ЛВС надо присвоить так называемый IP-адрес (каждая ЭВМ должна иметь два адреса). IP-адрес нужен для пересылки данных по сети Интернет.
Данные с внутренней шины ЭВМ передаются на СА по его запросу. Если данные поступают быстрее, чем их способен обработать адаптер, то они временно помещаются в его буфер памяти, который может располагаться на плате адаптера. Возможен вариант, когда под буфер выделяется часть памяти самой ЭВМ.
Если более совершенной (быстрой) плате необходимо взаимодействовать со старой (медленной) платой СА, они должны определить для себя общую скорость передачи параметров, поскольку схемы построения современных плат позволяют приспособиться к медленной скорости старых плат СА.
203
Повторители и концентраторы
На практике часто возникает необходимость совершенствования (расширения) возможностей ЛВС. Это может быть связано с изменением структуры подразделений (фирм), их территориальным перемещением или необходимостью совершенствования обмена информацией с другими организациями и системами.
При имеющихся ресурсах ЛВС расширение ее конфигурации может быть достигнуто без выхода во внешнюю среду. В том случае, если технические возможности существующей сети исчерпаны и подключение новых абонентов к ней невозможно, возникает необходимость создания еще одной ЛВС и ее подключения к существующей сети. При этом возможны несколько способов решения этой задачи, некоторые из них рассмотрим ниже.
Известно, что сигнал при распространении по кабелю искажается: уменьшается его мощность, амплитуда, изменяются фронты, форма и другие параметры. Причина этого явления - наличие сопротивления (активного, реактивного) среды передачи, что вызывает затухание сигнала. Поэтому при достаточно большой длине кабеля затухание может исказить сигнал до такой степени, что при приеме он будет восприниматься как помеха. Для исключения такого положения дел применяются повторители (repeater), обеспечивающие распространение сигналов без искажения на большие расстояния. По сути, это устройства, которые восстанавливают исходную форму сигналов, почему их часто называют усилителями. Заметим, что аналогичные проблемы возникают и в беспроводных сетях.
Для различных топологий и видов проводящей среды рассчитаны максимальные расстояния соединений без усилителей. На рис. 4.24 показаны условия применения повторителей при использовании тонкого коаксиального кабеля при создании сетей по схеме с общей шиной. Они подсоединяются в разрыв кабеля через определенное расстояние, усиливают и передают сигналы в следующий участок сети. На свободные концы общей шины устанавливают специальные разъемы-терминаторы (позволяют снизить уровень помех в шине).
Таким образом, повторители - самый простой и дешевый способ расширения сети, позволяющий преодолеть ограничения по длине сегмента или по количеству узлов. Они расширяют возможности сети, соединяя сегменты, использу-
204
ющие одинаковые или разные типы носителей, восстанавливают сигнал и тем самым увеличивают дальность передачи всего трафика в обоих направлениях. При этом повторители не являются фильтрами, которые ограничивают поток пакетов, а передают из сегмента в сегмент каждый бит данных (в том числе и искаженных) даже из пакетов, не предназначенных для этого сегмента. В результате повторители передают из сегмента в сегмент избыточный поток широковещательных пакетов (интенсивный сетевой трафик), перегружая сеть, что приводит к снижению ее производительности. Поэтому повторители целесообразно использовать при реализации определенного метода фильтрации данных и применении в сегментах единого метода доступа. Некоторые многопортовые повторители работают как многопортовые концентраторы, соединяющие различные типы носителя.
Повторитель, имеющий несколько портов и соединяющий несколько ЭВМ, называют концентратором (concentrator), или хабом (hub). В настоящее время он является одним из стандартных компонентов ЛВС, а в сетях с топологией «звезда» служит центральным узлом (рис. 4.7).
Классический концентратор фактически представляет собой устройство физического уровня. Принцип его работы очень простой. Поступающие на один из портов биты он транслирует на другие порты, т.е. осуществляет так называемую широковещательную рассылку. При этом он не анализирует содержание и структуру поступающих сообщений.
Концентраторы подразделяются на активные и пассивные.
Активные концентраторы восстанавливают (усиливают) поступающие сигналы так же, как это делают повторители. Иногда их называют многопортовыми повторителями.
Пассивные концентраторы (монтажные панели, коммутирующие блоки и др.) просто пропускают через себя сигналы без усиления.
Часто рабочие станции ЛВС разбивают на группы, которые называют сегментами. Каждый из них замыкают на концентратор, который, в свою очередь, подключают на главный концентратор (рис. 4.9). Тогда появление неисправностей в работе одного из сегментов не влияет на функционирование остальных сегментов сети (сегмент отключается от сети).
В качестве сегмента может выступать и отдельная ЛВС. Однако надо иметь в виду, что это возможно только для сетей Ethernet с одинаковой скоростью передачи данных, а пропускная способность «большой» сети будет такой же, как и в исходных сетях. Это результат свойств концентратора. Если в некотором сегменте PC начала передачу, то ее биты будут рассылаться на ЭВМ всех сегментов, причем остальные компьютеры будут работать только на прием (согласно протоколам Ethernet).
Концентраторы применяются при реализации практически всех базовых технологий доступа в локальных сетях - Ethernet, Arc Net, Token Ring, FDDI, Fast Ethernet, Gigabit Ethernet, 100VG-Any LAN. В различных их конструкциях много общего - они повторяют сигналы, пришедшие с одного из своих портов, на других портах. Отличие лишь в том, на каких именно портах повторяются сигналы.
205
Так, концентратор для технологии Ethernet повторяет поступившие входные сигналы на всех других портах, а для технологии Token Ring - только на том, к которому подключена соседняя ЭВМ.
Наиболее совершенные концентраторы позволяют:
-
отключать порты с отказавшей ЭВМ;
-
создавать резервный порт, на который будет переключаться ЭВМ при отказе основного порта;
-
при поступлении сообщений сразу от нескольких ЭВМ сохранять их в буфере с последующей передачей в сеть и т.д.
Мосты
Для организации взаимодействия сегментов и сетей и оптимизации обмена данными применяют специальные устройства: мосты, коммутаторы и маршрутизаторы. На начальных стадиях развития сетевых технологий все эти устройства достаточно четко различались по своим функциям и условиям применения, однако в настоящее время это деление является достаточно условным, так как постепенно их возможности сближаются.
Мост (bridge) - это программно-аппаратное средство, предназначенное для организации взаимодействия между ЛВС на физическом и канальном уровнях. Мосты работают с Ethernet-кадрами, т.е. выполняют свои действия в зависимости от информации, содержащейся в кадре, что отличает их от концентраторов.
Мосты обычно решают следующие задачи:
-
увеличивают размер сети и количество PC, входящих в ее состав;
-
устраняют проблемы, связанные с ростом информационного потока (появляющиеся при подключении в ЛВС дополнительных PC), и повышают эффективность функционирования за счет разделения перегруженной сети на отдельные сегменты с уменьшенным трафиком;
-
соединяют различные линии передачи сигналов (витая пара и коаксиальный кабель и др.);
-
соединяют разнородные сегменты сети (например, Ethernet и Token Ring).
Первоначально мост служил для организации взаимодействия двух сегментов или двух ЛВС одинаковой топологии, работающих по одинаковым протоколам. В последующем мосты могли организовывать взаимодействие нескольких ЛВС или сегментов, работающих по протоколам Ethernet, в том числе разной пропускной способности.
На рисунке 4.25 показана схема подключения моста при четырех сегментах (сетях). PC каждого сегмента через СА подключаются к концентратору соответствующего сегмента, которые, в свою очередь, подключены к портам А, В, С и D моста.
Мост обладает способностью фильтрации, т.е. определяет, на какой порт надо отправить поступивший кадр. Для этого он извлекает из кадра LAN-адрес получателя и затем направляет его в тот порт, к которому подключена сеть, содержа-
206
щая
PC
с этим адресом. Если получатель находится
в той же сети, из которой поступил кадр,
то никакой переадресации кадра не
производится.
В самом общем виде один из базовых алгоритмов функционирования моста можно описать следующим образом. Каждая PC имеет в своей ЛВС (или сегменте) уникальный LAN-адрес. На канальном уровне PC-сообщение оформляется в виде так называемого кадра, содержащего, кроме прочего, адреса отправителя и получателя. В свою очередь, мост содержит буфер для хранения перемещаемых сообщений, а также специальный блок памяти (таблицу маршрутов) для хранения информации о канальных адресах ЭВМ и портах моста, к которым они подключены. В общем случае при первом запуске сети таблица маршрутов пуста, хотя мосты допускают и предварительную ручную запись адресов.
Если PC X сегмента А посылает сообщение некоторому компьютеру Y в сегменте D (см. рис. 4.25), то оно через концентратор А и порт А попадает в буфер моста. В том случае, если обе эти PC ранее не передавали сообщения, то определяется и заносится в таблицу информация об адресе и порте подключения передающего компьютера, время получения кадра. Затем кадр посылается во все порты, кроме того, с которого он поступил (порт А). Когда сообщение достигает PC Y, он извещает об этом мост и в его таблицу маршрутов заносится информация об адресе порта, к которому подключен сегмент с ЭВМ получателя. Возможно, память уже содержит информацию о PC X и Y, тогда выполняется иной алгоритм. Мост анализирует, в каком сегменте находится получатель. Если X и Y находятся в одном сегменте, то никаких пересылок в другой сегмент мост не производит. При нахождении X и Y в разных сегментах по таблице адресов определяется порт сегмента с PC Y (в данном случае порт D) и на него направляется кадр из буфера. Далее этот кадр через концентратор D поступает на компьютер Y.
Если в течение заранее заданного времени не поступает нового кадра с некоторым адресом, то информация об этом адресе удаляется из таблицы маршрутов.
207
Это делается для того, чтобы при замене PC или его СА не сохранялась устаревшая информация, а таблица маршрутов не переполнялась.
Замечательным отличием сетей, в которых сегменты соединяются с помощью моста (от соединений концентраторами), состоит в том, что обмены данными в разных сегментах не влияют на пропускную способность друг друга. Это результат того, что сообщения между PC одного сегмента не отправляются в другие сегменты.
В настоящее время мост используется все реже. Его функции с успехом выполняют современные коммутаторы.
Маршрутизаторы
В среде, объединяющей несколько сегментов ЛВС с различными протоколами и архитектурами, мосты не всегда гарантируют быструю связь между ними. Для такой сложной сети необходимо устройство, которое не только использует адрес каждого сегмента, но и определяет наилучший маршрут передачи данных к конкретной PC заданной ЛВС, а также фильтрует поток сообщений. Такое устройство называется маршрутизатором.
Маршрутизаторы (router) определяют, для какой сети предназначено то или иное сообщение, и направляют пакет данных в заданную сеть.
На рисунке 4.26 приведена схема соединения нескольких ЛВС, связанных маршрутизаторами, из которой видно, что между ЛВС 1 и ЛВС 7 возможен
обмен данными по нескольким маршрутам: первый - через маршрутизаторы Ml, М5, Мб, М7: второй - через маршрутизаторы Ml, МЗ, М5, М7: третий - через маршрутизаторы Ml, МЗ, М4, Мб, М7. Поэтому при необходимости
переслать данные из ЛВС 1 в ЛВС 7 у маршрутизатора Ml возникает проблема выбора пути передачи.
Этот процесс выбора пути передачи данных называется маршрутизацией, и ее решение является одной из главных и сложных задач сетевого уровня, поскольку короткий путь не всегда самый лучший.
Существенным отличием маршрутизаторов от мостов и большинства коммутаторов является то, что они работают на сетевом уровне модели OSI, а не на канальном и могут объединять сети с различными протоколами и топологиями
208
Для задания пути передачи данных между сетями маршрутизаторы строят таблицы маршрутов (routing tables), которые содержат варианты перемещения данных по каналам связи к получателю. Каждый маршрут содержит адрес конечной сети, адрес следующего маршрутизатора и стоимость передачи по этому маршруту.
При оценке стоимости могут учитываться количество промежуточных маршрутизаторов, время, необходимое для передачи данных, а также стоимость передачи данных по линии связи.
Часто критерием выбора маршрута является время передачи данных. Оно зависит от пропускной способности каналов связи и интенсивности трафика, которая может изменяться с течением времени. На определенных направлениях возможны обрывы линий связи. Некоторые алгоритмы маршрутизации пытаются приспособиться к изменению нагрузки, в то время как другие принимают решения на основе средних показателей за длительное время. Выбор маршрута может осуществляться и по другим критериям, например, надежности передачи.
В общем случае маршрутизаторы, как и мосты, автоматически заполняют таблицу маршрутизации. Источником информации для ее редактирования является служебная информация в перемещаемых пакетах данных (сведения об адресах получателя и отправителя, время нахождения пакета в пути и т.п.), а также специальные сообщения, которыми периодически обмениваются маршрутизаторы. Однако при необходимости можно воспользоваться режимом ручного создания и конфигурации таблицы маршрутизации с указанием каждого маршрута.
Маршрутизаторы имеют большие возможности, чем мосты и, кроме их функций (фильтрация, ограничение трафика, соединение сегментов сети), могут оптимизировать доставку пакетов и в целом нагрузку сети. Таким образом, мост распознает только один путь между сетями, а маршрутизатор среди нескольких возможных путей определяет самый лучший для конкретной ситуации. Поэтому в сложных сетях они достаточно эффективны, поскольку лучше (по сравнению с мостами) управляют трафиком, не пропускают всего потока сообщений, позволяют оценить состояние маршрутов и на основе этого обходить медленные или неисправные каналы связи.
Классический пример использования маршрутизаторов - коммутация пакетов данных на границе между ЛВС и Интернет.
Основные особенности и преимущества маршрутизаторов:
-
более высокий уровень локализации трафика, чем у моста или концентратора (например, позволяет фильтровать широковещательные кадры, не имеющие корректных адресов назначения);
-
высокий уровень защиты от несанкционированного доступа за счет использования фильтрации трафика на более высоких уровнях модели OSI (сетевом и транспортном);
-
сеть, части которой соединены маршрутизатором, не имеет ограничений на число узлов (частей);
14 Ю. В. Малышснко
209
-
возможность настройки параметров качества, системы приоритетов, ширины полосы пропускания для каждого типа трафика и др.;
-
поддержка основных протоколов динамической маршрутизации, таких как RIP, OSPF, BGP-4, IPX RIP/SAP, возможность связи нескольких IP сетей одновременно;
- восстановление уровня и формы передаваемого сигнала. Производительность маршрутизаторов принято измерять в PPS (Packets Per
Second), т.е. по количеству маршрутизируемых пакетов в секунду.
Коммутаторы
Коммутатор представляет собой устройство, конструктивно выполненное в виде сетевого концентратора и действующее как высокоскоростной многопортовый мост. Встроенный механизм коммутации позволяет осуществить сегментирование ЛВС и выделять полосу пропускания конечным PC сети [39].
Современные коммутаторы (жаргонное название - свитч) широко используются в локальных или корпоративных сетях, где эффективно заменяют концентраторы, мосты и даже маршрутизаторы.
Коммутатор - это усовершенствованный мост, имеющий буфер и адресную память (таблицу маршрутов), которая может формироваться автоматически. Как и в мосту, кадр, поступивший на некоторый порт, направляется не на все другие порты (что делает концентратор), а только на тот, к которому подключено устройство с LAN-адресом, совпадающим с адресом назначения кадра. Однако коммутатор обладает рядом дополнительных свойств: может создавать очереди кадров для каждого порта в случае перегрузки сети; осуществлять быструю пересылку данных без контроля на ошибки; устанавливать разные алгоритмы коммутации для каждого порта и адаптивно их изменять в зависимости от интенсивности ошибок передачи; выполнять трансляцию одного протокола канального уровня в другой и т.п.
Одно из наиболее важных качеств коммутатора - повышенная скорость передачи данных, которая в значительной мере достигается за счет организации независимой пересылки данных сразу между несколькими парами портов. Коммутаторы, как и мосты, обрабатывают кадры последовательно, но имеют большее число портов.
На рисунке 4.27 коммутатор - одновременно созданное соединение между сервером С1 (порт 1) и РС6 (порт 8), а также между сервером С2 (порт 5) и РС2 (порт 3).
В коммутаторах могут использоваться коммутационные узлы с иным принципом работы, чем обычная коммутационная матрица. В частности, применяются коммутационные узлы с общей шиной, где связь портов осуществляется через высокоскоростную внутреннюю шину коммутатора. Обмен данными через шину выполняется со скоростью, на порядок превышающей поступление кадров.
Промышленностью выпускается несколько вариантов коммутаторов, различающихся возможностями и стоимостью.
210
К
наиболее дешевым и простым устройствам
относятся неуправляемые коммутаторы
(Dumb),
которые успешно вытесняют концентраторы.
Как правило,
Более сложные функции реализуют настраиваемые коммутаторы (Smart). В них, используя порт RS-232, обычный Ethernet или даже простейшую микроклавиатуру, администратор может менять многие важные конфигурационные параметры, которые считываются затем только один
раз (при загрузке). Например, таким образом можно блокировать механизм самообучения, устанавливать фильтрацию, задавать скорость передачи и др.
Но самые большие возможности имеют управляемые коммутаторы (Intelligent). Они имеют процессор (или интерфейс для подключения к PC), который позволяет контролировать работу и изменять параметры устройства без перезагрузки, в реальном масштабе времени наблюдать за проходящими пакетами, считать проходящий трафик и т.п.
Еще один признак, по которому можно классифицировать коммутаторы -это область применения. С некоторой долей условности можно выделить:
-
настольные коммутаторы;
-
коммутаторы для рабочих групп;
-
магистральные коммутаторы.
Настольные коммутаторы предназначены для работы с небольшим числом пользователей и могут служить эффективной заменой концентраторов 10/100BaseT. Они обычно имеют 8-16 портов, небольшие габариты, настольное или «настенное» исполнение. Такие коммутаторы, как правило, не имеют возможности управления, поэтому просты в установке и обслуживании.
Коммутаторы для рабочих групп используются главным образом для объединения в единую сеть настольных коммутаторов или концентраторов Ю/lOOBaseT и дальнейшего ее соединения с магистральной сетью передачи данных. Для этого используется объемная таблица маршрутизации (до нескольких десятков тысяч адресов на коммутатор), развитые средства фильтрации, мониторинг трафика. Обязательный элемент - возможность управления (обычно удаленного). Могут предусматриваться порты lOOOBaseT для подключения серверов или нескольких свитчей между собой, встроенные оптоволоконные модули или другие конверторы физических сред.
Магистральные коммутаторы служат для соединения ЛВС с сетями передачи данных. Обычно это сложные и мощные конструкции, часто модульные.
211
Они имеют широкие дополнительные возможности настройки (вплоть до маршрутизации на 3 уровня по модели OSI, т.е. обладают возможностями мар-
шрутизаторов), резервные
Интернет
источники питания, предусматривают «горячую» замену модулей, обязательную поддержку приоритетов и другие функции.
Схема на рис. 4.28 иллюстрирует места включения тех или иных коммутирующих устройств при организации компьютерного обмена данными.
Рис.
4.29. Пример «домашней» сети на основе
коммутаторов
212
Шлюзы и брандмауэры
Шлюз (gateways) представляет собой программное или программно-аппаратное средство, обеспечивающее организацию обмена данными между двумя ЛВС, использующими различные протоколы взаимодействия, он является точкой входа в сеть [13, 39, 50].
Особенность классического шлюза заключается в том, что его основная задача не столько в выборе маршрута, сколько в преобразовании и фильтрации пересылаемых данных.
Он применяется, например, при подключении ЛВС к Интернет, используя шлюз электронной почты, преобразуя сообщения от различных несовместимых ее систем в общепринятый формат Интернет. В программном обеспечении операционных систем Windows NT и Windows 2000 Server есть программный шлюз GSNW, позволяющий клиентской части получить доступ к файлам сервера компании Novell и т.д.
Шлюз может связывать две ЛВС, которые имеют разные коммуникационные протоколы, структуры и форматы данных, языки, архитектуры. Он принимает данные из одной среды, удаляет старые протокольные стеки и переупаковывает их в протокольный стек системы назначения.
Шлюз обычно устанавливается на ЭВМ (сервер), часто специально выделенную для организации взаимодействия с внешними сетями. Программно-аппаратные шлюзы конструктивно могут быть выполнены в виде плат, которые устанавливаются на PC. При этом возложенные функции они осуществляют в режимах либо с совмещением выполнения своих задач и задач ЭВМ сети, либо без совмещения.
Шлюз принимает данные из одной среды, удаляет старые протокольные стеки и переупаковывает их в протокольный стек системы назначения.
Обрабатывая данные, шлюз извлекает данные из приходящих пакетов, пропуская их снизу вверх через полный стек протоколов передающей сети, и заново упаковывает полученные данные, пропуская их сверху вниз через стек протоколов сети назначения.
Некоторые шлюзы используют все семь уровней модели OSI, однако обычно они выполняют преобразование протоколов на Прикладном уровне, что определяется типом шлюза.
Основное назначение шлюзов - обеспечение связи PC ЛВС со средой серверов или PC, которые не могут непосредственно взаимодействовать с этими ЭВМ.
В ходе эксплуатации ЛВС очень быстро выявилась необходимость в организации защиты от несанкционированного доступа и контроля содержимого входящих и выходящих из сети сообщений. Для решения этой проблемы в конце прошлого века стали применяться специальные программы или программно-аппаратные средства, получившие название брандмауэры (firewall - огненная стена), или межсетевые экраны.
Брандмауэр устанавливается на границе защищаемой сети и фильтрует все входящие и выходящие данные, пропуская только разрешенные пакеты и пре-
213
дотвращая попытки проникновения в сеть. Администратор сети может задать условия фильтрации [32, 39].
Современные шлюзы обладают возможностью фильтрации, поэтому их зачастую рассматривают как один из вариантов брандмауэров. Определенными возможностями по фильтрации пакетов обладает и маршрутизатор, так как он также может рассматриваться как один из вариантов брандмауэров.
Брандмауэры по отношению к уровням модели OSI разделяют на 4 типа [39]:
-
брандмауэры с фильтрацией пакетов (packet-filtering firewall);
-
шлюзы сеансового уровня (circuit-level gateway);
-
шлюзы прикладного уровня (application-level gateway);
-
брандмауэры экспертного уровня (stateful inspection firewall).
Последние могут анализировать трафик, выявлять события, представляющие угрозу, с извещением об этом администратора сети, автоматически менять условия фильтрации и др. Современные брандмауэры обладают возможностями выявления вирусов.
Брандмауэры (межсетевые экраны) могут выполнять следующие функции [13]:
- физическое отделение PC и серверов внутреннего сегмента сети (внутренней подсети) от внешних каналов связи;
- многоэтапную идентификацию запросов, поступающих в сеть;
- проверку полномочий и прав доступа пользователей к внутренним ресурсам сети;
-
регистрацию всех запросов к компонентам внутренней подсети извне;
-
контроль целостности программного обеспечения и данных;
-
сокрытие IP-адресов внутренних серверов с целью защиты от хакеров;
- экономию адресного пространства сети (во внутренней подсети может использоваться локальная адресация серверов).
Брандмауэр устанавливается таким образом, чтобы быть единственной точкой входа в защищаемую сеть. Поэтому с его помощью легко организовать регистрацию проходящих пакетов, что очень важно для организации защиты. В то же время он не может быть абсолютным средством защиты. Все, что разрешено, проходит через брандмауэр, поэтому его наличие не ограничивает использование и других способов и средств защиты.
Брандмауэр пропускает пакеты данных, удовлетворяющих условиям, устанавливаемым его администратором. Например, это протокол, по которому передаются данные; адрес или диапазон адресов отправителей или получателей: порты отправителя и получателя; действия, которые должен выполнить брандмауэр при получении пакетов, удовлетворяющих заданным условиям; периоды времени, в которые возможен доступ, и др.
Источники бесперебойного питания
Пропадание или перебои электропитания ЭВМ или всей вычислительной сети часто приводит к потере информации, заставляет повторно выпол-
214
нять прерванную работу. Для исключения таких ситуаций в настоящее время для отдельных PC и вычислительных сетей широко используются дополнительные (специальные) источники питания, которые называют источниками бесперебойного питания.
Источник бесперебойного питания (UPS) - это внешний автоматический источник энергии, который поддерживает работоспособность отдельных PC или всей ЛВС при отключении или нарушениях качества снабжения электрической энергией от основных источников электроэнергии. Стандартный источник бесперебойного питания (ИБС) обеспечивает две важнейшие функции:
-
питание отдельных PC или всей ЛВС в течение некоторого времени;
-
управление безопасным завершением работы.
Источник бесперебойного питания выступает в качестве резервного источника энергии и размещается между ЭВМ и постоянным (основным) источником электропитания. При этом шнур электропитания ЭВМ подключается к ИБС, а он сам - к стационарной сети электропитания (рис. 4.30).
для сохранения информации. Изображенный на рис. 4.30 ИБС может питать оборудование, потребляющее до 600 вт, время реакции 2-4 мс, к нему можно подключить два прибора.
При нарушении питания UPS извещает об этом пользователей, предупреждая о необходимости завершения работы, и через определенный промежуток времени отключает систему.
При этом ИБС предотвратит доступ к сети дополнительным пользователям и проинформирует администратора сети об аварийном состоянии электроснабжения.
Чаще всего ИБП в своей работе используют принцип двойного преобразования: сначала переменное напряжение стационарной электрической сети выпрямляется, а затем используется для питания конвертора и зарядки аккумуляторов. Конвертор преобразует постоянное напряжение в переменное, к которому и подключаются сетевые шнуры компьютеров.
При пропадании или существенных изменениях напряжения основной электросети питание на конвертор начинает поступать автоматически от находящегося внутри ИБС аккумулятора (так быстро, что ЭВМ этого не замечает). Если же основное питание вновь появляется, то происходит обратное переключение. При этом аккумуляторы ИБС начинают подзаряжаться.
215
Для стационарных и настольных вариантов ЭВМ UPS выполняются в виде отдельных блоков. В то же время практически все портативные ЭВМ имеют встроенные системы бесперебойного электропитания.
Для сетей, остановка которых чревата серьезными последствиями, создаются многоуровневые системы электропитания. Например, Центр таможенного оформления Таможенной службы США имеет 3-уровневую систему электропитания. При пропадании напряжения в основной электросети происходит переключение на систему электропитания на основе мощных аккумуляторов. Ее задача - обеспечение электропитания в течение нескольких десятков минут. За это время должен автоматически запуститься дизельный электрогенератор, который после запуска берет на себя функцию энергообеспечения Центра.