4.4. Устройства организации взаимодействия в вычислительных сетях

Работа отдельных ЭВМ в единой сети и организация взаимодейст­вия с другими сетями предполагает испо.и зование целого ряда специальных устройств [12,13, 19,32, 39, 50].

Сетевые адаптеры

Работа отдельных ЭВМ и серверов в единой сети и организация взаимодейс­твия с другими сетями предполагает использование целого ряда специальных дополнительных устройств, которые называются сетевыми адаптерами и обес­печивают совместимость (приспособление) работы различных элементов сети.

Сетевой адаптер (СА) представляет собой программно-аппаратурное уст­ройство. Его функции реализуются электронными схемами и специальной программой-драйвером, которая выполняется процессором ЭВМ. В обязатель­ном порядке он устанавливается в сервер и PC. Некоторые СА предназначены для установки в устройства межсетевого взаимодействия: мосты, маршрути-

202

заторы и др. Одной из особенностей СА, устанавливаемых в ЭВМ, является наличие собственного микропроцессора в аппаратурной части СА, что позво­ляет разгрузить процессор сервера.

Сетевой адаптер часто выполняется в виде сетевой платы, устанавливаемой в разъем материнской платы ЭВМ.

Основные функции сетевого адаптера:

• подготовка и формирование пакета данных (с учетом требований сетевого обмена) к передаче его в сеть;

• управление потоком данных между ЭВМ и передающей средой (буфериза­ция и согласование скорости обмена данными через сеть, параллельно-последо­вательное преобразование и кодирование (декодирование) данных);

• идентификация своего адреса в циркулирующих в сети пакетах данных, прием, преобразование и буферизация данных.

Электронно-вычислительная машина работает со словами длиной от одно­го до нескольких десятков байт. Чтобы послать по линии связи все слово сразу, надо в общем случае столько проводов, сколько бит в слове. В большинстве случаев связь ЭВМ с сетью осуществляется с помощью двух проводов, что поз­воляет в каждый момент времени посылать (принимать) один электрический импульс. Поэтому перед тем как послать данные в сеть, плата СА должна пере­вести слова ЭВМ в форму, необходимую для передачи по сетевому кабелю. В частности, СА должен преобразовать параллельный код, соответствующий слову, в последовательность бит, которые собственно и будут передаваться по сети. От ЭВМ слова поступают через разъем системной шины, к которой под­ключен адаптер.

Каждый СА должен иметь свой уникальный сетевой адрес, который закреп­ляется за ним и далее указывается в служебной части пересылаемого пакета дан­ных для идентификации отправителя и получателя данных. Этот адрес называ­ют также LAN-адресом, или физическим адресом. Он находится в специальной ячейке памяти СА, куда заносится его производителем. Чтобы не было пересече­ний адресов у разных производителей, они получают от особой международной организации (комитет IEEE) набор адресов, которые далее используются при изготовлении СА.

Заметим, что в случае подключения ЛВС к сети Интернет каждой рабочей станции ЛВС надо присвоить так называемый IP-адрес (каждая ЭВМ должна иметь два адреса). IP-адрес нужен для пересылки данных по сети Интернет.

Данные с внутренней шины ЭВМ передаются на СА по его запросу. Если данные поступают быстрее, чем их способен обработать адаптер, то они вре­менно помещаются в его буфер памяти, который может располагаться на плате адаптера. Возможен вариант, когда под буфер выделяется часть памяти самой ЭВМ.

Если более совершенной (быстрой) плате необходимо взаимодействовать со старой (медленной) платой СА, они должны определить для себя общую ско­рость передачи параметров, поскольку схемы построения современных плат поз­воляют приспособиться к медленной скорости старых плат СА.

203

Повторители и концентраторы

На практике часто возникает необходимость совершенствования (расширения) возможностей ЛВС. Это может быть связано с изменением струк­туры подразделений (фирм), их территориальным перемещением или необхо­димостью совершенствования обмена информацией с другими организациями и системами.

При имеющихся ресурсах ЛВС расширение ее конфигурации может быть достигнуто без выхода во внешнюю среду. В том случае, если технические воз­можности существующей сети исчерпаны и подключение новых абонентов к ней невозможно, возникает необходимость создания еще одной ЛВС и ее подклю­чения к существующей сети. При этом возможны несколько способов решения этой задачи, некоторые из них рассмотрим ниже.

Известно, что сигнал при распространении по кабелю искажается: уменьша­ется его мощность, амплитуда, изменяются фронты, форма и другие параметры. Причина этого явления - наличие сопротивления (активного, реактивного) сре­ды передачи, что вызывает затухание сигнала. Поэтому при достаточно большой длине кабеля затухание может исказить сигнал до такой степени, что при приеме он будет восприниматься как помеха. Для исключения такого положения дел применяются повторители (repeater), обеспечивающие распространение сиг­налов без искажения на большие расстояния. По сути, это устройства, которые восстанавливают исходную форму сигналов, почему их часто называют усилите­лями. Заметим, что аналогичные проблемы возникают и в беспроводных сетях.

Для различных топологий и видов проводящей среды рассчитаны макси­мальные расстояния соединений без усилителей. На рис. 4.24 показаны условия применения повторителей при использовании тонкого коаксиального кабеля при создании сетей по схеме с общей шиной. Они подсоединяются в разрыв кабеля через определенное расстояние, усиливают и передают сигналы в следу­ющий участок сети. На свободные концы общей шины устанавливают специаль­ные разъемы-терминаторы (позволяют снизить уровень помех в шине).

Таким образом, повторители - самый простой и дешевый способ расшире­ния сети, позволяющий преодолеть ограничения по длине сегмента или по коли­честву узлов. Они расширяют возможности сети, соединяя сегменты, использу-

204

ющие одинаковые или разные типы носителей, восстанавливают сигнал и тем самым увеличивают дальность передачи всего трафика в обоих направлениях. При этом повторители не являются фильтрами, которые ограничивают поток пакетов, а передают из сегмента в сегмент каждый бит данных (в том числе и искаженных) даже из пакетов, не предназначенных для этого сегмента. В результате повторители передают из сегмента в сегмент избыточный поток широковещательных пакетов (интенсивный сетевой трафик), перегружая сеть, что приводит к снижению ее производительности. Поэтому повторители целе­сообразно использовать при реализации определенного метода фильтрации дан­ных и применении в сегментах единого метода доступа. Некоторые многопор­товые повторители работают как многопортовые концентраторы, соединяющие различные типы носителя.

Повторитель, имеющий несколько портов и соединяющий несколько ЭВМ, называют концентратором (concentrator), или хабом (hub). В настоящее время он является одним из стандартных компонентов ЛВС, а в сетях с топологией «звезда» служит центральным узлом (рис. 4.7).

Классический концентратор фактически представляет собой устройство физического уровня. Принцип его работы очень простой. Поступающие на один из портов биты он транслирует на другие порты, т.е. осуществляет так называ­емую широковещательную рассылку. При этом он не анализирует содержание и структуру поступающих сообщений.

Концентраторы подразделяются на активные и пассивные.

Активные концентраторы восстанавливают (усиливают) поступающие сиг­налы так же, как это делают повторители. Иногда их называют многопортовыми повторителями.

Пассивные концентраторы (монтажные панели, коммутирующие блоки и др.) просто пропускают через себя сигналы без усиления.

Часто рабочие станции ЛВС разбивают на группы, которые называют сег­ментами. Каждый из них замыкают на концентратор, который, в свою очередь, подключают на главный концентратор (рис. 4.9). Тогда появление неисправнос­тей в работе одного из сегментов не влияет на функционирование остальных сег­ментов сети (сегмент отключается от сети).

В качестве сегмента может выступать и отдельная ЛВС. Однако надо иметь в виду, что это возможно только для сетей Ethernet с одинаковой скоростью передачи данных, а пропускная способность «большой» сети будет такой же, как и в исходных сетях. Это результат свойств концентратора. Если в некотором сегменте PC начала передачу, то ее биты будут рассылаться на ЭВМ всех сегмен­тов, причем остальные компьютеры будут работать только на прием (согласно протоколам Ethernet).

Концентраторы применяются при реализации практически всех базовых тех­нологий доступа в локальных сетях - Ethernet, Arc Net, Token Ring, FDDI, Fast Ethernet, Gigabit Ethernet, 100VG-Any LAN. В различных их конструкциях много общего - они повторяют сигналы, пришедшие с одного из своих портов, на других портах. Отличие лишь в том, на каких именно портах повторяются сигналы.

205

Так, концентратор для технологии Ethernet повторяет поступившие входные сигналы на всех других портах, а для технологии Token Ring - только на том, к которому подключена соседняя ЭВМ.

Наиболее совершенные концентраторы позволяют:

• отключать порты с отказавшей ЭВМ;

• создавать резервный порт, на который будет переключаться ЭВМ при отказе основного порта;

• при поступлении сообщений сразу от нескольких ЭВМ сохранять их в буфере с последующей передачей в сеть и т.д.

Мосты

Для организации взаимодействия сегментов и сетей и оптимизации обмена данными применяют специальные устройства: мосты, коммутаторы и маршрутизаторы. На начальных стадиях развития сетевых технологий все эти устройства достаточно четко различались по своим функциям и условиям при­менения, однако в настоящее время это деление является достаточно условным, так как постепенно их возможности сближаются.

Мост (bridge) - это программно-аппаратное средство, предназначенное для организации взаимодействия между ЛВС на физическом и канальном уровнях. Мосты работают с Ethernet-кадрами, т.е. выполняют свои действия в зависимос­ти от информации, содержащейся в кадре, что отличает их от концентраторов.

Мосты обычно решают следующие задачи:

• увеличивают размер сети и количество PC, входящих в ее состав;

• устраняют проблемы, связанные с ростом информационного потока (появ­ляющиеся при подключении в ЛВС дополнительных PC), и повышают эффек­тивность функционирования за счет разделения перегруженной сети на отде­льные сегменты с уменьшенным трафиком;

• соединяют различные линии передачи сигналов (витая пара и коаксиаль­ный кабель и др.);

• соединяют разнородные сегменты сети (например, Ethernet и Token Ring).

Первоначально мост служил для организации взаимодействия двух сегмен­тов или двух ЛВС одинаковой топологии, работающих по одинаковым протоко­лам. В последующем мосты могли организовывать взаимодействие нескольких ЛВС или сегментов, работающих по протоколам Ethernet, в том числе разной пропускной способности.

На рисунке 4.25 показана схема подключения моста при четырех сегментах (сетях). PC каждого сегмента через СА подключаются к концентратору соот­ветствующего сегмента, которые, в свою очередь, подключены к портам А, В, С и D моста.

Мост обладает способностью фильтрации, т.е. определяет, на какой порт надо отправить поступивший кадр. Для этого он извлекает из кадра LAN-адрес полу­чателя и затем направляет его в тот порт, к которому подключена сеть, содержа-

206

щая PC с этим адресом. Если получатель находится в той же сети, из которой поступил кадр, то никакой переадресации кадра не производится.

Для определения порта направления кадра мост использует заложенную в нем способность самообучения, самостоятельно анализируя проходящие сооб­щения и заполняя адресную память. В результате отпадает необходимость в руч­ном задании адресов при перестановке компьютеров в сегментах, при введении дополнительных компьютеров и сегментов.

В самом общем виде один из базовых алгоритмов функционирования моста можно описать следующим образом. Каждая PC имеет в своей ЛВС (или сегмен­те) уникальный LAN-адрес. На канальном уровне PC-сообщение оформляется в виде так называемого кадра, содержащего, кроме прочего, адреса отправителя и получателя. В свою очередь, мост содержит буфер для хранения перемещае­мых сообщений, а также специальный блок памяти (таблицу маршрутов) для хранения информации о канальных адресах ЭВМ и портах моста, к которым они подключены. В общем случае при первом запуске сети таблица маршрутов пус­та, хотя мосты допускают и предварительную ручную запись адресов.

Если PC X сегмента А посылает сообщение некоторому компьютеру Y в сегменте D (см. рис. 4.25), то оно через концентратор А и порт А попадает в буфер моста. В том случае, если обе эти PC ранее не передавали сообщения, то определяется и заносится в таблицу информация об адресе и порте подклю­чения передающего компьютера, время получения кадра. Затем кадр посыла­ется во все порты, кроме того, с которого он поступил (порт А). Когда сооб­щение достигает PC Y, он извещает об этом мост и в его таблицу маршрутов заносится информация об адресе порта, к которому подключен сегмент с ЭВМ получателя. Возможно, память уже содержит информацию о PC X и Y, тогда выполняется иной алгоритм. Мост анализирует, в каком сегменте находится получатель. Если X и Y находятся в одном сегменте, то никаких пересылок в другой сегмент мост не производит. При нахождении X и Y в разных сегмен­тах по таблице адресов определяется порт сегмента с PC Y (в данном случае порт D) и на него направляется кадр из буфера. Далее этот кадр через концен­тратор D поступает на компьютер Y.

Если в течение заранее заданного времени не поступает нового кадра с неко­торым адресом, то информация об этом адресе удаляется из таблицы маршрутов.

207

Это делается для того, чтобы при замене PC или его СА не сохранялась устарев­шая информация, а таблица маршрутов не переполнялась.

Замечательным отличием сетей, в которых сегменты соединяются с помо­щью моста (от соединений концентраторами), состоит в том, что обмены дан­ными в разных сегментах не влияют на пропускную способность друг друга. Это результат того, что сообщения между PC одного сегмента не отправляются в другие сегменты.

В настоящее время мост используется все реже. Его функции с успехом выполняют современные коммутаторы.

Маршрутизаторы

В среде, объединяющей несколько сегментов ЛВС с различными протоколами и архитектурами, мосты не всегда гарантируют быструю связь между ними. Для такой сложной сети необходимо устройство, которое не только использует адрес каждого сегмента, но и определяет наилучший маршрут пере­дачи данных к конкретной PC заданной ЛВС, а также фильтрует поток сообще­ний. Такое устройство называется маршрутизатором.

Маршрутизаторы (router) определяют, для какой сети предназначено то или иное сообщение, и направляют пакет данных в заданную сеть.

На рисунке 4.26 приведена схема соединения нескольких ЛВС, связанных маршрутизаторами, из которой видно, что между ЛВС 1 и ЛВС 7 возможен

обмен данны­ми по несколь­ким маршрутам: первый - через маршрутизаторы Ml, М5, Мб, М7: второй - через маршрутизаторы Ml, МЗ, М5, М7: третий - через маршрутизаторы Ml, МЗ, М4, Мб, М7. Поэтому при необходимости

переслать данные из ЛВС 1 в ЛВС 7 у маршрутизатора Ml возникает проблема выбора пути передачи.

Этот процесс выбора пути передачи данных называется маршрутизацией, и ее решение является одной из главных и сложных задач сетевого уровня, пос­кольку короткий путь не всегда самый лучший.

Существенным отличием маршрутизаторов от мостов и большинства ком­мутаторов является то, что они работают на сетевом уровне модели OSI, а не на канальном и могут объединять сети с различными протоколами и топологиями

208

Для задания пути передачи данных между сетями маршрутизаторы строят таблицы маршрутов (routing tables), которые содержат варианты перемеще­ния данных по каналам связи к получателю. Каждый маршрут содержит адрес конечной сети, адрес следующего маршрутизатора и стоимость передачи по это­му маршруту.

При оценке стоимости могут учитываться количество промежуточных мар­шрутизаторов, время, необходимое для передачи данных, а также стоимость передачи данных по линии связи.

Часто критерием выбора маршрута является время передачи данных. Оно зависит от пропускной способности каналов связи и интенсивности трафика, которая может изменяться с течением времени. На определенных направлениях возможны обрывы линий связи. Некоторые алгоритмы маршрутизации пыта­ются приспособиться к изменению нагрузки, в то время как другие принима­ют решения на основе средних показателей за длительное время. Выбор мар­шрута может осуществляться и по другим критериям, например, надежности передачи.

В общем случае маршрутизаторы, как и мосты, автоматически заполня­ют таблицу маршрутизации. Источником информации для ее редактирования является служебная информация в перемещаемых пакетах данных (сведения об адресах получателя и отправителя, время нахождения пакета в пути и т.п.), а также специальные сообщения, которыми периодически обмениваются марш­рутизаторы. Однако при необходимости можно воспользоваться режимом руч­ного создания и конфигурации таблицы маршрутизации с указанием каждого маршрута.

Маршрутизаторы имеют большие возможности, чем мосты и, кроме их фун­кций (фильтрация, ограничение трафика, соединение сегментов сети), могут оптимизировать доставку пакетов и в целом нагрузку сети. Таким образом, мост распознает только один путь между сетями, а маршрутизатор среди нескольких возможных путей определяет самый лучший для конкретной ситуации. Поэто­му в сложных сетях они достаточно эффективны, поскольку лучше (по сравне­нию с мостами) управляют трафиком, не пропускают всего потока сообщений, позволяют оценить состояние маршрутов и на основе этого обходить медленные или неисправные каналы связи.

Классический пример использования маршрутизаторов - коммутация паке­тов данных на границе между ЛВС и Интернет.

Основные особенности и преимущества маршрутизаторов:

• более высокий уровень локализации трафика, чем у моста или концентра­тора (например, позволяет фильтровать широковещательные кадры, не имею­щие корректных адресов назначения);

• высокий уровень защиты от несанкционированного доступа за счет исполь­зования фильтрации трафика на более высоких уровнях модели OSI (сетевом и транспортном);

• сеть, части которой соединены маршрутизатором, не имеет ограничений на число узлов (частей);

14 Ю. В. Малышснко

209

• возможность настройки параметров качества, системы приоритетов, шири­ны полосы пропускания для каждого типа трафика и др.;

• поддержка основных протоколов динамической маршрутизации, таких как RIP, OSPF, BGP-4, IPX RIP/SAP, возможность связи нескольких IP сетей одновременно;

- восстановление уровня и формы передаваемого сигнала. Производительность маршрутизаторов принято измерять в PPS (Packets Per

Second), т.е. по количеству маршрутизируемых пакетов в секунду.

Коммутаторы

Коммутатор представляет собой устройство, конструктивно выпол­ненное в виде сетевого концентратора и действующее как высокоскоростной мно­гопортовый мост. Встроенный механизм коммутации позволяет осуществить сег­ментирование ЛВС и выделять полосу пропускания конечным PC сети [39].

Современные коммутаторы (жаргонное название - свитч) широко использу­ются в локальных или корпоративных сетях, где эффективно заменяют концент­раторы, мосты и даже маршрутизаторы.

Коммутатор - это усовершенствованный мост, имеющий буфер и адресную память (таблицу маршрутов), которая может формироваться автоматически. Как и в мосту, кадр, поступивший на некоторый порт, направляется не на все другие порты (что делает концентратор), а только на тот, к которому подклю­чено устройство с LAN-адресом, совпадающим с адресом назначения кадра. Однако коммутатор обладает рядом дополнительных свойств: может создавать очереди кадров для каждого порта в случае перегрузки сети; осуществлять быс­трую пересылку данных без контроля на ошибки; устанавливать разные алго­ритмы коммутации для каждого порта и адаптивно их изменять в зависимости от интенсивности ошибок передачи; выполнять трансляцию одного протокола канального уровня в другой и т.п.

Одно из наиболее важных качеств коммутатора - повышенная скорость передачи данных, которая в значительной мере достигается за счет организации независимой пересылки данных сразу между несколькими парами портов. Ком­мутаторы, как и мосты, обрабатывают кадры последовательно, но имеют боль­шее число портов.

На рисунке 4.27 коммутатор - одновременно созданное соединение между сервером С1 (порт 1) и РС6 (порт 8), а также между сервером С2 (порт 5) и РС2 (порт 3).

В коммутаторах могут использоваться коммутационные узлы с иным принци­пом работы, чем обычная коммутационная матрица. В частности, применяются коммутационные узлы с общей шиной, где связь портов осуществляется через высокоскоростную внутреннюю шину коммутатора. Обмен данными через шину выполняется со скоростью, на порядок превышающей поступление кадров.

Промышленностью выпускается несколько вариантов коммутаторов, разли­чающихся возможностями и стоимостью.

210

К наиболее дешевым и простым устройствам относятся неуправляемые ком­мутаторы (Dumb), которые успешно вытесняют концентраторы. Как правило,

они имеют небольшое количест­во портов (офисное исполнение) и невысокие технические характе­ристики. Возможность админист­рирования отсутствует [77].

Более сложные функции реа­лизуют настраиваемые коммута­торы (Smart). В них, используя порт RS-232, обычный Ethernet или даже простейшую микрокла­виатуру, администратор может менять многие важные конфигу­рационные параметры, которые считываются затем только один

раз (при загрузке). Например, таким образом можно блокировать механизм самообучения, устанавливать фильтрацию, задавать скорость передачи и др.

Но самые большие возможности имеют управляемые коммутаторы (Intelligent). Они имеют процессор (или интерфейс для подключения к PC), который позволяет контролировать работу и изменять параметры устройства без перезагрузки, в реальном масштабе времени наблюдать за проходящими пакетами, считать проходящий трафик и т.п.

Еще один признак, по которому можно классифицировать коммутаторы -это область применения. С некоторой долей условности можно выделить:

• настольные коммутаторы;

• коммутаторы для рабочих групп;

• магистральные коммутаторы.

Настольные коммутаторы предназначены для работы с небольшим чис­лом пользователей и могут служить эффективной заменой концентраторов 10/100BaseT. Они обычно имеют 8-16 портов, небольшие габариты, настольное или «настенное» исполнение. Такие коммутаторы, как правило, не имеют воз­можности управления, поэтому просты в установке и обслуживании.

Коммутаторы для рабочих групп используются главным образом для объединения в единую сеть настольных коммутаторов или концентраторов Ю/lOOBaseT и дальнейшего ее соединения с магистральной сетью передачи дан­ных. Для этого используется объемная таблица маршрутизации (до нескольких десятков тысяч адресов на коммутатор), развитые средства фильтрации, мони­торинг трафика. Обязательный элемент - возможность управления (обычно удаленного). Могут предусматриваться порты lOOOBaseT для подключения сер­веров или нескольких свитчей между собой, встроенные оптоволоконные моду­ли или другие конверторы физических сред.

Магистральные коммутаторы служат для соединения ЛВС с сетями пере­дачи данных. Обычно это сложные и мощные конструкции, часто модульные.

211

Они имеют широкие дополнительные возможности настройки (вплоть до мар­шрутизации на 3 уровня по модели OSI, т.е. обладают возможностями мар-

шрутизаторов), резервные

Интернет

источники питания, преду­сматривают «горячую» заме­ну модулей, обязательную поддержку приоритетов и другие функции.

Схема на рис. 4.28 ил­люстрирует места включения тех или иных коммутирую­щих устройств при организа­ции компьютерного обмена данными.

Рис. 4.29. Пример «домашней» сети на основе коммутаторов

На рис. 4.29 показана одна из типовых структур ЛВС на основе коммутаторов (так называемая «домашняя» сеть). Такие сети применяют для подключения жильцов многоквартирного дома к сети Интернет и организации электронного обмена внутри дома. В рассматриваемом случае для подключения ЛВС к высокоско­ростному каналу (1 Гб) использован 24-портовый магистральный коммутатор, каждый порт которого может обеспечить трафик до 100 Мб/с. К каждому из них, в свою очередь, подключается 5-пор-товый неуправляемый (или настраиваемый) коммутатор, обеспе­чивающий по каждому порту скорость обмена до 10 Мб. Коммута­тор этого типа может устанавливаться, на­пример, на каждой лестничной площад­ке жилого дома. К его портам подключаются ЭВМ жильцов лест­ничной площадки. Если их больше пяти, то необходим комму­татор с большим чис­лом портов.

212

Шлюзы и брандмауэры

Шлюз (gateways) представляет собой программное или программно-аппаратное средство, обеспечивающее организацию обмена данными между двумя ЛВС, использующими различные протоколы взаимодействия, он являет­ся точкой входа в сеть [13, 39, 50].

Особенность классического шлюза заключается в том, что его основная зада­ча не столько в выборе маршрута, сколько в преобразовании и фильтрации пере­сылаемых данных.

Он применяется, например, при подключении ЛВС к Интернет, используя шлюз электронной почты, преобразуя сообщения от различных несовместимых ее систем в общепринятый формат Интернет. В программном обеспечении опе­рационных систем Windows NT и Windows 2000 Server есть программный шлюз GSNW, позволяющий клиентской части получить доступ к файлам сервера ком­пании Novell и т.д.

Шлюз может связывать две ЛВС, которые имеют разные коммуника­ционные протоколы, структуры и форматы данных, языки, архитектуры. Он принимает данные из одной среды, удаляет старые протокольные стеки и переупаковывает их в протокольный стек системы назначения.

Шлюз обычно устанавливается на ЭВМ (сервер), часто специально выде­ленную для организации взаимодействия с внешними сетями. Программно-аппаратные шлюзы конструктивно могут быть выполнены в виде плат, которые устанавливаются на PC. При этом возложенные функции они осуществляют в режимах либо с совмещением выполнения своих задач и задач ЭВМ сети, либо без совмещения.

Шлюз принимает данные из одной среды, удаляет старые протокольные сте­ки и переупаковывает их в протокольный стек системы назначения.

Обрабатывая данные, шлюз извлекает данные из приходящих пакетов, про­пуская их снизу вверх через полный стек протоколов передающей сети, и заново упаковывает полученные данные, пропуская их сверху вниз через стек протоко­лов сети назначения.

Некоторые шлюзы используют все семь уровней модели OSI, однако обычно они выполняют преобразование протоколов на Прикладном уровне, что опреде­ляется типом шлюза.

Основное назначение шлюзов - обеспечение связи PC ЛВС со средой серверов или PC, которые не могут непосредственно взаимодействовать с этими ЭВМ.

В ходе эксплуатации ЛВС очень быстро выявилась необходимость в органи­зации защиты от несанкционированного доступа и контроля содержимого вхо­дящих и выходящих из сети сообщений. Для решения этой проблемы в конце прошлого века стали применяться специальные программы или программно-аппаратные средства, получившие название брандмауэры (firewall - огненная стена), или межсетевые экраны.

Брандмауэр устанавливается на границе защищаемой сети и фильтрует все входящие и выходящие данные, пропуская только разрешенные пакеты и пре-

213

дотвращая попытки проникновения в сеть. Администратор сети может задать условия фильтрации [32, 39].

Современные шлюзы обладают возможностью фильтрации, поэтому их зачастую рассматривают как один из вариантов брандмауэров. Определенными возможностями по фильтрации пакетов обладает и маршрутизатор, так как он также может рассматриваться как один из вариантов брандмауэров.

Брандмауэры по отношению к уровням модели OSI разделяют на 4 типа [39]:

• брандмауэры с фильтрацией пакетов (packet-filtering firewall);

• шлюзы сеансового уровня (circuit-level gateway);

• шлюзы прикладного уровня (application-level gateway);

• брандмауэры экспертного уровня (stateful inspection firewall).

Последние могут анализировать трафик, выявлять события, представляю­щие угрозу, с извещением об этом администратора сети, автоматически менять условия фильтрации и др. Современные брандмауэры обладают возможностями выявления вирусов.

Брандмауэры (межсетевые экраны) могут выполнять следующие функции [13]:

- физическое отделение PC и серверов внутреннего сегмента сети (внутрен­ней подсети) от внешних каналов связи;

- многоэтапную идентификацию запросов, поступающих в сеть;

- проверку полномочий и прав доступа пользователей к внутренним ресур­сам сети;

• регистрацию всех запросов к компонентам внутренней подсети извне;

• контроль целостности программного обеспечения и данных;

• сокрытие IP-адресов внутренних серверов с целью защиты от хакеров;

- экономию адресного пространства сети (во внутренней подсети может использоваться локальная адресация серверов).

Брандмауэр устанавливается таким образом, чтобы быть единственной точкой входа в защищаемую сеть. Поэтому с его помощью легко организовать регистрацию проходящих пакетов, что очень важно для организации защиты. В то же время он не может быть абсолютным средством защиты. Все, что разре­шено, проходит через брандмауэр, поэтому его наличие не ограничивает исполь­зование и других способов и средств защиты.

Брандмауэр пропускает пакеты данных, удовлетворяющих условиям, уста­навливаемым его администратором. Например, это протокол, по которому пере­даются данные; адрес или диапазон адресов отправителей или получателей: порты отправителя и получателя; действия, которые должен выполнить бранд­мауэр при получении пакетов, удовлетворяющих заданным условиям; периоды времени, в которые возможен доступ, и др.

Источники бесперебойного питания

Пропадание или перебои электропитания ЭВМ или всей вычисли­тельной сети часто приводит к потере информации, заставляет повторно выпол-

214

нять прерванную работу. Для исключения таких ситуаций в настоящее время для отдельных PC и вычислительных сетей широко используются дополнитель­ные (специальные) источники питания, которые называют источниками беспе­ребойного питания.

Источник бесперебойного питания (UPS) - это внешний автоматический источник энергии, который поддерживает работоспособность отдельных PC или всей ЛВС при отключении или нарушениях качества снабжения электрической энергией от основных источников электроэнергии. Стандартный источник бес­перебойного питания (ИБС) обеспечивает две важнейшие функции:

• питание отдельных PC или всей ЛВС в течение некоторого времени;

• управление безопасным завершением работы.

Источник бесперебойного питания выступает в качестве резервного источ­ника энергии и размещается между ЭВМ и постоянным (основным) источником электропитания. При этом шнур электропитания ЭВМ подключается к ИБС, а он сам - к стационарной сети электропитания (рис. 4.30).

Обычно при отключении основного источника электропитания система обеспечивает временное питание примерно на 20-30 мин., что позволяет пред­принять необходимые меры

для сохранения информации. Изображенный на рис. 4.30 ИБС может питать обору­дование, потребляющее до 600 вт, время реакции 2-4 мс, к нему можно подключить два прибора.

При нарушении питания UPS извещает об этом поль­зователей, предупреждая о необходимости завершения работы, и через определенный промежуток времени отключает систему.

При этом ИБС предотвратит доступ к сети дополнительным пользо­вателям и проинформирует администратора сети об аварийном состоянии электроснабжения.

Чаще всего ИБП в своей работе используют принцип двойного преобразова­ния: сначала переменное напряжение стационарной электрической сети выпрям­ляется, а затем используется для питания конвертора и зарядки аккумуляторов. Конвертор преобразует постоянное напряжение в переменное, к которому и под­ключаются сетевые шнуры компьютеров.

При пропадании или существенных изменениях напряжения основной элек­тросети питание на конвертор начинает поступать автоматически от находяще­гося внутри ИБС аккумулятора (так быстро, что ЭВМ этого не замечает). Если же основное питание вновь появляется, то происходит обратное переключение. При этом аккумуляторы ИБС начинают подзаряжаться.

215

Для стационарных и настольных вариантов ЭВМ UPS выполняются в виде отдельных блоков. В то же время практически все портативные ЭВМ имеют встроенные системы бесперебойного электропитания.

Для сетей, остановка которых чревата серьезными последствиями, созда­ются многоуровневые системы электропитания. Например, Центр таможенно­го оформления Таможенной службы США имеет 3-уровневую систему элект­ропитания. При пропадании напряжения в основной электросети происходит переключение на систему электропитания на основе мощных аккумуляторов. Ее задача - обеспечение электропитания в течение нескольких десятков минут. За это время должен автоматически запуститься дизельный электрогенератор, который после запуска берет на себя функцию энергообеспечения Центра.