Вопросы для самопроверки

1. Для чего предназначен протокол IPX?

2. Опишите формат кадра IPX.

3. Каким образом реализуется широковещательная передача в сетях IPX?

4. Почему не предусматривается широковещательная рассылка в протоколе SPX?

5. Определите назначение основных полей заголовка SPX.

6. Чем отличается версия SPX II от SPX?

33. Глава 3.3. Сеть apple talk

Сеть APPLE TALK разработана компанией apple computer inc. (ЭВМ Macintosh, 1987 г) Эти сети могут работать в среде Ethernet, Token Ring, FDDI и localtalk (собственная сеть apple, использующая витые пары). В AppleTalk специфицирован собственный стек протоколов, которые управляют потоком данных в сети. Стек протоколов appletalk включает в себя (рис. 3.1):

• Протокол доступа к каналу Tokentalk (TLAP - Tokentalk link access protocol)

• Протокол доступа к каналу Ethertalk (ELAP - Ethertalk link access protocol)

• Протокол доступа к каналу Localtalk (LLAP - Localtalk link access protocol)

• Протокол доставки дейтограмм (DDP - datagram delivery protocol)

• протокол поддержки маршрутных таблиц (RTMP - routing table maintenance protocol)

• Протокол определения адресов Appletalk (AARP - appletalk address resolution protocol)

• Протокол работы с именами (NBP - name binding protocol)

• Протокол для работы с зонной информацией (ZIP - zone information protocol)

• Протокол откликов в Appletalk (AEP - appletalk echo protocol)

• Протокол актуализации маршрутной информации (AURP - Appletalk update routing protocol)

• Протокол управления потоком данных (adsp - appletalk data stream protocol)

• Протокол сессий (ASP - Appletalk session protocol)

• Протокол доступа к принтеру (PAP - printer access protocol)

• Протокол операций (ATP - Appletalk transaction protocol)

• Файловый протокол (AFP - Appletalk filing protocol)

Заголовок состоит из 13 байт (рис. 3.8):

1. Число шагов – указывает число маршрутизаторов, через которые прошел один пакет (1 байт);

2. Длина дейтаграммы (1 байт);

3. Поле контрольной суммы (2 байта);

4. Для адресации используется 24 бита, из них 16 бит – адрес сети, 8 бит – адрес рабочей станции. Адрес рабочей станции выбирается самой рабочей станцией.

5. Socket’ы по 1 байту;

6. Тип дейтаграммы (1 байт);

7. Данные (0-586 байт)

Рис. 3.8.

Сеть строится на основе маршрутизаторов. В качестве метрики используется вектор расстояния до адресата, которое измеряется в шагах.

Маршрутная таблица строится один раз в 10 секунд и рассылается широковещательно всем соседним узлам и сетям. Если запись в маршрутной таблице при отсутствии отклика в течение 20 секунд. Не подтверждается, то она попадает в разряд «подозреваемых», через 40 сек. – в разряд «умирающих», через 60 сек. – в разряд «умерших», через 80 сек. – удаляется.

Средствами протокола ZIP допускается логическая группировка узлов сети в зоны (подсети).

Часть 4. Протоколы прикладного уровня

Глава 4.1. Сетевые операционные системы

Основные направления развития сетевых операционных систем в сильно упрощенном виде можно представить в виде схемы, приведенной на рис. 4.1.

Рис. 4.1.

Характерные черты сетевой ОС:

• обеспечение выполнения многопользовательских приложений, которые инициируются клиентами

• выделение ресурсов для рабочих станций

• обеспечение функциональной целостности и защиты данных

• организация и поддержка вычислительного процесса на сервере

• управление вычислительной сетью

• обеспечение высокой производительности

• поддержка многопроцессорной архитектуры

• унификация связи по различным протоколам с обеспечением одновременной работы по нескольким протоколам

• поддержка различных файловых систем и совместимость с различными платформами

• обеспечение высокой надежности и бесперебойной безотказной работы

• обеспечение наращиваемости

• поддержка модульной архитектуры и простоты управления и конфигурирования

Одноранговая операционная система – подразумевает, что любая рабочая станция может выступать в рои сервера, то есть выделять свои информационные или коммуникационные ресурсы или свое периферийное оборудование всем клиентам вычислительной сети.

Серверная операционная система – подразумевает выделение специлизированного компьютера, который выступает в роли сервера и в зависимости от функционального назначения различают file сервер, сервер баз данных, print сервер.

Одной из основных служб сетевой операционной системы является служба каталогов – служба глобальных наименований, которая обеспечивает создание и использование глобальной базы данных, хранящей сведения обо всех объектах сети, независимо от их расположения и унифицирующая основные операции работы со всеми элементами как логической, физической и информационной структурой распределенной системы. Такие сетевые ОС, как Windows Server, Unix и Novell NetWare предлагают свои отличающиеся службы каталогов, которые влияют на архитектуру, как операционной системы, так и на архитектуру сетевой среды. Поэтому рассмотрим основные идеи службы каталогов.

X.500

Стандарт официально принят в 1988 году. Одну из моделей упорядочивания большого числа уникальных объектов представляет телефонный справочник, до сих пор используемый в качестве примера глобального каталога. Но для начала поиска нужно знать имя человека для нахождения его номера телефона, и, кроме того, вам придется звонить в город его проживания для обращения в местный адресный стол.

Стандарт X.500 разрабатывался в соответствии с иной моделью, для преодоления недостатков названной. X.500 описывает набор взаимодействующих друг с другом компонентов для манипулирования логической базой данных с информацией о множестве объектов.

Ядро модели X.500 составляет распределенная база данных, содержащая полезную информацию об объекте, такую, как его характеристики и местонахождение в сети. Пользователи каталога могут читать или модифицировать информацию из базы данных при условии, что у них есть надлежащие права.

Информационная база каталога (DIB) имеет хранилище данных с иерархической структурой под названием 'информационное дерево каталога' - DIT. Каждый элемент в структуре дерева состоит из одного или более узлов (DSE). DSE без нижележащих или дочерних элементов называется листом, а DSE с хотя бы одним дочерним элементом называется ветвью (табл. 4.1).

Таблица 4.1.

Уровень	Корень	RDN	DN
Корень		nothing	{}
Страна		c=us	{c=us}
Организация		0 = ascotta	{c=us, 0 = ascotta}
Обычное имя		cn = MicleDon	{c=us, 0 = ascotta, cn = MicleDon }

Объекты в таблице представляют собой простые имена, и X.500 позволяет иметь множество типов объектов в каталоге. Эти объекты характеризует атрибут под названием 'класс объекта'. Данный атрибут содержит также другие обязательные атрибуты, определяющие его характер. Классы объектов используются в качестве строительных блоков для создания новых классов объектов вниз по иерархии.

Каждый DSA содержит и обслуживает свою уникальную часть DIT. Ввиду глобального характера X.500 всю базу данных хранить на одном компьютере попросту непрактично. Кроме того, циркулирующая внутри каталога информация имеет гораздо больше шансов быть правильной, когда каждый из владельцев DSA будет отвечать исключительно за свою часть информации. Опрос по цепочке и прямая ссылка представляют собой два основных коммуникационных процесса между агентами X.500.

Запрос по цепочке передается от одного DSA к другому и проходит через всю структуру глобального иерархического дерева (рис. 4.2). DSA передает запрос другому DSA и ждет, пока ответ не вернется по всей цепочке назад. Прямая ссылка позволяет ускорить этот медленный процесс. В этом случае DSA отвечает на запрос сообщением имен и адресов агентов, к которым иначе пришлось бы обращаться по цепочке.

Рис. 4.2.

Тиражирование базы данных в соответствии с моделью 'главный-подчиненный' было введено в X.500 в 1992 году. При таком подходе запись производится только в главную копию, и лишь потом изменения передаются подчиненным копиям.

DSA взаимодействуют друг с другом по системному протоколу каталога (DSP). Протокол предусматривает функциональные и проверочные процедуры для выполнения операций опроса по цепочке.

Одним из препятствий к распространению X.500 стало то, что, в соответствии с первоначальным вариантом стандарта, DAP должен был базироваться на протоколах OSI, но реализация OSI требовала слишком значительных ресурсов. Поэтому было реализовано подмножество X.500, которое получило название LDAP.

LDAP считается протоколом доступа. Он был разработан в качестве альтернативы DAP как точка входа в каталоги X.500. Впоследствии он вырос в полноценную службу каталогов и теперь представляет собой и протокол доступа, и стандарт на распределенную службу каталогов.

LDAP во многом следует принципам X.500. Они оба поддерживают иерархическое пространство имен, используя элементы с атрибутами класса объектов. Вам не придется делать выбор - или LDAP, или X.500, так как серверы LDAP и X.500 взаимодействуют с серверами LDAP, передавая запросы агентам X.500 DSA.

Netscape Directory Server (1996) – включая программную поддержку клиентов LDAP на основе стандарта HTML, поддержку платформ Windows NT, NetWare и Unix, имела двухфазный коммуникативный механизм. Внешний интерфейс сервера - точка доступа - обрабатывает запросы LDAP. Внутренний интерфейс отвечает за подключаемые модули для управления базой данных. Netscape определяет корневое отличительное имя (RDN), специально создаваемый элемент для Netscape Management Services, которое конфигурируется на клиенте.

Netscape использует модель базы данных 'главный-подчиненный' (рис. 4.3). Главным является сервер поставщика, а подчиненным - заказчика. Все изменения должны вноситься на сервере поставщика, тогда как сервер заказчика может выполнять только операции чтения.

Рис. 4.3.

Novell Directory Services

Novell Directory Services (NDS) является наиболее широко используемой службой каталогов по числу поддерживаемых мест вследствие преобладания NetWare в локальных сетях. Первоначально NDS базировалась на X.500, но потом она вышла за пределы стандарта, не дожидаясь, пока стандарт ее догонит. Впервые появилась в 1993 году в составе системы NetWare 4.0. В 1995 году в NetWare 4.10 реализована полностью.

Основой службы каталогов Novell является дерево NDS, построенное по иерархическому принципу (рис. 4.4).

Рис. 4.4.

В качестве контейнеров могут использоваться следующие объекты: страна (Country, C), местонахождение (Location, L), организация (Organization, O), подразделение (Organizational Unit, OU), лицензированный продукт (Licensed Product, LP). Дерево NDS разбивается на один или несколько разделов. Их назначение состоит в делении общей базы NDS на части в целях упрощения тиражирования. Таким образом, сервер NDS хранит лишь часть общей базы NDS (в пределах раздела). Раздел может представлять собой один или несколько связанных между собой контейнеров.

Сервер NDS может выступать в качестве хранилища основной реплики (основной копии) раздела, реплики для чтения и записи, реплики только для чтения и реплики подчиненной ссылки. В пределах одного контейнера все имена должны быть уникальными.

Доменная структура Windows NT

Служба доменов Microsoft впервые появилась еще в 1987 году в составе LAN Manager, где она работала на базе OS/2 1.x. Доменная архитектура предполагает, что серверы, компьютеры, пользователи, принтеры объединяются в логические группы, так называемые домены. Такие домены на предприятии создаются чаще всего по организационному принципу: отдел кадров имеет свой домен, бухгалтерия - свой, и т. д. Информация об общих сетевых объектах домена хранится на контроллерах домена. Главный контроллер домена (Primary Domain Controller, PDC) является основным хранилищем, работающим в режиме чтения и записи информации. Один домен может иметь только один PDC. Как следствие, домены NT плохо подходят для распределенных сетей. Резервные контроллеры домена (Backup Domain Controller, BDC) также хранят информацию об общих сетевых объектах, но функционируют исключительно в режиме чтения. Назначение BDC состоит, в первую очередь, в повышении отказоустойчивости, а также в снижении нагрузки на PDC. Один домен может иметь любое число BDC. База данных по домену хранится в защищенной области системного реестра контроллеров домена.

Один и тот же сервер NT не может выступать в качестве контроллера для нескольких доменов. Более того, если сервер NT не был назначен при инсталляции ОС в качестве контроллера домена, то для того, чтобы он стал PDC или BDC, операционную систему придется переустановить целиком.

В доменах NT ресурсы располагаются в единственном, притом плоском, пространстве имен (name space), поэтому все имена должны быть уникальны. Зарегистрировавшись в домене, т. е. введя свое имя и пароль, пользователь, получает доступ ко всем разрешенным ему ресурсам данного и всех доверяющих доменов.

Active Directory

Ради сохранения совместимости с доменами NT компания Microsoft была вынуждена в качестве основной функциональной единицы службы каталогов оставить домен, привязав его к доменной службе Internet (DNS). Иными словами, каждый домен Active Directory является теперь доменом DNS. Внутри домена AD поддерживается иерархическое пространство имен, где контейнерами выступают объекты типа "подразделение" (OU) (рис. 4.5).

Рис. 4.5.

Домены образуют еще одну иерархическую структуру, называемую деревом. Между доменами установлены доверительные отношения, которые в отличие от Windows NT 4.0 являются транзитивными (рис. 4.6).

Рис. 4.6.

В организации может быть несколько деревьев, объединенных общим понятием леса (рис.4.7). Все деревья леса доменов имеют общую схему, конфигурацию и общий Глобальный Каталог.

Рис. 4.7.

Тиражирование баз данных AD осуществляется в пределах отдельного домена. Каждый контроллер домена работает в режиме чтения и записи, таким образом ограничение старых доменов NT снимается. Вместе с тем, как и ранее, сервер Windows 2000 может выступать в качестве контроллера лишь для одного домена, причем он должен входить в состав этого домена. Количество контроллеров не ограничено.

Сравнение AD и NDS

1. В AD контейнеры не могут быть принципалами безопасности. NDS позволяет права доступа назначать на уровне контейнеров.

2. В AD все имена должны быть уникальными несмотря на то, что она имеет иерархическую структуру, порой весьма сложную, на уровне домена. В NDS уникальность имен должна быть обеспечена лишь на уровне контейнера.

3. В NDS используется так называемое динамическое наследование прав. В AD применяется статическое наследование.

4. Это связано с тем, что один и тот же сервер NDS может хранить реплики сразу нескольких разделов NDS, тогда как в AD один сервер может быть контроллером единственного домена, причем сервер обязан принадлежать этому домену.

5. В AD после изменений в объекте какой-нибудь пользователь вносит другие изменения до синхронизации реплик (синхронизация осуществляется раз в 15 минут), то в итоге будут сохранены только последние по времени изменения. В NDS такого не происходит.

6. Преимущество Active Directory над NDS - средства индексации и поиска объектов и их свойств. База Глобального Каталога поддерживает автоматическое копирование между серверами. В NDS имеется встроенное средство поиска, но оно не поддерживает индексирование объектов дерева.

7. По масштабируемости NDS и AD приблизительно равны.

Windows 2003 Server

Windows 2003 Server поддерживает возможность:

• горячей модернизации системной памяти

• зеркальное копирование адаптеров PCI

• разветвленный доступ по системе массовой памяти со стороны средств ввода-вывода

• поддерживаются службы терминалов

• возможность создания моментального снимков целых томов

• поддержка до 64 вариантов копий снимков

• повышение степени масштабируемости

• разделение службы IIS на три части

• введение драйвера http.sys

• выделение пула в приложении для обработки поступающих www запросов

• использовании редактируемого файла конфигурации

Linux

Определенная часть администраторов считает, что серверные операционные системы фирмы Microsoft характеризуются высокой стоимостью, сложной системой лицензионных соглашений, нестабильностью, плохой масштабируемостью и недостаточной универсальностью. Альтернативным вариантом является ОС Linux. Среди наиболее известных компаний, занятых в этом бизнесе, можно назвать Mandrake, Red Hat, SCO, SuSE и Turbolinux. Эти фирмы продают свои дистрибутивы с предоставлением дополнительных услуг: оперативного технического обслуживания при развертывании и конфигурировании систем.

Операционные системы на базе Linux предоставляют администраторам почти неограниченные возможности. А если вы обладаете к тому же определенным багажом знаний и опыта, то сможете решить практически любую задачу, с которой вам доведется столкнуться в процессе управления сетью. Но в системах на базе Linux настройка и активизация многих функций и служб нередко реализуются сложнее, чем на платформах корпорации Microsoft.

Использование неструктурированных файлов требует от администратора понимания тонкости реализации всех приложений, и даже наличие широкого класса примеров, наличие графических средств конфигурации не позволяет корректно решать задачи администрирования. Проблемы возникают при конфигурировании Kerberos и включении новых пользователей.

Таблица 4.2.

Компоненты и службы Windows Server 2003 и Linux
Компоненты и службы	Windows Server 2003	Linux
Ядро	WS2003	Linux 2.4 Kernel
HTTP	IIS 6.0	Apache 1.3
DHCP	Microsoft DHCP	ISC DHCP 3.0
DNS	Microsoft DNS	ISC BIND 8.3
Совместный доступ к файлам и принтерам	Microsoft File & Print Server	Samba 2.2
Служба каталогов	AD	OpenLDAP 2.1
FTP	IIS 6.0	ProFTPD 1.2
Безопасное шифрование	Kerberos 5	MITKerberos v5 1.2
СУБД	SQL Server 2000	MySQL 3.23

Таблица 4.3.

WS 2003	“За”	“Против”
	Повсеместное распространение платформы	Высокие первоначальные затраты
	Огромное число производителей	Постоянные расходы на лицензирование
	Встроенный механизм обслуживания	Высокая стоимость обслуживания
	Перспективы повышения производительности и безопасности	Сомнительная репутация с точки зрения безопасности
	Контроль одной компанией	Не надежная система
		Любимая мишень для хакеров

Продолжение табл. 4.3

Linux	“За”	“Против”
	Отсутствие расходов на лицензирование	Отсутствие специалистов по обслуживанию
	Высокая надежность	Руководство фирмы иногда забывает про необходимости затрат на обслуживание
	Хорошая работа на устаревшем оборудовании	“Ограниченное” количество приложений
	Рост числа изготовителей и рост числа приложений	Отсутствие единой компании, контролирующей развитие продуктов
	Возможность использования компонент в различных сочетаниях

Novell NetWare

Сетевая операционная система Novell NetWare, которая позволяет организовать безостановочный доступ, готовый уровень защиты и высокий уровень доступности сетевой информации для любых классов сетей. Позволяет формировать единое видение сети и сетевого пространства; легко интегрируется в существующую инфраструктуру; широко распространена.

Возможность создания кластеров по 32 сервера и 32 процессора каждый. Включает службу eNDS, которая обеспечивает интеграцию со всеми операционными системами. Имеет инструмент eDirectory для управлению сетью. Наличие инструмента iFolder, который обеспечивает доступ к файлам с любого места и в любое время и поддержку последних версий файлов. Инструмент iPrint, который позволяет печатать на любом принтере, разрешенном для использования, не зависимо от его местоположения.

Поддерживает протоколы SAN&NAS. Наличие единой службы хранения данных NSS, которая позволяет унифицированным образом управлять ресурсами хранения. Высокий уровень надежности и готовности. Поддержка технологии RAID. Поддержка полной аутентификации пользователей и каждой транзакции. Один том может содержать 500000000 файлов.