четверг, 13 мая 2010 г.

ISSP \ Домен 05. Телекоммуникации и сетевая безопасность. Часть 3

В этой части рассмотрены следующие вопросы:
  • Организация локальных вычислительных сетей
  • Топология сети
  • Топология "кольцо"
  • Топология "шина"
  • Топология "звезда"
  • Полносвязная топология
  • Технологии доступа к среде LAN
  • Ethernet
  • Token Ring
  • FDDI

Ниже представлены четыре основные причины для организации сети:
  • Чтобы обеспечить взаимодействие между компьютерами
  • Чтобы совместно использовать информацию
  • Чтобы совместно использовать ресурсы
  • Чтобы обеспечить централизованное администрирование
Большинству пользователей сети нужно использовать однотипные ресурсы, такие как информация, принтеры, файловые серверы, плоттеры, факсы, доступ в Интернет и т.д. Почему бы не объединить все эти ресурсы и не сделать доступными всем? Прекрасная идея, для ее реализации нам нужно организовать сеть!

Организация сети может дать прекрасные возможности за короткое время. В начале компьютерной эры использовались мейнфреймы. Они были изолированы в серверных помещениях и доступ к ним осуществлялся посредством простых терминалов. Однако это еще не сеть в чистом виде. В конце 1960-х – начале 1970-х годов исследователи нашли способ объединения всех мейнфреймов и Unix-систем для обеспечения их взаимодействия. Это были первые шаги Интернета.

Микрокомпьютеры использовались во многих офисах и на рабочих местах. Терминалы стали немного «умнее» и полезнее при совместном использовании офисных ресурсов. А затем был разработан Ethernet, позволивший создать настоящую сеть.

ПРИМЕЧАНИЕ. Значительной частью организации сети являются вопросы идентификации и аутентификации, рассмотренные в Домене 02. Однако, сейчас важно отметить, что аутентификация самого по себе узла сети не может быть использована для установления доверительных отношений между пользователями сети. В распределенной сети тема доверия является основной проблемой безопасности.
Ссылки по теме: 

Физическое размещение компьютеров и устройств называется сетевой топологией. Топология указывает на способ, которым физически соединена сеть, показывает размещение ресурсов и систем. Существует разница между физической топологией сети и логической топологией. Сеть может быть сконфигурирована физически как звезда, а логически – как кольцо, использующее технологию Token Ring.

Выбор лучшей топологии для конкретной сети зависит от таких вещей, как предполагаемый порядок взаимодействия узлов, используемые протоколы, типы приложений, надежность, расширяемость, физическое размещение в здании, а также от уже внедренных технологий. Неверная топология (или комбинация топологий) может негативно сказаться на производительности сети, ее продуктивности и возможностях расширения.

В этом разделе описаны основные типы сетевых топологий. Большинство сетей значительно более сложны и реализованы с использованием комбинации топологий.

Топология «кольцо»

Топология «кольцо» (ring topology) – это последовательное соединение устройств однонаправленными линиями связи, как показано на Рисунке 5-18. Эти связи образуют замкнутое кольцо, не имеющее подключения к центральной системе (имеющейся в топологии «звезда»). В физическом кольце каждый узел зависит от предшествующих узлов. В простой системе, в случае неисправности одной системы, она окажет негативное влияние на все остальные системы, поскольку все они взаимосвязаны. Сегодня большинство сетей обладают избыточностью или другими механизмами, которые могут защитить сеть в случае неисправности одной рабочей станции, но некоторые неудобства при этом вероятно все равно возникнут.
Рисунок 5-18. Топология «кольцо» образует замкнутое соединение

Топология «шина»

В простой топологии «шина» (bus topology), единственный кабель проходит по всей длине сети. Узлы подключаются к сети «в разрыв» кабеля. Данные передаются по всей длине кабеля, и каждый узел может просмотреть любой передаваемых пакетов. Каждый узел решает, принять ему пакет или проигнорировать его, ориентируясь на указанный в пакете адрес компьютера-получателя.

Существует два основных типа топологии «шина»: линейная и древовидная. Линейная топология «шина» имеет один кабель, к которому подсоединены все узлы. Древовидная топология «шина» имеет отдельные ответвления от единого кабеля, к каждому ответвлению может быть подключено множество узлов.

В простой реализации топологии «шина», если одна рабочая станция выходит из строя, она оказывает негативное влияние на другие системы, т.к. они в определенной степени взаимозависимы. Подключение всех узлов к одному кабелю – это единая точка отказа. Традиционно Ethernet использует топологию «звезда».

Топология «звезда»

В топологии «звезда» (star topology) все узлы подключаются к центральному устройству, такому как коммутатор (switch). Каждый узел имеет выделенное подключение к центральному устройству. Центральное устройство должно обеспечивать достаточную пропускную способность, чтобы не стать «бутылочным горлышком» для всей сети. Использование центрального устройства потенциально является единой точкой отказа, поэтому должна быть обеспечена некоторая избыточность. Коммутаторы могут быть настроены в плоской или иерархической реализации, которую могут использовать крупные компании.

Когда одна рабочая станция выходит из строя в топологии «звезда», это не оказывает воздействия на другие системы, как в топологиях «шина» или «кольцо». В топологии «звезда» каждая система независима от других, но она зависит от центрального устройства. Эта топология обычно требует меньше проводов, чем другие топологии, и, как следствие, существует меньше шансов разрыва провода, а задача выявления проблем существено упрощается.

Не многие сети используют в чистом виде топологию линейной «шины» или «кольцо» в локальной сети. Топология «кольцо» может быть использована для магистральной сети, но большинство локальных вычислительных сетей (LAN) создается на базе топологии «звезда», поскольку это повышает отказоустойчивость сети и позволяет ей не зависеть от проблем отдельных узлов. Помните, что существует разница между физической топологией и методами доступа к среде передачи информации. Даже если сеть построена как Token Ring или Ethernet, это говорит только о том, как подключен к среде передачи информации каждый узел этой сети и как проходит трафик. Хотя Token Ring обычно работает через «кольцо», а Ethernet подразумевает реализацию «шины», эти термины относятся только к логической организаций сети, реализующейся на канальном уровне. Если при этом физически проще организовать «звезду», то так и делают.

Полносвязная топология

В полносвязной топологии (mesh topology) все системы и ресурсы подключены друг к другу иными способами по сравнению с вышеуказанными топологиями, как показано на рисунке 5-19. Эта схема обычно представляет собой сеть связанных друг с другом маршрутизаторов и коммутаторамов, обеспечивающих множественные маршруты передачи данных между всеми узлами в сети. При полной реализации полносвязной топологии (full mesh), каждый узел напрямую соединен с каждым другим из других узлов, что обеспечивает наивысшую степень отказоустойчивости. При частичной реализации полносвязной топологии (partial mesh), не все узлы связаны напрямую. Интернет – это пример сети с частичной реализацией полносвязной топологии.
Рисунок 5-19. В полносвязной топологии все узлы соединены друг с другом, что обеспечивает наличие избыточных связей

Резюме по различным сетевым топологиям и их наиболее важные характеристики представлены в таблице 5-2.

Таблица 5-2. Резюме по сетевым топологиям

Независимо от используемой топологии, большинство сетей LAN имеет магистраль (backbone), являющуюся комбинацией кабелей и протоколов, которая связывает отдельные сетевые сегменты. Магистраль работает на более высокой скорости, чем отдельные сетевые сегменты, что позволяет быстро передавать данные из одной сети в другую. В то время как для сетевых сегментов лучше использовать UTP и Ethernet, для магистрали лучше подходит FDDI или Fast Ethernet. В качестве аналогии можно привести пример городских улиц и автомобильных магистралей. На улицах (в сетевых сегментах) машины (данные) движутся медленно, но улицы соединены с магистралями, которые позволяют машинам быстро перемещаться из одного места в другое. Точно также магистраль позволяет данным быстро перемещаться на большие расстояния.
ПРИМЕЧАНИЕ. При использовании топологии «кольцо» или «шина» все узлы между системами отправителя и получателя имеют доступ к передаваемым данным. Это упрощает для атакующего задачу получения потенциально критичных данных.

LAN – это сеть, которая предоставляет общие коммуникации и ресурсы на относительно небольшой площади. Различия между LAN и WAN определяются физической средой, протоколами инкапсуляции и функциональностью. Например, LAN может использовать кабели 10Base-T, протоколы IPX/SPX и позволять взаимодействовать пользователям, находящимся в пределах здания. WAN, в свою очередь, может использовать оптоволоконные кабели, протокол L2TP и может позволять пользователям одного здания взаимодействовать с пользователями другого здания или даже другого штата (или страны). WAN соединяет сети LAN на больших расстояниях. Наиболее существенные отличия между этими двумя технологиями находятся на канальном уровне.
Вопрос: Говорят, что LAN охватывает относительно небольшую площадь. При каких размерах сеть перестают быть LAN?
Ответ: Когда две отдельные сети LAN соединены маршрутизатором, в результате образуется объединенная сеть (internetwork), которая не является большой LAN. Каждая отдельная LAN имеет собственную схему адресации, широковещательный домен (broadcast domain) и коммуникационные механизмы. Если две сети LAN соединены с помощью других технологий канального уровня, таких как Frame Relay или X.25, они образуют WAN.
Термин «локальная» в контексте LAN означает не столько географическую область, сколько ограничения LAN с точки зрения общей среды передачи данных, количества подключенных к ней устройств и компьютеров, скорости передачи данных, используемых типов кабелей и устройств. Если сетевой администратор строит очень большую LAN, предпочтительнее организовать ее в виде нескольких LAN, т.к. большой объем трафика нанесет удар по производительности, либо кабели будут слишком длинными и скажется фактор затухания сигнала (attenuation). Сеть, в которой установлено слишком много узлов, маршрутизаторов, мостов, коммутаторов может быть очень сложна – в особенности с точки зрения администрирования, что станет открытой дверью для ошибок, конфликтов и «дыр» в безопасности. Сетевой администратор должен следовать спецификациям используемой им технологии, и когда он достигнет предела, ему следует подумать о реализации двух или более небольших LAN вместо одной большой LAN. Сети LAN определяет их физическая топология, технологии канального уровня, протоколы и используемые устройства. Об этом мы поговорим в следующих разделах.

Ссылки по теме:


Ethernet – это сетевая технология (LAN-sharing), позволяющая нескольким устройствам взаимодействовать в рамках одной сети. Ethernet обычно использует топологию «звезда» или «шина». Если используется топология линейной шины, все устройства подключаются к одному кабелю. Если используется топология «звезда», каждое устройство кабелем соединяется с центральным устройством (например, с коммутатором). Ethernet был разработан в 1970-х годах и стал доступен для применения в бизнесе в 1980 году. Он был назван стандартом IEEE 802.3.

В своей короткой Ethernet истории прошел эволюцию с реализации на коаксиальном кабеле, работающем на скорости 10 Mб/с, до 5-й категории витой пары, работающей на скоростях 100 Мб/с, 1 Гб/с и даже 10 Гб/с.

Ethernet определяется следующими характеристиками:
  • Общая среда (все устройства используют среду поочередно, возможно возникновение коллизий)
  • Использует широковещательные (broadcast) и коллизионные (collision) домены
  • Использует метод множественного доступа с контролем несущей и обнаружением коллизий (CSMA/CD – Carrier sense multiple access with collision detection)
  • Поддерживает полный дуплекс при реализации на витой паре
  • Может использовать среду с коаксиальным кабелем или витой парой
  • Определен стандартом IEEE 802.3
Ethernet определяет, каким образом компьютеры совместно используют общую сеть и как они обрабатывают коллизии, а также вопросы целостности данных, механизмы коммуникаций, упровление передачей. Это обычные характеристики Ethernet, но кроме того Ethernet поддерживает множество типов кабельных схем и скоростей передачи. Существует несколько типов реализации Ethernet, приведенных в таблице 5-3. В следующих разделах будут обсуждаться реализации 10Base2, 10Base5 и 10Base-T, которые используются чаще всего.

Таблица 5-3. Типы Ethernet

10Base2. 10Base2, ThinNet использует коаксиальный кабель. Максимальная длина кабеля составляет 185 метров, обеспечивается скорость передачи 10 Мбит/с, требуются BNC-коннекторы (British Naval Connector) для сетевых устройств.

10Base5. 10Base5, ThickNet использует толстый коаксиальный кабель. При использовании ThickNet могут применяться более длинные сегменты кабеля, чем для ThinNet, поэтому ThickNet часто используется для магистральной сети. ThickNet более устойчив к электрическим помехам, чем ThinNet, поэтому обычно он предпочтительнее при прокладке кабеля через подверженное электрическим помехам пространство. При использовании ThickNet также требуются BNC-коннекторы, т.к. он тоже использует коаксиальный кабель.

10Base-T. 10Base-T использует витую пару с медными проводами вместо коаксиального кабеля. Витая пара использует один провод для передачи данных, а другой – для приема. 10Base-T обычно применяется в топологии «звезда», позволяющей легко настраивать сеть. В топологии «звезда» все системы подключены к центральному устройству в плоской или иерархической конфигурации.

Сети 10Base-T используют коннектор RJ-45, который используется для подключения компьютеров. Провода чаще всего прокладывают по стенам и подключают к коммутационной панели. Коммутационная панель обычно подключается к концентратору 10Base-T, который открывает дверь к магистральному кабелю или центральному коммутатору. Этот тип конфигурации показан на рисунке 5-20.

Рисунок 5-20. Ethernet-узлы подключены к коммутационной панели, соединенной с магистральным кабелем через концентратор или коммутатор

Fast Ethernet: Ускоренный Ethernet. Не удивительно, что когда-то скорость 10 Мбит/с казалась заоблачной, но сейчас большинству пользователей требуется значительно большая скорость. Для реализации этой потребности был разработан Fast Ethernet.

Fast Ethernet – это обычный Ethernet, но работающий на скорости 100 Мбит/с по витой паре. Примерно в то же время, когда появился Fast Ethernet, была разработана другая технология 100 Мбит/с – 100-VG-AnyLAN . Эта технология не использовала традиционный CSMA/CD Ethernet, она работала по-другому.

Fast Ethernet использует традиционный CSMA/CD (о ней расказывается дальше в этом домене) и оригинальный формат кадра Ethernet. Именно поэтому он используется многими корпоративными средами LAN в настоящее время. В одной среде могут работать одновременно сетевые сегменты со скоростью 10 и 100 Мбит/с, соединенные через 10/100 концентратор или коммутатор.

В настоящее время существует четыре основных типа Fast Ethernet, они отличаются используемыми кабелями и дальностью передачи. Для более подробной информации о них пройдите по приведенным ниже ссылкам.

Ссылки по теме:


Как и Ethernet, Token Ring – это технология LAN, позволяющая передавать информацию и совместно использовать сетевые ресурсы. Технология Token Ring была разработана IBM и определена в стандарте IEEE 802.5. Она использует технологию передачи маркеров (токенов) в топологии, организованной в виде «звезды». Часть «ring» в имени технологии связана с потоком прохождения сигналов, образующим логическое кольцо. Каждый компьютер подключен к центральному концентратору, называющемуся модулем множественного доступа (MAU – Multistation Access Unit). Физически топология может быть организована в виде «звезды», однако сигналы проходят по логическому кольцу.

Технология передачи маркеров – это единственная технология, в которой данные не помещаются в сетевой провод, не имея специального маркера (token), являющегося управляющим кадром, путешествующим по логическому кольцу и захватывающимся, когда какой-либо системе нужно взаимодействовать с другой системой. Это отличается от Ethernet, в котором все устройства пытаются взаимодействоввать одновременно, из-за чего Ethernet зовут «болтливым протоколом», такой подход приводит к коллизиям. В Token Ring не бывает коллизий, так как только одна система может передавать информацию в каждый момент времени, однако из-за этого скорость передачи данных снижается по сравнению с Ethernet.

В начале технология Token Ring позволяла передавать данные со скоростью 4 Мбит/с, затем она была увеличена до 16 Мбит/с. Когда кадр помещается в провод, каждый компьютер просматривает его, чтобы проверить, не адресован ли он ему. Если кадр адресован не ему, компьютер помещает его обратно в сетевой провод, усиливая сигнал, который идет к следующему компьютеру по кругу.

Token Ring применяет пару механизмов для обработки проблем, которые могут возникнуть в сети этого типа. Механизм активного мониторинга удаляет кадры, которые продолжают кружить по сети. Это происходит, когда компьютер-получатель по какой-либо причине отключается от сети и маркер не может быть доставлен ему. Используя механизм сигнализации (beaconing), компьютер отправляет кадр сигнализации при обнаружении проблемы с сетью. Этот кадр создает сбойный домен (failure domain), который передается другим компьютерам с целью их информирования о проблемном участке. Компьютеры и устройства в рамках сбойного домена попытаются перенастроиться, чтобы попытаться обойти проблемный участок. На рисунке 5-21 показана сеть Token Ring с физической конфигурацией «звезда».

Рисунок 5-21. Сеть Token Ring

Сети Token Ring были популярны в 1980-х – 1990-х годах, некоторые из них еще используются и в настоящее время, однако Ethernet стала гораздо более популярной и взяла первенство на рынке сетей LAN.
Вопрос: В чем заключается различие между Ethernet, Token Ring и FDDI?
Ответ: Все это технологии канального уровня. Реально, канальный уровень состоит из подуровня MAC и подуровня LLC. Эти технологии работают на подуровне MAC и используют интерфейс для взаимодействия с подуровнем LLC. Эти технологии LAN отличаются тем, как они взаимодействуют со стеком протоколов, а также предоставляемой ими функциональностью.
Ссылки по теме:

Технология FDDI (Fiber Distributed Data Interface), разработанная ANSI (American National Standards Institute) – это высокоскоростная технология доступа к среде, использующая передачу маркера. FDDI имеет скорость передачи данных до 100 Мбит/с и, как правило, применяется в качестве магистральной сети с использованием волоконно-оптических кабелей. FDDI обеспечивает отказоустойчивость путем создания второго кольца, вращающегося в обратную сторону. В основном кольце данные «крутятся» по часовой стрелке, именно это кольцо обычно используется для передачи данных. Во втором кольце данные «крутятся» против часовой стрелки, оно используется только тогда, когда основное кольцо не работает. Датчики следят за функционированием основного кольца и, если оно перестает работать, они переключают передачу данных на второе кольцо, задействуя для этого механизм восстановления целостности кольцевой сети (ring wrap). Каждый узел в сети FDDI имеет ретранслятор (relay), подключенный к обоим кольцам, поэтому в случае разрыва в кольце, оба кольца могут быть соединены.

FDDI обычно используется как магистральная сеть, объединяющая несколько различных сетей, как показано на рисунке 5-22.
Рисунок 5-22. Кольца FDDI могут использоваться в качестве магистрали для объединения различных сетей LAN

До появления на рынке Fast Ethernet и Gigabit Ethernet, именно FDDI чаще всего использовалась в магистральных сетях. Поскольку FDDI может использоваться на расстояниях до 100 километров, эта технология часто используется для сетей MAN (metropolitan area networks). Преимущество техглогии FDDI заключается в том, что она может работать на больших расстояниях с высокими скоростями и с минимальным помехами. Это позволяет нескольким маркерам одновременно находиться в кольце, что дает возможность одновременно передавать по сети несколько сообщений, а также обеспечивает предсказуемые задержки, что помогает соединенным сетям и устройствам знать, чего ожидать и когда.

Технология CDDI (Copper Distributed Data Interface), являющаяся разновидностью FDDI, может работать на витой паре (UTP). CDDI может использоваться в рамках LAN для соединения сетевых сегментов, тогда как FDDI предпочтительнее использовать в MAN.
ПРИМЕЧАНИЕ. FDDI-2 обеспечивает фиксированную полосу пропускания, которая может быть выделена для конкретных приложений. Это делает ее работу похожей на широкополосную связь, которая позволяет по одной линии передавать голос, видео и данные.
Таблица 5-4 резюмирует наиболее важные характеристики технологий, описанных в предыдущих разделах.

Таблица 5-4. Методы доступа к среде LAN

Комментариев нет: