WWW.DOCX.LIB-I.RU
БЕСПЛАТНАЯ  ИНТЕРНЕТ  БИБЛИОТЕКА - Интернет материалы
 

«Модель OSI. Идеология. Уровни. Назначение уровней. Принципы передачи данных. Сетевая модель OSI (open systems interconnection basic reference model — базовая эталонная ...»

Модель OSI. Идеология. Уровни. Назначение уровней. Принципы передачи данных.

Сетевая модель OSI (open systems interconnection basic reference model — базовая эталонная модель взаимодействия открытых систем,1978 г.) — абстрактнаясетевая модель для коммуникаций и разработки сетевых протоколов. Она основана на уровневых протоколах, что поз воляет обеспечить логическую декомпозицию сложной сети на обозримые части — уровни; стандартные интерфейсы между сетевыми функциями; симметрию в отношении функций, реализуемых в каждом узле сети (ана логичность функций одного уровня в каждом узле сети). Функции любого узла сети разбиваются на уровни, для конечных систем их семь.

Любой протокол модели OSI должен взаимодействовать либо с протоколами своего уровня, либо с протоколом выше или ниже своего уровня. Взаимодействия с протоколами своего уровня называются горизонтальными, а с уровнями выше или ниже — вертикальными. Любой протокол модели OSI может выполнять только функции своего уровня и не может выполнять функций другого уровня, что не выполняется в протоколах альтернативных моделей.

Внутри каждого узла взаимодействие между уровнями идет по вертикали. Взаимодействие между двумя узлами логически про исходит по гори зонтали — между со ответствующими уровнями. Реально же из-за отсутствия не посредствен ных горизонтальных связей произво дится спуск до нижнего уровня в ис точнике, связь через физическую среду и подъем до соответствующего уровня в приемнике информации.

Уро вень, с которого посылается запрос, и симметричный ему уровень в отвечаю щей системе формируют свои блоки данных. Данные снабжаются служебной информацией (заголовком) данного уровня и спускаются на уровень ниже. На этом уровне к полученной информации также присоединяется слу жебная информация, и так происходит спуск до самого нижнего уровня, сопровож даемый увеличением количества заголовков. По нижнему уровню вся сформированная информация достигает получателя, где по мере подъема вверх освобождается от служеб ной информации соответству ющих уровней. В итоге сообщение, посланное источ ником, до стигает соответствующего уровня системы-получателя. Служебная информация управляет процессом передачи и служит для контроля его успешности и достоверности. В случае возникновения проблем может быть сделана попытка их уладить на том уровне, где они обнаружены. Если уровень не может решить проблему, он сообщает о ней на вызвавший его вышестоящий уровень.

Прикладной - отвечает за передачу служебной информации; предоставляет приложениям информацию об ошибках; формирует запросы к уровню представления.

Уровень представления - Сжатие данных; шифрование данных; перекодировка данных

Сеансовый - Обеспечивает установление, поддержание и завершение сеанса связи, позволяя приложениям взаимодействовать между собой длительное время

Транспортный - Обеспечивает надежную доставку данных, подтверждение приема и сегментацию потока, получаемого от сеансового уровня.

Сетевой - Решает задачу доставки данных по составной сети, межсетевую адресацию, трансляцию физических адресов в сетевые

Канальный - Обеспечивает формирование фреймов; Обеспечивает контроль ошибок и управление потоком данных; Логическое кодирование данных.

Физический - Обеспечивает физическое кодирование бит кадра в электрические (оптические) сигналы и передачу их по линиям связи; Определяет тип кабелей и разъемов, назначение контактов и формат физических сигналов

Взаимодействие канального и сетевого уровней при передачи данных по составной сети через маршрутизаторы. Инкапсуляция данных при передаче.





Рисунок 2

Опишем этапы передачи.

Перед началом передачи сетевой уровень передающей стороны сформирует пакет с адресом отправителя 1-1 и адресом получателя 3-3. Оставим за рамками рассмотрения откуда узел 1-1 "узнал" сетевой адрес получателя. Обычно такие задачи решаются с помощью систем, подобных DNS.

Перед инкапсуляцией сетевого пакета в кадр канального уровня сетевой уровень устанавливает, что адрес назначения лежит в другой локальной сети и передавать пакет надо через шлюз, указав его канальный адрес в поле адреса назначения кадра канального уровня.

В конфигурации узла адрес шлюза (1-3) дан в виде сетевого адреса, поэтому узел 1-1 генерирует широковещательное сообщение на канальном уровне адресованное на адрес "zzz" с запросом "у кого адрес 1-3?". Это сообщение получают все узлы сети №1, но отвечает на него только узел 1-3 со своего адреса канального уровня. Так узел 1-1 определяет канальный адрес назначения для первого шага.

Сетевой пакет инкапсулируется в кадр канального уровня, где в поле адреса отправителя стоит "aaa", а в поле получателя –канальный адрес шлюза "aba".

Этот кадр приходит на порт маршрутизатора-шлюза М1. Его канальный уровень принимает кадр для обработки, деинкапсулирует пакет сетевого уровня и передает его на свой сетевой уровень.

Сетевой уровень решает задачу маршрутизации. Сначала определяется адрес сети назначения по адресу назначения в сетевом пакете (адрес сети 3-0). По таблице маршуртизации по адресу сети назначения определяется порт, через который надо передать пакет и сетевой адрес следующего шлюза.

Сетевой пакет инкапсулируется в кадр канального уровня сети №2. При этом канальный адрес отправителя будет соответствовать аресу порта ("DBB"), а канальный адрес шлюза определяется по его сетевому адресу так же как и в п.3.

Сетевой пакет инкапсулированный в новый кадр канального уровня попадает на маршуртизатор М2. принимается им и обрабатывается так же как в п.5,6 и 7. С той разницей, что М2 определяет, что он непосредственно подключен к сети с адресом 3-0 (сеть №3) и определяет канальный адрес получателя не для следующего шлюза, а для узла назначения 3-3. Сетевой пакет инкапсулируется в новый кадр канального уровня в сети №3 и отправляется уже на узел 3-3. канальный уровень узла назначения принимает кадр, так как в адресе назначения стоит его адрес, деникапсулирует пакет сетевого уровня и передает его выше по стеку на сетевой уровень для обработки. Так как сетевой адрес назначения соответствует собственному адресу узла, то пакет принимается, деникапсулируется вложенное сообщение и передается выше по стеку.

Физический уровень. Характеристики каналов связи (АЧХ, пропускная способность и т.п.). Пропускная способность канала по Найквисту и Шеннону.

Физический - Обеспечивает физическое кодирование бит кадра в электрические (оптические) сигналы и передачу их по линиям связи; Определяет тип кабелей и разъемов, назначение контактов и формат физических сигналов.

Основными характеристиками каналов линий связи в целом являются:

шумы

достоверность передачи данных

амплитудно-частотная характеристика (АЧХ)

волновое сопротивление

затухание

помехоустойчивость

пропускная способность

полоса пропускания

удельная стоимость

По Шеннону : Скорость = Н*log2(1+S/N)

По Найквисту : Скорость = 2Н*log2(V)

Кодирование физическое и логическое. Назначение, примеры.

Физическое кодирование разделяется на аналоговое и цифровое

Аналоговое кодирование(модуляция) основывается на несущем синусоидальном сигнале.

Аналоговый сигнал — сигнал, у которого каждый из представляющих параметров описывается функцией времени и непрерывным множеством возможных значений

Цифровое кодирование основывается на последовательности прямоугольных импульсов.

Цифровой сигнал — сигнал данных, у которого каждый из представляющих параметров описывается функцией дискретного времени и конечным множеством возможных значений.

Пример цифрового : RZ,NRZ,NRZI, Манчестер 2, MLT-3, РАМ-5.

Логическое кодирование преобразует поток бит сформированного кадра MAC-уровня в последовательность символов, подлежащих физическому кодированию для передачи по линии связи.

Логическое кодирование позволяет решить следующие задачи:

Исключить длинные монотонные последовательности нулей и единиц, неудобные для самокодирования.

Обеспечить распознание границ кадра и особых состояний в непрерывном битовом потоке.

Варианты : 4В/5В, 8В/10В, 5В/6В, 8В/6Т

СКС. Виды, назначение. Пассивное оборудование горизонтальной кабельной системы.

Структурированная кабельная система (СКС) — физическая основа инфраструктуры здания, позволяющая свести в единую систему множество сетевых информационных сервисов разного назначения: локальные вычислительные и телефонные сети, системы безопасности, видеонаблюдения и т. д.

Пассивное коммутационное оборудование, служащее для соединения или физического окончания (терминирования) кабеля — телекоммуникационные розетки на рабочих местах, кроссовые икоммутационные панели (жаргон: «патч-панели») в телекоммуникационных помещениях, муфты и сплайсы;

EIA/TIA-568С Commercial Building Telecommunications Wiring Standard (американский стандарт);

ISO/IEC IS 11801-2002 Information Technology. Generic cabling for customer premises (международный стандарт) ;

CENELEC EN 50173 Information Technology. Generic cabling systems (европейский стандарт).

Протоколы IEEE802.3 (Ethernet, Fast Ethernet, Gigabit Ethernet). Подпротоколы физической реализации. CSMA/CD.

IEEE802.3 ( Ethernet).

Стандарты Ethernet определяют проводные соединения и электрические сигналы на физическом уровне, формат кадров и протоколы управления доступом к среде — на канальном уровне модели OSI.

10 Мбит/с Ethernet (10BASE2,10BASE5, 10BASE-T, 10BASE-F)

100 Мбит/с Fast Ethernet (100BASE-T, 100BASE-FX);

1 Гбит/с Gigabit Ethernet (1000BASE-T, 1000BASE-SX);

CSMA/CD

Коллективный доступ с опознаванием несущей и обнаружением коллизий

Если во время передачи кадра рабочая станция обнаруживает другой сигнал, занимающий передающую среду, она останавливает передачу, посылает «jam delay» и ждёт в течении случайного промежутка времени «backoff delay» перед тем, как снова отправить кадр.

Расчет времени ожидания

BoD=L*T

Т=512 битовых интервалов

N номер последовательно возникшей коллизии

L случайное число из [0, 2N] при 0<N<=10

При N>=10 L=1023

Метод случайного доступа

Сети FDDI. Протокол работы, архитектура.

FDDI (Fiber Distributed Data Interface) – распределённый интерфейс передачи по оптоволокну.

В технологии FDDI используется метод логического кодирования 4B/5B;

Метод физического кодирования – NRZI;

Тактовая частота передачи 125 МГц.

В нормальном режиме данные передаются только по одному кольцу из пары – первичному (primary). Вторичное (secondary) кольцо используется в случае отказа части первичного кольца.

По первичному и вторичному кольцам данные передаются в противоположных направлениях, что позволяет соблюсти порядок узлов сети при подключении вторичного кольца к первичному.

В случае нескольких отказов, сеть FDDI распадается на несколько отдельные (но функционирующих) сетей.

Синхронный трафик образуют приложения, для которых критичным является наличие временной задержки при передаче данных – передача голоса или видео информации. Остальные данные, которые передаются по сети, образуют асинхронный трафик.

Синхронный передается всегда, независимо от загруженности кольца. Асинхронный может произвольно задерживаться.

Каждой станции выделяется часть полосы пропускания, в пределах которой станция может передавать синхронный трафик. Часть полосы пропускания кольца, которое остается, отводится под асинхронный трафик.

FDDI использует маркерный метод доступа, близкий к методу доступа сетей Token Ring. Основное отличие – в плавающем значении времени удерживания маркера для асинхронного трафика: при небольшой загрузке сети время содержания растет, а при перегрузках – уменьшается.

Во время инициализации кольца узлы договариваются о максимально допустимом времени оборота маркера по кольцу T_Opr. Для синхронного трафика время содержания маркера не изменяется. Для передачи синхронного кадра узел всегда имеет право захватить маркер и удерживать его в течении заданного фиксированного времени.

Если узел хочет передать асинхронный кадр, он должен измерять время оборота маркера (Token Rotation Time, TRT) – интервал между двумя прохождениями маркера через него. Если кольцо не перегружено (TRT<T_Opr), то узел может захватить маркер и передать свой кадр (или кадры) в кольцо, при этом допустимое время содержания маркера THT=T_Opr-TRT. Если кольцо перегружено (TRT>T_Opr), то узел не имеет право захватывать маркер.

SAS (Single Attachment Station) - подсоединение станции только к одному из колец

DAS (Dual Attachment Station) - подсоединение станции к двум кольцам, повышается отказоустойчивость

SAC, DAC (Single, Dual Attachment Concentrators)

Dual Homing - двойное подключение станции к одному из колец (также повышает надежность соединений, один из портов - запасной)

Media Access Control (MAC) (Управление доступом к носителю)

Physical Layer Device (PHY) (Устройство физического уровня)

Physical Media Dependent (PMD)

SMT (управление станциями) - конфигурация станций FDDI, конфигурация кольцевой сети и особенности управления кольцевой сетью, включая вставку и исключение станций, инициализация, изоляция и устранение неисправностей, составление графика и набор статистики.

Все узлы обмениваются SMT кадрами (нет активного монитора).

SMT управляет другими уровнями: с помощью уровня PHY устраняются отказы сети по физическим причинам, например, из-за обрыва кабеля, а с помощью уровня MAC - логические отказы сети, например, потеря кадров данных между портами концентратора.

Активное оборудование Ethernet. Виды, отличительные особенности.

Активное оборудование : повторители и хабы (концентраторы);мосты и коммутаторы; маршрутизаторы

Концентратор

Назначение: объединение устройств в сеть.

Принцип работы: объединяет узлы на физическом уровне, усиливает сигнал, некоторые концентраторы могут согласовывать параметры сигнала. Поступающие сообщения концентратор копирует во все порты, предоставляя подключенным устройствам фильтровать трафик по назначению. Концентратор фактически предоставляет узлам общую среду передачи данных.

Особенности передачи трафика: никакого анализа трафика или его обработки не производится. Производит усиление сигнала.

Обработка широковещательных сообщений: рассылаются без ограничений.

Коммутатор 2 уровня

Назначение: объединение устройств в сеть.

Принцип работы: объединяет узлы на канальном уровне. Проходящие кадры фильтруются и продвигаются согласно адресной информации (MAC-адресам), содержащейся в их заголовках. Упрощенно принцип работы коммутатора 2-го уровня сводится к составлению и поддержанию в актуальном состоянии таблицы принадлежности адресов устройств к портам коммутатора и последующей фильтрации проходящего трафика согласно таблице.

Особенности передачи трафика: поступающий на порт коммутатора кадр записывается только в тот порт, к которому подключено устройство с адресом назначения. Остальные порты коммутатора свободны и могут участвовать в обмене данными между друг другом. В случае, если в таблице нет данных об адресе назначения, кадр записывается во все порты устройства. Адресная информация в заголовке кадра канального уровня не изменяется.

Обработка широковещательных сообщений: рассылаются без ограничений.

Коммутатор 3 уровня

Назначение: объединение устройств в сети, работа в качестве узловых точек сети, объединение сегментов сетей в составную сеть.

Принцип работы: может работать в режиме коммутатора 2-го уровня. В режиме коммутатора 3-го уровня осуществляет коммутацию на основе таблиц коммутации, составленных относительно адресов сетевого уровня. Эти таблицы могут составляться автоматически, путем наблюдения трафика, вручную или с использованием протоколов маршрутизации. За счет аппаратной реализации большинства операций и отсутствие необходимости деинкапсуляции/инкапсуляции сетевых сообщений, в большинстве случаев работает быстрее маршрутизатора.

Особенности передачи трафика: кадр может передаваться без изменения адресной информации.

Обработка широковещательных сообщений: сообщения могут передаваться или фильтроваться в зависимости от настроек.

Маршрутизатор

Назначение: объединение устройств в сети, работа в качестве узловых точек сети, объединение сегментов сетей в составную сеть.

Принцип работы: объединяет устройства на сетевом уровне. Входящий кадр при поступлении на принимающий порт маршрутизатора подвергается деинкапсуляции на канальном уровне. Адресная информация, содержащаяся в заголовке сетевого пакета, используется для выбора маршрута передачи (порта маршрутизатора через который и шлюза, на который необходимо передать сетевой пакет). Решение принимается на основе записей таблицы маршрутизации, которые могут заносится в нее в ручную или с использованием специальных протоколов маршрутизации. Пакет инкапсулируется в новый кадр канального уровня.

Особенности передачи трафика: единицей передачи данных выступает сетевой пакет. Он передается в порт, определенный по таблице маршрутизации и подвергается инкапсуляции в кадр канального уровня. В качестве адреса назначения канального уровня выступает MAC адрес шлюза.

Обработка широковещательных сообщений: широковещательный трафик канального уровня не передается.

Коммутаторы. Принципы работы. Классификация. Уровни коммутаторов.

Сетевой коммутатор (жарг. свич, свитч от англ. switch — переключатель) — устройство, предназначенное для соединения нескольких узлов компьютерной сети в пределах одного или нескольких сегментов сети. В отличие от концентратора, который распространяет трафик от одного подключенного устройства ко всем остальным, коммутатор передаёт данные только непосредственно получателю, исключение составляет широковещательный трафик (на MAC-адрес FF:FF:FF:FF:FF:FF) всем узлам сети. Это повышает производительность и безопасность сети, избавляя остальные сегменты сети от необходимости (и возможности) обрабатывать данные, которые им не предназначались.

Коммутатор работает на канальном (2) уровне модели OSI и потому в общем случае может только объединять узлы одной сети по их MAC-адресам. 

Принцип :

Коммутатор хранит в памяти таблицу коммутации (хранящуюся в ассоциативной памяти), в которой указывается соответствие MAC-адреса узла порту коммутатора. При включении коммутатора эта таблица пуста, и он работает в режиме обучения. В этом режиме поступающие на какой-либо порт данные передаются на все остальные порты коммутатора. При этом коммутатор анализирует кадры (фреймы) и, определив MAC-адрес хоста-отправителя, заносит его в таблицу на некоторое время. Впоследствии, если на один из портов коммутатора поступит кадр, предназначенный для хоста, MAC-адрес которого уже есть в таблице, то этот кадр будет передан только через порт, указанный в таблице. Если MAC-адрес хоста-получателя не ассоциирован с каким-либо портом коммутатора, то кадр будет отправлен на все порты, за исключением того порта, с которого он был получен. Со временем коммутатор строит таблицу для всех активных MAC-адресов, в результате трафик локализуется. Стоит отметить малую латентность (задержку) и высокую скорость пересылки на каждом порту интерфейса.

Существует три способа коммутации. Каждый из них — это комбинация таких параметров, как время ожидания и надёжность передачи.

С промежуточным хранением (Store and Forward). Коммутатор читает всю информацию в кадре, проверяет его на отсутствие ошибок, выбирает порт коммутации и после этого посылает в него кадр.

Сквозной (cut-through). Коммутатор считывает в кадре только адрес назначения и после выполняет коммутацию. Этот режим уменьшает задержки при передаче, но в нём нет метода обнаружения ошибок.

Бесфрагментный (fragment-free) или гибридный. Этот режим является модификацией сквозного режима. Передача осуществляется после фильтрации фрагментов коллизий (кадры размером 64 байта обрабатываются по технологии store-and-forward, остальные по технологии cut-through).

Различают коммутаторы 2 и 3-го уровней.

Основные функции коммутаторов 2 и 3-го уровней.

Принцип работы: объединяет узлы на канальном уровне. Проходящие кадры фильтруются и продвигаются согласно адресной информации (MAC-адресам), содержащейся в их заголовках. Упрощенно принцип работы коммутатора 2-го уровня сводится к составлению и поддержанию в актуальном состоянии таблицы принадлежности адресов устройств к портам коммутатора и последующей фильтрации проходящего трафика согласно таблице.

Особенности передачи трафика: поступающий на порт коммутатора кадр записывается только в тот порт, к которому подключено устройство с адресом назначения. Остальные порты коммутатора свободны и могут участвовать в обмене данными между друг другом. В случае, если в таблице нет данных об адресе назначения, кадр записывается во все порты устройства. Адресная информация в заголовке кадра канального уровня не изменяется.

Обработка широковещательных сообщений: рассылаются без ограничений.

3левел

Назначение: объединение устройств в сети, работа в качестве узловых точек сети, объединение сегментов сетей в составную сеть.

Принцип работы: может работать в режиме коммутатора 2-го уровня. В режиме коммутатора 3-го уровня осуществляет коммутацию на основе таблиц коммутации, составленных относительно адресов сетевого уровня. Эти таблицы могут составляться автоматически, путем наблюдения трафика, вручную или с использованием протоколов маршрутизации. За счет аппаратной реализации большинства операций и отсутствие необходимости деинкапсуляции/инкапсуляции сетевых сообщений, в большинстве случаев работает быстрее маршрутизатора.

Особенности передачи трафика: кадр может передаваться без изменения адресной информации.

Обработка широковещательных сообщений: сообщения могут передаваться или фильтроваться в зависимости от настроек.

Глобальные сети. Классификация глобальных сетей по применяемой технологии.

Глобальная компьютерная сеть, ГКС (англ. Wide Area Network, WAN) — компьютерная сеть, охватывающая большие территории и включающая в себя большое число компьютеров.

Глобальные сети отличаются от локальных тем, что рассчитаны на неограниченное число абонентов и используют, как правило, не слишком качественные каналы связи и сравнительно низкую скорость передачи, а механизм управления обменом, у них в принципе не может быть гарантировано скорым.

В глобальных сетях намного более важно не качество связи, а сам факт ее существования. Правда, в настоящий момент уже нельзя провести четкий и однозначный предел между локальными и глобальными сетями. Большинство локальных сетей имеют выход в глобальную сеть, но характер переданной информации, принципы организации обмена, режимы доступа к ресурсам внутри локальной сети, как правило, сильно отличаются от тех, что приняты в глобальной сети.

Основными используемыми протоколами являются TCP/IP, SONET/SDH, MPLS, ATM и Frame relay.

Frame relay обеспечивает множество независимых виртуальных каналов (Virtual Circuits, VC) в одной линии связи, идентифицируемых в FR-сети по идентификаторам подключения к соединению (Data Link Connection Identifier, DLCI). Вместо средств управления потоком включает функции извещения о перегрузках в сети. Возможно назначение минимальной гарантированной скорости (CIR) для каждого виртуального канала.

Телефонные сети TDM и FDM. Использование их для передачи данных.

DSL технологии. Виды. Иерархия скоростей. Принципы функционирования.

хDSL (англ. digital subscriber line, цифровая абонентская линия) — семейство технологий, позволяющих значительно повысить пропускную способность абонентской линии телефонной сети общего пользования путём использования эффективных линейных кодов и адаптивных методов коррекции искажений линии на основе современных достижений микроэлектроники и методов цифровой обработки сигнала.

 они должны работать на существующих телефонных линиях, они не должны мешать работе различной аппаратуры абонента, такой как телефонный аппарат, факс и т. д., скорость работы должна быть выше теоретического предела в 56Кбит/сек., и наконец, они должны обеспечивать постоянное подключение.

ADSL24 Мбит/с / 3,5 Мбит/с 5,5 км 1 Доступ в Интернет, голос, видео, HDTV (ADSL2+)

IDSL144 кбит/с 5,5 км 1 Передача данныхHDSL2 Мбит/с 4,5 км 1,2,3 Объединение сетей, услуги E1

SDSL2 Мбит/с 3 км 1 Объединение сетей, услуги E1

VDSL65 Мбит/с / 35 Мбит/с 1,5 км на max. скорости 1 Объединение сетей, HDTVSHDSL2,32 Мбит/с 7,5 км 1 Объединение сетей

UADSL1,5 Мбит/с / 384 кбит/с 3,5 км на max. скорости 1 Доступ в Интернет, голос, видео

Сети с коммутацией пакетов. Общие принципы функционирования.

Коммутация пакетов(англ. packet switching) — принцип коммутации, при котором информация разделяется на отдельные пакеты, которые передаются в сети независимо друг от друга. В таких сетях, по одной физической линии связи, могут обмениваться данными много узлов.

При коммутации пакетов все передаваемые пользователем данные разбиваются передающим узлом на небольшие (до нескольких килобайт) части — пакеты (packet). Каждый пакет оснащается заголовком, в котором указывается, как минимум, адрес узла-получателя и номер пакета. Передача пакетов по сети происходит независимо друг от друга. Коммутаторытакой сети имеют внутреннюю буферную память для временного хранения пакетов, что позволяет сглаживать пульсации трафика на линиях связи между коммутаторами. Пакеты иногда называют дейтаграммами (datagram), а режим индивидуальной коммутации пакетов — дейтаграммным режимом.

Достоинства коммутации пакетов

Эффективность использования пропускной способности

Меньшие затраты

Недостатки коммутации пакетов

Занимают линии связи

Уменьшение ее пропускной способности

Сеть с коммутацией пакетов замедляет процесс взаимодействия каждой конкретной пары узлов, поскольку их пакеты могут ожидать в коммутаторах, пока передадутся другие пакеты. Однако общая эффективность (объем передаваемых данных в единицу времени) при коммутации пакетов будет выше, чем при коммутации каналов. Это связано с тем, что трафик каждого отдельного абонента носит пульсирующий характер, а пульсации разных абонентов, в соответствии с законом больших чисел распределяются во времени, увеличивая равномерность нагрузки.

Архитектура стека TCP/IP. Адресация на разных уровнях.

Стек TCP/IP – это набор иерархически упорядоченных сетевых протоколов.

Название стек получил по двум важнейшим протоколам:

TCP (Transmission Control Protocol);

IP (Internet Protocol).

Стек протоколов TCP/IP обладает двумя важными свойствами:

платформонезависимость;

открытость.

Стек протоколов TCP/IP основан на модели сетевого взаимодействия UDOD и включает в себя протоколы четырёх уровней:

прикладного (application), (Telnet,SMTP,POP3,FTP,NNTP,HTTP,DNS,SSH) (адр. По портам)

транспортного (transport),(TCP,UDP) (адр. По мак-адрессу)

сетевого (network),(IP,ICMP,ARP,DHCP) (адр. По IP)

канального (data link).(Ethernet,PPP,ADSL) (адр. По соккету)

Следует заметить, что нижний уровень модели DARPA (уровень сетевых интерфейсов) не выполняет функции канального и физического уровней, а лишь обеспечивает связь (интерфейс) верхних уровней DARPA с технологиями сетей, входящих в составную сеть (например, Ethernet, FDDI, ATM).

IP-адреса. Классы. Маски. Понятие об IP–сети.

IP-адрес – это уникальный числовой адрес, однозначно идентифицирующий узел, группу узлов или сеть.

IPv4-адрес имеет длину 4 байта и обычно записывается в виде четырех чисел «октетов», разделенных точками – W.X.Y.Z

Каждый октет может принимать значения в диапазоне от 0 до 255.

Различают пять классов : A(1-127),B(128-191),C(192-223),D(224-239),E(240-255).

Маской подсети или маской сети называется битовая маска, определяющая, какая часть IP-адреса узла сети относится к адресу сети, а какая — к адресу самого узла в этой сети. Например, узел с IP-адресом 12.34.56.78 и маской подсети 255.255.255.0 находится в сети 12.34.56.0/24 с длиной префикса 24 бита. 

Заголовок пакета IP v 4. Работа протокола IP.

Версия

Это поле определяет текущую версию протоко-ла IP, по которому работает передающая станция. В настоящее время используется версия 4 и идет работа над версией 6, в которой IP-адрес будет иметь длину не 32 бита, как в версии 4, а 128 бит, что позволит существенно расширить количество компьютеров, подключенных к Интернету.

Длина заголовка

Длину IP-заголовка необходимо указывать, так как она может быть разной в зависимости от длины поля Параметры IP. Длина заголовка задается количеством 32-битных блоков (слов).

Тип службы

Содержит указание на тип маршрута для данного пакета.

Такое указание позволяет правильно выбрать режим передачи данных по сети. Например, для службы IRC (чаты), работающей в режиме реального времени, необходима низкая задержка и высокая пропускная способность. Для службы FTP (передача файлов) подобные условия не требуются.

Поле Тип службы состоит из следующих частей:

· приоритет,

· задержка,

· пропускная способность,

· надежность.

Длина данных

Длина данных (длина пакета без заголовка). Под это поле отведено 16 бит, значит, данные в пакете могут иметь длину до 65 535 байт.

Идентификация

Показывает, какие пакеты относятся к одному и тому же сообщению. В конечном пункте эта информация необходима, чтобы пакеты разных сообщений не перепутались.

Флаги

Содержит специальную пометку для последнего пакета исходного сообщения.

Кроме того, это поле содержит бит отказа от дальнейшей фрагментации. Если маршрутизатор получает пакет, который он должен разделить на части для успешного перенаправления в сеть, не допускающую длинные пакеты, а бит отказа от фрагментации установлен, то пакет будет отброшен, а передающей станции будет послано сообщение об ошибке.

Смещение пакета

В Читальном зале говорилось, что каждый пакет нумеруется, чтобы сообщение в конечном пункте было правильно собрано.

На самом деле пакеты содержат не номера, а смещение в байтах относительно начала сообщения. Это смещение и записывается в этом поле.

Пусть исходное сообщение длиной в 3000 байт разбито на 3 пакета по 1000 байт в каждом. Тогда смещением первого пакета будет число 0, второго — 1001, третьего — 2001 (рис. 5.2).

Рис. 5.2. Сообщение поделено на три пакета

В двоичном виде эти смещения будут записаны так:

 

Время жизни

Определяет интервал времени, в течение которого пакету позволено находиться в сети.

При прохождении через каждый маршрутизатор значение этого поля будет уменьшаться. Маршрутизатор, который уменьшит это поле до нуля, отбросит пакет и проинформирует об этом отправителя.

Протокол

В этом поле указывается, какой протокол должен обработать данный пакет при получении на станции назначения (обычно протокол TCP).

Контрольная сумма

Служит для определения пакетов, поврежденных при передаче. Пакет поврежден, если заново вычисленная контрольная сумма не совпадает со значением, записанным в этом поле. Поврежденные пакеты отбрасываются, а отправителю высылается соответствующее уведомление.

На каждой промежуточной станции меняется значение поля Время жизни и, возможно, поля Параметры IP, поэтому значение поля Контрольная суммакаждая станция для неповрежденных пакетов вычисляет заново.

IP-адрес отправителя

В этом поле записывается 32-битный IP-адрес отправителя сообщения. Адрес используется для посылки уведомлений в стартовый пункт посылки сообщения.

IP-адрес получателя

В этом поле записывается 32-битный IP-адрес получателя сообщения. Определяет станцию назначения пакета.

Параметры IP

В этом поле (переменной длины) маршрутизаторы делают отметки о прохождении пакета (трассировка маршрута). Кроме того, в этом поле записываются параметры безопасности передачи.

Заполнение

Поле не содержит никакой полезной информации. Оно вводится для выравнивания заголовка пакета на 32-битную границу (по соглашению длина заголовка пакета должна быть кратна 32 битам).

Маршрутизация IP. Протоколы маршрутизации RIP2 и OSPF.

Маршрутизация (Routing) — процесс определения маршрута следования информации в сетях связи.

Маршрутизация состоит из двух основных шагов:

Направление пакетов на следующий луч (от входного к выходному интерфейсу в традиционной проводной сети)

Определение того, как направлять пакеты (построение таблицы или определение маршрута)

Легко направить пакеты, однако тяжело узнать

куда (особенно сделать это эффективно):

Найти приемник

Минимизировать количество лучей (длину пути)

Минимизировать задержку

Минимизировать потери пакетов

Минимизировать стоимость

Таблица маршрутизации — электронная таблица (файл) или база данных, хранящаяся на маршрутизаторе или сетевом компьютере, описывающая соответствие между адресами назначения и интерфейсами, через которые следует отправить пакет данных до следующего маршрутизатора. Является простейшей формой правил маршрутизации.

Таблица маршрутизации обычно содержит:

адрес сети или узла назначения, либо указание, что маршрут является маршрутом по умолчанию

маску сети назначения (для IPv4-сетей маска /32 (255.255.255.255) позволяет указать единичный узел сети)

шлюз, обозначающий адрес маршрутизатора в сети, на который необходимо отправить пакет, следующий до указанного адреса назначения

интерфейс (в зависимости от системы это может быть порядковый номер, GUID или символьное имя устройства)

метрику — числовой показатель, задающий предпочтительность маршрута. Чем меньше число, тем более предпочтителен маршрут (интуитивно представляется как расстояние).

Флаги записей присутствуют только в таблице Unix-маршрутизатора. Они описывают характеристики записи:

U - показывает, что маршрут активен и работоспособен. Аналогичный смысл имеет поле «Status» в маршрутизаторе NetBuilder.

Н - признак специфического маршрута к определенному хосту. Маршрут ко всей сети, к которой принадлежит данный хост, может отличаться от данного маршрута.

G - означает, что маршрут пакета проходит через промежуточный маршрутизатор (gateway). Отсутствие этого флага отмечает непосредственно подключенную сеть.

D - означает, что маршрут получен из сообщения Redirect (перенаправление) протокола ICMP. Этот признак может присутствовать только в таблице маршрутизации конечного узла.

Для отображения можно использовать команды netstat –rn или route print.

Маршрутизацию можно классифицировать двумя способами:

Статическая и динамическая

Внешняя и внутренняя

Статическая маршрутизация - вид маршрутизации, при котором маршруты указываются в явном виде при конфигурации маршрутизаторв. Вся маршрутизация при этом происходит без участия каких-либо протоколов маршрутизации.

Основные достоинства:

Лёгкость отладки и конфигурирования в малых сетях.

Отсутствие дополнительных накладных расходов (из-за отсутствия протоколов маршрутизации)

Мгновенная готовность (не требуется интервал для конфигурирования/подстройки)

Низкая нагрузка на процессор маршрутизатора

Предсказуемость в каждый момент времени

Недостатки

Очень плохое масштабирование (добавление (N+1)-ой сети потребует сделать 2*(N+1) записей о маршрутах, причём на большинстве маршрутизаторов таблица маршрутов будет различной, при N>3-4 процесс конфигурирования становится весьма трудоёмким).

Низкая устойчивость к повреждениям линий связи (особенно, в ситуациях, когда обрыв происходит между устройствами второго уровня и порт маршрутизатора не получает статус down).

Отсутствие динамического балансирования нагрузки

Необходимость в ведении отдельной документации к маршрутам, проблема синхронизации документации и реальных маршрутов.

Динамическая маршрутизация — вид маршрутизации, при котором таблица маршрутизации и редактируется программно. В случае UNIX-систем демонами маршрутизации; в других системах — служебными программами, которые называются иначе, но фактически играют ту же роль.

Демоны маршрутизации обмениваются между собой информацией, которая позволяет им заполнить таблицу маршрутизации наиболее оптимальными маршрутами. Протоколы, с помощью которых производится обмен информацией между демонами, называется протоколами динамической маршрутизации.

Протоколы динамической маршрутизации:

RIP

OSPF

EIGRP

BGP

IS-IS

Демоны динамической маршрутизации:

Quagga

GNU Zebra

XORP

Bird

Протокол RIP (Routing Information Protocol — протокол маршрутной информации) был одним из первых протоколов внутренней маршрутизации, применявшихся в Интернете.

Своим происхождением и названием он обязан архитектуре XNS (Xerox Network Systems). Широкое распространение протокола RIP было во многом вызвано тем, что он был включен в версию 1982 года операционной системы Berkeley UNIX, поддерживающей стек протоколов TCP/IP. Протокол RIP версии 1 определен в RFC 1058, обратно совместимая версия 2 этого протокола определена в RFC 2453.

Протокол RIP работает по дистанционно-векторному алгоритму. Версия протокола RIP, специфицированная в RFC 1058, в качестве единиц измерения стоимости маршрутов использует количество ретрансляционных участков, то есть стоимость каждой линии считается равной 1. Максимальная стоимость пути ограничена значением 15, таким образом, диаметр автономной системы, поддерживаемой протоколом RIP, не может превышать 15 ретрансляционных участков.

В протоколе RIP обмен новыми сведениями между соседними маршрутизаторами происходит приблизительно через каждые 30 с, для чего используются так называемые ответные RIP-сообщения (RIP response messages). Ответное RIP-сообщение, посылаемое маршрутизатором или хостом, содержит список, в котором указаны до 25 сетей-адресатов в пределах автономной системы, а также расстояния до каждой из этих сетей от отправителя. Ответные RIP-сообщения также иногда называют RIP-объявлениями.

Как и RIP, протокол OSPF (Open Shortest Path First — открытый протокол выбора кратчайшего маршрута) используется для маршрутизации внутри автономной системы. Слово «Ореn» в названии протокола означает, что спецификация протокола маршрутизации свободно распространяется (в отличие от, к примеру, спецификации протокола EIGRP корпорации Cisco). Последняя (вторая) версия протокола OSPF определена в RFC 2328.

Протокол OSPF считается преемником протокола RIP и обладает рядом дополнительных функций. Однако по своей сути протокол OSPF представляет собой протокол, основанный на учете состоянии линий и использующий метод лавинной рассылки для распространения информации о состоянии линий, а также алгоритм определения пути наименьшей стоимости Дейкстры. Маршрутизатор, работающий по протоколу OSPF, формирует полную топологическую карту (направленный граф) всей автономной системы. Затем маршрутизатор локально запускает алгоритм определения кратчайшего пути Дейкстры, чтобы найти дерево кратчайших путей ко всем сетям автономной системы. Далее из этого дерева кратчайших путей формируется таблица продвижения данных маршрутизатора. Стоимости линий настраиваются сетевым администратором. Администратор может установить стоимости всех линий равными 1, в результате путь наименьшей стоимости совпадет с кратчайшим путем, или установить весовой коэффициент каждой линии обратно пропорциональным пропускной способности линии, чтобы маршрутизаторы старались избегать линий с низкой пропускной способностью. Протокол OSPF не занимается определением стоимости линий (это работа сетевого администратора), а лишь предоставляет механизмы (протокол) определения пути наименьшей стоимости для заданного набора стоимостей линий.

Маршрутизатор, работающий по протоколу OSPF, путем широковещательной рассылки переправляет информацию о маршрутах всем маршрутизаторам автономной системы, а не только соседним. Маршрутизатор рассылает всем информацию о состоянии линий при каждом изменении состояния какой-либо из линий (например, при изменении стоимости или включении/отключении). Он также рассылает информацию о состоянии линий периодически (по меньшей мере, раз в 30 мин), даже если состояние линии не изменилось. В RFC 2328 отмечается, что «эти периодические объявления о состояниях линий увеличивают устойчивость алгоритма, основанного на состоянии линий». Объявления протокола OSPF содержатся в OSPF-сообщениях, напрямую переносимых IP-дейтаграммами, в поле протокола верхнего уровня которых протокол OSPF обозначается кодом 89. Таким образом, протокол OSPF должен сам заниматься такими вопросами, как надежность передачи сообщений и широковещательная рассылка информации о состоянии линий. Протокол OSPF также проверяет работоспособность линий (при помощи сообщения HELLO, посылаемого соседу) и позволяет маршрутизатору OSPF получать информацию из базы данных соседнего маршрутизатора о состоянии линий всей сети.

Порт. Принципы работы TCP. Заголовки TCP и UDP пакетов.

В протоколах TCP и UDP (семейства TCP/IP) порт — идентифицируемый номером системный ресурс, выделяемый приложению, выполняемому на некотором сетевом хосте, для связи с приложениями, выполняемыми на других сетевых хостах (в том числе c другими приложениями на этом же хосте).

Основное правило необходимое для понимания работы порта: 1) Порт может быть занят только одной программой и в этот момент не может использоваться другой. 2) Все программы для связи между собою посредством сети используют порты.

TCP (Transmission Control Protocol)

Transmission Control Protocol (TCP) (протокол управления передачей) — один из основных сетевых протоколов Интернета, предназначенный для управления передачей данных в сетях и подсетях TCP/IP.

Выполняет функции протокола транспортного уровня модели OSI.

TCP — это транспортный механизм, предоставляющий поток данных, с предварительной установкой соединения, за счёт этого дающий уверенность в достоверности получаемых данных, осуществляет повторный запрос данных в случае потери данных и устраняет дублирование при получении двух копий одного пакета. В отличие от UDP гарантирует целостность передаваемых данных и уведомление отправителя о результатах передачи.

Реализация TCP, как правило, встроена в ядро ОС, хотя есть и реализации TCP в контексте приложения.

Когда осуществляется передача от компьютера к компьютеру через Интернет, TCP работает на верхнем уровне между двумя конечными системами, например, браузером и веб-сервером. Также TCP осуществляет надежную передачу потока байтов от одной программы на некотором компьютере к другой программе на другом компьютере. Программы для электронной почты и обмена файлами используют TCP. TCP контролирует длину сообщения, скорость обмена сообщениями, сетевой трафик.

Установка соединения

Процесс начала сеанса TCP - обозначаемое как "рукопожатие" (handshake), состоит из 3 шагов.

1. Клиент, который намеревается установить соединение, посылает серверу сегмент с номером последовательности и флагом SYN.

Сервер получает сегмент, запоминает номер последовательности и пытается создать сокет (буферы и управляющие структуры памяти) для обслуживания нового клиента.

В случае успеха сервер посылает клиенту сегмент с номером последовательности и флагами SYN и ACK, и переходит в состояние SYN-RECEIVED.

В случае неудачи сервер посылает клиенту сегмент с флагом RST.

2. Если клиент получает сегмент с флагом SYN, то он запоминает номер последовательности и посылает сегмент с флагом ACK.

Если он одновременно получает и флаг ACK (что обычно и происходит), то он переходит в состояние ESTABLISHED.

Если клиент получает сегмент с флагом RST, то он прекращает попытки соединиться.

Если клиент не получает ответа в течение 10 секунд, то он повторяет процесс соединения заново.

3. Если сервер в состоянии SYN-RECEIVED получает сегмент с флагом ACK, то он переходит в состояние ESTABLISHED.

В противном случае после тайм-аута он закрывает сокет и переходит в состояние CLOSED.

Процесс называется "трехэтапным согласованием" ("three way handshake"), так как несмотря на то что возможен процесс установления соединения с использованием 4 сегментов (SYN в сторону сервера, ACK в сторону клиента, SYN в сторону клиента, ACK в сторону сервера), на практике для экономии времени используется 3 сегмента.

Передача данных

При обмене данными приемник использует номер последовательности, содержащийся в получаемых сегментах, для восстановления их исходного порядка. Приемник уведомляет передающую сторону о номере последовательности байт, до которой он успешно получил данные, включая его в поле «номер подтверждения». Все получаемые данные, относящиеся к промежутку подтвержденных последовательностей, игнорируются. Если полученный сегмент содержит номер последовательности больший, чем ожидаемый, то данные из сегмента буферизируются, но номер подтвержденной последовательности не изменяется. Если впоследствии будет принят сегмент, относящийся к ожидаемому номеру последовательности, то порядок данных будет автоматически восстановлен исходя из номеров последовательностей в сегментах.

Для того, чтобы передающая сторона не отправляла данные интенсивнее, чем их может обработать приемник, TCP содержит средства управления потоком. Для этого используется поле «окно». В сегментах, направляемых от приемника передающей стороне в поле «окно» указывается текущий размер приемного буфера. Передающая сторона сохраняет размер окна и отправляет данных не более, чем указал приемник. Если приемник указал нулевой размер окна, то передача данных в направлении этого узла не происходит, до тех пор пока приемник не сообщит о большем размере окна.

В некоторых случаях передающее приложение может явно затребовать протолкнуть данные до некоторой последовательности принимающему приложению, не буферизируя их. Для этого используется флаг PSH. Если в полученном сегменте обнаруживается флаг PSH, то реализация TCP отдает все буферизированные на текущий момент данные принимающему приложению. «Проталкивание» используется, например, в интерактивных приложениях. В сетевых терминалах нет смысла ожидать ввода пользователя после того, как он закончил набирать команду. Поэтому последний сегмент, содержащий команду, обязан содержать флаг PSH, чтобы приложение на принимающей стороне смогло начать её выполнение.

Завершение соединения

Завершение соединения можно рассмотреть в три этапа:

Посылка серверу от клиента флагов FIN и ACK на завершение соединения.

Сервер посылает клиенту флаги ответа ACK, FIN, что соединение закрыто.

После получения этих флагов клиент закрывает соединение и в подтверждение отправляет серверу ACK, что соединение закрыто.

Система DNS. Архитектура и принципы работы.

DNS (англ. Domain Name System — система доменных имён) — компьютерная распределённая система для получения информации о доменах. Чаще всего используется для получения IP-адреса по имени хоста (компьютера или устройства), получения информации о маршрутизации почты, обслуживающих узлах для протоколов в домене (SRV-запись).

Распределённая база данных DNS поддерживается с помощью иерархии DNS-серверов, взаимодействующих по определённому протоколу.

Основой DNS является представление об иерархической структуре доменного имени и зонах. Каждый сервер, отвечающий за имя, может делегировать ответственность за дальнейшую часть домена другому серверу (с административной точки зрения — другой организации или человеку), что позволяет возложить ответственность за актуальность информации на серверы различных организаций (людей), отвечающих только за «свою» часть доменного имени.

Начиная с 2010 года, в систему DNS внедряются средства проверки целостности передаваемых данных, называемые DNS Security Extensions (DNSSEC). Передаваемые данные не шифруются, но их достоверность проверяется криптографическими способами.

A-запись (Address) — определяет IP-адрес для указанного имени. Она указывает на физическое расположение сайта. При виртуальном хостинге у множества сайтов будет один IP-адрес, в тоже время к одному имени может быть привязано множество серверов (например для балансировки нагрузки).

NS-запись (Name Server) — указание серверов DNS, обслуживающих данный домен. Адреса DNS-серверов указываются в символьном виде, причем указываются как первичные, так и вторичные сервера. Для увеличения скорости поиска сервера в системе DNS используют первичные и вторичные сервера в разных доменах, так как они имеют различное время оклика и скорость обновления таблиц соответствия имя сайта/IP.

SOA-запись (Start of Authority) — обязательная запись для домена, в которой указывается различная служебная информация — e-mail администратора DNS, имя первичного (авторитативного) DNS-сервера этой зоны, период обновления информации.

MX-запись (Mail eXchanger) — указывает на сервер для приёма электронной почты, приходящую на адреса в указанном домене (вида <имя_ящика>@<домен>). Если у домена не прописана MX-запись, SMTP-сервер направляет запрос на определения IP-адреса домена (A-запись) и почта отправляется на этот IP-адрес.

CNAME-запись (Canonical NAME) — позволяет присваивать хосту псевдоним (алиас). Запись представляет собой ссылку на другое доменное имя (указывающее на A-запись). Эта ссылка используется вместо A-записи с реальным IP-адресом и позволяет связать несколько имен домена с одним реальным хостом, на котором, например, хранятся странички сайта.

Домены верхнего уровня(TLD, Top-Level-Domain) разделены на 3 типа:

Generic – общие или организационные домены(gTLD)

Geographical – 2-х символьные домены, основанные на кодах стран ISO 3166(ccTLD, country code TLD);

ARPA(Address and Routing Parameter Area Domain) – специальный домен, используемый для служебных целей

Когда DNS-сервер получает запрос

на получение ip-адреса какого либо сайта, сначала он подключается к серверу, хранящему информацию о доменах, находящихся в доменной зоне «ru.»

Подключившись к этому серверу, он ищет на нем ip-адрес сервера, хранящего информацию о домене «yandex.», и подключается к нему

Подключившись к серверу yandex.ru, DNS ищет на нем ip-адрес сервера, хранящего информацию о домене mail.ru

Далее найденный адрес посылается обратно отправителю запроса

Классический FireWall. Принципы работы и недостатки.

Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов — динамическую замену внутрисетевых (серых) адресов или портов на внешние, используемые за пределами ЛВС.

традиционный сетевой (или межсетевой) экран — программа (или неотъемлемая часть операционной системы) на шлюзе (сервере, передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.

персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

Возможности: фильтрация доступа к заведомо незащищенным службам;

препятствование получению закрытой информации из защищенной подсети, а также внедрению в защищенную подсеть ложных данных с помощью уязвимых служб;

контроль доступа к узлам сети;

может регистрировать все попытки доступа как извне, так и из внутренней сети, что позволяет вести учёт использования доступа в Интернет отдельными узлами сети;

регламентирование порядка доступа к сети;

уведомление о подозрительной деятельности, попытках зондирования или атаки на узлы сети или сам экран;

Межсетевой экран сам по себе не панацея от всех угроз для сети. В частности, он:

не защищает узлы сети от проникновения через «люки» (англ. back doors) или уязвимости ПО;

не обеспечивает защиту от многих внутренних угроз, в первую очередь — утечки данных;

не защищает от загрузки пользователями вредоносных программ, в том числе вирусов;

NAT. Принципы работы, ограничения, назначение.

NAT (Network Address Translation, "трансляция сетевых адресов“) - технология, реализуемая маршрутизаторами в IP-сетях.

Суть технологии NAT в том, что при инкапсуляции заголовков IP-пакета в ходе его перемещения между своими интерфейсами, маршрутизатор подменяет в пакетах адреса отправителя и/или получателя по определенным правилам.

Механизм NAT определён в RFC 1631, RFC 3022.

Статический NAT;

Динамический NAT;

Перегруженный NAT;

Статический NAT — Отображение незарегистрированного IP-адреса на зарегистрированный IP-адрес на основании один к одному. Особенно полезно, когда устройство должно быть доступным снаружи сети

Динамический NAT — Отображает незарегистрированный IP-адрес на зарегистрированный адрес от группы зарегистрированных IP-адресов. Динамический NAT также устанавливает непосредственное отображение между незарегистрированным и зарегистрированным адресом, но отображение может меняться в зависимости от зарегистрированного адреса, доступного в пуле адресов, во время коммуникации.

Перегруженный NAT (NAPT, NAT Overload, PAT, маскарадинг) — форма динамического NAT, который отображает несколько незарегистрированных адресов в единственный зарегистрированный IP-адрес, используя различные порты. Известен также как PAT (Port Address Translation). При перегрузке каждый компьютер в частной сети транслируется в тот же самый адрес, но с различным номером порта.

Недостатки:

Не все протоколы могут «преодолеть» NAT. Некоторые не в состоянии работать, если на пути между взаимодействующими хостами есть трансляция адресов. Некоторые межсетевые экраны, осуществляющие трансляцию IP-адресов, могут исправить этот недостаток, соответствующим образом заменяя IP-адреса не только в заголовках IP, но и на более высоких уровнях (например, в командах протокола FTP). См. Application-level gateway.

Из-за трансляции адресов «много в один» появляются дополнительные сложности с идентификацией пользователей и необходимость хранить полные логи трансляций.

DoS со стороны узла, осуществляющего NAT — если NAT используется для подключения многих пользователей к одному и тому же сервису, это может вызвать иллюзию DoS-атаки на сервис (множество успешных и неуспешных попыток). Например, избыточное количество пользователей ICQ за NAT приводит к проблеме с подключением к серверу некоторых пользователей из-за превышения допустимой скорости подключений. Частичным решением проблемы является использование пула адресов (группы адресов), для которых осуществляется трансляция.

В некоторых случаях, необходимость в дополнительной настройке (см. Трансляция порт-адрес) при работе с пиринговыми сетями и некоторыми другими программами, в которых необходимо не только инициировать исходящие соединения, но также принимать входящие. Однако, если NAT-устройство и ПО, требующее дополнительной настройки, поддерживают технологию Universal Plug & Play, то в этом случае настройка произойдет полностью автоматически и прозрачно для пользователя.

Применение:

Для обеспечения доступа множества узлов во внешнюю IP сеть через единственный IP-адрес

На рабочих станциях указанный шлюз по умолчанию или gateway

Преобразует служебные заголовки, формирует идентичный IP-пакет

Публикация локальных ресурсов во внешней IP-сети

Экономическая выгода вследствие приобретения единственного IP-подключения, а не IP-сети.

Сокрытие от внешнего наблюдателя структуры внутренней IP-сети.

Организация системы с распределенной нагрузкой.

При общем доступе через NAT прозрачно открывается доступ к внутренней структуре с защитой без использования межсетевого экрана и т. п.

Через NAT корректно работают многие сетевые протоколы. Конструктивные реализации (общий доступ — это и есть подключение NAT) есть аппаратная реализация NAT (интегрированы межсетевые экраны).

Proxy. Принципы работы, ограничения, назначение.

Прокси-сервер (от англ. proxy — «представитель, уполномоченный») — служба (комплекс программ), позволяющая клиентам выполнять косвенные запросы к другим сетевым службам. Сначала клиент подключается к прокси-серверу и запрашивает какой-либо ресурс (например, email), расположенный на другом сервере. Затем прокси-сервер либо подключается к указанному серверу и получает ресурс у него, либо возвращает ресурс из собственного кэша (в случаях, если прокси имеет свой кэш). В некоторых случаях запрос клиента или ответ сервера может быть изменён прокси-сервером в определённых целях. Также прокси-сервер позволяет защищать клиентский компьютер от некоторых сетевых атак и помогает сохранять анонимность клиента.

Прозрачный прокси — схема связи, при которой трафик, или его часть, перенаправляется на прокси-сервер неявно (средствами маршрутизатора). При этом клиент может использовать все преимущества прокси-сервера без дополнительных настроек браузера (или другого приложения для работы с интернет).

Прямой прокси - отличается только тем, что пользователи сами в своих программах делают настройки, для работы с прокси-сервером.

Обратный прокси — прокси-сервер, который в отличие от прямого, ретранслирует запросы клиентов из внешней сети на один или несколько серверов, логически расположенных во внутренней сети. Часто используется для балансировки сетевой нагрузки между несколькими веб-серверами и повышения их безопасности, играя при этом роль межсетевого экрана на прикладном уровне.

Анонимный прокси сервер не передает информации о вашем реальном IP адресе. Это значит что вы как привидение в интернете, никому не известно о вашем реальном место положении и по этой простой причине, просто невозможно установить скрытое соединение с вашим ПК, для похищение информации.

Элитные прокси самые "скрытные", они имеют все преимущества анонимных прокси серверов с точки зрения скрытия вашего реального IP, но плюс ко всему они ПЫТАЮТСЯ скрыть сам факт использования прокси сервера при запросе. Другими словами, они ведут себя таким образом, что создают впечатлени, что вы вовсе не использовали прокси для запроса и IP адрес который вы передаете серверу, ваш реальный адрес.

Чаще всего прокси-серверы применяются для следующих целей:

Обеспечение доступа с компьютеров локальной сети в Интернет.

Кэширование данных: если часто происходят обращения к одним и тем же внешним ресурсам, то можно держать их копию на прокси-сервере и выдавать по запросу.

Сжатие данных: прокси-сервер загружает информацию из Интернета и передаёт информацию конечному пользователю в сжатом виде. Такие прокси-серверы используются в основном с целью экономии внешнего трафика клиента или внутреннего — компании.

Защита локальной сети от внешнего доступа: например, можно настроить прокси-сервер так, что локальные компьютеры будут обращаться к внешним ресурсам только через него, а внешние компьютеры не смогут обращаться к локальным вообще (они «видят» только прокси-сервер).

Ограничение доступа из локальной сети к внешней: например, можно запретить доступ к определённым веб-сайтам, ограничить использование интернета каким-то локальным пользователям, устанавливать квоты на трафик или полосу пропускания, фильтровать рекламу и вирусы.

Анонимизация доступа к различным ресурсам. Прокси-сервер может скрывать сведения об источнике запроса или пользователе. В таком случае целевой сервер видит лишь информацию о прокси-сервере, например, IP-адрес, но не имеет возможности определить истинный источник запроса. Существуют также искажающие прокси-серверы, которые передают целевому серверу ложную информацию об истинном пользователе.

Обход ограничений доступа. Прокси-серверы популярны среди пользователей несвободных стран, где доступ к некоторым ресурсам ограничен законодательно и фильтруется.

Темы практических вопросов

(выполнять практические задачи можно в MS Windows 2003 или в Linux по требованию преподавателя):

Коммутаторы Ethernet. (По описанию коммутатора определить подойдет ли он для решения описанной задачи. Описание будет дано или в виде документации или в виде страницы на сайте производителя).

Коммутаторы Ethernet. (Подобрать коммутатор(ы) для решения конкретной задачи).

Определение и изменение MAC адресов сетевых интерфейсов.

Ipconfig/allifconfig –a

Изменение в винд. В настройках подключения

Определение и изменение параметров IP (адрес, маска, шлюз по умолчанию) по заданным критериям c помощью GUI и с помощью утилит командной строки.

Ipconfig/all

netsh interface ip set address local static 123.123.123.123 255.255.255.0

netsh interface ip set address name="Local Area Connection" source=dhcp

Проверка доступности хостов по IP-сети, проверка маршрута прохождения пакета по сети.

Pingtraceroute

Извлечение записей с DNS-сервера с помощью утилит командой строки.

ipconfig/displaydnsвывод DNS

Планирование и конфигурирование DNS-сервера под Windows 2003 или bind\Linux (последнее по желанию).

netsh interface ip set dns "Подключение по локальной сети" static 192.9.0.100

/registerdnsОбновление всех зарезервированных адресов DHCP и перерегистрация имен DNS.

ipconfig/ flushdnsочистка DNS

Составление, дополнение и изменение таблиц маршрутизации по схеме сети.

Определение по предоставленным правилам фильтрации Firewall, доступности сервисов.

Составление правил Firewall по заданным критериям.

Команды по созданию правил Windows-брандмауэра

sc config "SharedAccess" start= auto

sc start "SharedAccess"

netsh firewall set logging "%windir%\logfile.log"

sc config "TlntSvr" start= demand

netsh firewall add allowedprogram program =” %windir%\system32\tlntsvr.exe” name = tlntsvr mode = enable scope = subnet

netsh firewall set icmpsetting type=all mode=enable

sc start “TlntSvr”

Список правил iptables

iptables -A OUTPUT --dport 53 -d 194.85.32.18

iptables -A OUTPUT --dport 80 -d proxy.ifmo.ru

iptables -A OUTPUT --dport 49152:65534 -d ftp.ifmo.ruiptables -A OUTPUT --dport 110

iptables -A OUTPUT --dport 25 -d mail.ifmo.ru

iptables -A INPUT --dport 22 -s 83.0.0.0/16

iptables -A INPUT -s 10.10.11.173 -j DROP

iptables -A INPUT -p icmp -j DROP

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP




Похожие работы:

«ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "АДАМАС-ЮВЕЛИРТОРГ"ПРИКАЗ 20.10.2015_№ 864/6-п Москва О проведении рекламных Кросс-промо акций В целях стимулирования покупательского спроса и увеличения объема продажПРИКАЗЫВАЮ: В период с 20.10.2015 п...»

«HYPERLINK http://www.13info.jino.ru/?p=804 \o Постоянная ссылка: Правила поведения на ЕГЭ Правила поведения на ЕГЭ и ГИАПо прибытии в ППЭ все участники ЕГЭ (ГИА) должны: явиться в ППЭ в день и время, указанные в пропуске, имея при себе:пропуск на ЕГЭ (ГИА) (заполненный и зарегистрированный);документ, удостоверяющий личность (далее –...»

«Дело № 2-30/2014ЗАОЧНОЕ РЕШЕНИЕИМЕНЕМ РОССИЙСКОЙ ФЕДЕРАЦИИ 20 января 2014 года г. Москва Мировой судья судебного участка № 383 Мещанского района г. Москвы Топтыгина Т.С., при секретаре Кудиновой Ю.В., рассмотрев в открытом судебном заседании гражданское дело № 2-30/2014 по иску ОАО АКБ "Банк Москвы" к Куркиной Н.А. о...»

«СВЕДЕНИЯ о доходах, имуществе и обязательствах имущественного характера председателя Октябрьского районного Совета народных депутатов за период с 1 января по 31 декабря 2015 года Декларированный годовой доход за год 2015 (руб.) Перечень объектов недвижимого имущества и транспортных средств, принадлежащ...»

«Муниципальное бюджетное образовательное учреждение дополнительного образования "Детско-юношеская спортивная школа № 1" Методическая разработка Тема: "Правила игры вратаря". Адресат: тренер-препода...»

«УТВЕРЖДАЮ: [Наименование должности] [Наименование организации] /[Ф.И.О.]/ "" 20 г.ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ Аппаратчик рафинирования крахмала 2-го разряда1. Общие положения1.1. Настоящая должностная инструкция определяет функциональные обязанности, п...»

«8071485-67119500Прайс-лист на ремонтно-отделочные работы Наименование работ Единица измерения Цена работ, руб.1. Расценка на демонтажные работы Демонтаж стен (перегородок) кирпичных (1/4, 1/2) и шлакоблочных м2 250,00 Демонтаж существующих железобетонных конструкций м.куб2500,00...»

«Приложение к распоряжению администрации муниципального образования "Город Астрахань" от№ Приложение к распоряжению администрации муниципального образования "Город Астрахань" от 10.03.2016 № 165-р Закрепление муниципа...»

«Содержание организованной деятельности детей. Воспитатель. Ребята, посмотрите как оформлен наш зал. Как много гостей у нас сегодня собралось. Давайте поздороваемся с ними. Здравствуйте дорогие гости! Ребята, мы сегодня собрались чтобы поговорить о хлебе. С хлебом и с солью...»

«Итоговый тест за курс 10 класса. (Основы цитологии. Многообразие организмов. Размножение и онтогенез. Основы генетики и селекции)Вариант 1.Часть А. А1. Цитология изучает уровень организации живого клеточный организменный био...»

«Тесты в 7 классе по теме "Птицы". Вариант-11.Наука, изучающая птиц:А)ихтиологияВ)арахнологияС)орнитологияD)гельминтология2)Приспособленность птиц к полету-это наличие:А)сложного крестеца;В)цевки на нижних к...»

«Центр амбулаторной хирургии Прейскурант на услуги взрослой хирургии и онколога № п/пНаименование Цена, руб.1.1 Первичный приём 4001.2 Повторный приём 250 2 Хирургия грыж 2.1. Пупочная грыжа пластика местными тканями, местная анестезия 100002.2 Паховая грыжа пластика м...»

«Содержание1. Введение в анализ и дифференциальное исчисление функции одного переменного2. Дифференциальное исчисление функций и его приложение3. Интегральное исчисление функции одного переменного1. Введение в анализ и д...»







 
2017 www.docx.lib-i.ru - «Бесплатная электронная библиотека - интернет материалы»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.