Диплом Здійснення авторізації доступу до каналів компютерних мереж
Работа добавлена на сайт bukvasha.net: 2015-10-24Поможем написать учебную работу
Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
ЗМІСТ
Вступ
1. Аналіз організації передачі даних по каналах комп’ютерних мереж
1.1 Архітектура каналів комп’ютерних мереж
1.2 Передача даних по каналам локальних мережах
1.3 Передача даних по каналам глобальних та корпоративних мереж
1.4 Висновок
2. Фізична сутність та порядок організації каналів комп’ютерних мереж
2.1 Структурована кабельна система комп’ютерної мережі
2.2 Кабель кручена пара
2.3. Коаксіальний кабель
2.4 Оптоволоконний кабель
2.5 Висновок
3. Сутність існуючих методів доступу до каналів комп’ютерних мереж
3.1 Метод доступу до каналів комп’ютерних мереж з перевіркою несучої та виявленням колізій CSMA/CD
3.2 Методи подолання колізій
3.3 Метод маркерного доступу в локальних мережах з різною топологією
3.4 Висновок
4. Засоби здійснення авторизації доступу до каналів комп’ютерних мереж
4.1 Місце процесів авторизації доступу при організації інформаційних систем на основі комп’ютерних мереж
4.2 Настройка мережевих служб для здійснення авторизації доступу до мережі Інтернет
4.2.1 Авторизація на основі логіна і пароля
4.2.2 Авторизація через облікові записи Windows
4.2.3 Практичне вирішення побудови системи авторизації через Windows домен
4.3 Практичні рекомендації щодо забезпечення доступу до каналів комп’ютерної мережі підприємства
4.3.1 Авторизація доступу на фізичному рівні організації комп’ютерних мереж
4.3.2 Авторизація доступу на канальному рівні організації комп’ютерних мереж
4.3.3 Авторизація доступу на мережевому рівні організації комп’ютерних мереж
4.3.3 Авторизація доступу на транспортному рівні організації комп’ютерних мереж
4.4 Висновок
ВИСНОВКИ
Список використаних джерел
Вступ
Тільки в мережі з повнозв’язною топологією для з'єднання кожної пари комп'ютерів є окремий канал. У решті випадків неминуче виникає питання про те, як організувати сумісне використання каналів комп’ютерних мереж кількома комп'ютерами мережі. Як завжди при розділенні ресурсів, головною метою тут є здешевлення мережі.
У комп’ютерних мережах використовують як індивідуальні лінії зв'язку між комп'ютерами, так загальні поділювані (shared) лінії, коли одна лінія зв'язку почергово використовується кількома комп'ютерами. У разі застосування поділюваних ліній зв'язку (часто використовується також термін поділюване середовище передачі даних – shared media) виникає комплекс проблем, пов'язаних з їх сумісним використанням, який включає як чисто електричні проблеми забезпечення потрібної якості сигналів при підключенні до одного і того ж дроту кількох приймачів і передавачів, так і логічні проблеми розділення в часі доступу до цих ліній.
Класичним прикладом мережі з поділюваними лініями зв'язку є мережі з топологією «загальна шина», в яких один кабель спільно використовується всіма комп'ютерами мережі. Жоден з комп'ютерів мережі у принципі не може індивідуально, незалежно від всіх інших комп'ютерів мережі, використовувати кабель, оскільки при одночасній передачі даних відразу декількома вузлами сигнали змішуються і спотворюються. У токологіях «кільце» або «зірка» індивідуальне використання ліній зв'язку, що сполучають комп'ютери, принципово можливе, але ці кабелі часто також розглядають як поділюваний ресурс мережі для всіх комп'ютерів, так що, наприклад, тільки один комп'ютер кільця має право в даний момент часу відправляти по кільцю пакети іншим комп'ютерам.
Існують різні способи рішення задачі організації доступу до каналів компьютерних мереж. Усередині комп'ютера проблеми розділення ліній зв'язку між різними модулями також існують – прикладом є доступ до системної шини, яким управляє або процесор, або спеціальний арбітр шини. У мережах організація сумісного доступу до ліній зв'язку має свою специфіку через істотно більший час розповсюдження сигналів по довгих лініях, до того ж цей час для різних пар комп'ютерів може бути різним. Через це процедури узгодження доступу до лінії зв'язку можуть займати дуже великий проміжок часу і приводити до значних втрат продуктивності мережі.
Не дивлячись на всі ці складнощі, в локальних мережах поділювані лінії зв'язку використовуються дуже часто. Цей підхід, зокрема, реалізований в широко поширених класичних технологіях Ethernet і Token Ring. Проте останніми роками намітилася тенденція відмови від середовищ передачі даних, що розділяються, і в локальних мережах. Це пов'язано з тим, що за здешевлення мережі, що досягається таким чином, доводиться розплачуватися продуктивністю.
Мережа з поділюваним середовищем при великій кількості вузлів працюватиме завжди повільніше, ніж аналогічна мережа з індивідуальними лініями зв'язку, оскільки пропускна спроможність каналу одному комп'ютеру, а при її сумісному використанні – ділиться на всі комп'ютери мережі.
Часто з такою втратою продуктивності миряться ради збільшення економічної ефективності мережі. Не тільки у класичних, але і в зовсім нових технологіях, розроблених для локальних мереж, зберігається режим поділюваних ліній зв'язку. Наприклад, розробники технології Gigabit Ethernet, прийнятої в 1998 році як новий стандарт, включили режим розділення передавального середовища в свої специфікації разом з режимом роботи по індивідуальних лініях зв'язку.
При використанні індивідуальних каналів зв'язку в повнозв'язних топологіях кінцеві вузли повинні мати по одному порту на кожну лінію зв'язку. У зіркоподібних топологіях кінцеві вузли можуть підключатися індивідуальними лініями зв'язку до спеціального пристрою – комутатору. У глобальних мережах комутатори використовувалися вже на початковому етапі, а в локальних мережах – з початку 90-х років. Комутатори приводять до подорожчання локальної мережі, тому поки їх застосування обмежене, але по мірі зниження вартості комутації цей підхід, можливо, витіснить застосування поділюваних ліній зв'язку. Необхідно підкреслити, що індивідуальними в таких мережах є тільки лінії зв'язку між кінцевими вузлами і комутаторами мережі, а зв'язки між комутаторами залишаються поділюваними, оскільки по ним передаються повідомлення різних кінцевих вузлів.
У глобальних мережах відмова від поділюваних ліній зв'язку пояснюється технічними причинами. Тут великі часові затримки розповсюдження сигналів принципово обмежують застосовність техніки розділення лінії зв'язку. Комп'ютери можуть витратити більше часу на переговори про те, кому зараз можна використовувати лінію зв'язку, ніж безпосередньо на передачу даних по цій лінії зв'язку. Проте це не відноситься до каналів зв'язку типу «комутатор-комутатор». В такому випадку тільки два комутатори борються за доступ до каналу мережі, і це істотно спрощує завдання організації сумісного його використання. Тому питання авторизації доступу до каналів комп’ютерних мереж і досі є вельми актуальним.
Виходячи з цього, метою даної роботи є дослідження засобів здійснення авторизації доступу до каналів комп’ютерних мереж.
Для досягнення поставленої мети в роботі слід вирішити наступні завдання:
1. Провести класифікацію методів доступу до каналів зв’язку в комп’ютерних мережах.
2. Проаналізувати особливості фізичної організації каналів комп’ютерних мереж.
3. Детально дослідити принципи і суть організації доступу до каналів комп’ютерних мереж з перевіркою несучої.
4. Детально дослідити принципи і суть організації доступу до каналів комп’ютерних мереж на основі маркеру.
5. Обґрунтувати технічні засоби здійснення авторизації доступу до каналів комп’ютерних мереж.
6. Обґрунтувати місце процесів авторизації доступу при організації інформаційних систем на основі комп’ютерних мереж.
7. Здійснити практичну настройку мережевих служб для авторизації доступу до мережі Інтернет.
8. Розробити рекомендації щодо забезпечення доступу до каналів комп’ютерної мережі підприємства.
РОЗДІЛ 1
Аналіз організації передачі даних по каналах комп’ютерних мереж
1.1 Архітектура каналів комп’ютерних мереж
Комп’ютерна мережа (КМ) – це складна розподілена система, що включає широку номенклатуру технологічних засобів (робочі станції, мережні адаптери, концентратори, модеми, комунікаційне й інше устаткування).
Специфічним для КМ є поняття структури, що розкриває схему зв’язків і взаємодії між елементами. Тут це поняття виявляється недостатнім для того, щоб однозначно виділити складові частини мереж, оскільки структура їх є динамічною, що змінюється з часом. Крім того, велика КМ представляє множину різних структур. У зв’язку з цим в теорії мереж вводиться спеціальне поняття "архітектура мережі", що, з одного боку, доповнює опис, обумовлений структурами, а з іншого є досить самостійним у тому розумінні, що для тих самих структурних варіантів можуть бути запропоновані найрізноманітніші рішення з інших питань побудови мереж.
Архітектура каналів КМ – це принцип побудови мережі, що виражає єдність і взаємозв’язок фізичної та логічної структур.
Фізична структура КМ – це схема зв’язків компонентів мережі, таких, як середовище передачі даних, апаратура передачі даних, вузли мережі з комплексом апаратури, обчислювальні комплекси, термінальні пристрої, робочі станції.
Логічна структура КМ – це принципи встановлення зв’язків, алгоритми організації процесів і управління ними, що визначають логіку функціонування програмних і апаратних засобів.
Фізична структура КМ. Фізичну структуру можна представити у вигляді схеми, представленої на рис. 1.1.
Вузли А, B, ..., М, зв’язані між собою каналами передачі даних, утворюють одну з важливих складових частин КМ – мережу передачі даних (МПД). Кожен з вузлів через апаратуру передачі даних (АПД) з’єднаний з одним із кінцевих абонентських пунктів. За призначенням і складом технічних засобів кінцеві пункти дуже відрізняються один від одного, ними можуть бути як локальні мережі, так і робочі станції, термінальні пристрої і т.д.
У принципі, можлива і більш докладна конкретизація фізичної структури, що застосовується, наприклад, при технічному проектуванні КМ.
У фізичну структуру мережі входять:
фізичне середовище передачі (кабельні системи, канали зв’язку); комутаційне устаткування (концентратори, комутатори, маршрутизатори);
робочі станції (персональні обчислювальні машини з мережними адаптерами);
спеціалізовані комп’ютери (сервери, шлюзи і т.д.).
Рис. 1.1. Приклад фізичної структури КМ
Фізична структура дозволяє визначити кількість комутаційного устаткування (наприклад, 1 комутатор, 3 концентратори) кількість користувачів, що підключаються, управляючі станції, і т.д.
Логічна структура КМ. Спрощено в загальному вигляді вона визначає з’єднання і взаємодію двох принципово різних за призначенням і функціями складових частин архітектури КМ: множини автономних інформаційних підсистем {Nt} (визначених вище як множина інформаційних вузлів) і множини {Li} засобів їх зв’язку та взаємодії (фізичні засоби з’єднань) (рис. 1.2.)
Рис. 1.2. Приклад логічної структури КМ
Ця особливість враховується при проектуванні мереж дотриманням спеціальних рекомендацій і угод між різними країнами. Можливість функціонування різнотипних комп’ютерів у складі КМ може бути забезпечена тільки в тому випадку, якщо при існуючій відмінності в архітектурі, програмному й апаратному забезпеченні всі ці ЕОМ відповідають деяким єдиним системним стандартам, або існує стик, що забезпечує єдність інтерфейсів і правил взаємного з’єднання. При розробці проектів мереж враховуються також вимоги міжнародних організацій і комітетів, що мають відношення до інформаційних систем. Інтенсивні роботи в даному напрямку вже декілька десятиліть ведуться рядом міжнародних організацій, таких як Міжнародна організація стандартів (МОС – ISO), Міжнародна спілка з телекомунікацій (МСТ – ITU), раніше відома як Міжнародний консультативний комітет з телефонії і телеграфії (МККТТ – CCITT), Європейська асоціація виробників комп’ютерів (ЄАВК – ЕСМА) та ін.
Найвідомішою концепцією організації КМ є базова еталонна модель взаємодії відкритих систем, яку розроблено Міжнародною організацією стандартів (стандарт ISO 7498).
Великі фірми-виробники комп’ютерних мереж запропонували свої моделі мережної архітектури для глобальних мереж: SNA – системна мережна архітектура фірми ІВМ, DNA – мережна архітектура фірми DEC. Серед стандартів на локальні комп’ютерні мережі – найбільш поширений ІЕЕЕ 802, розроблений Інститутом інженерів з електротехніки і електроніки (США), який одержав статус міжнародного стандарту ISO 8802 для локальних мереж, що використовуються при автоматизації промислового виробництва.
У межах тієї або іншої архітектури КМ повинна забезпечуватись погоджена взаємодія різних її структур. Так, при деякій логічній структурі, яка відповідає прийнятій архітектурі КМ, може бути побудована множина фізичних структур, що впливають на властивості та можливості мережі. У свою чергу, наприклад, логічна структура КМ у достатній мірі визначає властивості архітектури КМ у цілому. Логічна структура визначає порядок дій, правил і умов, у яких повинні виконуватися дії, обумовлені мережними протоколами. Вони являють собою узагальнений алгоритм інформаційного процесу, що протікає в КМ. У мережі можуть мати місце практично всі складові КМ і такі відповідні ним процедури, як формування повідомлень, що надходять від різних джерел інформації, введення їх по відповідних каналах, попереднє опрацювання, організація і виконання при необхідності комутаційних процедур, безпосередньо передача, прийом і т.д.
1.2 Передача даних по каналам локальних мережах
При передачі дискретних даних по каналах зв'язку застосовуються два основні типи фізичного кодування - на основі синусоїдального несучого сигналу і на основі послідовності прямокутних імпульсів. Перший спосіб часто називається також модуляцією або аналоговою модуляцією, підкреслюючи той факт, що кодування здійснюється за рахунок зміни параметрів аналогового сигналу. Другий спосіб звичайно називають цифровим кодуванням. Ці способи відрізняються шириною спектру результуючого сигналу і складністю апаратури, необхідної для їх реалізації.
При використовуванні прямокутних імпульсів спектр результуючого сигналу виходить вельми широким. Це не дивно, якщо пригадати, що спектр ідеального імпульсу має нескінченну ширину. Застосування синусоїди приводить до спектру набагато меншої ширини при тій же швидкості передачі інформації. Проте для реалізації синусоїдальної модуляції потрібна складніша і дорожча апаратура, ніж для реалізації прямокутних імпульсів.
В даний час все частіше дані, що спочатку мають аналогову форму - мову, телевізійне зображення, - передаються по каналах зв'язку в дискретному вигляді, тобто у вигляді послідовності одиниць і нулів. Процес представлення аналогової інформації в дискретній формі називається дискретною модуляцією. Терміни «модуляція» і «кодування» часто використовують як синоніми.
При цифровому кодуванні дискретної інформації застосовують потенційні і імпульсні коди.
У потенційних кодах для представлення логічних одиниць і нулів використовується тільки значення потенціалу сигналу, а його перепади, що формують закінчені імпульси, до уваги не беруться. Імпульсні коди дозволяють представити двійкові дані або імпульсами певної полярності, або частиною імпульсу - перепадом потенціалу певного напряму.
При використовуванні прямокутних імпульсів для передачі дискретної інформації необхідно вибрати такий спосіб кодування, який одночасно досягав би декількох цілей:
мав при одній і тій же бітовій швидкості якнайменшу ширину спектру результуючого сигналу;
забезпечував синхронізацію між передавачем і приймачем;
володів здатністю розпізнавати помилки;
володів низькою вартістю реалізації.
Вужчий спектр сигналів дозволяє на одній і тій же лінії (з однією і тією ж смугою пропускання) добиватися вищої швидкості передачі даних. Крім того, часто до спектру сигналу пред'являється вимога відсутності постійної складової, тобто наявність постійного струму між передавачем і приймачем. Зокрема, застосування різних трансформаторних схем гальванічної розв'язки перешкоджає проходженню постійного струму.
Синхронізація передавача і приймача потрібна для того, щоб приймач точно знав, в який момент часу необхідно прочитувати нову інформацію з лінії зв'язку. Ця проблема в мережах розв'язується складніше, ніж при обміні даними між близько розташованими пристроями, наприклад між блоками усередині комп'ютера або ж між комп'ютером і принтером. На невеликих відстанях добре працює схема, заснована на окремій тактуючій лінії зв'язку (рис. 1.3), так що інформація знімається з лінії даних тільки у момент приходу тактового імпульсу. У мережах використовування цієї схеми викликає труднощі через неоднорідність характеристик провідників в кабелях. На великих відстанях нерівномірність швидкості розповсюдження сигналу може привести до того, що тактовий імпульс прийде настільки пізніше або раніше відповідного сигналу даних, що біт даних буде пропущений або лічений повторно.
Рис. 1.3. Синхронізація приймача і передавача на невеликих відстанях
Іншою причиною, по якій в мережах відмовляються від використовування тактуючих імпульсів, є економія провідників в дорогих кабелях.
Тому в мережах застосовуються так звані коди, що самосинхронізуються, сигнали яких несуть для передавача вказівки про те, в який момент часу потрібно здійснювати розпізнавання чергового біта (або декількох біт, якщо код орієнтований більш ніж на два стани сигналу). Будь-який різкий перепад сигналу - так званий фронт - може служити хорошою вказівкою для синхронізації приймача з передавачем.
При використовуванні синусоїд як несучий сигнал результуючий код володіє властивістю самосинхронізації, оскільки зміна амплітуди несучої частоти дає можливість приймачу визначити момент появи вхідного коду.
Розпізнавання і корекцію спотворених даних складно здійснити засобами фізичного рівня, тому найчастіше цю роботу беруть на себе протоколи, що лежать вище: канальний, мережний, транспортний або прикладний. З другого боку, розпізнавання помилок на фізичному рівні економить час, оскільки приймач не чекає повного приміщення кадру в буфер, а відбраковує його відразу при розпізнаванні помилкових біт усередині кадру.
Вимоги, що пред'являються до методів кодування, є взаємно суперечливими, тому кожний з даних нижче популярних методів цифрового кодування володіє своїми перевагами і своїми недоліками в порівнянні з іншими.
На рис. 1.4, а показаний вже згаданий раніше метод потенційного кодування, званий також кодуванням без повернення до нуля (Non Return to Zero, NRZ). Остання назва відображає ту обставину, що при передачі послідовності одиниць сигнал не повертається до нуля протягом такту (як ми побачимо нижче, в інших методах кодування повернення до нуля в цьому випадку відбувається). Метод NRZ простий в реалізації, володіє хорошою розпізнаваною помилок (через два різко відмінні потенціали), але не володіє властивістю самосинхронізації. При передачі довгої послідовності одиниць або нулів сигнал на лінії не змінюється, тому приймач позбавлений можливості визначати по вхідному сигналу моменти часу, коли потрібно в черговий раз прочитувати дані. Навіть за наявності високоточного тактового генератора приймач може помилитися з моментом знімання даних, оскільки частоти двох генераторів ніколи не бувають повністю ідентичними. Тому при високих швидкостях обміну даними і довгих послідовностях одиниць або нулів невелике розузгодження тактових частот може привести до помилки в цілий такт і, відповідно, читанню некоректного значення біта.
Рис. 1.4. Способи дискретного кодування даних
Іншим серйозним недоліком методу NRZ є наявність низькочастотної складової, яка наближається до нуля при передачі довгих послідовностей одиниць або нулів. Через це багато каналів зв'язку, не забезпечуючі прямого гальванічного з'єднання між приймачем і джерелом, цей вид кодування не підтримують. В результаті в чистому вигляді код NRZ в мережах не використовується. Проте використовуються його різні модифікації, в яких усувають як погану самосинхронізацію коду NRZ, так і наявність постійної складової. Привабливість коду NRZ, через яку має сенс зайнятися його поліпшенням, полягає в достатньо низькій частоті основної гармоніки f0, яка рівна N/2 Гц, як це було показано в попередньому розділі. У інших методів кодування, наприклад манчестерського, основна гармоніка має вищу частоту.
Однією з модифікацій методу NRZ є метод біполярного кодування з альтернативною інверсією (Bipolar Alternate Mark Inversion, AMI). У цьому методі (рис. 1.4, б) використовуються три рівні потенціалу - негативні, нульові і позитивні. Для кодування логічного нуля використовується нульовий потенціал, а логічна одиниця кодується або позитивним потенціалом, або негативним, при цьому потенціал кожної нової одиниці протилежний потенціалу попередньою.
Код AMI частково ліквідовує проблеми постійної складової і відсутності самосинхронізації, властиві коду NRZ. Це відбувається при передачі довгих послідовностей одиниць. У цих випадках сигнал на лінії є послідовністю різнополярних імпульсів з тим же спектром, що і у коду NRZ, що передає нулі, що чергуються, і одиниці, тобто без постійної складової і з основною гармонікою N/2 Гц (де N - бітова швидкість передачі даних). Довгі ж послідовності нулів також небезпечні для коду AMI, як і для коду NRZ - сигнал вироджується в постійний потенціал нульової амплітуди. Тому код AMI вимагає подальшого поліпшення, хоча задача спрощується - залишилося справитися тільки з послідовностями нулів.
В цілому, для різних комбінацій біт на лінії використовування коду AMI приводить до вужчого спектру сигналу, ніж для коду NRZ, а значить, і до вищої пропускної спроможності лінії. Наприклад, при передачі одиниць, що чергуються, і нулів основна гармоніка fo має частоту N/4 Гц. Код AMI надає також деякі можливості по розпізнаванню помилкових сигналів. Так, порушення строгого чергування полярності сигналів говорить про помилковий імпульс або зникнення з лінії коректного імпульсу. Сигнал з некоректною полярністю називається забороненим сигналом (signal violation).
У коді AMI використовуються не два, а три рівні сигналу на лінії. Додатковий рівень вимагає збільшення потужності передавача приблизно на 3 дБ для забезпечення тієї ж достовірності прийому біт на лінії, що є загальним недоліком кодів з декількома станами сигналу в порівнянні з кодами, які розрізняють тільки два стани.
Існує код, схожий на AMI, але тільки з двома рівнями сигналу. При передачі нуля він передає потенціал, який був встановлений в попередньому такті (тобто не міняє його), а при передачі одиниці потенціал інвертується на протилежний. Цей код називається потенційним кодом з інверсією при одиниці (Non Return to Zero with ones Inverted, NRZI). Цей код зручний в тих випадках, коли використовування третього рівня сигналу вельми небажане, наприклад в оптичних кабелях, де стійко розпізнаються два стани сигналу - світло і темнота.
Для поліпшення потенційних кодів, подібних AMI і NRZI, використовуються два методи. Перший метод заснований на додаванні в початковий код надмірних біт, що містять логічні одиниці. Очевидно, що в цьому випадку довгі послідовності нулів уриваються і код стає тим, що самосинхронізується для будь-яких передаваних даних. Зникає також постійна складова, а значить, ще більш звужується спектр сигналу. Але цей метод знижує корисну пропускну спроможність лінії, оскільки надмірні одиниці призначеної для користувача інформації не несуть. Інший метод заснований на попередньому «перемішуванні» початкової інформації так, щоб вірогідність появи одиниць і нулів на лінії ставала близькою. Пристрої, або блоки, що виконують таку операцію, називаються трамблерами (scramble - звалище, безладна збірка). При скремблюванні використовується відомий алгоритм, тому приймач, одержавши двійкові дані, передає їх на дескремблер, який відновлює початкову послідовність біт. Надмірні біти при цьому по лінії не передаються. Обидва методи відносяться до логічного, а не фізичного кодування, оскільки форму сигналів на лінії вони не визначають. Детальніше вони вивчаються в наступному розділі.
Окрім потенційних кодів в мережах використовуються і імпульсні коди, коли дані представлені повним імпульсом або ж його частиною - фронтом. Найпростішим випадком такого підходу є біполярний імпульсний код, в якому одиниця представлена імпульсом однієї полярності, а нуль - інший (рис. 1.4, в). Кожен імпульс триває половину такту. Такий код володіє відмінними самосинхронізуючими властивостями, але постійна складова, може бути присутнім, наприклад, при передачі довгої послідовності одиниць або нулів. Крім того, спектр у нього ширший, ніж у потенційних кодів. Так, при передачі всіх нулів або одиниць частота основної гармоніки коду буде рівна N Гц, що в два рази вище за основну гармоніку коду NRZ і в чотири рази вище за основну гармоніку коду AMI при передачі одиниць, що чергуються, і нулів. Через дуже широкий спектр біполярний імпульсний код використовується рідко.
У локальних мережах до недавнього часу найпоширенішим методом кодування був так званий манчестерський код (рис. 1.4,г). Він застосовується в технологіях Ethernet і Token Ring.
У манчестерському коді для кодування одиниць і нулів використовується перепад потенціалу, тобто фронт імпульсу. При манчестерському кодуванні кожен такт ділиться на дві частини. Інформація кодується перепадами потенціалу, що відбуваються у середині кожного такту. Одиниця кодується перепадом від низького рівня сигналу до високого, а нуль - зворотним перепадом. На початку кожного такту може відбуватися службовий перепад сигналу, якщо потрібно представити декілька одиниць або нулів підряд. Оскільки сигнал змінюється принаймні один раз за такт передачі одного біта даних, то манчестерський код володіє хорошими самосинхронізуючими властивостями. Смуга пропускання манчестерського коду вужча, ніж у біполярного імпульсного. У нього також немає постійної складової, а основна гармоніка у гіршому разі (при передачі послідовності одиниць або нулів) має частоту N Гц, а в кращому (при передачі одиниць, що чергуються, і нулів) вона рівна N/2 Гц, як і у кодів AMI або NRZ. В середньому ширина смуги манчестерського коду в півтора рази вужче, ніж у біполярного імпульсного коду, а основна гармоніка коливається поблизу значення 3N/4. Манчестерський код має ще одну перевагу перед біполярним імпульсним кодом. У останньому для передачі даних використовуються три рівні сигналу, а в манчестерському - два.
На рис. 1.4, д показаний потенційний код з чотирма рівнями сигналу для кодування даних. Це код 2B1Q, назва якого відображає його суть - кожні два біти (2В) передаються за один такт сигналом, що має чотири стани (1Q), Парі біт 00 відповідає потенціал -2,5 В, парі біт 01 відповідає потенціал -0,833 В, парі 11 - потенціал +0,833 У, а парі 10 - потенціал +2,5 В. Прі цьому способі кодування потрібні додаткові заходи по боротьбі з довгими послідовностями однакових пар біт, оскільки при цьому сигнал перетворюється на постійну складову. При випадковому чергуванні битий спектр сигналу в два рази вужче, ніж у коду NRZ, оскільки при тій же бітовій швидкості тривалість такту збільшується в два рази. Таким чином, за допомогою коду 2B1Q можна по одній і тій же лінії передавати дані в два рази швидше, ніж за допомогою коду AMI або NRZI. Проте для його реалізації потужність передавача повинна бути вищою, щоб чотири рівні чітко розрізнялися приймачем на фоні перешкод.
Поліпшені потенційні коди володіють достатньо вузькою смугою пропускання для будь-яких послідовностей одиниць і нулів, які зустрічаються в передаваних даних. Потенційний код NRZ володіє хорошим спектром з одним недоліком - у нього є постійна складова. Коди, одержані з потенційного шляхом логічного кодування, володіють вужчим спектром, ніж манчестерський, навіть при підвищеній тактовій частоті (на малюнку спектр коду 4В/5В повинен був би приблизно співпадати з кодом B8ZS, але він зсунуть в область вищих частот, оскільки його тактова частота підвищена на 1/4 в порівнянні з іншими кодами). Цим пояснюється застосування потенційних надмірних і скрембльованих кодів в сучасних технологіях, подібних FDDI, Fast Ethernet, Gigabit Ethernet, ISDN і т.п. замість манчестерського і біполярного імпульсного кодування.
1.3 Передача даних по каналам глобальних та корпоративних мережах
Виділений канал - це канал з фіксованою смугою пропускання або фіксованою пропускною спроможністю, постійно сполучаючий два абоненти. Абонентами можуть бути як окремі пристрої (комп'ютери або термінали), так і цілі мережі.
Виділені канали звичайно орендуються у компаній - операторів територіальних мереж, хоча крупні корпорації можуть прокладати свої власні виділені канали.
Виділені канали діляться на аналогові і цифрові залежно від того, якого типу комутаційна апаратура застосована для постійної комутації абонентів – з частотним розділенням каналів (Frequency Division Multiplexing – FDM) або тимчасовим розділенням каналів (Time Division Multiplexing – TDM). На аналогових виділених лініях для апаратури передачі даних фізичний і канальний протоколи жорстко не визначені. Відсутність фізичного протоколу призводить до того, що пропускна спроможність аналогових каналів залежить від пропускної спроможності модемів, які використовує користувач каналу. Модем власне і встановлює потрібний йому протокол фізичного рівня для каналу.
На цифрових виділених лініях протокол фізичного рівня зафіксований - він заданий стандартом G.703.
На канальному рівні аналогових і цифрових виділених каналів звичайно використовується один з протоколів сімейства HDLC або ж пізніший протокол РРР, побудований на основі HDLC для зв'язку багатопротокольних мереж.
Аналогові виділені лінії
Виділені аналогові канали надаються користувачу з 4-дротяним або 2-дротяним закінченням. На каналах з 4-дротяним закінченням організація повнодуплексного зв'язку, природно, виконується простішими способами.
Виділені лінії можуть бути розділені на дві групи по іншій ознаці – наявності проміжної апаратури комутації і посилення або її відсутності.
Першу групу складають так звані навантажені лінії, що проходять через устаткування частотного ущільнення (FDM-комутатори і мультиплексори), розташоване, наприклад, на АТС. Телефонні компанії звичайно надають в оренду два типи виділених каналів: канал тональної частоти із смугою пропускання 3,1 кГц (0,3 – 3,4 кГц) і широкосмуговий канал із смугою 48 кГц (60 – 108 кГц), який є базовою групою з 12 каналів тональної частоти. Оскільки широкосмуговий канал використовується для зв'язку АТС між собою, те отримання його в оренду більш проблематичне, ніж каналу тональної частоти.
Виділені навантажені канали також класифікуються на категорії залежно від їх якості. Від категорії якості залежить і орендна місячна платня за канал.
Друга група виділених ліній - це ненавантажені фізичні дротяні лінії. Вони можуть кросуватися, але при цьому не проходять через апаратуру частотного ущільнення. Часто такі лінії використовуються для зв'язку між будівлями, що близько стоять. При невеликій довжині ненавантаженої виділеної лінії вона володіє достатньо широкою смугою пропускання, іноді до 1 Мгц, що дозволяє передавати імпульсні немодульовані сигнали.
На перший погляд може показатися, що ненавантажені лінії не мають відношення до глобальних мереж, оскільки їх можна використовувати при протяжності максимум в декілька кілометрів, інакше загасання стає дуже великим для передачі даних. Проте останнім часом саме цей вид виділених каналів привертає пильну увагу розробників засобів видаленого доступу. Річ у тому, що телефонні абонентні закінчення - відрізок витої пари від АТС до житлової або виробничої будівлі – є саме таким видом каналів. Широка (хоча і наперед точно невідома) смуга пропускання цих каналів дозволяє розвинути на короткому відрізку лінії високу швидкість – до декількох мегабіт в секунду. У зв'язку з цим до найближчої АТС дані від видаленого комп'ютера або мережі можна передавати набагато швидше, ніж по каналах тональної частоти, які починаються в даній АТС.
Для передачі даних по виділених навантажених аналогових лініях використовуються модеми. Протоколи і стандарти модемів визначені в рекомендаціях CCITT серії V. Ці стандарти діляться на три групи:
стандарти, що визначають швидкість передачі даних і метод кодування;
стандарти виправлення помилок;
стандарти стиснення даних.
Ці стандарти визначають роботу модемів як для виділених, так і комутованих ліній. Модеми можна також класифікувати залежно від того, який режими роботи вони підтримують (асинхронний, синхронний або обидва ці режими), а також до якого закінчення (4-дротяному або 2-дротяному) вони підключені.
Відносно режиму роботи модеми діляться на три групи:
модеми, що підтримують тільки асинхронний режим роботи;
модеми підтримуючі асинхронний і синхронний режими роботи;
модеми, що підтримують тільки синхронний режим роботи.
Модеми, що працюють тільки в асинхронному режимі, звичайно підтримують низьку швидкість передачі даних - до 1200 біт/с. Так, модеми, що працюють за стандартом V.23, можуть забезпечувати швидкість 1200 біт/с на 4-дротяній виділеній лінії в дуплексному асинхронному режимі, а за стандартом V.21 - на швидкості 300 біт/с по 2-дротяній виділеній лінії також в дуплексному асинхронному режимі. Дуплексний режим на 2-дротяному закінченні забезпечується частотним розділенням каналу. Асинхронні модеми представляють найдешевший вид модемів, оскільки їм не потрібні високоточні схеми синхронізації сигналів на кварцових генераторах. Крім того, асинхронний режим роботи невибагливий до якості лінії.
Модеми, що працюють тільки в синхронному режимі, можуть підключатися тільки до 4-дротяного закінчення. Синхронні модеми використовують для виділення сигналу високоточні схеми синхронізації і тому звично значно дорожче за асинхронні модеми. Крім того, синхронний режим роботи пред'являє високі вимоги до якості лінії.
Для виділеного каналу тональної частоти з 4-дротяним закінченням розроблено достатньо багато стандартів серії V. Всі вони підтримують дуплексний режим:
V.26 - швидкість передачі 2400 біт/с;
V.27 - швидкість передачі 4800 біт/с;
V.29 - швидкість передачі 9600 біт/с;
V.32 ter - швидкість передачі 19 200 біт/с.
Для виділеного широкосмугового каналу 60-108 кГц існують три стандарти:
V.35 - швидкість передачі 48 Кбіт/с;
V.36 - швидкість передачі 48-72 Кбіт/с;
V.37-скорость передачі 96-168 Кбіт/с.
Корекція помилок в синхронному x0режимі роботи звичайно реалізується по протоколу HDLC, але допустимі і застарілі протоколи SDLC і BSC компанії IBM. Модеми стандартів V.35, V.36 і V.37 використовують для зв'язку з DTE інтерфейс V.35.
Модеми, що працюють в асинхронному і синхронному режимах, є найбільш універсальними пристроями. Найчастіше вони можуть працювати як по виділених, так і по комутованих каналах, забезпечуючи дуплексний режим роботи. На виділених каналах вони підтримують в основному 2-дротяне закінчення і набагато рідше - 4-дротяне.
Для асихронно-синхронних модемів розроблений ряд стандартів серії V:
V.22 - швидкість передачі до 1200 біт/с;
V.22 bis - швидкість передачі до 2400 біт/с;
V.26 ter - швидкість передачі до 2400 біт/с;
V.32 - швидкість передачі до 9600 біт/с;
V.32 bis - швидкість передачі 14 400 біт/с;
V.34 - швидкість передачі до 28,8 Кбіт/с;
V.34+ - швидкість передачі до 33,6 Кбіт/с.
Типова структура з'єднання двох комп'ютерів або локальних мереж через маршрутизатор за допомогою виділеної аналогової лінії приведена на рис. 1.5. У разі 2-дротяного закінчення (див. рис. 1.3, а) для забезпечення дуплексного режиму модем використовує трансформаторну розв'язку. Телефонна мережа завдяки своїй схемі розв'язки забезпечує роз'єднання потоків даних, циркулюючих у різних напрямах. За наявності 4-дротяного закінчення (див. рис. 1.5, б) схема модему спрощується.
Рис. 1.5. З'єднання локальних мереж або комп'ютерів по виділеному каналу
Цифрові виділені лінії
Цифрові виділені лінії утворюються шляхом постійної комутації в первинних мережах, побудованих на базі комутаційної апаратури, що працює на принципах розділення каналу в часі - TDM. Існують два покоління технологій цифрових первинних мереж - технологія плезіохронної («плезіо» означає «майже», тобто майже синхронної) цифрової ієрархії (Plesiochronic Digital Hierarchy, PDH) і пізніша технологія - синхронна цифрова ієрархія (Synchronous Digital Hierarchy, SDH). У Америці технології SDH відповідає стандарт SONET.
Технологія плезіохронної цифрової ієрархії PDH
Цифрова апаратура мультиплексування і комутації була розроблена в кінці 60-х років компанією AT&T для вирішення проблеми зв'язку крупних комутаторів телефонних мереж між собою. Канали з частотним ущільненням, вживані до цього на ділянках АТС-АТС, вичерпали свої можливості по організації високошвидкісного багатоканального зв'язку по одному кабелю. У технології FDM для одночасної передачі даних 12 або 60 абонентних каналів використовувалася вита пара, а для підвищення швидкості зв'язку доводилося прокладати кабелі з великою кількістю пар дротів або дорожчі коаксіальні кабелі. Крім того, метод частотного ущільнення високо чутливий до різного роду перешкодам, які завжди присутні в територіальних кабелях, та і високочастотна несуча мови сама створює перешкоди в приймальній апаратурі, будучи погано відфільтрована.
Для вирішення цієї задачі була розроблена апаратура Т1, яка дозволяла в цифровому виді мультиплексувати, передавати і комутувати (на постійній основі) дані 24 абонентів. Оскільки абоненти як і раніше користувалися звичними телефонними апаратами, тобто передача голосу йшла в аналоговій формі, то мультиплексори Т1 самі здійснювали оцифровування голосу з частотою 8000 Гц і кодували голос за допомогою імпульсно-кодової модуляції (Pulse Code Modulation, PCM). В результаті кожен абонентний канал утворював цифровий потік даних 64 Кбіт/с. Для з'єднання магістральних АТС канали Т1 були дуже слабкими засобами мультиплексування, тому в технології була реалізована ідея утворення каналів з ієрархією швидкостей. Чотири канали типа Т1 об'єднуються в канал наступного рівня цифрової ієрархії - Т2, передаючий дані із швидкістю 6,312 Мбіт/с, а сім каналів Т2 дають при об'єднанні канал ТЗ, що передає дані із швидкістю 44,736 Мбіт/с. Апаратура T1, T2 і ТЗ може взаємодіяти між собою, утворюючи ієрархічну мережу з магістральними і периферійними каналами трьох рівнів швидкостей.
Технологія цифрової ієрархії була пізніше стандартизована CCITT. При цьому в неї були внесені деякі зміни, що привело до несумісності американської і міжнародної версій цифрових мереж. Американська версія поширена сьогодні окрім США також в Канаді і Японії (з деякими відмінностями), а в Європі застосовується міжнародний стандарт. Аналогом каналів Т в міжнародному стандарті є канали типа El, E2 і E3 з іншими швидкостями - відповідно 2,048 Мбіт/с, 8,488 Мбіт/с і 34,368 Мбіт/с. Американський варіант технології також був стандартизований ANSI.
Не дивлячись на відмінності американської і міжнародних версій технології цифрової ієрархії, для позначення ієрархії швидкостей прийнято використовувати одні і ті ж позначення - DSn (Digital Signal n). У табл. 1.1 приводяться значення для всіх введених стандартами рівнів швидкостей обох технологій.
На практиці в основному використовуються канали Т1/Е1 і ТЗ/E3.
Користувач може орендувати декілька каналів 64 Кбіт/с (56 Кбіт/с) в каналі Т1/Е1. Такий канал називається «дробовим» (fractional) каналом Т1/Е1. В цьому випадку користувачу відводиться декілька тайм - слотів роботи мультиплексора.
Фізичний рівень технології PDH підтримує різні види кабелів: виту пару, коаксіальний кабель і волоконно-оптичний кабель. Основним варіантом абонентного доступу до каналів Т1/Е1 є кабель з двох витих пар з роз'ємами RJ-48. Дві пари потрібні для організації дуплексного режиму передачі даних із швидкістю 1,544/2,048 Мбіт/с.
Таблиця 1.1
Ієрархія цифрових швидкостей
Позначення швидкості | Америка | Європа | ||||||
| Позначення швидкості | Кількість голосових каналів | Кількість каналів попереднього рівня | Швидкість передачі, Мбіт/с | Позначення швидкості | Кількість голосових каналів | Кількість каналів попереднього рівня | Швидкість передачі, Мбіт/с |
DS-0 |
| 1 | 1 | 64 кбіт/с |
| 1 | 1 | 64 кбіт/с |
DS-1 | T1 | 24 | 24 | 1,544 | E1 | 30 | 30 | 2,048 |
DS-2 | T2 | 96 | 4 | 6,312 | E2 | 120 | 4 | 8,488 |
DS-3 | T3 | 672 | 7 | 44,736 | E3 | 480 | 4 | 34,368 |
DS-4 |
| 4032 | 6 | 274,176 |
| 1920 | 4 | 139,264 |
Коаксіальний кабель завдяки своїй широкій смузі пропускання підтримує канал Т2/Е2 або 4 канали Т1/Е1. Для роботи каналів ТЗ/E3 звичайно використовується або коаксіальний кабель, або волоконно-оптичний кабель, або канали НВЧ.
Фізичний рівень міжнародного варіанту технології визначається стандартом G.703, назвою якого позначається тип інтерфейсу маршрутизатора або моста, що підключається до каналу Е1. Американський варіант інтерфейсу носить назву Т1.
Як американський, так і міжнародний варіанти технології PDH володіють декількома недоліками.
Одним з основних недоліків є складність операцій мультиплексування і демультиплексування призначених для користувача даних. Сам термін «плезіохронний», використовуваний для цієї технології, говорить про причину такого явища - відсутності повної синхронності потоків даних при об'єднанні низькошвидкісних каналів в більш високошвидкісні. Спочатку асинхронний підхід до передачі кадрів породив вставку біта або декількох біт синхронізації між кадрами. В результаті для витягання призначених для користувача даних з об'єднаного каналу необхідно повністю демультиплексувати кадри цього об'єднаного каналу. Наприклад, якщо вимагається одержати дані одного абонентного каналу 64 Кбіт/с з кадрів каналу ТЗ, необхідно виробити демультиплексування цих кадрів до рівня кадрів Т2, потім - до рівня кадрів Т1, а потім демультиплексувати і самі кадри Т1. Для подолання цього недоліку в мережах PDH реалізують деякі додаткові прийоми, що зменшують кількість операцій демультиплексування при витягання призначених для користувача даних з високошвидкісних каналів. Наприклад, одним з таких прийомів є «зворотна доставка» (back hauling). Хай комутатор 1 каналу ТЗ приймає потік даних, що складається з 672 призначених для користувача каналів, при цьому він повинен передати дані одного з цих каналів користувачу, підключеному до низькошвидкісного виходу комутатора, а всю решту потоку даних направити транзитом через інші комутатори в деякий кінцевий демультиплексор 2, де потік ТЗ повністю демультиплексувати на канали 64 Кбіт/с. Для економії комутатор 1 не виконує операцію демультиплексування свого потоку, а одержує дані свого користувача тільки при їх «зворотному проході», коли кінцевий демультиплексор виконає операцію розбору кадрів і поверне дані одного з каналів комутатору 1. Природно, такі складні взаємостосунки комутаторів ускладнюють роботу мережі, вимагають її тонкої конфігурації, що веде до великого об'єму ручної роботи і помилок.
Іншим істотним недоліком технології PDH є відсутність розвинених вбудованих процедур контролю і управління мережею. Службові біти дають мало інформації про стан каналу, не дозволяють його конфігурувати і т.п. Немає в технології і процедур підтримки відмовостійкості, які дуже корисні для первинних мереж, на основі яких будуються відповідальні міжміські і міжнародні мережі. У сучасних мережах управлінню надається велика увага, причому вважається, що управляючі процедури бажано вбудовувати в основний протокол передачі даних мережі.
Третій недолік полягає в дуже низьких за сучасними поняттями швидкостях ієрархії PDH. Волоконно-оптичні кабелі дозволяють передавати дані з швидкостями в декілька гигабіт в секунду по одному волокну, що забезпечує консолідацію в одному кабелі десятків тисяч призначених для користувача каналів, але цю властивість технологія PDH не реалізує - її ієрархія швидкостей закінчується рівнем 139 Мбіт/с.
Всі ці недоліки усунені в новій технології первинних цифрових мереж, що одержала назву синхронної цифрової ієрархії - Synchronous DigitalHierarchy, SDH.
1.4 Висновок
Таким чином, виходячи з проведеного аналізу організації каналів передачі даних в комп’ютерних мережах можна зробити ряд висновків:
у межах тієї або іншої архітектури КМ повинна забезпечуватись погоджена взаємодія різних її структур. Так, при деякій логічній структурі, яка відповідає прийнятій архітектурі КМ, може бути побудована множина фізичних структур у вигляді різнорідних каналів передачі даних, що впливають на властивості та можливості мережі. Вони являють собою узагальнений алгоритм інформаційного процесу, що протікає в КМ;
при передачі дискретних даних по каналах передачі даних застосовуються два основні типи фізичного кодування - на основі синусоїдального несучого сигналу і на основі послідовності прямокутних імпульсів. Перший спосіб часто називається також модуляцією або аналоговою модуляцією, підкреслюючи той факт, що кодування здійснюється за рахунок зміни параметрів аналогового сигналу. Другий спосіб звичайно називають цифровим кодуванням. Ці способи відрізняються шириною спектру результуючого сигналу і складністю апаратури, необхідної для їх реалізації;
каналів передачі даних у КМ діляться на аналогові і цифрові залежно від того, якого типу комутаційна апаратура застосована для постійної комутації абонентів – з частотним розділенням каналів (Frequency Division Multiplexing – FDM) або тимчасовим розділенням каналів (Time Division Multiplexing – TDM).
Тому для детального вивчення особливостей доступу до каналів передачі даних розглянемо сутність існуючих методі доступу.
РОЗДІЛ 2
Фізична сутність та порядок організації каналів комп’ютерних мереж
Канали передачі даних є фундаментом будь-якої мережі. Якщо в каналах щодня відбуваються короткі замикання, контакти роз’ємів то відходять, то знову входять у щільне з’єднання, додавання нової станції призводить до необхідності тестування десятків контактів роз’ємів через те, що документація на фізичні з’єднання не ведеться. Очевидно, що на основі таких каналів передачі даних будь-яке найсучасніше і продуктивне устаткування буде працювати погано. Користувачі будуть незадоволені великими періодами простоїв і низькою продуктивністю мережі, а обслуговуючий персонал буде в постійній "запарці", розшукуючи місця коротких замикань, обривів і поганих контактів. Причому проблем з каналами передачі даних стає набагато більше при збільшенні розмірів мережі.
2.1 Структурована кабельна система комп’ютерної мережі
Відповіддю на високі вимоги до якості каналів зв’язку в комп’ютерних мережах стали структуровані кабельні системи.
Структурована кабельна система (СКС) (Structured Cabling System, SCS) – це набір комутаційних елементів (кабелів, роз’ємів, конекторів, кросових панелей і шаф), а також методика їх спільного використання, яка дозволяє створювати регулярні, легко розширювані структури зв’язків в комп’ютерних мережах.
Структурована кабельна система представляє свого роду "конструктор", за допомогою якого проектувальник мережі будує потрібну йому конфігурацію зі стандартних кабелів, з’єднаних стандартними роз’ємами, які комутуються на стандартних кросових панелях. При необхідності конфігурацію зв’язків можна легко змінити – додати комп’ютер, сегмент, комутатор, вилучити непотрібне устаткування, а також замінити з’єднання між комп’ютерами і концентраторами.
При побудові структурованої кабельної системи мається на увазі, що кожне робоче місце на підприємстві повинне бути оснащене розетками для підключення телефону і комп’ютера, навіть якщо на даний момент цього не потрібно. Тобто добре структурована кабельна система будується надлишковою. У майбутньому це може заощадити час тому, що зміни в підключенні нових пристроїв можна здійснювати за рахунок перекомутації вже прокладених кабелів.
Структурована кабельна система планується і будується ієрархічно з головною магістраллю і численними відгалуженнями від неї (рис. 2.1).
Ця система може бути побудована на базі вже існуючих сучасних телефонних кабельних систем, у яких кабелі, що представляють собою набір кручених пар, прокладаються в кожному будинку, розводяться між поверхами. На кожному поверсі використовується спеціальна кросова шафа, від якої кабелі в трубах і коробах підводяться до кожної кімнати і розводяться по розетках. На жаль, далеко не у всіх будинках телефонні лінії прокладаються крученими парами, тому вони непридатні для створення комп’ютерних мереж, і кабельну систему в такому випадку потрібно будувати заново.
Типова ієрархічна структура структурованої кабельної системи (рис. 2.2) включає:
горизонтальні підсистеми (у межах поверху);
вертикальні підсистеми (усередині будинку);
підсистему кампусу (у межах однієї території з декількома будинками).
Горизонтальна підсистема з’єднує кросову шафу поверху з розетками користувачів. Підсистеми цього типу відповідають поверхам будинку.
Вертикальна підсистема з’єднує кросові шафи кожного поверху з центральною апаратною будинку.
Наступним кроком ієрархії є підсистема кампусу, що з’єднує кілька будинків з головною апаратною усього кампусу. Ця частина кабельної системи звичайно називається магістраллю (backbone).
Рис. 2.1. Ієрархія структурованої кабельної системи
Використання структурованої кабельної системи замість хаотично прокладених кабелів дає підприємству багато переваг.
Універсальність. Структурована кабельна система при продуманій організації може стати єдиним середовищем для передачі комп’ютерних даних у локальній обчислювальній мережі, організації локальної телефонної мережі, передачі відеоінформації і навіть передачі сигналів від датчиків пожежної безпеки або охоронних систем. Це дозволяє автоматизувати більшість процесів контролю, моніторингу та управління господарськими службами і системами життєзабезпечення підприємства.
Збільшення терміну служби. Термін морального старіння добре структурованої кабельної системи може складати 10 – 15 років.
Зменшення вартості добавлення нових користувачів і зміни місць їх розташування.
Відомо, що вартість кабельної системи значна і визначається в основному не вартістю кабелю, а вартістю робіт з його прокладки. Тому більш вигідно провести однократну роботу по прокладці кабелю, можливо, з великим запасом по довжині, ніж кілька разів виконувати прокладку, нарощуючи довжину кабелю. При такому підході всі роботи з добавлення або переміщення користувача зводяться до підключення комп’ютера до вже наявної розетки.
Можливість легкого розширення мережі. Структурована кабельна система є модульною, тому її легко розширювати. Наприклад, до магістралі можна додати нову підмережу, не роблячи ніякого впливу на існуючі підмережі. Можна замінити в окремій підмережі тип кабелю незалежно від іншої частини мережі. Структурована кабельна система є основою для розподілу мережі на легко управляємі логічні сегменти тому, що вона сама вже розділена на фізичні сегменти.
Забезпечення більш ефективного обслуговування. Структурована кабельна система полегшує обслуговування і пошук несправностей у порівнянні із шинною кабельною системою. При шинній організації кабельної системи відмова одного з пристроїв або сполучних елементів призводить до відмови всієї мережі, яку важко локалізувати. У структурованих кабельних системах відмова одного сегмента не діє на інші тому, що об’єднання сегментів здійснюється за допомогою концентраторів. Концентратори діагностують і локалізують несправний сегмент.
Надійність. Структурована кабельна система має підвищену надійність, оскільки виробник такої системи гарантує не тільки якість її окремих компонентів, але і їх сумісність.
Більшість проектувальників починає розробку СКС з горизонтальних підсистем тому, що саме до них підключаються кінцеві користувачі. При цьому вони можуть вибирати між екранованою крученою парою, неекранованою крученою парою, коаксіальним кабелем і волоконно-оптичним кабелем. Можливе використання й безпровідних ліній зв’язку.
Горизонтальна підсистема характеризується дуже великою кількістю відгалужень кабелю (рис. 2.3) тому, що його потрібно провести до кожної розетки, причому й у тих кімнатах, де поки комп’ютери в мережу не об’єднуються. Тому до кабелю, який використовується в горизонтальній проводці, пред’являються підвищені вимоги до зручності виконання відгалужень, а також зручностей його прокладки в приміщеннях. На поверсі звичайно встановлюється кросова шафа, яка дозволяє за допомогою коротких відрізків кабелю, оснащеного роз’ємами, провести перекомутацію з’єднань між устаткуванням і концентраторами / комутаторами.
При виборі кабелю приймають до уваги такі характеристики: пропускна спроможність, відстань, фізична захищеність, електромагнітна перешкодозахищеність, вартість. Крім того, при виборі кабелю потрібно враховувати, яка кабельна система уже встановлена на підприємстві, а також які тенденції і перспективи існують на ринку на даний момент.
2.2 Кабель кручена пара
Мідний провід, зокрема неекранована кручена пара (Twisted Pair – TP), є кращим середовищем для горизонтальної кабельної підсистеми, хоча, якщо користувачам потрібна дуже висока пропускна спроможність, або кабельна система прокладається в агресивному середовищі, для неї підійде і волоконно-оптичний кабель. Коаксіальний кабель – це застаріла технологія, якої варто уникати, якщо тільки вона вже не використовується широко на підприємстві. Безпровідний зв’язок є новою і багатообіцяючою технологією, однак через порівняльну новизну і низьку перешкодостійкість краще обмежити масштаби її використання.
Кручена пара як середовище передачі використовується у всіх сучасних мережних технологіях, а також в аналоговій і цифровій телефонії. Уніфікація пасивних елементів мережі на крученій парі стала основою для концепції побудови структурованих кабельних систем, незалежних від прикладень (мережних технологій). Будь-які мережі на крученій парі (крім застарілої LocalTalk) засновані на зіркоподібній фізичній топології, що при відповідному активному устаткуванні може бути основою для будь-якої логічної топології.
Провід кручена пара являє собою два скручених ізольованих провідники. Провід застосовують для кросування (cross-wires) усередині комутаційних шаф або стійок, але ніяк не для прокладки з’єднань між приміщеннями, такий провід може складатися з однієї, двох, трьох і навіть чотирьох кручених пар.
Кабель відрізняється від проводу наявністю зовнішньої ізоляційної панчохи (jacket). Ця панчоха головним чином захищає провід (елементи кабелю) від механічних впливів і вологи. Найбільше поширення одержали кабелі, що містять дві або чотири кручені пари. Існують кабелі і на більше число пар – 25 пар і більше.
Категорія (Category) крученої пари визначає частотний діапазон, у якому її застосування ефективне (ACR має позитивне значення). На даний час діють стандартні шість категорій кабелю (Category 1 ÷ Category 5е), проробляється 6-а категорія й очікується поява кабелів категорії 7. Частотні діапазони кабелів різних категорій наведені в табл. 2.1.
Рис. 2.3. Структура кабельної системи поверху та будівлі
Таблиця 2.1
Класифікація кабелів на крученій парі
Категорія | Клас лінії | Смуга пропускання, МГц | Типове мережне застосування |
1 | A | 0,1 | Аналогова телефонія |
2 | B | 1 | Цифрова телефонія, ISDN |
3 | C | 16 | 10Base-T (Ethernet) |
4 | – | 20 | Token Ring 16 Mбіт/с |
5 | D | 100 | 100Base-TX (Fast Ethernet) |
5е | D | 125 | 1000Base-TX (Gigabit Ethernet) |
6* | E1 | 200 (250) | – |
7* | F1 | 600 | – |
Категорії визначаються стандартом EIA/TIA 568A. В останньому стовпці наводиться класифікація ліній зв’язку, які забезпечуються цими кабелями згідно стандарту ISO 11801 і EN 50173.
Кручена пара може бути як екранованою (shielded), так і неекранованою (unshielded), вид кабелів наведений на рис. 2.4. Термінологія конструкцій екрана неоднозначна, тут використовуються слова braid (оплітка), shield і screen (екран, захист), foil (фольга), tinned drain wire (луджений "дренажний" провід, що йде уздовж фольги).
Неекранована кручена пара (НКП) більше відома по абревіатурі UTP (Unshielded Twisted Pair). Якщо кабель укладений у загальний екран, але пари не мають індивідуальних екранів, то, відповідно до стандарту ISO 11801, він теж відноситься до неекранованих кручених пар і позначається UTP або S/UTP. Сюди ж відноситься ScTP (Screened Twisted Pair) або FTP (Foiled Twisted Pair) – кабель, у якому кручені пари укладені в загальний екран з фольги, а також SFTP (Shielded Foil Twisted Pair) – кабель, у якого загальний екран складається з фольги й оплітки.
Рис. 2.4. Кабелі кручена пара:
а – UTP категорії 3-5, б – UTP категорії 6,
в – ScTP, FTP, г – SFTP, д – STP Турe 1, е – PiMF.
1 – провід в ізоляції, 2 – зовнішня оболонка, 3 – сепаратор,
4 – екран з фольги, 5 – дренажний провід, 6 – оплітка, що екранує
Екранована кручена пара (ЕКП), вона ж STP (Shielded Twisted Pair), має багато різновидів, але кожна пара обов’язково має власний екран.
Найбільше поширення одержали кабелі з числом пар 2 і 4. Існують і подвійні конструкції – два кабелі по дві або чотири пари, укладені в суміжні ізоляційні панчохи. У загальну панчоху можуть бути укладені і кабелі STP+UTP. З багатопарних популярні 25-парні, а також зборки по 6 штук 4-парних. Кабелі з великим числом пар (50, 100) застосовуються тільки в телефонії, оскільки виготовлення багатопарних кабелів високих категорій –дуже складна задача.
Для багатопарних кабелів стандартизоване колірне маркування проводів, яке дозволяє швидко і безпомилково виконувати їх обробку без попередньої перевірки. Кожна пара має умовно прямий (Tip) і зворотний (Ring) провід. Маркування для 25-парного кабелю наведені в табл. 2.2, для 4-парного – у табл. 2.3; крім основного варіанта існує й альтернативне маркування.
Таблиця 2.2
Колірне маркування 25-парного кабелю
№ пари | Колір: основний/смужки | |
| Прямий (Tip) | Зворотний (Ring) |
| Білий/синій | Синій/білий |
| Білий/жовтогарячий | Жовтогарячий/білий |
| Білий/зелений | Зелений/білий |
| Білий/коричневий | Коричневий/білий |
| Білий/сірий | Сірий/білий |
| Червоний/синій | Синій/червоний |
| Червоний/жовтогарячий | Жовтогарячий/червоний |
| Червоний/зелений | Зелений/червоний |
| Червоний/коричневий | Коричневий/червоний |
| Червоний/сірий | Сірий/червоний |
| Чорний/синій | Синій/чорний |
| Чорний/жовтогарячий | Жовтогарячий/чорний |
| Чорний/зелений | Зелений/чорний |
| Чорний/коричневий | Коричневий/чорний |
| Чорний /сірий | Сірий/чорний |
| Жовтий/синій |
Синій/жовтий | ||
| Жовтий/жовтогарячий | Жовтогарячий/жовтий |
| Жовтий/зелений | Зелений/жовтий |
| Жовтий/коричневий | Коричневий/жовтий |
| Жовтий/сірий | Сірий/жовтий |
| Фіолетовий/синій | Синій/фіолетовий |
| Фіолетовий/жовтогарячий | Жовтогарячий/фіолетовий |
| Фіолетовий/зелений | Зелений/фіолетовий |
| Фіолетовий/коричневий | Коричневий/фіолетовий |
| Фіолетовий/сірий | Сірий/фіолетовий |
Таблиця 2.3
Колірне маркування 4-парного кабелю
№ пари | Колір: основний/смужки | |||
| Основний варіант (EIA/TIA 568A) | Альтернативний варіант | ||
| Прямий (Tip) | Зворотний (Ring) | Прямий (Tip) | Зворотний (Ring) |
| Білий/зелений | Зелений | Білий | Синій |
| Білий/жовтогарячий | Жовтогарячий | Чорний | Жовтий |
| Білий/синій | Синій | Зелений | Червоний |
| Білий/коричневий | Коричневий | Жовтогарячий | Коричневий |
Дешеві кабелі найчастіше мають невиразне маркування – у парі з кожним кольоровим проводом йде просто білий, що ускладнює візуальний контроль правильності обтиску.
З’єднувальна апаратура забезпечує можливість підключення до кабелів, тобто надає кабельні інтерфейси. Для крученої пари мається різноманітний асортимент конекторів, призначених як для нероз’ємного, так і роз’ємного з’єднання проводів, кабелів і шнурів. З нероз’ємних конекторів поширені роз’єми типів S110, S66 і Krone, що є промисловими стандартами. Серед роз’ємних найбільш популярні стандартизовані модульні роз’єми (RJ-11, RJ-45 та ін.). Зустрічаються і конектори фірми IBM, уведені з мережами Token Ring, а також деякі специфічні нестандартизовані конектори. Багатопарні кабелі часто з’єднують 25-парними роз’ємами Telco (RJ-21). До з’єднувальної апаратури відносяться і різні адаптери, що дозволяють поєднувати різнотипні кабельні інтерфейси.
Модульні роз’єми Modular Jack (гнізда, розетки) і Modular Plug (вилки) є роз’ємами для 1-, 2-, 3-, 4-парних кабелів категорій 3 – 6. У кабельних системах застосовуються 8- і 6-позиційні роз’єми, більше відомі під назвами RJ-45 і RJ-11 відповідно. Уявлення про конструкції вилок розповсюджених видів роз’ємів надає рис. 2.5.
Рис. 2.5. Геометрія модульних розеток:
а – 6-позиційні, б – 8-позиційні, в – модифіковані (MMJ), г – із ключем
Коректне позначення для розетки, яка використовується для підключення мережної апаратури, має вигляд "Modular Jack 8P8C", для вилки – "Modular Plug 8Р8С", де 8Р указує на розмір (8-позиційний), а 8С – на число контактів (8). Для підключення телефонів використовують конфігурацію 6Р4С (6 позицій, 4 контакти). Зустрічаються й інші позначення, наприклад "Р-6-4" – вилка (plug) на 6 позицій і 4 контакти, "PS-8-8" – вилка екранована (plug shielded) на 8 позицій і 8 контактів. 6-позиційні вилки можуть бути вставлені й у 8-позиційні розетки, але не навпаки. Крім звичайних симетричних роз’ємів (рис. 2.5, а і б), зустрічаються модифіковані (рис. 2.5, в) MMJ (Modified Modular Jack) і з ключем (keyed, рис. 2.5, г). У деяких випадках застосовують і 10-позиційні 10-контактні роз’єми.
Призначення контактів модульних роз’ємів, які застосовуються у телекомунікаціях, стандартизоване, розповсюджені варіанти наведені на рис. 3.6. Наведені розкладки розрізняються положенням пар проводів, кольори пар проводів повинні відповідати стандартній послідовності EIA/TIA 568A: білозелений – зелений – біложовтий – синій – білосиній – жовтий – білокоричневий – коричневий (табл. 2.4).
Рис. 2.6. Розкладка проводів для модульних роз’ємів 10Base-T (100BaseTX)
Модульні вилки різних категорій зовні можуть майже не відрізнятися одна від одної, але мати різну конструкцію (рис. 2.7). Вилки для категорії 5 можуть мати сепаратор, який надягається на проводи до зборки й обтиску, що дозволяє скоротити довжину розплетеної частини кабелю і полегшити розкладку проводів. Проте сепаратор – не обов’язковий атрибут вилок високих категорій. Контакти при установці (обтиску) врізаються в проводи крізь ізоляцію.
Вилки для одножильного і багатожильного кабелю розрізняються формою контактів. Голчасті контакти (рис. 2.7, г) використовуються для багатожильного кабелю, голки встромляються між жилами проводів, забезпечуючи надійне з’єднання. Для одножильного кабелю використовуються контакти, які обтискують жилу з двох боків (рис. 2.7, д). Ряд фірм випускає й універсальні вилки, що надійно з’єднуються з будь-яким кабелем відповідного типу. Застосування типів вилок, які не відповідають кабелю, чревате великим відсотком браку і недовговічністю з’єднання. Під час обтиску вдавлюється і виступ 3, що фіксує кабель (ту частину, що ще в панчосі). Фіксатор 2 служить для фіксації вилки в розетці.
Досить бажаний аксесуар вилки – гумовий ковпачок, що надягається позаду для пом’якшення навантаження на кабель у місці його виходу з вилки. Більш дорогі ковпачки мають виступ, що захищає фіксатор, і обтічну форму. Такі ковпачки корисні для комутаційних шнурів – вони дозволяють без ушкоджень витягати шнур з пучка "за хвіст" (вилка без ковпачків буде чіплятися своїми кутами і виступаючим фіксатором за інші проводи).
Рис. 2.7. Модульні вилки:
а – із сепаратором (розріз), б – без сепаратора (розріз), в – у зборі з ковпачком, г – контакт для багатожильного кабелю, д – для одножильного кабелю
Модульні вилки допускають тільки однократну установку. До установки контакти в них підняті над каналами для проводів, затиск для кабелю не продавлений. У такому положенні в розетки вони не входять. При установці контактів затиск для кабелю вдавлюється всередину. Вилки різних виробників розрізняються кількістю точок закріплення кабелю і зручністю установки. Для установки вилок існує спеціальний обтискний інструмент (crimping tool), без якого якісна обробка кабелю неможлива. Якісна і надійна установка вилок вимагає навичок, оскільки контроль якості цієї операції проблематичний, в особливо відповідальних випадках є сенс придбати фірмові шнури заводського виготовлення.
2.3 Коаксіальний кабель (coaxial cable)
Коаксіальний кабель (coaxial cable, або coax) усе ще залишається одним з можливих варіантів кабелю для горизонтальних підсистем, особливо у випадках, коли високий рівень електромагнітних перешкод не дозволяє використовувати кручену пару, або ж невеликі розміри мережі не створюють великих проблем з експлуатацією кабельної системи.
Товстий Ethernet має в порівнянні з тонким більшу пропускну спроможність, він більш стійкий до ушкоджень і передає дані на великі відстані, однак до нього складніше приєднатися і він менш гнучкий. З товстим Ethernet складніше працювати, і він мало підходить для горизонтальних підсистем. Однак його можна використовувати у вертикальній підсистемі як магістраль, якщо оптоволоконний кабель з якихось причин не підходить.
Тонкий Ethernet – це кабель, що повинен був вирішити проблеми, позв’язані з застосуванням товстого Ethernet. До появи стандарту 10Base-T тонкий Ethernet був основним кабелем для горизонтальних підсистем. Тонкий Ethernet простіше монтувати, ніж товстий. Мережі з тонкого Ethernet можна швидко зібрати тому, що комп’ютери з’єднуються один з одним безпосередньо.
Головний недолік тонкого Ethernet – складність його обслуговування. Кожен кінець кабелю повинен закінчуватися термінатором 50 Ом. При відсутності термінатора або втраті ним своїх робочих властивостей (наприклад, через відсутність контакту) перестає працювати весь сегмент мережі, підключений до цього кабелю. Аналогічні наслідки має погане з’єднання будь-якої робочої станції (яке здійснюється через Т-конектор). Несправності в мережах на тонкому Ethernet складно локалізувати. Часто доводиться від’єднувати Т-конектор від мережного адаптера, тестувати кабельний сегмент і потім послідовно повторювати цю процедуру для всіх приєднаних вузлів. Тому вартість експлуатації мережі на тонкому Ethernet звичайно значно перевищує вартість експлуатації аналогічної мережі на крученій парі, хоча капітальні витрати на кабельну систему для тонкого Ethernet звичайно нижче.
Коаксіальний кабель як середовище передачі даних використовується тільки в застарілих мережних технологіях Ethernet 10Base5, Ethernet 10Base2 і ARCnet. Крім того, він використовується в кабельному телебаченні (CATV) як антенний кабель.
Коаксіальний кабель має конструкцію, схематично представлену на рис. 2.8.
Електричними провідниками є центральна жила і екрануюча оплітка. Діаметр жили і внутрішній діаметр оплітки, а також діелектрична проникність ізоляції між ними визначають частотні властивості кабелю. Матеріал і переріз провідників з ізоляцією визначають втрати сигналу в кабелі та його імпеданс. В ідеальному випадку електричне і магнітне поля, що утворюються при проходженні сигналу, цілком залишаються всередині кабелю, так що коаксіальний кабель не створює електромагнітних перешкод. Також він малочутливий до зовнішніх перешкод (якщо він знаходиться в однорідному полі перешкод). На практиці, звичайно ж, коаксіальний кабель і випромінює, і приймає перешкоди, але у відносно невеликому ступені. Найкращий за властивостями коаксіальний кабель, який застосовується в телекомунікаціях, товстий жовтий кабель Ethernet має посріблену центральну жилу товщиною 2 мм і подвійний шар екрануючої оплітки. Коаксіальний кабель використовується тільки при асиметричній передачі сигналів, оскільки він сам принципово асиметричний.
Головний недолік коаксіального кабелю – обмежена пропускна спроможність: у локальних мережах це 10 Мбіт/с, яка досягнута у технології Ethernet 10Base-2 і 10Base-5. У залежності від застосування використовується коаксіальний кабель з різними значеннями імпедансу: 50 Ом – Ethernet, 75 Ом – передача радіо- і телевізійних сигналів, 93 Ом – у ЛКМ ARCnet.
Для з’єднання коаксіального кабелю застосовують коаксіальні конектори (рис. 2.9). Щоб не виникало луни на кінцях, кожен кабельний сегмент повинен закінчуватися термінатором – резистором, опір якого збігається з імпедансом кабелю. Термінатор може бути зовнішнім – підключатися до конектору на кінці кабелю, або внутрішнім – знаходитись усередині пристрою, що підключається цим кабелем. Для кожного коаксіального кабелю характерний свій набір аксесуарів і правил підключення (топологічних обмежень). Тут буде розглянуте застосування коаксіала тільки для технології Ethernet. Технологія ARCnet, що також використовує коаксіальний кабель, уже давно не розвивається і не підтримується стандартами СКС.
Рис. 2.9. Коаксіальні конектори:
а – вилка, б – I-конектор, в, г – термінатори, д – перехідник до BNC
Коаксіальні кабелі застосовуються в технологіях Ethernet 10Base-5 ("товстий" кабель, класичний Ethernet) і 10Base-2 ("тонкий" кабель, CheaperNet) зі швидкістю передачі 10 Мбіт/с. Ethernet для коаксіала допускає тільки шинну топологію, Т-подібні відгалуження для підключення абонентів неприпустимі. Кабельний сегмент (послідовність електрично з’єднаних відрізків) повинен мати на кінцях 50-Омні зовнішні термінатори (2 шт.). Неправильний термінований сегмент (термінатори відсутні або їх опір не 50 Ом) є непрацездатним. До відмови всього сегмента призводить обрив або коротке замикання в будь-якій його частині (не зможуть зв’язатися абоненти, розташовані навіть з однієї сторони обриву). Кожен сегмент повинен заземлюватися в одній (і тільки одній!) точці. Кабелі компонуються коаксіальними вилками з обох боків. Для поєднання відрізків кабелю застосовують I-конектори (N і BNC, у залежності від типу кабелю).
Переважним кабелем для горизонтальної підсистеми є неекранована кручена пара категорії 5. Її позиції ще більш зміцняться з прийняттям специфікації 802.3аb для застосування на цьому виді кабелю технології Gigabit Ethernet.
На рис. 2.10 показані типові комутаційні елементи структурованої кабельної системи, які застосовані на поверсі при прокладці неекранованої крученої пари. Для скорочення кількості кабелів тут установлені 25-парний кабель і роз’єм для такого типу кабелю Telco, який має 50 контактів.
Кабель вертикальної (або магістральної) підсистеми, що з’єднує поверхи будинку, повинен передавати дані на великі відстані і з більшою швидкістю в порівнянні з кабелем горизонтальної підсистеми. У минулому основним видом кабелю для вертикальних підсистем був коаксіал. Тепер для цієї мети все частіше використовується оптоволоконний кабель.
Для вертикальної підсистеми вибір кабелю на даний час обмежується трьома варіантами:
Оптоволокно – відмінні характеристики пропускної спроможності, відстані і захисту даних, стійкість до електромагнітних перешкод. Може передавати голос, відео і дані. Порівняно дорогий та складний в обслуговуванні.
Товстий коаксіал – гарні характеристики пропускної спроможності, відстані і захисту даних, може передавати дані. Але з ним складно працювати.
Широкосмуговий кабель, який використовується у кабельному телебаченні – гарні показники пропускної спроможності і відстані. Може передавати голос, відео і дані. Потрібні великі витрати під час експлуатації.
Рис. 2.10. Комутаційні елементи горизонтальної підсистеми
2.4 Оптоволоконний кабель
Основні області застосування оптоволоконного кабелю – вертикальна підсистема і підсистеми кампусів. Однак, якщо потрібен високий ступінь захищеності даних, висока пропускна спроможність або стійкість до електромагнітних перешкод, волоконно-оптичний кабель може використовуватися й у горизонтальних підсистемах. З волоконно-оптичним кабелем працюють протоколи AppleTalk, ArcNet, Ethernet, FDDI і Token Ring, l00VG-AnyLAN, Fast Ethernet, ATM.
Вартість установки мереж на оптоволоконному кабелі для горизонтальної підсистеми виявляється досить високою. Ця вартість складається з вартості мережних адаптерів і вартості монтажних робіт, що у випадку оптоволокна набагато вище, ніж при роботі з іншими видами кабелю.
Застосування волоконно-оптичного кабелю у вертикальній підсистемі має ряд переваг. Він передає дані на дуже великі відстані без необхідності регенерації сигналу. Він має осердя меншого діаметра, тому може бути прокладений у вужчих місцях. Оптоволоконний кабель нечутливий до електромагнітних і радіочастотних перешкод, на відміну від мідного коаксіального кабелю тому, що сигнали є світловими, а не електричними. Це робить оптоволоконний кабель ідеальним середовищем передачі даних для промислових мереж. Оптоволоконному кабелю не страшна блискавка, тому він підходить для зовнішньої прокладки. Він забезпечує більш високий ступінь захисту від несанкціонованого доступу тому, що відгалуження набагато легше знайти, ніж у випадку мідного кабелю (при відгалуженні різко зменшується інтенсивність світла).
Оптоволоконний кабель має і недоліки. Він дорожчий за мідний кабель, дорожче обходиться і його прокладка. Оптоволоконний кабель менш міцний, ніж коаксіальний. Інструменти, які використовуються при прокладці і тестуванні оптоволоконного кабелю, мають високу вартість і складні в роботі. Приєднання конекторів до оптоволоконого кабелю вимагає великого мистецтва і часу, а отже, і грошей.
Для зменшення вартості побудови міжповерхової магістралі на оптоволокні деякі компанії, наприклад AMP, пропонують кабельну систему з одним комутаційним центром. Звичайно, комутаційний центр є на кожному поверсі, а в будинку мається загальний комутаційний центр (рис. 3.10), який з’єднує між собою комутаційні центри поверхів. При такій традиційній схемі і використанні волоконно-оптичного кабелю між поверхами потрібно виконувати досить велике число оптоволоконних з’єднань в комутаційних центрах поверхів. Якщо ж комутаційний центр у будинку один, то всі оптичні кабелі розходяться з єдиної кросової шафи прямо до роз’ємів кінцевого устаткування – комутаторів, концентраторів або мережних адаптерів з оптоволоконними трансиверами.
Товстий коаксіальний кабель також можливо використовувати як магістраль мережі, однак для нових кабельних систем більш раціонально використовувати оптоволоконний кабель тому, що він має більший термін служби і зможе в майбутньому підтримувати високошвидкісні і мультимедійні прикладення. Але для вже існуючих систем товстий коаксіальний кабель служив магістраллю системи багато років, і з цим потрібно рахуватися. Причинами його широкого застосування були: широка смуга пропускання, висока захищеність від електромагнітних перешкод і низьке радіовипромінювання.
Хоча товстий коаксіальний кабель і дешевше, ніж оптоволокно, але з ним набагато складніше працювати. Він особливо чутливий до різних рівнів напруги заземлення, що часто буває при переході від одного поверху до іншого. Цю проблему складно обійти, тому "кабелем номер один" для горизонтальної підсистеми сьогодні є волоконно-оптичний кабель.
Як і для вертикальних підсистем, оптоволоконний кабель є найкращим вибором для підсистем декількох будинків, розташованих у радіусі декількох кілометрів. Для цих підсистем також підходить товстий коаксіальний кабель.
При виборі кабелю для кампусу потрібно враховувати вплив середовища на кабель поза приміщенням. Для запобігання ураження блискавкою краще вибрати для зовнішньої проводки неметалевий оптоволоконний кабель. З багатьох причин зовнішній кабель виробляється в поліетиленовій захисній оболонці високої щільності. При підземній прокладці кабель повинен мати спеціальну вологозахисну оболонку (від дощу і підземної вологи), а також металевий захисний шар від гризунів і вандалів. Вологозахищений кабель має прошарок з інертного газу між діелектриком, екраном і зовнішньою оболонкою.
2.5 Висновок
Детальний аналіз фізичної сутності та порядка використання каналів передачі даних в гетерогенних комп’ютерних мережах дозволив зробити ряд висновків:
використання каналів передачі даних при побудові гетерогенних комп’ютерних мережах відбувається в рамках структурованої кабельної системи;
типова ієрархічна структура структурованої кабельної системи включає: горизонтальні підсистеми; вертикальні підсистеми; підсистему кампусу;
використання структурованої кабельної системи дає багато переваг: універсальність, збільшення терміну служби, зменшення вартості добавлення нових користувачів і зміни місць їх розташування, можливість легкого розширення мережі, забезпечення ефективнішого обслуговування, надійність;
при виборі типу кабелю приймають до уваги такі характеристики: пропускна спроможність, відстань, фізична захищеність, електромагнітна перешкодозахищеність, вартість;
найбільш поширеними є такі типи кабелю: кручена пара (екранована і неекранована), коаксіальний кабель, оптоволоконний кабель (одно- і багатомодовий);
для горизонтальної підсистеми найбільш прийнятним варіантом є неекранована кручена пара, для вертикальної підсистеми і підсистеми кампусу – оптоволоконний кабель або коаксіал;
Крім того, результати аналізу побудованої моделі комп'ютерної мережі за допомогою програмного пакету проектування і моделювання гетерогенних комп'ютерних мереж NetCracker Professional дозволили зробити висновок, про те що вибрані технології і фізичне середовище каналів передачі даних в мережі дозволяють функціонувати даної ГКМ в повному об'ємі покладених на неї функцій по обміну інформацією між хостами мережі.
РОЗДІЛ 3
Сутність існуючих методів доступу до каналів комп’ютерних мереж
Методи доступу до загального поділюваного середовища передачі даних можна розділити на два великих класи: випадкові і детерміновані.
Випадкові методи доступу передбачають можливість захвату загального поділюваного середовища передачі даних будь-яким вузлом мережі у довільний випадковий момент часу, якщо в даний момент він вважає середовище вільним.
Через це не виключена можливість одночасного захоплення середовища двома або більше станціями мережі, що призводить до помилок передачі даних. Таке явище називається колізією. Таким чином, колізія в середовищі передачі – це спотворення даних, викликане накладенням сигналів при одночасній передачі кадрів декількома станціями.
Детерміновані методи, навпаки, передбачають можливість надання загального середовища в розпорядження вузла мережі за суворо визначеним (детермінованим) порядком. При використанні детермінованих методів колізії неможливі, але вони є більш складними в реалізації і збільшують вартість мережного обладнання.
3.1 Метод доступу до каналів комп’ютерних мереж з перевіркою несучої та виявленням колізій CSMA/CD
Метод багатостанційного доступу до середовища з контролем несучої та виявленням колізій (Carrier Sense Multiply Access / Collision Detection – CSMA/CD) походить від радіомереж.
Дана схема являє собою схему зі змаганням, у якій мережні вузли змагаються за право використання середовища. Вузол, що виграв змагання, може передати один пакет, а потім повинен звільнити середовище для інших вузлів. Якщо вузол вже використовує середовище, всі інші вузли повинні відкласти свої передачі, поки не звільниться середовище. При цьому здійснюється перевірка активності середовища (контроль несучої), коли відсутність активності означає, що середовище вільне. Тоді передачу можуть почати відразу декілька вузлів. Якщо один вузол встиг почати передачу, середовище стає зайнятим, а всі інші вузли, що спізнились, повинні чекати на його звільнення. Але якщо декілька вузлів починають передачу майже одночасно, спостерігається колізія. У цьому випадку всі передавачі повинні припинити свою передачу і зачекати деякий час перед її поновленням. Щоб уникнути повторення колізій, час чекання вибирається випадковим чином.
Рис. 3.1 представляє діаграму станів, яка ілюструє операції канального рівня, що реалізує схему CSMA/CD. Значну частину часу канальний рівень знаходиться в стані прослуховування каналу зв’язку. У цьому стані аналізуються всі кадри, передані фізичним рівнем (середовищем). Якщо заголовок кадру містить адресу отримувача, що збігається з адресою вузла, канальний рівень переходить до стану прийому, під час якого відбувається прийом кадру.
Рис. 3.1. Алгоритм CSMA/CD
Коли прийом кадру завершений, про це повідомляється вищому (мережному) рівню мережі, а канальний рівень повертається до стану прослуховування. Можливо, що колізія відбудеться під час прийому кадру. У цьому випадку прийом кадру переривається і канальний рівень переходить до стану прослуховування. Кадр можна передати в середовище тільки за запитом мережного рівня. Коли робиться такий запит і вузол не знаходиться в стані прийому, канальний рівень переходить до стану чекання. У цьому стані вузол чекає, коли середовище звільниться. Після звільнення середовища починається передача кадру. Якщо передача завершується успішно (без колізії), стан знову змінюється на стан прослуховування. Якщо під час передачі кадру трапляється колізія, передача переривається і її треба повторити знову. При цьому стан змінюється на стан затримки. У цьому стані вузол знаходиться деякий час і потім знову переходить до стану чекання.
Час затримки при кожній колізії обчислюється щоразу наново. Існує багато способів обчислення часу затримки. Основна мета полягає в недопущенні таких блокувань, із яких пара вузлів, що викликали колізію, не може вийти. Наприклад, такі блокування могли б зустрітися, якби час затримки був однаковим для всіх вузлів мережі. Після колізії обидва вузли затримали б свої операції на той самий час, а потім одночасно виявили, що середовище вільне, і знову одночасно почали передачу. У результаті виявилася б ще одна колізія, і цей процес ніколи не скінчився. Одним із способів запобігання взаємних блокувань є вибір часу затримки, пропорційний значенню адреси вузла (ID). Це ефективний спосіб, однак він забезпечує певні переваги вузлам із меншими значеннями адрес. Після колізії час затримки для вузла з найнижчим значенням адреси закінчується швидше інших, і він захоплює середовище. Інші вузли, зв’язані з колізією, при виході зі стану затримки знаходять середовище зайнятим. В іншому способі час затримки вибирається випадково. Цей спосіб не припускає ніяких пріоритетів, але він не застрахований від наступних колізій. У цьому випадку не можна гарантувати можливості передачі кадру протягом якогось фіксованого відрізка часу тому, що можуть зустрічатися повторні колізії, кількість яких невизначена.
Ethernet – це найпоширеніший стандарт локальних мереж. У мережах Ethernet використовується метод доступу до середовища передачі даних CSMA/CD.
Цей метод застосовується винятково в мережах із логічною загальною шиною. Одночасно всі комп’ютери мережі мають можливість негайно (із врахуванням затримки поширення сигналу по фізичному середовищу) одержати дані, які будь-який з комп’ютерів почав передавати на загальну шину (рис. 3.2). Простота схеми підключення – це один з факторів, що визначили успіх стандарту Ethernet. Кажуть, що кабель, до якого підключені всі станції, працює в режимі колективного доступу (Multiply Access – MA).
Рис. 3.2. Метод випадкового доступу CSMA/CD
Всі дані, передані по мережі, розміщуються в кадри визначеної структури і супроводжуються унікальною адресою станції-отримувача.
Щоб одержати можливість передавати кадр, станція повинна переконатися, що поділюване середовище вільне. Це досягається прослуховуванням основної гармоніки сигналу, що також називається несучою частотою (Carrier Sense – CS). Ознакою незайнятості середовища є відсутність в ньому несучої частоти, яка при манчестерському способі кодування дорівнює 5 ÷ 10 МГц, у залежності від послідовності одиниць і нулів, переданих на даний момент.
Якщо середовище вільне, то вузол має право почати передачу кадру. Цей кадр зображений на рис. 3.2 першим. Вузол 1 виявив, що середовище вільне, і почав передавати свій кадр. У класичній мережі Ethernet на коаксіальному кабелі сигнали передавача вузла 1 поширюються в обидва боки так, що їх одержують всі вузли мережі. Кадр даних завжди супроводжується преамбулою (preamble), що складається з 7 байтів, які складаються із значень 10101010, і 8-го байта, рівного 10101011. Преамбула потрібна для входження приймача в побітовий і побайтовий синхронізм із передавачем.
Всі станції, підключені до кабелю, можуть розпізнати факт передачі кадру, і та станція, яка розпізнає власну адресу в заголовках кадру, записує його вміст у свій внутрішній буфер, оброблює отримані дані, передає їх нагору по своєму стеку, а потім посилає по кабелю кадр-відповідь. Адреса станції-відправника міститься у вихідному кадрі, тому станція-отримувач знає, кому потрібно надіслати відповідь. Вузол 2 під час передачі кадру вузлом 1 також намагався почати передачу свого кадру, однак виявив, що середовище зайняте – в ньому присутня несуча частота – тому вузол 2 змушений чекати, поки вузол 1 не припинить передачу кадру.
Після закінчення передачі кадру всі вузли мережі зобов’язані витримати технологічну паузу (Inter Packet Gap) у 9,6 мкс. Ця пауза – так званий міжкадровий інтервал – потрібна для приведення мережних адаптерів до вихідного стану, а також для запобігання монопольного захоплення середовища однією станцією. Після закінчення технологічної паузи вузли мають право почати передачу свого кадру тому, що середовище вільне. Через затримку поширення сигналу по кабелю не всі вузли чітко одночасно фіксують факт закінчення передачі кадру вузлом 1. У наведеному прикладі вузол 2 дочекався закінчення передачі кадру вузлом 1, зробив паузу в 9,6 мкс і почав передачу свого кадру.
3.2 Методи подолання колізій
При описаному підході можлива ситуація, коли дві станції одночасно намагаються передати кадр даних по загальному середовищу. Механізм прослуховування середовища і паузи між кадрами не гарантують від виникнення такої ситуації, коли дві або більше станцій одночасно вирішують, що середовище вільне, і починають передавати свої кадри. Вважають, що при цьому відбувається колізія (collision) тому, що вміст обох кадрів зіштовхується на загальному кабелі і відбувається перекручування інформації – методи кодування, використовувані в Ethernet, не дозволяють виділяти сигнали кожної станції з загального сигналу.
Колізія – це нормальна ситуація в роботі мереж Ethernet. У прикладі, зображеному на рис. 3.3, колізію породила одночасна передача даних вузлами 3 і 1. Для виникнення колізії необов’язково, щоб декілька станцій почали передачу абсолютно одночасно, така ситуація малоймовірна. Набагато ймовірніше, що колізія виникає через те, що один вузол починає передачу раніше другого, але до другого вузла сигнали першого просто не встигають дійти на той час, коли другий вузол вирішує почати передачу свого кадру. Тобто колізії – це наслідок розподіленого характеру мережі.
Щоб коректно обробити колізію, всі станції одночасно спостерігають за виникаючими у кабелі сигналами. Якщо передані сигнали і сигнали, що спостерігаються, відрізняються, то фіксується виявлення колізії (collision detection, CD). Для збільшення імовірності швидкого виявлення колізії всіма станціями мережі станція, що виявила колізію, перериває передачу свого кадру (у довільному місці, можливо, і не на межі байта) і підсилює ситуацію колізії посиланням в мережу спеціальної послідовності з 32-х бітів – так званої jam-послідовності.
Після цього передаюча станція, яка виявила колізію, зобов’язана припинити передачу і зробити паузу протягом короткого випадкового інтервалу часу. Потім вона може знову почати спробу захоплення середовища і передачі кадру. Тривалість випадкової паузи вибирається за виразом
Пауза = T ´ L,
деT – інтервал чекання, який дорівнює 512 бітовим інтервалам (у технології Ethernet прийнято всі інтервали вимірювати в бітових інтервалах; бітовий інтервал позначається як bt і відповідає часу між появою двох послідовних бітів даних на кабелі; для швидкості 10 Мбіт/с розмір бітового інтервалу дорівнює 0,1 мкс або 100 нс);
L – ціле число, обране з рівною імовірністю з діапазону [0, 2N], де N – номер повторної спроби передачі даного кадру: 1, 2, ... , 10.
Після 10-ї спроби інтервал, із якого вибирається пауза, не збільшується. Таким чином, випадкова пауза може приймати значення від 0 до 52,4 мс.
Якщо 16 послідовних спроб передачі кадру викликають колізію, то передавач повинен припинити спроби і видалити цей кадр.
Із описання методу доступу CSMA/CD видно, що він носить ймовірнісний характер, і ймовірність успішного одержання у своє розпорядження загального середовища залежить від завантаженості мережі, тобто від інтенсивності виникнення у станцій потреби в передачі кадрів. При розробці цього методу наприкінці 70-х років передбачалося, що швидкість передачі даних у 10 Мбіт/с дуже висока в порівнянні з потребами комп’ютерів у взаємному обміні даними, тому завантаження мережі буде завжди невеликим. Це припущення залишається іноді справедливим і донині, однак уже з’явилися прикладення, які працюють у реальному масштабі часу з мультимедійною інформацією, що дуже завантажують сегменти Ethernet. При цьому колізії виникають набагато частіше. При значній інтенсивності колізій корисна пропускна спроможність мережі Ethernet різко падає тому, що мережа майже постійно зайнята повторними спробами передачі кадрів. Для зменшення інтенсивності виникнення колізій потрібно або зменшити трафік, скоротивши, наприклад, кількість вузлів у сегменті, чи замінивши прикладення, або підвищити швидкість протоколу, наприклад перейти на Fast Ethernet.
Слід зазначити, що метод доступу CSMA/CD взагалі не гарантує станції, що вона коли-небудь зможе одержати доступ до середовища. Звичайно, при невеликому завантаженні мережі імовірність такої події невелика, але при коефіцієнті використання мережі, що наближається до 1, така подія стає дуже ймовірною. Цей недолік методу випадкового доступу – плата за його надзвичайну простоту, що зробила технологію Ethernet найдешевшою. Інші методи доступу – маркерний доступ мереж Token Ring і FDDI, метод Demand Priority мереж 100VG-AnyLAN – не мають цього недоліку.
Чітке розпізнавання колізій всіма станціями мережі є необхідною умовою коректної роботи мережі Ethernet. Якщо якась станція, що передає, не розпізнає колізію і вирішить, що кадр даних переданий нею вірно, то цей кадр даних буде загублений. Через накладення сигналів при колізії інформація кадру перекрутиться, і він буде відбракований станцією, яка приймає (можливо, через розбіжність контрольної суми). Найімовірніше, перекручена інформація буде повторно передана яким-небудь протоколом верхнього рівня, наприклад, транспортним або прикладним, що працює зі встановленням з’єднання. Але повторна передача повідомлення протоколами верхніх рівнів відбудеться через значно триваліший інтервал часу (іноді навіть через декілька секунд) у порівнянні з мікросекундними інтервалами, якими оперує протокол Ethernet. Тому, якщо колізії не будуть надійно розпізнаватися вузлами мережі Ethernet, то це призведе до помітного зниження корисної пропускної спроможності даної мережі.
3.3 Метод маркерного доступу в локальних мережах з різною топологією
Даний метод характеризується тим, що в ньому право використання середовища передається від вузла до вузла організаційним способом, а не шляхом змагання. Право на використання середовища передається за допомогою унікального кадру (названого маркером) уздовж логічного кільця в мережі з використанням адресації вузлів. Кожен вузол ідентифікується власним ідентифікатором (ID). У схемі типу шини з передачею маркера кожному вузлу відомий ідентифікатор наступного вузла в логічному кільці (NID – Next ID). Зазвичай наступний вузол має адресу з більшим значенням ID. Рис. 3.4 ілюструє поняття логічного кільця.
Крім передачі маркера, схема із шиною повинна вирішувати проблему втрати маркера і реконфігурації кільця. Втрата маркера може відбутися через ушкодження одного з вузлів логічного кільця. На деякий момент часу маркер приходить до ушкодженного вузла, але вузол не пропускає його далі, і інші вузли не одержують маркер. Реконфігурація кільця виконується, коли в логічне кільце добавляється або з нього вилучається один із вузлів.
Під час нормальної роботи, тобто коли не виконується ні відновлення маркера, ні реконфігурація кільця, кожен вузол працює відповідно до діаграми станів, поданої на рис. 3.4. Велику частину часу канальний рівень знаходиться в стані прослуховування.
Рис. 3.4. Логічне кільце
Якщо заголовок вхідного кадру в якості адреси отримувача містить ID вузла, вузол переходить до стану прийому і відбувається прийом кадру. Якщо прийнятий кадр є кадром даних, мережний рівень інформується про прийом, а канальний рівень повертається до стану прослуховування. Однак, якщо прийнятий кадр є маркером, це означає, що вузол одержує право передачі в середовище. Якщо на той час є кадр даних, що чекає передачі, стан змінюється на стан передачі кадру і починається його передача.
Після завершення передачі кадру стан змінюється на стан передачі маркера і починається передача маркера. Якщо на момент одержання маркера вузол не має кадру даних для передачі, стан канального рівня змінюється відразу на стан передачі маркера. Після передачі маркера стан знову змінюється на стан прослуховування середовища.
Діаграма станів, що представляє операції канального рівня під час реконфігурації кільця і відновлення маркера, показана на рис. 3.5.
Рис. 3.5. Протокол для шини з передачею маркера (нормальна робота)
Для успішної реконфігурації кільця використовуються три стани: збою, бездіяльності й опитування. При наявності тільки одного вузла неможливо здійснити реконфігурацію кільця. Спроба реконфігурації з єдиним вузлом призводить до стану чекання збою, поки в мережу не буде доданий ще один вузол. Для відновлення маркера досить двох станів: бездіяльності й опитування. Як у випадку реконфігурації, так і у випадку відновлення маркера, як тільки встановлюється NID, стан канального рівня змінюється на стан нормальної роботи. Деталі цього стану подані на рис. 3.5. Зауважимо, що перехід канального рівня до стану нормальної роботи є фактично переходом до стану прослуховування відповідно до рис. 3.5. Відзначимо також, що маркер можна сприйняти як загублений (що викликає перехід до стану бездіяльності) тільки тоді, коли канальний рівень знаходиться в стані прослуховування. В усіх інших станах на рис. 3.6 вузол володіє маркером і тому не може загубити його.
Рис. 3.6. Протокол для шини з передачею маркера (реконфігурація мережі та відновлення маркера)
Коли новий вузол підключається до мережі, він входить до стану збою, при якому в середовище починає передаватися безперервна збійна послідовність. Перешкоди в середовищі повинні викликати втрату маркера, примушуючи таким чином усі вузли, що беруть участь у передачі маркера по логічному кільцю, почати процедуру відновлення маркера. Після збою всі вузли, включаючи і новий, переходять до стану бездіяльності.
Вузол можна збудити, коли мине час його бездіяльності або коли він одержить маркер. Час бездіяльності різний для кожного вузла і пропорційний значенню ID. Оскільки всі вузли входять до стану бездіяльності практично одночасно, вузол із меншим значенням ID збудиться першим.
Після збудження вузол переходить до стану опитування, у якому він посилає маркер наступному вузлу в логічному кільці, починаючи з вузла NID, адреса якого на одиницю більше його власного ID (названого "my" ID або MID). Після посилання маркера вузлу, адресованому поточним значенням NID, вузол, що опитує, якийсь час чекає відповіді. Якщо в мережі немає вузла з таким ID, то немає і відповіді, і вузол, що опитує, збільшує NID на 1 і знову посилає маркер. Якщо в мережі є вузол із таким ID, він повинен бути в стані бездіяльності. Прихід маркера збуджує його, і він сам починає опитування мережі. Початок опитування наступним вузлом розглядається попереднім вузлом як відгук, і він вважає, що NID встановлений і переходить до стану нормальної роботи. Таким чином, стан опитування переходить від одного вузла до іншого за напрямком зростання розміру ID.
Логічне кільце замикається, коли вузол із найбільшим ID встановлює NID, що є адресою вузла, який збудився першим (із найменшим значенням ID, наявним у мережі).
На цей момент вузол із найменшим значенням ID уже знаходиться в стані нормальної роботи. Таким чином, коли він одержує опитуючий маркер, він не продовжує опитування, а посилає маркер вузлу з попередньо встановленим NID. На цьому опитування завершується і реконфігурація кільця, або відновлення маркера, закінчується.
Схема доступу до кільцевого середовища з передачею маркера.
Основна відмінність між даною схемою і двома попередніми полягає у фізичній топології середовища. Як метод CSMA/CD, так і метод доступу до шини з передачею маркера, використовують спосіб фізичного підключення до шини, на той час як кільцева схема з передачею маркера будується на топології фізичного кільця.
Сигнали, передані вузлом мережі, заснованої на топології фізичної шини, поширюються по всьому середовищу (широкомовна передача). У топології фізичного кільця сигнали поширюються через однонаправлені двохточечні шляхи між вузлами мережі. Вузли й однонаправлені ланки з’єднуються послідовно, формуючи фізичне кільце. У шинній структурі вузли діють тільки як передавачі або приймачі. Якщо вузол видалиться з мережі із шинною структурою, наприклад, у результаті несправності, це не вплине на проходження сигналу до інших вузлів.
Деякі мережі з кільцевою топологією використовують метод естафетної передачі. Спеціальне коротке повідомлення-маркер циркулює по кільцю, поки комп’ютер не зажадає передати інформацію іншому вузлу. Він модифікує маркер, добавляє електронну адресу і дані, а потім відправляє його по кільцю. Кожен із комп’ютерів послідовно одержує даний маркер із доданою інформацією і передає його сусідній машині, поки електронна адреса не збіжиться з адресою комп’ютера-отримувача, або маркер не повернеться до відправника. Комп’ютер, що одержав повідомлення, повертає відправнику відповідь, яка підтверджує, що повідомлення прийняте. Тоді відправник створює ще один маркер і відправляє його в мережу, що дозволяє іншій станції перехопити маркер і почати передачу. Маркер циркулює по кільцю, поки якась із станцій не буде готова до передачі і не захопить його.
У кільцевій структурі при поширенні сигналу вузли відіграють активну роль. Для досягнення вузла-отримувача сигнали, породжені портом вузла-відправника, повинні бути передані всіма вузлами, розміщеними по кільцю між вузлами відправника і отримувача. Відзначимо, що, як показано на рис. 3.7, у кожному вузлі сигнали передаються усередині самого вузла від прийомного порту до передаючого порту. Під час цієї передачі вузли можуть аналізувати і модифікувати вхідні сигнали.
Рис. 3.7. Структура фізичного кільця
Перевага такого рішення полягає в тому, що сигнали під час передачі можуть підсилюватися, і, отже, максимальна довжина фізичного кільця не обмежується внаслідок ослаблення сигналу в середовищі. Однак ушкодження окремого вузла або кабельного сегмента фізичного кільця призводить до руйнації шляху проходження сигналів, і вся мережа виходить із ладу. Ця проблема кільцевих мереж із передачею маркера вирішується шляхом використання змішаної зірково-кільцевої топології (рис. 3.8).
Це рішення вимагає використання ведучих концентраторів, що можна легко (можливо, автоматично) переключити для обходження ушкоджених вузлів. Проста зміна внутрішньої конфігурації ведучого концентратора призводить до роз’єднання вузла C із мережею і зберігання кільцевого зв’язку для інших вузлів.
Як і у випадку шинної структури з передачею маркера, у схемі доступу до кільцевого середовища в якості маркера використовується унікальна послідовність бітів. Однак у цьому випадку маркер не має адреси. Замість цього маркер може перебувати в двох станах: вільному і зайнятому.
Рис. 3.8. Зірково-кільцева топологія
Якщо в жодному з вузлів кільця немає кадрів даних для передачі, вільний маркер циркулює по кільцю. Зауважимо, що на кожен конкретний момент часу в кільці циркулює тільки один вільний маркер (рис. 3.9, а). Вузол, у якого є кадр даних для передачі, повинен чекати, поки не одержить вільний маркер. На момент приходу вільного маркера вузол змінює його стан на "зайнятий", передає його далі по кільцю і добавляє до зайнятого маркера кадр даних.
Рис. 3.9. Передача маркера і пакета в кільцевій мережі з передачею маркера
Зайнятий маркер разом із кадром даних передається по всьому кільцю (рис. 3.9, б). Змінити стан маркера знову на вільний може тільки той вузол, який змінив його на зайнятий. Кадр даних містить у своєму заголовку адресу отримувача. При проходженні через вузол-отримувач кадр копіюється. Наприклад, кадр даних, сформований у вузлі А, був посланий вузлу С. Зайнятий маркер (разом із кадром даних, що надходить за маркером) повинен бути ретрансльованим вузлами B, С і D. Однак у вузлі С кадр даних буде скопійованим. Іншими словами, усі вузли кільця, за винятком вузла відправника, ретранслюють пакет, але його приймає тільки один із них (вузол-отримувач). Коли зайнятий маркер разом із кадром повертається у вузол відправника, стан маркера змінюється на вільний, а кадр даних видаляється з кільця, тобто просто не передається далі (рис. 3.9, в).
Як тільки маркер стає вільним, будь-який вузол може змінити його стан на зайнятий і почати передачу даних.
Протокол кільцевої мережі з передачею маркера повинен вирішувати проблему втрати маркера в результаті помилок при передачі, а також при збоях у вузлі або в середовищі. Ці функції виконуються мережним моніторним вузлом. Наприклад, відсутність передач у мережі означає втрату маркера. Якщо виявлена втрата маркера, мережний монітор починає процедуру відновлення кільця.
3.4 Висновок
Таким чином, методи доступу до загального поділюваного середовища передачі даних можна розділити на два великих класи: випадкові і детерміновані.
Випадкові методи доступу передбачають можливість захвату загального поділюваного середовища передачі даних будь-яким вузлом мережі у довільний випадковий момент часу, якщо в даний момент він вважає середовище вільним.
Детерміновані методи, навпаки, передбачають можливість надання загального середовища в розпорядження вузла мережі за суворо визначеним (детермінованим) порядком.
РОЗДІЛ 4
Засоби здійснення авторізації доступу до каналів комп’ютерних мереж
4.1 Місце процесів авторизації доступу при організації інформаційних систем на основі комп’ютерних мереж
Інформація є одним з найбільш цінних ресурсів будь-якої компанії, тому забезпечення захисту інформації є одному з найважливіших і пріоритетніших завдань.
Безпека інформаційної системи (ІС) - це властивість, що укладає в здатності системи забезпечити її нормальне функціонування, тобто забезпечити цілісність і секретність інформації. Для забезпечення цілісності і конфіденційності інформації необхідно забезпечити захист інформації від випадкового знищення або несанкціонованого доступу до неї.
Під цілісністю розуміється неможливість несанкціонованого або випадкового знищення, а також модифікації інформації. Під конфіденційністю інформації - неможливість витоку і несанкціонованого заволодіння інформації, що зберігається, передаваної або такої, що приймається.
Відомі наступні джерела погроз безпеці інформаційних систем:
антропогенні джерела, викликані випадковими або навмисними діями суб'єктів;
техногенні джерела, що приводять до відмов і збоїв технічних і програмних засобів із-за застарілих програмних і апаратних засобів або помилок в ПЗ;
стихійні джерела, викликані природними катаклізмами або форс-мажорними обставинами.
У свою чергу антропогенні джерела погроз діляться:
на внутрішні (дії з боку співробітників компанії) і зовнішні (несанкціоноване втручання сторонніх осіб із зовнішніх мереж загального призначення) джерела;
на ненавмисні (випадкові) і навмисні дії суб'єктів.
Існує достатньо багато можливих напрямів витоку інформації і шляхів несанкціонованого доступу до неї в системах і мережах:
перехоплення інформації;
модифікація інформації (початкове повідомлення або документ змінюється або підміняється іншим і відсилається адресатові);
підміна авторства інформації (хтось може послати лист або документ від вашого імені);
використання недоліків операційних систем і прикладних програмних засобів;
копіювання носіїв інформації і файлів з подоланням мерів захисту;
незаконне підключення до апаратури і ліній зв'язку;
маскування під зареєстрованого користувача і привласнення його повноважень;
введення нових користувачів;
впровадження комп'ютерних вірусів і так далі.
Для забезпечення безпеки інформаційних систем застосовують системи захисту інформації, які є комплексом організаційно - технологічних мерів, програмно - технічних засобів і правових норм, направлених на протидію джерелам погроз безпеці інформації.
При комплексному підході методи протидії погрозам інтегруються, створюючи архітектуру безпеки систем. Необхідно відзначити, що будь-яка системи захисту інформації не є повністю безпечною. Завжди доводитися вибирати між рівнем захисту і ефективністю роботи інформаційних систем.
До засобів захисту інформації ІС від дій суб'єктів відносяться:
засоби захист інформації від несанкціонованого доступу;
захист інформації в комп'ютерних мережах;
криптографічний захист інформації;
електронний цифровий підпис;
захист інформації від комп'ютерних вірусів.
Під захистом інформації від несанкціонованого доступу понімається діставання доступу до ресурсів інформаційної системи шляхом виконання трьох процедур: ідентифікація, аутентифікація і авторизація.
Ідентифікація - привласнення користувачеві (об'єкту або суб'єктові ресурсів) унікальних імен і код (ідентифікаторів).
Аутентифікація - встановлення достовірності користувача, що представив ідентифікатор або перевірка того, що особа або пристрій, що повідомив ідентифікатор є дійсно тим, за кого воно себе видає. Найбільш поширеним способом аутентифікації є привласнення користувачеві пароля і зберігання його в комп'ютері.
Авторизація - перевірка повноважень або перевірка права користувача на доступ до конкретних ресурсів і виконання певних операцій над ними. Авторизація проводиться з метою розмежування прав доступу до мережевих і комп'ютерних ресурсів.
Для централізованого вирішення завдань авторизації в крупних мережах предназначена мережева служба Kerberos. Вона може працювати в середовищі багатьох популярних операційних систем. У основі цієї достатньо громіздкої системи лежить декілька простих принципів.
У мережах, що використовують систему безпеки Kerberos, всі процедури аутентифікації між клієнтами і серверами мережі виконуються через посередника, якому довіряють обидві сторони аутентифікаційного процесу, причому таким авторитетним арбітром є сама система Kerberos.
У системі Kerberos клієнт повинен доводити свою автентичність для доступу до кожної служби, послуги якої він викликає.
Всі обміни даними в мережі виконуються в захищеному вигляді з використанням алгоритму шифрування.
Мережева служба Kerberos побудована по архітектурі клієнт-сервер, що дозволяє їй працювати в найскладніших мережах. Kerberos-клиент встановлюється на всіх комп'ютерах мережі, які можуть звернеться до якої-небудь мережевої служби. У таких випадках Kerberos-клиент від імені користувача передає запит на Kerberos-сервер і підтримує з ним діалог, необхідний для виконання функцій системи Kerberos.
Отже, в системі Kerberos є наступні учасники: Kerberos-сервер, Kerberos-клиент і ресурсні сервери (рис. 4.1). Kerberos-клиенты намагаються дістати доступ до мережевих ресурсів – файлів, додатком, принтеру і так далі Цей доступ може бути наданий, по-перше, тільки легальним користувачам, а по-друге, за наявності у користувача достатніх повноважень, визначуваних службами авторизації відповідних ресурсних сервер, – файловим сервером, сервером додатків, сервером друку.
Рис. 4.1 Три етапи роботи системи Kerberos
Проте в системі Kerberos ресурсним серверам забороняється «безпосередньо» приймати запити від клієнтів, їм дозволяється починати розгляд запиту клієнта тільки тоді, коли на це поступає дозвіл від Kerberos-сервера. Таким чином, шлях клієнта до ресурсу в системі Kerberos складається з трьох етапів:
Визначення легальності клієнта, логічний вхід в мережу, отримання дозволу на продовження процесу діставання доступу до ресурсу.
Отримання дозволу на звернення до ресурсного сервера.
Отримання дозволу на доступ до ресурсу.
Для вирішення першого і другого завдання клієнт звертається до Kerberos-серверу. Кожне з цих завдань вирішується окремим сервером, що входить до складу Kerberos-сервера. Виконання первинної аутентифікації і видача дозволу на продовження процесу діставання доступу до ресурсу здійснюється так званим аутентифікаційним сервером (Authentication Server, AS). Цей сервер зберігає в своїй базі даних інформацію про ідентифікатори і паролі користувачів.
Другу задачу, пов'язану з отриманням дозволу на звернення до ресурсного сервера, вирішує інша частина Kerberos-сервера – сервер квитанцій (Ticket-Granting Server, TGS). Сервер квитанцій для легальних клієнтів виконує додаткову перевірку і дає клієнтові дозвіл на доступ до потрібного йому ресурсному серверу, для чого наділяє його електронною формою-квитанцією. Для виконання своїх функцій сервер квитанцій використовує копії секретних ключів всіх ресурсних серверів, які зберігаються у нього в базі даних. Окрім цих ключів сервер TGS має ще один секретний DES-ключ, який розділяє з сервером AS.
Третє завдання – отримання дозволу на доступ безпосередньо до ресурсу – вирішується на рівні ресурсного сервера.
Вивчаючи досить складний механізм системи Kerberos, не можна не задатися питанням: який вплив роблять всі ці численні процедури шифрування і обміну ключами на продуктивність мережі, яку частину ресурсів мережі вони споживають і як це позначається на її пропускній спроможності?
Відповідь вельми оптимістична – якщо система Kerberos реалізована і конфігурована правильно, вона трохи зменшує продуктивність мережі. Оскільки квитанції використовуються багато разів, мережеві ресурси, що витрачаються на запити надання квитанцій, невеликі. Хоча передача квитанції при аутентифікації логічного входу декілька знижує пропускну спроможність, такий обмін повинен здійснюватися і при використанні будь-яких інших систем і методів аутентифікації. Додаткові ж витрати незначні. Досвід впровадження системи Kerberos показав, що час відгуку при встановленій системі Kerberos істотно не відрізняється від часу відгуку без неї – навіть в дуже великих мережах з десятками тисяч вузлів. Така ефективність робить систему Kerberos вельми перспективною.
Серед вразливих місць системи Kerberos можна назвати централізоване зберігання всіх секретних ключів системи. Успішна атака на Kerberos-сервер, в якому зосереджена вся інформація, критична для системи безпеки, приводить до краху інформаційного захисту всієї мережі. Альтернативним рішенням могла б бути система, побудована на використанні алгоритмів шифрування з парними ключами, для яких характерний розподілене зберігання секретних ключів.
Ще однією слабкістю системи Kerberos є те, що початкові коди тих застосувань, доступ до яких здійснюється через Kerberos, мають бути відповідним чином модифіковані. Така модифікація називається «керберизацией» додатку. Деякі постачальники продають «керберизированные» версії своїх застосувань. Але якщо немає такої версії і немає початкового тексту, то Kerberos не може забезпечити доступ до такого застосування.
4.2 Настройка мережевих служб для здійснення авторизації доступу до мережі Інтернет
Класичним вирішенням стандарта підприємства для організації Інтернет-сервісів є сервер під управлінням UNIX. Практично завжди для Web і FTP трафіку використовують кеширующий сервер SQUID, який також є стандартом de facto.
Стандартним способом надання доступу до SQUID-серверу є доступ на основі специалицированных списків доступу (Access Lists або ACL). У свою чергу списки доступу зазвичай будуються на основі IP-сетей, яким дозволений доступ до SQUID. Наприклад, визначимо ACL, яка описує мережу 10.128.0.0/16 (або з маскою 255.255.0.0). і ACL, яка описує взагалі все адресаsquid.conf:
acl net10128 src 10.128.0.0/16
acl all src 0.0.0.0/0
а зараз дозволимо їй доступ до Інтернет ресурсам
http_access allow net10128
а всім останнім - заборонимо:
http_access deny all
Після цього, тільки комп'ютерам із заданої мережі дозволений доступ до Інтернет. При використанні Internet-ресурсов, в балку-файл squid записується інформація про конкретну адресу, що запитала конкретний Інтернет-ресурс: acess.log:
1032862411.262 96 10.128.15.4 TCP_MEM_HIT/200 2581 GET
http://www.ru/eng/images/ssilki.jpg board/sag NONE/- image/jpeg
Тут присутствует дата, розмір ресурсу, IP-адрес станції, зпросившей ресурс, і сам ресурс. З такого роду записів можна підрахувати трафік як по станції, так і по підмережі.
Проте приведена вище технологія дозволяє контролювати трафік по IP-адресу Інтернет-користувача. В більшості випадків цей спосіб цілком підходить, проте при цьому необхідно, щоб за конретним комп'ютером завжди працювала конкретна людина.
Ця умова виконується не завжди і тоді облік трафіку порушується. Ось типові умови, при яких потрібна інша схема авторизації в Інтернеті:
Різні користувачі працюють на одному і тому ж робочому місці (наприклад, позмінно).
Користувачі взагалі не прив'язані до конкретних комп'ютерів.
Користувачі працюють в термінальних сесіях термінального сервера. Тоді взагалі весь Інтернет-трафік йде з IP-адреса сервера.
Тому часто встає проблема обліку трафіку не на основі IP, а на основі іншої інформації.
4.2.1 Авторизація на основі логіна і пароля
Логічним вирішенням проблеми авторизація на основі логіна і пароля є авторизація в SQUID по логіну і раолю. Така можливість в SQUID, естесвенно передбачена. У SQUID для цього розроблена можливість авторизувати через зовнішню програму, яка просто "говорить" "та чи ні" на визначеного користувача і пароль. Т.ч. Можна проводити авторизацію по обліковому запису уміє проводити авторизацію через облікові записи UNIX, через текстові файли і тому подібне
Наприклад, для того, щоб користувач авторизувався через файл /usr/local/squid/passwd формату Веб-сервера-авторизації (формат Apache), потрібно скомпілювати squid разом з цим модулем (--enable-auth="ncsa; докладніше за див. документацію до SQUID). І в конфиг SQUID додати ACL вирішуюче правило:
Дозволити доступ користувачам dima petya vasya, паролі яких будуть перевірені через файл /usr/local/squid/passwd
acl MYUSERS proxy_auth dima petya vasya
http_access allow MYUSERS
http_access deny all
authenticate_program /usr/local/squid/bin/ncsa_auth /usr/local/squid/etc/passwd *
(*для версии 2.4).
При цьому, це вирішує поставлені в "Введенні" проблеми, проте додає деякі незручності користувачам і адміністраторові:
При первинному вході в Інтернет користувачеві потрібно набратьв броузере логін\пароль для доступу до SQUID. І кожному користувачеві необхідно пам'ятати свої параметри.
Адміністраторові необхідно вести базу логінів і паролів у файлі.
4.3.2 Авторизація через облікові записи Windows
При роботі в Windows-мережах кожен користувач при вході в мережу проходить авторизацію в NT(2000) -домене. Було б здорове використовувати ці дані для авторизації SQUID. Тоді вирішуються проблеми ведення в SQUID окремої бази даних користувачів і, як виявилось, можна вирішити проблему запиту логіна\пароля в броузере при вході в Інтернет.
Головна проблема при вирішенні авторизації через Windows-домен - знайти і набудувати програму для авторизації заданого користувача в Windows-домене. Команда SQUID рекомендує користуватися програмою winbindd, яка є частиною проекту SAMBA (реалізація Windows сервера і клієнта під UNIX), SQUID, починаючи з версії 2.5 підтримує різні схеми авторизації по логіну\паролю, включаючи basic і NTLM (NT Lan Manager). Basic-схема призначена для авторизації через введення логіна\пароля в броузере, а NTLM-схема призначена для автоматичного прийому броузером логіна, пароля і домена, під якими користувач реєструвався в Windows-домене. Т.ч. за допомогою NTLM-авторизации можна автоматично реєструватися в SQUID без ручного підтвердження логіна і пароля.
4.3.3 Практичне вирішення побудови системи авторизації через Windows домен
Практичне вирішення проблеми було знайдене досвідченим шляхом і може бути не найвитонченішим і правильнішим. Але краса його в тому, що воно дороблене та кінця і працює.
Початкові дані:
1. Комп'ютер, підключений до Інтернет зі встановленою ОС: FREEBSD 4.4 (версія і сама ОС не мають принципового значення).
2. Мережа, що містить близько 200 Windows-станций, включаючи термінальні сервери і клієнти.
3. Близько 250 аккаунтов в домені під управлінням Windows 2000 Advanced сервер (домен WORK і 4 довірителях домена).
Завдання:
Забезпечити авторизацію користувачів на SQUID через облікові записи Windows найбільш зручним способом.
План дій:
1.Установка і конфігурація SAMBA.
Отже перше, що треба зробити - встановити SAMBA для того, щоб уміти авторизуватися в Windows-домене. Я встановив версію 2.2.6pre2. Причому, важливо скомпілювати SAMBA з підтримкою winbind, тобто з параметрами:
-with-winbind
-with-winbind-auth-challenge
Примітка:
У FREEBSD SAMBA була зібрана з портів (ports) і виявилось, що з поточною версією не збирається бібліотека CUPS. Тому SAMBA була зібрана без неї (--without_cups).
Після установки, SAMBA потрібно набудувати на домен Windows мережі і на використання winbind:
[global]
workgroup = WORK - Ім'я нашого Windows-домена
netbios name = vGATE - Ім'я сервера (необов'язково)
server string = vGate
hosts allow = 10.128. 127. - Для безпеки.
winbind separator = +
winbind use default domain = yes
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/winnt/%D/%U
template shell = /bin/bash
max log size = 50
security = domain
password server = Primary Exch - сервери паролів (PDC, BDC)
encrypt passwords = yes
Слід звернути увагу на 2 речі:
1. Спочатку в параметрі password server був вказаний тільки PDC (Primary) і winbind не зміг знайти контроллер домена. Все запрацювало коли був доданий BDC (Exch).
2. Обидва імена - це NETBIOS імена і для того, щоб вони равильно інтерпретувалися в IP я прописав їх в /usr/local/etc/lmhosts
10.128.1.40 Primary
10.128.1.34 Exch
Після цього необхідне заригестрировать SAMBA в домені Windows. Для цього нужэно набрати команду:
/usr/local/sbin/smbpass -j WORK (наш домен) -r Primary(наш PDC) -UAdministrator
Після цього, слід ввести пароль адміністратора домена.
Спостерігалися проблеми з samba 2.2.4 і реєстрацією в нашому домене - саме тому була поставлена версія 2.2.6 з портів.
Далі можна запустити nmbd (/usr/local/sbin/nmbd -D) краще з включеним дебагом (-d9) і подивитися в балку-файл, що мережа нормально видно.
Далі можна сміливо пускати winbindd (/usr/local/sbin/winbindd -d9) - теж з дебагом і подивитися як він себе "відчуває" в нашій мережі. Опісля зразково секунд 10, можна перевірити а чи запустився winbind і чи функціонує він.
Для взаємодії з winbind служить команда wbinfo. Перевірити чи "бачить" вона winbindd взагалі можна командою wbinfio -p. Якщо вона відповість: 'ping' to winbindd succeeded, то означає все гаразд. Інакше треба дивитися в балку-файл winbindd і розуміти чому він не запустився. (Насправді запускається він завжди, та ось на запити відповідає тільки якщо правильно бачить мережа). Далі можна спробувати перевірити а чи бачить winbindd сервер з паролями користувачів (wbinfo -t). Сервер повинен сказати "Secret is good". І, нарешті, можна спробувати авторизуватися з UNIX в Wondows домен:
wbinfo -a пользователеь_домена%пароль.
Якщо користувач авторизувався, буде видано:
plaintext password authentication succeeded
error code was NT_STATUS_OK (0x0)
challenge/response password authentication succeeded
error code was NT_STATUS_OK (0x0)
Якщо неправильний пароль, то:
error code was NT_STATUS_WRONG_PASSWORD (0xc000006a)
Could not authenticate user dmn%doct with plaintext password
challenge/response password authentication faile
error code was NT_STATUS_WRONG_PASSWORD (0xc000006a)
Could not authenticate user dmn with challenge/response
Все це означає, що модуль wbinfo нарешті настроєний і правильно функціонує. Можна приступати до налаштування SQUID.
Тепер потрібно набудувати SQUID.
Спершу, потрібно відзначити, що NTLM схему підтримує SQUID, починаючи з версії 2.5. Тому я викачав версію 2.5.PRE13.
Далі, SQUID потрібно скомпілювати з підтримкою схем авторизації і модулем:
winbind../configure -enable-auth="ntlm,basic" \
--enable-basic-auth-helpers="winbind"\
--enable-ntlm-auth-helpers="winbind"
Тепер можна перевірити а чи розуміє SQUID-овский авторизатор winbind. Для цього потрібно запустити:
/usr/local/squid/libexec/wb_auth -d
І ввести уручну ім'я пароль (через пропуск).
Якщо все працює коректно, то програма видасть:
/wb_auth[91945](wb_basic_auth.c:129): Got 'Dmn XXXXX' from squid (length: 10).
/wb_auth[91945](wb_basic_auth.c:55): winbindd result: 0
/wb_auth[91945](wb_basic_auth.c:58): sending 'OK' to squid
Після цього, потрібно набудувати squid, щоб він коректно працював на основі IP-авторизації.
Тепер залишилося підключити авторизацію до SQUID. Для цього в конфиге SQUID потрібно описати в схеми авторизації через winbind:
auth_param ntlm program /usr/local/squid/libexec/wb_ntlmauth
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutesauth_param basic program /usr/local/squid/libexec/wb_auth
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
Причому важливо щоб NTLM авторизація йшла першою, інакше застосовуватиметься авторизація basic і IE питатиме пароль.
Далі потрібно зробити соответсвующую ACL і параметр доступу. Важливо, щоб це йшло після опису авторизацій.
acl myusers proxy_auth REQUIRED
http_access allow myusers
http_access deny all
Тепер залишається запустити SQUID і все перевірити.
Що має бути:
Якщо користувач авторизувався в домені, то IE не запитає пароль, а пойдетт відразу в Інтернет. Причому, в лог-файле SQUID буде безцінна інформація, а хто це був:
1032943720.839 180 10.128.36.5 TCP_CLIENT_REFRESH_MISS/200 1280 GET http://www.ru/eng/images/demos.jpg work\dmn DIRECT/194.87.0.50 image/jpeg
Тобто Це був користувач dmn з домена work.
Якщо користувач не авторизувався в домені - його запитають логін і пароль. Якщо він введе логін\пароль такій же, як при вході в домен, то його пустять в Інтернет.
Якщо користувач користується не IE (наприклад, Mozilla, Netscape, Opera), він буде повинен набрати свій логін і пароль для авторизації в Windows.
Якщо аккаунт в Windows-домене закритий, то і доступ в Інтернет буде закритий.
4.3 Практичні рекомендації щодо забезпечення доступу до каналів комп’ютерної мережі підприємства
Сукупність засобів і правил обміну інформацією утворюють інформаційну систему (ІС) підприємства. Забезпечення доступу співробітників підприємства до ресурсів інформаційної системи є інформаційною підтримкою їх діяльності. Керівництво будь-якого підприємства прагнути забезпечити безперервність інформаційної підтримки своєї діяльності а, отже, постійно ставить і вирішує завдання захисту власної інформаційної системи.
Засобом забезпечення інформаційної підтримки підприємства в переважній більшості випадків є його комп'ютерна мережа. Такі засоби, як голосова телефонія і радіозв'язок, факс і традиційна пошта не розглядаються нами окремо від комп'ютерних мереж, оскільки можливості зловмисника, що використовує тільки ці засоби без залучення комп'ютерних технологій, сильно обмежені. Крім того, захист голосової інформації, факсних і поштових відправлень, забезпечується інженерно-технічними засобами і організаційними заходами. Застосування тільки цих засобів і мерів для захисту комп'ютерних мереж явно недостатньо у зв'язку з особливостями побудови мереж цього класу. Далі ми розглянемо особливості побудови комп'ютерних мереж як засоби інформаційної підтримки підприємства, деякі, відомі уразливості комп'ютерних мереж і рекомендації по їх усуненню.
Особливості архітектури комп'ютерних мереж описані семирівневою моделлю взаємодії відкритих систем (Open Systems Interconnection, OSI), розроблена Міжнародним комітетом із стандартизації ISO (найчастіше використовується скорочене найменування — «модель ISO/OSI» або просто «модель OSI»). Відповідно до концептуальних положень цієї моделі процес інформаційного обміну в комп'ютерних мережах можна розділити на сім етапів залежно від того, яким чином, і між якими об'єктами відбувається інформаційний обмін. Ці етапи називаються рівнями моделі взаємодії відкритих систем. Термін «відкрита система» означає, те, що при побудові цієї системи були використані доступні і відкрито опубліковані стандарти і специфікації. Кожному рівню моделі відповідає певна група стандартів і специфікацій.
Далі ми розглянемо послідовно особливості обробки інформації на фізичному, канальному, мережевому і транспортному рівнях. По кожному рівню будуть представлені відомості про уязвимостях механізмів інформаційної взаємодії, характерних для даного рівня і рекомендації по усуненню цих уязвимостей.
4.3.1 Авторизація доступу на фізчному рівні організації комп’ютерних мереж.
Найнижчий рівень моделі взаємодії відкритих систем описує процеси, що відбуваються на фізичному рівні або рівні середовища передачі. Інформація, що обробляється в комп'ютерних мережах, представлена дискретними сигналами і при передачі залежно від характеристик середовища представляється кодуванням або модуляцією. Стандарти фізичного рівня встановлюють вимоги до складових середовища: кабельній системі, роз'ємам, модулям сполучення з середовищем, формату сигналів при кодуванні і модуляції.
Забезпечити безпеку інформаційного обміну на фізичному рівні моделі можна за рахунок структуризації фізичних зв'язків між вузлами комп'ютерної мережі. Захищене фізичне середовище передачі даних є першим рубежем для зловмисника або перешкодою для дії руйнівних чинників оточення.
Далі приведені класифікація і характеристики середовищ передачі, використовуваних при побудові комп'ютерних мереж:
1. Середовище передачі — коаксіальний екранований мідний кабель. Використання для передачі такого типу середовища припускає наявність топології фізичних зв'язків «загальна шина». Тобто один кабельний сегмент використовується для підключення всіх вузлів мережі. Порушення цілісності кабельного сегменту приводить до відмови мережі. Всі вузли мережі такої топології (зокрема вузол зловмисника) мають можливість управляти процесом передачі інформації. Комп'ютерні мережі, побудовані на цьому принципі, уразливі найбільшою мірою. Зловмисник використовує механізми розділення середовища передачі в мережах цього типу для прослуховування трафіку всіх вузлів і організації атак відмови в доступі до окремих вузлів або всієї мережі в цілому.
2. Середовище передачі, утворене мідною витою парою.Топологія фізичних зв'язків «зірка». Кількість кабельних сегментів в даній мережі відповідає кількості вузлів. Порушення цілісності середовища одного кабельного сегменту не впливає на працездатність всієї мережі. Найуразливішим елементом мережі є центральний комунікаційний пристрій (концентратор або комутатор). Фактично пристрої цього класу є засобом розділення середовища передачі.
Концентратор утворює єдине середовище передачі, доступне всім вузлам мережі. Комп'ютерні мережі, побудовані на цих пристроях, по специфіці розділення фізичного середовища передачі відповідають мережам топології «загальна шина». Середовище передачі, утворене концентратором, дозволяє зловмисникові реалізувати прослуховування трафіку і атаку відмови в доступі, засновану на широкомовній розсилці повідомлень. При цьому зловмисник може не мати безпосереднього фізичного доступу до самого концентратора.
Комутатори використовуються для здійснення поперемінного доступу вузлів до середовища передачі. Розділення фізичного середовища передачі між вузлами в часі утрудняє прослуховування мережі зловмисником і створює додаткову перешкоду для здійснення атак відмови в доступі, заснованих на широкомовній розсилці повідомлень в мережі.
Використання тих і інших пристроїв як засобів утворення середовища передачі дозволяє зловмисникові викликати відмову всієї мережі у нього фізичного доступу до них або до системи їх енергопостачання.
Крім того, для всіх різновидів мідних кабельних систем, використовуваних як середовище передачі даних, має місце наявність побічного електромагнітного випромінювання і наведень (ПЕМІН). Не дивлячись на свою вторинність, ПЕМІН є інформативним для зловмисника і дозволяє йому аналізувати списи мережевої активності, а за наявності аналізатора спектру електромагнітного випромінювання, здійснити перехоплення передаваних середовищем передачі повідомлень.
3. Середовище передачі, утворене оптоволоконним кабелем. Як правило, використовується при побудові магістральних каналів зв'язку. Типова топологія фізичних зв'язків для такого типу середовища передачі — «крапка-крапка» і «кільце». Проте, останнім часом, у зв'язку із здешевленням засобів комутації, оснащених інтерфейсами для підключення оптоволокна, все частіше зустрічається використання цього різновиду кабелю при побудові локальних мереж зіркоподібної топології. Істотною перевагою оптоволоконної кабельної системи перед мідною є відсутність ПЕМІН, що сильно утрудняє перехоплення передаваних середовищем повідомлень. Уразливою ланкою топології «зірка» для оптоволоконного середовища передачі також є концентратори або комутатори.
Важливим чинником при забезпеченні надійності роботи комп'ютерної мережі і, як наслідок, безперервності інформаційної підтримки підприємства є наявність резервних зв'язків. Найбільш відповідальні сегменти мережі, використовувані для зв'язку з критично важливими вузлами комп'ютерної мережі необхідно дублювати. При цьому рішення задачі «гарячого резервування» кабельної системи покладається на канальний і мережевий рівні взаємодії. Наприклад, у разі порушення цілісності основного кабельного сегменту — комутатор, оснащений функцією гарячого резервування портів, здійснює трансляцію кадрів канального рівня на резервний порт. При цьому підключений до комутатора вузол, у зв'язку з недоступністю середовища передачі на основному мережевому інтерфейсі починає прийом і передачу через резервний мережевий інтерфейс. Використання мережевих інтерфейсів вузлом заздалегідь визначене пріоритетами його таблиці маршрутизації.
Додатковий захист мережі можна забезпечити за рахунок обмеження фізичного доступу зловмисника до кабельної системи підприємства. Наприклад, використання прихованої проводки є перешкодою зловмисникові, що здійснює спроби моніторингу мережевої активності і перехоплення повідомлень з використанням засобів аналізу ПЕМІН.
Гнучкість системи управління доступом до середовища передачі даних забезпечується за рахунок перспективного будівництва структурованої кабельної системи (СКС) підприємства. При проектуванні і будівництві СКС необхідно передбачити індивідуальні лінії зв'язку для всіх вузлів комп'ютерної мережі. Управління конфігурацією фізичних зв'язків повинне здійснюватися центарлизовано.
Нижче приведені основні рекомендації, що дозволяють понизити вірогідність експлуатації кабельної системи комп'ютерної мережі підприємства зловмисником.
1. Конфігурація фізичних зв'язків, що рекомендується, в комп'ютерній мережі підприємства — «зірка», при цьому для підключення кожного вузла виділений окремий кабельний сегмент. Як середовище передачі використовується восьмижильний мідний кабель типу «витаючи пара» або оптоволокно.
2. Для підключення критично важливих для підприємства серверів використовують два кабельні сегменти — основний і резервний.
3. Прокладка мережевого кабелю здійснюється в прихованій проводці, або в кабель-каналах, що закриваються, з можливістю опечатання не зриваними наклейками — «стикерами».
4. Кабельні сегменти, використовувані для підключення всіх вузлів комп'ютерної мережі, мають бути сконцентровані на одній комутаційній панелі.
5. У початковій конфігурації топології фізичних зв'язків має бути виключене сумісне використання середовища передачі будь-якою парою вузлів мережі. Виняток становить зв'язок з «вузол-комутатор».
6. Управління конфігурацією фізичних зв'язків між вузлами здійснюється тільки на комутаційній панелі.
7. Комутаційна панель змонтована в комутаційній шафі, що замикається. Доступ в приміщення комутаційної шафи строго обмежений і контролюється службою безпеці підприємства.
На рис. 4.2 приведені рекомендації по побудові комп'ютерної мережі на фізичному рівні.
Рис. 4.2. Рекомендації по побудові комп'ютерної мережі на фізичному рівні.
Особливий клас середовищ передачі складає безпровідне середовище передачі або радіочастотний ресурс. При побудові комп'ютерних мереж підприємств в даний час широко застосовується технологія RadioEthernet. Топологія фізичних зв'язків мереж, побудованих за цим принципом, — або «крапка-крапка», або «зірка». Особливість організації безпровідних мереж передачі даних, побудованих з використанням технології RadioEthernet, припускає наявність у зловмисника повного доступу до середовища передачі. Зловмисник, що володіє радіомережевим адаптером в змозі без зусиль організувати прослуховування радіомережі передачі даних. Паралізувати роботу такої мережі можна за умови наявності у зловмисника випромінювача, працюючого 2ГГц-овом в діапазоні частот і що володіє вищими в порівнянні з випромінювачами радіомережі, що атакується, потужностними характеристиками.
Рекомендації по захисту радіомереж передачі даних.
1. Служба безпеці повинна забезпечити строге обмеження фізичного доступу персоналу підприємства і повне виключення доступу сторонніх на майданчики монтажу приймального і випромінюючого устаткування радіомереж передачі даних. Доступ на майданчики повинен контролюватися службою безпеці підприємства.
2. Прокладка високочастотного кабелю має бути виконана прихованим способом або в коробах з подальшим опечатанням коробів «стикерами».
3. Довжина високочастотного кабельного сегменту має бути мінімальною.
4. Доступ в приміщення з радіомодемами, радіомостами і станціями, оснащеними радіомережевими адаптерами повинен строго контролюватися службою безпеці підприємства.
5. Адміністратор мережі повинен детально документувати процедури налаштування радіомодемів, радіомостів і станцій, оснащених радіомережевими адаптерами.
6. Адміністратор мережі повинен регулярно міняти реквізити авторизації для видаленого управління цими пристроями.
7. Адміністратор мережі повинен виділити окремий адресний пул для адміністрування цих пристроїв по мережі.
8. Адміністратор мережі повинен відключити невживані функції радіомодемів, радіомостів і станцій, оснащених радіомережевими адаптерами.
9. Адміністратор повинен активувати функції радіомодему або радіомоста забезпечуючі «тунелирование» і криптографічний захист передаваних повідомлень, що приймаються.
10. Адміністратор повинен контролювати доступ до радіомодемів, радіомостів і станцій, оснащених радіоадаптерами з боку вузлів комп'ютерної мережі підприємства. Одін з можливих способів контролю — використання міжмережевого екрану.
4.3.2 Авторизація доступу на канальному рівні організації комп’ютерних мереж
Забезпечення безпеки розділення середовища передачі комунікаційними засобами канального рівня. Протоколи і стандарти цього рівня описують процедури перевірки доступності середовища передачі і коректності передачі даних. Здійснення контролю доступності середовища необхідне оскільки специфікації фізичного рівня не враховують те, що в деяких мережах лінії зв'язку можуть розділяється між декількома взаємодіючими вузлами і фізичне середовище передачі може бути зайнята. Переважна більшість комп'ютерних мереж побудована на основі технологій Ethernet, Fast Ethernet і Gigabit Ethernet. Алгоритм визначення доступності середовища для всіх технологій однаковий і заснований на постійному прослуховуванні середовища передачі всіма підключеними до неї вузлами. Ця особливість використовується зловмисниками для організації різних видів атак на комп'ютерні мережі. Навіть за умови дотримання рекомендацій щодо виключення розділення середовища передачі зловмисник може здійснити прослуховування трафіку між довільно вибраною парою вузлів комп'ютерної мережі. Причому використання простих комутаторів не є серйозною перешкодою для зловмисника. Твердження про повну захищеність мереж, побудованих на основі топології фізичних зв'язків «зірка» і оснащених простими комутаторами, є серйозною помилкою. Далі ми розглянемо недоліки застосування простих комутаторів як засоби забезпечення інформаційного обміну в комп'ютерних мережах на канальному рівні.
Процес передачі інформації від одного вузла (А) до іншого (Б) через простій комутатор відбувається поетапно і дані передаються блоками. Розмір блоків визначений стандартом канального рівня. Блок даних, яким оперує протокол канального рівня, називається кадром. Припустимо, що передавальний вузол (А) визначив доступність середовища і початків передачу. У першому передаваному кадрі буде широкомовний запит до всіх вузлів мережі про пошук вузла з необхідним мережевою адресою. Цей запит містить апаратна адреса вузла відправника (А) і його мережева адреса (в даному випадку мова йде про IP як протоколі мережевого рівня). Відмітимо, що комутатор відповідно до вимог специфікацій канального рівня зобов'язаний передати цей широкомовний запит всім підключеним до його портів вузлам. Звернемо увагу також на те, що в нашій комп'ютерній мережі виконана вимога про виключення розділення середовища передачі між двома вузлами, і кожен вузол підключений безпосередньо до свого порту комутатора. Проте, незважаючи, на виконання даної рекомендації, зловмисник отримає широкомовний запит вузла (А), оскільки вузол його (зловмисника може) опинитися шуканим. Таким чином, зловмисник отримуватиме нарівні зі всіма останніми широкомовні запити на дозвіл мережевих адрес. Накопичуючи відомості з широкомовних запитів, зловмисник матиме уявлення про мережеву активність всіх вузлів. Тобто про те - хто, і в який час і з ким намагався почати інформаційний обмін. За допомогою цієї нескладної техніки зловмисник може визначити апаратні і мережеві адреси вузлів що є серверами або маршрутизаторами. Кількість запитів на дозвіл мережевої адреси сервера або маршрутизатора буде на декілька порядків вище, ніж звичайній робочій станції. Сформувавши таким чином відомість мережевої активності і карту мережі з адресами передбачуваних серверів і маршрутизаторів, зловмисник може відразу приступити до реалізації атак відмови в доступі до цих вузлів. Відмітимо при цьому, що в процесі збору широкомовних пакетів зловмисник не проявляв ніякої мережевої активності, тобто залишався невидимим для всіх вузлів мережі окрім простого комутатора, до порту якого він підключений.
Розглянемо, що відбувається після того, як вузол призначення (Б) отримав кадр із запитом на дозвіл своєї мережевої адреси. Згідно вимог специфікацій канального рівня, вузол, що отримав широкомовний кадр, що містить запит на дозвіл своєї мережевої адреси, зобов'язаний передати відправникові цього кадру відповідь, що містить власні мережеву і апаратну адреси. Відповідь вузла (Б) буде вже не широкомовною, а адресованою вузлу (А). Комутатор, зобов'язаний транслювати відповідь вузла (Б) тільки на той порт, до якого підключений вузол (А). Таким чином, кадр канального рівня, що містить відповідь вузла (Б) вже ніяк не потрапить до зловмисника. Це пояснюється тим, що середовище передачі, використовуване для підключення зловмисника до комутатора, буде вільне у момент передачі відповіді. Після отримання кадру з відповіддю, вузол (А) дізнається апаратна (MAC) адреса вузла (Б) і зможе почати передачу пакетів мережевого рівня на аресу вузла (Б). Подальші аспекти взаємодії вузлів знаходяться поза компетенцією протоколів канального рівня. Завдання протоколу канального рівня вважається за виконане, якщо що обмінюються даними вузли знають апаратні адреси один одного і можуть інкапсулювати мережеві пакети в кадри канального рівня, що ідентифікуються комутатором по MAC-адресам вузлів.
Уразливість системи дозволу мережевих адрес, описаної вище (у IP-сетях ця система називається ARP — Address Resolution Protocol) полягає в тому, що вузол (А) довіряє вмісту кадру з відповіддю. Тобто дані, передані у відповідь на запит про дозвіл мережевої адреси, ніяк не перевіряються і нічим не підтверджуються. Цією уразливістю і скористається зловмисник, охочий підмінити собою вузол (Б) або прослуховувати потік кадрів, передаваних між будь-якими двома вузлами мережі. Відбувається це таким чином. Зловмисник, вузол якого далі позначимо літерою (Х), завчасно визначає апаратну і мережеву адреси вузлів, що атакуються. Потім починає безперервно відправляти на аресу вузла (А) помилкові відповіді з вказівкою мережевої адреси вузла (Б) і апаратної адреси свого вузла (Х). Отримуючи помилкові відповіді вузол (А) перебудовує свою таблицю дозволу мережевих адрес і з цієї миті всі кадри, що відправляються їм на аресу вузла (Б) матимуть в заголовку апаратну адресу вузла зловмисника. Оскільки простий комутатор ухвалює рішення про трансляцію кадру на той або інший порт тільки на підставі апаратної адреси, вказаної в заголовку цього кадру, зловмисник отримуватиме всі повідомлення, адресовані вузлу (Б). Якщо зловмисникові необхідно організувати прослуховування трафіку між вузлами (А) і (Б) він здійснює помилкову розсилку відповідей на аресу обох вузлів і отримані в свою адресу кадри після перегляду і аналізу транслює вузлу, якому вони призначалися.
Описана вище техніка підміни апаратних адрес (у народі відома під англомовною назвою ARP spoofing) не є новою, різні варіанти її реалізації доступні користувачам мережі Інтернет у вигляді готових програм з докладним керівництвом користувача. Проте, практика показує, що в комп'ютерних мережах підприємств продовжується використання дешевих простих комутаторів на відповідальних ділянках при підключенні критично важливих для підприємства вузлів (серверів, маршрутизаторів і так далі). Комп'ютерні мережі, оснащені багатофункціональними керованими комутаторами, часто також залишаються уразливими до подібного роду атакам. У багатьох випадках функції захисту і розмежування доступу до середовища передачі, реалізовані в цих виробах, залишаються незатребуваними у зв'язку з недоліком кваліфікації або недбалістю системних адміністраторів. Крім того, ефективне розмежування доступу засобами канального рівня можливо тільки за умови повної інвентаризації вузлів мережі і формалізації правил взаємодії між ними. На практиці керівництво підприємства неохоче виділяє кошти на проведення подібних робіт, не розуміючи їх важливості для забезпечення захисту комп'ютерної мережі.
Нижче приведені рекомендації, проходження яким дозволяє додатково захистити комп'ютерну мережу підприємства засобами канального рівня.
1. Адміністратор служби безпеці повинен вести інвентаризаційну відомість відповідності апаратних і мережевих адрес всіх вузлів мережі підприємства.
2. Службою безпеці, спільно з відділом інформаційних технологій, має бути розроблена політика захисту комп'ютерної мережі засобами канального рівня, що визначає допустимі маршрути передачі кадрів канального рівня. Розроблена політика повинна забороняти зв'язки типу «один-ко-многим», не обгрунтовані вимогами інформаційної підтримки діяльності підприємства. Політикою також мають бути визначені робочі місця, з яких дозволена конфігурація засобів комутації канального рівня.
3. Засоби комутації канального рівня, використовувані в комп'ютерній мережі підприємства, мають бути такими, що настроюються і забезпечувати розмежування доступу між вузлами мережі відповідно до розробленої політики. Як правило, такі засоби підтримують технологію VLAN, що дозволяє в рамках одного комутатора виділити групи апаратних адрес і сформувати для них правила трансляції кадрів.
4. Адміністратор мережі повинен виконати налаштування підсистеми управління VLAN комутатора, і інших підсистем, необхідних для реалізації розробленої політики захисту. У обов'язку адміністратора входить також відключення невживаних підсистем комутатора.
5. Адміністратор мережі повинен регулярно контролювати відповідність конфігурацій комутаторів розробленій політиці захисту.
6. Адміністратор мережі повинен вести моніторинг мережевої активності користувачів з метою виявлення джерел аномально високої кількості широкомовних запитів.
7. Служба безпеці повинна контролювати регулярність зміни реквізитів авторизації адміністратора в підсистемах управління комутаторами.
8. Служба безпеці повинна контролювати регулярність виконання адміністратором заходів, пов'язаних з моніторингом мережі, здійсненням профілактичних робіт по налаштуванню комутаторів, а також створенням резервних копій конфігурацій комутаторів.
9. Служба безпеці повинна забезпечити строгий контроль доступу в приміщення, в яких розташовані комутатори і робочі станції, з яких дозволено управління комутаторами. На рис. 4.3 приведений приклад формалізованої політики захисту комп'ютерної мережі засобами канального рівня.
Рис. 4.3. Приклад формалізованого запису політики захисту комп'ютерної мережі засобами канального рівня.
В центрі схеми знаходиться керований комутатор, що забезпечує реалізацію правил політики безпеки. Атрибути комутатора перераховані у верхній частині блоку, а його операції (функції) в нижней. Вузли мережі згруповані за функціональною ознакою. Приклад запису правил фільтрації трафіку керованим комутатором приведений з права у відповідній нотації.
4.3.3 Авторизація доступу на мережевому рівні організації комп’ютерних мереж
Використання в комп'ютерній мережі протоколів мережевого рівня є необхідною умовою для забезпечення взаємодії між вузлами мереж з різними канальними протоколами. Мережеві протоколи дозволяють подолати обмеження, що накладаються специфікаціями канального рівня. Наприклад, дозволяють об'єднати комп'ютерну мережу підприємства з мережею інтернет-провайдера з використанням телефонних мереж загального користування. Зробити це тільки засобами канальних протоколів досить складно. Крім того, об'єднання двох різних за призначенням мереж з використанням мостів украй негативно позначається на рівні захищеності об'єднуваних мереж. В більшості випадків адміністратор і служба безпеці підприємства не можуть повністю проинвентаризировать вузли мережі, що підключається, і, отже, формалізувати правила обміну кадрами канального рівня.
Другий важливий аспект використання протоколів мережевого рівня — це розмежування доступу до ресурсів усередині мережі підприємства, що використовує тільки один стандарт канального рівня. Використання для цієї мети протоколів мережевого рівня вельми ефективно навіть для мереж, побудованих з використанням тільки одного стандарту канального рівня. Проблема сумісності в таких мережах не актуальна, і тому корисні властивості мережевих протоколів можна використовувати для захисту від дії на мережу зловмисника. Однією з таких властивостей є використання протоколами мережевого рівня роздільної схеми адресації мережі (тобто групи комп'ютерів) і окремо узятого вузла цієї групи. Зокрема адреса протоколу мережевого рівня IP складається з двох частин — номера мережі, і номера вузла. При цьому максимально можлива кількість вузлів в мережі або її адресний простір визначається значенням мережевої маски або (раніше, до введення безкласової маршрутизації CIDR) класом мережі.
Дану особливість адресації можуть використовувати як адміністратор мережі, так і зловмисник. Одним із завдань адміністратора мережі і співробітників служби безпеці є захист адресного простору мережі від можливості його використання зловмисником. Частково цю функцію виконують механізми маршрутизації, реалізовані модулями протоколу мережевого рівня. Тобто здійснення обміну між вузлами мереж з різними номерами неможливе без попереднього налаштування локальних таблиць маршрутизації вузлів цих мереж, або без внесення змін до конфігурації маршрутизатора, що здійснює обмін пакетами (пакетом називається блок даних, з яким працює протокол мережевого рівня).
Проте майже завжди в адресному просторі мережі залишається частина адрес, не зайнятих зараз і тому доступних для експлуатації зловмисником. Це пояснюється форматом представлення номера мережі і номера вузла IP-протокола. Кількість вузлів в мережі — це завжди 2n, тобто 4,8,16,32,64 і так далі Реальна ж кількість вузлів не буває такою. Крім того, адміністратор завжди прагне зарезервувати адресний простір для нових вузлів. Саме цей резерв може і буде використаний зловмисником для здійснення атак на функціонуючі вузли комп'ютерної мережі.
Вирішення проблеми очевидне — потрібно використовувати весь адресний простір і не дати зловмисникові можливості захопити адреси невживаних вузлів. Одним із способів є застосування служби моніторингу мережі і підтримки віртуальних вузлів в резервному діапазоні адрес. Дана служба постійно використовує вільний адресний простір мережі, створюючи власні віртуальні хосты (нові віртуальні хосты створюються відразу після відключення від мережі реально функціонуючих довірених вузлів). Таким чином, служба підміняє собою відсутні зараз робочі станції, сервери, маршрутизатори і так далі
4.3.3 Авторизація доступу на транспортному рівні організації комп’ютерних мереж
Використання властивостей транспортних протоколів створює найбільш ефективну перешкоду діяльності зловмисника. Тут для захисту використовуються ознаки, що містяться в заголовках сегментів (сегмент — блок даних з якими працює транспортний протокол) транспортного протоколу. Цими ознаками є тип транспортного протоколу, номер порту і прапор синхронізації з'єднання.
Якщо засобами канального рівня можна захистити апаратуру комп'ютерної мережі, а протоколи мережевого рівня дозволяють розмежувати доступ до окремих хостам і підмереж, то транспортний протокол використовується як засіб комунікації мережевих застосувань, що функціонують на платформі окремих вузлів (хостов). Будь-яке мережеве застосування використовує транспортний протокол для доставки оброблюваних даних. Причому у кожного класу додатків є специфічний номер транспортного порту. Ця властивість може бути використане зловмисником для атаки на конкретний мережевий сервіс або службу, або адміністратором мережі для захисту мережевих сервісів і служб.
Адміністратор формує політику захисту мережі засобами транспортного рівня у вигляді відомості відповідності хостов, використовуваних ними мережевих адрес і довірених застосувань, що функціонують на платформах цих хостов. Формалізований запис цієї відомості є табличною структурою, що містить:
— перелік вузлів (хостов), їх символьні імена;
— відповідні цим вузлам (хостам) мережеві адреси;
— перелік використовуваних кожним вузлом (хостом) транспортних протоколів;
— перелік мережевих застосувань, що функціонують в кожному вузлі і відповідні цим застосуванням порти транспортного протоколу;
— по кожному мережевому застосуванню необхідно встановити, чи є воно споживачем або постачальником ресурсу, тобто чи дозволено йому ініціювати витікаючі з'єднання або приймати що входять.
Реалізація політики захисту засобами транспортного рівня здійснюється за допомогою міжмережевих екранів (firewall). Міжмережевий екран — це спеціалізоване програмне забезпечення, що реалізовує фільтрацію трафіку відповідно до правил політики захисту мережі засобами транспортного рівня. Як правило, дане програмне забезпечення функціонує на платформі маршрутизатора, керівника інформаційними потоками вузлів різних мереж.
4.4 Висновок
Таким чином, авторизація проводиться з метою розмежування прав доступу до мережевих і комп'ютерних ресурсів і є процедурою засобу захисту інформації від несанкціонованого доступу. Для централізованого вирішення завдань авторизації в крупних мережах предназначена мережева служба Kerberos. Вона може працювати в середовищі багатьох популярних операційних систем.
ВИСНОВКИ
Головним результатом даної роботи є дослідження засобів здійснення авторізації доступу до каналів комп’ютерних мереж.
До основних результатів дипломної роботи відносяться:
1. Аналіз фізичної сутності та порядка використання каналів передачі даних в комп’ютерних мережах показав, що:
використання каналів передачі даних при побудові комп’ютерних мережах відбувається в рамках структурованої кабельної системи;
типова ієрархічна структура структурованої кабельної системи включає: горизонтальні підсистеми; вертикальні підсистеми; підсистему кампусу;
використання структурованої кабельної системи дає багато переваг: універсальність, збільшення терміну служби, зменшення вартості добавлення нових користувачів і зміни місць їх розташування, можливість легкого розширення мережі, забезпечення ефективнішого обслуговування, надійність;
при виборі типу кабелю приймають до уваги такі характеристики: пропускна спроможність, відстань, фізична захищеність, електромагнітна перешкодозахищеність, вартість;
найбільш поширеними є такі типи кабелю: кручена пара (екранована і неекранована), коаксіальний кабель, оптоволоконний кабель (одно- і багатомодовий);
для горизонтальної підсистеми найбільш прийнятним варіантом є неекранована кручена пара, для вертикальної підсистеми і підсистеми кампусу – оптоволоконний кабель або коаксіал;
2. Аналіз методів доступу до загального поділюваного середовища передачі даних показав, що випадкові методи доступу передбачають можливість захвату загального поділюваного середовища передачі даних будь-яким вузлом мережі у довільний випадковий момент часу, якщо в даний момент він вважає середовище вільним. Детерміновані методи, навпаки, передбачають можливість надання загального середовища в розпорядження вузла мережі за суворо визначеним (детермінованим) порядком.
3. Практична настройка мережевих служб для авторизації доступу до мережі Інтернет та рекомендації щодо забезпечення доступу до каналів комп’ютерної мережі підприємства.
Список використаних джерел
«LAN/Журнал сетевых решений». Москва, Открытые системы, январь 2004.
«Администрирование сети на основе Microsoft Windows 2000. Учебный курс MCSE». Москва, Русская редакция, 2000.
http://ermak.cs.nstu.ru. Internetworking Technology Overview.
http://www.3com.ru.
http://www.apache.org. Руководство пользователя.
http://www.apс.ru.
http://www.cisco.ru.
http://www.citforum.ru. В. Олифер, Н. Олифер. Высокоскоростные технологии ЛВС.
http://www.citforum.ru. В. Олифер, Н. Олифер. Сетевые операционные системы.
http://www.citforum.ru. Григорьев Ю.А. Операционная система NetWare.
http://www.granch.ru.
http://www.sibacc.nsk.su. Киселев А.Г.
http://www.telpro.ru.
John l.Hennessy, David A.Patterson, Computer Architecture. A Quantitative Approach, Morgan Kaufman Publishers, 2003.
Jurij Silk, Borut Robic, Theo Ungerer. Processor architecture: from dataflow to superscalar and beyond. Springer-Verlag, 1999.
Microsoft Corporation. Microsoft TCP/IP: Учебный курс/ Пер. с англ. — М.: Издательский отдел «Русская Редакция» ТОО «Channel Trading Ltd.».
Microsoft Corporation. Компьютерные сети. Учебный курс/Пер. с англ. — М.: Издательский отдел «Русская Редакция» ТОО «Channel Trading».
Microsoft Corporation. Поддержка Microsoft Windows NT 4.0. Учебный курс/Пер. с англ. — М.: Издательский отдел «Русская Редакция» ТОО «Channel Trading Ltd.».
PC-Week № 40, 2009. Паула Мусич. Gigabit на медном кабеле.
PC-Week №2, 2009. Кристина Салливан. Прогресс технологии VPN.
А. Б. Семенов «Волоконная оптика в локальных и корпоративных сетях» Москва, АйТи-Пресс, 2008
А. Б. Семенов, С. К. Стрижаков, И. Р. Сунчелей. «Структурированные Кабельные Системы АйТи-СКС, издание 3-е». Москва, АйТи-Пресс, 2006
Брейман А.Д. Сети ЭВМ и телекоммуникации. Учебное пособие. Часть 1. Общие принципы построения сетей. Локальные Сети: МГАПИ, 2001. – 75с.
Бэрри Нанс «Компьютерные сети» — М., БИНОМ, 2004
Ермаков А.Е. Основы конфигурирования коммутаторов и маршрутизаторов Cisco. – М.: РГОТУПС, 2008. – 140 с.
Корнеев В.В. Вычислительные системы. М. Гелиос АРВ, 2004.
Кульгин М. «Технология корпоративных сетей. Энциклопедия». СПб, Питер, 2001
Методические указания «Безопасность и экологичность проектных решений для студентов инженерно-экономических специальностей». Москва.
Методические указания «Разработка организационно-экономической части дипломных проектов конструкторского профиля». - Москва: Издательство МГОУ, 2001
Моргунов Е.Б. Человеческие факторы в компьютерных системах, М., 2004
Новиков Ю. «Локальные сети: архитектура, алгоритмы, проектирование». Москва, ЭКОМ, 2000.
Олифер В.Г., Олифер Н.А. «Компьютерные сети. Принципы, тех-нологии, протоколы, 2-е изд» СПб, Питер-пресс, 2002
Ретана А., Слайс Д., Расс У. Принципы проектирования корпоративных IP-сетей. – Издательский дом «Вильямс», 2002 - 368с.
СанПиН 2.2.2 542-96 «Санитарные правила и нормы». Москва, 1996.
Справочник межотраслевых нормативных материалов по охране труда и эргономике, часть 1, М., 1996.
Танненбаум Э. Архитектура компьютера. М. Питер, 2003.
Шнитман В.З. Архитектура PowerScale. Открытые системы. №4 (18). 1996.
Шнитман В.З. Отказоустойчивые компьютеры компании Stratus. Открытые системы. №1. 1998.
Шнитман В.З. Отказоустойчивые серверы ServerNet. Открытые системы. №3 (17). 1996.
Шнитман В.З. Семейство высокопроизводительных серверов RM600E. Открытые системы. № 2. 1998.
Шнитман В.З. Серверы баз данных: проблемы оценки конфигурации системы. М. СУБД, № 5-6. 1996.
Шнитман В.З. Современные высокопроизводительные компьютеры. www.citforum.ru.
Шнитман В.З., Кузнецов С.Д. Аппаратно-программные платформы корпоративных информационных систем. www.citforum.ru.