Реферат Организация ЛВС на базе OS WINDOWS
Работа добавлена на сайт bukvasha.net: 2015-10-28Поможем написать учебную работу
Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
от 25%
договор
Гипероглавление:
1.2.2.4 Оптоволоконные линии 21
1.1.1 Шинная топология
1.1.2 Топология в виде звезды
1.1.3 Кольцевая топология
1.2.2 Сетевые устройства и средства коммуникаций
1.2.2.1 Витая пара
1.2.2.2 Широкополосный коаксиальный кабель
1.2.2.3 Еthernet-кабель
1.2.2.4 Оптоволоконные линии
1.2.3.1 Режимы передачи данных
1.2.3.2 Коды передачи данных
1.2.4 Аппаратные средства передачи данных
- Характеристики коммуникационной сети:
1.2.4.1 Звенья данных
1.2.4.2 Управление звеньями данных
1.2.4.3 Основные формы взаимодействия абонентских ЭВМ
1.3 Протоколы компьютерной сети
1.3.1 Основные виды протоколов
1.3.2 Межсетевой протокол (IP)
1.3.3 Протокол управления передачей (ТСР)
1.4.1 Создание сети с человеческим лицом
2.1.3.1 Файл сервер и рабочие станции
2.1.3.2 Операционная система рабочей станции
2.1.3.3 Программное обеспечение локальных сетей
2.1.3.4 Сети с централизованным управлением
2.1.3.5 Одноранговые сети
2.1.4.1 Централизованное управление безопасностью
2.1.4.2 Управление рабочими станциями пользователей
2.1.4.3 Слежение за деятельностью сети
2.1.4.4 Начало сеанса на компьютере Windows NT
2.1.4.5 Учетные карточки пользователей
2.1.5.3 Протокол DHCP
2.2.2 Случайные угрозы
2.2.5 Технические средства защиты информации
2.2.6 Программные средства защиты информации
2.2.7 Законодательные средства защиты информации
Смета затрат – общий свод плановых затрат предприятия в денежном выражении на выполнение работ.
Для сервера
Для рабочих станций
4.1 Требования к искусственному и естественному освещению
4.2 Основные требования к искусственному освещению в производственном помещении
СОДЕРЖАНИЕ
ВВЕДЕНИЕ 5
1 ОБЩАЯ ЧАСТЬ 8
1.1 Топологии ЛВС 8
1.1.1 Шинная топология 9
1.1.2 Топология в виде звезды 10
1.1.3 Кольцевая топология 12
1.1.4 Гибридная топология (смешанная) 15
1.2 Программные и технические средства для построения ЛВС 16
1.2.1 Программное обеспечение 17
1.2.2 Сетевые устройства и средства коммуникаций 19
1.2.2.1 Витая пара 20
1.2.2.2 Широкополосный коаксиальный кабель 20
1.2.2.3 Еthernet – кабель 20
1.2.3 Взаимодействие открытых систем (OSI) 21
1.2.3.1 Режимы передачи данных 25
1.2.3.2 Коды передачи данных 26
1.2.4 Аппаратные средства передачи данных 26
1.2.4.1 Звенья данных 28
1.2.4.2 Управление звеньями данных 28
1.2.4.3 Основные формы взаимодействия абонентских ЭВМ 29
1.3 Протоколы компьютерной сети 31
1.3.1 Основные виды протоколов 32
1.3.2 Межсетевой протокол (IP) 33
1.3.3 Протокол управления передачей (TCP) 35
1.3.4 Протоколы (организация) 36
1.3.5 Структура функционирования сети 36
1.3.6 Пересылка битов 38
1.3.7 Пересылка данных 38
1.3.8 Сети коммутации пакетов 38
1.4 Протокол – Интернет (IP) 39
1.4.1 Создание сети с человеческим лицом 46
2 СПЕЦИАЛЬНЫЙ ВОПРОС 48
2.1 Построения ЛВС под управлением windows в сравнении с др. О.С 48
2.1.1 О.С. Unix 48
2.1.2 О.С. Novel 49
2.1.3.1 Файл сервер и рабочие станции 49
2.1.3.2 Операционная система рабочей станции 50
2.1.3.3 Программное обеспечение локальных сетей 50
2.1.3.4 Сети с централизованным управлением 50
2.1.3.5 Одноранговые сети 51
2.1.4 О.С Windows NT 53
2.1.4.1 Централизованное управление безопасностью 53
2.1.4.2 Управление рабочими станциями пользователей 54
2.1.4.3 Слежение за деятельностью сети 54
2.1.4.4 Начало сеанса на компьютере Windows NT 54
2.1.4.5 Учётные карточки пользователей 55
2.1.5 Основные службы Windows 55
2.1.5.1 Active Directory 55
2.1.5.2 DNS 58
2.1.5.3 DHCP 64
2.1.5.4 WINS – серверы 66
2.2 Обеспечение безопасности ЛВС 70
2.2.1 Потенциальные угрозы безопасности информации 75
2.2.2 Случайные угрозы 75
2.2.3 Преднамеренные угрозы 76
2.2.4 Средства защиты информации 78
2.2.5 Технические средства безопасности 79
2.2.6 Программные средства защиты безопасности 79
2.2.7 Законодательные средства защиты информации 81
2.2.8 Структура системы защиты 82
3 ЭКОНОМИЧЕСКИЕ РАСЧЁТЫ 83
3.1 Расчёт на установку и приобретения лицензионного программного обеспечения 83
3.1.1 Расчёт затрат на основную и дополнительную заработную плату 83
3.1.2 Расчёт затрат по статье “Покупные и комплектующие изделия” 86
3.1.3 Расчёт эксплуатационных расходов 86
3.1.4 Расчёт затрат по статье “Отчисление от заработной платы (социальный налог) 89
3.1.5 Расчёт затрат по статье “Общие и административные расходы” 89
4 ОХРАНА ТРУДА: Санитарно гигиенические нормы для ИВЦ 90
4.1 Требование к искусственному и естественному освещению 90
4.2 Основные требования к искусственному освещению в производственном помещении 90
5 ТЕХНИКА БЕЗОПАСНОСТИ: ТБ при монтировании ЛВС 92
5.1 Техника безопасности при работе с ЭВМ 92
5.2 Электробезопасность на производстве 93
ЗАКЛЮЧЕНИЕ
СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ
Введение
На сегодняшний день в мире существует более 150 миллионов компьютеров, более 80 % из них объединены в различные информационно-вычислительные сети от малых локальных сетей в офисах до глобальных сетей типа Internet Всемирная тенденция к объединению компьютеров в сети обусловлена рядом важных причин, таких как ускорение передачи информационных сообщений, возможность быстрого обмена информацией между пользователями, получение и передача сообщений ( факсов, E - Mail писем и прочего ) не отходя от рабочего места, возможность мгновенного получения любой информации из любой точки земного шара, а так же обмен информацией между ПК разных фирм производителей работающих под разным программным обеспечением. Такие огромные потенциальные возможности, которые несет в себе вычислительная сеть и тот новый потенциальный подъем, который при этом испытывает информационный комплекс, а так же значительное ускорение производственного процесса не дают право не принимать это к разработке и не применять их на практике. Всё больше различных организаций, занимающиеся самыми разносторонними различными родами деятельности стремятся объединиться в локальную и глобальную мировую сеть. Автоматизирование рабочих мест сегодня является программой, активно использующей сетевое соединение отдельных компьютеров в локальную вычислительную сеть. Только при этом становится возможной передача информации с любого рабочего места пользователя на сервер и обратно. Скорость передачи данных по сети естественным образом влияет на общую скорость работы всех АРМ. В свою очередь, скорость прохождения информации от сервера к локальному компьютеру пользователя определяется комплексом программно - аппаратных средств, которые и составляют локальную вычислительную сеть.
В настоящее время существуют различные способы связи разрозненных компьютеров в единое целое (т.е. в сеть). Спектр аппаратных средств (и программных средств для управления ими) более чем широк. Иногда это приводит к некоторому затруднению при выборе типа сети и её программного обеспечения. Неправильный выбор может в дальнейшем привести к невозможности функционирования сети в случае увеличения кололичества соеденённых между собой машин или возрастания требований к скорости и объемам передаваемой информации. Для построения локальной сети необходимо в достаточной степени понимать принципы организации ЛВС, грамотно уметь выбирать аппаратные и программные средства для её построения. В данном дипломном проэкте мне был предложен перечень вопросов непосредственно касающихся структуры построения, характеристики и защиты локальных сетей. Я рассматрел основные, базовые принципы ЛВС и привел различные схемы соединения машин между собой. А так, же дал описания достоинств и недостатков каждой схемы. Теоретическая информация закреплена описанием реально используемыми в настоящее время аппаратными и программными средствами для построения ЛВС. Наряду с давно применяемыми и хорошо изученными способами построения локальных вычислительных сетей приводится описание современного способа соединения с помощью оптоволоконного кабеля.
Понятие локальная вычислительная сеть - ЛВС (англ. LAN - Lokal Area Network) относится к географически ограниченным ( территориально или производственно) аппаратно-программным реализациям, в которых несколько компьютерных систем связаны друг с другом с помощью соответствующих средств коммуникаций. Благодаря такому соединению пользователь может взаимодействовать с другими рабочими станциями, подключенными к этой ЛВС. В производственной практики ЛВС играют очень большую роль. Посредством ЛВС в систему объединяются персональные компьютеры, расположенные на многих удаленных рабочих местах, которые используют совместно оборудование, программные средства и информацию. Рабочие места сотрудников перестают быть изолированными и объединяются в единую систему. Рассмотрим преимущества, получаемые при сетевом объединении персональных компьютеров в виде внутрипроизводственной вычислительной сети: Разделение ресурсов позволяет экономно использовать ресурсы, например, управлять периферийными устройствами, такими как лазерные печатающие устройства, со всех присоединенных рабочих станций. Разделение данных предоставляет возможность доступа и управления базами данных с периферийных рабочих мест, нуждающихся в информации. Разделение программных средств предоставляет возможность одновременного использования централизованных, ранее установленных программных средств. Разделение ресурсов процессора при разделение ресурсов процессора возможно использование вычислительных мощностей для обработки данных другими системами, входящими в сеть. Предоставляемая возможность заключается в том, что на имеющиеся ресурсы пользовательские программы не “набрасываются” моментально, а только лишь через специальный процессор, доступный каждой рабочей станции. Многопользовательский режим: многопользовательские свойства системы содействуют одновременному использованию централизованных прикладных программных средств, ранее установленных и управляемых. Например, если пользователь системы работает с другим заданием, то текущая выполняемая работа отодвигается на задний план. Начало 1980 года ознаменовалось резким ростом в области применения сетей. Как только компании осознали, что сетевая технология обеспечивает им сокращение расходов и повышение производительности, они начали устанавливать новые и расширять уже существующие сети почти с такой же скоростью, с какой появлялись новые технологии сетей и изделия для них. К середине 1980 года стали очевидными проблемы, число которых все более увеличивалось, связанные с этим ростом, особенно у тех компаний, которые применили много разных (и несовместимых) технологий сети.
Основными проблемами, связанными с увеличением сетей, являются каждодневное управление работой сети и стратегическое планирование роста сети. Характерным является то, что каждая новая технология сети требует свою собственную группу экспертов для ее работы и поддержки. В начале 1980гг. стратегическое планирование роста этих сетей усложнилось. Одни только требования к числу персонала для управления крупными сетями привели многие организации на грань кризиса. Необходимостью стало автоматизированное управление сетями (включая то, что обычно называется "планированием возможностей сети"), интегрированное по всем различным окружениям.
1 ОБЩАЯ ЧАСТЬ
Для того чтобы организовать нормальную стабильную рабочую сеть необходимо в достаточной мере знать, как она устанавливается. Поэтому в данном разделе пойдёт речь о том, какие бывают разновидности локальных вычислительных сетей и как их можно располагать в зависимости от того где, и как устанавливается ЛВС
1.1 Топологии ЛВС
Топология ЛВС - это геометрическая схема соединений узлов сети, с
помощью, которых осуществляется передача данных от одного ПК к другому. Существуют три основных вида топологий: “ шина”, “звезда”, “кольцо”. И в дополнении к ним существует также гибридная, ещё называемая смешанная топология, которая в совокупности объединяет в себе эти три основных вида топологий.
Вычислительные машины, входящие в состав ЛВС, могут быть расположены самым случайным образом на территории, где создается вычислительная сеть. Для способа обращения к передающей среде и методов управления сетью небезразлично, как расположены абонентские ЭВМ, Поэтому топологии ЛВС является основой для построения локальной сети.
Топологии вычислительных сетей могут быть самыми различными, но для локальных вычислительных сетей типичными являются всего три:
Иногда для упрощения используют термины — кольцо, шина и звезда. Но это не может означать, что рассматриваемые типы топологий представляют собой идеальное кольцо, идеальную прямую или звезду. Любую компьютерную сеть можно рассматривать как совокупность узлов, которые и составляют всю сеть в целом.
Узел - это любое устройство, непосредственно подключенное к передающей среде сети.
Топология усредняет схему соединений узлов сети. Таким образом и эллипс, и замкнутая кривая, и замкнутая ломаная линия относятся к кольцевой топологии, а незамкнутая ломаная линия - к шинной.
1.2.2.4 Оптоволоконные линии 21
1.1.1 Шинная топология
1.1.2 Топология в виде звезды
1.1.3 Кольцевая топология
1.2.2 Сетевые устройства и средства коммуникаций
1.2.2.1 Витая пара
1.2.2.2 Широкополосный коаксиальный кабель
1.2.2.3 Еthernet-кабель
1.2.2.4 Оптоволоконные линии
1.2.3.1 Режимы передачи данных
1.2.3.2 Коды передачи данных
1.2.4 Аппаратные средства передачи данных
- Характеристики коммуникационной сети:
1.2.4.1 Звенья данных
1.2.4.2 Управление звеньями данных
1.2.4.3 Основные формы взаимодействия абонентских ЭВМ
1.3 Протоколы компьютерной сети
1.3.1 Основные виды протоколов
1.3.2 Межсетевой протокол (IP)
1.3.3 Протокол управления передачей (ТСР)
1.4.1 Создание сети с человеческим лицом
2.1.3.1 Файл сервер и рабочие станции
2.1.3.2 Операционная система рабочей станции
2.1.3.3 Программное обеспечение локальных сетей
2.1.3.4 Сети с централизованным управлением
2.1.3.5 Одноранговые сети
2.1.4.1 Централизованное управление безопасностью
2.1.4.2 Управление рабочими станциями пользователей
2.1.4.3 Слежение за деятельностью сети
2.1.4.4 Начало сеанса на компьютере Windows NT
2.1.4.5 Учетные карточки пользователей
2.1.5.3 Протокол DHCP
2.2.2 Случайные угрозы
2.2.5 Технические средства защиты информации
2.2.6 Программные средства защиты информации
2.2.7 Законодательные средства защиты информации
Смета затрат – общий свод плановых затрат предприятия в денежном выражении на выполнение работ.
Для сервера
Для рабочих станций
4.1 Требования к искусственному и естественному освещению
4.2 Основные требования к искусственному освещению в производственном помещении
СОДЕРЖАНИЕ
ВВЕДЕНИЕ 5
1 ОБЩАЯ ЧАСТЬ 8
1.1 Топологии ЛВС 8
1.1.1 Шинная топология 9
1.1.2 Топология в виде звезды 10
1.1.3 Кольцевая топология 12
1.1.4 Гибридная топология (смешанная) 15
1.2 Программные и технические средства для построения ЛВС 16
1.2.1 Программное обеспечение 17
1.2.2 Сетевые устройства и средства коммуникаций 19
1.2.2.1 Витая пара 20
1.2.2.2 Широкополосный коаксиальный кабель 20
1.2.2.3 Еthernet – кабель 20
1.2.2.4 Оптоволоконные линии 21
1.2.3 Взаимодействие открытых систем (OSI) 21
1.2.3.1 Режимы передачи данных 25
1.2.3.2 Коды передачи данных 26
1.2.4 Аппаратные средства передачи данных 26
1.2.4.1 Звенья данных 28
1.2.4.2 Управление звеньями данных 28
1.2.4.3 Основные формы взаимодействия абонентских ЭВМ 29
1.3 Протоколы компьютерной сети 31
1.3.1 Основные виды протоколов 32
1.3.2 Межсетевой протокол (IP) 33
1.3.3 Протокол управления передачей (TCP) 35
1.3.4 Протоколы (организация) 36
1.3.5 Структура функционирования сети 36
1.3.6 Пересылка битов 38
1.3.7 Пересылка данных 38
1.3.8 Сети коммутации пакетов 38
1.4 Протокол – Интернет (IP) 39
1.4.1 Создание сети с человеческим лицом 46
2 СПЕЦИАЛЬНЫЙ ВОПРОС 48
2.1 Построения ЛВС под управлением windows в сравнении с др. О.С 48
2.1.1 О.С. Unix 48
2.1.2 О.С. Novel 49
2.1.3.1 Файл сервер и рабочие станции 49
2.1.3.2 Операционная система рабочей станции 50
2.1.3.3 Программное обеспечение локальных сетей 50
2.1.3.4 Сети с централизованным управлением 50
2.1.3.5 Одноранговые сети 51
2.1.4 О.С Windows NT 53
2.1.4.1 Централизованное управление безопасностью 53
2.1.4.2 Управление рабочими станциями пользователей 54
2.1.4.3 Слежение за деятельностью сети 54
2.1.4.4 Начало сеанса на компьютере Windows NT 54
2.1.4.5 Учётные карточки пользователей 55
2.1.5 Основные службы Windows 55
2.1.5.1 Active Directory 55
2.1.5.2 DNS 58
2.1.5.3 DHCP 64
2.1.5.4 WINS – серверы 66
2.2 Обеспечение безопасности ЛВС 70
2.2.1 Потенциальные угрозы безопасности информации 75
2.2.2 Случайные угрозы 75
2.2.3 Преднамеренные угрозы 76
2.2.4 Средства защиты информации 78
2.2.5 Технические средства безопасности 79
2.2.6 Программные средства защиты безопасности 79
2.2.7 Законодательные средства защиты информации 81
2.2.8 Структура системы защиты 82
3 ЭКОНОМИЧЕСКИЕ РАСЧЁТЫ 83
3.1 Расчёт на установку и приобретения лицензионного программного обеспечения 83
3.1.1 Расчёт затрат на основную и дополнительную заработную плату 83
3.1.2 Расчёт затрат по статье “Покупные и комплектующие изделия” 86
3.1.3 Расчёт эксплуатационных расходов 86
3.1.4 Расчёт затрат по статье “Отчисление от заработной платы (социальный налог) 89
3.1.5 Расчёт затрат по статье “Общие и административные расходы” 89
4 ОХРАНА ТРУДА: Санитарно гигиенические нормы для ИВЦ 90
4.1 Требование к искусственному и естественному освещению 90
4.2 Основные требования к искусственному освещению в производственном помещении 90
5 ТЕХНИКА БЕЗОПАСНОСТИ: ТБ при монтировании ЛВС 92
5.1 Техника безопасности при работе с ЭВМ 92
5.2 Электробезопасность на производстве 93
ЗАКЛЮЧЕНИЕ
СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ
Введение
На сегодняшний день в мире существует более 150 миллионов компьютеров, более 80 % из них объединены в различные информационно-вычислительные сети от малых локальных сетей в офисах до глобальных сетей типа Internet Всемирная тенденция к объединению компьютеров в сети обусловлена рядом важных причин, таких как ускорение передачи информационных сообщений, возможность быстрого обмена информацией между пользователями, получение и передача сообщений ( факсов, E - Mail писем и прочего ) не отходя от рабочего места, возможность мгновенного получения любой информации из любой точки земного шара, а так же обмен информацией между ПК разных фирм производителей работающих под разным программным обеспечением. Такие огромные потенциальные возможности, которые несет в себе вычислительная сеть и тот новый потенциальный подъем, который при этом испытывает информационный комплекс, а так же значительное ускорение производственного процесса не дают право не принимать это к разработке и не применять их на практике. Всё больше различных организаций, занимающиеся самыми разносторонними различными родами деятельности стремятся объединиться в локальную и глобальную мировую сеть. Автоматизирование рабочих мест сегодня является программой, активно использующей сетевое соединение отдельных компьютеров в локальную вычислительную сеть. Только при этом становится возможной передача информации с любого рабочего места пользователя на сервер и обратно. Скорость передачи данных по сети естественным образом влияет на общую скорость работы всех АРМ. В свою очередь, скорость прохождения информации от сервера к локальному компьютеру пользователя определяется комплексом программно - аппаратных средств, которые и составляют локальную вычислительную сеть.
В настоящее время существуют различные способы связи разрозненных компьютеров в единое целое (т.е. в сеть). Спектр аппаратных средств (и программных средств для управления ими) более чем широк. Иногда это приводит к некоторому затруднению при выборе типа сети и её программного обеспечения. Неправильный выбор может в дальнейшем привести к невозможности функционирования сети в случае увеличения кололичества соеденённых между собой машин или возрастания требований к скорости и объемам передаваемой информации. Для построения локальной сети необходимо в достаточной степени понимать принципы организации ЛВС, грамотно уметь выбирать аппаратные и программные средства для её построения. В данном дипломном проэкте мне был предложен перечень вопросов непосредственно касающихся структуры построения, характеристики и защиты локальных сетей. Я рассматрел основные, базовые принципы ЛВС и привел различные схемы соединения машин между собой. А так, же дал описания достоинств и недостатков каждой схемы. Теоретическая информация закреплена описанием реально используемыми в настоящее время аппаратными и программными средствами для построения ЛВС. Наряду с давно применяемыми и хорошо изученными способами построения локальных вычислительных сетей приводится описание современного способа соединения с помощью оптоволоконного кабеля.
Понятие локальная вычислительная сеть - ЛВС (англ. LAN - Lokal Area Network) относится к географически ограниченным ( территориально или производственно) аппаратно-программным реализациям, в которых несколько компьютерных систем связаны друг с другом с помощью соответствующих средств коммуникаций. Благодаря такому соединению пользователь может взаимодействовать с другими рабочими станциями, подключенными к этой ЛВС. В производственной практики ЛВС играют очень большую роль. Посредством ЛВС в систему объединяются персональные компьютеры, расположенные на многих удаленных рабочих местах, которые используют совместно оборудование, программные средства и информацию. Рабочие места сотрудников перестают быть изолированными и объединяются в единую систему. Рассмотрим преимущества, получаемые при сетевом объединении персональных компьютеров в виде внутрипроизводственной вычислительной сети: Разделение ресурсов позволяет экономно использовать ресурсы, например, управлять периферийными устройствами, такими как лазерные печатающие устройства, со всех присоединенных рабочих станций. Разделение данных предоставляет возможность доступа и управления базами данных с периферийных рабочих мест, нуждающихся в информации. Разделение программных средств предоставляет возможность одновременного использования централизованных, ранее установленных программных средств. Разделение ресурсов процессора при разделение ресурсов процессора возможно использование вычислительных мощностей для обработки данных другими системами, входящими в сеть. Предоставляемая возможность заключается в том, что на имеющиеся ресурсы пользовательские программы не “набрасываются” моментально, а только лишь через специальный процессор, доступный каждой рабочей станции. Многопользовательский режим: многопользовательские свойства системы содействуют одновременному использованию централизованных прикладных программных средств, ранее установленных и управляемых. Например, если пользователь системы работает с другим заданием, то текущая выполняемая работа отодвигается на задний план. Начало 1980 года ознаменовалось резким ростом в области применения сетей. Как только компании осознали, что сетевая технология обеспечивает им сокращение расходов и повышение производительности, они начали устанавливать новые и расширять уже существующие сети почти с такой же скоростью, с какой появлялись новые технологии сетей и изделия для них. К середине 1980 года стали очевидными проблемы, число которых все более увеличивалось, связанные с этим ростом, особенно у тех компаний, которые применили много разных (и несовместимых) технологий сети.
Основными проблемами, связанными с увеличением сетей, являются каждодневное управление работой сети и стратегическое планирование роста сети. Характерным является то, что каждая новая технология сети требует свою собственную группу экспертов для ее работы и поддержки. В начале 1980гг. стратегическое планирование роста этих сетей усложнилось. Одни только требования к числу персонала для управления крупными сетями привели многие организации на грань кризиса. Необходимостью стало автоматизированное управление сетями (включая то, что обычно называется "планированием возможностей сети"), интегрированное по всем различным окружениям.
1 ОБЩАЯ ЧАСТЬ
Для того чтобы организовать нормальную стабильную рабочую сеть необходимо в достаточной мере знать, как она устанавливается. Поэтому в данном разделе пойдёт речь о том, какие бывают разновидности локальных вычислительных сетей и как их можно располагать в зависимости от того где, и как устанавливается ЛВС
1.1 Топологии ЛВС
Топология ЛВС - это геометрическая схема соединений узлов сети, с
помощью, которых осуществляется передача данных от одного ПК к другому. Существуют три основных вида топологий: “ шина”, “звезда”, “кольцо”. И в дополнении к ним существует также гибридная, ещё называемая смешанная топология, которая в совокупности объединяет в себе эти три основных вида топологий.
Вычислительные машины, входящие в состав ЛВС, могут быть расположены самым случайным образом на территории, где создается вычислительная сеть. Для способа обращения к передающей среде и методов управления сетью небезразлично, как расположены абонентские ЭВМ, Поэтому топологии ЛВС является основой для построения локальной сети.
Топологии вычислительных сетей могут быть самыми различными, но для локальных вычислительных сетей типичными являются всего три:
Иногда для упрощения используют термины — кольцо, шина и звезда. Но это не может означать, что рассматриваемые типы топологий представляют собой идеальное кольцо, идеальную прямую или звезду. Любую компьютерную сеть можно рассматривать как совокупность узлов, которые и составляют всю сеть в целом.
Узел - это любое устройство, непосредственно подключенное к передающей среде сети.
Топология усредняет схему соединений узлов сети. Таким образом и эллипс, и замкнутая кривая, и замкнутая ломаная линия относятся к кольцевой топологии, а незамкнутая ломаная линия - к шинной.
1.1.1 Шинная топология
Шинная топология — одна из наиболее простых. Она связана с использованием в качестве передающей среды коаксиального кабеля. Данные от передающего узла сети распространяются по шине в обе стороны. Промежуточные узлы не транслирую поступающих сообщений. Информация поступает на все узлы, но принимает сообщение только тот, которому оно адресовано. Дисциплина обслуживания параллельная.
Это обеспечивает высокое быстродействие ЛВС с шинной топологией. Сеть легко наращивать и конфигурировать, а также адаптировать к различным системам. Сеть шинной топологии устойчива к возможным неисправностям отдельных узлов. Сети шинной топологии наиболее распространены в настоящее время. Данные сети имеют малую протяженность и не позволяют использовать различные типы кабеля в пределах одной сети. При шинной топологии среда передачи информации представляется в форме коммуникационного пути, доступного дня всех рабочих станций, к которому они все должны быть подключены. Все рабочие станции могут непосредственно вступать в контакт с любой рабочей станцией, имеющейся в сети.
Рис. 1.1 Шинная топология
Рабочие станции в любое время, без прерывания работы всей вычислительной сети, могут быть подключены к ней или отключены. Функционирование вычислительной сети не зависит от состояния отдельной рабочей станции. В стандартной ситуации для шинной сети Ethernet часто используют тонкий кабель или Cheapernet-кaбeль с тройниковым соединителем. Выключение и особенно подключение к такой сети требуют разрыва шины, что вызывает нарушение циркулирующего потока информации и зависание системы. Новые технологии предлагают пассивные штепсельные коробки, через которые можно отключать и или включать рабочие станции во время работы вычислительной сети.
Благодаря тому, что рабочие станции можно включать без прерывания сетевых процессов и коммуникационной среды, очень легко прослушивать информацию, т.е. ответвлять информацию из коммуникационной среды.
В ЛВС с прямой (не модулируемой) передачей информации всегда может существовать только одна станция, передающая информацию.
К достоинствам шинной топлогии относится: то,что она является одной из наиболее простых топологий, высокая защита сети от отказов, хорошая разводка кабеля, Имеет паралельную дисциплину обслуживания за счёт чего обладает высоким быстродействием. Леко наращивать, конфигурировать и адаптировать к другой сети соединения. Проста в управлении.
К недостаткам шинной топологии относится: ограниченные размеры системы, незначительная защищённость от прослушивания, высокая стоимость подключения, плохое повидение системы при нагрузках, плохая потдержка возможности работы в реальном времени.
1.1.2 Топология в виде звезды
Звездообразная топология базируется на концепции центрального узла, к которому подключаются периферийные узлы. Каждый периферийный узел имеет свою отдельную линию связи с центральным узлом. Вся информация между периферийными рабочими местами передается через центральный узел вычислительной сети, который ретранслирует, переключает и маршрутизирует информационные потоки в сети. Пропускная способность сети определяется вычислительной мощностью узла и гарантируется для каждой рабочей станции. Коллизий (столкновений) данных при этом в сети не возникает.
Кабельное соединение довольно простое, так как каждая рабочая станция связана с узлом. Затраты на прокладку кабелей высокие, особенно когда центральный узел географически расположен не в центре топологии.
При расширении вычислительных сетей не могут быть использованы ранее выполненные кабельные связи: к новому рабочему месту необходимо прокладывать отдельный кабель из центра сети. Топология в виде звезды является наиболее быстродействующей из всех топологий вычислительных сетей, поскольку передача данных между рабочими станциями проходит через центральный узел (при его хорошей производительности) по отдельным линиям, используемым только этими рабочими станциями. Частота запросов передачи информации от одной станции к другой невысокая по сравнению с достигаемой в других топологиях. Производительность вычислительной сети в первую очередь зависит от мощности центрального файлового сервера.
Рис. 1.2 Топология в виде звезды
Он может быть узким местом вычислительной сети. В случае выхода из строя центрального узла нарушается работа всей сети. Центральный узел управления - файловый сервер может реализовать оптимальный механизм защиты против несанкционированного доступа к информации. Вся вычислительная сеть может управляться из ее центра.
Звездообразная топология значительно упрощает взаимодействие узлов ЛВС друг с другом, позволяет использовать более простые сетевые адаптеры. В то же время работоспособность ЛВС со звездообразной топологией целиком зависит от центрального узла. В реальных вычислительных сетях могут использоваться более сложные топологии, представляющие в некоторых случаях сочетания рассмотренных. Выбор той или иной топологии определяется областью применения ЛВС, географическим расположением ее узлов и размерностью сети в целом.
К достоинствам звёздной топологии относится: простое кабельное соединение, является наиболее быстродействующей из всех топологий вычислительных сетей. Частота запросов передачи информации от одной станции к другой, невысокая по сравнению с достигаемой в других топологиях. Вся вычислительная сеть может управляться из ее центра, с него же можно осуществлять безопасность всей сети. Позволяет использовать более простые сетевые адаптеры. Хорошая защищённость от прослушивания сети, хорошее поведение системы при высоких нагрузках.
К недостаткам звёздной топологии относится: высокие затраты на прокладку кабелей. При расширении вычислительных сетей не могут быть использованы ранее выполненные кабельные связи. Зависимость быстродействия сети зависит от центрального узла. При выходе из строя центрального компьютера нарушается работа всей сети.
1.1.3 Кольцевая топология
Кольцевая топология предусматривает соединение узлов сети замкнутой кривой - кабелем передающей среды. Выход одного узла сети соединяется с входом другого.
Рис. 1.3 Кольцевая топология
Информация по кольцу передается от узла к узлу. Каждый промежуточный узел между передатчиком и приемником ретранслирует посланное сообщение. Принимающий узел распознает и получает только адресованные ему сообщения.
При кольцевой топологии сети рабочие станции связаны одна с другой по кругу, т.е. рабочая станция 1 с рабочей станцией 2, рабочая станция 3 с рабочей станцией 4 и т.д. Последняя рабочая станция связана с первой. Коммуникационная связь замыкается в кольцо.
Прокладка кабелей от одной рабочей станции до другой может быть довольно сложной и дорогостоящей, особенно если географически рабочие станции расположены далеко от кольца (например, в линию).
Сообщения циркулируют регулярно по кругу. Рабочая станция посылает по определенному конечному адресу информацию, предварительно получив из кольца запрос. Пересылка сообщений является очень эффективной, так как большинство сообщений можно отправлять по кабельной системе одно за другим. Очень просто можно сделать кольцевой запрос на все станции. Продолжительность передачи информации увеличивается пропорционально количеству рабочих станций, входящих в вычислительную сеть. Основная проблема при кольцевой топологии заключается в том, что каждая рабочая станция должна активно участвовать в пересылке информации, и в случае выхода из строя хотя бы одной из них вся сеть парализуется. Неисправности в кабельных соединениях локализуются легко.
Подключение новой рабочей станции требует краткосрочного выключения сети, так как во время установки кольцо должно быть разомкнуто. Ограничения на протяженность вычислительной сети не существует, так как оно, в конечном счете, определяется исключительно расстоянием между двумя рабочими станциями. Кольцевая топология является идеальной для сетей, занимающих сравнительно не большое пространство. В ней отсутствует центральный узел, что повышает надежность сети. Ретрансляция информации позволяет использовать в качестве передающей сред любые типы кабелей.
Специальной формой кольцевой топологии является логическая кольцевая сеть. Физически она монтируется как соединение звездных топологий. Отдельные звезды включаются с помощью специальных коммутаторов (англ. Hub -концентратор), которые по-русски также иногда называют “хаб”. В зависимости от числа рабочих станций и длины кабеля между рабочими станциями применяют активные или пассивные концентраторы. Активные концентраторы дополнительно содержат усилитель для подключения от 4 до 16 рабочих станций. Пассивный концентратор является исключительно разветвительным устройством (максимум на три рабочие станции). Управление отдельной рабочей станцией в логической кольцевой сети происходит так же, как и в обычной кольцевой сети. Каждой рабочей станции присваивается соответствующий ей адрес, по которому передается управление (от старшего к младшему и от самого младшего к самому старшему). Разрыв соединения происходит только для нижерасположенного (ближайшего) узла вычислительной сети, так что лишь в редких случаях может нарушаться работа всей сети. Последовательная дисциплина обслуживания узлов такой сети снижает ее быстродействие, а выходиз строя одного из узлов нарушает целостность кольца и требует принять специальных мер для сохранения тракта передачи информации.
К достоинствам кольцевой топологии относится: очень эффективная пересылка сообщений. Позволяет использовать в качестве передающей сред любые типы кабелей. Неисправности в кабельных соединениях локализуются легко. Характеристики топологий вычислительных сетей приведены в таблице:
Таблица 1 Характеристика топологий ЛВС
Характеристики | Топология | ||
| Звезда | Кольцо | Шина |
Стоимость расширения | Незначительная | Средняя | Средняя |
Присоединение абонентов | Пассивное | Активное | Пассивное |
Защита от отказов | Незначительная | Незначительная | Высокая |
Характеристики | Топология | ||
| Звезда | Кольцо | Шина |
Размеры системы | Любые | Любые | Ограниченны |
Защищенность от прослушивания | Хорошая | Хорошая | Незначительная |
Стоимость подключения | Незначительная | Незначительная | Высокая |
Поведение системы при высоких нагрузках | Хорошее | Удовлетворительное | Плохое |
Возможность работы в реальном режиме времени | Очень хорошая | Хорошая | Плохая |
Разводка кабеля | Хорошая | Удовлетворительная | Хорошая |
Обслуживание | Очень хорошее | Среднее | Среднее |
Отсутствие ограничения на протяженность вычислительной сети, продолжительность передачи информации увеличивается пропорционально количеству устанавливаемых рабочих станций. В кольцевой топологии отсутствует центральный узел, что повышает надежность сети.
К недостаткам кольцевой топологии относиться: основная проблема при кольцевой топологии заключается в том, что каждая рабочая станция должна активно участвовать в пересылке информации, и в случае выхода из строя хотя бы одной из них вся сеть парализуется.
Подключение новой рабочей станции требует краткосрочного выключения сети, так как во время установки кольцо должно быть разомкнуто. Прокладка кабелей от одной рабочей станции до другой может быть довольно сложной и дорогостоящей.
Для предотвращения коллизий в большинстве случаев применяется временной метод разделения, согласно которому для каждой подключенной рабочей станции в определенные моменты времени предоставляется исключительное право на использование канала передачи данных.
Поэтому требования к пропускной способности вычислительной сети при повышенной нагрузке снижаются, например, при вводе новых рабочих станций. Рабочие станции присоединяются к шине посредством устройств ТАР (англ. Terminal Access Point - точка подключения терминала). ТАР представляет собой специальный тип подсоединения к коаксиальному кабелю. Зонд игольчатой формы внедряется через наружную оболочку внешнего проводника и слой диэлектрика к внутреннему проводнику и присоединяется к нему. В ЛВС с модулированной широкополосной передачей информации различные рабочие станции получают, по мере надобности, частоту, на которой эти рабочие станции могут отправлять и получать информацию. Пересылаемые данные модулируются на соответствующих несущих частотах, т.е. между средой передачи информации и рабочими станциями находятся соответственно модемы для модуляции и демодуляции. Техника широкополосных сообщений позволяет одновременно транспортировать в коммуникационной среде довольно большой объем информации. Для дальнейшего развития дискретной транспортировки данных не играет роли, какая первоначальная информация подана в модем (аналоговая или цифровая), так как она все равно в дальнейшем будет преобразована.
1.1.4 Гибридная топология (смешанная)
Кроме трёх основных перечисленных ранее топологий сущевует ещё одна четвёртая, не менее часто используемая и важная топология, получившая название гибридная, или так называемая смешанная топология. Она состоит в савокупности из всех перечисленных топологий и объеденяет в себе все качества, которыми обладают эти топологии в целом. Как правило такие топологии используют в разрозненных, разнотипных местах где осуществление сети с помощью одной топологии будет недостаточно. В этих случаях и необходимо применять данную топологию. Помимо проводных соеденений вычислительных сетей топологий, также существуют ещё и безпроводные соединения ЛВС. Так как в основном связь такого соединения осуществляется с помощью инфрокрасного излучения то такое соединение принято считать пассивным и довольно дорогим.
1.2 Программные и технические средства для построения ЛВС
Локальная сеть - это группа из нескольких компьютеров, соединенных между собой посредством кабелей (иногда также телефонных линий или радиоканалов), используемых для передачи информации между компьютерами. Для соединения компьютеров в любую локальную сеть всегда необходимо сетевое оборудование и программное обеспечение.
Локальные сети позволяют обеспечить: коллективную обработку данных пользователями подключенных в сеть компьютеров и обмен данными между этими пользователями. А так, же совместное использование программ, принтеров, модемов и других устройств.
Для объединения компьютеров в локальную сеть требуется: вставить в каждый подключаемый к сети компьютер сетевой контроллер, который позволяет компьютеру получать информацию из локальной сети и передавать данные в сеть. Затем соединить компьютеры кабелями, по которым происходит передача данных между компьютерами, а также другими подключенными к сети устройствами (принтерами, сканерами и т.д.). В некоторых типах сетей кабели соединяют компьютеры непосредственно (как электролампочки на елочной гирлянде), в других соединение кабелей осуществляется через специальные устройства - концентраторы (или хабы), коммутаторы и др.
В некоторых сетях вместо кабелей данные передаются по радиочастотам (как в радиотелефонах или сотовых телефонах). Однако такие сети стоят дороже и они сложнее в эксплуатации. Для обеспечения функционирования локальной сети часто выделяется специальный компьютер — сервер, или несколько таких компьютеров. На дисках серверов располагаются совместно используемые программы, базы данных и т.д. Остальные компьютеры локальной сети часто называются рабочими станциями. На тех рабочих станциях, где требуется обрабатывать только данные на сервере (например, вводить сведения в совместно используемую базу данных о заказах и продажах), часто для экономии (или по соображениям безопасности) не устанавливают жестких дисков. В сетях, состоящих более чем из 20-25 компьютеров, наличие сервера обязательно — иначе, как правило, производительность сети будет неудовлетворительной. Сервер необходим и при совместной интенсивной работе с какой-либо базой данных.
Иногда серверам назначается определенная специализация (хранение данных, программ, обеспечение модемной и факсимильной связи, вывод на печать и т.д.). Серверы, как правило, не используются в качестве рабочих мест пользователей. Серверы, обеспечивающие работу с ценными данными, часто размещаются в изолированном помещении, доступ в которое имеют только специально уполномоченные люди (как в банковское хранилище).
Замечание. Многие серверы стоят значительно дороже (в 10-20 и более раз) обычных компьютеров. Они не только являются мощными компьютерами с большим количеством оперативной и дисковой памяти, но в них вдобавок обеспечиваются исключительная надежность, высокая производительность ввода-вывода, дублирование устройств и хранимых данных, средства контроля над состоянием сервера, средства обеспечения бесперебойной работы при отказе некоторых устройств и т.д.
Для обеспечения функционирования локальной сети необходимо соответствующее программное обеспечение.
1.2.1 Программное обеспечение
Операционные системы Windows for Workgroups, Windows 95, Windows NT Workstation имеют встроенные возможности по организации локальных сетей без выделенного сервера. Обычно такие сети называются одноранговыми, поскольку в них все компьютеры равноправны, каждый из них выполняет как роль рабочего места пользователя, так и роль сервера по обеспечению доступа к своим данным и ресурсам. Правда, при использовании Windows for Workgroups или Windows 95 защиту данных обеспечить не удастся, поэтому такие сети можно использовать только в коллективах, где ни у кого нет секретов друг от друга. Можно использовать и другие средства для организации одноранговых локальных сетей. Например, ОС LANtastic фирмы Artisoft позволяет создать одноранговую сеть, в которой можно работать в среде DOS, Windows и Windows 95.
Но часто одноранговая сеть - это не лучший выход. Так, как пользовательская ОС мало приспособлена для выполнения функций сервера сети, которую ей приходится выполнять. И если на каком-то компьютере пользователь играет в компьютерную игру, или рисует картинку в фотошопе, а другие пользователи работают с файлами на этом же компьютере, то они будут сильно мешать друг другу — скорость их работы резко снизится. Кроме того, многие другие особенности одноранговых сетей довольно неудобны — и отсутствие защиты информации, и децентрализованное хранение данных, усложняющее их резервирование, и недостаточная надежность, и многое другое. Поэтому обычно в локальных сетях применяются выделенные компьютеры, занимающиеся только обслуживанием локальной сети и совместно используемых данных — серверы.
В локальных сетях с выделенным сервером на сервере используются специальные операционные системы, обеспечивающие надежную и эффективную обработку многих запросов от рабочих мест пользователей. На рабочих станциях такой локальной сети может использоваться любая операционная система, например DOS, Windows и т.д., и должен быть запущен драйвер, обеспечивающий доступ к локальной сети.
На серверах уровня подразделения (к примеру, до 100 компьютеров) используется операционная система Novell NetWare (версии 3.12 или 4.1) или Windows NT Server. Иногда применяются и другие ОС — OS/2 Server Advanced, различные варианты UNIX и др. В сетях с большим количеством серверов (к примеру, десятком или несколькими десятками) часто используется операционная система Novell NetWare версии 4.1, так, как она обеспечивает удобные средства по централизованному управлению ресурсами таких сетей (Novell Directory Service, NDS). Как известно, именно управление ресурсами сети обычно составляет более половины эксплуатационных расходов. В Windows NT Server аналогичные средства удобны лишь для небольших сетей, включающих один сервер или малое количество серверов.
В тех случаях, когда к некоторым данным требуется обеспечить доступ сотен и тысяч компьютеров, применяются так называемые серверы уровня предприятия. Они часто делаются уже не на основе микропроцессоров Intel, а к примеру, на технике фирмы Sun, на мэйнфреймах (больших компьютерах) фирмы IBM и др. Там требуется особо высокая надежность, многопроцессорная обработка, высочайшая пропускная способность и т.д. Такими серверами управляют различные варианты UNIX, MVS фирмы IBM и др.
Кроме сетевой ОС, для эффективной работы пользователей в локальной сети требуется и иное программное обеспечение, которое иногда поставляется вместе с сетевой ОС. А иногда его надо покупать отдельно: электронная почта обеспечивает доставку писем (а часто и произвольных файлов, а также голосовых и факсимильных сообщений) от одних пользователей локальной сети к другим, а иногда позволяет общаться и с удаленными пользователями по модему или через InterNet. Средства удаленного доступа позволяют подключаться к локальной сети с помощью модема и работать на компьютере, как будто он непосредственно подключен в сеть (разумеется, при этом многие операции будут выполняться дольше, так как модем работает значительно медленнее сетевого контроллера). Средства групповой работы (наиболее популярно из них Lotus Notes) позволяют совместно работать над документами, обеспечивают согласованность версий документов у разных пользователей, предоставляют средства для организации документооборота предприятия, позволяют организовывать телеконференции — письменный обмен мнениями по различным темам и т.д. Программы резервирования позволяют создавать резервные копии данных, хранящихся на серверах локальной сети и на компьютерах пользователей, а при необходимости — восстанавливать данные по их резервной копии. Средства управления локальной сетью позволяют управлять ресурсами локальной сети с одного рабочего места, получать информацию о состоянии и загрузке сети, настраивать производительность сети, управлять системами пользователей сети (например, устанавливать на них программное обеспечение) и т.д. Локальнаявычислительная сеть объединяет абонентов, расположенных в пределах небольшой территории. В настоящее время не существует четких ограничений на территориальный разброс абонентов локальной вычислительной сети. Обычно такая сеть привязана к конкретному месту.
К классу локальных вычислительных сетей относятся сети отдельных предприятий, фирм, банков, офисов и т.д. Протяженность такой сети можно ограничить пределами 2 - 2,5км.
Объединение глобальных и локальных вычислительных сетей позволяет создавать многосетевые иерархии.Они обеспечивают мощные, экономически целесообразные средства обработки огромных информационных массивов и доступ к неограниченным информационным ресурсам. Локальные вычислительные сети могут входить как компоненты в состав региональной сети, региональные сети — объединяться в составе глобальной сети и, наконец, глобальные сети могут также образовывать сложные структуры.
1.2.2 Сетевые устройства и средства коммуникаций
Для организации средств в качестве коммуникации ЛВС, наиболее часто используются витая пара, коаксиальный кабель и оптоволоконные линии. При выборе типа кабеля учитывают следующие показатели: стоимость монтажа и обслуживания, скорость передачи информации, ограничения на величину расстояния передачи информации (без дополнительных усилителей - повторителей (репитеров). А так, же безопасность передачи данных в локальной вычичислительной сети.
Главная проблема заключается в одновременном обеспечении этих показателей, например, наивысшая скорость передачи данных ограничена максимально возможным расстоянием передачи данных, при котором еще обеспечивается требуемый уровень защиты данных. Легкая наращиваемость и простота расширения кабельной системы влияют на ее стоимость.
1.2.2.1 Витая пара
Наиболее дешевым кабельным соединением является витое двухжильное проводное соединение часто называемое "витой парой" (twisted pair). Она позволяет передавать информацию со скоростью до 10 Мбит/с, легко наращивается, однако является помехонезащищенной. Длина кабеля не может превышать 1000 м при скорости передачи 1 Мбит/с. Преимуществами являются низкая цена и бес проблемная установка. Для повышения помехозащищенности информации часто используют экранированную витую пару, т.е. витую пару, помещенную в экранирующую оболочку, подобно экрану коаксиального кабеля. Это увеличивает стоимость витой пары и приближает ее цену к цене коаксиального кабеля.
1.2.2.2 Широкополосный коаксиальный кабель
Широкополосный коаксиальный кабель невосприимчив к помехам, легко наращивается, но цена его высокая. Скорость передачи информации равна 500 Мбит/с. При передачи информации в базисной полосе частот на расстояние более 1,5 км требуется усилитель, или так называемый репитер (повторитель). Поэтому суммарное расстояние при передаче информации увеличивается до 10 км. Для вычислительных сетей с топологией шина или дерево коаксиальный кабель должен иметь на конце согласующий резистор (терминатор).
1.2.2.3 Еthernet-кабель
Ethernet-кабель также является коаксиальным кабелем с волновым сопротивлением 50 Ом. Его называют еще толстый Ethernet (thick) или жёлтый кабель (yellow cable). Он использует 15-контактное стандартное включение. Вследствие помехозащищенности является дорогой альтернативой обычным коаксиальным кабелям. Максимально доступное расстояние без повторителя не превышает 500 м, а общее расстояние сети Ethernet - около 3000 м. Ethernet-кабель, благодаря своей магистральной топологии, использует в конце лишь один нагрузочный резистор.
1.2.2.4 Оптоволоконные линии
Наиболее дорогими являются оптопроводники, называемые также стекловолоконным кабелем. Скорость распространения информации по ним достигает нескольких гигабит в секунду. Допустимое удаление более 50 км. Внешнее воздействие помех практически отсутствует. На данный момент это наиболее дорогостоящее соединение для ЛВС. Применяются там, где возникают электромагнитные поля помех или требуется передача информации на очень большие расстояния без использования повторителей. Они обладают противоподслушивающими свойствами, так как техника ответвлений в оптоволоконных кабелях очень сложна. Оптопроводники объединяются в JIBC с помощью звездообразного соединения. Характеристика трёх сред передачи данных приведены в таблице:
Таблица 2 Показатели трех типовых сред для передачи данных
Показатели | Среда передачи данных | ||
| Двух жильный кабель - витая пара | Коаксиальный кабель | Оптоволоконный кабель |
Цена | Невысокая | Относительно высокая | Высокая |
Наращивание | Очень простое | Проблематично | Простое |
Защита от прослушивания | Незначительная | Хорошая | Высокая |
Показатели | Среда передачи данных | ||
| Двух жильный кабель - витая пара | Коаксиальный кабель | Оптоволоконный кабель |
Проблемы с заземлением | Нет | Возможны | Нет |
Восприимчивость к помехам | Существует | Существует | Отсутствует |
1.2.3 Взаимодействие открытых систем (OSI)
Для того чтобы взаимодействовать, люди используют общий язык. Если они не могут разговаривать друг с другом непосредственно, они применяют соответствующие вспомогательные средства для передачи сообщений. Для того чтобы привести в движение процесс передачи данных, использовали машины с одинаковым кодированием данных связанные одна с другой. Для единого представления данных в линиях связи, по которым передается информация, сформирована Международная организация по стандартизации (англ, ISO – International Standarts Organization).
ISO предназначена для разработки модели международного коммуникационного протокола, в рамках которой можно разрабатывать международные стандарты.
Международная организация по стандартизации (ISO) разработала базовую модель взаимодействия открытых систем OSI. Эта модель является международным стандартом для передачи данных,
Модель содержит 7 уровней:
- физический - битовые протоколы передачи информации;
-канальный - формирование кадров, управление доступом к среде;
- сетевой - маршрутизация, управление потоками данных;
- транспортный - обеспечение взаимодействия удаленных процессов;
-сеансовый - поддержка диалога между удаленными процессами;
-представительский - интерпретация передаваемых данных;
-прикладной - пользовательское управление данными.
Основная идея этой модели заключается в том, что каждому уровню отводится конкретная роль, в том числе и транспортной среде. Благодаря этому общая задача передачи данных расчленяется на отдельные легко обозримые задачи. Необходимые соглашения для связи одного уровня с выше - и нижерасположенными называют протоколом. Так как пользователи нуждаются в эффективном управлении, система вычислительной сети представляется как комплексное строение, которое координирует взаимодействие задач пользователей. Отдельные уровни базовой модели проходят в направлении вниз от источника данных (от уровня 7 к уровню 1) и в направлении вверх от приемника данных (от уровня 1 к уровню 7). Пользовательские данные передаются в нижерасположенный уровень вместе со специфическим для уровня заголовком до тех пор, пока не будет достигнут последний уровень.
На приемной стороне поступающие данные анализируются и, по мере надобности, передаются далее в вышерасположенный уровень, пока информация не будет передана в пользовательский прикладной уровень.
- Физический уровень — выполняет все необходимые процедуры в канале связи. Его основная задача — управление аппаратурой передачи данных и подключенным к ней каналом связи. Включает физические аспекты передачи двоичной информации по линии связи. Детально описывает, например, напряжения, частоты, природу передающей среды. У этого уровня входит в обязанность поддержание связи и прием-передача битового потока. На физическом уровне определяются электрические, механические, функциональные и процедурные параметры для физической связи в системах. Физическая связь и неразрывная с ней эксплуатационная готовность являются основной функцией 1-го уровня, Стандарты физического уровня включают рекомендации V.24 МККТТ (ССIТТ), ЕIА RS232 и Х.21. Стандарт ISDN (Integrated Services Digital Network) в будущем сыграет определяющую роль для функций передачи данных. В качестве среды передачи данных используют трехжильный медный провод (экранированная витая пара), коаксиальный кабель, оптоволоконный проводник и радиорелейную линию.
- Канальный уровень это уровень звена данных, по которому осуществляется связь. Он реализует процесс передачи информации по информационному каналу. Информационный канал это логический канал, который устанавливается между двумя ЭВМ, соединенными физическим каналом. Канальный уровень обеспечивает управление потоком данных передаваемых 1-м уровнем, в которые упаковываются информационные пакеты. Осуществляет безошибочную передачу блоков данных (называемых кадрами или (frame - мами)), определяет начало и конец кадра в битовом потоке, и их последовательность. Включает процедуру обнаружения проверки наличия ошибок и исправляет их. Этот уровень реализует алгоритм восстановления информации в случае обнаружения сбоев или потерь данных. На этом уровне осуществляются управление доступом к передающей среде, используемой несколькими ЭВМ, где в свою очередь происходит синхронизация, обнаружение и исправление ошибок.
Только этот уровень оперирует такими элементами, как битовые последовательности, методы кодирования, и маркеры. Он несет ответственность за правильную передачу данных (пакетов) на участках между непосредственно связанными элементами сети. Обеспечивает управление доступом к среде передачи. В виду его сложности, канальный уровень подразделяется на два подуровня: MAC (Medium Access Control) - Управление доступом к среде и LLC (Logical Link Control) - Управление логической связью (каналом). Уровень MAC управляет доступом к сети (с передачей маркера в сетях Token Ring или распознаванием конфликтов (столкновений передач) в сетях Ethernet) и управлением сетью. Уровень LLC, действующий над уровнем MAC, и есть тот уровень, который посылает и получает сообщения с данными.
- Сетевой уровень устанавливает связь в вычислительной сети между двумя абонентами. Соединение происходит благодаря функциям маршрутизации, которые требуют наличия сетевого адреса в пакете. Сетевой уровень должен также обеспечивать обработку ошибок, мультиплексирование, управление потоками данных. Самый известный стандарт, относящийся к этому уровню - рекомендация Х.25 МККТТ (для сетей общего пользования с коммутацией пакетов). 3-й уровень определяет интерфейс оконечного оборудования данных пользователя с сетью коммутации пакетов. Он отвечает за маршрутизацию пакетов в коммуникационной сети и за связь между сетями - реализует межсетевое взаимодействие.
- Транспортный уровень поддерживает непрерывную передачу данных между двумя взаимодействующими друг с другом пользовательскими процессами. Качество транспортировки, безошибочность передачи, независимость вычислительных сетей, сервис транспортировки из конца в конец, минимизация затрат и адресация связи гарантируют непрерывную и безошибочную передачу данных. Этот уровень обеспечивает интерфейс между процессами и сетью. Он устанавливает логические каналы между процессами и обеспечивает передачу по этим каналам информационных пакетов, которыми обмениваются процессы. Логические каналы, устанавливаемые транспортным уровнем, называются транспортными каналами. Пакет - группа байтов, передаваемых абонентами сети друг другу.
- Сеансовый уровень координирует прием, передачу и выдачу одного сеанса связи. Для координации необходимы контроль рабочих параметров, управление потоками данных промежуточных накопителей и диалоговый контроль, гарантирующий передачу, имеющихся в распоряжении данных. Кроме того, сеансовый уровень содержит дополнительно функции управления паролями, подсчета платы за пользование ресурсами сети, управления диалогом, синхронизации и отмены связи в сеансе передачи после сбоя вследствие ошибок в нижерасположенных уровнях.
Сеансовый уровень - реализует установление и поддержку сеанса связи между двумя абонентами через коммуникационную сеть. Он позволяет производить обмен данными в режиме, определенном прикладной программой, или предоставляет возможность выбора режима обмена. Сеансовый уровень поддерживает и завершает сеанс связи.
Три верхних уровня объединяются под общим названием — процесс или прикладной процесс. Эти уровни определяют функциональные особенности вычислительной сети как прикладной системы.
- Уровень представления данных предназначен для интерпретации данных; а также подготовки данных для пользовательского прикладного уровня.
На этом уровне происходит преобразование данных из кадров, используемых для передачи данных в экранный формат или формат для печатающих устройств оконечной системы. Уровень определяет синтаксис данных в модели, т.е. представление данных. Он гарантирует представление данных в кодах и форматах, принятых в данной системе. В некоторых системах этот уровень может быть объединен с прикладным.
- Прикладной уровень — обеспечивает поддержку прикладных процессов конечных пользователей. Этот уровень определяет круг прикладных задач, реализуемых в данной вычислительной сети. Он также содержит все необходимые элементы сервиса для прикладных программ пользователя. На прикладной уровень могут быть вынесены некоторые задачи сетевой операционной системы. В прикладном уровне необходимо предоставить в распоряжение пользователей уже переработанную информацию. С этим может справиться системное и пользовательское прикладное программное обеспечение.
1.2.3.1 Режимы передачи данных
Любая коммуникационная сеть должна включать следующие основные компоненты: передатчик, сообщение, средства передачи, приемник.
- Передатчик — устройство, являющееся источником данных.
- Приемник — устройство, принимающее данные.
- Приемником могут быть компьютер, терминал или какое-либо цифровое устройство,
Сообщение — цифровые данные определенного формата, предназначенные для передачи.
Это может быть файл базы данных, таблица, ответ на запрос, текст или изображение
Средства передачи — физическая передающая среда и специальная аппаратура, обеспечивающая передачу сообщений.
Для передачи сообщений в вычислительных сетях используются различные типы каналов связи. Наиболее распространены выделенные телефонные каналы и специальные каналы для передачи цифровой информации. Применяются также радиоканалы и каналы спутниковой связи.
Особняком в этом отношении стоят ЛВС, где в качестве передающей среды используются витая пара проводов, коаксиальный кабель и оптоволоконный кабель.
Для характеристики процесса обмена сообщениями в вычислительной сети по каналам связи используются следующие понятия: режим передачи, код передачи, тип синхронизации.
Режим передачи. Существуют три режима передачи: симплексный, полудуплексный и дуплексный.
Симплексный режим — передача данных только в одном направлении.
Примером симплексного режима передачи является система, в которой информация, собираемая с помощью датчиков, передается для обработки на ЭВМ. В вычислительных сетях симплексная передача практически не используется.
Полудуплексный режим — попеременная передача информации, когда источник и приемник последовательно меняются местами.
Яркий пример работы в полудуплексном режиме — разведчик, передающий в Центр информацию, а затем принимающий инструкции из Центра.
Дуплексный режим — одновременные передача и прием сообщений.
Дуплексный режим является наиболее скоростным режимом работы и позволяет эффективно использовать вычислительные возможности быстродействующих ЭВМ в сочетании с высокой скоростью передачи данных по каналам связи.
1.2.3.2 Коды передачи данных
Для передачи информации по каналам связи используются специальные коды. Коды эти стандартизованы и определены рекомендациями ISO (International Organization for Standardization) — Международной организации по стандартизации (МОС) или Международного консультативного комитета по телефонии и телеграфии (МККТТ).
Наиболее распространенным кодом передачи по каналам связи является код ASCII, принятый для обмена информацией практически во всем мире (отечественный аналог — код КОИ-7).
Существует ещё один способ связи между ЭВМ, когда ЭВМ объединены в комплекс с помощью интерфейсного кабеля и с помощью двухпроводной линии связи.
Интерфейсный кабель — это набор проводов, по которым передаются сигналы от одного устройства компьютера к другому. Чтобы обеспечить быстродействие, для каждого сигнала выделен отдельный провод. Сигналы передаются в определенной последовательности и в определенных комбинациях друг с другом.
Для передачи кодовой комбинации используется столько линий, сколько битов эта комбинация содержит. Каждый бит передается по отдельному проводу. Это параллельная передача или передача параллельным кодом. Предпочтение такой передаче отдается при организации локальных МВК, для внутренних связей ЭВМ и для небольших расстояний между абонентами сети. Передача параллельным кодом обеспечивает высокое быстродействие, но требует повышенных затрат на создание физической передающей среды и обладает плохой помехозащищенностью. В вычислительных сетях передача параллельными кодами не используется.
Для передачи кодовой комбинации по двухпроводной линии группа битов передается по одному проводу бит за битом. Это передача информации последовательным кодом. Она, вполне естественно, медленнее, так как требует преобразования данных в параллельный код для дальнейшей обработки в ЭВМ, но экономически более выгодна для передачи сообщений на большие расстояния.
1.2.4 Аппаратные средства передачи данных
Чтобы обеспечить передачу информации из ЭВМ в коммуникационную среду, необходимо согласовать сигналы внутреннего интерфейса ЭВМ с параметрами сигналов, передаваемых по каналам связи. При этом должно быть выполнено как физическое согласование (форма, амплитуда и длительность сигнала), так и кодовое.
Технические устройства, выполняющие функции сопряжения ЭВМ с каналами связи, называются адаптерами или сетевыми адаптерами. Один адаптер обеспечивает сопряжение с ЭВМ одного канала связи.
Кроме одноканальных адаптеров используются и многоканальные устройства - мультиплексоры передачи данных или просто мультиплексоры.
Мультиплексор передачи данных — устройство сопряжения ЭВМ с несколькими каналами связи.
Мультиплексоры передачи данных использовались в системах телеобработки данных — первом шаге на пути к созданию вычислительных сетей. В дальнейшем при появлении сетей со сложной конфигурацией и с большим количеством абонентских систем для реализации функций сопряжения стали применяться специальные связные процессоры,
Как уже говорилось ранее, для передачи цифровой информации по каналу связи необходимо поток битов преобразовать в аналоговые сигналы, а при приеме информации из канала связи в ЭВМ выполнить обратное действие — преобразовать аналоговые сигналы в поток битов, которые может обрабатывать ЭВМ. Такие преобразования выполняет специальное устройство — модем.
Модем — устройство, выполняющее модуляцию и демодуляцию информационных сигналов при передаче их из ЭВМ в канал связи и при приеме ЭВМ из канала связи.
Наиболее дорогим компонентом вычислительной сети является канал связи. Поэтом при построении ряда вычислительных сетей стараются сэкономить на каналах связи, коммутируя несколько внутренних каналов связи на один внешний. Для выполнения функция коммутации используются специальные устройства — концентраторы.
Концентратор — устройство, коммутирующее несколько каналов связи и один путем частотного разделения.
В ЛВС, где физическая передающая среда представляет собой кабель ограниченной длины, для увеличения протяженности сети используются специальные устройства — повторители.
Повторитель — устройство, обеспечивающее сохранение формы и амплитуды сигнала при передача его на большее, чем предусмотрено данным типом физической передающей среды, расстояние.
Существуют локальные и дистанционные повторители. Локальные повторители позволяют соединять фрагменты сетей, расположенные на расстоянии до 50 м, а дистанционные — до 2000 м.
- Характеристики коммуникационной сети:
Для оценки качества коммуникационной сети можно использовать следующие характерно тики:
- скорость передачи данных по каналу связи;
- пропускную способность канала связи;
- достоверность передачи информации;
- надежность канала связи и модемов.
Скорость передачи данных по каналу связи измеряется количеством битов информации, передаваемых за единицу времени — секунду.
1.2.4.1 Звенья данных
Пользователи вычислительных сетей работают с прикладными задачами, расположенными на абонентских ЭВМ, либо имеют доступ к сети с терминалов. Абонентские ЭВМ и терминалы объединяются понятием оконечное оборудование данных (ООД). Для работы друг с другом абоненты вычислительной сети должны быть соединены каналом связи, и между ними должно быть установлено логическое соединение.
Звено данных — два или более абонентов вычислительной сети, соединенных каналом связи.
Задача коммуникационной сети — установить звено данных и обеспечить управление звеном данных при обмене информацией между абонентами сети. Существуют два типа звеньев данных: двухпунктовые, многопунктовые. В двухпунктовом звене данных к каждой точке канала связи подключена либо одна ЭВМ, либо один терминал.
В многопунктовом звене данных к одной точке канала связи может быть подключено несколько ЭВМ или терминалов. Многопунктовое звено позволяет сэкономить на каналах связи, но требует в процессе установления связи между абонентами выполнения дополнительной процедуры идентификации абонента. В двухпунктовом звене эта процедура не нужна, так как один канал соединяет только двух абонентов.
1.2.4.2 Управление звеньями данных
При организации взаимодействия между абонентами в звене данных необходимо решить проблему управления процессом обмена сообщениями.
Используются два основных режима управления в звеньях данных: режим подчинения, режим соперничества.
В режиме подчинения одна из ЭВМ, входящих в звено данных, имеет преимущество в установлении соединения. Эта ЭВМ обладает статусом центральной и инициирует процесс обмена сообщениями путем посылки другим абонентам управляющих последовательностей опроса.
Применяются два типа управляющих последовательностей. Если центральная ЭВМ хочет прочитать сообщения от другого абонента, то ему передается вначале управляющая последовательность опроса. Для организации такого режима управления звеном данных используются специальные списки опроса: либо циклический, либо открытый.
При работе с циклическим списком после опроса последнего абонента осуществляется автоматический переход к началу списка.
При работе с открытым списком опрос заканчивается на последнем абоненте из списка. Для перехода к началу списка необходимо выполнить дополнительную процедуру.
Режим подчинения удобен в сетях с централизованным управлением, прост в программной реализации и не создает в сети ситуации столкновения запросов — одновременной попытки установить связь со стороны двух абонентов. В то же время этот режим не удовлетворяет требованиям свойственного для сетей диалогового режима (посылка сообщений в любой момент времени любому абоненту).
С центральной ЭВМ соединены отдельными каналами связи периферийные ЭВМ. Обмен информацией между абонентами сети осуществляется через центральную ЭВМ, которая периодически опрашивает их для получения сообщений или передает им свои сообщения. В каждый отдельный момент времени устанавливается двухпунктовое звено данных — "центральная ЭВМ — периферийная ЭВМ".
В сетях типичным режимом управления в звеньях данных является режим соперничества. Он предусматривает для всех абонентов равный статус в инициативе начала обмена сообщениями. Таким образом обеспечивается высокая оперативность работы, но возникает проблема столкновения запросов в передающей среде. Если два абонента сети пытаются одновременно установить связь друг с другом, то происходит столкновение запросов. Эту ситуацию необходимо каким-то образом разрешить. В сетях с такой дисциплиной управления в звеньях данных вначале производится сброс состояния запроса на обеих ЭВМ, а затем посылаются повторные запросы, но с разной временной задержкой для каждого абонента.
Для локальных вычислительных сетей основным режимом управления в звеньях данных является режим соперничества.
1.2.4.3 Основные формы взаимодействия абонентских ЭВМ
Самое существенное в работе вычислительной сети — определение набора функции, доступных ее абоненту.
Так как пользователи сети работают в определенных предметных областях и используют сеть для решения своих прикладных задач, напомним, что такое процесс, и определим понятие прикладной процесс.
Процесс — некоторая последовательность действий для решения задачи, определяемая программой.
Прикладной процесс — некоторое приложение пользователя, реализованное в прикладной программе.
Отсюда следует, что взаимодействие абонентских ЭВМ в сети можно рассматривай как взаимодействие прикладных процессов конечных пользователей через коммуникационную сеть.
Коммуникационная сеть обеспечивает физическое соединение между абонентскими ЭВМ — передачу сообщений по каналам связи. Для того чтобы могли взаимодействовать процессы, между ними должна существовать и логическая связь (процессы должны быть инициированы, файлы данных открыты).
Анализ работы вычислительных сетей позволяет установить следующие формы взаимодействия между абонентскими ЭВМ:
- терминал — удаленный процесс;
- терминал — доступ к удаленному файлу;
- терминал — доступ к удаленной базе данных;
- терминал — терминал;
электронная почта.
Взаимодействие терминал — удаленный процесс предусматривает обращение с терминала одной из абонентских ЭВМ к процессу, находящемуся на другой абонентской ЭВМ сети. При этом устанавливается логическая связь с процессом и проводится сеанс работы с ним. Можно запустить удаленный процесс, получить результаты обработки данных этим процессом. Возможна также работа в режиме консоли — трансляция команд сетевой операционной системы на удаленную ЭВМ.
При взаимодействии терминал — доступ к удаленному файлу можно открыть удаленный файл, модифицировать его или произвести транспортировку этого файла на любое внешнее устройство абонентской ЭВМ для дальнейшей работы с ним в локальном режиме.
Работав режиме терминал — доступ к удаленной базе данных аналогична предыдущей форме взаимодействия. Только в этом случае производится работа с базой данных в ее полном объеме в соответствии с правами доступа, которыми обладает данный пользователь вычислительной сети.
Взаимодействие терминал — терминал предусматривает обмен сообщениями между абонентами сети в диалоговом режиме. Сообщения могут посылаться как отдельным абонентам, так и группам абонентов сети. Длина сообщения не должна превышать некоторой установленной для данной сети величины (обычно — строка на экране терминала).
Форма взаимодействия электронная почта в последнее время стала очень распространенной. Каждый абонент имеет на своей ЭВМ "почтовый ящик". Это специальный файл, в который записываются все поступающие в его адрес сообщения. Конечный пользователь может проверять в начале работы свой "почтовый ящик", выводить сообщения на печать и передавать сообщения в адрес других абонентов вычислительной сети.
1.3 Протоколы компьютерной сети
При обмене информацией в сети каждый уровень модели реагирует на свой заголовок. Иными словами, происходит взаимодействие между одноименными уровнями модели в различных абонентских ЭВМ. Такое взаимодействие должно выполняться по определенным правилам.
Протокол — набор правил, определяющий взаимодействие двух одно именных уровней модели взаимодействия открытых систем в различных абонентских ЭВМ.
Протокол — это не программа. Правила и последовательность выполнения действий при обмене информацией, определенные протоколом, должны быть реализованы в программе. Обычно функции протоколов различных уровней реализуются в драйверах для различных вычислительных сетей.
В соответствии с семиуровневой структурой модели можно говорить о необходимости существования протоколов для каждого уровня.
Концепция открытых систем предусматривает разработку стандартов для протоколов различных уровней. Легче всего поддаются стандартизации протоколы трех нижних уровней модели архитектуры открытых систем, так как они определяют действия и процедуры, свойственные для вычислительных сетей любого класса.
Труднее всего стандартизовать протоколы верхних уровней, особенно прикладного, из-за множественности прикладных задач и в ряде случаев их уникальности. Если по типам структур, методам доступа к физической передающей среде, используемым сетевым технологиям и некоторым другим особенностям можно насчитать примерно десяток различных моделей вычислительных сетей, то по их функциональному назначению пределов не существует.
1.3.1 Основные виды протоколов
Проще всего представить особенности сетевых протоколов на примере протоколов канального уровня, которые делятся на две основные группы: байт-ориентированные и бит-ориентированные.
Байт - ориентированный протокол обеспечивает передачу сообщения по информационному каналу в виде последовательности байтов.
Кроме информационных байтов в канал передаются также управляющие и служебные байты. Такой тип протокола удобен для ЭВМ, так как она ориентирована на обработку данных, представленных в виде двоичных байтов. Дня коммуникационной среды байт-ориентированный протокол менее удобен, так как разделение информационного потока в канале на байты требует использования дополнительных сигналов, что в конечном счете снижает пропускную способность канала связи.
Наиболее известным и распространенным байт-ориентированным протоколом является протокол двоичной синхронной связи BSC (Binary Synchronous Communication), разработанный фирмой IBM, Протокол обеспечивает передачу двух типов кадров: управляющих и информационных. В управляющих кадрах передаются управляющие и служебные символы, в информационных — сообщения (отдельные пакеты, последовательность пакетов). Работа протокола BSC осуществляется в три фазы: установление соединения, поддержание сеанса передачи сообщений, разрыв соединения. Протокол требует на каждый переданный кадр посылки квитанции о результате его приема. Кадры, переданные с ошибкой, передаются повторно. Протокол определяет максимальное число повторных передач.
Передача последующего кадра возможна только тогда, когда получена положительная квитанция на прием предыдущего. Это существенно ограничивает быстродействие протокола и предъявляет высокие требования к качеству канала связи.
Бит-ориентированный протокол предусматривает передачу информации в виде потока битов, не разделяемых на байты. Поэтому для разделения кадров используются специальные последовательности — флаги. В начале кадра ставится флаг открывающийся конце — флаг закрывающий.
Бит-ориентированный протокол удобен относительно коммуникационной среды, так как канал связи как раз и ориентирован на передачу последовательности битов. Для ЭВМ он не очень удобен, потому что из поступающей последовательности битов приходится выделять байты для последующей обработки сообщения. Впрочем, учитывая быстродействие ЭВМ, можно считать, что эта операция не окажет существенного влияния на ее производительность. Потенциально бит-ориентированные протоколы являются более скоростными по сравнению с байт-ориентированными, что обусловливает их широкое распространение в современных вычислительных сетях.
Типичным представителем группы бит - ориентированных протоколов являются протокол HDLC (High-level Data Link Control — высший уровень управления каналом связи) и его подмножества. Протокол HDLC управляет информационным каналом с помощью специальных управляющих кадров, в которых передаются команды. Информационные кадры нумеруются. Кроме того, протокол HDLC позволяет без получения положительной квитанции передавать в канал до трех — пяти кадров. Положительная квитанция, полученная, например, на третий кадр, показывает, что два предыдущих приняты без ошибок и необходимо повторить передачу только четвертого и пятого кадров. Такой алгоритм работы и обеспечивает высокое быстродействие протокола.
Из протоколов верхнего уровня модели ВОС следует отметить протокол Х.400 (электронная почта) и FTAM (File Transfer, Access and Management — передача файлов, доступ к файлам и управление файлами).
1.3.2 Межсетевой протокол (IP)
С помощью линий связи обеспечивается доставка данных из одного пункта в другой. Internet может доставлять данные во многие точки, разбросанные по всему земному шару. Как это происходит?
Различные участки Internet связываются с помощью системы компьютеров (называемых маршрутизаторами) соединяющих между собой сети. Это могут быть сети Internet, сети с маркерным доступом, телефонные линии. Маршрутизаторы – это почтовые подстанции; они принимают решения о том, куда направлять данные («пакеты»), так же, как почтовая подстанция решает, куда направлять конверты с почтой. Каждая подстанция, или маршрутизатор, не имеет связи с остальными станциями. Если опустили письмо в почтовый ящик в Нью-Хэмпшире, а адресат живет в Калифорнии, то местное почтовое отделение не будет бронировать самолет, чтобы доставить письмо в Калифорнию. Местное почтовое отделение посылает письмо на подстанцию, подстанция посылает его на другую подстанцию и так далее, пока письмо не дойдет до адресата. Таким образом, каждой подстанции нужно знать только, какие имеются соединения и какой из «следующих скачков» будет лучшим для перемещения пакета ближе к пункту назначения. Похожая ситуация складывается и в Internet: маршрутизатор смотрит, куда адресованы Ваши данные, и решает, куда их посылать.
Откуда Internet знает, куда следует направить данные? Если отправляют письмо, то непросто опустив его в почтовый ящик без конверта, нельзя рассчитывать, что корреспонденция будет доставлена по назначению. Письмо нужно вложить в конверт, написать на конверте адрес и наклеить марку. Точно так же, как почтовое отделение следует по правилам, которые определяют порядок работы почтовой сети, определенные правила регламентируют порядок работы Internet. Эти правила называют протоколами. Межсетевой протокол (Internet Protocol, IP) отвечает за адресацию, т.е. гарантирует, что маршрутизатор знает, что делать с Вашими данными, когда они поступят. Следуя нашей аналогии с почтовым ведомством, можно сказать, что межсетевой протокол выполняет функции конверта.
Некоторая адресная информация приводится в начале Вашего сообщения. Она даёт сети достаточно сведений для доставки пакета данных.
Internet - адреса состоят из четырёх чисел, каждое из которых не превышает 256. При записи числа отделяются одно от другого точками.
Адрес фактически состоит из нескольких частей. Поскольку Internet – это сеть сетей, то начало адреса содержит информацию для маршрутизаторов о том, к какой сети относится Ваш компьютер. Правая часть адреса служит для того, чтобы сообщить сети, какой компьютер должен получить этот пакет. Каждый компьютер в Internet имеет свой уникальный адрес. Здесь нам опять поможет аналогия со службой доставки почты. Возьмем адрес «50 Kelly Road, Hamden, CT». Элемент «Hamden, CT» похож на адрес сети. Благодаря этому конверт попадает в необходимое почтовое отделение, то, которое знает об улицах в определенном районе. Элемент «Kelly Road» похож на адрес компьютера; он указывает на конкретный почтовый ящик в районе, который обслуживает данное почтовое отделение. Почтовое ведомство выполнило свою задачу, доставив почту в нужное местное отделение, а это отделение положило письмо в соответствующий почтовый ящик. Аналогичным образом, Internet выполнила свою задачу, когда ее маршрутизаторы направили данные в соответствующую сеть, а эта локальная сеть – в соответствующий компьютер.
По целому ряду технических причин (в основном это аппаратные ограничения) информация, посылаемая по IP- сетям, разбивается на порции, называемые пакетами. В одном пакете обычно посылается от одного до 1500 символов информации. Это не дает возможности одному пользователю монополизировать сеть, однако позволяет каждому рассчитывать на своевременное обслуживание. Это также означает, что в случае перегрузки сети качество ее работы несколько ухудшается для всех пользователей: она не умирает, если ее монополизировали несколько солидных пользователей.
Одно из достоинств Internet состоит в том, что для работы на базовом уровне достаточно только межсетевого протокола. Сеть будет не очень дружественной, но если Вы будете вести себя достаточно разумно, то решите свои задачи. Поскольку Ваши данные помещаются в IP- конверт, то сеть имеет всю информацию, необходимую для перемещения этого пакета из компьютера в пункт назначения. Здесь, однако, возникает сразу несколько проблем.
- Во-первых, в большинстве случаев объем пересылаемой информации превышает 1500 символов. Если бы почта принимала только открытки …,
- Во-вторых, может произойти ошибка. Почтовое ведомство иногда теряет письма, а сети иногда теряют пакеты или повреждают их при передаче. Вы увидите, что в отличие от почтовых отделений Internet успешно решает такие проблемы.
- В-третьих, последовательность доставки пакетов может быть нарушена. Если Вы послали по одному адресу одно за другим два письма, то нет никакой гарантии, что они пойдут по одному маршруту или придут в порядке их отправления. Такая же проблема существует и в Internet.
Поэтому следующий уровень сети даст возможность пересылать более крупные порции информации и позаботиться об устранении тех искажений, которые вносит сама сеть.
1.3.3 Протокол управления передачей (ТСР)
Для решения упомянутых ранее проблем используется «протокол управления передачей» (Transmission Control Protocol, TCP), который часто упоминают вместе с протоколом IP. Как следовало бы поступить в случае, если Вы хотите послать кому-нибудь книгу, а почта принимает только письма? Выход один: вырвать из книги все страницы, вложить каждую в отдельный конверт и бросить все конверты в почтовый ящик. Получателю пришлось бы собирать все страницы (при условии, что ни одно письмо не пропало) и склеивать обратно в книгу. Вот эти задачи и выполняет ТСР.
Информацию, которую Нужно передать, ТСР разбивает на порции. Каждая порция нумеруется, чтобы можно было проверить, вся ли информация получена, и расположить данные в правильном порядке. Для передачи этого порядкового номера по сети у протокола есть свой собственный «конверт», на котором «написана» необходимая информация . Порция Ваших данных помещается в конверт ТСР. Конверт ТСР, в свою очередь, помещается в конверт IP и передается в сеть.
На принимающей стороне программное обеспечение протокола ТСР собирает конверты, извлекает из них данные и располагает их в правильном порядке. Если каких-нибудь конвертов нет, программа просит отправителя передать их еще раз. После размещения всей информации в правильном порядке эти данные передаются той прикладной программе, которая использует услуги ТСР.
1.3.4 Протоколы (организация)
В этом разделе имеются сведения о сети с коммутацией пакетов и преимущества построения сети на принципах TCP/IP протоколов. Здесь будут рассмотрены основные принципы управления коммуникациями в : TCP и его бедный родственник UDP. Это основные системообразующие элементы сети. Важным элементом является также региональная система имен (DNS).
1.3.5 Структура функционирования сети
Современные сети построены по многоуровневому принципу. Чтобы организовать связь двух компьютеров, требуется сначала создать свод правил их взаимодействия, определить язык их общения, т.е. определить, что означают посылаемые ими сигналы и т.д. Эти правила и определения называются протоколом. Для работы сетей необходимо запастись множеством различных протоколов: например, управляющих физической связью, установлением связи по сети, доступом к различным ресурсам и т.д. Многоуровневая структура спроектирована с целью упростить и упорядочить это великое множество протоколов и отношений. Взаимодействие уровней в этой модели - субординарное. Каждый уровень может реально взаимодействовать только с соседними уровнями (верхним и нижним), виртуально - только с аналогичным уровнем на другом конце линии.
Под реальным взаимодействием мы подразумеваем непосредственное взаимодействие, непосредственную передачу информации, например, пересылку данных в оперативной памяти из области, отведенной одной программе, в область другой программы. При непосредственной передаче данные остаются неизменными все время. Под виртуальным взаимодействием мы понимаем опосредованное взаимодействие и передачу данных; здесь данные в процессе передачи могут уже определенным, заранее оговоренным образом видоизменяться.
Такое взаимодействие аналогично схеме цепи посылки письма одним директором фирмы другому. Например, директор некоторой фирмы пишет письмо редактору газеты. Директор пишет письмо на своем фирменном бланке и отдает этот листок секретарю. Секретарь запечатывает листок в конверт, надписывает конверт, наклеивает марку и передает почте. Почта доставляет письмо в соответствующее почтовое отделение. Это почтовое отделение связи непосредственно доставляет письмо получателю - секретарю редактора газеты. Секретарь распечатывает конверт и, по мере надобности, подает редактору. Ни одно из звеньев цепи не может быть пропущено, иначе цепь разорвется: если отсутствует, например, секретарь, то листок с письменами директора так и будет пылиться на столе у секретаря.
Здесь видно, как информация (лист бумаги с текстом) передается с верхнего уровня вниз, проходя множество необходимых ступеней - стадий обработки. Обрастает служебной информацией (пакет, адрес на конверте, почтовый индекс; контейнер с корреспонденцией; почтовый вагон, станция назначения почтового вагона и т.д.), изменяется на каждой стадии обработки и постепенно доходит до самого нижнего уровня - уровня почтового транспорта (гужевого, автомобильного, железнодорожного, воздушного), которым реально перевозится в пункт назначения. В пункте назначения происходит обратный процесс: вскрывается контейнер и извлекается корреспонденция, считывается адрес на конверте и почтальон несет его адресату (секретарю), который восстанавливает информацию в первоначальном виде, - достает письмо из конверта, прочитывает его и определяет его срочность, важность, и в зависимости от этого передает информацию выше. Директор и редактор, таким образом, виртуально имеют прямую связь. Ведь редактор газеты получает в точности ту же информацию, которую отправил директор, а именно - лист бумаги с текстом письма. Начальствующие персоны совершенно не заботятся о проблемах пересылки этой информации. Секретари также имеют виртуально прямую связь: секретарь редактора получит в точности то же, что отправил секретарь директора, а именно - конверт с письмом. Секретарей совершенно не волнуют проблемы почты, пересылающей письма. И так далее.
Аналогичные связи и процессы имеют место и в эталонной модели ISO OSI. Физическая связь реально имеет место только на самом нижнем уровне (аналог почтовых поездов, самолетов, автомобилей). Горизонтальные связи между всеми остальными уровнями являются виртуальными, реально они осуществляются передачей информации сначала вниз, последовательно до самого нижнего уровня, где происходит реальная передача, а потом, на другом конце, обратная передача вверх последовательно до соответствующего уровня.
Модель ISO OSI предписывает очень сильную стандартизацию вертикальных межуровневых взаимодействий. Такая стандартизация гарантирует совместимость продуктов, работающих по стандарту какого-либо уровня, с продуктами, работающими по стандартам соседних уровней, даже в том случае, если они выпущены разными производителями. Количество уровней может показаться избыточным, однако же, такое разбиение необходимо для достаточно четкого разделения требуемых функций во избежание излишней сложности и создания структуры, которая может подстраиваться под нужды конкретного пользователя, оставаясь в рамках стандарта.
1.3.6 Пересылка битов
Пересылка битов происходит на физическом уровне схемы ISO OSI. Увы, здесь всякая попытка краткого и доступного описания обречена на провал. Требуется введение огромного количества специальных терминов, понятий, описаний процессов на физическом уровне и т.д. И потом, существует столь великое разнообразие приемопередатчиков и передающих сред, - трудно даже и обозреть этот океан технологий. Для понимания работы сетей этого и не требуется. Считается, что просто имеется труба, по которой из конца в конец перекачиваются биты. Именно биты, безо всякого деления на какие-либо группы (байты, декады и т.п.).
1.3.7 Пересылка данных
Об организации блочной, символьной передачи, обеспечении надежности пересылки поговорим на других уровнях модели ISO OSI. Т.е. функции канального уровня в Internet распределены по другим уровням, но не выше транспортного. В этом смысле Internet не совсем соответствует стандарту ISO. Здесь канальный уровень занимается только разбиением битового потока на символы и кадры и передачей полученных данных на следующий уровень. Обеспечением надежности передачи он себя не утруждает.
1.3.8 Сети коммутации пакетов
Настала пора поговорить об Internet именно как о сети, а не паутине линий связи и множестве приемопередатчиков. Казалось бы, Internet вполне аналогична телефонной сети, и модель телефонной сети достаточно адекватно отражает ее структуру и работу. В самом деле, обе они электронные, обе позволяют вам устанавливать связь и передавать информацию. И Internet тоже состоит, в первую очередь, из выделенных телефонных линий. Но увы! Картина эта неверна и приводит ко многим заблуждениям относительно работы Internet, ко множеству недоразумений. Телефонная сеть - это так называемая сеть с коммутацией линий, т.е. когда вы делаете вызов, устанавливается связь и на все время сеанса связи имеется физическое соединение с абонентом. При этом вам выделяется часть сети, которая для других уже не доступна, даже если вы молча дышите в трубку, а другие абоненты хотели бы поговорить по действительно неотложному делу. Это приводит к нерациональному использованию очень дорогих ресурсов - линий сети. Internet же является сетью с коммутацией пакетов, что принципиально отличается от сети с коммутацией каналов.
Для Internet более подходит модель, которая поначалу может не внушать доверия: почта, обыкновенная государственная почтовая служба. Почта является сетью пакетной связи. Нет никакой выделенной вам части этой сети. Ваше послание перемешивается с посланиями других пользователей, кидается в контейнер, пересылается в другое почтовое отделение, где снова сортируется. Хотя технологии сильно разнятся, почта является прекрасным и наглядным примером сети с коммутацией пакетов. Модель почты удивительно точно отражает суть работы и структуры Internet. Ею мы и будем пользоваться далее.
1.4 Протокол - Интернет (IP)
По проводу можно переслать биты только из одного его конца в другой. Internet же умудряется аккуратно передавать данные в различные точки, разбросанные по всему миру. Как она это делает? Забота об этом возложена на сетевой (межсетевой) уровень в эталонной модели ISO OSI. О нем и поговорим.
Различные части Internet - составляющие сети - соединяются между собой посредством компьютеров, которые называются ``узлы''; так Сеть связывается воедино. Сети эти могут быть Ethernet, Token Ring, сети на телефонных линиях, пакетные радиосети и т.п. Выделенные линии и локальные сети суть аналоги железных дорог, самолетов почты и почтовых отделений, почтальонов. Посредством их почта движется с места на место. Узлы - аналоги почтовых отделений, где принимается решение, как перемещать данные (``пакеты'') по сети, точно так же, как почтовый узел намечает дальнейший путь почтового конверта. Отделения или узлы не имеют прямых связей со всеми остальными. Если вы отправляете конверт из Долгопрудного (Московская область) в Уфу (Башкирия), конечно же, почта не станет нанимать самолет, который полетит из ближайшего к Долгопрудному аэропорта (Шереметьево) в Уфу, просто местное почтовое отделение отправляет послание на подстанцию в нужном направлении, та в свою очередь, дальше в направлении пункта назначения на следующую подстанцию; таким образом письмо станет последовательно приближаться к пункту назначения, пока не достигнет почтового отделения, в ведении которого находится нужный объект и которое доставит сообщение получателю. Для работы такой системы требуется, чтобы каждая подстанция знала о наличествующих связях и о том, на какую из ближайших подстанций оптимально следует передать адресованный туда-то пакет. Примерно также и в Internet: узлы выясняют, куда следует ваш пакет данных, решают куда его дальше отправить и отправляют.
На каждой почтовой подстанции определяется следующая подстанция, куда будет далее направлена корреспонденция, т.е. намечается дальнейший путь (маршрут) - этот процесс называется маршрутизацией. Для осуществления маршрутизации каждая подстанция имеет таблицу, где адресу пункта назначения (или индексу) соответствует указание почтовой подстанции, куда следует посылать далее этот конверт (бандероль). Их сетевые аналоги называются таблицами маршрутизации. Эти таблицы рассылаются почтовым подстанциям централизовано соответствующим почтовым подразделением. Время от времени рассылаются предписания по изменению и дополнению этих таблиц. В Internet, как и любые другие действия, составление и модификация, таблиц маршрутизации (этот процесс тоже является частью маршрутизации и называется так же) определяются соответствующими правилами - протоколами ICMP (Internet Control Message Protocol), RIP (Routing Internet Protocol) и OSPF (Open Shortest Path First). Узлы, занимающиеся маршрутизацией, называются маршрутизаторами.
А откуда сеть знает, куда назначен ваш пакет данных? От вас. Если вы хотите отправить письмо и хотите, чтобы ваше письмо достигло места назначения, вы не можете просто кинуть листочек бумаги в ящик. Вам следует уложить его в стандартный конверт и написать на нем не ``на деревню дедушке'', как Ванька Жуков, а адрес получателя в стандартной форме. Только тогда почта сможет правильно обработать ваше письмо и доставить его по назначению. Аналогично в Internet имеется набор правил по обращению с пакетами - протоколы. Протокол Internet (IP) берет на себя заботы по адресации или по подтверждению того, что узлы понимают, что следует делать с вашими данными по пути их дальнейшего следования. Согласно нашей аналогии, протокол Internet работает также как правила обработки почтового конверта. В начало каждого вашего послания помещается заголовок, несущий информацию об адресате, сети. Чтобы определить, куда и как доставить пакет данных, этой информации достаточно.
Адрес в Internet состоит из 4 байт. При записи байты отделяются друг от друга точками: 123.45.67.89 или 3.33.33.3 . (Не пугайтесь, запоминать эти цифры вам не придется !) В действительности адрес состоит из нескольких частей. Так как Internet есть сеть сетей, начало адреса говорит узлам Internet, частью какой из сетей вы являетесь. Правый конец адреса говорит этой сети, какой компьютер или хост должен получить пакет (хотя реально не все так просто, но идея такова). Каждый компьютер в Internet имеет в этой схеме уникальный адрес, аналогично обычному почтовому адресу, а еще точнее - индексу. Обработка пакета согласно адресу также аналогична. Почтовая служба знает, где находится указанное в адресе почтовое отделение, а почтовое отделение подробно знает подопечный район. Internet знает, где искать указанную сеть, а эта сеть знает, где в ней находится конкретный компьютер. Для определения, где в локальной сети находится компьютер с данным числовым IP-адресом, локальные сети используют свои собственные протоколы сетевого уровня. Например, Ethernet для отыскания Ethernet-адреса по IP-адресу компьютера, находящегося в данной сети, использует протокол ARP - протокол разрешения(в смысле различения) адресов. (См. документацию по ARP: RFC 826, 917, 925, 1027)
Числовой адрес компьютера в Internet аналогичен почтовому индексу отделения связи. Первые цифры индекса говорят о регионе (например, 45 - это Башкирия, 141 - Подмосковье и т.д.), последние две цифры - номер почтового отделения в городе, области или районе. Промежуточные цифры могут относиться как к региону, так и к отделению, в зависимости от территориального деления и вида населенного пункта. Аналогично существует несколько типов адресов Internet (типы: A, B, C, D, E), которые по-разному делят адрес на поля номера сети и номера узла, от типа такого деления зависит количество возможных различных сетей и машин в таких сетях.
По ряду причин (особенно, - практических, из-за ограничений оборудования) информация, пересылаемая по сетям IP, делится на части (по границам байтов), раскладываемые в отдельные пакеты. Длина информации внутри пакета обычно составляет от 1 до 1500 байт. Это защищает сеть от монополизирования каким-либо пользователем и предоставляет всем примерно равные права. Поэтому же, если сеть недостаточно быстра, чем больше пользователей ее одновременно пользует, тем медленнее она будет общаться с каждым.
Протокол IP является дейтаграммным протоколом, т.е. IP-пакет является дейтаграммой. Это совершенно не укладывается в модель ISO OSI, в рамках которой уже сетевой уровень способен работать по методу виртуальных каналов.
Одно из достоинств Internet состоит в том, что протокола IP самого по себе уже вполне достаточно для работы (в принципе). Это совершенно неудобно, но, при достаточных аскетичности, уме и упорстве удастся проделать немалый объем работы. Как только данные помещаются в оболочку IP, сеть имеет всю необходимую информацию для передачи их с исходного компьютера получателю. Работа вручную с протоколом IP напоминает нам суровые времена доперсональной компьютерной эры, когда пользователь всячески угождал ЭВМ, укрощая свои тело, дух и эстетические чувства. Об удобстве пользователя никто и не собирался думать, потому что машинное время стоило во много раз дороже человеческого. Но сейчас в аскетизме надобности уже нет. Поэтому следует построить на основе услуг, предоставляемых IP, более совершенную и удобную систему. Для этого сначала следует разобраться с некоторыми жизненно важными проблемами, которые имеют место при пересылке информации:
Большая часть пересылаемой информации длиннее 1500 символов. если бы почта пересылала только почтовые карточки и отказывалась бы от пересылки чего-либо большего, мы бы, например, лишились увлекательнейшего литературного жанра - эпистолярного. Не говоря уже о том, что практической пользы от такой почты было бы очень немного.
Возможны и неудачи. Почта, нередко бывает, письма теряет; сеть тоже, бывает, теряет пакеты или искажает в пути информацию в них. В отличие от почты, Internet может с честью выходить из таких затруднительных положений.
Пакеты могут приходить в последовательности, отличной от начальной. Пара писем, отправленных друг за другом на днях, не всегда приходит к получателю в том же порядке; то же верно и для Internet.
Таким образом, следующий уровень Internet должен обеспечить способ пересылки больших массивов информации и позаботиться об ``искажениях'', которые могут возникать по вине сети.
Протокол управления передачей (TCP) и протокол пользовательских дейтаграмм (UDP) Transmission Control Protocol - это протокол, тесно связанный с IP, который используется в аналогичных целях, но на более высоком уровне - транспортном уровне эталонной модели ISO OSI. Часто эти протоколы, по причине их тесной связи, именуют вместе, как TCP/IP. Термин ``TCP/IP'' обычно означает все, что связано с протоколами TCP и IP. Он охватывает целое семейство протоколов, прикладные программы и даже саму сеть. В состав семейства входят протоколы TCP, UDP, ICMP, telnet, FTP и многие другие.TCP/IP - это технология межсетевого взаимодействия, технология internet. Сеть, которая использует технологию internet, называется internet.
Сам протокол TCP занимается проблемой пересылки больших объемов информации, основываясь на возможностях протокола IP. Как это делается? Вполне здраво можно рассмотреть следующую ситуацию. Как можно переслать книгу по почте, если та принимает только письма и ничего более? Очень просто: разодрать ее на страницы и отправить страницы отдельными конвертами. Получатель, руководствуясь номерами страниц, легко сможет книгу восстановить. Этим же простым и естественным методом и пользуется TCP. TCP делит информацию, которую надо переслать, на несколько частей. Нумерует каждую часть, чтобы позже восстановить порядок. Чтобы пересылать эту нумерацию вместе с данными, он обкладывает каждый кусочек информации своей обложкой - конвертом, который содержит соответствующую информацию. Это и есть TCP-конверт. Получившийся TCP-пакет помещается в отдельный IP-конверт и получается IP-пакет, с которым сеть уже умеет обращаться.
Получатель (TCP-модуль (процесс)) по получении распаковывает IP-конверты и видит TCP-конверты, распаковывает и их и помещает данные в последовательность частей в соответствующее место. Если чего-то не достает, он требует переслать этот кусочек снова. В конце концов информация собирается в нужном порядке и полностью восстанавливается. Вот теперь этот массив пересылается выше к пользователю (на диск, на экран, на печать).
В действительности, это слегка утрированный взгляд на TCP. В реальности пакеты не только теряются, но и могут искажаться при передаче из-за наличия помех на линиях связи. TCP решает и эту проблему. Для этого он пользуется системой кодов, исправляющих ошибки. Существует целая наука о таких кодировках. Простейшим примером такового служит код с добавлением к каждому пакету контрольной суммы (и к каждому байту бита проверки на четность). При помещении в TCP-конверт вычисляется контрольная сумма, которая записывается в TCP-заголовок. Если при приеме заново вычисленная сумма не совпадает с той, что указана на конверте, значит что-то тут не то, - где-то в пути имели место искажения, так что надо переслать этот пакет по новой, что и делается.
Для ясности и полноты картины, необходимо сделать здесь важное замечание: Модуль TCP разбивает поток байтов на пакеты, не сохраняя при этом границ между записями. Т.е., если один прикладной процесс делает 3 записи в - порт, то совсем не обязательно, что другой прикладной процесс на другом конце виртуального канала получит из своего - порта именно 3 записи, причем именно таких (по разбиению), что были переданы с другого конца. Вся информация будет получена исправно и с сохранением порядка передачи, но она может уже быть разбита по другому и на иное количество частей. Не существует зависимости между числом и размером записываемых сообщений с одной стороны и числом и размером считываемых сообщений с другой стороны. TCP требует, чтобы все отправленные данные были подтверждены принявшей их стороной. Он использует ожидания (таймауты) и повторные передачи для обеспечения надежной доставки. Отправителю разрешается передавать некоторое количество данных, не дожидаясь подтверждения приема ранее отправленных данных. Таким образом, между отправленными и подтвержденными данными существует окно уже отправленных, но еще не подтвержденных данных. Количество байт, которое можно передавать без подтверждения, называется размером окна. Как правило, размер окна устанавливается в стартовых файлах сетевого программного обеспечения. Так как TCP-канал является , т.е. данные могут одновременно передаваться в обоих направлениях, то подтверждения для данных, идущих в одном направлении, могут передаваться вместе с данными, идущими в противоположном направлении. Приемники на обеих сторонах виртуального канала выполняют управление потоком передаваемых данных для того, чтобы не допускать переполнения буферов.
Таким образом, протокол TCP обеспечивает гарантированную доставку с установлением логического соединения в виде байтовых потоков. Он освобождает прикладные процессы от необходимости использовать ожидания и повторные передачи для обеспечения надежности. Наиболее типичными прикладными процессами, использующими TCP, являются ftp и telnet. Кроме того, TCP использует система X-Windows (стандартный многооконный графический интерфейс с пользователем), ``r-команды''.
Большие возможности TCP даются не бесплатно, реализация TCP требует большой производительности процессора и большой пропускной способности сети. Когда прикладной процесс начинает использовать TCP, то начинают общаться модуль TCP на машине пользователя и модуль на машине сервера. Эти два оконечных модуля TCP поддерживают информацию о состоянии соединения - виртуального канала. Этот виртуальный канал потребляет ресурсы обоих оконечных модулей TCP. Канал этот, как уже указывалось, является дуплексным. Один прикладной процесс пишет данные в TCP-порт, откуда они модулями соответствующих уровней по цепочке передаются по сети и выдаются в TCP-порт на другом конце канала, и другой прикладной процесс читает их отсюда - из своего TCP-порта. эмулирует (создает видимость) выделенную линию связи двух пользователей. Гарантирует неизменность передаваемой информации. Что входит на одном конце, выйдет с другого. Хотя в действительности никакая прямая линия отправителю и получателю в безраздельное владение не выделяется (другие пользователи могут пользовать те же узлы и каналы связи в сети в промежутках между пакетами этих), но извне это, практически, именно так и выглядит.
Как бы хорошо это не звучало, но это не панацея. Как уже отмечалось, установка TCP-виртуального канала связи требует больших расходов на инициирование и поддержание соединения и приводит к задержкам передачи. Если вся эта суета - излишество, лучше обойтись без нее. Если все данные, предназначенные для пересылки, умещаются в одном пакете, и если не особенно заботит надежность доставки то можно обойтись без TCP.
Имеется другой стандартный протокол транспортного уровня, который не отягощен такими накладными расходами. Этот протокол называется UDP - User Datagram Protocol - протокол пользовательских дейтаграмм. Он используется вместо TCP. Здесь данные помещаются не в TCP, а в UDP-конверт, который также помещается в IP-конверт. Этот протокол реализует дейтаграммный способ передачи данных.
Дейтаграмма - это пакет, передаваемый через сеть независимо от других пакетов без установления логического соединения и подтверждения приема. Дейтаграмма - совершенно самостоятельный пакет, поскольку сама содержит всю необходимую для ее передачи информацию. Ее передача происходит безо всякого предварения и подготовки. Дейтаграммы, сами по себе, не содержат средств обнаружения и исправления ошибок передачи, поэтому при передаче данных с их помощью следует принимать меры по обеспечению надежности пересылки информации. Методы организации надежности могут быть самыми разными, обычно же используется метод подтверждения приема посылкой эхоотклика при получении каждого пакета с дейтаграммой.
UDP проще TCP, поскольку он не заботится о возможной пропаже данных, пакетов, о сохранении правильного порядка данных и т.д. UDP используется для клиентов, которые посылают только короткие сообщения и могут просто заново послать сообщение, если отклик подтверждения не придет достаточно быстро. Предположим, что вы пишите программу, которая просматривает базу данных с телефонными номерами где-нибудь в другом месте сети. Совершенно незачем устанавливать TCP связь, чтобы передать 33 или около того символов в каждом направлении. Вы можете просто уложить имя в UDP-пакет, запаковать это в IP-пакет и послать. На другом конце прикладная программа получит пакет, прочитает имя, посмотрит телефонный номер, положит его в другой UDP-пакет и отправит обратно. Что произойдет, если пакет по пути потеряется? Ваша программа тогда должна действовать так: если она ждет ответа слишком долго и становится ясно, что пакет затерялся, она просто повторяет запрос, т.е. посылает еще раз то же послание. Так обеспечивается надежность передачи при использовании протокола UDP.
В отличие от TCP, данные, отправляемые прикладным процессом через модуль UDP, достигают места назначения как единое целое. Например, если процесс-отправитель производит 3 записи в UDP-порт, то процесс-получатель должен будет сделать 3 чтения. Размер каждого записанного сообщения будет совпадать с размером соответствующего прочитанного. Протокол UDP сохраняет границы сообщений, определяемые прикладным процессом. Он никогда не объединяет несколько сообщений в одно целое и не делит одно сообщение на части.
Альтернатива TCP-UDP позволяет программисту гибко и рационально использовать предоставленные ресурсы, исходя из своих возможностей и потребностей. Если нужна надежная доставка, то лучше может быть TCP. Если нужна доставка дейтаграмм, то -UDP. Если нужна эффективная доставка по длинному и ненадежному каналу передачи данных, то лучше использовать TCP. Если нужна эффективность на быстрых сетях с короткими соединениями, лучше всего будет UDP. Если потребности не попадают ни в одну из этих категорий, то выбор транспортного протокола не ясен. Прикладные программы, конечно, могут устранять некоторые недостатки выбранного протокола. Например, если вы выбрали UDP, а вам необходима надежность, то прикладная программа должна обеспечить надежность сама, как описано выше: требовать подтверждения, пересылки утерянных или увечных пакетов и т.д. Если вы выбрали TCP, а вам нужно передавать записи, то прикладная программа должна вставлять метки в поток
1.4.1 Создание сети с человеческим лицом
И вот появилась возможность передавать информацию между различными точками в сети. Вот теперь можно начать работать над созданием дружественного интерфейса Internet, позаботиться об удобстве для пользователя. Для этого нужно написать программное обеспечение, которое будет понимать язык команд, выдавать сообщения об ошибках, подсказки, использовать для адресации сетевых компьютеров при общении с пользователем имена, а не числа и т.д. В модели ISO OSI на это работают уровни выше транспортного, т.е. сеансовый, представления данных и прикладной. Вся эта деятельность направлена на повышение уровня удобства работы в сети, на создание систем, позволяющих пользоваться предоставляемыми возможностями обычному пользователю сети. Ведь большинство пользователей совсем не волнует ни наличие надежного потока битов между машинами, ни пропускная способность этих линий или тонкости и особенности используемой технологии, ни даже экзотичность этой технологии. Они хотят использовать этот битовый поток для дела, как то: переслать файл, добраться до каких-то данных или просто поиграть в игру. Приложения - это части программного обеспечения. Их создают на основе сервиса TCP или UDP. Приложения позволяют пользователю достаточно просто справиться с возникшей задачей, не погружаясь в пучину технической информации о конкретной сети, о протоколах и т.д.
Прикладное обеспечение разнится очень сильно. Приложения могут быть от самодельной программы до патентованных продуктов, поставляемых различными фирмами (DEC, Microsoft и т.п.). Существует три стандартных Internet -приложения: удаленный доступ, передача файлов, электронная почта (e-mail); наряду с ними используются другие широко распространенные нестандартные приложения.
Предоставление услуг Internet построено по схеме ``клиент - сервер''. Предоставление услуг осуществляется совместной работой двух процессов: на компьютере пользователя и на компьютере-сервере. Процесс на компьютере пользователя называется клиентом, а на компьютере-сервере - сервером. Клиент и сервер являются, по сути, частями одной программы, взаимодействующие по виртуальной связи в сети. Сервер по указаниям клиента выполняет соответствующие действия, например, пересылает клиенту файл. Для предоставления услуги совершенно необходимо наличие двух этих модулей - клиента и сервера, и их одновременная согласованная работа. Взаимодействие клиента и сервера описывается соответствующими стандартными протоколами, поэтому клиент и сервер могут быть выпущены совершенно разными производителями и работать на разнородных компьютерах. Поэтому же существует небольшая проблема нестандартности интерфейса клиента непосредственно уже с пользователем. Это взаимодействие может иметь совершенно различную форму: интерактивную, командную и т.д. Системы команд могут различаться. Но от этого сами возможности не изменяются, поскольку клиент и сервер всегда взаимодействуют одинаково - согласно протоколу.
Так как прикладным обеспечением снабжают по большей части через локальные сети, в разговоре о приложениях возникает вышеупомянутая проблема: команды, сообщения, справки, подсказки и т.п. в разных локальных сетях могут в той или иной степени отличаться. Об этом не следует забывать при чтении руководств пользователя: сообщения могут отличаться, но смысл их будет такой же, то же касается и команд. Даже если они слегка отличаются, не стоит волноваться, большинство приложений имеет разумную систему подсказок и описание набора команд, где детально и конкретно можно узнать все, что может понадобится.
2 СПЕЦИАЛЬНЫЙ ВОПРОС
В мире существуют множество различных разновидностей программ но в основном все они делятся на две категории: “Основное” и “Прикладное” программное обеспечение. Именно эти две группы и используют для организации локальных вычислительных сетей.
2.1 Построения ЛВС под управлением windows в сравнении с др. О.С
В данном пункте рассмотрены несколько видов программного обеспечения, с помощью которых были установлены многие локальные сети и которыми пользуются, и активно применяют в ЛВС, по сей день.
2.1.1 О.С. UNIX
Операционная система UNIX изначально была написана для ЭВМ DEC PDP-7 в 1969 г., в 1970 г. была переписана с машинно-зависимого языка ассемблера (на котором тогда писались все операционные системы) на язык высокого уровня - Си и перенесена на более мощную машину - PDP-11/20. В 1974 г. UNIX была передана университетам ”для образовательных целей”, а несколько лет спустя, нашла коммерческое применение.
UNIX стала первой операционной системой, написанной на языке высокого уровня, что сильно облегчало ее перенос на другие ЭВМ, aдаптацию в соответствии с конкретными требованиями пользователя. Главной отличительной чертой этой системы является ее модульность и обширный набор системных утилит, простота их совместного использования, которые позволяют создать благоприятную операционную обстановку для пользователя-программиста.
Операционные системы семейства MS-DOS (PC-DOS, DR-DOS и др.) появились вместе с первыми персональными компьютерами фирмы IBM в 1981 г. Персональные компьтеры IBM PC тогда имели неважные технические характеристики, были рассчитаны на однопользовательский однозадачный режим (в отличае от UNIX - систем, работавших в многопользовательском многозадачном режиме). Обьем оперативной памяти компьютера IBM PC образца 1981 г. был 64 К.б., что предопределяло небольшой размер операционной системы и относительную бедность ее системных функций, и хотя в более поздних версиях набор средств был значительно расширен (версия 3.3, о которой и будет идти речь, включает в себя средства для работы в сети и защиту файлов), MS-DOS так и не ”доросла” до UNIX. С самого начала и компьютер, и операционная система были ориентированы на не очень квалифицированного пользователя, работающего с небольшим количеством программ узкого профессионального назначения.
2.1.2 О.С. NOVEL
Система NetWare фирмы Novell позволяет так организовать архитектуру ЛВС, чтобы удовлетворить любым специфическим требованиям. Эта способность к модификации относится не только к прикладным программам, которые выполняются в сети, но также к аппаратным средствам и используемым функциям систем.
ЛВС могут состоять из одного файл-сервера, поддерживающего небольшое число рабочих станций, или из многих файл-серверов и коммуникационных серверов, соединенных с сотнями рабочих станций. Некоторые сети спроектированы для оказания сравнительно простых услуг, таких, как совместное пользование прикладной программой и файлом и обеспечение доступа к единственному принтеру. Другие сети обеспечивают связь с большими и мини-ЭВМ, модемами коллективного пользования, разнообразными устройствами ввода - вывода (графопостроителями, принтерами и т. д.) и устройствам памяти большой емкости (диски типа WORM).
2.1.3.1 Файл сервер и рабочие станции
Файл - сервер является ядром локальной сети. Этот компьютер (обычно высокопроизводительный мини-компьютер) запускает операционную систему и управляет потоком данных, передаваемых по сети. Отдельные рабочие станции и любые совместно используемые периферийные устройства, такие, как принтеры, - все подсоединяются к файл-серверу.
Каждая рабочая станция представляет собой обычный персональный компьютер, работающий под управлением собственной дисковой операционной системы (такой, как DOS или OS/2). Однако в отличие от автономного персонального компьютера рабочая станция содержит плату сетевого интерфейса и физически соединена кабелями с файлом - сервером. Кроме того, рабочая станция запускает специальную программу, называемой оболочкой сети, которая позволяет ей обмениваться информацией с файл-сервером, другими рабочими станциями и прочими устройствами сети. Оболочка позволяет рабочей станции использовать файлы и программы, хранящиеся на файл-сервере, так же легко, как и находящиеся на ее собственных дисках.
2.1.3.2 Операционная система рабочей станции
Каждый компьютер рабочей станции работает под управлением своей собственной операционной системы (такой, как DOS или OS/2). Чтобы включить каждую рабочую станцию с состав сети, оболочка сетевой операционной системы загружается в начало операционной системы компьютера.
Оболочка сохраняет большую часть команд и функций операционной системы, позволяя рабочей станции в процессе работы выглядеть как обычно. Оболочка просто добавляет локальной операционной системе больше функций и придает ей гибкость.
2.1.3.3 Программное обеспечение локальных сетей
При организации и установки локальной вычислительной сети, после подключения компьютеров необходимо установить на них специальное сетевое программное обеспечение. Существует два подхода к организации сетевого программного обеспечения:
- сети с централизованным управлением;
- одноранговые сети.
2.1.3.4 Сети с централизованным управлением
В сети с централизованным управлением выделяются одна или несколько машин, управляющих обменом данными по сети. Диски выделенных машин, которые называются файл-серверами, доступны всем остальным компьютерам сети. На файл - серверах должна работать специальная сетевая операционная система. Обычно это мультизадачная ОS, использующая защищенный режим работы процессора.
Остальные компьютеры называются рабочими станциями. Рабочие станции имеют доступ к дискам файл - сервера и совместно используемым принтерам, но и только. С одной рабочей станции нельзя работать с дисками других рабочих станций. С одной стороны, это хорошо, так как пользователи изолированы друг от друга и не могут случайно повредить чужие данные. С другой стороны, для обмена данными пользователи вынуждены использовать диски файл - сервера, создавая для него дополнительную нагрузку.
Есть, однако, специальные программы, работающие в сети с централизованным управлением и позволяющие передавать данные непосредственно от одной рабочей станции к другой минуя файл-сервер. Пример такой программы - программа NetLink. После ее запуска на двух рабочих станциях можно передавать файлы с диска одной станции на диск другой, аналогично тому, как копируются файлы из одного каталога в другой при помощи программы Norton Commander.
На рабочих станциях должно быть установлено специальное программное обеспечение, часто называемое сетевой оболочкой. Это обеспечение работает в среде той ОS, которая используется на данной рабочей станции, - DOS, OS/2 и т.д.
Файл-серверы могут быть выделенными или невыделенными. В первом случае файл-сервер не может использоваться как рабочая станция и выполняет только задачи управления сетью. Во втором случае параллельно с задачей управления сетью файл-сервер выполняет обычные пользовательские программы в среде MS-DOS. Однако при этом снижается производительность файл-сервера и надежность работы всей сети в целом, так как ошибка в пользовательской программе, запущенной на файл-сервере, может привести к остановке работы всей сети. Поэтому не рекомендуется использовать невыделенные файл-серверы, особенно в ответственных случаях.
Существуют различные сетевые ОS, ориентированные на сети с централизованным управлением. Самые известные из них - Novell NetWare, Microsoft Lan Manager (на базе OS/2), а также выполненная на базе UNIX сетевая ОS VINES.
2.1.3.5 Одноранговые сети
Одноранговые сети не содержат в своем составе выделенных серверов. Функции управления сетью передаются по очереди от одной рабочей станции к другой.
Как правило, рабочие станции имеют доступ к дискам (и принтерам) других рабочих станций. Такой подход облегчает совместную работу групп пользователей, но в целом производительность сети может понизиться.
Если сеть объединяет несколько рабочих станций, которые должны совместно использовать такие ресурсы, как лазерный принтер, файлы на дисках, и если требуется интенсивный обмен данными между рабочими станциями, рассматривают возможность применения недорогих одноранговых сетевых средств.
Одно из достоинств одноранговых сетей - простота обслуживания. Если для обслуживания сети на базе Novell NetWare, как правило, требуется системный администратор, то для поддержания работоспособности одноранговой сети не требуется специально выделенный для этого сотрудник.
Наиболее распространены такие одноранговые сети, как Artisoft LANtastic, LANsmart компании D-Link Systems, Invisible Software NET-30 и Web NOS компании Webcorp. Все эти сетевые средства реализованы как надстройки над OS MS-DOS.
Фирма Novell предложила свое решение для организации работы групп пользователей. Ее сетевая оболочка Novell NetWare Lite напоминает одноранговые сетевые оболочки тем, что для организации сети не требуются выделенные файл-серверы, облегчено совместное использование дисков и принтеров. Novell NetWare Lite запускается как набор резидентных программ в среде MS-DOS.
Однако Novell NetWare Lite не является одноранговой сетью. Скорее это сеть с централизованным управлением, в которой может быть несколько невыделенных или выделенных серверов.
В целом Novell NetWare Lite представляет достаточно удачное решение для организации небольших сетей. Кроме того, Novell NetWare Lite хорошо уживается с Novell NetWare 3.11, что позволяет комбинировать возможности сетей с централизованным управлением на базе NetWare 3.11 с удобным разделением ресурсов отдельных рабочих станций.
Из всего разнообразия сетевых OS и оболочек самые распространенные и самые интересные изделия - Novell NetWare и Microsoft Windows for Workgroups.
С момента своего появления сетевая OS Novell NetWare пережила множество "переизданий" и, успешно вытесняя конкурентов, захватила значительную часть рынка.
В нашей стране массовое вторжение Novell NetWare началось с версии 2.15, способной работать на доступных компьютерах с процессором 80286. Кроме того, что тоже важно в условиях дефицита компьютеров, эта версия позволяет совмещать в одном компьютере функции файл-сервера и рабочей станции.
Следующая версия Novell NetWare для процессора 80286 - версия 2.2 -отличается от версии 2.15 большей надежностью и более удобной процедурой инсталляции. Эта OS больше всего подходит для организации небольшой сети на базе файл-сервера с процессором 80286 для решения задач совместного использования принтеров и дисковой памяти.
Для создания крупных и надежно работающих сетей больше подходит Novell NetWare 386 версии 3.11. Эта высокопроизводительная многозадачная OS реального времени может работать только на процессорах 80386 или 80486. Novell NetWare 386 не позволяет совмещать файл-сервер и рабочую станцию, что благоприятно сказывается на производительности и надежности сети.
Novell NetWare Lite может послужить альтернативной операционной системе Novell NetWare 2.2. Эта сетевая оболочка реализована в виде резидентных программ, она предельно проста в установке и использовании. Но производительность ее в некоторых случаях может оказаться недостаточной.
2.1.4 О.С Windows NT
В данном пункте, в общих чертах рассмотрен краткий перечень вопросов по безопасности сети на базе Windows NT, а также управлении рабочими станциями пользователей.
2.1.4.1 Централизованное управление безопасностью
Для повышения удобства Windows NT имеет централизованные средства управления безопасностью сети. Имеется возможность установки области и связей доверия для централизации сетевого учета пользователей и другой информации, относящийся к безопасности, в одном месте, облегчая управление сетью и использование ее. При централизованном управлении безопасностью для каждого пользователя имеется только одна учетная карточка и она дает пользователю доступ ко всем разрешенным ему ресурсам сети. Можно использовать только один сетевой компьютер, чтобы проследить за активностью на любом сервере сети.
2.1.4.2 Управление рабочими станциями пользователей
Профили пользователя в Windows NT позволяют обеспечить большое удобство пользователям и в то же самое время ограничить их возможности, если это необходимо. Чтобы использовать профили пользователя для большей продуктивности, имеется возможность сохранить на сервере профили, содержащие все характеристики пользователя и установочные параметры, как например, сетевые соединения, программные группы и даже цвета экрана. Этот профиль используется всякий раз, когда пользователь начинает сеанс на любом компьютере с Windows NT так, что предпочитаемая им среда следует за ним с одной рабочей станции на другую. Для того, чтобы применять профили при ограничении возможностей пользователя, необходимо добавить ограничения к профилю, как например, предохранить пользователя от изменения программных групп и их элементов, делая недоступными части интерфейса Windows NT, когда пользователь будет регистрироваться в сети.
2.1.4.3 Слежение за деятельностью сети
Windows NT Server дает много инструментальных средств для слежения за сетевой деятельностью и использованием сети. ОС позволяет просмотреть серверы и увидеть, какие ресурсы они совместно используют; увидеть пользователей, подключенных к настоящему времени к любому сетевому серверу и увидеть, какие файлы у них открыты; проверить данные в журнале безопасности; записи в журнале событий; и указать, о каких ошибках администратор должен быть предупрежден, если они произойдут.
2.1.4.4 Начало сеанса на компьютере Windows NT
Всякий раз, когда пользователь начинает сеанс на рабочей станции Windows NT, экран начала сеанса запрашивают имя пользователя, пароль и домен. Затем рабочая станция посылает имя пользователя и пароль в определенный домен для идентификации. Сервер в этом домене проверяет имя пользователя и пароль в базе данных учетных карточек пользователей домена. Если имя пользователя и пароль идентичны данным в учетной карточке, сервер уведомляет рабочую станцию о начале сеанса. Сервер также загружает другую информацию при начале сеанса пользователя, как например установки пользователя, свой каталог и переменные среды.
По умолчанию не все учетные карточки в домене позволяют входить в систему серверов домена. Только карточкам групп администраторов, операторов сервера, операторов управления печатью, операторов управления учетными карточками и операторов управления резервным копированием разрешено это делать.
2.1.4.5 Учетные карточки пользователей
Каждый человек, который использует сеть, должен иметь учетную карточку пользователя в некотором домене сети. Учетная карточка пользователя содержит информацию о пользователе, включающую имя, пароль и ограничения по использованию сети, налагаемые на него. Имеется возможность также сгруппировать пользователей, которые имеют аналогичные работы или ресурсы, в группы; группы облегчают предоставление прав и разрешений на ресурсы, достаточно сделать только одно действие, дающее права или разрешения всей группе.
2.1.5 Основные службы Windows
В данном разделе речь пойдёт о службах, с помощью которых осуществляется взаимосвязь локальной сети с рабочими станциями и сервером.
2.1.5.1 Active Directory
Active Directory представляет собой службу каталогов, хранящую сведения об объектах сети и предоставляющую эти данные пользователям и администраторам. По соображениям безопасности администраторы могут использовать управление доступом для контроля доступа пользователей к общим ресурсам. В Active Directory управление доступом осуществляется на уровне объектов путем задания для объектов разных уровней доступа или разрешений, таких как “Полный доступ”, “Запись”, “Чтение” или “Нет доступа”. Управление доступом в Active Directory определяет, как различные пользователи могут использовать объекты Active Directory. По умолчанию используются самые строгие разрешения для объектов Active Directory.
Элементы, определяющие разрешения управления доступом к объектам Active Directory, включают дескрипторы безопасности, наследование объектов и проверку подлинности пользователей.
- Дескрипторы безопасности: Разрешения на управление доступом назначаются общим объектам и объектам Active Directory для определения того, как разные пользователи могут использовать каждый объект. Общий объект или общий ресурс представляет собой объект, который предполагается использовать одним или несколькими пользователями по сети. Такими объектами могут быть файлы, принтеры, папки и службы. Разрешения управления доступом как к общим объектам, так и к объектам Active Directory, хранятся в их дескрипторах безопасности.
В дескрипторе безопасности содержатся две таблицы управления доступом (ACL), используемые для назначения и контроля сведений безопасности по каждому объекту: избирательная таблица управления доступом (DACL) и системная таблица управления доступом (SACL).
По умолчанию DACL и SACL связаны с каждым объектом Active Directory, что снижает вероятность сетевых атак злоумышленников и случайные ошибки пользователей домена. Однако, если злоумышленник узнает имя и пароль любой учетной записи, имеющей права администрирования Active Directory, данный лес будет уязвим для атак. По этой причине рассмотрите вариант переименования или отключения используемой по умолчанию учетной записи администратора
Наследование объектов
По умолчанию объекты Active Directory наследуют ACE из дескриптора безопасности объекта родительского контейнера. Наследование позволяет применять сведения управления доступом, определенные для объекта контейнера Active Directory, к дескрипторам безопасности любого подчиненного объекта, включая другие контейнеры и их объекты. Это избавляет от необходимости применять разрешения к каждому новому дочернему объекту. При необходимости можно изменить наследуемые разрешения. Однако рекомендуется не изменять используемые по умолчанию разрешения и параметры наследования объектов Active Directory
-Проверка подлинности пользователя: Active Directory также проверяет подлинность пользователей, групп и компьютеров и разрешает им доступ к объектам в сети. Локальный администратор безопасности (Local Security Authority, LSA) представляет собой подсистему безопасности, ответственную за все интерактивные службы проверки подлинности и авторизации на локальном компьютере. Локальный администратор безопасности также служит для обработки запросов проверки подлинности по протоколу Kerberos V5 или NTLM в Active Directory. Как только подлинность пользователя подтверждена в Active Directory, локальный администратор безопасности проверяющего контроллера домена создает описатель доступа пользователя и связывает с этим пользователем идентификатор безопасности.
- Описатель пользователя: Когда пользователь проходит проверку подлинности, LSA создает описатель доступа для этого пользователя. Описатель доступа содержит имя пользователя, группы, в которые входит этот пользователь, идентификатор безопасности этого пользователя, все идентификаторы безопасности групп, в которые входит этот пользователь. Если добавить пользователя в группу после того, как описатель доступа уже выдан, для обновления описателя доступа необходимо завершить сеанс пользователя, а затем снова войти в систему. Идентификатор безопасности (Security ID, SID). Active Directory автоматически назначает SID объектам-участникам безопасности в момент их создания. Участниками безопасности являются учетные записи Active Directory, которым можно назначать разрешения, такие как учетные записи компьютеров, групп и пользователей. Как только SID выдается прошедшему проверку подлинности пользователю, он связывается с описателем доступа этого пользователя.
Сведения описателя доступа используются для определения уровня доступа пользователя к объектам, когда пользователь пытается обратиться к этим объектам. SID описателя доступа сравниваются со списком SID, являющимся DACL объекта, для проверки наличия у пользователя разрешений, необходимых для доступа к объекту. Это обусловлено тем, что в процессе управления доступом учетные записи пользователей опознаются не по имени, а по SID.
Когда контроллер домена выдает пользователю описатель доступа, этот описатель доступа содержит только сведения о членстве в локальных группах домена, если эти группы являются локальными для домена этого контроллера домена. С учетом этого факта для объектов каталога домена, реплицированных в глобальный каталог, необходимо предусмотреть выполнение некоторых условий безопасности.
По умолчанию DACL и SACL связаны с каждым объектом Active Directory, что снижает вероятность сетевых атак злоумышленников и случайные ошибки пользователей домена. Однако, если злоумышленник узнает имя и пароль любой учетной записи, имеющей права администрирования Active Directory, данный лес будет уязвим для атак. По этой причине рассматривают вариант переименования или отключения используемой по умолчанию учетной записи администратора.
- Хранилище данных каталога в службе каталогов Active Directory используется для данных всех каталогов. Это хранилище данных часто называется каталогом. Этот каталог содержит сведения о таких объектах, как пользователи, группы, компьютеры, домены, подразделения и политики безопасности. Эти сведения могут быть опубликованы для использования пользователями и администраторами.
Каталог хранится на контроллерах домена и доступен для сетевых приложений или служб. В домене может быть один или несколько контроллеров домена. Каждый контроллер домена содержит копию каталога для всего домена, в котором он расположен. Изменения каталога, выполненные на одном контроллере домена, реплицируются на другие контроллеры домена, на дерево доменов или лес. В Active Directory для хранения и копирования различных типов данных используются четыре различных типа раздела каталога. Разделы каталога содержат домен, конфигурацию, схему и данные приложения. Данная модель хранения и репликации предоставляет данные каталогов пользователям и администраторам домена.
Данные каталога хранятся в файле Ntds.dit на контроллере домена. Рекомендуется размещать данный файл в разделе NTFS. Важные данные хранятся под защитой, а общие данные каталога — на общем системном томе, где они могут реплицироваться на остальные контроллеры домена.
2.1.5.2 DNS
Система доменных имен (Domain Name System, DNS) — это протокол разрешения имен для сетей TCP/IP, таких как Интернет. DNS-сервер управляет информацией, позволяющей клиентским компьютерам сопоставить IP-адресам, которые используются компьютерами для связи друг с другом, удобные для запоминания буквенно-цифровые имена DNS.
DNS является аббревиатурой от Domain Name System (система доменных имен), т.е. системы наименования компьютеров и сетевых служб, организованных в виде иерархии доменов. Правила наименования DNS используются в сетях TCP/IP, таких как Интернет, для обнаружения компьютеров и служб по именам, удобным для пользователей. Когда пользователь вводит в приложении имя DNS, службы DNS могут сопоставить это имя с другими сведениями, например с IP-адресом.
Например, большинство пользователей предпочитает использовать понятное имя, такое как example.microsoft.com, для поиска компьютера, являющегося почтовым сервером или веб-сервером сети. Понятное имя легче запоминается. Компьютеры при связи по сети используют числовые адреса. Чтобы облегчить использование сетевых ресурсов, службы имен, такие как DNS, обеспечивают сопоставление понятного имени компьютера или службы с его числовым адресом.
Числовые адреса хороши для связи машин, люди же предпочитают имена. Очень непросто разговаривать, используя машинную адресацию (как бы это звучало: ``192.112.36.5 обещает вскоре...''?), еще труднее запомнить эти адреса. Поэтому компьютерам в Internet для удобства пользователей были присвоены собственные имена. Тогда описанный разговор принимает вид: ``NIC обещает вскоре...''. Все приложения Internet позволяют пользоваться системными именами вместо числовых адресов.
Как мы уже упоминали, для понимания полезно использовать почтовую аналогию. Сетевые численные адреса вполне аналогичны почтовой индексации. Машины, сортирующие корреспонденцию на почтовых узлах, ориентируются именно по индексам, и только если с индексами выходит какая-то несуразность, передают почту на рассмотрение людям, которые по адресу могут определить правильный индекс почтового отделения места назначения. Людям же приятнее и удобнее иметь дело с географическими названиями - это аналоги доменных имен.
Конечно, такое именование имеет свои собственные проблемы. Прежде всего, следует убедиться, что никакие два компьютера, включенные в сеть, не имеют одинаковых имен. Должно также обеспечить преобразование имен в числовые адреса, для того чтобы машины (и программы) могли понимать нас, пользующихся именами: техника по-прежнему общается на языке цифр.
В начале Internet размерами напоминала курилку, и иметь дело с именами было довольно просто. NIC создал регистратуру. Можно было послать запрос и в ответ высылали список имен и адресов. Этот файл, называется ``host file'' (файл рабочих ЭВМ), регулярно распространялся по всей сети - рассылался всем машинам. Имена были простыми словами, все были единственными. Если вы использовали имя, ваш компьютер просматривал этот файл и подставлял вместо имени реальный числовой адрес. Так же, как работает телефонный аппарат со встроенным списком абонентов. Все было легко, просто и замечательно. Всем хватало простых имен, в курилке был один Джон, один Пит, один Патермуфий.
Но по мере развития и расширения Internet возрастало количество пользователей, хостов, а потому увеличивался и упомянутый файл. Возникали значительные задержки при регистрации и получении имени новым компьютером, стало затруднительно изыскивать имена, которые еще никто не использовал, слишком много сетевого времени затрачивалось на рассылку этого огромного файла всем машинам, в нем упомянутым. Стало очевидно, - чтобы справиться с такими темпами изменений и роста сети, нужна распределенная оперативная система, опирающаяся на новый принцип. Таковая была создана, ее назвали ``доменной системой имен'' - DNS, а способ адресации - способом адресации по доменному принципу. DNS иногда еще называют региональной системой наименований. - Структура региональной системы имен: Доменная система имен - это метод назначения имен путем передачи сетевым группам ответственности за их подмножество имен. Каждый уровень этой системы называется доменом. Домены в именах отделяются друг от друга точками: inr.msk.su, nusun.jinr.dubna.su, arty.bashkiria.su, vxcern.cern.ch, nic.ddn.mil. В имени может быть различное количество доменов, но практически их не больше пяти. По мере движения по доменам слева направо в имени, количество имен, входящих в соответствующую группу возрастает.
Первым в имени стоит название рабочей машины - реального компьютера с IP адресом. Это имя создано и поддерживается группой (например, компьютер nusun (это SUN sparc) в группе, к которой он относится. Группа входит в более крупное подразделение (например, городское объединение - сеть города Дубны), которое в свою очередь, является частью национальной сети (например, сети стран бывшего СССР, домен su). Для США наименование страны по традиции опускается, там самыми крупными объединениями являются сети образовательных (edu), коммерческих (com), государственных (gov), военных (mil) учреждений, а также сети других организаций (org) и сетевых ресурсов (net).
Группа может создавать или изменять любые ей подлежащие имена. Если jinr решит поставить другой компьютер, например, VAX 11/780, и назвать его mainx, он ни у кого не должен спрашивать разрешения, все, что от него требуется, - это добавить новое имя в соответствующую часть соответствующей всемирной базы данных, и, рано или поздно, каждый, кому потребуется, узнает об этом имени. Аналогично, если в Дубне решат создать новую группу, например, schools, они (домен dubna) могут это сделать также, ни у кого на то не спрашивая никакого соизволения. И тогда, если каждая группа придерживается таких простых правил и всегда убеждается, что имена, которые она присваивает, единственны во множестве ее непосредственных подчиненных, то никакие две системы, где бы те ни были в сети Internet, не смогут заиметь одинаковых имен.
Эта ситуация совершенно аналогична ситуации с присвоением географических названий - организацией почтовых адресов. Названия всех стран различаются. Различаются названия всех областей, республик в Федерации, и эти названия утверждаются в государственном масштабе из центра (конечно, обычно сами регионы заботятся об уникальности своих названий, поэтому здесь царит полная демократия: как республика хочет, так она и называется)<Рисунок: gif>. В республиках - субъектах федерации - решают вопросы о названиях районов и округов, в пределах одной республики они различаются. Аналогично далее с городами и улицами городов. В разных городах могут быть улицы с одинаковыми названиями. Это улицы разных городов, и их не перепутать (помня о городах! В пределах же одного населенного пункта улицы всенепременно имеют разные названия, причем именование этих улиц целиком и полностью под ответственностью и началом соответствующего центрального органа данного населенного пункта (мэрии, сельсовета, горсовета). Таким образом, почтовый адрес на основе географических и административных названий однозначно определяет точку назначения.
Поскольку Internet - сеть мировая, требовался также способ передачи ответственности за имена внутри стран им самим. Сейчас принята двухбуквенная кодировка государств. Это оговорено в RFC 822. Так, например, домен Канада называется ca, бывший СССР - su, США - us и т.д. США также включили в эту систему структурирования для всеобщности и порядка. Всего же кодов стран почти 300, из которых около 100 имеет компьютерную сеть того или иного рода. Единый каталог Internet находится у SRI International (Менло - Парк, Калифорния, США) - государственной организации.
Поискадреса по доменному имени: Для этого он начинает запрашивать помощь у DNS-серверов. Это узлы, рабочие машины, обладающие соответствующей базой данных, в число обязанностей которых входит обслуживание такого рода запросов. DNS-сервер начинает обработку имени с правого его конца и двигается по нему влево, т.е. сначала производится поиск адреса в самой большой группе (домене), потґом постепенно сужает поиск. Но для начала опрашивается на предмет наличия у него нужной информации местный узел. Здесь возможны три случая:
Местный сервер знает адрес, потому, что этот адрес содержится в его части всемирной базы данных. Например, если вы подсоединены к сети Института Физики Высоких Энергий (IHEP), то ваш местный сервер должен обладать информацией о всех компьютерах локальной сети этого института (mx, desert, ixwin и т.д.);
Местный сервер знает адрес, потому, что кто-то недавно уже запрашивал тот же адрес. Когда запрашивается адрес, сервер DNS придерживает его у себя в памяти некоторое время, как раз на случай, если кто-нибудь еще захочет попозже того же адреса - это повышает эффективность системы;
Местный сервер адрес не знает, но знает как его выяснить.
Как местный сервер может разузнать запрошенный адрес? В его прикладном или системном программном обеспечении имеется информация о том, как связаться с корневым сервером. Это сервер, который знает адреса серверов имен высшего уровня (самых правых в имени), здесь это уровень государств (ранга домена su). У него запрашивается адрес компьютера, ответственного за зону su. Местный DNS-сервер связывается с этим более общим сервером и запрашивает у него адрес сервера, ответственного за домен ihep.su. Теперь уже запрашивается этот сервер и у него запрашивается адрес рабочей машины mx.
На самом деле, для повышения эффективности, поиск начинается не с самого верха, а с наименьшего домена, в который входите и вы, и компьютер, имя которого вы запросили. Например, если ваш компьютер имеет имя nonlin.mipt.su, то опрос начнется (если имя не выяснится сразу) не со всемирного сервера, чтобы узнать адрес сервера группы su, а сразу с группы su, что сразу сокращает поиск и по объему, и по времени.
Этот поиск адреса совершенно аналогичен поиску пути письма без надписанного почтового индекса. Как определяется этот индекс? Все регионы пронумерованы - это первые цифры индекса. Письмо пересылается на центральный почтамт этого региона, где имеется справочник с нумерацией районов этого региона - это следующие цифры индекса. Теперь письмо идет на центральный почтамт соответствующего района, где уже знают все почтовые отделения в подопечном районе. Таким образом по географическому адресу определяется почтовый индекс, ему соответствующий. Также определяется и адрес компьютера в Internet, но путешествует не послание, а запрос вашего компьютера об этом адресе. И в отличие от случая с почтой, информация об адресе доходит до вас, как если бы районный почтамт места назначения отправлял вам письмо, любезно уведомляя вас на будущее об индексе, которого вы не изволили знать.
Некоторые компьютеры (есть еще такие динозавры) все еще работают по старинке, т.е. используя host-файлы.
X.400 - общий стандарт, разработанный ISO и CCITT, для управления сообщениями. Этот стандарт планируют принять многие сети. Некоторые уже используют его.
Дополнительно к обычному тексту, сообщения X.400 могут содержать и другие форматы (факсы, записи звуков речи, музыки, различные изображения и т.д.). Адресация в пользовании также очень проста, слегка напоминает своей идеей DNS. Только здесь используются не названия групп, сетей, но более привычные в обиходе понятия:
Код страны -тот же, что в RFC822;
ADMD - Administration Management = домен административного управления. Определяет общественный носитель X.400.Владельцем ADMD обычно является компания по предоставлению услуг дальней связи или государственное учреждение связи. Для соединения ADMD друг с другом их владельцы заключают двусторонние соглашения, и, естественно, не все ADMD соединены между собой. Самые крупные владельцы ADMD: AT&T, MCI, Sprint
PRMD -Private Management Domain = домен частного управления. Определяет используемый частный носитель X.400. Это может быть EUnet, BITN и т.д. или же частная организация;
Организация - Указывает организацию получателя. Ею может быть, например, компания или учебное заведение МФТИ Oxford, Cambridge, MIT и т.д.; Орг.единица - Определяет подразделение. Их может быть несколько. Например, не просто physics, но lab_1 или lab_2;
Фамилия - Плотников;
Имя - Олег. Требуется, если фамилия достаточно распространённая.
Можно преобразовать старый адрес в X.400 формат, но не всегда это будет просто. Тем не менее, вполне может статься, что вас осчастливят письмом в формате X.400 . Чтобы послать ответ отправителю, просто возьмите его адрес из поля ``From:'' полученного письма. Соответствующий шлюз с этим разберется.
К счастью имеется инструкция (RFC 987) по переводу адресов и текстовых сообщений X.400 в формат RFC 822, имеется соответствующее программное обеспечение. Но, увы, единой системы картографирования таких адресов не существует; разные почтовые станции работают с ними немножко по-разному, что может приводить к недоразумениям. Также не существует единого стандарта для записи X.400 адреса, поэтому пока невозможно единообразно и ясно надписать таковой, например, на бизнес -карте. Замечания по региональной системе имен тоже имеются
Распространено несколько заблуждений, имея дело с именами. Приведем несколько верных утверждений в качестве опорных,
Части доменного имени говорят о том, кто ответственен за поддержку этого имени, то есть в чьем подчинении-ведении оно находится. Они могут вообще ничего не сообщать о владельце компьютера, соответствующего этому IP - адресу, или даже (несмотря на коды стран), где же эта машина находится. Части доменного имени даже не всегда указывают локальную сеть, в которой расположен компьютер. Часто доменные имена и сети перекрываются, и жестких связей между ними нет: две машины одного домена могут не принадлежать одной сети. Например, системы mx.decnet.ihep.su и ms.decnet.ihep.su могут находиться в совершенно разных сетях. Доменные имена указывают на ответственного за домен.
У машины может быть много имен. В частности, это верно для машин, предоставляющих какие-либо услуги, которые в будущем могут быть перемещены под опеку другой машины. Когда эти службы будут перемещены, то имя, под которым эта машина выступала в качестве такого сервера, будет передано новой машине-серверу вместе с услугами, - для внешних пользователей ничего не изменится. Т.е. они будут продолжать пользоваться этой службой, запрашивая ее по тому же имени, независимо от того, какой компьютер на самом деле занимается обслуживанием. Имена, по смыслу относящиеся к службе, называются ``каноническими именами'' или ``кименами'' (cnames). В Internet они встречаются довольно часто.
Для связи имена необязательны. Как-нибудь вам придет сообщение: ``адресат неизвестен'', что означает, что Internet не может преобразовать использованное вами имя в число, - имя более недееспособно в том виде, в котором его знает ваш компьютер. Однажды заполучив числовой эквивалент имени, ваша система перестает использовать для связи на машинном уровне доменную форму адреса.
Запоминать лучше имена, а не числовые адреса. Некоторым кажется, что система имен это ``еще одно звено в цепи, которое может выйти из строя''. Но адреса привязаны к конкретным точкам сети. Если компьютер, предоставляющий некие услуги, переносится из одного здания в другое, его сетевое расположение, а значит и адрес, скорее всего изменятся. Имя же менять не надо и не следует. Когда администратор присваивает новый адрес, ему нужно только обновить запись имени в базе данных так, чтобы имя указывало на новый адрес. Так как имя работает по-прежнему, вас совершенно не должно заботить то, что компьютер расположен уже в другом месте.
Региональная система имен, возможно, и выглядит сложно, но это одна из тех составляющих, делающих общение с сетью более простым и удобным. Несомненное преимущество доменной системы состоит в том, что она разбивает громадье Internet на набор вполне обозримых и управляемых частей. Хотя сеть включает миллионы компьютеров, все они поименованы, и именование это организовано в удобной рациональной форме, что упрощает работу.
2.1.5.3 Протокол DHCP
Протокол DHCP (Dynamic Host Configuration Protocol) является стандартом IP для упрощения управления настройкой IP-адресов узлов. Стандарт DHCP обеспечивает использование DHCP-серверов для управления динамическим распределением IP-адресов и других сопутствующих параметров конфигурации для DHCP-клиентов в сети.
Каждый компьютер в сети TCP/IP должен иметь уникальный IP-адрес. IP-адрес (вместе с соответствующей маской подсети) идентифицирует как компьютер, так и подсеть, к которой он подключен. При перемещении компьютера в другую подсеть IP-адрес должен быть изменен. Служба DHCP позволяет динамически назначать IP-адрес клиенту из базы данных IP-адресов на DHCP-сервере в локальной сети.
В сетях, использующих протокол TCP/IP, протокол DHCP уменьшает сложность и объем работы администратора по перенастройке компьютеров.
Служба DHCP в операционных системах семейства Microsoft Windows Server 2003 соответствует спецификациям RFC и может использоваться для управления настройкой IP-адресов клиентов и автоматизации назначения IP-адресов в сети.
Преимущества использования службы DHCP
При администрировании сетей, использующих протокол TCP/IP, службой DHCP обеспечиваются следующие преимущества:
Безопасная и надежная настройка
Служба DHCP позволяет избежать ошибок настройки, вызываемых необходимостью вводить значения для каждого компьютера вручную. Кроме того, DHCP помогает предотвратить конфликты адресов, вызываемые использованием ранее назначенного IP-адреса при настройке нового компьютера в сети.
Использование DHCP-серверов позволяет существенно сократить затраты времени на настройку и перенастройку компьютеров в сети. Серверы могут быть настроены таким образом, чтобы поддерживать полный диапазон дополнительных значений настройки при назначении аренды адреса. Эти значения назначаются с помощью параметров DHCP.
Кроме того, при частом обновлении конфигурации клиентов (например, для пользователей с переносными компьютерами, часто меняющими расположение) процесс обновления аренды DHCP помогает гарантировать эффективное и автоматическое внесение нужных изменений клиентами за счет обращения непосредственно к DHCP - серверам.
Служба DHCP использует модель «клиент-сервер». Сетевой администратор устанавливает один или несколько DHCP-серверов, которые отслеживают сведения о конфигурации TCP/IP и предоставляют их клиентам. База данных сервера содержит следующие сведения:
-допустимые параметры конфигурации для всех клиентов в сети;
-допустимые IP-адреса, хранимые в пуле для назначения клиентам, и зарезервированные адреса для ручного назначения;
-продолжительность аренды, предоставляемой сервером. Аренда определяет промежуток времени, в течение которого назначенный IP-адрес может использоваться.
С помощью DHCP-сервера, установленного и настроенного в сети, клиенты, поддерживающие DHCP, могут динамически получать IP-адреса и сопутствующие параметры конфигурации при каждом запуске и входе в сеть. DHCP-серверы предоставляют эту конфигурацию в форме предложения аренды адреса запрашивающим клиентам.
Основными средствами, используемыми для управления DHCP-серверами, являются консоль DHCP и команды Netsh для DHCP.
Консоль DHCP добавляется в папку «Администрирование» на панели управления при установке DHCP-сервера Windows Server 2003. Консоль DHCP отображается как оснастка MMC (Microsoft Management Console) для большей интеграции администрирования DHCP в общее управление сетью.
После установки DHCP-сервера консоль DHCP и команды Netsh для DHCP позволяют решать следующие основные задачи администрирования:
- Создание областей
- Добавление и настройка суперобластей и многоадресных областей.
- Просмотр и изменение свойств области, например настройка дополнительных исключаемых диапазонов.
- Активизация областей, многоадресных областей или суперобластей.
- Наблюдение за предоставлением аренды путем просмотра активных аренд для каждой области.
- Создание в областях резервирований, необходимых DHCP-клиентам, требующим аренды постоянных IP - адресов.
Кроме того, с помощью консоли DHCP и команд Netsh для DHCP можно выполнить следующие необязательные или дополнительные задачи настройки.
-добавление новых настраиваемых типов параметров, используемых по умолчанию;
-добавление и настройка классов параметров, определенных пользователем или вендором;
-дальнейшая настройка других свойств сервера, например журнала аудита или таблиц BOOTP
Консоль DHCP содержит также усовершенствования, предложенные сетевыми администраторами. К ним относятся расширенные возможности наблюдения за производительностью сервера, дополнительные готовые типы параметров DHCP, поддержка динамического обновления для клиентов, использующих предыдущие версии Windows, и выявление неавторизованных
2.1.5.4 WINS - серверы
Службу WINS образуют два основных компонента: WINS-сервер и Клиенты WINS. WINS-сервер обрабатывает запросы регистрации имени от WINS-клиентов, регистрирует их имена и IP-адреса и отвечает на запросы NetBIOS-имен, направленные клиентами, возвращая IP-адрес запрошенного имени, если он присутствует в базе данных сервера.
Кроме того, как показано на приведенном ниже рисунке, WINS-серверы могут реплицировать содержимое своих баз данных (которые содержат соответствия NetBIOS-имен компьютеров IP-адресам) с другими WINS-серверами. Когда компьютер клиента, поддерживающий WINS (например, компьютер рабочей станции в подсети 1 или подсети 2), начинает работу в сети, его имя и IP-адрес передаются в запросе регистрации указанному для него основному WINS-серверу WINS-A. Поскольку сервер WINS-A регистрирует этих клиентов, говорят, что он является владельцем записей клиентов в WINS.
В данном примере сервер WINS-A регистрирует как локальных клиентов (то есть клиентов в одной с ним подсети 2), так и удаленных (клиентов, находящихся в подсети 1 за маршрутизатором). Второй WINS-сервер, WINS-B, расположен в подсети 3 и владеет только сопоставлениями локальных клиентов, зарегистрированными из той же подсети. В дальнейшем WINS-A и WINS-B могут выполнить репликацию баз данных, чтобы записи для клиентов всех трех подсетей имелись в базах данных WINS на обоих серверах.
- Основные и дополнительные WINS-серверы:
Клиенты пользуются WINS-сервером либо как основным, либо как дополнительным WINS-сервером.
Различие между основным и дополнительным WINS-сервером не определяется самими серверами (которые с функциональной точки зрения одинаковы). Это различие возникает, когда его устанавливает клиент, который упорядочивает список WINS-серверов, если предусматривается использование нескольких WINS-серверов.
В большинстве случаев клиент обращается к основному WINS-серверу за всеми функциями службы имен NetBIOS (регистрация имени, обновление имени, освобождение имени и разрешение имени в адрес). Дополнительные WINS-серверы используются, только если основной WINS-сервер:
- либо недоступен в сети, когда сделан запрос обслуживания;
- либо не может разрешить имя в адрес (при запросе имени).
В случае отказа основного WINS-сервера клиент запрашивает ту же функцию службы у дополнительных WINS-серверов. Если у клиента настроено больше двух WINS-серверов, делаются попытки использовать дополнительные WINS-серверы, пока список не будет исчерпан или пока один из дополнительных WINS-серверов не сможет обработать запрос и дать на него ответ. После использования дополнительного WINS-сервера клиент периодически пытается переключиться снова на свой основной WINS-сервер для будущих запросов обслуживания.
В последних WINS-клиентах (Windows XP; и Windows 2000) можно настроить список, содержащий до 12 дополнительных WINS-серверов (вручную через свойства TCP/IP или динамически средствами DHCP-сервера через список, получаемый с помощью параметра DHCP типа 44). Эта возможность полезна в средах с большим числом мобильных клиентов, где службы и ресурсы NetBIOS используются довольно интенсивно. Поскольку в такой среде база данных WINS может быть несогласованной в сети WINS-серверов из-за проблем конвергенции, имеет смысл разрешить клиентам запрашивать больше двух WINS-серверов.
Однако не следует злоупотреблять такой возможностью, поскольку за повышение отказоустойчивости при использовании дополнительных WINS-серверов приходится расплачиваться эффективностью. Ее преимущества должны оцениваться с учетом того, что каждый дополнительный WINS-сервер увеличивает время полной обработки запросов в службе WINS. Например, если WINS-клиент пытается использовать три WINS-сервера или больше, это может существенно задержать обработку запроса имени перед использованием альтернативных способов разрешения имени в адрес, например поиска в локальном файле Hosts или запроса к DNS-серверу.
- Клиенты WINS - пытаются зарегистрировать свои имена на WINS-сервере при начале работы или при подключении к сети. После этого, когда необходимо, клиенты делают запрос к WINS-серверу для разрешения в адреса удаленных имен.
Клиентами, поддерживающими службу WINS, являются компьютеры, которые могут быть настроены на непосредственное использование WINS-сервера. Большинство WINS-клиентов обычно имеют несколько NetBIOS-имен, которые должны быть зарегистрированы для использования в сети. Эти имена используются для опубликования различных типов сетевых служб, например службы сообщений или службы рабочей станции, которые каждый компьютер может использовать различными способами для связи с другими компьютерами в сети.
Клиенты, поддерживающие WINS, связываются с WINS-сервером, когда необходимы следующие операции:
- регистрация имен клиентов в базе данных WINS;
- обновление имен клиентов в базе данных WINS;
- освобождение имен клиентов в базе данных WINS;
- разрешение имен в адреса с помощью сопоставлений имен пользователей, NetBIOS-имен, DNS-имен и IP-адресов из базы данных WINS.
Клиенты, не поддерживающие WINS, могут ограниченно участвовать в этих процессах через WINS-прокси
WINS - прокси представляет собой компьютер WINS - клиента, настроенный на работу от имени других компьютеров, которые не могут использовать службу WINS непосредственно. WINS -прокси помогают выполнять запросы NetBIOS - имен компьютерам, расположенным в маршрутизируемых сетях TCP/IP.
По умолчанию большинство компьютеров, которые не могут использовать службу WINS, применяют широковещательную рассылку для разрешения в адреса NetBIOS-имен и регистрируют свои NetBIOS-имена в сети. WINS-прокси может быть настроен на прослушивание от имени этих компьютеров и на запрос у службы WINS имен, не разрешенных широковещательной рассылкой.
WINS-прокси полезны и необходимы в сетях, где есть клиенты, которые имеют право выполнять только широковещательные рассылки NetBIOS (или b-узлы). В большинстве сетей все клиенты обычно поддерживают WINS, и поэтому WINS-прокси там не нужны.
WINS-прокси представляют собой компьютеры со службой WINS, которые прослушивают функции службы NetBIOS-имени b - узла (регистрацию имени, освобождение имени и запрос имени) и могут отвечать на запросы таких имен, которые являются удаленными и не используются в локальной сети. Прокси связываются непосредственно с WINS-сервером для извлечения сведений, необходимых для отклика на эти локальные широковещательные рассылки.
WINS - прокси используются следующим образом:
- Когда клиент b - узла регистрирует свое имя, прокси проверяет имя в базе данных WINS - сервера. Если имя существует в базе данных WINS, прокси может отправить отрицательный ответ клиенту b -узла, пытающемуся зарегистрировать это имя.
- Когда клиент b - узла освобождает свое имя, прокси удаляет имя клиента из буфера удаленных нелокальных имен.
- Когда клиент b - узла отправляет запрос имени, прокси пытается разрешить это имя в адрес с помощью сведений, хранящихся локально в его буфере удаленных нелокальных имен, или с помощью сведений, полученных от WINS - сервера.
WINS - прокси разрешают имена в адреса:
В данном примере WINS - прокси для разрешения в адрес имени, запрашиваемого компьютером b - узла, выполняет следующие действия.
- HOST - A выполняет широковещательную рассылку запроса NetBIOS-имени по локальной подсети.
- HOST - B принимает рассылку и проверяет наличие в буфере сопоставления соответствующего NetBIOS - имени компьютера IP - адресу.
- HOST - B обрабатывает запрос.
Если соответствие имени IP - адресу, совпадающее с запросом, хранится в буфере компьютера HOST -B, сведения возвращаются компьютеру HOST - A. В противном случае HOST - B запрашивает у WINS -сервера соответствие, запрошенное компьютером HOST - A.
- Когда HOST-B получает запрошенное соответствие имени IP-адресу от своего настроенного WINS-сервера (в данном примере — от WINS-A), он помещает эти сведения в сжатом виде в буфер.
По умолчанию WINS-прокси хранит сопоставления удаленных адресов, которые были запрошены у службы WINS, в течение 6 минут, но это значение можно изменить (минимальное значение — 1 минута).
- Затем HOST-B может использовать эти сведения о сопоставлении для ответа на последующие широковещательные запросы NetBIOS - имени от HOST - A или других компьютеров b - узлов в подсети. База данных WINS хранит и реплицирует соответствия NetBIOS - имен IP - адресам в сети. В семействе Windows Server 2003 в базе данных WINS используется расширяемая система хранения данных (Extensible Storage Engine — ESE).
Сжатие базы данных происходит следующим образом:
Встроенное ограничение числа записей, которые WINS-сервер может хранить и реплицировать, отсутствует. Размер базы данных зависит от числа WINS-клиентов в сети. База данных WINS изменяется по мере подключения и отключения клиентов от сети.
Однако размер базы данных WINS не пропорционален числу записей активных клиентов. С течением времени, поскольку некоторые записи WINS-клиентов устаревают и удаляются, размер базы данных WINS растет быстрее, чем реально используемое пространство в базе данных. Это происходит из-за того, что пространство, используемое для хранения устаревших записей, автоматически не восстанавливается сервером, когда оно освобождено и больше не используется.
Сжатие базы данных восстанавливает неиспользуемое пространство. Динамическое сжатие базы данных на WINS-сервере происходит после обновления базы как автоматический фоновый процесс во время простоя. Сжатие можно также выполнить вручную в автономном режиме. Windows NT Server 4.0, Windows 2000 и операционные системы семейства Windows Server 2003 поддерживают как динамическое, так и ручное сжатие. Windows NT Server 3.51 (и более ранних версий) поддерживает только ручное сжатие базы данных WINS-сервера.
Несмотря на то, что динамическое сжатие значительно уменьшает необходимость автономного сжатия, периодически следует выполнять автономное сжатие, так как в этом случае лучше восстанавливается дисковое пространство. Частота выполнения ручного сжатия базы данных WINS зависит от сети. В больших сетях с высокой нагрузкой, включающих 1000 и более WINS-клиентов, ручное сжатие следует выполнять каждый месяц. В сетях меньших размеров эта процедура обычно требуется реже.
Поскольку динамическое сжатие происходит во время использования базы данных, на время этого процесса останавливать WINS-сервер не нужно. Однако при ручном сжатии WINS-сервер должен быть остановлен и переведен в автономный режим.
2.2 Обеспечение безопасности ЛВС
Защита данных в компьютерных сетях становится одной из самых открытых проблем в современных информационно-вычислительных системах. На сегодняшний день сформулировано три базовых принципа информационной безопасности, задачей которой является обеспечение:
- целостности данных - защита от сбоев, ведущих к потере информации или ее уничтожения;
- конфиденциальности информации;
- доступности информации для авторизованных пользователей.
Рассматривая проблемы, связанные с защитой данных в сети, возникает вопрос о классификации сбоев и несанкционированности доступа, что ведет к потере или нежелательному изменению данных. Это могут быть сбои оборудования (кабельной системы, дисковых систем, серверов, рабочих станций и т.д.), потери информации (из-за инфицирования компьютерными вирусами, неправильного хранения архивных данных, нарушений прав доступа к данным), некорректная работа пользователей и обслуживающего персонала. Перечисленные нарушения работы в сети вызвали необходимость создания различных видов защиты информации. Условно их можно разделить на три класса :
- средства физической защиты;
- программные средства (антивирусные программы, системы разграничения полномочий, программные средства контроля доступа);
- административные меры защиты (доступ в помещения, разработка стратегий безопасности фирмы и т.д.).
Одним из средств физической защиты являются системы архивирования и дублирования информации. В локальных сетях, где установлены один-два сервера, чаще всего система устанавливается непосредственно в свободные слоты серверов. В крупных корпоративных сетях предпочтение отдается выделенному специализированному архивационному серверу, который автоматически архивирует информацию с жестких дисков серверов и рабочих станций в определенное время, установленное администратором сети, выдавая отчет о проведенном резервном копировании. Наиболее распространенными моделями архивированных серверов являются Storage Express System корпорации Intel ARCserve for Windows.
Для борьбы с компьютерными вирусами наиболее часто применяются антивирусные программы, реже - аппаратные средства защиты. Однако, в последнее время наблюдается тенденция к сочетанию программных и аппаратных методов защиты. Среди аппаратных устройств используются специальные антивирусные платы, вставленные в стандартные слоты расширения компьютера. Корпорация Intel предложила перспективную технологию защиты от вирусов в сетях, суть которой заключается в сканировании систем компьютеров еще до их загрузки. Кроме антивирусных программ, проблема защиты информации в компьютерных сетях решается введением контроля доступа и разграничением полномочий пользователя. Для этого используются встроенные средства сетевых операционных систем, крупнейшим производителем которых является корпорация Novell. В системе, например, NetWare, кроме стандартных средств ограничения доступа (смена паролей, разграничение полномочий), предусмотрена возможность кодирования данных по принципу "открытого ключа" с формированием электронной подписи для передаваемых по сети пакетов.
Однако, такая система защиты слабомощна, т.к. уровень доступа и возможность входа в систему определяются паролем, который легко подсмотреть или подобрать. Для исключения неавторизованного проникновения в компьютерную сеть используется комбинированный подход - пароль + идентификация пользователя по персональному "ключу". "Ключ" представляет собой пластиковую карту (магнитная или со встроенной микросхемой - смарт-карта) или различные устройства для идентификации личности по биометрической информации - по радужной оболочке глаза, отпечаткам пальцев, размерам кисти руки и т.д. Серверы и сетевые рабочие станции, оснащенные устройствами чтения смарт-карт и специальным программным обеспечением, значительно повышают степень защиты от несанкционированного доступа.
Смарт - карты управления доступом позволяют реализовать такие функции, как контроль входа, доступ к устройствам ПК, к программам, файлам и командам. Одним из удачных примеров создания комплексного решения для контроля доступа в открытых системах, основанного как на программных, так и на аппаратных средствах защиты, стала система Kerberos, в основу которой входят три компонента:
- база данных, которая содержит информацию по всем сетевым ресурсам, пользователям, паролям, информационным ключам и т.д.;
- авторизационный сервер (authentication server), задачей которого является обработка запросов пользователей на предоставление того или иного вида сетевых услуг. Получая запрос, он обращается к базе данных и определяет полномочия пользователя на совершение определенной операции. Пароли пользователей по сети не передаются, тем самым, повышая степень защиты информации;
- Ticket-granting server (сервер выдачи разрешений) получает от авторизационного сервера "пропуск" с именем пользователя и его сетевым адресом, временем запроса, а также уникальный "ключ". Пакет, содержащий "пропуск", передается также в зашифрованном виде. Сервер выдачи разрешений после получения и расшифровки "пропуска" проверяет запрос, сравнивает "ключи" и при тождественности дает "добро" на использование сетевой аппаратуры или программ.
По мере расширения деятельности предприятий, роста численности абонентов и появления новых филиалов, возникает необходимость организации доступа удаленных пользователей (групп пользователей) к вычислительным или информационным ресурсам к центрам компаний. Для организации удаленного доступа чаще всего используются кабельные линии и радиоканалы. В связи с этим защита информации, передаваемой по каналам удаленного доступа, требует особого подхода. В мостах и маршрутизаторах удаленного доступа применяется сегментация пакетов - их разделение и передача параллельно по двум линиям, - что делает невозможным "перехват" данных при незаконном подключении "хакера" к одной из линий. Используемая при передаче данных процедура сжатия передаваемых пакетов гарантирует невозможность расшифровки "перехваченных" данных. Мосты и маршрутизаторы удаленного доступа могут быть запрограммированы таким образом, что удаленным пользователям не все ресурсы центра компании могут быть доступны.
В настоящее время разработаны специальные устройства контроля доступа к вычислительным сетям по коммутируемым линиям. Примером может служить, разработанный фирмой AT&T модуль Remote Port Securiti Device (PRSD), состоящий из двух блоков размером с обычный модем: RPSD Lock (замок), устанавливаемый в центральном офисе, и RPSD Key (ключ), подключаемый к модему удаленного пользователя. RPSD Key и Lock позволяют устанавливать несколько уровней защиты и контроля доступа:
- шифрование данных, передаваемых по линии при помощи генерируемых цифровых ключей;
- контроль доступа с учетом дня недели или времени суток.
Прямое отношение к теме безопасности имеет стратегия создания резервных копий и восстановления баз данных. Обычно эти операции выполняются в нерабочее время в пакетном режиме. В большинстве СУБД резервное копирование и восстановление данных разрешаются только пользователям с широкими полномочиями (права доступа на уровне системного администратора, либо владельца БД), указывать столь ответственные пароли непосредственно в файлах пакетной обработки нежелательно. Чтобы не хранить пароль в явном виде, рекомендуется написать простенькую прикладную программу, которая сама бы вызывала утилиты копирования/восстановления. В таком случае системный пароль должен быть "зашит" в код указанного приложения. Недостатком данного метода является то, что всякий раз при смене пароля эту программу следует перекомпилировать.
Применительно к средствам защиты от НСД определены семь классов защищенности (1-7) средств вычислительной техники (СВТ) и девять классов (1А,1Б,1В,1Г,1Д,2А,2Б,3А,3Б) автоматизированных систем (АС). Для СВТ самым низким является седьмой класс, а для АС - 3Б.
Рассмотрим более подробно приведенные сертифицированные системы защиты от НСД.
Система "КОБРА" соответствует требованиям 4-ого класса защищенности (для СВТ), реализует идентификацию и разграничение полномочий пользователей и криптографическое закрытие информации, фиксирует искажения эталонного состояния рабочей среды ПК (вызванные вирусами, ошибками пользователей, техническими сбоями и т.д.) и автоматически восстанавливает основные компоненты операционной среды терминала.
Подсистема разграничения полномочий защищает информацию на уровне логических дисков. Пользователь получает доступ к определенным дискам А,В,С,...,Z. Все абоненты разделены на 4 категории:
- суперпользователь (доступны все действия в системе);
- администратор (доступны все действия в системе, за исключением изменения имени, статуса и полномочий суперпользователя, ввода или исключения его из списка пользователей);
- программисты (может изменять личный пароль);
- коллега (имеет право на доступ к ресурсам, установленным ему суперпользователем).
Помимо санкционирования и разграничения доступа к логическим дискам, администратор устанавливает каждому пользователю полномочия доступа к последовательному и параллельному портам. Если последовательный порт закрыт, то невозможна передача информации с одного компьютера на другой. При отсутствии доступа к параллельному порту, невозможен вывод на принтер.
Средства вывода аппаратура из рабочего контура (СВАРК) обеспечивают блокировку НСД к информации при ремонте и профилактике аппаратуры. В числе средств основного контура применяются также средства защиты ресурсов (СЗР) и организационные меры. СЗР нацелены на недопущение блокировки пользователем-нарушителем работы других пользователей, а также для контроля и ограничения доступа пользователей к ресурсам.
Средства защиты информации на носителях (СЗИН) включают средства шифрования данных (СШД), средства уничтожения остатков информации на носителях (СУОИ), средства аутентификации информации на носителях (САИН), средства верификации программного обеспечения (СВПО) и организационно-технические мероприятия. Система контроля вскрытия аппаратуры включает датчики вскрытия, установленные на контролируемой аппаратуре, цепи сбора сигналов (ЦСС) и устройство контроля вскрытия аппаратуры (УКВА).
СОРДИ содержит терминал службы безопасности информации (ТСБИ), функциональные задачи программного обеспечения (ФЗ ПО), реализующие на программном уровне идентификацию и аутентификацию пользователей, а также разграничение их полномочий по доступу к информации. В целях защиты кодов паролей от НСД для них также должны быть предусмотрены средства защиты (СЗКП).
Средства защиты от случайного НСД включают средства повышения достоверности информации (СПДИ) и средства защиты информации от аварийных ситуаций (СЗИ АС). СПДИ содержат систему функционального контроля (СФК), устройство защиты от ошибок в каналах связи (УЗО КС), средства контроля целостности программного обеспечения (СКЦ ПО) и специальные технические решения (СТР). Они включают средства защиты от переадресации памяти (СЗПП), изоляции функциональных задач (СИФЗ) и другие технические решения.
Средства управления защитой информации содержат автоматизированное рабочее место службы безопасности (АРМ СБ) информации, ФЗ ПО, специально разработанные для выполнения управления защитой на программном уровне, включая ведение журнала учета и регистрации доступа (ЖУРД) и организационные мероприятия. АРМ СБ включает терминал безопасности, УКВА, аппаратуру записи кодов в физические ключи-пароли (АЗКП), необходимое количество ключей-паролей и аппаратуру регистрации и документирования информации (АРДИ). В дополнение к указанным средствам, выполненным на аппаратном и программном уровнях, в необходимых случаях применяются организационные меры].
Требования к защите информации в ЛВС подразделения
Чтобы обеспечить требуемый уровень безопасности информации в ЛВС подразделения, система безопасности должна иметь следующие средства:
- Средства идентификации и проверки полномочий;
- Средства обеспечения защиты файлов;
- Средства защиты ОС и программ пользователей;
- Средства шифрования/дешифрования трафика сети;
- Средства уничтожения остатков информации в системе;
- Средства регистрации обращений к системе.
2.2.1 Потенциальные угрозы безопасности информации
Исследование и анализ многочисленных случаев воздействий на информацию и несанкционированного доступа к ней показывают, что их можно разделить на случайные и преднамеренные.
Для создания средств защиты информации необходимо определить природу угроз, формы и пути их возможного проявления и осуществления в автоматизированной системе. Для решения поставленной задачи все многообразие угроз и путей их воздействия приведем к простейшим видам и формам, которые были бы адекватны их множеству в автоматизированной системе.
2.2.2 Случайные угрозы
Исследование опыта проектирования, изготовления, испытаний и эксплуатации автоматизированных систем говорят о том, что информация в процессе ввода, хранения , обработки, ввода и передачи подвергается различным случайным воздействиям.
Причинами таких воздействий могут быть:
- Отказы и сбои аппаратуры;
- Помехи на линии связи от воздействий внешней среды;
- Ошибки человека как звена системы;
- Системные и системотехнические ошибки разработчиков;
- Структурные, алгоритмические и программные ошибки;
- Аварийные ситуации;
- Другие воздействия.
Частота отказов и сбоев аппаратуры увеличивается при выборе и проектировании системы, слабой в отношении надежности функционирования аппаратуры. Помехи на линии связи зависят от правильности выбора места размещения технических средств АСУ относительно друг друга и по отношению к аппаратуре соседних систем.
К ошибкам человека как звена системы следует относить ошибки человека как источника информации, человека-оператора, неправильные действия обслуживающего персонала и ошибки человека как звена, принимающего решения.
Ошибки человека могут подразделяться на логические (неправильно принятые решения), сенсорные (неправильное восприятие оператором информации) и оперативные, или моторные (неправильная реализация решения). Интенсивность ошибок человека может колебаться в широких пределах: от 1-2% до 15-40% и выше общего числа операций при решениях задачи.
К угрозам случайного характера следует отнести аварийные ситуации, которые могут возникнуть на объекте размещения автоматизированной системы. К аварийным ситуациям относятся:
Отказ от функционирования САУ в целом, например выход из строя электропитания/
Стихийные бедствия: пожар, наводнение, землетрясение, ураганы, удары молнии и т.д. Вероятность этих событий связана прежде всего с правильным выбором места размещения АСУ, включая географическое положение.
2.2.3 Преднамеренные угрозы
Преднамеренные угрозы связаны с действиями человека, причинами которых могут быть определенное недовольство своей жизненной ситуацией, сугубо материальный интерес или простое развлечение с самоутверждением своих способностей, как у хакеров, и т.д.
Для вычислительных систем характерны следующие штатные каналы доступа к информации:
- Терминалы пользователей;
- Терминал администратора системы;
- Терминал оператора функционального контроля;
- Средства отображения информации;
- Средства загрузки программного обеспечения;
- Средства документирования информации;
- Носители информации;
- Внешние каналы связи.
При отсутствии защиты нарушитель может воспользоваться как штатными, так и другими физическими каналами доступа, назовем возможные каналы несанкционированного доступа (ВКНСД) в вычислительной системе, через которые возможно получить доступ к аппаратуре, ПО и осуществить хищение, разрушение, модификацию информации и ознакомление с нею:
- Все перечисленные штатные средства при их использовании законными пользователями не по назначению и за пределами своих полномочий;
- Все перечисленные штатные средства при их использовании посторонними лицами;
- Технологические пульты управления;
- Внутренний монтаж аппаратурыp;
- Линии связи между аппаратными средствами данной вычислительной системы.
Побочное электромагнитное излучение аппаратуры системы
- Побочные наводки по сети электропитания и заземления аппаратуры
- Побочные наводки на вспомогательных и посторонних коммуникациях
- Отходы обработки информации в виде бумажных и магнитных носителей.
Очевидно, что при отсутствии законного пользователя, контроля и разграничения доступа к терминалу квалифицированный нарушитель легко воспользуется его функциональными возможностями для несанкционированного доступа к информации путем ввода соответствующих запросов и команд. При наличии свободного доступа в помещение можно визуально наблюдать информацию на средствах отображения и документирования, а на последних похитить бумажный носитель, снять лишнюю копию, а также похитить другие носители с информацией: листинги, магнитные ленты, диски и т.д.
Особую опасность представляет собой бесконтрольная загрузка программного обеспечения в ЭВМ, в которой могут быть изменены данные, алгоритмы или введена программа “троянский конь”, выполняющая дополнительные незаконные действия: запись информации на посторонний носитель, передачу в каналы связи другого абонента вычислительной сети, внесение в систему компьютерного вируса и т.д.
Опасной является ситуация, когда нарушителем является пользователь системы, который по своим функциональным обязанностям имеет законный доступ к одной части информации, а обращается к другой за пределами своих полномочий.
Со стороны законного пользователя существует много способов нарушить работу вычислительной системы, злоупотреблять ею, извлекать, модифицировать или уничтожать информацию. Свободный доступ позволит ему обращаться к чужим файлам и банкам данных и изменять их случайно или преднамеренно.
При техническом обслуживании (профилактике и ремонте) аппаратуры могут быть обнаружены остатки информации на магнитной ленте, поверхностях дисков и других носителях информации. Обычное стирание информации не всегда эффективно. Ее остатки могут быть легко прочитаны. При транспортировке носителя по неохраняемой территории существует опасность его перехвата и последующего ознакомления посторонних лиц с секретной информацией.
Не имеет смысла создание системы контроля и разграничения доступа к информации на программном уровне, если не контролируется доступ к пульту управления ЭВМ, внутреннему монтажу аппаратуры, кабельным соединениям. Срабатывание логических элементов обусловлено высокочастотным изменением уровней напряжений и токов, что приводит к возникновению в эфире, цепях питания и заземления, а также в параллельно расположенных цепях и индуктивностях посторонней аппаратуры, электромагнитных полей и наводок, несущих в амплитуде, фазе и частоте своих колебаний признаки обрабатываемой информации. С уменьшением расстояния между приемником нарушителя и аппаратными средствами вероятность приема сигналов такого рода увеличивается.
Непосредственное подключение нарушителем приемной аппаратуры и специальных датчиков к цепям электропитания и заземления, к каналам связи также позволяет совершить несанкционированное ознакомление с информацией, а несанкционированное подключение к каналам связи передающей аппаратуры может привести и к модификации информации.
За последнее время в разных странах проведено большое количество исследовательских работ с целью обнаружения потенциальных каналов несанкционированного доступа к информации в вычислительных сетях. При этом рассматриваются не только возможности нарушителя, получившего законный доступ к сетевому оборудованию, но и воздействия, обусловленные ошибками программного обеспечения или свойствами используемых сетевых протоколов. Несмотря на то, что изучение каналов НСД продолжается до сих пор, уже в начале 80-ых годов были сформулированы пять основных категорий угроз безопасности данных в вычислительных сетях:
- Раскрытие содержания передаваемых сообщений;
- Анализ трафика, позволяющий определить принадлежность отправителя и получателя данных к одной из групп пользователей сети, связанных общей; задачей;
- Изменение потока сообщений, что может привести к нарушению режима работы какого-либо объекта, управляемого из удаленной ЭВМ;
- Неправомерный отказ в предоставлении услуг;
- Несанкционированное установление соединения.
2.2.4 Средства защиты информации в ЛВС
Принято различать пять основных средств защиты информации:
- Технические,
- Программные,
- Криптографические,
- Организационные,
- Законодательные.
Рассмотрим эти средства подробнее и оценим их возможности в плане дальнейшего их использования при проектировании конкретных средств защиты информации в ЛВС.
2.2.5 Технические средства защиты информации
Технические средства защиты – это механические, электромеханические, оптические, радио, радиолокационные, электронные и другие устройства и системы, способные выполнять самостоятельно или в комплексе с другими средствами функции защиты данных.
Технические средства защиты делятся на физические и аппаратные. К физическим средствам относятся замки, решетки, охранные сигнализации, оборудование КПП и др.; к аппаратным – замки, блокировки и системы сигнализации о вскрытии, которые применяются на средствах вычислительной техники и передачи данных.
2.2.6 Программные средства защиты информации
Программные средства защиты – это специальные программы, включаемые в состав программного обеспечения системы, для обеспечения самостоятельно или в комплексе с другими средствами, функций защиты данных.
По функциональному назначению программные средства можно разделить на следующие группы:
Программные средства идентификации и аутентификации пользователей. Идентификация – это присвоение какому-либо объекту или субъекту уникального образа, имени или числа. Установление подлинности (аутентификация) заключается в проверке, является ли проверяемый объект (субъект) тем, за кого себя выдает.
Конечная цель идентификации и установления подлинности объекта в вычислительной системе – допуск его к информации ограниченного пользования в случае положительного результата проверки или отказ в допуске в противном случае.
Одним из распространенных методов аутентификации является присвоение лицу уникального имени или числа – пароля и хранение его значения в вычислительной системе. При входе в систему пользователь вводит свой код пароля, вычислительная система сравнивает его значение со значением, хранящимся в своей памяти, и при совпадении кодов открывает доступ к разрешенной функциональной задаче, а при несовпадении – отказывает в нем.
Наиболее высокий уровень безопасности входа в систему достигается разделением кода пароля на две части, одну, запоминаемую пользователем и вводимую вручную, и вторую, размещаемую на специальном носителе – карточке, устанавливаемой пользователем на специальное считывающее устройство, связанное с терминалом.
- Средства идентификации и установления подлинности технических средств.
Дополнительный уровень защиты по отношению к паролям пользователей. В ЭВМ хранится список паролей и другая информация о пользователях, которым разрешено пользоваться определенными терминалами, а также таблица ресурсов, доступных с определенного терминала конкретному пользователю.
- Средства обеспечения защиты файлов.
Вся информация в системе, хранимая в виде файлов делится на некоторое количество категорий по различным признакам, выбор которых зависит от функций, выполняемых системой. Наиболее часто можно встретить разделение информации:
- по степени важности
- по степени секретности
- по выполняемым функциям пользователей
- по наименованию документов
- по видам документов
- по видам данных
- по наименованию томов, файлов, массивов, записей
- по имени пользователя
- по функциям обработки информации: чтению, записи, исполнению
- по областям оперативной и долговременной памяти
- по времени и т.д.
Доступа должностных лиц к файлам осуществляется в соответствии с их функциональными обязанностями и полномочиями.
- Средства защиты операционной системы и программ пользователей.
Защита операционной системы – наиболее приоритетная задача. Осуществляется запретом доступа в области памяти, в которых размещается операционная система.
Для защиты пользовательских программ применяется ограничение доступа к занимаемым этими программами памяти.
- Вспомогательные средства.
К вспомогательным средствам программной защиты информации относятся:
- Программные средства контроля правильности работы пользователей,
- Программные уничтожители остатков информации
- Программы контроля работы механизма защиты
- Программы регистрации обращений к системе и выполнения действий с ресурсами
- Программы формирования и печати грифа секретности
- Программные средства защиты от компьютерных вирусов и др.
- Криптографические средства защиты – это методы специального шифрования данных, в результате которого их содержание становится недоступным без применения некоторой специальной информации и обратного преобразования.
Суть криптографической защиты заключается в преобразовании составных частей информации (слов, букв, слогов, цифр) с помощью специальных алгоритмов, либо аппаратных решений и кодов ключей, т.е. приведении ее к неявному виду. Для ознакомления с закрытой информацией применяется обратный процесс: декодирование (дешифрование). Использование криптографии является одним из распространенных методов , значительно повышающих безопасность передачи данных в сетях ЭВМ, данных, хранящихся в удаленных устройствах памяти, и при обмене информацией между удаленными объектами.
Организационные средства защиты – специальные организационно-технические и организационно-правовые мероприятия, акты и правила, осуществляемые в процессе создания и эксплуатации системы для организации и обеспечения защиты информации.
Организационные мероприятия осуществляют двойную функцию:
- Полное или частичное перекрытие каналов утечки информации,
- Объединение всех используемых средств защиты в целостный механизм.
Оргмеры по защите информации должны охватывать этапы проектирования, изготовления, испытаний, подготовки к эксплуатации и эксплуатации системы.
2.2.7 Законодательные средства защиты информации
Законодательные средства защиты – это законодательные акты, которые регламентируют правила использования и обработки информации, и устанавливают ответственность и санкции за нарушение этих правил.
Законодательные меры по защите информации от НСД заключаются в исполнении существующих в стране или введении новых законов, постановлений, положений и инструкций, регулирующих юридическую ответственность должностных лиц – пользователей и обслуживающего персонала за утечку, потерю или модификацию доверенной ему информации, подлежащей защите, в том числе за попытку преднамеренного несанкционированного доступа к аппаратуре и информации. Таким образом цель законодательных мер – предупреждение и сдерживание потенциальных нарушителей].
2.2.8 Структура системы защиты информации
На основе принятой концепции средства защиты информации делятся на средства защиты от преднамеренного НСД (СЗИ ПНСД) и от случайного НСД (СЗИ СНСД). Средства управления защитой информации (СУЗИ) от НСД являются объединяющими, дающими возможность с помощью целенаправленных и взаимосвязанных функций в сочетании с наиболее полным охватом возможных каналов НСД объекта отдельными средствами защиты создать законченную и строгую систему защиты в комплексе средств автоматизации. Пример структуры такой системы приведен на рис.2.1.
СЗИ ПНСД включает 1-й контур защиты – систему контроля доступа на территорию объекта (СКДТО), 2-й контур защиты - систему контроля и разграничения доступа в помещение (СКРПД) и основной контур защиты (ОКЗ). СКДТО, содержащая систему охранной сигнализации (СОС) и контрольно-пропускные пункты (КПП), служит для ограничения доступа лиц на территорию объекта, а также совместно со специальными аппаратными решениями составляет средство защиты от побочных электромагнитных излучений и наводок.
Основной контур защиты перекрывает каналы доступа по периметру комплекса средств автоматизации (КСА). Система контроля вскрытия аппаратуры (СКВА) перекрывает доступ к внутреннему монтажу, технологическим пультам управления и кабельным соединениям. Система опознания и разграничения доступа к информации (СОРДИ) закрывает несанкционированный доступ и обеспечивает возможность контроля санкционированного доступа к информации законных пользователей и разграничения и разграничения их полномочий с учетом их функциональных обязанностей.
3 ЭКОНОМИЧЕСКАЯ ЧАСТЬ
3.1 Расчет на установку и приобретение лицензионного программного обеспечения (операционные системы) для сервера и всех рабочих станций ЛВС
Экономической целью дипломного проекта является анализ приобретаемого лицензионного программного обеспечения для всех рабочих станций и проанализировать его установку на рабочие станции и сервер. Предстоит подсчитать основную и дополнительную заработную плату, техника электронщика со стажем работы до года в соответствии с тарифным коэффициентом представленном в таблица 3.1 , которую он получит за месяц, в ходе которых техник электронщик и выполнит поставленную задачу.
Предстоит подсчитать производственная себестоимость, рассчитать затраты на покупные и комплектующие изделия, произвести расчет затрат по статье “Отчисления от заработной платы”(социальный налог).
3.1.1 Расчет затрат на основную и дополнительную заработную плату
Для определения расходов на заработную плату, необходимо, кроме затрат труда знать тарифную ставку. Основу оплаты труда на предприятии обычно составляет тарифная сетка. Для расчета затрат на заработную плату предприятиям рекомендуется использовать единую тарифную сетку, в которую вписан весь каталог действующих профессий и должностей по разрядам. Отнесение работников к той или иной квалификационно-должностной группе основывается в сетке на сложности их труда.
Для каждого этапа разработки определяется необходимое количество работников и их квалификация. Для установки программного обеспечения необходимым работником на этапе установки и приобретения является – техник электронщик. Требуемая квалификация: стаж работы до года; среднеспециальное образование:; Разряд единой тарифной сетки G 16 (тарифный коэффициент 1,19).
Рассчитывается размер должностного оклада при помощи минимальной заработной платы и тарифного коэффициента для нахождения, которого необходимо знать должность и тарифную ставку работника.
Таблица 3 - Коэффициенты для исчисления должностных окладов (ставок) работников государственных учреждений
Категория должностей в соответствии с Реестром | Стаж работы по специальности в годах | ||||||||||
до года | с 1 до 2 | с 2 до 3 | с 3 до 5 | с 5 до 7 | с 7 до 9 | с 9 до 11 | с 11 до 14 | с 14 до 17 | с 17 до 20 | свыше 20 | |
Категория G | | ||||||||||
G-1 | 3,30 | 3,36 | 3,43 | 3,50 | 3,58 | 3,66 | 3,73 | 3,80 | 3,87 | 3,92 | 3,96 |
G-2 | 3,07 | 3,13 | 3,19 | 3,26 | 3,33 | 3,40 | 3,47 | 3,53 | 3,60 | 3,64 | 3,68 |
G-3 | 2,86 | 2,92 | 2,98 | 3,04 | 3,11 | 3,17 | 3,24 | 3,30 | 3,36 | 3,40 | 3,43 |
G-4 | 2,62 | 2,67 | 2,72 | 2,78 | 2,84 | 2,90 | 2,96 | 3,02 | 3,08 | 3,11 | 3,14 |
G-5 | 2,44 | 2,48 | 2,53 | 2,59 | 2,64 | 2,70 | 2,76 | 2,81 | 2,86 | 2,89 | 2,92 |
G-6 | 2,29 | 2,34 | 2,39 | 2,44 | 2,49 | 2,54 | 2,59 | 2,64 | 2,69 | 2,72 | 2,75 |
G-7 | 2,15 | 2,19 | 2,24 | 2,29 | 2,33 | 2,39 | 2,43 | 2,48 | 2,53 | 2,56 | 2,58 |
G-8 | 2,03 | 2,07 | 2,11 | 2,16 | 2,20 | 2,25 | 2,30 | 2,34 | 2,38 | 2,41 | 2,43 |
G-9 | 1,89 | 1,92 | 1,96 | 2,01 | 2,05 | 2,09 | 2,14 | 2,18 | 2,22 | 2,24 | 2,26 |
G-10 | 1,78 | 1,81 | 1,85 | 1,89 | 1,93 | 1,97 | 2,01 | 2,05 | 2,09 | 2,11 | 2,13 |
G-11 | 1,65 | 1,69 | 1,72 | 1,76 | 1,80 | 1,83 | 1,87 | 1,91 | 1,94 | 1,96 | 1,98 |
G-12 | 1,55 | 1,58 | 1,62 | 1,65 | 1,69 | 1,72 | 1,76 | 1,79 | 1,82 | 1,84 | 1,86 |
G-13 | 1,45 | 1,48 | 1,51 | 1,54 | 1,57 | 1,61 | 1,64 | 1,67 | 1,70 | 1,72 | 1,74 |
G-14 | 1,36 | 1,39 | 1,42 | 1,44 | 1,48 | 1,51 | 1,54 | 1,57 | 1,60 | 1,62 | 1,63 |
G-15 | 1,27 | 1,29 | 1,32 | 1,35 | 1,38 | 1,41 | 1,44 | 1,46 | 1,49 | 1,51 | 1,52 |
G-16 | 1,19 | 1,21 | 1,24 | 1,26 | 1,29 | 1,32 | 1,34 | 1,37 | 1,39 | 1,41 | 1,42 |
G-17 | 1,10 | 1,12 | 1,14 | 1,16 | 1,19 | 1,22 | 1,24 | 1,26 | 1,29 | 1,30 | 1,31 |
(3.1)
где МЗП – минимальная заработная плата (с 1.01.2005 года = 9200тг)
Ктар – тарифный коэффициент, устанавливается в соответствии с ЕТС РК (Таблица 3.1).
Для расчета оклада необходимо по таблице 3.1 определить размер тарифного коэффициента для работников данного разряда.
Учитывая, что рассчитанный оклад – это стоимость одного человеко-месяца, можно рассчитать затраты на основную заработную плату.
Вычисляется в соответствии с формулой 3.1
Оклад = 9200*1,19 = 10948 тенге в месяц
После расчета затрат на основную заработную плату рассчитываются затраты на дополнительную заработную плату.
Она определяется в процентном соотношении от основной заработной платы (10%).
Дополнительная заработная плата – это выплаты за непроработанное время: оплата очередных и дополнительных отпусков, работ в ночное время, сверхурочных и во вредных условиях труда. Рассчитывается по формуле 3.2
Допзар = Осн зар * 0,1 (3.2)
Допзар = 10948* 0,1 = 1094,8 тенге
Фонд оплаты труда рассчитывается как сумма затрат на основную и дополнительную заработную плату. Рассчитывается по формуле 3.3
Фопл тр = Осн зар + Допзар (3.3)
Фопл тр = 1094,8 + 10948 = 12042,8 тенге
После расчета основных статей затрат, включаемых в себестоимость устройства, составляем смету затрат и определяем полную себестоимость измерителя ёмкости электролитических конденсаторов с тестом на утечку.
Смета затрат – общий свод плановых затрат предприятия в денежном выражении на выполнение работ.
Состав затрат, включаемых в себестоимость и учитываемых при определении налогооблагаемого дохода, определяется законодательством. Может включает в себя расходы на материалы, заработную плату, накладные расходы.
Производственная себестоимость – затраты, непосредственно связанные с выполнением данного вида работ.
Полная себестоимость – включает производственную себестоимость, административные и управленческие расходы и затраты на реализацию продукции.
3.1.2 Расчет затрат по статье “Покупные и комплектующие изделия”
Рыночные цены на комплектующие определяются по прайс-листам находящимся в магазинах по специализированной продаже электронных компонентов и бытовой техники.
В таблице 4 представлен список электронных компонентов.
Таблица 4 - Таблица электронных компонентов
Программное обеспечение | |||
Название | Кол-во, ед. | цена за единицу, тенге | сумма, тенге |
Для сервера | |||
Windows Server 2003+5 Lic | 1 | 155000 | 155000 |
Windows CAL 2003 20 лицензий | 2 | 111250 | 222500 |
KAV Buisness Optimal Server 1 лицензия | 1 | 70250 | 70250 |
Всего: | | | 447750 |
Для рабочих станций | |||
Windows XP Professional Русский | 45 | 36460 | 1640700 |
Windows Office 2003 Русский | 45 | 45910 | 2065950 |
KAV Personal 5.0 | 45 | 4910 | 220950 |
Всего: | | | 3927600 |
Итого: | | | 4375350 |
3.1.3 Расчёт эксплуатационных расходов
На основе данных о стоимости программного обеспечения с учётом затраченного времени узкого специалиста на установку программного обеспечения - производим расчеты эксплуатационных расходов. Эксплуатационные расходы включают в себя:
- Амортизационные отчисления;
- Расходы на электроэнергию;
- Прочие расходы на содержание и эксплуатацию оборудования.
Амортизационные отчисления являются составной частью затрат на производство продукции и входят в ее себестоимость. Расчет амортизации следует производить методом равномерного списания стоимости для всех видов основных средств, норму амортизации принимать в размере, определенном в Налоговом кодексе РК.
Согласно Налоговому кодексу РК, с 01.01.2005 г., для компьютеров предельная норма амортизации (На) = 25%, для периферийных устройств и оборудования по обработке данных – 20%, для копировальной и множительной техники – 20%, для нематериальных активов – 15%. При расчете следует разделить все необходимое оборудование на группы, и затем рассчитывать размер амортизационных отчислений отдельно по каждой группе.
В данном случае, будем производить расчёты амортизации на программное обеспечение. Поскольку для установки программного обеспечения на ЛВС используется несколько программ. Амортизацию рассчитаем, принимая величину нормы амортизации для программного обеспечения 15%.
Размер годовых амортизационных отчислений рассчитывается по следующей формуле 3.4
; (3.4)
где Амгод – размер амортизационных отчислений по данному виду ПО в год;
Фпер – первоначальная стоимость ПО;
На – годовая норма амортизации.
Ампо = (4375350*15%) /100% = 656302,5 тенге
Так как на установку программного обеспечения затрачивается 1 час, а в соответствии с исходными данными по проекту 20 лицензий, следовательно на установку затратим время – 20 часов.
Ампо За 20ч.= 656302,5*20/1807,2 = 7263,20 тенге
Далее необходимо рассчитать расходы на электроэнергию по следующей формуле:
; (3.5)
где W - мощность единицы оборудования
Ц - цена электроэнергии (принимается равной 3,4 тенге)
Поскольку из используемого оборудования монитор и системный блок потребляют одинаковую мощность то, и значение Зэл, будет равным.
Из формулы получаем:
Системный блок Зэл = 1807,2*0,3*3,40 = 1843,3 тенге
Монитор = 1807,2*0,08*3,40 = 491,6 тенге
Сумма за одну станцию = 2334,9 тенге
Согласно заданию расчёт за электроэнергию производится на 45 станций и сервер, из этого следует:
Необходимо посчитать потребление электроэнергии за 20 часов установки.
Общ.энерг. = 2334,9*45 = 105070,5 тенге в год
Общ.энерг. = 20 * 105070,5 / 1807,2 = 1162,80 тенге
Прочие расходы на содержание и эксплуатацию оборудования включают оплату расходов на ремонт и обслуживание оборудования личного пользования. Принимаются в размере 10% от суммы основной и дополнительной заработной платы (фонда оплаты труда).
- Прочие расходы = (10948 / 100%)*10% = 1094.8 тенге.
Результаты расчетов приведены в таблице 5
Таблица 5 - Расчет эксплуатационных расходов
Наименование | Сумма |
Сумма амортизационных отчислений, тенге | 7263,20 |
Затраты на электроэнергию, тенге | 1162,80 |
Прочие расходы на содержание и эксплуатацию, тенге. | 1094.8 |
Итого: экспл. расходов, тенге | 8426 |
3.1.4 Расчет затрат по статье “Отчисления от заработной платы” (социальный налог)
Размер отчислений определяется в процентах от суммы основной и дополнительной заработной платы специалиста и равен:
- если средняя заработная плата не превышает 15 ГРП (185400 тенге) - 20%
соц. налог = 10948 * 20% / 100% = 2189,6
3.1.5 Расчет затрат по статье “Общие и административные расходы”
Включаются расходы на управление и хозяйственное обслуживание: заработная плата аппарата управления и общехозяйственных служб, затраты на содержание и текущий ремонт зданий, сооружений и инвентаря, за использование средств телефонной и радио связи и другие расходы. Принимаются равными 60% от суммы основной и дополнительной заработной платы.
Общие и административные расходы = 10948* 60% / 100% = 6568,8
Результаты расчетов статей затрат сведены в таблицу 6
Таблица 6 - Смета затрат на разработку ЛВС
Наименование статей | Сумма, тенге |
Материальные затраты: покупные и комплектующие изделия | 760 |
Основная заработная плата | 2080 |
Дополнительная заработная плата | 208 |
Отчисления от заработной платы специалиста | 456 |
Общие и административные расходы | 1368 |
Итого полная себестоимость | 5259,6 |
4 ОХРАНА ТРУДА
Когда речь идёт о правилах безопасного выполнения работ, имеется ввиду комплекс мероприятий, которые позволяют работающему избежать травм, с одной стороны, и не причинить вреда аппаратуре, с другой. Без предварительной подготовки не следует приниматься за столь серьёзное мероприятие, как сборка компьютера. Тщательно продуманная и проведённая подготовка - это залог успешного выполнения предстоящих работ. В ходе подготовки следует создать рабочее место, оснастив его необходимыми инструментами и материалами. Однако прежде чем взяться за дело, следует ознакомиться с несложными правилами безопасного выполнения работ, которые следует не только знать, но и в обязательном порядке выполнять, а также знать требования к помещениям, где будут происходить работы.
4.1 Требования к искусственному и естественному освещению
Для снижения нагрузки на органы зрения пользователя при работе на ПЭВМ необходимо соблюдать следующие условия зрительной работы. При работе на ПЭВМ пользователь выполняет работу высокой точности, при минимальном размере объекта различения 0.3-
Естественное боковое освещение должно составлять 2%, комбинированное искусственное освещение 400 лк при общем освещении 200 лк
4.2 Основные требования к искусственному освещению в производственном помещении
К системам производственного освещения предъявляются следующие основные требования:
- соответствие уровня освещённости рабочих мест характеру выполняемой работы;
- достаточно равномерное распределение яркости на рабочих поверхностях и в окружающем пространстве;
- отсутствие резких теней, прямой и отражённой блёскости (блёскость повышенная яркость светящихся поверхностей, вызывающая ослеплённость);
- оптимальная направленность излучаемого осветительными приборами светового потока.;
- Искусственное освещение в помещении и на рабочем месте создаёт хорошую видимость информации, машинописного и рукописного текста, при этом должна быть исключена отражённая блёскость.
В связи с этим предусматриваются мероприятия по ограничению слепящего воздействия оконных проёмов и прямое попадание солнечных лучей, а так же исключение на рабочих поверхностях ярких и тёмных пятен. Это достигается за счёт соответствующей ориентации оконных проёмов и рационального размещения рабочих мест.
Площадь оконных проёмов должна составлять не менее 25% площади пола. В помещении рекомендуется комбинированная система освещения с использованием люминесцентных ламп. Для проектирования местного освещения рекомендуются люминесцентные лампы, светильники которых установлены на столе или его вертикальной панели.
Светильники местного освещения должны иметь приспособления для ориентации в разных направлениях, устройствах для регулирования яркости и защитные решётки от ослепления и отражённого света.
5 ТЕХНИКА БЕЗОПАСНОСТИ: ТБ при монтировании ЛВС
Прежде чем начать устанавливать локальную вычислительную сеть, любой работник должен ознакомиться с правилами и нормами безопасности при работе с организацией ЛВС
5.1 Техника безопасности при работе с ЭВМ
Основные правила и требования к электробезопасности при работе с компьютером:
- При пользовании средствами вычислительной техники и периферийным оборудованием каждый работник должен внимательно и осторожно обращаться с электропроводкой, приборами и аппаратами и всегда помнить, что пренебрежение правилами безопасности угрожает и здоровью, и жизни человека;
- Необходимо постоянно следить на своем рабочем месте за исправным состоянием электропроводки, выключателей, штепсельных розеток, при помощи которых оборудование включается в сеть, и заземления. При обнаружении неисправности немедленно обесточить электрооборудование, оповестить администрацию. Продолжение работы возможно только после устранения неисправности.
Во избежание коротких замыканий не разрешается:
- вешать что-либо на провода;
- закрашивать и белить шнуры и провода;
- закладывать провода и шнуры за газовые и водопроводные трубы, за батареи отопительной системы;
- выдергивать штепсельную вилку из розетки за шнур, усилие должно быть приложено к корпусу вилки.
Для исключения поражением электрическим током запрещается:
- часто включать и выключать компьютер без необходимости;
- прикасаться к экрану и к тыльной стороне блоков компьютера;
- работать на средствах вычислительной техники и периферийном оборудовании мокрыми руками;
- работать на средствах вычислительной техники и периферийном оборудовании, имеющих нарушения целостности корпуса, нарушения изоляции проводов, неисправную индикацию включения питания, с признаками электрического напряжения на корпусе;
- класть на средства вычислительной техники и периферийное оборудование посторонние предметы;
- Запрещается под напряжением очищать от пыли и загрязнения
электрооборудования;
- Запрещается проверять работоспособность электрооборудования в неприспособленных для эксплуатации помещениях с токопроводящими полами сырых, не позволяющих заземлить доступные металлические части;
- Ремонт электроаппаратуры производится только специалистами-техниками с соблюдением необходимых технических требований;
- Недопустимо под напряжением проводить ремонт средств вычислительной техники и периферийного оборудования;
- Во избежание поражения электрическим током, при пользовании электроприборами нельзя касаться одновременно каких-либо трубопроводов, батарей отопления, металлических конструкций, соединенных с землей;
- При пользовании электроэнергией в сырых помещениях соблюдать особую осторожность;
- При обнаружении оборвавшегося провода необходимо немедленно сообщить об этом администрации, принять меры по исключению контакта с ним людей. Прикосновение к проводу опасно для жизни.
5.2 Электробезопасность на производстве
Требования к помещениям, в которых устанавливаются СВТ:
- В помещениях, предназначенных для размещения персональных компьютеров, на стадии работ по планировке расположения рабочих мест необходимо проводить инструментальный контроль распределения интенсивности электромагнитного поля промышленной частоты (50 ГЦ) для выявления участков помещений, пригодных для размещения рабочих мест. В целях исключения последующего возрастания величины плотности потока магнитной индукции промышленной частоты (50 Гц), инструментальный контроль должен проводиться также после обязательной установки устройств защитного отключения на всех кабелях электропитания, проложенных внутри и вблизи указанных помещений;
- Расположение рабочих мест пользователей персональных компьютеров во всех учебных заведениях и дошкольных учреждениях в цокольных и подвальных помещениях не допускается;
- Расположение рабочих мест пользователей персональных компьютеров в остальных организациях и учреждениях в подвальных помещениях не допускается;
- Во всех учебных и дошкольных учреждениях площадь помещения, приходящаяся на одно рабочее место, оснащенное персональным компьютером, должна составлять не менее 6,0 квадратных метров, а объем не менее
- Помещения должны оборудоваться системами отопления, кондиционирования воздуха или эффективной приточно-вытяжной вентиляцией. Эффективность систем, в том числе эффективность воздухообмена, должна соответствовать теплоизбыткам от машин, людей, солнечной радиации и искусственного освещения для обеспечения соответствия требованиям к параметрам воздушной среды;
- Для внутренней отделки интерьера помещений должны использоваться диффузно-отражающие материалы с коэффициентом отражения для потолка 0,7-0,8; для стен - 0,5-0,6; для пола - 0,3-0,5;
- Звукоизоляция ограждающих конструкций помещений, предназначенных для размещения рабочих мест пользователей персональных компьютеров, должна отвечать гигиеническим требованиям и обеспечивать нормируемые параметры шума;
- В помещениях ежедневно должна проводиться влажная уборка;
- Помещения должны быть оснащены аптечкой первой помощи и углекислотными огнетушителями;
- В производственных помещениях, предназначенных для размещения рабочих мест пользователей копировально-множительной техники или рабочих мест, предусматривающих использование персональных компьютеров в качестве вспомогательного средства, температура, относительная влажность и скорость движения воздуха на рабочих местах должны соответствовать "Гигиеническим требованиям к микроклимату производственных помещений" СанПиН 2.2.4.548-96 в части требований к основному производственному процессу.