Часть1. Теория администрирования сетей TCP/IP

1. Организация сети TCP/IP

Преимущества сетей TCP/IP:

1. 
   Низкий трафик сети, из-за минимизации пересылки дополнительной служебной информации.
   
2. 
   Любое оборудование позволяет фильтровать трафик TCP/IP, что сильно облегчает сегментацию сети и делает ее легко структурируемой.
   
3. 
   Сеть TCP/IP позволяет работать в режиме удаленного терминала и организовывать распределенную файловую систему. Для сети TCP/IP нет разницы между машинами, которые стоят в соседней комнате, или установлены на разных континентах.
   
4. 
   Стек протоколов TCP/IP является стандартом в сети Internet.
   
5. 
   Стек протоколов TCP/IP позволяет организовывать корпоративную сеть по принципу intranet.
   
6. 
   Сеть TCP/IP обеспечивает сетевую печать и т.п.
   

Рассмотрим следующие шаги, которые выполняются при организации сети TCP/IP.
1-й шаг – получение сетки.

При организации сети TCP/IP необходимо определить блок адресов Internet (или IP-адресов) для всех компьютеров, которые будут эксплуатироваться в сети. Данная процедура называется "получение сетки". Блок адресов, обычно, выделяется провайдером, через которого локальная сеть подключается к Internet.

При организации локальной сети, которая не будет подключена к Internet, можно ее номер просто придумать, но если позже возникнет необходимость подключения к Internet, получить IP-адреса все равно придется.

Получение IP-адреса для каждого компьютера может осуществляться:

1. 
   автоматически, каждый раз при включении компьютера и регистрации его в сети,
   
2. 
   вручную, когда данный адрес задается заранее и является постоянным адресом компьютера.
   

Достоинство автоматического назначения IP-адреса – простота настройки сети. Недостаток - затруднен аудит работы каждого компьютера в сети. При автоматическом назначении адресов компьютер может в разное время получать разные адреса, что не позволяет по адресу проидентифицировать машину.

Другой причиной, заставляющей жестко назначать адреса компьютерам сети, является необходимость организации информационных сервисов на серверах сети. TCP/IP не имеет механизма оповещения рабочих мест о месте нахождения сервиса. Каждый сервер знает о наличии того или иного сервиса либо из файла своей настройки (например, указываются шлюз в другие сети или сервер доменных имен), либо из файлов настроек прикладного программного обеспечения. Например, Web-сервер не посылает никакого широковещательного сообщения о том, что он установлен на данном компьютере в данной сети.
2-й шаг – определение шлюза или маршрутизатора.

Подключение локальной сети TCP/IP к Internet осуществляется через провайдера. При этом администратор локальной сети должен определить, какая машина будет выполнять функции шлюза. Однако вместо шлюза может использоваться и маршрутизатор. Маршрутизаторы - это спец. компьютеры, которые распознают массу различных протоколов и способны правильно направлять пакеты информации из одной сети в другую.

Маршрутизатор устанавливается в том случае если подключаемая сеть большая и требуется мощное устройство для обслуживания ее внешнего трафика. Если сеть небольшая, то можно обойтись персональным компьютером, на который следует установить соответствующее программное обеспечение (т.е. организовать шлюз).

Основа маршрутизации - это таблица маршрутов на каждом из компьютеров в сети и правила изменения этой таблицы в случае изменения состояния самой сети.

Маршрутизация - это средство не только прокладки маршрутов, но и средство блокирования маршрутов пересылки пакетов по сети. Если таблицы настроены неправильно, то в лучшем случае пакеты будут доставляться медленно, а в худшем случае они будут доставляться не туда куда следует, что может привести к нарушению безопасности сети передачи данных.

Если администратор хочет, чтобы его система была видна из Internet, т.е. чтобы информационными ресурсами данной сети можно было пользоваться как внутри сети, так и за ее пределами, он должен данную сеть прописать в таблицах маршрутов провайдеров, к которым данная сеть подключена.

3-й шаг – определение доменных имен.

Большинство информационных ресурсов в сети Интернет пользователям известны по их доменным именам. Поэтому в любом адресе центральное место занимает доменное имя компьютера, на котором ресурс расположен.

Если создается небольшая сеть TCP/IP, то служба доменных имен Internet в данном случае не нужна. Можно обойтись простым соответствием между доменным именем и адресом Internet. Однако для организации больших сетей доменные имена становятся необходимыми и проблема управления этими адресами ложится на плечи администратора сети.

Сильное влияние на скорость работы сервиса доменных имен оказывает правильное планирование доменов и разбиение этих доменов на поддомены. Для того чтобы о домене знали в сети Интернет, необходимо домен зарегистрировать. Для этого направляются специальные заявки в организацию, управляющую доменом, в который входит ваш домен.
4-й шаг – организация работа электронной почты

В Internet используется стандарт протокола обмена электронной почтой - SMTP (Simple Mail Transfer Protocol). А в качестве транспорта используются протоколы SLIP (Serial Line Internet Protocol) и PPP (Point-to-Point Protocol). Таким образом, для организации работы электронной почты как внутри сети так и за ее пределами необходимо настроить данные протоколы и соответствующее программное обеспечение.

5-й шаг – организация безопасности сети TCP/IP.

Сети TCP/IP имеют главный недостаток - отсутствие встроенных способов защиты информации от несанкционированного доступа. Поэтому одним из основных принципов администрирования TCP/IP сетей является выработка общей политики безопасности.

Одним из наиболее распространенным средством защиты являются системы FireWall (межсетевые фильтры или, в просторечье, "стены"). Используя эти программы можно определить номер протокола и номер порта, по которым можно принимать пакеты с определенных адресов и отправлять пакеты на также определенные адреса. "Стена" пропускает нужные пакеты, а пакеты злоумышленника отфильтровываются системой.

Другое средство защиты - это шифрация трафика. Для этой цели также используется масса программного обеспечения, разработанного для организации защищенного обмена через общественные сети.
В общем случае настройка сети TCP/IP на рабочей станции заключается в следующем:

1. 
   Определяется тип интерфейса и копируется с дистрибутива драйвер для данного интерфейса.
   
2. 
   Потом для интерфейса определяется семейство протоколов TCP/IP.
   
3. 
   Далее интерфейсу назначается IP-адрес и маска сети.
   
4. 
   Определяется шлюз и сервер доменных имен.
   
5. 
   Настраиваются при необходимости дополнительные параметры.
   

1.1.Межсетевой обмен в сетях TCP/IP

Под термином "TCP/IP" обычно понимают все, что связано с протоколами TCP и IP. Это не только собственно сами проколы с указанными именами, но и протоколы построенные на использовании TCP и IP, и прикладные программы.

Главной задачей стека TCP/IP является объединение в сеть пакетных подсетей через шлюзы. Каждая сеть работает по своим собственным законам, однако предполагается, что шлюз может принять пакет из другой сети и доставить его по указанному адресу. Реально, пакет из одной сети передается в другую подсеть через последовательность шлюзов, которые обеспечивают сквозную маршрутизацию пакетов по всей сети. При этом соединяться могут как локальные сети, так и глобальные сети.

Стек протокола TCP/IP представлен в виде схемы на рисунке.


Рисунок. - Структура стека протоколов TCP/IP
В этой схеме на уровне доступа к сети располагаются все протоколы доступа к физическим устройствам (например, SLIP, PPP). Выше располагаются протоколы межсетевого обмена (IP, ARP, ICMP). Еще выше основные транспортные протоколы (TCP и UDP), которые кроме сбора пакетов в сообщения еще и определяют какому приложению необходимо данные отправить или от какого приложения необходимо данные принять. Над транспортным уровнем располагаются протоколы прикладного уровня, которые используются приложениями для обмена данными (например, FTP).
Определим некоторые термины.

Драйвер - программа, непосредственно взаимодействующая с сетевым адаптером.

Модуль - это программа, взаимодействующая с драйвером, с сетевыми прикладными программами или с другими модулями.

Схема приведена для случая подключения узла сети через локальную сеть Ethernet, поэтому названия блоков данных будут отражать эту специфику.

Сетевой интерфейс - физическое устройство, подключающее компьютер к сети. В нашем случае - карта Ethernet.

Кадр - это блок данных, который принимает/отправляет сетевой интерфейс.

IP-пакет - это блок данных, которым обменивается модуль IP с сетевым интерфейсом.

UDP-датаграмма - блок данных, которым обменивается модуль IP с модулем UDP.

TCP-сегмент - блок данных, которым обменивается модуль IP с модулем TCP.

Прикладное сообщение - блок данных, которым обмениваются программы сетевых приложений с протоколами транспортного уровня.

Инкапсуляция - способ упаковки данных в формате одного протокола в формат другого протокола. Например, упаковка IP-пакета в кадр Ethernet или TCP-сегмента в IP-пакет. Согласно словарю иностранных слов термин "инкапсуляция" означает "образование капсулы вокруг чужих для организма веществ (инородных тел, паразитов и т.д.)". В рамках межсетевого обмена понятие инкапсуляции имеет несколько более расширенный смысл. Если в случае инкапсуляции IP в Ethernet речь идет действительно о помещении пакета IP в качестве данных Ethernet-фрейма, или, в случае инкапсуляции TCP в IP, помещение TCP-сегмента в качестве данных в IP-пакет, то при передаче данных по коммутируемым каналам происходит дальнейшая "нарезка" пакетов теперь уже на пакеты SLIP или фреймы PPP.

Рисунок. - Инкапсуляция протоколов верхнего уровня в протоколы TCP/IP
Вся эта схема называется стеком протоколов TCP/IP или просто стеком TCP/IP. Чтобы не возвращаться к названиям протоколов расшифруем аббревиатуры TCP, UDP, ARP, SLIP, PPP, FTP, TELNET, RPC, TFTP, DNS, RIP, NFS:

TCP - Transmission Control Protocol - базовый транспортный протокол, давший название всему семейству протоколов TCP/IP.

UDP - User Datagram Protocol - второй транспортный протокол семейства TCP/IP. Различия между TCP и UDP будут обсуждены позже.

ARP - Address Resolution Protocol - протокол используется для определения соответствия IP-адресов и Ethernet-адресов.

SLIP - Serial Line Internet Protocol (Протокол передачи данных по телефонным линиям).

PPP - Point to Point Protocol (Протокол обмена данными "точка-точка").

FTP - File Transfer Protocol (Протокол обмена файлами).

TELNET - протокол эмуляции виртуального терминала.

RPC - Remote Process Control (Протокол управления удаленными процессами).

TFTP - Trivial File Transfer Protocol (Тривиальный протокол передачи файлов).

DNS - Domain Name System (Система доменных имен).

RIP - Routing Information Protocol (Протокол маршрутизации).

NFS - Network File System (Распределенная файловая система и система сетевой печати).

При работе с такими программами прикладного уровня, как FTP или telnet, образуется стек протоколов с использованием модуля TCP, представленный на рисунке 2.5.


Рис. 2.5. Стек протоколов при использовании модуля TCP
При работе с прикладными программами, использующими транспортный протокол UDP, например, программные средства Network File System (NFS), используется другой стек, где вместо модуля TCP будет использоваться модуль UDP (рисунок 2.6).

Рис. 2.6. Стек протоколов при работе через транспортный протокол UDP
Получатель UDP-датаграммы или TCP-сообщения определяется на основании значения поля "порт" в заголовке датаграммы или сообщения.

Все указанные выше значения прописываются в заголовке сообщения модулями на отправляющем компьютере. Так как схема протоколов - это дерево, то к его корню ведет только один путь, при прохождении которого каждый модуль добавляет свои данные в заголовок блока. Машина, принявшая пакет, осуществляет демультиплексирование в соответствии с этими отметками.

1.2.Основные протоколы стека TCP/IP

Протокол SLIP (Serial Line Internet Protocol) обеспечивает подключение через последовательный порт персонального компьютера к IP-сети (например, через модем). Обычно, этот протокол применяют как на выделенных, так и на коммутируемых линиях связи.

В отличии от Ethernet, SLIP не "заворачивает" IP-пакет в свою обертку, а "нарезает" его на "кусочки". SLIP не позволяет выполнять какие-либо действия, связанные с адресами, т.к. в структуре пакета не предусмотрено поле адреса и его специальная обработка. Компьютеры, взаимодействующие по SLIP, обязаны знать свои IP-адреса заранее. SLIP не позволяет различать пакеты по типу протокола.

В SLIP нет информации, позволяющей корректировать ошибки линии связи. Коррекция ошибок возлагается на протоколы транспортного уровня - TCP, UDP.
Протокол PPP (Point to Point Protocol) имеет тоже назначение - управление передачей данных по выделенным или коммутируемым линиям связи. Как и в SLIP, данные "нарезаются" на фрагменты, которые называются пакетами. Пакеты передаются от узла к узлу упорядоченно. В отличие от SLIP, PPP позволяет одновременно передавать по линии связи пакеты различных протоколов. Кроме того, PPP предполагает процесс автоконфигурации обоих взаимодействующих сторон.
Протокол ARP.

Протокол ARP (Address Resolution Protocol) используется для определения соответствия IP-адреса адресу Ethernet. Протокол ARP используется только в локальных сетях. Отображение осуществляется только в момент отправления IP-пакетов, так как только в этот момент создаются заголовки IP и Ethernet. Отображение адресов осуществляется путем поиска в ARP-таблице. Упрощенно, ARP-таблица состоит из двух столбцов:

IP-адрес	Ethernet-адрес
223.1.2.1	08:00:39:00:2F:C3
223.1.2.3	08:00:5A:21:A7:22
223.1.2.4	08:00:10:99:AC:54

Таблица соответствия необходима, так как адреса выбираются произвольно и нет какого-либо алгоритма для их вычисления. ARP-таблица заполняется автоматически. Если нужного адреса в таблице нет, то в сеть посылается широковещательный запрос типа "чей это IP-адрес?". Все сетевые интерфейсы получают этот запрос, но отвечает только владелец адреса. Полученный таким образом адрес будет добавлен в ARP-таблицу.

Следует отметить, что если искомого IP-адреса нет в локальной сети и сеть не соединена с другой сетью шлюзом, то разрешить запрос не удается. IP-модуль будет уничтожать такие пакеты, обычно по time-out (превышен лимит времени на разрешение запроса). Модули прикладного уровня, при этом, не могут отличить физического повреждения сети от ошибки адресации.

Если машина соединена с несколькими сетями, т.е. она является шлюзом, то в таблицу ARP вносятся строки, которые описывают как одну, так и другую IP-сети.
Протокол IP.

Протокол IP является самым главным во всей иерархии протоколов семейства TCP/IP. Именно он используется для управления рассылкой TCP/IP пакетов по сети Internet. Среди различных функций, возложенных на IP обычно выделяют следующие:

• 
  определение пакета, который является единицей передачи данных в сети Internet;
  
• 
  определение адресной схемы, которая используется в сети Internet;
  
• 
  передача данных между канальным уровнем (уровнем доступа к сети) и транспортным уровнем;
  
• 
  маршрутизация пакетов по сети, т.е. передача пакетов от одного шлюза к другому;
  
• 
  "нарезка" и сборка из фрагментов пакетов транспортного уровня.
  

Главными особенностями протокола IP является отсутствие ориентации на физическое или виртуальное соединение. Это значит, что прежде чем послать пакет в сеть, модуль операционной системы, реализующий IP, не проверяет возможность установки соединения, т.е. никакой управляющей информации кроме той, что содержится в самом IP-пакете, по сети не передается. Кроме этого, IP не заботится о проверке целостности информации в поле данных пакета, что заставляет отнести его к протоколам ненадежной доставки. Целостность данных проверяется протоколами транспортного уровня (TCP) или протоколами приложений.

Таким образом, вся информация о пути, по которому должен пройти пакет берется из самой сети в момент прохождения пакета. Именно эта процедура и называется маршрутизацией в отличие от коммутации.

Надо отметить, что маршрутизация является ресурсоемкой процедурой, так как требует анализа каждого пакета, который проходит через шлюз или маршрутизатор, в то время как при коммутации анализируется только управляющая информация, устанавливается канал, физический или виртуальный, и все пакеты пересылаются по этому каналу без анализа маршрутной информации. Однако эта слабость IP одновременно является и его силой. При неустойчивой работе сети пакеты могут пересылаться по различным маршрутам и затем собираться в единое сообщение.

Если пакет слишком долго "бродит" по сети, то очередной шлюз может послать ICMP-пакет отправителю сообщения для того, чтобы уведомить о том, что надо сменить шлюз. При этом сам IP-пакет будет уничтожен. На этом принципе работает программа ping, которая используется для деления маршрутов прохождения пакетов по сети.

Обсуждая протокол IP нельзя не упомянуть, что в настоящее время перед Internet возникло множество сложных проблем, которые требуют изменения базового протокола сети.
IPing - новое поколение протоколов IP

Перед системой Интернет стоит серьезная проблема – быстрый рост числа пользователей Сети. Эта проблема заключается в том, что Internet стал слишком большой, он перерос заложенные в него возможности. В настоящее время номера сетей класса B практически все уже выбраны, а остались только сети класса A и класса C. Класс A - это слишком большие сети, класс С походит только для небольших организаций. А большинство сетей, подключае6мых к Интернет представляют собой средние по масштабам системы.

В начале 1995 года IETF, выпустило предложения по новому стандарту протокола IP - IPv6, который еще называют IPing. Сейчас Internet-сообщество живет по стандарту IPv4. IPv6 призван не только решить адресную проблему, но и попутно помочь решению других задач, стоящих в настоящее время перед Internet.

В новом протоколе введена масштабируемая адресация IP-пакетов, добавлены новые типы адресов, идентификация типа информационных потоков для увеличения эффективности обмена данными, введены поля идентификации и конфиденциальности информации, упрощен заголовок пакета.

Кроме перечисленных возможностей, новый протокол позволяет улучшить защиту трафика сети. Для этой цели в протоколе предусмотрены специальные опции. Первая опция предназначена для защиты от подмены IP-адресов машин. При ее использовании нужно кроме адреса подменять и содержимое поля идентификации, что усложняет задачу злоумышленника. Вторая опция связана с шифрованием трафика.
Протокол ICMP

ICMP (Internet Control Message Protocol) на ряду с IP и ARP относиться к межсетевому уровню. Протокол используется для рассылки информационных и управляющих сообщений. При этом используются следующие виды сообщений:

Flow control - если принимающая машина (шлюз или реальный получатель информации) не успевает перерабатывать информацию, то данное сообщение приостанавливает отправку пакетов по сети.

Detecting unreachаble destination - если пакет не может достичь места назначения, то шлюз, который не может доставить пакет, сообщает об этом отправителю пакета.

Redirect routing - это сообщение посылается в том случае, если шлюз не может доставить пакет, но он считает, что надо переслать пакет на другой шлюз.

Checking remote host - в этом случае используется так называемое ICMP Echo Message. Если необходимо проверить наличие стека TCP/IP на удаленной машине, то на нее посылается сообщение этого типа. Как только система получит это сообщение, она немедленно подтвердит его получение.

Другое использование ICMP - это получение сообщения о "смерти" пакета на шлюзе. При этом используется время жизни пакета, которое определяет число шлюзов, через которые пакет может пройти.

При посылке пакета через Internet специальная программа traceroute устанавливает значение TTL (Time To Live) последовательно от 1 до 30 (значение по умолчанию). TTL определяет число шлюзов, через которые может пройти IP-пакет. Если это число превышено, то шлюз, на котором происходит обнуление TTL, высылает ICMP-пакет. Traceroute сначала устанавливает значение TTL равное единице - отвечает ближайший шлюз, затем значение TTL равно 2 - отвечает следующий шлюз и т. д. Если пакет достиг получателя, то в этом случае возвращается сообщение другого типа - Detecting unreachаble destination.
Протокол UDP

Протокол UDP (User Datagram Protocol) - это один из двух протоколов транспортного уровня. UDP позволяет прикладной программе передавать свои сообщения по сети с минимальными издержками, связанными с преобразованием протоколов уровня приложения в протокол IP. Однако при этом, прикладная программа сама должна заботиться о подтверждении того, что сообщение доставлено по месту назначения.

Наиболее известными сервисами, основанными на UDP, является служба доменных имен BIND и распределенная файловая система NFS. Если возвратиться к примеру traceroute, то в этой программе также используется транспорт UDP. Собственно, именно сообщение UDP и засылается в сеть, но при этом используется такой порт, который не имеет обслуживания, поэтому и порождается ICMP-пакет, который и детектирует отсутствие сервиса на принимающей машине, когда пакет наконец достигает машину-адресата.
Протокол TCP

TCP (Transfer Control Protocol) если для приложения контроль качества передачи данных по сети имеет значение, то в этом случае используется протокол TCP. Этот протокол еще называют надежным, ориентированным на соединение и потокоориентированным протоколом.

Надежность TCP заключается в том, что источник данных повторяет их посылку, если только не получит в определенный промежуток времени от адресата подтверждение об их успешном получении. Этот механизм называется Positive Asknowledgement with Retransmission (PAR). В заголовке TCP существует поле контрольной суммы. Если при пересылке данные повреждены, то по контрольной сумме можно определить это. Поврежденный пакет уничтожается, а источнику ничего не посылается. Если данные не были повреждены, то они пропускаются на сборку сообщения, а источнику отправляется подтверждение.

Помимо этого, прежде чем отправить сегмент с данными, модули TCP источника и получателя обмениваются управляющей информацией. Такой обмен называется handshake (буквально "рукопожатие"). В TCP используется трехфазный hand-shake:

1. 
   Источник устанавливает соединение с получателем, посылая ему пакет с флагом "синхронизации последовательности номеров" (Synchronize Sequence Numbers - SYN). Номер в последовательности определяет номер пакета в сообщении приложения. Все остальные номера будут использовать его в качестве базы, что позволит собрать пакеты в правильном порядке.
   
2. 
   Получатель отвечает номером в поле подтверждения получения SYN, который соответствует установленному источником номеру. Кроме этого, в поле "номер в последовательности" может также сообщаться номер, который запрашивался источником.
   
3. 
   Источник подтверждает, что принял сегмент получателя и отправляет первую порцию данных.
   

Графически этот процесс представлен на рисунке:

Рисунок - Установка соединения TCP

После установки соединения источник посылает данные получателю и ждет от него подтверждений их получения, затем снова посылает данные и т.д., пока сообщение не закончится. Заканчивается сообщение, когда в поле флагов выставляется бит FIN, что означает "нет больше данных".

Понятно, что потоковый характер протокола и требование подтверждения получения данных порождают проблему скорости передачи данных. Для ее решения используется "окно" - поле. Идея применения окна достаточно проста: передавать данные не дожидаясь подтверждения об их получения. Это значит, что источник предает некоторое количество данных без ожидания подтверждения об их приеме, и после этого останавливает передачу и ждет подтверждения.

2.Принципы построения IP-адресов

Известно, что доставка пакетов в сетях осуществляется по адресам получателей. Все получатели в сети имеют МАС-адрес, т.е. адрес сетевого адаптера или порта маршрутизатора, например, 11-А0-17-3D-BC-01. Эти адреса назначаются производителями оборудования и являются уникальными адресами, так как управляются централизовано. Для всех существующих технологий локальных сетей МАС-адрес имеет формат 6 байтов: старшие 3 байта - идентификатор фирмы производителя, а младшие 3 байта назначаются уникальным образом самим производителем.

С другой стороны в IP-сетях доставка сообщений осуществляется по IP-адресу компьютера.

IP-адрес - это 4-байтовая последовательность. Принято каждый байт этой последовательности записывать в виде десятичного числа. Например: 144.206.160.32.

IP-адрес состоит из двух частей: адреса сети и номера хоста. Вообще говоря, под хостом понимают один компьютер, подключенный к Сети. В последнее время, понятие "хост" можно толковать более расширено. Это может быть и принтер с сетевой картой, и Х-терминал, и вообще любое устройство, которое имеет свой сетевой интерфейс.

Существует 5 классов IP-адресов. Эти классы отличаются друг от друга количеством битов, отведенных на адрес сети и адрес хоста в сети. На рисунке показаны эти пять классов.

Рисунок – Классы IP-адресов

Опираясь на эту структуру, можно подсчитать характеристики каждого класса в терминах числа сетей и числа машин в каждой сети:

Класс	Диапазон значений первого октета	Возможное количество сетей	Возможное количество узлов
А	1 – 126	126	16777214
B	128 – 191	16382	65534
C	192 – 223	2097150	254
D	224 – 239	-	228
E	240 – 247	-	227

В таблице приведены диапазоны номеров сетей, соответствующих каждому классу сетей.

Класс	Наименьший адрес	Наибольший адрес
A	01.0.0	126.0.0.0
B	128.0.0.0	191.255.0.0
C	192.0.1.0.	223.255.255.0
D	224.0.0.0	239.255.255.255
E	240.0.0.0	247.255.255.255

При разработке структуры IP-адресов предполагалось, что они будут использоваться по разному назначению.

Адреса класса A предназначены для использования в больших сетях общего пользования. Адреса класса B предназначены для использования в сетях среднего размера (сети больших компаний, научно-исследовательских институтов, университетов). Адреса класса C предназначены для использования в сетях с небольшим числом компьютеров (сети небольших компаний и фирм). Адреса класса D используют для обращения к группам компьютеров, а адреса класса E - зарезервированы.

Среди всех IP-адресов имеется несколько зарезервированных под специальные нужды. Ниже приведена таблица зарезервированных адресов:

IP-адрес	Значение
все нули	данный узел сети
номер сети | все нули (144.0.0.0)	данная IP-сеть
все нули | номер узла (0.0.0.32)	узел в данной (локальной) сети
все единицы (1.1.1.1)	все узлы в данной локальной IP-сети
номер сети | все единицы (144.1.1.1)	все узлы указанной IP-сети
127.0.0.1	"петля"

Адрес 127.0.0.1 предназначен для тестирования программ и взаимодействия процессов в рамках одного компьютера. В большинстве случаев в файлах настройки этот адрес обязательно должен быть указан, иначе система при запуске может зависнуть. Наличие "петли" чрезвычайно удобно с точки зрения использования сетевых приложений в локальном режиме для их тестирования и при разработке интегрированных систем.

Вообще, зарезервирована вся сеть 127.0.0.0. Эта сеть класса A реально не описывает ни одной настоящей сети.

В общем случае номер сети организации может быть выбран администратором произвольно. Но если внутренняя сеть будет функционировать как составная часть Internet, то номер сети обязательно необходимо получить в специальном центре Internet (Network Information Center, NIC).

3.Подсети

Важным элементом разбиения адресного пространства Internet являются подсети. Подсеть - это подмножество сети, не пересекающееся с другими подсетями. Это означает, что сеть организации (скажем, сеть класса С) может быть разбита на фрагменты, каждый из которых будет составлять подсеть. Реально, каждая подсеть соответствует физической локальной сети (например, сегменту Ethernet). Вообще говоря, подсети придуманы для того, чтобы обойти ограничения физических сетей на число узлов в них и максимальную длину кабеля в сегменте сети.

На рисунке изображен фрагмент сети класса B - 144.206.0.0, состоящий из двух подсетей - 144.206.130.0 и 144.206.160.0. В центре схемы изображена машина шлюз, которая связывает подсети. Эта машина имеет два сетевых адаптера и, соответственно, два IP-адреса.

Рисунок. Схема разбиения адресного пространства сети на подсети

Разбиение сети на подсети использует ту часть IP-адреса, которая закреплена за номерами хостов. Администратор сети может замаскировать часть IP-адреса и использовать ее для назначения номеров подсетей. Фактически, способ разбиения адреса на две части, теперь будет применятся к адресу хоста из IP-адреса сети, в которой организуется разбиение на подсети.

Маска подсети - это четыре байта, которые накладываются на IP-адрес для получения номера подсети. Например, маска 255.255.255.0 позволяет разбить сеть класса В на 254 подсети по 254 узла в каждой.

На рисунке приведено маскирование подсети 144.206.160.0. На приведенной схеме сеть класса B (номер начинается с 10) разбивается на подсети маской 255.255.224.0. При этом первые два байта задают адрес сети и не участвуют в разбиении на подсети. Номер подсети задается тремя старшими битами третьего байта маски. Такая маска позволяет получить 6 подсетей. Для нумерации подсети нельзя использовать номер 000 и номер 111. Номер 160 задает 5-ю подсеть в сети 144.206.0.0. Для нумерования машин в подсети можно использовать оставшиеся после маскирования 13 битов, что позволяет создать подсеть из 8190 узлов.

Рисунок. Схема маскирования и вычисления номера подсети

К сожалению, подсети не только решают, но также и создают ряд проблем. Например, происходит потеря адресов, но уже не по причине физических ограничений, а по причине принципа построения адресов подсети. Как было видно из примера, выделение трех битов на адрес подсети не приводит к образованию 8-ми подсетей. Подсетей образуется только 6, так как номера сетей 0 и 7 использовать в силу специального значения IP-адресов, состоящих из 0 и единиц, нельзя. Таким образом, все комбинации адресов хоста внутри подсети, которые можно было бы связать с этими номерами, придется забыть. Чем шире маска подсети (чем больше места отводится на адрес хоста), тем больше потерь.
В принципе маска - это число, двоичная запись которого содержит единицы в тех разрядах, которые должны интерпретироваться как номер сети. Например, для стандартных классов сетей маски имеют следующие значения:

255.0.0.0 - маска для сети класса А,

255.255.0.0 - маска для сети класса В,

255.255.255.0 - маска для сети класса С.

В масках, которые использует администратор для увеличения числа сетей, количество единиц в последовательности, определяющей границу номера сети, не обязательно должно быть кратным 8, чтобы повторять деление адреса на байты.

Пусть, например, маска имеет значение 255.255.192.0 (11111111 11111111 11000000 00000000). И пусть сеть имеет номер 129.44.0.0 (10000001 00101100 00000000 00000000), из которого видно, что она относится к классу В. После наложения маски на этот адрес число разрядов, интерпретируемых как номер сети, увеличилось с 16 до 18, то есть администратор получил возможность использовать вместо одного, централизованно заданного ему номера сети, четыре:

129.44.0.0 (10000001 00101100 00000000 00000000)

129.44.64.0 (10000001 00101100 01000000 00000000)

129.44.128.0 (10000001 00101100 10000000 00000000)

129.44.192.0 (10000001 00101100 11000000 00000000)

Например, IP-адрес 129.44.141.15 (10000001 00101100 10001101 00001111), который по стандартам IP задает номер сети 129.44.0.0 и номер узла 0.0.141.15, теперь, при использовании маски, будет интерпретироваться как пара:

129.44.128.0 - номер сети, 0.0. 13.15 - номер узла.

Таким образом, установив новое значение маски, можно заставить маршрутизатор по-другому интерпретировать IP-адрес. При этом два дополнительных последних бита номера сети часто интерпретируются как номера подсетей.

Еще один пример. Пусть некоторая сеть относится к классу В и имеет адрес 128.10.0.0 (рисунок 4.4). Этот адрес используется маршрутизатором, соединяющим сеть с остальной частью интерсети. И пусть среди всех станций сети есть станции, слабо взаимодействующие между собой. Их желательно было бы изолировать в разных сетях. Для этого сеть можно разделить на две сети, подключив их к соответствующим портам маршрутизатора, и задать для этих портов в качестве маски, например, число 255.255.255.0, то есть организовать внутри исходной сети с централизовано заданным номером две подсети класса C (можно было бы выбрать и другой размер для поля адреса подсети). Извне сеть по-прежнему будет выглядеть, как единая сеть класса В, а на местном уровне это будут две отдельные сети класса С. Приходящий общий трафик будет разделяться местным маршрутизатором между подсетями.


Рисунок - Пример использования масок для структурирования сети
Необходимо заметить, что, если принимается решение об использовании механизма масок, то соответствующим образом должны быть сконфигурированы и маршрутизаторы, и компьютеры сети.

4.Порты и сокеты

Рассмотрим назначение портов, которые применяются в сетях TCP/IP. В заголовках протоколов нет наименований протоколов, а есть только их номера. Кроме того, данные каждому приложению также доставляются с использованием номеров, которые называются портам, и лежат в диапазоне от 1 до 65535. Пара - протокол и порт - позволяет стеку протоколов TCP/IP доставить данные нуждающемуся в них приложению. Номера портов закреплены за информационными сервисами Internet.

Информационный сервис - это прикладная программа, которая осуществляет обслуживание на определенном порте TCP или UDP. К сервисам относятся: доступ в режиме удаленного терминала, доступ к файловым архивам FTP, доступ к серверам World Wide Web и т.д. Например, Web-сервера могут использовать следующие номера портов – 80 (традиционно), 8080, 8081, 8181, 8282 и 8383.

При работе через стек протоколов TCP/IP сообщения, которыми обмениваются приложения, сначала инкапсулируются в сегменты TCP или дейтаграммы UDP, при этом указывается соответствующий порт транспортного протокола. Потом транспортные протоколы мультиплексируются в IP, который запоминает номер протокола. Все IP-пакеты передаются по сети получателю, где происходит обратная операция изъятия информации из оболочки TCP/IP. Сначала по номеру протокола в модуле IP выделенные данные пересылаются соответствующему протоколу транспортного уровня. На транспортном уровне по номеру порта получателя определяется, какому сервису данные посланы.

Однако, этим механизм взаимодействия приложений в рамках TCP/IP не исчерпывается. Дело в том, что кроме статически назначенных существуют еще динамически назначаемые сервисы.

Динамически назначаемые номера портов TCP и UDP используются для того, чтобы можно было организовать обслуживание множества запросов по сети к одному сервису. Следовательно, должен быть механизм, который бы позволил распараллелить их обслуживание. Таким механизмом служит динамическое назначение портов. Происходит это назначение в момент установки соединения. Клиент, запрашивая обслуживание, обращается к сервису по номеру порта, но при этом сообщает, что принимать ответы он будет по номеру порта, отличному от сервиса. Таким образом, сервер может обслуживать запросы к одному и тому же порту, используя разные порты при ответе. Образующаяся при этом пара (IP-адрес, номер порта) называется сокетом (буквально "розетка"). Таким образом, можно сказать, что http-сервер для обслуживания использует сокет, например, 144.206.130.137;80, а клиент, который к нему обращается, сокет 144.206.130.138;8080.

5.Основные принципы IP-маршрутизации

Как уже было сказано, протокол IP не является протоколом, ориентированным на соединение. Следовательно, решение о направлении IP-пакета на тот или иной сетевой интерфейс принимается шлюзом в момент прохождения через него пакета. Данное решение принимается на основании таблицы маршрутов, которая имеется на каждом компьютере в сети.

Введем пример сети, на которой будем рассматривать маршрутизацию пакетов (рисунок).


Рисунок - Пример фрагмента локальной сети
На рисунке 2.21 изображены два фрагмента подсетей (144.206.160.0 и 144.206.128.0) сети класса B (144.206.0.0). Машина с интерфейсами, которые имеют адреса 144.206.160.32 и 144.206.130.137 – это шлюз между двумя подсетями, а машина с адресом сетевого интерфейса 144.206.130.3 - это шлюз сети с другой сетью, которая подключена к Internet.

Рассмотрим сначала путь пакета от машины с адресом 144.206.160.40 к машине с адресом 144.206.160.33. Прежде чем отправить пакет, модуль ARP проверит, существует ли соответствие между IP-адресом получателя и физическим адресом какого-либо интерфейса включенного в локальную сеть. В нашем случае такого соответствия еще нет, поэтому в сеть будет отправлен широковещательный запрос на получение физического адреса по заданному IP-адресу. В ответ машина 144.206.160.33 сообщит свой адрес, после чего пакет будет отправлен в сеть.

Теперь отправим пакет машине 144.206.130.138, которая находится в другой подсети. В этом случае, на широковещательный запрос мы ответа не получим. Поэтому в описании маршрутов пакетов всегда есть IP-адрес, на который следует отправлять пакеты по умолчанию, если нет другого способа их рассылки. Естественно, что это адрес шлюза, т.е. 144.206.160.32. Физический адрес этого интерфейса получают точно также, как описано выше.

Шлюз, получив пакет, определяет, что это не его адрес указан в IP-пакете. После этого IP-модуль шлюза принимает решение о дальнейшей отправке пакета. Происходит поиск нужного интерфейса и через него снова рассылается широковещательный запрос ARP. В нашем случае такой запрос вернет для IP-адреса 144.206.130.138 физический адрес машины и пакет будет отправлен по этому адресу.

Если пакет отправляется в Internet, то шлюз не найдет физического адреса машины, и будет вынужден воспользоваться адресом рассылки по умолчанию. Таким образом, пакет попадет на шлюз с адресом 144.206.130.3, и затем будет отправлен далее.
Система маршрутизации основывается на таблице маршрутов, которая определяет куда следует направлять пакет с данным IP-адресом.

Маршрутизация бывает статической и динамической. При статической маршрутизации таблица маршрутов не изменяется. При данной маршрутизации администратору нужно только указать IP-адреса на каждом из сетевых интерфейсов, указать адрес шлюза по умолчанию и включить опцию пересылки пакетов с одного интерфейса на другой.

Если локальная сеть подключается к провайдеру, то дополнительно необходимо получить IP-адрес от провайдера для внешнего интерфейса, т.е. интерфейса, который будет связывать сеть организации с адресом шлюза провайдера.

При динамической маршрутизации таблица маршрутов автоматически изменяется на основе информации, получаемой из сети. Для организации динамической маршрутизации существуют протоколы двух типов внешних и внутренних.

Внешние протоколы служат для обмена информацией о маршрутах между автономными системами (сетями). К внутренним протоколам относятся следующие протоколы: Routing Information Protocol (RIP), Shortest Path First (SPF) Open Shortest Path First (OSPF) и т.д.

Протокол RIP (Routing Information Protocol) предназначен для автоматического обновления таблицы маршрутов. При этом используется информация о состоянии сети, которая рассылается маршрутизаторами (routers). В соответствии с протоколом RIP любая машина может быть маршрутизатором. При этом все маршрутизаторы делятся на активные и пассивные. Активные маршрутизаторы сообщают о маршрутах, которые они поддерживают в сети. Пассивные маршрутизаторы читают эти широковещательные сообщения и исправляют свои таблицы маршрутов, но сами при этом информации в сеть не предоставляют. Обычно в качестве активных маршрутизаторов выступают шлюзы, а в качестве пассивных - обычные машины (hosts).

В основу алгоритма маршрутизации по протоколу RIP положена простая идея: чем больше шлюзов надо пройти пакету, тем больше времени требуется для прохождения маршрута. При обмене сообщениями маршрутизаторы сообщают в сеть IP-номер сети и число "прыжков" (hops), которое надо совершить, пользуясь данным маршрутом.

Другой подход - это учет времени отклика. На этом принципе построен, например, протокол OSPF. Кроме этого OSPF реализует еще и идею лавинной маршрутизации. В RIP каждый маршрутизатор обменивается информацией только с соседями. В результате, информации о потере маршрута в сети, отстоящей на несколько hop'ов от локальной сети, будет получена с опозданием. Лавинная маршрутизация позволяет решить эту проблему за счет оповещения всех известных шлюзов об изменениях локального участка сети.

Внутренние протоколы служат для обмена информацией о маршрутах внутри автономной системы. К внешним протоколам относятся следующие:

EGP (Exterior Gateway Protocol) предназначен для анонсирования сетей, которые доступны для автономных систем за пределами данной автономной системы. По данному протоколу шлюз одной системы передает шлюзу другой системы информацию о сетях, из которых она состоит. EGP не используется для оптимизации маршрутов. Считается, что этим должны заниматься протоколы внутренней маршрутизации.

BGP (Protocol Gateway) - это протокол внешней маршрутизации, который появился позже EGP. В своих сообщениях он уже позволяет указать различные веса для маршрутов, и, таким образом, способствовать выбору наилучшего маршрута. Эти предпочтения устанавливаются администратором и потому иногда такую маршрутизацию называют политической маршрутизацией. Протокол BGP используют практически все российские крупные IP-провайдеры.

6. Информационные сервисы Internet

6.1.Система Доменных Имен

Числовая адресация удобна для машинной обработки таблиц маршрутов, но не приемлема для использования ее человеком. Для облегчения взаимодействия в Интернет сначала стали использовать таблицы соответствия числовых адресов именам машин. Эти таблицы хранятся в специальных файлах hosts.

В локальных сетях файлы hosts используются достаточно успешно до сих пор. Практически все операционные системы от различных клонов Unix до Windows поддерживают эту систему соответствия IP-адресов доменным именам.

Однако по мере роста сети стало затруднительным держать большие списки имен на каждом компьютере. Для того, что бы решить эту проблему, была придумана DNS (Domain Name System).

Система доменных адресов строится по иерархическому принципу. Корень в модели DNS называется "ROOT". Однако единого администрирования этого корня нет. Администрирование начинается с доменов верхнего, или первого, уровня. В 80-е годы были определены домены первого уровня: gov, mil, edu, com, net. Позднее, когда сеть перешагнула национальные границы США появились национальные домены типа: uk, jp, au, ch,

Вслед за доменами верхнего уровня следуют домены, определяющие либо регионы, либо организации. В настоящее время практически любая организация может получить свой собственный домен второго уровня. Для этого только надо направить заявку провайдеру и получить уведомление о регистрации. Далее идут следующие уровни иерархии, которые могут быть закреплены либо за небольшими организациями, либо за подразделениями больших организаций.
Механизм поиска IP-адреса, с использованием сервера доменных имен, выглядеть следующим образом:

1. 
   Прикладная программа обращается к местному серверу доменных имен за IP-адресом, сообщая ему доменное имя.
   
2. 
   Сервер определяет, что адрес не входит в данный домен и обращается за адресом сервера запрашиваемого домена к корневому серверу доменных имен.
   
3. 
   Корневой сервер доменных имен сообщает местному серверу доменных имен адрес сервера доменных имен требуемого домена.
   
4. 
   Местный сервер доменных имен запрашивает удаленный сервер на предмет разрешения запроса своего клиента (прикладной программы).
   
5. 
   Удаленный сервер сообщает IP-адрес местному серверу.
   
6. 
   Местный сервер сообщает IP-адрес прикладной программе.
   

Для того чтобы получить зону надо отправить заявку в РосНИИРОС ([email protected]), который отвечает за делегирование поддоменов в пределах домена ru. В заявке указывается адрес компьютера-сервера доменных имен, почтовый адрес администратора сервера, адрес организации и ряд другой информации.

Если у администратора домена ru нет причин для отказа в регистрации, то он разрешает запуск сервера для тестирования. Если ваш сервер уже запущен, то это сообщение вы просто примете к сведению, если нет, то нужно срочно, обычно в течении 2-х часов настроить и запустить сервер (вообще-то, запускать надо сразу как только решили отправлять заявку).

Для организации домена необходимо иметь primary server и, как минимум, один secondary server. Primary server создается на компьютере, который входит в описываемый домен и управляется администратором домена.

Secondary server - это дублирующий сервер зоны. Он также способен отвечать на запросы прикладных программ и других серверов, как и primary server. Главное отличие от primary server заключается в том, что secondary server не имеет своей базы данных зоны (поддомена), а копирует ее с primary server в момент своего запуска и затем заботится о поддержке соответствия между скопированной базой данных и базой данных primary server в соответствии с настройками последнего. С точки зрения надежности secondary server лучше всего размещать у провайдера.

7.Электронная почта в Internet

Электронная почта - один из важнейших информационных ресурсов Internet. Для работы электронной почты в Internet разработан специальный протокол SMTP (Simple Mail Transfer Protocol), который является протоколом прикладного уровня и использует транспортный протокол TCP. Однако совместно с этим протоколом используется и UUCP (Unix-Unix-CoPy), который хорошо подходит для использования телефонных линий связи.

Разница между SMTP и UUCP заключается в том, что при использовании первого протокола почтовая программа пытается найти машину-получателя почты и установить с ней взаимодействие в режиме on-line для того, чтобы передать почту в ее почтовый ящик. В случае использования SMTP почта достигает почтового ящика получателя за считанные минуты. При использовании UUCP почта передается по принципу "stop-go", т.е. почтовое сообщение передается по цепочке почтовых серверов от одной машины к другой пока не достигнет машины-получателя или не будет отвергнуто по причине отсутствия абонента-получателя. С одной стороны, UUCP позволяет доставлять почту по плохим телефонным каналам, т.к. не требуется поддерживать линию в течении времени доставки от отправителя к получателю.

В целом же общие рекомендации таковы: если имеется возможность надежно работать в режиме on-line и это является нормой, то следует настраивать почту для работы по протоколу SMTP, если линии связи плохие или on-line используется чрезвычайно редко, то лучше использовать UUCP.
Почтовый адрес.

Основой любой почтовой службы является система адресов. В Internet принята система почтовых адресов, которая базируется на доменном адресе машины, подключенной к сети. Например, для пользователя paul машины с адресом polyn.net.kiae.su почтовый адрес будет выглядеть как:

[email protected]

Таким образом, адрес состоит из двух частей: идентификатора пользователя, который записывается перед знаком "коммерческого @", и доменного адреса машины, который записывается после знака "@". Адрес UUCP был бы записан как строка вида:

net.kiae.su!polyn!paul

Многие программа рассылки почты сами преобразует адреса формата Internet в адреса формата UUCP, если доставка сообщения осуществляется по этому протоколу.
Формат почтового сообщения

Формат почтового сообщения состоит из трех частей:

• 
  конверта,
  
• 
  заголовка и
  
• 
  тела сообщения.
  

Пользователь видит только заголовок и тело сообщения. Конверт используется только программами доставки. Заголовок всегда находится перед телом сообщения и отделен от него пустой строкой.

Заголовок состоит из полей. Поля состоят из имени поля и содержания поля. Имя поля отделено от содержания символом ":", например:

Date: 26 Aug 76 1429 EDT

From: [email protected]

To: [email protected]

Поле Date определяет дату отправки сообщения, поле From - отправителя, а поле To - получателя(ей). Чаще заголовок содержит дополнительные поля:

Date: 26 Aug 76 1429 EDT

From: George Jones

Sender: Secy@SHOST

Subject: Re: The Syntax in the RFC

To: [email protected]

Message-ID: <[email protected]>

В данном случае поле Sender указывает, что George Jones не является автором сообщения. Он только переслал сообщение, которое получил из Secy@SHOST. Поле Subject определяет тему сообщения. Поле Message-ID содержит уникальный идентификатор сообщения и используется программами доставки почты. Следует сказать, что формат сообщения постоянно дополняется и совершенствуется.
Тело почтового сообщения в соответствие со стандартом MIME может различные типы данных: текст, байтовую информацию, графическую информацию и т.д.

Стандарт MIME разработан как расширяемая спецификация, в которой подразумевается, что число типов данных будет расти по мере развития форм представления данных.
Протокол SMTP (Simple Mail Transfer Protocol) был разработан для обмена почтовыми сообщениями в сети Internet. SMTP не зависит от транспортной среды и может использоваться для доставки почты в сетях с протоколами, отличными от TCP/IP.

Модель протокола. Взаимодействие в рамках SMTP строится по принципу двусторонней связи, которая устанавливается между отправителем и получателем почтового сообщения. При этом отправитель инициирует соединение и посылает запросы на обслуживание, а получатель - отвечает на эти запросы. Фактически, отправитель выступает в роли клиента, а получатель - сервера.


Рисунок - Схема взаимодействия по протоколу SMTP
Канал связи устанавливается непосредственно между отправителем и получателем сообщения.

8.Взаимодействие отдельных ЭВМ друг с другом

Прямое взаимодействие отдельных ЭВМ друг с другом в сети TCP/IP, определяется протоколом Telnet. Протокол Telnet может быть использован и для организации взаимодействий "терминал-терминал" (связь) и "процесс-процесс" (распределенные вычисления).

Telnet строится как протокол приложения над транспортным протоколом TCP. В основу telnet положены три фундаментальные идеи:

• 
  концепция сетевого виртуального терминала (Network Virtual Terminal) или NVT;
  
• 
  принцип договорных опций (согласование параметров взаимодействия);
  
• 
  симметрия связи "терминал-процесс".
  

При установке telnet-соединения программа, работающая с реальным терминальным устройством, и процесс обслуживания этой программы используют для обмена информацией спецификацию представления правил функционирования терминального устройства или Сетевой Виртуальный Терминал (Network Virtual Terminal). Для краткости будем обозначать эту спецификацию NVT.

NVT позволяет описать и преобразовать в стандартную форму способы отображения и ввода информации. Терминальная программа ("user") и процесс ("server"), работающий с ней, преобразовывают характеристики физических устройств в спецификацию NVT, что позволяет, с одной стороны, унифицировать характеристики физических устройств, а с другой обеспечить принцип совместимости устройств с разными возможностями.

Принцип договорных опций или команд позволяет согласовать возможности представления информации на терминальных устройствах. Например, NVT является терминалом, который не может использовать функции управления курсором, а реальный терминал, с которого осуществляется работа, умеет это делать. Используя команды договора, терминальная программа предлагает обслуживающему процессу использовать Esc-последовательности для управления выводом информации. Получив такую команду, процесс начинает вставлять управляющие последовательности в данные, предназначенные для отображения.

Симметрия взаимодействия по протоколу telnet позволяет в течении одной сессии программе-"user" и программе-"server" меняться местами. Это принципиально отличает взаимодействие в рамках telnet от традиционной схемы "клиент-сервер". Симметрия взаимодействия тесно связана с процессом согласования формы обмена данными между участниками telnet-соединения. Когда речь идет о работе на удаленной машине в режиме терминала, то возможности ввода и отображения информации определяются только конкретным физическим терминалом и договорной процесс сводится к заказу терминальной программой характеристик этого терминала.

Концепция сетевого виртуального терминала позволяет обеспечить доступ к ресурсам удаленной машины с любого терминального устройства. Под терминальным устройством понимают любую комбинацию физических устройств, позволяющих вводить и отображать информацию.
Интерфейс пользователя (telnet) и демон (telnetd)

Для того, чтобы протокол стал реально шествующим стандартом, нужна программа, его реализующая, такими программами являются telnet и telnetd в Unix-системах.

Telnetd - это сервер, который обслуживает протокол telnet. Обычно telnetd запускается через сервис Internet (inetd), в некоторых системах может быть запущен и вручную. Telnetd обслуживает TCP-порт 23, но может быть запущен и на другой порт.

Принцип работы сервера заключается в том, что он "слушает" порт TCP. В случае поступления запроса на обслуживание, telnetd назначает каждому удаленному клиенту псевдотерминал (pty) в качестве стандартного файла ввода (stdin), стандартного файла вывода (stdout) и стандартного файла ошибок (stderr).

При установке взаимодействия с удаленным клиентом telnetd обменивается командами настройки (эхо, обмен двоичной информацией, тип терминала, скорость обмена, переменные окружения).

Программа-клиент (telnet) – это интерфейс пользователя для работы по протоколу telnet. Программа работает в двух режимах: в режиме командной строки (command mode) и в режиме удаленного терминала (input mode).

При работе в режиме удаленного терминала telnet позволяет работать с буферизацией (line-by-line) или без нее (character-at-a-time). При работе без буферизации каждый введенный символ немедленно отправляется на удаленную машину, откуда приходит "эхо". При буферизованном обмене введенные символы накапливаются в локальном буфере и отправляются на удаленную машину пакетом. "Эхо" в последнем случае также локальное.

9.Обмен файлами. Служба FTP

Технология FTP была разработана в рамках проекта ARPA и предназначена для обмена большими объемами информации между машинами с различной архитектурой. Главным в проекте было обеспечение надежной передачи. Стержень технологии составляет FTP-протокол.

FTP (File Transfer Protocol или "Протокол Передачи Файлов") обеспечивает обмен данными по TCP-каналу. Построен обмен по технологии "клиент-сервер". На рисунке изображена модель протокола.

В протоколе FTP соединение инициируется интерпретатором протокола пользователя. Управление обменом осуществляется по каналу управления в стандарте протокола telnet. Команды FTP генерируются интерпретатором протокола пользователя и передаются на сервер. Ответы сервера отправляются пользователю также по каналу управления.

Рисунок. Диаграмма протокола FTP
Команды FTP определяют параметры канала передачи данных и самого процесса передачи. Они также определяют и характер работы с удаленной и локальной файловыми системами.

Сессия управления инициализирует канал передачи данных. При организации канала передачи данных последовательность действий другая, отличная от организации канала управления. В этом случае сервер инициирует обмен данными в соответствии с согласованными в сессии управления параметрами. При этом канал данных может быть использован как для приема, так и для передачи данных.

Часть 2. Администрирование сетейТема 1. Учетные записи и группы безопасности

1. Понятие пользовательской учетной записи

Для каждого пользователя в системе создается защищенная паролем учетная запись. Сущность учетной записи заключается в следующем.

Каждый пользователь, приступаю­щий к работе в системе Windows 2000/XP, должен зарегистрироваться, т.е. подтвер­дить свою идентичность. Процесс подтверждения реализован путем проверки имени пользователя и пароля. После успешной регистрации пользователя Windows обращается к защищенной информации из учетной записи, определяющей перечень доступных/запрещенных ресурсов. При этом используются разрешения, определяющие доступ к совместно используемым файлам, папкам и сетевым ресурсам.

Информация о пользовательских учетных записях хранится в защищенной базе данных Security Accounts Manager (SAM). С целью отслеживания каждой записи и связанных с нею прав и разрешений применяется значение переменной длины, называемое идентификатором безопасности (SID). В момент создания пользова­тельской учетной записи ей присваивается уникальный идентификатор SID. В Windows 2000/XP все значения SID начинаются с сокращения S-1. Затем сле­дует ряд чисел, уникальным образом идентифицирующих каждую учетную запись. Доступ к этим идентификато­рам осуществляется с помощью системного реестра.

Если пользователь работает в корпоративной сети, то могут использоваться доменные учетные записи. Доменные учетные записи хранятся на центральном компьютере, который назы­вается доменным контроллером. При этом в процессе регистрации в поле Log On To (Регистрация) в окне Log On To Windows (Регистрация в Windows) указывается имя компьютера (при регистрации с применением локальной учетной записи) или название домена (в случае реги­страции с использованием доменной учетной записи).

Каждая доменная пользовательская учетная запись имеет собственный уникаль­ный идентификатор SID. Эта запись хранится в каталоге домена, который управ­ляется доменным контроллером. Каждый участник домена может связываться с этой базой данных и использовать находящийся там список учетных записей. Поэтому пользователь индивидуального компьютера, указав название доменной группы безопасности, может передавать право доступа к ресурсам общего пользо­вания.
Встроенные пользовательские учетные записи Windows 2000/XP

После завершения установки Windows 2000/XP создаются несколько встро­енных пользовательских учетных записей, которым назначены определенные при­вилегии и ограничения:

• 
  Администратор (Administrator). Данная учетная запись предоставляет полный набор прав доступа для всего компьютера. Являясь постоянным членом группы Administrators, эта учетная запись позволяет реализовать неограниченный дос­туп ко всем файлам и ключам системного реестра. Учетная запись Administrator может создавать другие учетные записи пользователей.
  
• 
  Гость (Guest). Учетная запись Guest предназначена для случайных пользова­телей или же тех, кто обращается к данной системе однократно. Заданные по умолчанию привилегии для этой учетной записи довольно ограниченны. Поль­зователи-гости могут только выполнять программы и сохранять документы, управлять ресурсами ЭВМ они не имеют права.
  
• 
  HelpAssistant. Учетная запись HelpAssistant, используемая для сеансов Remote Assistance, по умолчанию отключена (и защищена строгим паролем). Она уста­навливается на компьютере начинающего пользователя и предназначена для регистрации удаленного эксперта.
  
• 
  SUPPORT_xxxxxxxx. Windows XP может содержать одну или несколько учетных записей, которые предназначены для реализации интерактивной поддержки и обслуживания поставщиками, например компанией Microsoft либо производителем вашего компьютера. Здесь ххххххххх представляет но­мер, определяемый поставщиком.
  

2. Группы безопасности

Для облегчения администрирования несколько учетных записей можно объединить в одну группу и назначать унифицированные права доступа всем ее членам, а не каждому пользователю в отдельности. Такая группа будет называться группой безопасности.

Группы безопасности позволяют организовать пользовательские учетные записи в соответствии с требованиями к уровню безопасности. Можно создать группу безопас­ности дома, в офисе, можно сформировать группу, объединяющую всех бухгал­теров и т.д. При этом разрешения, определяющие уровень безопасности, можно присваивать всей группе или отдельным пользователям. Пользовательская учетная запись может относиться к одной группе, к нескольким группам либо вообще не быть связанной ни с одной из групп.

Несмотря на то, что привилегии можно передавать каждой пользовательской учетной записи, этот путь достаточ­но утомителен и часто приводит к ошибкам. Передача привилегий отдельным пользовательским учетным записям свидетельствует о недостаточной практической подготовке администратора. Лучше присваивать разрешения и пра­ва доступа группам, а затем добавлять пользовательские учетные записи в группу, имеющую соответствующие привилегии.

Типы учетных записей

Для Windows XP характерен термин тип учетной записи. Обычно этот термин имеет значение при обращении к инструменту User Accounts (Пользова­тельские учетные записи) в панели управления. Тип учетной записи позволяет описать членство в группе безопасности. И хотя допускается произвольное количество групп безопасности, Windows XP относит каждую пользовательскую учетную запись к одному из четырех указанных типов:

• 
  Computer administrator (администраторы компьютера). Члены указанной груп­пы Administrators (Администраторы) классифицируются в качестве учетных записей администраторов компьютера.
  
• 
  Limited (ограничения). Члены группы Users (Пользователи) классифициру­ются с помощью учетных записей с ограничениями.
  
• 
  Guest (Гости). Члены группы Guests (Гости) ассоциируются с гостевыми учет­ными записями.
  
• 
  Unknown (неизвестные). Учетная пользовательская запись, не включенная в группы Administrators, Users или Guests, относится к категории неизвестных учетных записей. Поскольку учетные записи, создаваемые с помощью утилиты User Accounts из панели управления, присваиваются группе Administrators или группе Users, неизвестные учетные записи встречаются только при обновлении ранних версий Windows, а также при обраще­нии к, консоли Local Users And Groups или к команде Net Localgroup при контроле членства в группах.
  

Встроенные группы безопасности

В состав Windows входит несколько встроенных групп безопасности. Каждая из них имеет заранее определенный набор прав доступа, разрешений и ограничений. Ниже приводится краткое описание этих групп.

Администраторы - Наиболее мощная группа, обеспечивающая полный контроль над системой. Администратор имеет право выполнять следующие операции:

• 
  установка операционной системы и ее компонентов;
  
• 
  установка пакетов обновления;
  
• 
  обновление операционной системы;
  
• 
  восстановление операционной системы;
  
• 
  настройка главных параметров операционной системы (политики паролей, управления доступом, политики аудита, настройки драйверов в режиме ядра и так далее);
  
• 
  вступление во владение файлами, ставшими недоступными;
  
• 
  управление журналами безопасности и аудита;
  
• 
  архивирование и восстановление системы.
  

Опытные пользователи (Power Users) - Включает многие, но не все привилегии, присущие группе администраторов. Опытный пользователь имеет право выполнять следующие операции:

• 
  выполнять приложения, сертифицированные для Windows 2000 и Windows XP Professional, а также устаревшие приложения;
  
• 
  устанавливать программы, не изменяющие файлы операционной системы, и системные службы;
  
• 
  настраивать ресурсы на уровне системы, включая принтеры, дату и время, параметры электропитания и другие ресурсы панели управления;
  
• 
  создавать и управлять локальными учетными записями пользователей и групп;
  
• 
  останавливать и запускать системные службы, не запущенные по умолчанию.
  

Пользователи (Users) - Ограниченный набор привилегий для пользователей, которые не нуждаются в администрировании системы. Пользователь имеет право выполнять следующие операции:

• 
  запускать только сертифицированные для Windows приложения;
  
• 
  создавать локальные группы и управлять ими;
  
• 
  создавать и изменять свои файлы;
  

Гости (Guests) - Поддержка ограниченного доступа для случайных пользователей и гостей.

Операторы архива (Backup Operators) - Предоставление привилегий, требуемых для восстановления файлов и папок. Члены этой группы могут архивировать и восстанавливать файлы на компьютере независимо от всех разрешений, которыми защищены эти файлы.

Репликаторы (Replicator) - Обеспечение возможности управления репликацией, присущей доменным сетям.

Операторы настройки сети (Network) - Члены этой группы допускаются к установке, конфигурированию сетевых компонентов.

Пользователи удаленного рабочего стола (Remote) - Обеспечение доступа к компьютеру посредством удаленного рабочего стола (Remote Desktop). Позволяет специалистам в удаленном режиме просматривать действия, происходящие на экране компьютера или брать на себя управление рабочей станцией в случае возникновения проблем.

HelpServices - Предоставление возможности техническому персоналу подключаться к вашему компьютеру.
Для обеспечения высокой степени безопасности в процессе текущей работы рекомендуется не регистрироваться сотрудникам (даже самим администраторам) с правами доступа администратора. Вместо этого при ежеднев­ной работе надо воспользоваться учетной записью с несколько меньшими сис­темными привилегиями. Регистрироваться в роли администратора следует только в тех случа­ях, когда требуется выполнять именно административные задания. Подоб­ный подход позволит избежать нарушений в системной конфигурации, инфицирования операционной системы вирусом, а также создаст заслоны для внедрения «троянских ко­ней». В Windows 2000 свои ежедневные обязанности можно выполнять в рамках группы Power Users.

Тема 2. Администрирование файлов и папок

1. Режимы доступа к папкам

К числу универсальных возможностей Windows 2000/XP относятся и такие, кото­рые позволяют как на уровне локального компьютера, так и при использовании об­щедоступных сетевых ресурсов ограничивать доступ к файлам и папкам.

Управлением доступом к папкам можно осуществлять двумя способами:

1. 
   управлять доступом, используя стандартный режим "Общий доступ" (в окне "Свойства" выбрать закладку "Доступ", а потом в появившемся окне нажать кнопку "Разрешение"),
   
2. 
   управлять доступом, используя возможности файловой системы NTFS.
   

Каждый из методов имеет свои преимущества и недостатки.

Первый вариант удобен тем, что, используя его, можно ограничить в сети доступ к папкам на дисках, отформатированных под файловую систему FAT16 (FAT32). А к недостаткам этого способа относятся:

• 
  доступ к папкам проверяется только для сетевых пользователей (т.е. локальные пользователи будут иметь полный доступ к папкам);
  
• 
  все разрешения задаются только для папки целиком, а не для отдельных файлов;
  
• 
  предоставляется небольшой набор параметров для конфигурирования (только полный доступ, изменение и чтение).
  

Использование разрешений NTFS

Для каждого объекта, который хранится в томе, отформатированном с помощью файловой системы NTFS, Windows поддерживает контрольный список доступа (access control list, ACL). Как следует из названия, этим списком определяется пе­речень пользователей, которым разрешен доступ к данному объекту (обычно идет речь о файле или папке), а также тех пользователей, доступ которых исключается. Индивидуальные пункты в ACL называются записями, контролирующими доступ (access control entries, АСЕ), и содержат следующую информацию:

• 
  идентификатор SID пользователи или группы;
  
• 
  список разрешений, формирующих право доступа, создаваемое на основе боль­шого списка основных и специальных разрешений — Full Control, Read и Write,
  
• 
  информация о наследовании, которая определяет, будет ли Windows использо­вать разрешения из родительской папки, и если будет, то каким образом;
  
• 
  флаг, указывающий на разрешение/запрет доступа.
  

Для использования второго способа управления доступом к папкам нужно открыть у соответствующего объекта окно свойств и выбрать вкладку "Безопасность" (Security), на которой установить флажки для нужных параметров доступа.

Данный способ имеет следующие преимущества:

• 
  Доступ к папкам проверяется абсолютно для всех пользователей.
  
• 
  Предоставляется широкий набор параметров для конфигурирования. Запретить и разрешить можно следующую функции: смена владельца, смена и чтение разрешений, удаление, чтение и изменение атрибутов, запись и дозапись данных, чтение данных, обзор папок и выполнение файлов и т.д.
  
• 
  Для папок можно указывать, как применяются настройки: только внутри этой папки, для дочерних папок, для файлов и так далее.
  
• 
  Если пользователь является владельцем файла, он может распоряжаться им по своему усмотрению, предоставляя права доступа другим пользователям.
  

В качестве недостатка, однако, можно отметить, что управлением доступом становится значительно сложнее. Все разрешения носят аддитивный характер, то есть, права складываются из прав группы, в которую входит пользователь, и прав, которыми наделен лично он. При этом нужно помнить, что запрещающие директивы всегда имеют больший приоритет, чем разрешающие, и использовать их надо с осторожностью. Так, если у пользователя есть, например, право на чтение некоторого файла, но он входит в группу, которой это делать запрещено, то он не сможет читать файл.

2. Права доступа

В системе NTFS для каждого файла (и папки) ведется список управления доступом ACE (Access control entry). Администраторы и владельцы файла могут модифицировать ACE, предоставляя или отказывая в правах доступа другим пользователям.

Если пользователь создает новую папку, то Windows присваивает права доступа Full Control пользователю, создавшему эту папку, встроенной группе Администраторы и учетной записи System. Пользователи с ограниченными учетными записями имеют полномочия Read & Execute.

Права доступа к папкам делятся на

1. 
   базовые
   
2. 
   расширенные.
   

К базовым правам доступа относятся следующие:

1. 
   Полный контроль – позволяет просматривать содержимое папки, создавать новые файлы и папки, удалять файлы и папки, читать и открывать файлы, изменять права доступа к файлам и внутренним папкам.
   
2. 
   Изменение – позволяет читать, редактировать, создавать и удалять файлы, но не позволяет изменять права доступа к внутренним папкам и файлам.
   
3. 
   Чтение и выполнение – позволяет просматривать содержимое файлов и вызывать программы на выполнение.
   
4. 
   Просмотр содержимого папки – аналогично предыдущим правам, но это право доступа наследуется внутренними папками, но не файлами в этих папках.
   
5. 
   Чтение – позволяет просматривать содержимое папки, атрибуты файлов, обеспечивает возможность чтения и синхронизации файлов.
   
6. 
   Запись – позволяет создавать файлы, записывать данные, считывать значения атрибутов и права доступа, а также выполнять синхронизацию файлов.
   

Кроме прав доступа, устанавливаемых пользователем или программой, файлы и папки могут наследовать права доступа от родительских папок. По умолчанию, заданные права доступа для текущей папки передаются создаваемым внутренним папкам.
Права доступа при копировании (перемещении) файлов.

При копировании или перемещении файлов происходит изменение прав доступа, т.е. файлы получают новые права доступа и прежний пользователь может уже не получить доступ к файлам, с которым работал прежде.

Когда происходит копирование или перемещение файлов (папок), вновь созданный объект получает права доступа так, словно объект создается с самого начала. При этом:

1. 
   Когда копируется или перемещается файл (папка), вновь созданный объект получает права доступа той папки, в которой теперь будет располагаться.
   
2. 
   Пользователь, который осуществляет перемещение или копирование объекта, становится создателем и владельцем этого объекта.
   

С этим и связано возможное изменение прав доступа.
При администрировании важно еще учитывать следующий момент. Каждый файл или папка в разделе NTFS имеют владельца. Владелец файла (папки) имеет право предоставлять или отказывать в правах доступа к файлам или папкам другим пользователям.

В качестве владельца пользователь может заблокировать доступ всех остальных пользователей, включая и членов группы Администраторы. Таким образом, доступ к файлу (папке) может быть закрыт, даже если администратор установил полный доступ к объекту.

Тема 3. Сервисы сетей NCP/IP

1. Протокол динамической конфигурации клиентских машин

DHCP обозначает Dynamic Host Configuration Protocol - то есть протокол динамической конфигурации клиентских машин. Это один из наиболее важных и полезных протоколов семейства TCP/IP, помогающий автоматически конфигурировать десятки и сотни машин одновременно. Многие технологии напрямую зависят от этого протокола: например, протокол удаленной загрузки PXE ищет сервер DHCP для получения дальнейших указаний по получению загрузочного образа.

В принципе DHCP относится к числу "безпроблемных" протоколов, то есть все операционные системы корректно поддерживают его функции.

DHCP обладает следующими преимуществами:

1. 
   При динамическом распределении адресов DHCP-сервер выдает адрес клиенту на ограниченное время, что дает возможность впоследствии повторно использовать IP-адреса другими компьютерами. Динамическое разделение адресов позволяет строить IP-сеть, количество узлов в которой намного превышает количество имеющихся в распоряжении администратора IP-адресов.
   
2. 
   DHCP обеспечивает надежный и простой способ конфигурации сети TCP/IP, гарантируя отсутствие конфликтов адресов за счет централизованного управления их распределением.
   

Рассмотрим DHCP на примере реализации DHCP Turbo фирмы Weird Solutions. При необходимости получить IP-адрес хост посылает запрос на резервацию IP-адреса, на который серверы отвечают на протяжении некоторого времени. На этом этапе сервер может проверить наличие свободного IP-адреса, пропинговать его на предмет отсутствия конфликтов или проверить MAC-адрес данного хоста.

Первое, что нужно сделать при настройке DHCP, это определить диапазон раздаваемых адресов и маску подсети. Часто используются подсети категории "D" Первый адрес в подсети всегда обозначает саму подсеть, последний - адрес групповой рассылки (broadcasting). Количество компьютеров в подсети определяется количеством нулей в конце маски. Возведите двойку в эту степень, вычтите два - и получите потенциальное количество доступных вам адресов.

Пример расчета подсети

Для примера возьмем произвольную подсеть: адрес сервера 10.0.0.97, маска 255.255.255.224, в бинарном виде - 11111111.1111111.1111111.11100000.

Число нулей в конце маски - пять, то есть два в пятой степени дает 32. Следовательно, возможность наших подсетей категории D - 32 адреса. Можно представить, что первая подсеть начинается с адреса 10.0.0.0, вторая - 10.0.0.32, третья - 10.0.0.64, четвертая - 10.0.0.96.

Будем работать в адресном пространстве от 10.0.0.96 до 10.0.0.127 и, если требуется, чтобы наши хосты после запуска попали в одну подсеть с сервером, то выделять адреса следует только из этого диапазона. Как уже было сказано, первый адрес - это адрес подсети как целого, последний - броадкастинг, так что они исключаются. Пусть будет три хоста, которые будем конфигурировать через данный сервер, так что достаточно только трех адресов. Возьмем адреса в диапазоне от 10.0.0.124 до 10.0.0.126. Диапазон адресов и подмаска сети называется scope (видимость) и является одним из основных понятий DHCP, с которым связаны все остальные настройки. То есть любая настройка относится к той или иной области.