Часть V

Технологии глобальных сетей

Технология IP, которую мы рассматривали в предыдущей части книги, позволяет строить составные сети различного типа, как локальные, так и глобальные. Протокол IP является сегодня тем протоколом, который объединяет многочисленные сети операторов связи и предприятий в глобальную мировую компьютерную сеть, называемую Интернетом.

Превращение Интернета в мировую компьютерную сеть привело к тому, что одной из основных услуг операторов связи, относящейся к транспортным услугам компьютерных сетей, стал доступ в Интернет, а операторы связи по совместительству стали поставщиками, или провайдерами, услуг Интернета. Другим популярным типом услуг сетей операторов связи является услуга виртуальных частных сетей, которая позволяет объединить отдельные территориально рассредоточенные сети некоторого предприятия в единую корпоративную сеть.

Технология IP не является единственной технологией коммутации пакетов, которая работает в глобальных сетях. Типичная глобальная сеть имеет многоуровневую структуру, в которой IP занимает верхний уровень (если рассматривать только уровни, обеспечивающие транспорт), а под уровнем IP работают пакетные технологии канального уровня. Для глобальных сетей был разработан ряд технологий, учитывающих особенности этого типа сетей, в частности Х.25 (она сегодня представляет только исторический интерес), Frame Relay (FR) и ATM. Объединяет все перечисленные технологии то, что они основаны на технике виртуальных каналов. Основная причина успеха техники виртуальных каналов в глобальных сетях состоит в том, что она обеспечивает гораздо более высокую степень контроля над соединениями между пользователями сети и путями прохождения информационных потоков через узлы сети, чем дейтаграммная техника.

После прихода IP в сети операторов связи дейтаграммная техника и техника виртуальных каналов стали дополнять друг друга, и во многих случаях протокол IP работает поверх Frame Relay или ATM. Тем самым пользователю предоставляются услуги IP, а трафик пользователи внутри сети провайдера переносится по виртуальным каналам, что делает эту операцию более надежной и контролируемой.

Помимо поддержания трафика протокола IP внутри сети оператора связи, технологии Framne Relay и ATM долгое время давали операторам связи возможность предоставлять пользователям услуги виртуальных частных сетей; при этом виртуальные каналы Frane Relay или ATM прозрачным образом соединяли сети предприятия. В главе 19 рассматриваются общие принципы организации глобальных сетей и их услуг, а также дается обзор технологий Frame Relay, ATM и особенностей работы IP в глобальных сетях.

Опыт сосуществования IP с технологиями, основанными на механизме виртуальных каналов, привел в середине 90-х годов к появлению гибридной технологии MPLS, которая тесно интегрирована с протоколами стека IP, так что иногда ее называют IP/MPLS. При использовании MPLS протоколы маршрутизации стека TCP/IP служат для исследования топологии сети и нахождения рациональных маршрутов, а продвигаются пакеты на основе техники виртуальных каналов. Интеграция IP и MPLS оказалось очень удачной, так что эта комбинация в настоящее время почти вытеснила из глобальных сетей технологии Frame Relay и ATM, переведя их в статус унаследованных технологий, то есть таких, которые все еще работают, но перспективы развития уже не имеют.

MPLS сегодня используется в различных качествах, и как внутренняя технология операторов связи, дающая высокую степень контроля над трафиком и обеспечивающая быстрое восстановление соединений, и как технология, на которой строятся услуги оператора связи, в первую очередь — услуга виртуальных частных сетей. Технология MPLS и ее основные приложения рассматриваются в главе 20.

Сравнительно недавно класс технологий глобальных сетей пополнился новым представителем — Ethernet операторского класса (Carrier Ethernet). Этим именем одновременно называют и услугу виртуальных частных сетей, которая предоставляется пользователем с интерфейсом Ethernet, и усовершенствованную версию классической технологии Ethernet, снабженную некоторыми новыми свойствами, необходимыми для успешной работы в глобальных сетях. Глава 21 посвящена описанию Ethernet как услуги глобальных сетей, кроме того, в этой главе рассматриваются способы реализации этой услуги на основе усовершенствований, внесенных в традиционную технологию Ethernet, и на основе использования в сети оператора связи технологии MPLS (последний вариант также известен под названием VPLS).

Обеспечение высокоскоростного доступа к сетевой магистрали представляет собой сегодня масштабную и специфическую проблему. Действительно, скорость нужно повысить на миллионах линий связи, соединяющих помещения пользователей с ближайшими центральными офисами операторов связи. Поэтому традиционные для магистрали решения, основанные на применении оптического волокна и требующие прокладки новых кабелей к домам и офисным зданиям, для обеспечения массового доступа часто оказываются экономически не оправданными. Более эффективными являются технологии, в которых задействуется существующая кабельная инфраструктура (например, линии ADSL, работающие на абонентских окончаниях телефонной сети) или кабельные модемы, использующие системы кабельного телевидения. Альтернативным решением является беспроводной доступ, причем как мобильный, так и фиксированный. Схемы и технологии доступа рассматриваются в главе 22.

Глобальные сети предоставляют не только транспортные услуги. Интернет стал популярным в первую очередь благодаря своим информационным сервисам, таким как электронная почта и WWW. Растет популярность и новых сервисов Интернета, в первую очередь это IP-телефония и сервис видеоконференций; совсем недавно началось и телевещание через Интернет (IPTV). Прикладные сервисы глобальных сетей рассматриваются в главе 23.

Часть, а вместе с ней и книга, завершается главой 24, которая посвящена обеспечению безопасности транспортной системы сети. Уязвимость Интернета является оборотной стороной его открытости, так как в Интернете каждый может не только общаться с каждым, но и атаковать каждого. Вирусы, черви, распределенные атаки и, наконец, спам — все это, к сожалению, ежедневно мешает «жителям» Интернета нормально жить и работать. В главе 24 анализируются основные типы угроз, присущих глобальным сетям, и изучаются базовые механизмы и технологии защиты от этих угроз.

? Глава 19. Транспортные услуги и технологии глобальных сетей

? Глава 20. Технология MPLS

? Глава 21. Ethernet операторского класса

? Глава 22. Удаленный доступ

? Глава 23. Сетевые службы

? Глава 24. Сетевая безопасность

ГЛАВА 19 Транспортные услуги

и технологии глобальных сетей

Транспортные технологии и услуги глобальных сетей являются тем фундаментом, на котором строятся технологии и услуги прикладного уровня, такие как электронная почта или WWW.

Базовые понятия

Типы публичных услуг сетей операторов связи

Сегодня существует единственная мировая глобальная компьютерная сеть — Интернет. Основу Интернета составляют компьютерные сети операторов связи, которые предоставляют своим клиентам — предприятиям и индивидуальным пользователям — разнообразные услуги, в том числе транспортные, с помощью которых клиенты объединяют свои локальные сети в глобальные. Благодаря такому особому положению требования операторов связи к технологиям глобальных компьютерных сетей являются решающими при их разработке. Поэтому перед рассмотрением конкретных технологий глобальных компьютерных сетей полезно исследовать основные типы транспортных услуг операторов связи, так как специфика этих услуг и определяет специфику технологий. Поскольку сеть оператора связи служит для предоставления не только услуг компьютерных сетей, но и традиционных услуг телефонии, последние также оказывают влияние на структуру сети и применяемые в ней технологии.

Выделенные каналы для построения частной сети

В течение довольно длительного начального периода своего существования (до интернет-революции, то есть до начала 90-х годов) корпоративные компьютерные сети представляли собой частные сети. Это значит, что сеть предприятия была полностью или почти полностью изолирована от сетей других предприятий, при этом все локальные сети предприятия, расположенные в разных городах (эти сети часто называют сайтами, подчеркивая их территориальную рассредоточенность), соединялись физическими каналами только между собой. Такие физические каналы либо принадлежали самому предприятию (довольно дорогой и поэтому редко встречавшийся вариант), либо брались в аренду у операторов связи и назывались выделенными, или арендуемыми, каналами. Первое название подчеркивает тот факт, что канал постоянно коммутируется так, что вся его фиксированная пропускная способность выделяется клиенту. В начальный период создания глобальных компьютерных сетей выделенные линии представляли собой постоянно скоммутированные аналоговые телефонные соединения.

По мере роста популярности компьютерных сетей услуги выделенных каналов стали более востребованными, и такой сервис стали предоставлять в более широком масштабе на основе новых технологий первичных сетей: PDH, SDH, OTN и DWDM.

На рис. 19.1 показан пример построения корпоративной сети клиента Л с помощью сервиса выделенных каналов. Сети 2 и 3 этого клиента соединены двумя выделенными каналами с сетью 1 того же клиента, образуя корпоративную сеть со звездообразной топологией. Выделенные каналы проложены через сети операторов 1 и 2.

Виртуальная частная сеть

Сервис виртуальных частных сетей (Virtual Private Network, VPN) появился как более экономичная альтернатива сервису выделенных каналов. Каналы виртуальной частной сети, так же как и выделенные каналы, соединяют отдельные сети клиента этой услуги в единую изолированную сеть. Однако в отличие от выделенных каналов, которые строятся с помощью техники коммутации каналов и поэтому обладают фиксированной

пропускной способностью, реально выделенной данному клиенту, каналы виртуальной частной сети проложены внутри сети с коммутацией пакетов, такой как IP, Frame Relay или Ethernet.

На рис. 19.2 показан тот же пример, что и на рис. 19.1, но в данном случае корпоративная сеть клиента А построена с помощью сервиса виртуальной частной сети, и каналы представляют собой соединения в сетях с коммутацией пакетов операторов 1 и 2.

Технология VPN позволяет с помощью разделяемой нескольдоми предприятиями сетевой ин* фраструктуры реализовать сервисы, приближающиеся к сервисам частной сети пр качеству ^безолдонорть, дорг^норгьгвредо*^^ мвзевиоимостйа'Шкюе''

адрвсоа), но;на разделяемой между пользователями шфрщэтруктуре ?;7&4йей пакетов,такЬй как штьММт* (й ?...... ' ...................'......

Так как каналы виртуальной частной сети являются соединениями в публичной сети с коммутацией пакетов, то они разделяют пропускную способность этой сети с большим количеством соединений других ее пользователей. Следствием этого факта являются достоинства и недостатки сервиса VPN. Достоинством для провайдера является то, что с помощью сети с коммутацией пакетов он может обслужить большее число клиентов, это вытекает из самой природы сети с ее статическим мультиплексированием трафика клиентов (как вы знаете из материала главы 2, в сети с коммутацией каналов пропускная способность канала всегда расходуется не полностью, особенно если трафик, передаваемый по каналу, имеет значительные пульсации, а в нашем случае мы рассматриваем соединение компьютерных сетей клиентов, для которых характерен именно такой трафик). Для потребителей данной услуги преимуществом является более низкая ее стоимость, чем в случае услуги выделенных каналов, так как себестоимость услуг сетей с коммутацией пакетов обычно существенно ниже, чем сетей с коммутацией каналов при равной скорости соединений. Другим преимуществом является доступность услуги: многие провайдеры услуг Интернета предоставляют также и услуги VPN, так что организация, получающая доступ в Интернет с помощью такого провайдера, может дополнительно воспользоваться услугой VPN, которая конфигурируется как дополнительное логическое соединение. Кроме того, у самого клиента существует возможность организовать виртуальную частную сеть своими силами, для этого достаточно иметь обычный доступ в Интернет.

Сервис виртуальных частных сетей может быть реализован различными способами и с различной степенью приближения к сервису частных сетей на выделенных каналах, который он эмулирует. Ввиду важности этого сервиса мы рассмотрим его в отдельном разделе (см. далее раздел «Виртуальные частные сети»).

Доступ в Интернет

С появлением Интернета ситуация в мире принципиально изменилась, так как появилась глобальная публичная сеть с коммутацией пакетов, аналог всемирной телефонной сети. Как и в случае телефонной сети, любому индивидуальному пользователю или организации можно подключиться к такой сети и получить возможность оперативно связываться с любым другим ее абонентом. Это обстоятельство является принципиальным отличием от услуг виртуальных частных сетей, которые соединяют своих пользователей выборочно. Так как Интернет представляет собой объединение всех сетей отдельных операторов связи без ограничения взаимодействия между этими сетями (есть редкие исключения в некоторых странах), то услуга доступа в Интернет реализуется как услуга доступа пользователя (его сети или отдельного компьютера) к сети некоторого оператора связи. Операторы связи выступают в данном случае в роли поставщиков услуг Интернета. В результате пользователь получает доступ к любому компьютеру, который аналогичным образом получил доступ к сети другого оператора. Протоколы IP обеспечивают полную связность IP-сетей операторов связи между собой, никаких дополнительных усилий по доступу отдельных пользователей к узлам Интернета от оператора связи не требуется; такая связь каждого с каждым является принципом организации Интернета.

Рисунок 19.3 иллюстрирует возможности, которые получает потребитель услуги доступа в Интернет. Здесь сети операторов 1,2 и 3 являются частью Интернета, то есть операторы этих сетей являются по совместительству поставщиками услуг Интернета. Это значит, что они имеют соглашения о передаче трафика Интернета между собой и некоторыми другими провайдерами, сети которых на рисунке не показаны. Сети этих провайдеров физически связаны, а пограничные маршрутизаторы сетей получают от своих соседей по протоколу BGP всю необходимую информацию о сетях, входящих в Интернет, поэтому могут правильно маршрутизировать любой запрос на взаимодействие с любым узлом Интернета. За счет этого клиент 1 может обратиться к любому из серверов, подключенных к Интернету, а также взаимодействовать с другими клиентами Интернета по одноранговым протоколам, например по протоколу IP-телефонии. Сама услуга доступа в Интернет является транспортной, то есть она сама по себе не предоставляет никаких прикладных сервисов, таких как веб-сервис или сервис IP-телефонии. Эти прикладные сервисы (рассматриваемые в главе 23) работают поверх службы доступа в Интернет, и для самого транспорта Интернета они прозрачны (говорят, что транспорт Интернета нейтрален к прикладным услугам, эта нейтральность является одним из принципов организации Интернета).

Интернет может использоваться и для предоставления услуг виртуальных частных сетей. В этом случае необходимо каким-то образом подавить встроенную в Интернет возможность каждого общаться с каждым. Чаще всего такое ограничение реализуется конечными пользователями Интернета — организациями или индивидуальными пользователями, а не поставщиками услуг Интернета. Хотя последний вариант также возможен, он требует от провайдера значительных усилий по защите пользователей виртуальной частной сети от остальной части пользователей Интернета. _ч

Традиционная телефония

Для многих операторов связи (особенно крупных национальных компаний, таких как AT&T или ВТ) предоставление услуг традиционной телефонии по-прежнему остается очень важной частью их бизнеса. Этот бизнес требует наличия у оператора глобальной сети телефонных коммутаторов, объединенных физическими каналами связи.

Многослойная сеть оператора связи

Для предоставления услуг всех перечисленных типов оператор связи должен иметь многослойную сеть. Каждый слой такой сети может выполнять две функции:

? предоставление услуг конечным пользователям;

? поддержка функций вышележащих уровней сети оператора.

Обобщенная структура слоев типичной сети оператора связи, который также играет роль поставщика услуг Интернета, показана на рис. 19.4.

Г

Л

Слои коммутации > каналов

Каждая сеть оператора связи состоит из слоев технологий с коммутацией пакетов и каналов. Как мы знаем, многоуровневое представление сетевых протоколов с коммутацией пакетов стандартизовано моделью OSI. Представленная на рис. 19.4 иерархия уровней соответствует этой модели, если принять во внимание два обстоятельства:

? мы рассматриваем транспортные технологии глобальных сетей, поэтому наш интерес заканчивается слоем протокола IP, то есть сетевым уровнем, который является высшим обязательным уровнем протоколов транспортной подсистемы (мы рассматривали этот вопрос в разделе «Распределение протоколов по элементам сети» главы 4);

? физический уровень модели OSI в сетях операторов связи представлен несколькими слоями, соответствующими технологиям первичных сетей.

Услуги и технологии физического уровня

Особенностью глобальных сетей является структура физического уровня: он гораздо сложнее, чем физический уровень локальных сетей, где на этом уровне используются только кабели. В глобальных сетях для создания канала между двумя коммутаторами или маршрутизаторами, как правило, применяются устройства первичных сетей, такие как мультиплексоры или кросс-коннекторы сетей PDH, SDH, OTN или DWDM (подробно технологии первичных сетей рассматриваются в главе 11).

Первоначально технологии первичных сетей предназначались только для внутренних целей операторов связи в качестве гибкого средства соединения телефонных коммутаторов, то есть для гибкого создания каналов между их собственными коммутаторами, изначально телефонными, а потом и пакетными. Постепенно с ростом популярности компьютерных сетей технологии первичных сетей стали применяться для предоставления транспортных услуг конечным пользователям.

Именно поэтому на рис. 19.4 показаны три типа услуг, которые предоставляются операторами связи с помощью трех нижних слоев их сети:

? Услуга выделенных оптических волокон. Эта услуга чаще всего оказывается одним оператором, обладающим развитой кабельной инфраструктурой со свободными оптическими кабелями, или волокнами, другому оператору, который затем строит на этих волокнах собственную первичную сеть, соединяя с помощью волокон мультиплексоры DWDM/ OTN или SDH. Волокна, сдаваемые в аренду, часто называют темными волокнами (dark fibre), так как они не подключены к оборудованию передачи данных и не «подсвечены» лазерными передатчиками.

? Услуга выделенных волновых каналов. Потребителями этой услуги могут быть как операторы связи, так и корпоративные пользователи. Обычно такая услуга предоставляется в формате кадров OTN или SDH высшего уровня иерархии скорости, который в настоящее время для обеих технологий равен 40 Гбит/с. Пользователь может задействовать волновой канал для построения собственной первичной сети, соединяя таким образом свои мультплексоры OTN или SDH, а может непосредственно соединить IP-маршрутизаторы, имеющие соответствующие интерфейсы (OTN или SDH). Обычно IP-маршрутизаторы обладают так называемыми «серыми» интерфейсами SDH или OTN; это означает, что они работают с неокрашенными волнами, соответствующими центру окна прозрачности, например с волной 1310 нм. Для того чтобы использовать определенную волну DWDM, которая отличается от «серой» волны, например волну 1528,77 нм, необходим транспондер — устройство преобразования длин волн.

? Услуга выделенного соединения по протоколу OTN, SDH или PDH. Это наиболее традиционная услуга оператора связи, когда пользователь берет в аренду выделенные каналы нужной ему скорости, например каналы со скоростями 34 (ЕЗ) и 622 Мбит/с (STM-4). Эти каналы соединяют географически разнесенные локальные сети предприятия, и на них пользователь строит свою корпоративную компьютерную сеть (напомним, что она называется в таком случае частной), соединяя этими каналами свои 1Р-маршртизаторы или FR-коммутаторы. В последнее время стала популярной такая услуга, как выделенный канал на 1 Гбит/с с интерфейсом Ethernet. Как вы знаете, скорость 1 Гбит/с не является стандартной для технологий первичных сетей, однако монополия Ethernet в локальных сетях привела к ситуации, когда выделенные каналы все чаще служат для соединения пограничных устройств клиентов с интерфейсами Ethernet. Поэтому появление такой услуги, как канал со скоростью 1 Гбит/с, явилось ответом на потребности пользователей, при этом пограничный мультиплексор SDH или OTN оснащается интерфейсом Ethernet, а принимаемые кадры Ethernet затем упаковываются мультиплексором в кадры SDH или OTN и отправляются по соединению сети SDH или OTN, арендованному пользователем (также могут применяться кадры GFP, получаемые универсальным методом кадрирования, а в сетях SDH еще и методы мультплексирования VCAT, позволяющие более эффективно расходовать емкость контейнеров).

Нужно понимать, что рис. 19.4 иллюстрирует общий случай структуры физического уровня сети оператора связи. В конкретных случаях отдельные элементы этой общей структуры могут отсутствовать. Например, как уже отмечалось, оператор может не иметь собственной инфраструктуры оптических кабелей, так как прокладывать кабели под землей или на опорах — дело весьма дорогостоящее и трудоемкое. Технология SDH начала постепенно вытесняться технологией OTN, так что ее поддержание у операторов связи в ближайшем будущем не очевидно (кроме того, сегодня в качестве пакетной замены SDH рассматривается Ethernet операторского класса).

Услуги и технологии пакетных уровней

Транспортная система сетей операторов связи включает два уровня технологий, которые относятся к канальному и сетевому уровням модели OSI.

На сетевом уровне сегодня применяется лишь протокол IP, все остальные (такие как IPX или DECnet) благодаря успехам Интернета сошли со сцены. IP является обязательным протоколом, так как он нужен оператору связи/поставщику услуг Интернета как для предоставления доступа в Интернет своим клиентам, так и для взаимодействия с сетями других операторов связи/поставщиков услуг.

Более сложная ситуация наблюдается на канальном уровне. Как видно из рис. 19.4, здесь могут использоваться разные технологии (на рисунке они объединены в два прямоугольника разной высоты, что символизирует свойства двух групп технологий канального уровня). Первая группа технологий, в которую входят технологии ATM, Frame Relay, MPLS и Carrier Ethernet, отличается тем, что с их помощью можно построить сеть, выполняющую коммутацию пакетов (кадров, ячеек — термины могут быть разными, но суть в том, что эти технологии подразумевают наличие коммутаторов, способных продвигать данные на основе адресной информации той или иной технологии).

Главной особенностью технологий второй группы, в которую входят протоколы HDLC и РРР, является то, что эти технологии предназначены для работы на двухточечных соединениях. Это означает, что они могут передавать данные только между двумя непосредственно соединенными интерфейсами, но не далее. В этих технологиях не используются уникальные адреса конечных узлов, так как их задача очень проста — передача кадра непосредственному соседу. Можно сказать, что это технологии интерфейсов, так как они действительно реализуются в интерфейсах маршрутизаторов или конечных узлов -компьютеров. При этом задачу коммутации пакетов решает маршрутизатор на основе IP-адресов, а интерфейсная технология требуется только для доставки IP-пакета соседнему маршрутизатору. Меньшая высота прямоугольника отражает более бедную функциональность этой группы протоколов.

Протоколы первой группы могут служить как для внутренних целей, обеспечивая IP-маршрутизаторы своими соединениями, так и для предоставления услуг пользователям.

Оба этих варианта использования технологий канального уровня с коммутацией каналов иллюстоиоует dhc. 19.5.

В этом примере в сети имеется 4 маршрутизатора и 8 коммутаторов канального уровня, которые поддерживают одну из технологий виртуальных каналов (в данном случае не принципиально, какую именно). Маршрутизаторы связаны между собой через слой коммутаторов, непосредственных физических связей между маршрутизаторами нет. Для связи маршрутизаторов используется четыре виртуальных канала, как показано на рис. 19.6.

При обслуживании трафика доступа в Интернет он проходит через маршрутизаторы в соответствии с имеющимися между ними связями и таблицами маршрутизации. На рис. 19.5 путь такого трафика показан пунктирной линией, помеченной буквой а. Реализация связей между маршрутизаторами с помощью виртуальных каналов обеспечивает:

? высокий уровень управляемости потоков данных, то есть позволяет контролировать загрузку каналов и поддерживать хорошее качество обслуживания пользовательского трафика;

? мониторинг соединений, а это важно для провайдера платных услуг, работающего на основе контрактов с пользователями.

Однако в том случае, когда провайдеру нужно объединить две сети пользователя с помощью услуги виртуальной частной сети, это проще сделать с помощью слоя канального уровня без помощи сетевого уровня. На рис. 19.5 прохождение трафика услуги виртуальной частной сети через сеть провайдера показано штрих-пунктирной линией, помеченной буквой 6.

В том случае, когда на канальном уровне работают технологии второй группы, то есть HDLC или РРР, трафик пользователя может коммутироваться только IP-маршрутизаторами⁶⁷, так как в сети нет других устройств, работающих по принципу коммутации пакетов. Такой также встречающийся вариант организации сети оператора связи упрощает сеть, так как устраняет целый слой коммутаторов канального уровня, и это — весьма положительный фактор. Однако в этом случае оказание услуг виртуальных частных сетей оператором связи усложняется, так как уровень IP с его дейтаграммным способом передачи данных не очень хорошо подходит для решения этой задачи. Здесь нет противоречия с популярностью сервиса VPN протокола IP, так как в большинстве случаев этот сервис организуется силами самих пользователей; для поставщика услуг Интернета трафик такого сервиса не отличим от обычного трафика IP, так что никаких усилий по его поддержанию провайдеру прикладывать не нужно. Однако столь высоких характеристик в плане гарантии пропускной способности соединений VPN, которые могут быть достигнуты в случае реализации сервиса провайдером на канальном уровне, пользовательский сервис VPN достигнуть не может.

Пакетные слои могут взаимодействовать с различными слоями первичной сети для получения физических соединений между маршрутизаторами или коммутаторами. Совсем не обязательно взаимодействовать с самым верхним слоем первичной сети, например со слоем PDH или SDH. В том случае, когда маршрутизаторам или коммутаторам необходимы высокоскоростные соединения, можно их организовывать с помощью нижних слоев первичной сети, например, с помощью слоя DWDM (мы уже упоминали о маршрутизаторах, поддерживающих интерфейсы DWDM).

Анализ услуг и организации слоев сети оператора связи с коммутацией пакетов дает возможность сформулировать основные требования к протоколам этих уровней:

? поддержка протокола IP и протоколов маршрутизации стека TCP/IP (OSPF, IS-IS для организации собственной сети и BGP для «встраивания» в Интернет);

? поддержка услуг виртуальных частных сетей силами провайдера;

? интеграция канального уровня с уровнем IP для уменьшения сложности сети;

? интеграция с технологиями первичных сетей.

Туннелирование

Сети операторов связи могут также предоставлять услуги виртуальных частных сетей на основе техники туннелирования. Эта техника уже рассматривалась нами на частном примере туннелирования трафика IPv6 через 1Ру4-сеть. Так как техника туннелирования весьма распространена, здесь мы рассмотрим ее с общих позиций.

Туннелирование у или инкапсуляция, — это нестандартный (отличающийся от принятого в модели OSI порядка) способ инкапсуляции пакетов некоторого протокола двух объединяемых сетей или узлов в пакеты протокола транзитной сети на ее границе и передача пакетов объединяемых сетей через транзитную сеть. Туннелирование применяется в тех случаях, когда транзитная сеть либо не поддерживает протокол объединяемых сетей, либо стремится изолировать транзитную сеть от объединяемых сетей.

Данное описание подходит к стандартной схеме, описанной в модели OSI, если под протоколом объединяемых сетей понимать протокол IP, а под протоколом транзитной сети — любой протокол канального уровня, например Ethernet. Действительно, IP-пакеты могут инкапсулироваться на границе сети в кадры Ethernet и передаваться в этих кадрах через транзитную сеть Ethernet в неизменном виде. А при выходе из транзитной сети IP-пакеты извлекаются из кадров Ethernet и дальше уже обрабатываются маршрутизатором.

Для того чтобы понять, в чем нестандартность инкапсуляции, сначала заметим, что в этом процессе принимают участие три типа протоколов:

? протокол-пассажир;

? несущий протокол;

? протокол инкапсуляции.

При стандартной работе составной сети, описанной в модели OSI (и повсеместно применяемой на практике), протоколом-«пассажиром» является протокол IP, а несущим протоколом — один из протоколов канального уровня отдельных сетей, входящих в составную сеть, например Frame Relay или Ethernet. Протоколом инкапсуляции также является протокол IP, для которого функции инкапсуляции описаны в стандартах RFC для каждой существующей технологии канального уровня.

При туннелировании протоколом-пассажиром является протокол объединяемых сетей, это может быть протокол канального уровня, не поддерживаемый транзитной сетью, или же протокол сетевого уровня, например протокол IPv6, отличный от протокола сетевого уровня транзитной сети.

На рис. 19.7 показан пример сети, в которой трафик сетей Frame Relay передается по туннелю через транзитную IP-сеть, канальный уровень которой эту технологию не поддерживает, так как построен на технологии Ethernet.

Таким образом, протоколом-пассажиром является протокол FR, а несущим протоколом — протокол IP. Пакеты протокола-пассажира помещаются в поле данных пакетов несущего протокола с помощью протокола инкапсуляции. Инкапсуляция FR-кадров в IP-пакеты не является стандартной операцией для IP-маршрутизаторов. Это дополнительная для маршрутизаторов функция описывается отдельным стандартом и должна поддерживаться пограничными маршрутизаторами транзитной сети, если мы хотим организовать такой туннель.

Инкапсуляцию выполняет пограничное устройство (обычно маршрутизатор или шлюз), которое располагается на границе между исходной и транзитной сетями. Пакеты протокола-пассажира при транспортировке их по транзитной сети никак не обрабатываются. Извлечение пакетов-пассажиров из несущих пакетов выполняет второе пограничное устройство, которое находится на границе между транзитной сетью и сетью назначения. Пограничные маршрутизаторы указывают в IP-пакетах, переносящих трафик туннеля, свои IP-адреса в качестве адресов назначения и источника.

В связи с популярностью Интернета и стека TCP/IP ситуация, когда несущим протоколом транзитной сети обычно выступает протокол IP, а протоколом-пассажиром — некоторый канальный протокол, является очень распространенной. Вместе с тем применяются и другие схемы инкапсуляции, такие как инкапсуляция IP в IP, Ethernet в MPLS, Ethernet в Ethernet. Подобные схемы инкапсуляции нужны не только для того, чтобы согласовать транспортные протоколы, но и для других целей, например для шифрования исходного трафика или для изоляции адресного пространства транзитной сети провайдера от адресного пространства пользовательских сетей.

Технология Frame Relay

История стандарта

Пакетная технология глобальных сетей Frame Relay появилась в конце 80-х годов в связи с распространением высокоскоростных и надежных цифровых каналов технологий PDH и SDH. До этого основной технологией глобальных сетей являлась технология Х.25, сложный стек которой был рассчитан на низкоскоростные аналоговые каналы, отличавшиеся к тому же высоким уровнем помех и, следовательно, ошибок в передаче данных. Особенностью Frame Relay является простота; освободившись от многих ненужных в современном телекоммуникационном мире функций, эта технология предоставляет только тот минимум услуг, который необходим для доставки кадров адресату. Вместе с тем разработчики технологии Frame Relay сделали важный шаг вперед, предоставив пользователям сети гарантию пропускной способности сетевых соединений — свойство, которое до появления Frame Relay технологии пакетных сетей стандартным способом не поддерживали.

Техника продвижения кадров

Технология Frame Relay основана на использовании техники виртуальных каналов, которую мы кратко рассмотрели в главе 3. Техника виртуальных каналов является компромиссом между неопределенностью дейтаграммного способа продвижения пакетов, используемого, например, в сетях Ethernet и IP, и жесткостью коммутации каналов, которая свойственна технологиям первичных и телефонных сетей.

Рассмотрим технику виртуальных каналов сетей Frame Relay на примере сети, изображенной на рис. 19.8.

⁰² ?

;°¹

Порт 2

С1 102

Рис. 19.8. Продвижение кадров вдоль виртуальных каналов FR

Для того чтобы конечные узлы сети — компьютеры С1, С2, СЗ и сервер С4 — могли обмениваться данными, в сети необходимо предварительно проложить виртуальные каналы. В нашем примере установлено три таких канала — между компьютерами С1 и С2 через коммутатор 51; между компьютером С1 и сервером С4 через коммутаторы 51 и 52; между компьютером СЗ и сервером С4 через коммутатор 52.

, Виртуал ьныеканалы Frame Relay могут быть как однонаправленными (то есть способными щ миом наг^влении^такидвунвпрееявнными.

Будем считать, что в примере на рис. 19.8 установлены двунаправленные каналы.

Процедура установления виртуальных каналов Frame Relay заключается в формировании таблиц коммутации в коммутаторах сети. Такие процедуры могут выполняться как вручную, так и системами управления сетью.

Fryne Relay относятся хтмпупостоипидс в>фтуаяьн>^ (Permanent

они заранее устанавливаются по команд ам операторе сети.

В таблице коммутации каждого коммутатора должны быть сделаны две записи (для каждого из двух направлений) о каждом из виртуальных каналов, проходящих через данный коммутатор.

Запись таблицы коммутации состоит из четырех основных полей, каковыми являются:

? номер входного порта канала;

? входная метка канала в поступающих на входной порт пакетах;

? номер выходного порта;

? выходная метка канала в передаваемых через выходной порт пакетах.

Например, вторая запись в таблице коммутации коммутатора 51 (запись 1-102-3-106) означает, что все пакеты, которые поступят на порт 1 с идентификатором виртуального канала 102, будут продвигаться на порт 3, а в поле идентификатора виртуального канала появится новое значение — 106. Так как виртуальные каналы в нашем примере двунаправленные, то для каждого канала в таблице коммутации должно существовать две записи, описывающие преобразование метки в каждом из направлений. Так, для записи 1-102-3-106 существует запись 3-106-1-102.

Метки виртуального канала имеют локальное для коммутатора и его порта значение то есть они никаким образом не принимаются во внимание на портах других коммутаторов'

Комбинации «метка-порт» должны бьт уникальными в пределах одного коммутатора; ; >

Непосредственно соединенные порты двух коммутаторов должны использовать согласованные значения меток для каждого виртуальногоканала, проходящего через эти порты. ;

Метка виртуального канала является локальным адресом этого канала, формально метка FR имеет название DLCI (Data Link Connection Identifier — идентификатор соединения уровня канала данных).

Метки DLCI переносятся кадрами FR; формат такого кадра показан на рис. 19.9.

Поле DLCI состоит из 10 бит, что позволяет задействовать до 1024 виртуальных соединений. Поле DLCI может занимать и большее число разрядов — этим управляют признаки расширения адреса EA0 и ЕА1 (аббревиатура ЕА как раз и означает Extended Address, то есть расширенный адрес). Если бит расширения адреса установлен в ноль, то признак называется EA0 и означает, что в следующем байте имеется продолжение поля адреса, а если бит расширения адреса равен 1, то поле называется ЕА1 и означает окончание поля адреса. Десятиразрядный формат DLCI является основным, но при использовании трех байтов для адресации поле DLCI имеет длину 16 бит, а при использовании четырех байтов — 23 бита.

Поле данных может иметь размер до 4056 байт.

Поле C/R переносит признак команды (Command) или ответа (Response). Этот признак является унаследованным от протоколов Х.25 и в операциях FR не используется.

Поля DE (Discard Eligibility), FECN (Forward-explicit congestion notification) и BECN (Backward-explicit congestion notification) используются протоколом FR для оповещения коммутаторов сети FR о возможности отбрасывания кадров (DE), а также о перегрузке в сети (FECN и BECN).

После того как виртуальные каналы установлены, конечные узлы могут использовать их для обмена информацией.

Для этого администратор сети должен для каждого конечного узла создать статические записи таблицы ARP. В каждой такой записи устанавливается соответствие между IP-адресом узла назначения и начальным значением метки виртуального канала, ведущего к этому узлу. Например, в таблице ARP компьютера С1 должна присутствовать запись, отображающая IP-адрес сервера С4 на метку 102 для виртуального канала, ведущего к серверу С4.

Давайте сейчас проследим путь одного кадра, отправленного компьютером С1 серверу С4. При отправлении кадра (этап 1 на рис. 19.8) компьютер помещает в поле адреса начальное значение метки 102, взятое из его таблицы ARP.

Коммутатор 51, получив на порт 1 кадр с меткой 102, просматривает свою таблицу коммутации и находит, что такой кадр должен быть переправлен на порт 3, а значение метки в нем должно быть заменено на 106.

ПРИМЕЧАНИЕ-

Операция по замене метки (label swapping) характерна для всех технологий, использующих технику виртуальных каналов. Может возникнуть законный вопрос: «А зачем менять значение метки на каждом коммутаторе? Почему бы не назначить каждому виртуальному каналу одно неизменяемое значение метки, которая бы играла роль физического адреса узла назначения?» Ответ состоит в том, что в первом случае уникальность меток достаточно обеспечивать в пределах каждого отдельного порта, а во втором — в пределах всей сети, что гораздо сложнее, так как требует наличия в сети централизованной службы назначения меток.

В результате действий коммутатора 51 кадр отправляется через порт 3 к коммутатору 52 (этап 2). Коммутатор 52, используя свою таблицу коммутации, находит соответствующую запись, заменяет значение метки на 117 и отправляет кадр узлу назначения — серверу С4. На этом обмен заканчивается, а при отправке ответа сервер С4 задействует метку 117 как адрес виртуального канала, ведущего к компьютеру С1.

Как видно из этого описания, коммутация выполняется очень экономично, так как преобразования передаваемых кадров минимальны — они сводятся только к замене значения метки. В кадрах указывается только адрес назначения, роль которого в сетях Frame Relay играет метка. В качестве адреса отправителя может быть использовано последнее значение метки, оно однозначно определяет путь в обратном направлении по виртуальному каналу, соединяющему получателя и отправителя.

Гарантии пропускной способности

Сети Frame Relay создавались для оказания коммерческих услуг операторов связи по передаче компьютерного трафика. Одной из новых и очень привлекательных для клиентов услуг Frame Relay стала поддержка гарантий пропускной способности виртуальных соединений. Для каждого виртуального соединения в технологии Frame Relay определяется несколько параметров, связанных со скоростью передачи данных.

? Согласованная скорость передачи данных (Committed Information Rate, CIR) — гарантированная пропускная способность соединения; фактически сеть гарантирует передачу данных пользователя со скоростью предложенной нагрузки, если эта скорость не превосходит CIR.

? Согласованная величина пульсации (Committed Burst Size, Вс) — максимальное количество байтов, которое сеть будет передавать от данного пользователя за интервал времени Г, называемый временем пульсации, соблюдая согласованную скорость CIR.

? Дополнительная величина пульсации (Excess Burst Size, Be) — максимальное количество байтов, которое сеть будет пытаться передать сверх установленного значения Вс за интервал времени Т.

Второй параметр пульсации Be позволяет оператору сети дифференцированно обрабатывать кадры, которые не укладываются в профиль CIR. Обычно кадры, которые приводят к превышению пульсации Вс, но не превышают пульсации Вс + Be, сетью не отбрасываются, а обслуживаются, но без гарантий по скорости CIR. Для запоминания факта нарушения в кадрах Frame Realy используется поле DE. И только если превышен порог Вс + Be, кадры отбрасываются.

Если приведенные величины определены, то время Т определяется следующей формулой:

Г - Bc/CIR.

Можно рассматривать значения CIR и Г в качестве варьируемых параметров, тогда производной величиной станет пульсация Вс. Обычно для контроля пульсаций трафика выбирается время Г, равное 1-2 секундам при передаче компьютерных данных и в диапазоне десятков-сотен миллисекунд при передаче голоса.

Соотношение между параметрами CIR, Вс, Be и Г иллюстрирует рис. 19.10 (R — скорость в канале доступа; /1-/5 — кадры).

Работа сети описывается двумя линейными функциями, показывающими зависимость количества переданных битов от времени: В = RxtnB = CIR х t. Средняя скорость поступления данных в сеть составила на этом интервале R бит/с, и она оказалась выше CIR. На рисунке представлен случай, когда за интервал времени Т в сеть по виртуальному каналу поступило 5 кадров. Кадры fufc и /з доставили в сеть данные, суммарный объем которых не превысил порог Вс, поэтому эти кадры ушли дальше транзитом с признаком DE = 0. Данные кадра /4, прибавленные к данным кадров /ь/2 и /3, уже превысили порог Вс, но еще не достигли порога Вс + Be, поэтому кадр/4 также ушел дальше, но уже с признаком DE = 1. Данные кадра /5, прибавленные к данным предыдущих кадров, превысили порог Вс + Be, поэтому этот кадр был удален из сети.

На рис. 19.11 приведен пример сети Frame Relay с пятью удаленными региональными отделениями корпорации. Обычно доступ к сети осуществляется по каналам с пропускной способностью, большей чем CIR. Однако при этом пользователь платит не за пропускную способность канала, а за заказанные величины CIR, Вс и Be. Так, при применении в качестве линии доступа канала Т1 и заказа обслуживания со скоростью CIR, равной 128 Кбит/с, пользователь будет платить только за скорость 128 Кбит/с, а скорость канала Т1 в 1,5 Мбит/с окажет влияние на верхнюю границу возможной пульсации Вс + Be.

Параметры качества обслуживания могут быть разными для разных направлений виртуального канала. Так, на рисунке абонент 1 соединен с абонентом 2 виртуальным каналом с меткой 136. При направлении от абонента 1 к абоненту 2 канал имеет среднюю скорость 128 Кбит/с с пульсациями Вс = 256 Кбит (интервал Тсоставил 1 с) и Be = 64 Кбит. А при передаче кадров в обратном направлении средняя скорость уже может достигать значения 256 Кбит/с с пульсациями Вс = 512 Кбит и Be = 128 Кбит.

Технология Frame Relay получила большое распространение в сетях операторов связи в 90-е годы благодаря простоте и возможности гарантировать клиентам пропускную способность соединений. Тем не менее в последнее время популярность услуг Frame Relay резко упала, в основном это произошло из-за появления технологии MPLS, которая, так же как и Frame Relay, основана на технике виртуальных каналов и может гарантировать

пропускную способность пользовательских соединений. Решающим преимуществе MPLS является ее тесная интеграция с технологией IP, за счет этого провайдерам лег формировать новые комбинированные услуги. Кроме того, функциональность MPLS по, держивается сегодня практически всеми маршрутизаторами среднего и высшего класс так что применение MPLS не требует установки в сети отдельных коммутаторов.

Более подробную информацию вы можете найти на сайте www.olifer.co.uk в разделе «Технология Frame Relay».

Технология ATM

Асинхродммй режим передачи (Asynchronous Transfer Mode, ATM )-— ото технология, осно-v венная на установлении, виртуальных каналов и предназначенная для использования в качестве , единого универсального транспорта нового поколения ретей с и^ефированнымрбслуживанием.

Под интегрированным обслуживанием здесь понимается способность сети передавать тр фик разного типа: чувствительный к задержкам (например, голосовой) трафик и эластик ный, то есть допускающий задержки в широких пределах (например, трафик электроннс почты или просмотра веб-страниц). Этим технология АТМ принципиально отличает( от технологии Frame Relay, которая изначально предназначалась только для передач эластичного компьютерного трафика.

Кроме того, в цели разработчиков технологии АТМ входило обеспечение широкой иера] хии скоростей и возможности использования первичных сетей SDH для соединения ко» мутаторов АТМ. В результате производители оборудования АТМ ограничились первым двумя уровнями иерархии скоростей SDH, то есть 155 Мбит/с (STM-1) и 622 Мбит/ (STM-4).

Ячейки АТМ

В технологии ATM для переноса данных используются ячейки. Принципиально ячейка отличается от кадра только тем, что имеет, во-первых, фиксированный, во-вторых, небольшой размер. Длина ячейки составляет 53 байта, а поля данных — 48 байт. Именно такие размеры позволяет сети ATM передавать чувствительный к задержкам аудио- и видеотрафик с необходимым уровнем качества.

Главным свойством АТМ, которое отличает ее от других технологий, является комплексная поддержка параметров QoS для всех основных видов трафика.

Для достижения этого свойства разработчики АТМ тщательно проанализировали все тип трафика и провели его классификацию. Мы уже познакомились с этой классификацие в главе 7, когда рассматривали требования различных приложений к QoS. Напомни? что в АТМ весь трафик разбивается на 5 классов, А, В, С, D и X. Первые четыре клас( представляют трафик типовых приложений, которые отличаются устойчивым наборо требований к задержкам и потерям пакетов, а также тем, что генерируют трафик с ш

стоянной (CBR) или переменной (VBR) битовой скоростью. Класс X зарезервирован для уникальных приложений, набор характеристик и требований которых не относится ни к одному из первых четырех классов.

Однако на какое количество классов мы бы ни разбивали существующий трафик, принципиальная задача от этого не меняется — нужно найти решение для успешного сосуществования в одном канале и эластичных, и чувствительных к задержкам классов трафика. Требования этих классов почти всегда противоречат друг другу. Одним из таких противоречий является требование к размеру кадра.

Эластичный трафик выигрывает от увеличения размера кадра, так как при этом снижаются накладные расходы на служебную информацию. Мы видели на примере Ethernet, что скорость передачи пользовательской информации может изменяться почти в два раза при изменении размера поля данных от его минимальной величины в 46 байт до максимальной в 1500 байт. Конечно, размер кадра не может увеличиваться до бесконечности, так как при этом теряется сама идея коммутации пакетов. Тем не менее для эластичного трафика при современном уровне скоростей размер кадра в несколько тысяч байтов является вполне приемлемым.

Напротив, чувствительный к задержкам трафик обслуживается лучше при использовании кадров небольшого размера в несколько десятков байтов. При применении больших кадров начинают проявляться два нежелательных эффекта:

? ожидание низкоприоритетных кадров в очередях;

? задержка пакетизации.

Рассмотрим эти эффекты на примере голосового трафика.

Мы знаем, что время ожидания кадра в очереди можно сократить, если обслуживать кадры чувствительного к задержкам трафика в приоритетной очереди. Однако если размер кадра может меняться в широком диапазоне, то даже при придании чувствительным к задержкам кадрам высшего приоритета обслуживания в коммутаторах время ожидания компьютерного пакета может все равно оказаться недопустимо высоким. Например, пакет в 4500 байт будет в течение 18 мс передаваться в выходной порт на скорости 2 Мбит/с (максимальная скорость работы порта коммутатора Frame Relay). При совмещении трафика за это время необходимо через тот же порт передать 144 замера голоса. Прерывать передачу пакета в сетях нежелательно, так как при распределенном характере сети накладные расходы на оповещение соседнего коммутатора о прерывании пакета, а потом — о возобновлении передачи пакета с прерванного места оказываются слишком большими.

Другой причиной явилось стремление ограничить еще одну составляющую задержки доставки данных — задержку пакетизации. Задержка пакетизации равна времени, в течение которого первый замер голоса ждет момента окончательного формирования пакета и отправки его по сети.

Механизм образования этой задержки иллюстрирует рис. 19.12.

На рисунке показан голосовой кодек — устройство, которое представляет голос в цифровой форме. Пусть он выполняет замеры голоса в соответствии со стандартной частотой 8 КГц (то есть через каждые 125 мкс), кодируя каждый замер одним байтом данных. Если мы используем для передачи голоса кадры Ethernet максимального размера, то в один кадр поместится 1500 замеров голоса. В результате первый замер, помещенный в кадр Ethernet, вынужден будет ждать отправки кадра в сеть (1500 - 1)х 125 = 187 375 мкс, или около 187 мс. Это весьма большая задержка для голосового трафика. Рекомендации стандартов говорят о величине 150 мс как о максимально допустимой суммарной задержке голоса, в которую задержка пакетизации входит как одно из слагаемых.

Рис. 19.12. Задержка пакетизации

ВНИМАНИЕ-

Важно отметить, что задержка пакетизации не зависит от битовой скорости протокола, а зависит только от частоты работы кодека и размера поля данных кадра. Это отличает ее от задержки ожидания в очереди, которая снижается с возрастанием битовой скорости.

Размер ячейки АТМ в 53 байта с полем данных 48 байт стал результатом компромисса между требованиями, предъявляемыми к сети при передаче эластичного и чувствительного к задержкам вариантов трафика. Можно сказать также, что компромисс был достигнут между телефонистами и компьютерщиками — первые настаивали на размере поля данных в 32 байта, а вторые — в 64 байта.

При размере поля данных в 48 байт одна ячейка АТМ обычно переносит 48 замеров голоса, которые делаются с интервалом в 125 мкс. Поэтому первый замер должен ждать примерно 6 мс, прежде чем ячейка будет отправлена по сети. Именно по этой причине телефонисты боролись за уменьшения размера ячейки, так как 6 мс — это задержка, близкая к пределу, за которым начинаются нарушения качества передачи голоса. При выборе размера ячейки в 32 байта задержка пакетизации составила бы 4 мс, что гарантировало бы более качественную передачу голоса. А стремление компьютерных специалистов увеличить поле данных хотя бы до 64 байт вполне понятно — при этом повышается полезная скорость передачи данных. Избыточность служебных данных при использовании 48-байтного поля данных составляет 10 %, а при использовании 32-байтного поля данных она сразу повышается до 16 %.

Виртуальные каналы АТМ

В сетях АТМ поддерживается два типа виртуальных каналов:

? постоянный виртуальный канал (Permanent Virtual Circuit, PVC);

? коммутируемый виртуальный канал (Switched Virtual Circuit, SVC), создание такого канала происходит динамически по инициативе конечного узла с использованием автоматической процедуры.

Каналы PVC аналогичны каналам такого же типа в сетях Frame Relay, а для поддержки динамически устанавливаемых каналов SVC в технологии АТМ добавлен специальный протокол сигнализации — это протокол, с помощью которого абоненты сети могут оперативно устанавливать каналы SVC. Такой тип протокола используется в телефонных сетях для установления соединения между телефонами абонентов. Для того чтобы протокол сигнализации мог работать, конечные узлы сети АТМ получили глобально уникальные 20-разрядные адреса, иначе абонент, являющийся инициатором установления виртуального канала, не смог бы указать, с каким абонентом он хочет связаться.

В технологии АТМ имеется также протокол маршрутизации PNNI (Private Network to Network Interface — интерфейс связи между частными сетями).

С целью обеспечения масштабируемости в сетях АТМ введено два уровня иерархии виртуальных каналов: виртуальный путь (virtual path) и виртуальное соединение (virtual circuit). Виртуальный путь определяется старшей частью номера метки виртуального канала, а виртуальное соединение — младшей. Каждый виртуальный путь включает в себя до 4096 виртуальных соединений, проходящих внутри этого пути. Достаточно определить маршрут для пути, и все соединения, которые находятся внутри этого пути, будут ему следовать.

Категории услуг АТМ

Для поддержания требуемого качества обслуживания и рационального расходования ресурсов в технологии АТМ реализовано несколько служб. Услуги этих служб разбиты на категории, которые, в общем, соответствуют классам трафика, поступающим на вход сети.

Всего не уровне Протокола ATM определено пять категорий услуг:

Q Cllit (Constant Bit R$te) — для трафика с постоянной битовой скоростью, например голосового;

Q rtVBR (real-time Variable Bit Rate)—для трафика с переменной битовой скоростью, требующего соблюдения средней скорости передачи данных и синхронизации источника и приемника (примером является видеотрафик с переменной битовой скоростью, который вырабатывают многие видеокодеки за счет использования опорных кадров и кадров, описывающих изменения изображения относительно опорного кадра);

. Q nrtVBR (non real-time Variable Bit Rate) — для трафика с переменной битовой скоростью, требующего соблюдения средней скорости передачи данных и не требующего синхронизации источника и приемника;

? ABR (Available Bit Rate) — для трафика g переменной битовой скоростью, требующего соблюдения некоторой минимальной скорости передачи данных и не требующего синхронизации источника и приемника;

Q UBR (Unspecified Bit Rate) — для трафика, не предъявляющего требований к скорости перед ачи данных и синхронизации источника и приемника.

Отсюда видно, что сети АТМ отличаются от сетей Frame Relay большей степенью соответствия услуг требованиям трафика определенного типа, так как в сетях АТМ нужный уровень обслуживания задается не только численными значениями параметров CIR, Вс и Be, но и самой категорией услуги.

Технология АТМ, как и технология Frame Relay, пережила пик своей популярности, и сейчас область ее применения быстро сужается. Одной из причин этого стало появление сетей DWDM и расширение верхней границы скорости сетей Ethernet, предоставляющих

относительно дешевую пропускную способность. Еще одной причиной снижения интере< к АТМ стала сложность этой технологии. В частности, некоторые проблемы возникай из-за использования ячеек маленького размера — на высоких скоростях оборудован! с трудом справляется с обработкой таких интенсивных потоков ячеек (сравните колич ство кадров Ethernet максимальной длины с количеством ячеек ATM, необходимых щ передачи одного и того же объема информации с той же самой скоростью).

Как и в случае Frame Relay, появление технологии MPLS, которая, с одной стороны, о! ладает некоторыми свойствами ATM, например поддерживает детерминированное! маршрутов (это общее свойство технологий, основанных на технике виртуальных путей а с другой — использует кадры любого формата и тесно интегрирована с IP, усугубш положение АТМ. Одной из областей, где АТМ по-прежнему удерживает позиции, явл; ется широкополосный доступ в Интернет. Если вы посмотрите на конфигурацию ваше] домашнего маршрутизатора ADSL, то, скорее всего, увидите там записи, относящиее к стеку АТМ.

Более подробную информацию вы можете найти на сайте www.olifer.co.uk в разделе «Технология АТМ».

Виртуальные частные сети

Услуга виртуальных частных сетей является одной из основных услуг, которую предоста] ляют сети FR и АТМ. Вооруженные знанием основных принципов работы технологий F и АТМ, мы теперь можем более подробно рассмотреть и классифицировать эти услуг) Любая систематизация знаний полезна сама по себе, кроме того, она нам понадобится пр изучении технологий MPLS и Carrier Ethernet, которые формировались во многом дл реализации услуг VPN.

Из самого названия — виртуальная частная сеть — следует, что она каким-то образо воспроизводит свойства реальной частной сети. Без всяких натяжек назвать сеть часп ной можно только в том случае, если предприятие единолично владеет и управляет все сетевой инфраструктурой — кабелями, кроссовым оборудованием, каналообразующе аппаратурой, коммутаторами, маршрутизаторами и другим коммуникационным обор> дованием.

Перечислим, в чем выражается эта изолированность.

? Независимый выбор сетевых технологий. Выбор ограничивается только возможностям производителей оборудования.

? Независимая система адресации. В частных сетях нет ограничений на выбор адресов -они могут быть любыми.

? Предсказуемая производительность. Собственные линии связи гарантируют заране известную пропускную способность между узлами предприятия (для глобальны соединений) или коммуникационными устройствами (для локальных соединений

? Максимально возможная безопасность. Отсутствие связей с внешним миром ограждает сеть от атак извне и существенно снижает вероятность «прослушивания» трафика по пути следования.

Однако частная сеть — решение крайне неэкономичное! Такие сети, особенно в национальном или международном масштабах, могут себе позволить только очень крупные и богатые предприятия. Создание частной сети — привилегия тех, кто имеет производственные предпосылки для разработки собственной сетевой инфраструктуры. Например, нефтяные или газовые компании способны с относительно невысокими издержками прокладывать собственные технологические кабели связи вдоль трубопроводов. Частные сети были популярны в относительно далеком прошлом, когда общедоступные сети передачи данных были развиты очень слабо. Сегодня же их почти повсеместно вытеснили сети VPN, которые представляют собой компромисс между качеством услуг и их стоимостью.

В зависимости от того, кто реализует сети VPN, они подразделяются на два вида.

? Поддерживаемая клиентом виртуальная частная сеть (Customer Provided Virtual Private Network, CP VPN) отражает тот факт, что все тяготы по поддержке сети VPN ложатся на плечи потребителя. Поставщик предоставляет только «простые» традиционные услуги общедоступной сети по объединению узлов клиента, а специалисты предприятия самостоятельно конфигурируют средства VPN и управляют ими.

? В случае поддерживаемой поставщиком виртуальной частной сети (Provider Provisioned Virtual Private Network, PPVPN) поставщик услуг на основе собственной сети воспроизводит частную сеть для каждого своего клиента, изолируя и защищая ее от остальных. Такой способ организации VPN сравнительно нов и не столь широко распространен, как первый.

В последние год-два популярность сетей PPVPN растет — заботы по созданию и управлению VPN довольно обременительны и специфичны, поэтому многие предприятия предпочитают переложить их на плечи надежного поставщика. Реализация услуг VPN позволяет поставщику оказывать и ряд дополнительных услуг, включая контроль за работой клиентской сети, веб-хостинг и хостинг почтовых служб, хостинг специализированных приложений клиентов.

Помимо деления сетей VPN на CPVPN и PPVPN существует еще и другая классификация — в зависимости от места расположения устройств, выполняющих функции VPN. Виртуальная частная сеть может строиться:

? на базе оборудования, установленного на территории потребителя (Customer Premises Equipment based VPN, CPE-based VPN, или Customer Edge based VPN, CE-based VPN);

? на базе собственной инфраструктуры поставщика (Network-based VPN, или Provider Edge based VPN, PE-based VPN).

В любом случае основную часть функций (или даже все) по поддержанию VPN выполняют пограничные устройства сети — либо потребителя, либо поставщика.

Сети, поддерживаемые поставщиком, могут строиться как на базе инфраструктуры поставщика, так и на базе оборудования, установленного на территории потребителя. Первый вариант наиболее понятен: поставщик управляет расположенным в его сети оборудованием. Во втором случае оборудование VPN расположено на территории клиента, но поставщик управляет им удаленно, что освобождает специалистов предприятия-клиента от достаточно сложных и специфических обязанностей.

Когда VPN поддерживается клиентом (CPVPN), оборудование всегда находится в его сети, то есть VPN строится на базе устройств клиента (CE-based).

Сеть VPN, как и любая гшитпирующая система*, характеризуется, во-первых, тем, какие свойства объекта имитируются, во-вторых, степенью приближенности к оригиналу, в-третьих, используемыми средствами имитации.

Рассмотрим, какие элементы частной сети являются предметом «виртуализации» в VPN.

Практически все сети VPN имитируют собственные каналы в сетевой инфраструктуре поставщика, предназначенной для обслуживания множества клиентов.

В том случае, когда имитируется инфраструктура каналов одного предприятия, то услуги VPN называют также услугами интранет (intranet), или внутренней сети, а в том случае, когда к таким каналам добавляются также каналы, соединяющие предприятие с его предприятиями-партнерами, с которыми также необходимо обмениваться информацией в защищенном режиме, — услугами экстранет (extranet), или внешней сети.

Термин «виртуальная частная сеть» применяется только тогда, когда «собственные» физические каналы имитируются средствами пакетных технологий: ATM, Frame Relay, IP, IP/MPLS или Carrier Ethernet. Качество связи между узлами клиентов в этом случае уже вполне ощутимо отличается от того, которое было бы при их реальном соединении собственным физическим каналом. В частности, появляется неопределенность пропускной способности и других характеристик связи, поэтому определение «виртуальная» становится здесь уместным. При применении пакетных сетей для построения VPN клиентам предоставляются не только физические каналы, но и определенная технология канального уровня (например, АТМ или Frame Relay), а при использовании IP — и сетевого.

Виртуальная частная сеть может имитировать не только физические каналы, но и более высокоуровневые свойства сети. Так, может быть спроектирована сеть VPN, способная поддерживать IP-трафик клиента с созданием эффекта изолированной IP-сети. В этом случае VPN производит некоторые дополнительные сетевые операции над клиентским трафиком — сбор разнообразной статистики, фильтрацию и экранирование взаимодействий между пользователями и подразделениями одного и того же предприятия (не нужно путать с экранированием от внешних пользователей — это основная функция VPN) и т. п.

Имитация сервисов прикладного уровня встречается в VPN гораздо реже, чем имитация собственно транспортных функций, но также возможна. Например, поставщик в состоянии поддерживать для клиента веб-сайты, почтовую систему или специализированные приложения управления предприятием.

Другим критерием, используемым при сравнении VPN, является степень приближенности сервисов, предлагаемых VPN, к свойствам сервисов частной сети.

Во-первых, важнейшим свойством сервисов частной сети является безопасность. Безопасность VPN подразумевает весь набор атрибутов защищенной сети — конфиденциальность, целостность и доступность информации при передаче через общедоступную сеть, а также защищенность внутренних ресурсов сетей потребителя и поставщика от внешних атак. Степень безопасности VPN варьируется в широких пределах в зависимости от применяемых средств защиты: шифрования трафика, аутентификации пользователей и устройств изоляции адресных пространств (например, на основе техники NAT), использования виртуальных каналов и двухточечных туннелей, затрудняющих подключение к ним ⁶⁸ несанкционированных пользователей. Так как ни один способ защиты не дает абсолютных гарантий, то средства безопасности могут комбинироваться для создания эшелонированной обороны.

Во-вторых, желательно, чтобы сервисы VPN приближались к сервисам частной сети по качеству обслуживания. Качество транспортного обслуживания подразумевает, в первую очередь, гарантии пропускной способности для трафика клиента, к которым могут добавляться и другие параметры QoS — максимальные задержки и процент потерянных данных. В пакетных сетях пульсации трафика, переменные задержки и потери пакетов — неизбежное зло, поэтому степень приближения виртуальных каналов к каналам TDM всегда неполная и вероятностная (в среднем, но никаких гарантий для отдельно взятого пакета). Разные пакетные технологии отличаются различным уровнем поддержки параметров QoS. В ATM, например, механизмы качества обслуживания наиболее совершенны и отработаны, а в IP-сетях они только начинают внедряться. Поэтому далеко не каждая сеть VPN пытается воссоздать эти особенности частной сети. Считается, что безопасность — обязательное свойство VPN, а качество транспортного обслуживания — только желательное.

В-третьих, сеть VPN приближается к реальной частной сети, если она обеспечивает для клиента независимость адресного пространства. Это дает клиенту одновременно и удобство конфигурирования, и способ поддержания безопасности. Причем желательно, чтобы не только клиенты ничего не знали об адресных пространствах друг друга, но и магистраль поставщика имела собственное адресное пространство, неизвестное пользователям. В этом случае сеть поставщика услуг будет надежнее защищена от умышленных атак или неумышленных действий своих клиентов, а значит, более высоким будет качество предоставляемых услуг VPN.

Существенное влияние на свойства виртуальных частных сетей оказывают технологии, с помощью которых эти сети строятся. Все технологии VPN можно разделить на два класса в зависимости от того, каким образом они обеспечивают безопасность передачи данных:

? технологии разграничения трафика;

? технологии шифрования.

Сети VPN на основе техники шифрования рассматриваются в главе 24.

В технологиях разграничения трафика используется техника постоянных виртуальных каналов, обеспечивающая надежную защиту трафика каждого клиента от намеренного или ненамеренного доступа к нему других клиентов публичной сети. К этому типу технологий относятся:

? ATMVPN;

? Frame Relay VPN;

? MPLS VPN;

? Carrier Ethernet VPN.

Двухточечные виртуальные каналы этих технологий имитируют сервис выделенных каналов, проходя от пограничного устройства (Client Edge, СЕ) одного сайта клиента через поставщика к СЕ другого сайта клиента.

ВНИМАНИЕ-

Под термином «сайт» здесь понимается территориально обособленный фрагмент сети клиента. Например, о корпоративной сети, в которой сеть центрального отделения связывается с тремя удаленными филиалами, можно сказать, что она состоит из четырех сайтов.

Защита данных достигается благодаря тому, что несанкционированный пользователь не может подключиться к постоянному виртуальному каналу, не изменив таблицы коммутации устройств поставщика услуг, а значит, ему не удастся провести атаку или прочитать данные. Свойство защищенности трафика является естественным свойством техники виртуальных каналов, поэтому сервисы ATM VPN и Frame Relay VPN являются на самом деле не чем иным, как обычными сервисами PVC сетей АТМ или Frame Relay. Любой пользователь АТМ или Frame Relay, использующий инфраструктуру PVC для связи своих локальных сетей, потребляет услугу VPN даже в том случае, когда он это явно не осознает. Это одно из «родовых» преимуществ техники виртуальных каналов по сравнению с дейтаграммной техникой, так как при применении последней без дополнительных средств VPN пользователь оказывается не защищенным от атак любого другого пользователя сети.

Так как в технологиях АТМ и Frame Relay при передаче данных используются только два уровня стека протоколов, варианты VPN, построенные на их основе, называют также сетями VPN уровня 2 (Layer 2 VPN, L2VPN). Наличие в технологиях АТМ и Frame Relay механизмов поддержания параметров QoS позволяет ATM VPN и Frame Relay VPN достаточно хорошо приближаться к частным сетям на выделенных каналах.

Информация третьего уровня никогда не анализируется и не меняется в этих сетях — это одновременно и достоинство, и недостаток. Преимущество в том, что клиент может передавать по такому виртуальному каналу трафик любых протоколов, а не только IP. Кроме того, IP-адреса клиентов и поставщика услуг изолированы и независимы друг от друга — они могут выбираться произвольным образом, так как не используются при передаче трафика через магистраль поставщика. Никаких других знаний о сети поставщика услуг, помимо значений меток виртуальных каналов, клиенту не требуется. Недостаток этого подхода состоит в том, что поставщик не оперирует IP-трафиком клиента и, следовательно, не может оказывать дополнительные услуги, связанные с сервисами IP, а это сегодня очень перспективное направление бизнеса поставщиков услуг.

Главным недостатком сети L2VPN является ее сложность и достаточно высокая стоимость. При организации полносвязной топологии сайтов клиента зависимость операций конфигурирования от числа сайтов имеет квадратичный характер (рис. 19.13, а).

Действительно, для соединения V сайтов необходимо создать N* (N- 1)/2 двунаправленных виртуальных каналов или N* (N- 1) однонаправленных. В частности, при значении N, равном 100, потребуется 5000 операций конфигурирования. И хотя они и выполняются с помощью автоматизированных систем администрирования, ручной труд и вероятность ошибки все равно сохраняются. При поддержке только услуг интранет общее количество конфигурируемых соединений прямо пропорционально количеству клиентов — и это хорошо! Но оказание услуг экстранет ухудшает ситуацию, так как подразумевает необходимость обеспечить связь сайтов разных клиентов. Масштабируемость сети ATM/FR VPN можно улучшить, если клиент откажется от полносвязной топологии и организует связи типа «звезда» через один или несколько выделенных транзитных сайтов (рис. 19.13, 6). Конечно, производительность сети клиента при этом снизится, так как увеличится число транзитных передач информации. Однако экономия средств будет налицо — поставщики услуг взимают деньги за свои виртуальные каналы, как правило, «поштучно».

Клиенты сети ATM/FR VPN не могут нанести ущерб друг другу, а также атаковать IP-сеть поставщика. Сегодня поставщик услуг всегда располагает IP-сетью, даже если он оказывает только услуги ATM/FR VPN. Без IP-сети и ее сервисов администрирования он просто не сможет управлять своей сетью ATM/FR. IP-сеть является оверлейной (наложенной) по отношению к сетям АТМ или FR, поэтому клиенты ATM/FR ничего не знают о ее структуре и даже о ее наличии (рис. 19.14).

Сети MPLS VPN могут строиться как по схеме L2VPN, так и по другой схеме, использующей протоколы трех уровней. Такие сети называют сетями VPN уровня 3 (Layer 3 VPN, L3VPN). В технологии L3VPN также применяется техника LSP для разграничения трафика клиентов внутри сети поставщика услуг, поддерживающей технологию MPLS.

Сеть L3VPN взаимодействует с сетями клиентов на основе IP-адресов, a L2VPN — на основе адресной информации второго уровня, например МАС-адресов или идентификаторов виртуальных каналов Frame Relay.

IP в глобальных сетях

Чистая IP-сеть

В зависимости от того, как устроены слои глобальной сети, находящиеся под уровнем IP, можно говорить о «чистых» IP-сетях и об IP «поверх» (over) какой-нибудь технологии, например АТМ. Название «чистая» IP-сеть говорит о том, что под уровнем IP не находится никакого другого уровня, выполняющего коммутацию пакетов (кадров или ячеек).

В такой сети цифровые каналы по-прежнему образуются инфраструктурой двух нижних уровней, а этими каналами непосредственно пользуются интерфейсы 1Р-маршрутизаторов без какого-либо промежуточного уровня. В том случае, когда IP-маршрутизатор использует каналы, образованные в сети SDH/SONET, вариант IP-сети получил название пакетной сети, работающей поверх SONET⁶⁹ (Packet Over SONET, POS). Для случая, когда IP пользуется каналами DWDM, употребляется название IP поверх DWDM.

Чистая IP-сеть может успешно применяться для передачи чувствительного к задержкам трафика современных приложений в двух случаях:

? если IP-сеть работает в режиме низкой нагрузки, поэтому сервисы всех типов не страдают от эффекта очередей, так что сеть не требует поддержания параметров QoS;

? если слой IP обеспечивает поддержку параметров QoS собственными средствами за счет применения механизмов IntServ или DiffServ.

Для того чтобы маршрутизаторы в модели чистой IP-сети могли использовать цифровые каналы, на этих каналах должен работать какой-либо протокол канального уровня. Существует несколько протоколов канального уровня, специально разработанных для двухточечных соединений глобальных сетей. В эти протоколы встроены процедуры, полезные при работе в глобальных сетях:

? взаимная аутентификация удаленных устройств часто требуется для защиты сети от «ложного» маршрутизатора, перехватывающего и перанаправляющего трафик с целью его прослушивания;

? согласование параметров обмена данными на канальном и сетевом уровнях применяется при удаленном взаимодействии, когда два устройства расположены в разных городах, перед началом обмена часто необходимо автоматически согласовывать такие, например, параметры, как MTU.

Из набора существующих двухточечных протоколов протокол IP сегодня использует два: HDLC и РРР. Существует также устаревший протокол SLIP (Serial Line Internet Protocol — межсетевой протокол для последовательного канала), который долгое время был основным протоколом удаленного доступа индивидуальных клиентов к IP-сети через телефонную сеть. Однако сегодня он уже не применяется.

Помимо уже упомянутых протоколов, в глобальных сетях на выделенных каналах IP-маршрутизаторы нередко используют какой-либо из высокоскоростных вариантов Ethernet: Fast Ethernet, Gigabit Ethernet или 10G Ethernet. Усовершенствования, сделанные в технологии Carrier Ethernet и направленные на повышение эксплуатационных свойств классического варианта Ethernet, отражают потребности применения этой технологии в глобальных сетях.

Протокол HDLC

Data Unk Control -7 высокоуровневое управление линией связи), пред-

канального уровня.

Первое, что мы отметим по поводу протокола HDLC, — его функциональное разнообразие. Он может работать в нескольких весьма отличающихся друг от друга режимах, поддерживает не только двухточечные соединения, но и соединения с одним источником и несколькими приемниками, он также предусматривает различные функциональные роли взаимодействующих станций. Сложность HDLC объясняется тем, что это очень «старый» протокол, разработанный еще в 70-е годы для ненадежных каналов связи. Поэтому в одном из режимов протокол HDLC подобно протоколу TCP поддерживает процедуру установления логического соединения и процедуры контроля передачи кадров, а также восстанавливает утерянные или поврежденные кадры. Существует и дейтаграммный режим работы HDLC, в котором логическое соединение не устанавливается, а кадры не восстанавливаются.

В IP-маршрутизаторах чаще всего используется версия протокола HDLC, разработанная компанией Cisco. Несмотря на то что эта версия является фирменным протоколом, она стала стандартом де-факто для IP-маршрутизаторов большинства производителей. Версия Cisco HDLC работает только в дейтаграммном режиме, что соответствует современной ситуации с незашумленными надежными каналами связи. По сравнению со стандартным протоколом версия Cisco HDLC включает несколько расширений,, главным из которых является многопротокольная поддержка. Это означает, что в заголовок кадра Cisco HDLC добавлено поле типа протокола, подобное полю EtherType. Это поле содержит код протокола, данные которого переносит кадр Cisco HDLC. В стандартной версии HDLC такое поле отсутствует.

Протокол РРР

Протокол РРР (Point-to-Point Protocol — протокол двухточечной связи) является стандартным протоколом Интернета. Протокол РРР, так же как и HDLC, представляет собой целое семейство протоколов, в которое, в частности, входят:

? протокол управления линией связи (Link Control Protocol, LCP);

? протокол управления сетью (Network Control Protocol, NCP);

? многоканальный протокол РРР (Multi Link РРР, MLPPP);

? протокол аутентификации по паролю (Password Authentication Protocol, PAP);

? протокол аутентификации по квитированию вызова (Challenge Handshake Authentication Protocol, CHAP).

ПРИМЕЧАНИЕ-

В корпоративной сети конечные системы часто отличаются размерами буферов для временного хранения пакетов, ограничениями на размер пакета, списком поддерживаемых протоколов сетевого уровня. Физическая линия, связывающая конечные устройства, может варьироваться от низкоскоростной аналоговой до высокоскоростной цифровой линии с различными уровнями качества обслуживания.

Протокол, в соответствии с которым принимаются параметры соединения, называется протоколом управления линией связи (LCP). Чтобы справиться со всеми возможными ситуациями, в протоколе РРР имеется набор стандартных параметров, действующих по умолчанию и учитывающих все стандартные конфигурации. При установлении соединения два взаимодействующих устройства для нахождения взаимопонимания пытаются сначала использовать эти параметры. Каждый конечный узел описывает свои возможности и требования. Затем на основании этой информации принимаются параметры соединения, устраивающие обе стороны. Переговорная процедура протоколов может и не завершиться соглашением о каком-нибудь параметре. Если, например, один узел предлагает в качестве MTU значение 1000 байт, а другой отвергает это предложение и в свою очередь предлагает значение 1500 байт, которое отвергается первым узлом, то по истечении тайм-аута переговорная процедура может закончиться безрезультатно.

Одним из важных параметров соединения РРР является режим аутентификации. Для целей аутентификации РРР предлагает по умолчанию протокол аутентификации по паролю (РАР), передающий пароль по линии связи в открытом виде, или протокол аутентификации по квитированию вызова (CHAP), не передающий пароль по линии связи и поэтому обеспечивающий более высокий уровень безопасности сети. Пользователям также разрешается добавлять новые алгоритмы аутентификации. Кроме того, пользователи могут влиять на выбор алгоритмов сжатия заголовка и данных.

Многопротокольная поддержка — способность протокола РРР поддерживать несколько протоколов сетевого уровня — обусловила распространение РРР как стандарта де-факто. Внутри одного соединения РРР могут передаваться потоки данных различных сетевых протоколов, включая IP, Novell IPX и многих других, сегодня уже не употребляющихся, а также данные протоколов канального уровня локальной сети.

Каждый протокол сетевого уровня конфигурируется отдельно с помощью соответствующего протокола управления сетью (NCP). Под конфигурированием понимается, во-первых, констатация того факта, что данный протокол будет использоваться в текущем сеансе РРР, а во-вторых, переговорное согласование некоторых параметров протокола. Больше всего параметров устанавливается для протокола IP, включая IP-адреса взаимодействующих узлов, IP-адреса DNS-серверов, признак компрессии заголовка IP-пакета и т. д. Для каждого протокола конфигурирования протокола верхнего уровня, помимо общего названия NCP, употребляется особое название, построенное путем добавления аббревиатуры СР (Control Protocol — протокол управления) к имени конфигурируемого протокола, например для IP — это протокол IPCP, для IPX — IPXCP и т. п.

Расширяемость протокола. Под этим свойством РРР понимается как возможность включения новых протоколов в стек РРР, так и возможность применения собственных протоколов пользователей вместо рекомендуемых в РРР по умолчанию. Это позволяет наилучшим образом настроить РРР для каждой конкретной ситуации.

Одной из привлекательных способностей протокола РРР является способность использования нескольких физических линий связи для образования одного логического канала, то есть агрегирование каналов (об агрегировании линий связи см. также в главе 14). Эту возможность реализует многоканальный протокол PPP(MLPPP).

Использование выделенных линий 1Р-маршрутизаторами

Схема использования выделенной линии маршрутизатором показана на рис. 19.15. Для соединения порта маршрутизатора с выделенной линией необходимо устройство DCE соответствующего типа. Это устройство призвано обеспечить согласование физического интерфейса маршрутизатора с интерфейсом физического уровня, используемого выделенной линией, например V.35 с Т1.

Если выделенная линия является аналоговой, то устройством DCE будет модем, а если цифровой — то устройство DSU/CSU.

Порт маршрутизатора может включать встроенное устройство DCE. Например, маршрутизатор, рассчитанный на работу с каналом SDH, обычно имеет встроенный порт с интерфейсом SDH определенной скорости STM-N.

Встроенные порты PDH/SDH могут как поддерживать, так и не поддерживать внутреннюю структуру кадров этих технологий. В том случае, когда порт различает подкадры, из которых состоит кадр, например отдельные тайм-слоты кадра Е1 или отдельные виртуальные контейнеры VC-12 (2 Мбит/с), входящие в кадр STM-1, иЪорт может использовать их как отдельные физические подканалы, то говорят, что это порт с разделением каналов. Каждому такому каналу присваивается отдельный IP-адрес. В противном случае порт целиком рассматривается как один физический канал с одним IP-адресом.

В качестве примера на рис. 19.15 выбрано соединение двух маршрутизаторов через цифровой канал Е1, установленный в сети PDH. Маршрутизатор использует для подключения к каналу устройство DSU/CSU с внутренним интерфейсом RS-449 и внешним интерфейсом G.703, который определен в качестве интерфейса доступа к каналам PDH.

Маршрутизаторы после подключения к выделенной линии и локальной сети необходимо конфигурировать. Выделенный канал является отдельной IP-подсетью, как и локальные подсети 1 и 2, которые он соединяет. Этой подсети можно также дать некоторый IP-адрес из диапазона адресов, которым распоряжается администратор составной сети. В приведенном примере выделенному каналу присвоен адрес подсети 201.20.23.64, состоящей из двух узлов, что определяется маской 255.255.255.252.

Интерфейсам маршрутизаторов, связанных выделенной линией, можно и не присваивать IP-адрес — такой интерфейс маршрутизатора называется ненумерованным. Действительно, отсылая пакеты протокола маршрутизации (RIP или OSPF) по выделенному каналу, маршрутизаторы непременно их получат. Протокол ARP на выделенном канале не используется, так как аппаратные адреса на таком канале не имеют практического смысла.

Работа IP-сети поверх сети ATM

Рассмотрим взаимодействие слоя IP со слоем АТМ на примере сети, представленной на рис. 19.16.

В сети АТМ проложено шесть постоянных виртуальных каналов, соединяющих порты IP-маршрутизаторов. Каждый порт маршрутизатора в качестве конечного узла должен поддерживать технологию АТМ. После того как виртуальные каналы установлены, маршрутизаторы могут пользоваться ими как физическими, посылая данные порту соседнего (по отношению к виртуальному каналу) маршрутизатора.

В сети АТМ образуется сеть виртуальных каналов с собственной топологией. Топология виртуальных каналов, соответствующая сети, представленной на рис. 19.16, показана на рис. 19.17. Сеть АТМ прозрачна для IP-маршрутизаторов, они ничего не знают о физических связях между портами коммутаторов АТМ. IP-сеть является наложенной (оверлейной) по отношению к сети АТМ.

Для того чтобы протокол IP мог корректно работать, ему необходимо знать соответствие между IP-адресами соседей и адресами виртуальных каналов АТМ, с помощью которых достижим соответствующий IP-адрес. То есть нужно уметь отображать сетевые адреса на аппаратные, роль которых в данном случае играют адреса виртуальных каналов АТМ. Другими словами, протоколу IP необходим некий вариант протокола ARP. Поскольку сеть АТМ не поддерживает широковещательных запросов, таблица соответствия адресов не может быть создана автоматически. Администратор IP-сети должен вручную выполнить конфигурирование каждого интерфейса маршрутизатора, задав таблицу соответствия для всех номеров виртуальных каналов, исходящих из этого интерфейса и входящих в него. При этом физический интерфейс может быть представлен в виде набора логических интерфейсов (или подинтерфейсов), имеющих IP-адреса.

Например, в маршрутизаторах компании Cisco Systems команды конфигурирования логического интерфейса, соответствующего виртуальному каналу с адресом VPI/VCI, равным 0/36, выглядят следующим образом:

pvc 0/36

protocol ip 10.2.1.1

После выполнения этих команд маршрутизатор будет знать, что для пересылки пакета по адресу 10.2.1.1 ему потребуется разбить пакет на последовательность ячеек АТМ (с помощью функции SAR интерфейса ATM) и отправить их все по постоянному виртуальному каналу с адресом 0/36.

Если многослойная сеть IP/АТМ предназначается для передачи трафика различных классов с соблюдением параметров QoS для каждого класса, то соседние маршрутизаторы должны быть связаны несколькими виртуальными каналами, по одному для каждого класса. Маршрутизатору должна быть задана политика классификации пакетов, позволяющая отнести передаваемый пакет к определенному классу. Пакеты каждого класса направляются на соответствующий виртуальный канал, который обеспечивает трафику требуемые параметры QoS. Однако предварительно необходимо провести инжиниринг трафика для сети АТМ, определив оптимальные пути прохождения трафика и соответствующим образом проложив виртуальные каналы. Результатом такой работы будет соблюдение требований к средним скоростям потоков, а коэффициент загрузки каждого интерфейса коммутаторов АТМ не превысит определенной пороговой величины, гарантирующей каждому классу трафика приемлемый уровень задержек.

Выводы

Основными типами транспортных услуг глобальных компьютерных сетей являются услуги выделенных линий, доступа в Интернет и виртуальных частных сетей (VPN).

Сервис виртуальных частных сетей может быть реализован различными способами и с различной степенью приближения к сервису частных сетей на выделенных каналах, который он эмулирует.

Большинство современных глобальных сетей являются составными IP-сетями, а отличия между ними заключаются в технологиях, лежащих подуровнем IP.

Крупные глобальные сети часто строятся по четырехуровневой схеме, где два нижних уровня — это уровни первичной сети, образуемые технологиями DWDM и OTN/SDH. На основе первичной сети оператор сети строит каналы наложенной (оверлейной) сети — пакетной или телефонной. IP-сеть образует верхний уровень.

Каждый слой такой сети может выполнять две функции:

? предоставление услуг конечным пользователям;

? поддержка функций вышележащих уровней сети оператора.

Техника виртуальных каналов дает оператору сети большую степень контроля над путями прохождения данных, чем техника дейтаграммной передачи данных, применяемая в таких технологиях, как IP и Ethernet. По этой причине в большинстве технологий канального уровня, разработанных специально для глобальных сетей, таких как Frame Relay и АТМ, используется техника виртуальных каналов.

Сети Frame Relay работают на основе постоянных виртуальных каналов. Эти сети создавались специально для передачи пульсирующего компьютерного трафика, поэтому при резервировании пропускной способности указывается средняя скорость передачи (CIR) и согласованный объем пульсаций (Вс).

Технология АТМ является дальнейшим развитием идей предварительного резервирования пропускной способности виртуального канала, реализованных в технологии Frame Relay. Технология ATM поддерживает основные виды трафика для абонентов разного типа: трафик CBR, характерный для телефонных сетей и сетей передачи изображения, трафик VBR, характерный для компьютерных сетей, а также для передачи компрессированных голоса и изображения.

«Чистая» IP-сеть отличается от многослойной тем, что подуровнем IP нет другой сети с коммутацией пакетов, такой как АТМ или Frame Relay, и IP-маршругизаторы связываются между собой выделенными каналами (физическими или соединениями PDK/SDH/DWDM).

Из набора существующих двухточечных протоколов протокол IP сегодня использует два: HDLC и PPR Каждый из них представляет целое семейство протоколов, работающих на канальном уровне.

Сеть VPN может быть реализована как самим предприятием, так и поставщиком услуг. Она может строиться на базе оборудования, установленного на территории и потребителя, и поставщика услуг.

Технологии VPN можно разделить на два класса в зависимости от того, каким образом они обеспечивают безопасность передачи данных: технологии разграничения трафика (ATM VPN, Frame Relay VPN, MPLS VPN) и технологии на основе шифрования (IPSec VPN).

Вопросы и задания

1. В чем заключаются преимущества услуг виртуальных частных сетей по сравнению с услугами выделенных каналов с точки зрения поставщика этих услуг? Варианты ответов:

а) их легче конфигурировать;

б) можно обслужить большее число клиентов, имея ту же инфраструктуру физических каналов связи;

в) легче контролировать соглашения SLA.

2. В чем заключаются недостатки услуг виртуальных частных сетей по сравнению с услугами выделенных каналов с точки зрения клиентов? Варианты ответов:

а) возможны задержки и потери пакетов;

б) не всегда есть гарантии пропускной способности соединений;

в) высокая стоимость услуг.

3. Причинами популярности техники виртуальных каналов в глобальных сетях являются следующие их свойства:

а) высокая надежность;

б) контроль над путями прохождения трафика;

в) эффективность при оказании услуг VPN;

г) эффективность работы по схеме «каждый с каждым».

4. В каких из приведенных примеров применяется туннелирование? Варианты ответов:

а) передача IP-пакетов через сеть Frame Relay;

б) передача кадров Ethernet с сохранением МАС-адресов через 1Р-сеть;

в) передача зашифрованных IP-пакетов через Интернет.

5. Какой протокол чаще всего исполняет роль несущего протокола при туннелировании?

6. Уникальность метки DLCI должна быть обеспечена в пределах:

а) сети Framew Relay данного провайдера;

б) порта отдельного коммутатора сети; ц) отдельного коммутатора сети.

7. В соглашении SLA между клиентом и поставщиком услуг Frame Relay оговаривается значение CIR = 512 Кбит/с на периоде 100 мс, при этом при подсчете скорости учитывается только поле данных кадров Frame Relay. На очередном периоде 100 мс пограничный коммутатор клиента послал в сеть 7 кадров с размерами поля данных 1000, 1500,1200,1500,1000,1300 и 1500 байт соответственно. Были ли эти кадры помечены пограничным коммутатором провайдера признаком DE = 1, а если да, то какие?

8. Какую категорию услуг целесообразно выбрать для передачи голоса через сеть АТМ? Варианты ответов:

a) CBR; б) rtVBR; б) ABR.

9. Задержка пакетизации это:

а) время передачи пакета в линию связи;

б) время между помещением в пакет первого и последнего замеров голоса;

в) время ожидания пакета в очереди к выходному интерфейсу.

10. Избыточность служебных данных для ячеек АТМ составляет: а) 8 %; б) 16 % в) 10%.

11. Что отличает виртуальные каналы АТМ от виртуальных каналов Frame Relay? Варианты ответов:

а) двухуровневая иерархия;

б) протокол маршрутизации PNNI;

в) поддержка режима SVC.

12. Какие свойства частной сети имитирует услуга виртуальных частных сетей, предоставляемая провайдером? Варианты ответов:

а) независимость адресных пространств;

б) высокое качество обслуживания;

в) защищенность передаваемых данных;

г) независимость администрирования.

13. Чем отличаются услуги L2VPN и L3VPN? Варианты ответов:

а) при оказании услуг L2VPN в сети провайдера связи используется технология второго уровня, а при оказании услуг L3VPN — третьего;

б) при оказании услуг L2VPN провайдер соединяет сайты клиента на основе адресной информации второго уровня, а при оказании услуг L3VPN — третьего.

ГЛАВА 20 Технология MPLS

Технология многопротокольной коммутации с помощью меток (Multiprotocol Label Switching, MPLS) считается сегодня многими специалистами одной из самых перспективных транспортных технологий. Эта технология объединяет технику виртуальных каналов с функциональностью стека TCP/IP.

ком*

Jter, LSR>,BbmonHfl(aT функции (11ричеЦ|^не механическое

MjfTifipip iiq _f~• _г .

как^JP-^wpyrna^TOpa/l:^

объединение^даухустрой^э *всна*г --------

Многопротокольность технологии MPLS состоит в том, что она позволяет использовать протоколы маршрутизации не только стека TCP/IP, но и любого другого стека, например IPX/SPX. В этом случае вместо протоколов маршрутизации RIP IP, OSPF и IS-IS применяется протокол RIP IPX или NLSP, а общая архитектура LSR останется такой же. Во времена разработки технологии MPLS в середине 90-х годов, когда на практике функционировало несколько стеков протоколов, такая многопротокольность представлялась важной, однако сегодня в условиях доминирования стека протоколов TCP/IP это свойство уже не является значимым. Правда, сегодня многопротокольность MPLS можно понимать по-другому — как свойство передавать с помощью соединений MPLS трафик разных протоколов канального уровня; это свойство MPLS рассматривается в главе 21.

Главное достоинство MPLS видится сегодня многими специалистами в способности предоставлять разнообразные транспортные услуги в IP-сетях, в первую очередь — услуги виртуальных частных сетей. Эти услуги отличаются разнообразием, они могут предоставляться как на сетевом, так и на канальном уровне. Кроме того, MPLS дополняет дейтаграммные IP-сети таким важным свойством, как передача трафика в соответствии с техникой виртуальных каналов, что позволяет выбирать нужный режим передачи трафика в зависимости от требований услуги. Виртуальные каналы MPLS обеспечивают инжиниринг трафика, так как они поддерживают детерминированные маршруты.

Базовые принципы и механизмы MPLS

Совмещение коммутации и маршрутизации в одном устройстве

Впервые идея объединения маршрутизации и коммутации в одном устройстве была реализована в середине 90-х годов компанией Ipsilon, которая начала выпускать комбинированные устройства IP/АТМ. В этих устройствах была реализована новая технология IP-коммутации (IP switching), которая решала проблему неэффективной передачи кратковременных потоков данных в сетях ATM, которые в то время стали широко использоваться для передачи компьютерных данных в сетях операторов связи. АТМ-коммутаторы существенно превосходили IP-маршрутизаторы по производительности, поэтому провайдеры при обработке IP-трафика старались применять как можно меньше промежуточных маршрутизаторов, передавая трафик между ними через быстрые АТМ-коммутаторы.

Проблема передачи кратковременных потоков состоит в том, что для них нет смысла создавать постоянный виртуальный канал (PVC), так как поток данных между двумя конкретными абонентами существует лишь короткое время, и созданный виртуальный канал подавляющую часть времени используется провайдером не по назначению. Аналогом такой ситуации может быть телефонная сеть, в которой для каждого абонента создано постоянное соединение со всеми его возможными собеседниками. Казалось бы, технология АТМ предлагает готовый ответ — именно для таких ситуаций и были предусмотрены коммутируемые виртуальные каналы (SVC). Однако в случае, когда время установления соединения SVC равно или даже превосходит время передачи данных, эффективность коммутируемых виртуальных каналов также оказывается невысокой. Это очень напоминает ситуацию, когда для того, чтобы поговорить 5 минут по телефону, требовалось бы всякий раз затрачивать 5 минут на дозвон до нужного абонента. А в ATM-коммутаторах часто наблюдалась именно такая ситуация, так как время пульсации компьютерного трафика было соизмеримо со временем установления соединения SVC.

В качестве решения проблемы компания Ipsilon предложила встроить во все АТМ-коммутаторы блоки IP, которые поддерживали протокол IP для продвижения пакетов на основе IP-адресов, и протоколы маршрутизации стека TCP/IP для автоматического построения таблиц маршрутизации. В сущности, к ATM-коммутатору был добавлен IP-маршрутизатор.

Передача IP-пакета, принадлежащего кратковременному потоку, осуществлялась по сети Ipsilon следующим образом. Пакет поступал от узла-отправителя на комбинированное устройство IP/АТМ, которое разбивало этот пакет на ATM-ячейки. Каждая ячейка кратковременного потока затем инкапсулировалась в новый IP-пакет, который передавался от одного устройства IP/АТМ к другому, а затем к адресату по маршруту, определяемому обычными таблицами IP-маршрутизации, хранящимися в этих устройствах.

При этом стандартное для технологии АТМ виртуальное соединение между устройствами 1Р/ АТМ не устанавливалось, а передача кратковременных IP-потоков существенно ускорялась за счет исключения времени установления соединения SVC. Долговременные потоки передавались устройствами IP/АТМ традиционным для АТМ способом — с помощью виртуальных каналов PVC или SVC. Так как топология сети является одной и той же как для протоколов IP, так и для протоколов АТМ, появляется возможность использовать один и тот же протокол маршрутизации для обеих частей комбинированного устройства.

Для реализации своей технологии компания Ipsilon встроила в устройства IP/ATM фирменные протоколы, ответственные за распознавание длительности потоков данных и установление виртуальных каналов для долговременных потоков. Эти протоколы были оформлены в виде проектов стандартов Интернета, но стандартами Интернета не стали.

Технология IP-коммутации была разработана для сетей операторов связи. Эти сети принимают на границе с другими сетями IP-трафик и ускоренно передают его через свою магистраль. Важным обстоятельством здесь является то, что одни поставщики услуг Интернета (ISP) могут применять эту технологию независимо от других, оставаясь для внешнего мира операторами обычной 1Р-сети.

Технология IP-коммутации была сразу замечена операторами связи и стала достаточно популярной. Инициативу Ipsilon развила компании Cisco Systems, создав собственную технологию коммутации на основе тегов (tag switching), которая явилась значительным шагом вперед на пути объединения протоколов IP с техникой виртуальных соединений, однако она, так же как и IP-коммутация, не стала стандартной технологией.

На базе этих фирменных технологий рабочая группа IETF, состоящая из специалистов различных компаний, создала в конце 90-х годов технологию MPLS.

В MPLS был сохранен главный принцип технологий-предшественниц.

В одном и том же устройстве поддерживается два разных способа продвижения пакетов: дейтаграммный на основе IP-адресов и ориентированный на соединения механизм виртуальных каналов. В то же,время протоколы маршрутизации используются для определения топологии сети и автоматического построения таблиц !Р~маршутизации и таблиц MPLS-продвижения. Комбинированное устройство может задействовать любой из двух способов продвижения пакетов в зависимости отконфигурационныхпараметров протокола MPLS.

Принцип объединения протоколов различных технологий иллюстрируют рис. 20.1 и 20.2. На первом из них показана упрощенная архитектура стандартного IP-маршрутизатора, на втором — архитектура комбинированного устройства LSR, поддерживающего технологии IP и MPLS.

?-

Маршрутизация с помощью протоколов RIP, OSPF, IS-IS

Интерфейс

-?

Маршрутизация с помощью протоколов RIP, OSPF, IS-IS

Интерфейс

Входящий

трафик

Исходящий

трафик

Маршрутизация с помощью протоколов RIP, OSPF, IS-IS

<

Входящий трафик

Интерфейс

Управление

Протоколы маршрутизации

IP-продвижение

Продвижение по меткам Продвижение данных

Маршрутизация с помощью протоколов RIP, OSPF, IS-IS

>

>

Исходящий трафик

Рис. 20.2. Архитектура LSR

Так как устройство LSR выполняет все функции IP-маршрутизатора, оно содержит все блоки последнего, а для поддержки функций MPLS в LSR включен ряд дополнительных блоков, относящихся как к управлению, так и к продвижению данных.

В качестве примера можно указать на блок продвижения по меткам, который передает IP-пакет не на основе IP-адреса назначения, а на основе поля метки. При принятии решения о выборе следующего хопа блок продвижения по меткам использует таблицу коммутации, которая в стандарте MPLS носит название таблицы продвижения. Таблица продвижения в технологии MPLS похожа на аналогичные таблицы других технологий, основанных на технике виртуальных каналов (табл. 20.1).

Внимательный читатель заметил, наверное, небольшое отличие данной таблицы от таблицы коммутации Frame Realy, представленной на рис. 19.8. Действительно, вместо поля выходного интерфейса здесь поле следующего хопа, а вместо поля выходной метки — поле действий. В большинстве случаев обработки MPLS-кадров эти поля используются точно таким же образом, как соответствующие им поля обобщенной таблицы коммутации. То есть значение поля следующего хопа является значением интерфейса, на который нужно передать кадр, а значение поля действий — новым значением метки. Однако в некоторых случаях эти поля служат другим целям, о чем будет сказано позже.

Рассматриваемые таблицы для каждого устройства LSR формируются сигнальным протоколом.

В MPLS используется два различных сигнальных протокола: протокол распределения меток (Label Distribution Protocol, LDP) и модификация уже знакомого нам протокола резервирования ресурсов RSVP.

Формируя таблицы продвижения на LSR, сигнальныД прото!сол прокладываетчерез сеть виртуальные маршруты, которые в технологии MPLS называет путями коммутации по меткам (Label Switching Path, LSP).

В том случае, когда метки устанавливаются в таблицах продвижения с помощью протокола LDP, маршруты виртуальных путей LSP совпадают с маршрутами IP-трафика, так как они выбираются обычными протоколами маршрутизации стека TCP/IP. Модификация протокола RSVP, который изначально был разработан для резервирования параметров QoS (см. раздел «Интегрированное обслуживание и протокол RSVP» в главе 18), используется для прокладки путей, выбранных в соответствии с техникой инжиниринга трафика, поэтому эта версия протокола получили название RSVP ТЕ (Traffic Engineering).

Можно также формировать таблицы MPLS-продвижения вручную, создавая там статические записи, подобные статическим записям таблиц маршрутизации.

Пути коммутации по меткам

Архитектура MPLS-сети описана в RFC 3031 (http://www.rfc-editor.org/rfc/rfc3031.txt). Основные элементы этой архитектуры представлены на рис. 20.3, где MPLS-сеть взаимодействует с несколькими IP-сетями, возможно, не поддерживающими технологию MPLS.

Пограничные устройства LSR в технологии МЕМЕМДОРот специальное название “ пограничные кочмутирую»додо.деяаод«^^ .

Устройство LER, являясь функционально более сложным, принимает трафик от других сетей в форме стандартных IP-пакетов, а затем добавляет к нему метку и направляет вдоль соответствующего пути к выходному устройству LER через несколько промежуточных устройств LSR. При этом пакет продвигается не на основе IP-адреса назначения, а на основе метки.

Как и в других технологиях, использующих технику виртуальных каналов, метка имеет локальное значение в пределах каждого устройства LER и LSR, то есть при передаче пакета с входного интерфейса на выходной выполняется смена значения метки.

Пути LSP прокладываются в MPLS предварительно в соответствии с топологией сети, аналогично маршрутам для IP-трафика (и на основе работы тех же протоколов маршрутизации). Кроме того, существует режим инжиниринга трафика, когда пути LSP прокладываются с учетом требований к резервируемой для пути пропускной способности и имеющейся свободной пропускной способности каналов связи сети.

LSP представляет собой однонаправленный виртуальный канал, поэтому для передачи трафика между двумя устройствами LER нужно установить, по крайней мере, два пути коммутации по меткам — по одному в каждом направлении. На рис. 20.3 показаны две пары путей коммутации по меткам, соединяющие устройства LER2 и LER3, а также LER1 и LER4.

LER выполняет такую важную функцию, как направление входного трафика в один из исходящих из-LER путей LSR Для реализации этой функции в MPLS введено такое понятие, как класс эквивалентности продвижения (Forwarding Equivalence Class, FEC).

Класс эквивалентности продвижения — это группа IP-пакетов, имеющих одни и те же требования к условиям транспортировки (транспортному сервису). Все пакеты, принадлежащие к данному классу, продвигаются через MPLS-сеть по одному виртуальному пути LSP.

В LER существует база данных классов FEC; каждый класс описывается набором элементов, а каждый элемент описывает признаки, на основании которых входящий пакет относят к тому или иному классу.

Классификация FEC может выполняться различными способами. Вот несколько примеров:

? На основании IP-адреса назначения. Это наиболее близкий к принципам работы IP-сетей подход, который состоит в том, что для каждого префикса сети назначения, имеющегося в таблице LER-маршрутизации, создается отдельный класс FEC. Протокол LDP, который мы далее рассмотрим, полностью автоматизирует процесс создания классов FEC по этому способу.

? В соответствии с требованиями инжиниринга трафика. Классы выбираются таким образом, чтобы добиться баланса загрузки каналов сети.

? В соответствии с требованиями VPN. Для конкретной виртуальной частной сети клиента создается отдельный класс FEC.

? По типам приложений. Например, трафик IP-телефонии (RTP) составляет один класс FEC, а веб-трафик — другой.

? По интерфейсу, с которого получен пакет.

? По МАС-адресу назначения кадра_у если это кадр Ethernet.

Как видно из приведенных примеров, при классификации трафика в MPLS могут использоваться признаки не только из заголовка IP-пакета, но и многие другие, включая информацию канального (МAC-адрес) и физического (интерфейс) уровней.

После принятия решения о принадлежности пакета к определенному классу FEC его нужно связать с существующим путем LSP. Для этой операции LER использует таблицу FTN (FEC То Next hop — отображение класса FEC на следующий хоп). Таблица 20.2 представляет собой пример FTN.

На основании таблицы FTN каждому входящему пакету назначается соответствующая метка, после чего этот пакет становится неразличим в домене MPLS от других пакетов того же класса FEC, все они продвигаются по одному и тому же пути внутри домена.

Сложная настройка и конфигурирование выполняются только в LER, а все промежуточные устройства LSR выполняют простую работу, продвигая пакет в соответствии с техникой виртуального канала.

Выходное устройство LER удаляет метку и передает пакет в следующую сеть уже в стандартной форме IP-пакета. Таким образом, технология MPLS остается прозрачной для остальных 1Р-сетей.

Обычно в MPLS-сетях используется усовершенствованный по сравнению с описанным алгоритм обработки пакетов. Усовершенствование заключается в том, что удаление метки выполняет не последнее на пути устройство, а предпоследнее. Действительно, после того как предпоследнее устройство определит на основе значения метки следующий хоп, метка в MPLS-кадре уже не нужна, так как последнее устройство, то есть выходное устройство LER, будет продвигать пакет на основе значения IP-адреса. Это небольшое изменение алгоритма продвижения кадра позволяет сэкономить одну операцию над MPLS-кадром. В противном случае последнее вдоль пути устройство должно было бы удалить метку, а уже затем выполнить просмотр таблицы IP-маршрутизации. Эта техника получила название техники удаления метки на предпоследнем хопе (Penultimate Hop Popping, РНР).

Заголовок MPLS и технологии канального уровня

Заголовок MPLS состоит из нескольких полей (рис. 20.4):

? Метка (20 бит). Используется для выбора соответствующего пути коммутации по меткам.

? Время жизни (TTL). Это поле, занимающее 8 бит, дублирует аналогичное поле IP-пакета. Это необходимо для того, чтобы устройства LSR могли отбрасывать «заблудившиеся» пакеты только на основании информации, содержащейся в заголовке MPLS, не обращаясь к заголовку IP

? Класс услуги (Class of Service, CoS). Поле CoS, занимающее 3 бита, первоначально было зарезервировано для развития технологии, но в последнее время используется в основном для указания класса трафика, требующего определенного уровня QoS.

? Признак дна стека меток. Этот признак (S) занимает 1 бит.

Концепцию стека меток мы рассмотрим в следующем разделе, а пока для пояснения механизма взаимодействия MPLS с технологиями канального уровня рассмотрим ситуацию, когда заголовок MPLS включает только одну метку.

РРР

Ethernet

Как видно из рисунка, технология MPLS поддерживает несколько типов кадров: РРР, Ethernet, Frame Relay и ATM. Это не означает, что под слоем MPLS работает какая-либо из перечисленных технологий, например Ethernet. Это означает только то, что в технологии MPLS используются форматы кадров этих технологий для помещения в них пакета сетевого уровня, которым сегодня почти всегда является 1Р-пакет.

В связи с тем, что заголовок MPLS помещается между заголовком канального уровня и заголовком IP, его называют заголовком-вставкой (shim header).

Продвижение кадра в MPLS-сети происходит на основе метки MPLS и техники LSP, а не на основе адресной информации и техники той технологии, формат кадра которой MPLS использует. Таким образом, если в MPLS применяется кадр Ethernet, то МАС-адреса источника и приемника хотя и присутствуют в соответствующих полях кадра Ethernet, но для продвижения кадров не используются. Исключение составляет случай, когда между двумя соседними устройствами LSR находится сеть коммутаторов Ethernet — тогда МАС-адрес назначения MPLS-кадра потребуется для того, чтобы кадр дошел до следующего устройства LSR, а уже оно будет продвигать его на основании метки.

В кадрах РРР, Ethernet и Frame Relay заголовок MPLS помещается между оригинальным заголовком и заголовком пакета 3-го уровня. С ячейками АТМ технология MPLS поступает по-другому: она пользуется имеющимися полями VPI/VCI в заголовках этих ячеек для меток виртуальных соединений. Поля VPI/VCI нужны только для хранения поля метки, остальная часть заголовка MPLS с полями CoS, S и TTL размещается в поле данных ATM-ячеек и при передаче ячеек ATM-коммутаторами, поддерживающими технологию MPLS, не используется.

Далее для определенности при рассмотрении примеров мы будем подразумевать, что ис-

nnirunwTra Алт*от i/o яплп IV/ТОТ Q /О О О

Стек меток

- > меток

Стек меток позволяет создавать систему агрегированных путей LSP с любым количеством уровней иерархии. Для поддержки этой функции MPLS-кадр, который перемещается вдоль иерархически организованного пути, должен включать столько заголовков MPLS, сколько уровней иерархии имеет путь. Напомним, что заголовок MPLS каждого уровня имеет собственный набор полей: метка, CoS, TTL и S. Последовательность заголовков организована как стек, так что всегда имеется метка, находящаяся на вершине стека, и метка, находящаяся на дне стека, при этом последняя сопровождается признаком S * 1. Над метками выполняются следующие операции, задаваемые в поле действий таблицы продвижения:

? Push — поместить метку в стек. В случае пустого стека эта операция означает простое присвоение метки пакету. Если же в стеке уже имеются метки, в результате этой операции новая метка сдвигает «старые» в глубь стека, сама оказываясь на вершине.

? Swap — заменить текущую метку новой.

? Pop — выталкивание (удаление) верхней метки, в результате все остальные метки стека поднимаются на один уровень.

Продвижение MPLS-кадра всегда происходит на основе метки, находящейся в данный момент на вершине стека. Рассмотрим сначала продвижение MPLS-кадра по одноуровневому пути в MPLS-сети, показанной на рис. 20.5.

Сеть состоит из трех MPLS-доменов. На рисунке показаны путь LSP1 в домене 1 и путь LSP2 в домене 2. LSP1 соединяет устройства LER1 и LER2, проходя через устройства LSR1, LSR2 и LSR3. Пусть начальной меткой пути LSP1 является метка 256, которая была присвоена пакету пограничным устройством LER1. На основании этой метки пакет поступает на устройство LSR1, которое по своей таблице продвижения определяет новое значение метки пакета (272) и переправляет его на вход LSR2. Устройство LSR2, действуя аналогично, присваивает пакету новое значение метки (132) и передает его на вход LSR3. Устройство LSR3, будучи предпоследним устройством в пути LSP1, выполняет операцию Pop и удаляет метку из стека. Устройство LER2 продвигает пакет уже на основании IP-адреса.

На рисунке также показан путь LSP2 в домене 2. Он соединяет устройства LER3 и LER4, проходя через устройства LSR4, LSR5 и LSR6, и определяется последовательностью меток 188,112,101.

Для того чтобы IP-пакеты могли передаваться на основе техники MPLS не только внутри каждого домена, но и между доменами (например, между устройствами LERI и LER4), существует два принципиально разных решения.

? Первое решение состоит в том, что между LER1 и LER4 устанавливается од™ одноуровневый путь коммутации по меткам, соединяющий пути LSP1 и LSP2 (которые в этом случае становятся одним путем). Это простое, на первый взгляд, решение, называемое сшиванием путей LSP, плохо работает в том случае, когда MPLS-домены принадлежат разным поставщикам услуг, не позволяя им действовать независимо друг от друга.

? Вторым более перспективным решением является применение многоуровневого подхода к соединению двух MPLS-доменов, принадлежащих, возможно, разным поставщикам услуг.

Для реализации второго подхода в нашем примере нужно создать путь коммутации по меткам второго уровня (LSP3), соединяющий устройства LER1 и LER4. Этот путь определяет последовательность хопов между доменами, а не между внутренними устройствами LSR каждого домена. Так, LSP3 состоит из хопов LERI — LER2 — LER3 — LSR4. В этом отношении многоуровневый подход MPLS концептуально очень близок подходу протокола BGP, определяющего путь между автономными системами.

Рассмотри более детально, как работает технология MPLS в случае путей коммутации по меткам двух уровней (рис. 20.6).

В устройстве LER1 начинаются два пути — LSP1 и LSP3 (последний показан на рисунке серым цветом), что обеспечивается соответствующей записью в таблице продвижения устройства LER1 (табл. 20,3).

IP-пакеты, поступающие на интерфейс SO устройства LER1, продвигаются на его выходной интерфейс S1, где для них создается заголовок MPLS, включающий метку 315 верхнего уровня (LSP3), которая на этот момент является верхушкой стека меток. Затем эта метка проталкивается на дно стека (операция Push), а верхней становится метка 256, относящаяся к LSP1.

Далее MPLS-кадр с меткой 256 поступает на выходной интерфейс S1 пограничного устройства LER1 и передается на вход LSR1. Устройство LSR1 обрабатывает кадр в соответствии со своей таблицей продвижения (табл. 20.4). Метка 256, находящаяся на вершине стека, заменяется меткой 272. (Отметьте, что метка 315, находящаяся ниже в стеке, устройством LSR1 игнорируется.)

Аналогичные действия выполняет устройство LSR2, которое заменяет метку меткой 132 и отправляет кадр следующему по пути устройству LSR3 (табл. 20.5).

Работа устройства LSR3 несколько отличается от работы устройств LSR1 и LSR2, так как оно является предпоследним устройством LSR для пути LSP1. В соответствии с записью в табл. 22.4 устройство LSR3 выполняет выталкивание {Pop) из стека метки 132, относящейся к пути LSP1, выполняя операцию РНР. В результате верхней меткой стека становится метка 315, принадлежащая пути LSP3.

Устройство LER2 продвигает поступивший на его входной интерфейс SO кадр на основе своей записи таблицы продвижения (табл. 20.6). Устройство LER2 сначала заменяет метку 315 пути LSP3 значением 317, затем проталкивает ее на дно стека и помещает на вершину стека метку 188, которая является меткой пути LSP2, внутреннего для домена 2. Перемещение кадра вдоль пути LSP2 происходит аналогичным образом.

Описанная модель двухуровневого пути легко может быть расширена для любого количества уровней.

Протокол LDP

Протокол распределения меток (Label Distribution Protocol, LDP) позволяет автоматически создавать в сети пути LSP в соответствии с существующими в таблицах маршрутизации записях о маршрутах в IP-сети. Протокол LDP принимает во внимание только те записи таблицы маршрутизации, которые созданы с помощью внутренних протоколов маршрутизации, то есть протоколов типа IGP, поэтому режим автоматического создания LSP с помощью протокола LDP иногда называют режимом MPLS IGP (в отличие от режима MPLS ТЕ, когда маршруты выбираются из соображений инжиниринга трафика и не совпадают с маршрутами, выбранными внутренними протоколами маршрутизации). Еще режим MPLS IGP называют ускоренной MPLS-коммутацией, это название отражает начальную цель разработчиков технологии MPLS, которая состояла только в ускорении продвижения IP-пакетов с помощью техники виртуальных каналов. Спецификация LDP дается в RFC 5036 (http://www.rfc-editor.org/rfc/rfc5036.txt).

Рис. 20.7. MPLS-сеть с устройствами LSR, поддерживающими LDP

Все устройства LSR поддерживают сигнальный протокол распределения меток (LDP). От устройства LSR1 в сети уже установлен один путь LSP1 — по этому пути идет трафик к сетям 105.0.0.0 и 192.201.103.0. Это значит, что таблица FTN (отображающая сети назначения на LSP) у LSR1 соответствует табл. 20.7.

Метка 231 в этой таблице соответствует пути LSP1.

Мы рассмотрим функционирование протокола LDP в ситуации, когда в результате работы протоколов маршрутизации или же после ручной модификации администратором сети в таблице маршрутизации устройства LSR1 появилась запись о новой сети назначения, для которой в сети поставщика услуг еще не проложен путь коммутации по меткам. В нашем случае это сеть 132.100.0.0 и для нее нет записи в таблице FTN.

В этом случае устройства LSR1 автоматически инициирует процедуру прокладки нового пути. Для этого оно запрашивает по протоколу LDP метку для новой сети 132.100.0.0 у маршрутизатора, IP-адрес которого в таблице маршрутизации указан для данной сети как адрес следующего хопа.

Однако для того чтобы воспользоваться протоколом LDP, нужно сначала установить между устройствами LSR сеанс LDP, так как этот протокол работает в режиме установления соединений.

Сеансы LDP устанавливаются между соседними маршрутизаторами автоматически. Для этого каждое устройство LSR, на котором развернут протокол LDP, начинает посылать своим соседям сообщения Hello. Эти сообщения посылают по групповому IP-адресу 224.0.0.2, который адресуется ко всем маршрутизаторам подсети и определенному порту UDP. Если соседний маршрутизатор также поддерживает протокол LDP, то он в ответ устанавливает сеанс TCP через порт 646 (этот порт закреплен за протоколом LDP).

В результате обмена сообщениями Hello все поддерживающие протокол LDP устройства LSR обнаруживают своих соседей и устанавливают с ними сеансы, как показано на рис. 20.8 (для простоты на рисунке представлены не все сеансы LDP, существующие в сети).

105.0.0.0 |>Г192.201.103.0

Будем считать, что между устройствами LSR1 и LSR2 установлен сеанс LDP.

Тогда при обнаружении новой записи в таблице маршрутизации, указывающей на устройство LSR2 в качестве следующего хопа, устройство LSR1 просит устройство LSR2 назначить метку для нового пути к сети 132.100.0.0. Говорят, что устройство LSR2 находится ниже по потоку (downstream) для устройства LSR1 относительно пути к сети 132.100.0.0. Соответственно устройство LSR1 расположено выше по потоку для устройства LSR2 относительно сети 132.100.0.0. Естественно, что для других сетей назначения у устройства LSR1 имеются другие соседи вниз по потоку, а у устройства LSR2 — другие соседи вверх по потоку.

Причина, по которой значение метки для нового пути выбирается соседом ниже по потоку, понятна — эта метка, которая имеет локальное значение на двухточечном соединении между соседними устройствами, будет использоваться именно этим устройством для того, чтобы понимать, к какому пути LSP относится пришедший MPLS-кадр. Поэтому

устройство ниже по потоку выбирает уникальное значение метки, исходя из неиспользованных значений меток для своего интерфейса, который связывает его с соседом выше по потоку.

Для получения значения метки устройство LSR1 выполняет запрос метки протокола LDP. Формат такого запроса достаточно прост (рис. 20.9).

Запрос метки (0x0401)

Длина сообщения

Идентификатор сообщения

Элемент FEC

Рис. 20.9. Формат LDP-запроса метки

Идентификатор сообщения требуется для того, чтобы при получении ответа можно было однозначно сопоставить ответ некоторому запросу (устройство может послать несколько запросов до получения ответов на каждый из них).

В нашем примере в качестве элемента FEC будет указан адрес 132.100.0.0.

Устройство LSR2, приняв запрос, находит, что у него также нет проложенного пути к сети

132.100.0.0, поэтому оно передает LDP-запрос следующему устройству LSR, адрес которого указан в его таблице маршрутизации в качестве следующего хопа для сети 132.100.0.0. В примере, показанном на рис. 20.8, таким устройством является LSR3, на котором путь коммутации по меткам должен закончиться, так как следующий хоп ведет за пределы MPLS-сети данного оператора.

ПРИМЕЧАНИЕ-

Возникает вопрос, как устройство LSR3 узнает о том, что является последним в сети поставщика услуг на пути к сети 132.100.0.0? Дело в том, что LDP является протоколом, ориентированным на соединение, и при установлении логического LDP-соединения возможно применение автоматической аутентификации устройств, так что сеансы LDP устанавливаются только между устройствами одного поставщика услуг, который задает для всех принадлежащих его сети устройств LSR соответствующую информацию для взаимной аутентификации.

Устройство LSR3, обнаружив, что для пути к сети 132.100.0.0 оно является пограничным, назначает для прокладываемого пути метку, еще не занятую его входным интерфейсом S0, и сообщает об этой метке устройству LSR2 в LDP-сообщении, формат которого представлен на рис. 20.10. Пусть это будет метка 231.

Отображение метки (0x0400)

Длина сообщения

Идентификатор сообщения

Элемент FEC

Метка

В свою очередь, LSR2 назначает неиспользуемую его интерфейсом SO метку и сообщает об этом в LDP-сообщении отображения метки устройству LSR1. После этого новый путь коммутации по меткам, ведущий от LSR1 к сети 132.100.0.0, считается проложенным (рис. 20.11), и вдоль него пакеты начинают передаваться уже на основе меток и таблиц продвижения, а не IP-адресов и таблиц маршрутизации.

Было бы нерационально прокладывать отдельный путь для каждой сети назначения каждого маршрутизатора. Поэтому устройства LSR стараются строить агрегированные пути коммутации по меткам и передавать вдоль них пакеты, следующие к некоторому набору сетей. Так, на рис. 20.11 устройство LSR1 передает по пути LSP1 пакеты, следующие не только к сети 132.100.0.0, но и к сетям 194.15.17.0 и 201.25.10.0, информация о которых появилась уже после того, как путь LSP2 был проложен.

Мы рассмотрели только один режим работы протокола LDP, который носит сложное название «Упорядоченный режим управления распределением меток с запросом устройства вниз по потоку». Здесь под упорядоченным режимом понимается такой режим, когда некоторое промежуточное устройство LSR не передает метку для нового пути устройству LSR, лежащему выше по потоку, до тех пор, пока не получит метку для этого пути от устройства LSR, лежащего ниже по потоку. В нашем случае устройство LSR2 ждало получения метки от LSR3 и уже потом передало метку устройству LSR1.

Существует и другой режим управления распределением меток, который называется независимым. При независимом управлении распределением меток LSR может назначить и передать метку, не дожидаясь прихода сообщения от своего соседа, лежащего ниже по потоку. Например, устройство LSR2 могло бы назначить и передать метку 199 устройству LSR1, не дожидаясь прихода метки 231 от устройства LSR3. Так как метки имеют локальное значение, результат изменения режима не изменился бы.

Существует также два метода распределения меток — распределение от лежащего ниже по потоку по запросу и без запроса. Для нашего случая это значит, что если бы устройство LSR2 обнаружило в своей таблице маршрутизации запись о новой сети 132.100.0.0, оно могло бы назначить метку новому пути и передать ее устройству LSR1 без запроса. Так как при этом устройство LSR2 не знает своего соседа выше по потоку (таблица маршрутизации не говорит об этом), оно передает эту информацию всем своим соседям по сеансам LDP. В этом варианте работы протокола LDP устройства LSR могут получать альтернативные метки для пути к некоторой сети; а выбор наилучшего пути осуществляется обычным для IP-маршрутизатров (которыми устройства LSR являются по совместительству) способом — на основании наилучшей метрики, выбираемой протоколом маршрутизации.

Как видно из описания, существует два независимых параметра, которые определяют вариант работы протокола LDP: режим управления распределением меток и метод распределения меток. Так как каждый параметр имеет два значения, всего существует четыре режима работы протокола LDP.

В рамках одного сеанса LDP должен поддерживаться только один из методов распределения меток — по запросу или без запроса. В то же время в масштабах сети могут одновременно использоваться оба метода. Протокол LDP чаще всего работает в режиме независимого управления распределением меток без запроса.

Упорядоченное управление распределением меток требуется при прокладке путей LSP, необходимых для инжиниринга трафика.

Мониторинг состояния путей LSP

Наличие встроенных в транспортную технологию средств мониторинга состояния соединений и локализации ошибок (то есть средств ОАМ) является необходимым условием для того, чтобы она претендовала на статус технологии операторского класса. В противном случае ее трудно будет использовать операторам сетей, которым нужно обеспечивать своих многочисленных клиентов транспортным сервисом с высоким коэффициентом готовности (в пределах 0,999-0,99999), как это принято в телекоммуникационных сетях.

Первоначально технология MPLS не имела таких встроенных средств, полагаясь на такие средства стека TCP/IP, как утилиты ping и traceroute (использующие, как вы знаете из главы 17, ICMP-сообщения Echo Request и Echo Response). Однако классические утилиты ping и traceroute стека TCP/IP не дают корректной информации о состоянии путей LSP, так как они могут переноситься как вдоль, так и в обход этих путей с помощью обычной техники продвижения пакетов протокола IP. Поэтому позднее был разработан специальный протокол LSP Ping, который позволяет как тестировать работоспособность LSP (режим ping)> так и локализовывать отказы (режим traceroute).

Кроме того, для мониторинга состояния LSP можно применять более экономичный, чем LSP Ping, протокол двунаправленного обнаружения ошибок продвижения (см. далее).

Тестирование путей LSP

В протоколе LSP Ping для тестирования состояния LSP применяется техника, близкая к механизму работы утилиты ping протокола IP. Она заключается в том, что протокол LSP Ping отправляет вдоль тестируемого пути LSP сообщение Echo Request. Если такое сообщение доходит до устройства LER, которое является конечным узлом тестируемого пути LSP, оно отвечает сообщением Echo Replay. Получение исходным узлом такого сообщения означает, что путь LSP работоспособен.

Описанная схема работы аналогична схеме работы утилиты ping протокола IP, однако она имеет свои особенности, которые мы поясним на примере сети, изображенной на рис. 20.12.

В этом примере устройство LSR1 тестирует состояние пути LSP1, который заканчивается на устройстве LSR8 (для этого пути оно является устройством LER).

Для тестирования пути LSP1 устройство LSR1 отправляет MPLS-пакет с меткой 105 — эта метка соответствует пути LSP1 на линии между устройствами LSR1 и LSR4. Сообщение Echo Request вкладывается в UDP-сообщение, которое, в свою очередь, вкладывается в IP-пакет. На рис. 20.12 показаны только значимые для изучения протокола LSP Ping поля: метка MPLS-кадра, IP-адрес источника (SA), IP-адрес назначения (DA), а также поле FEC, которое идентифицирует тестируемый путь LSP. В нашем примере это IP-адрес сети

105.0. 0.0, к которой ведет путь LSP1.

Адрес назначения в IP-пакете, который переносит сообщение Echo Request, равен 127.0.0.1, то есть является адресом обратной петли стека протоколов IP каждого узла. О причине использования такого необычного адреса назначения (а не, скажем, IP-адреса интерфейса конечного узла тестируемого пути LSP) мы расскажем позже, а пока заметим, что адрес 127.0.0.1 должен работать правильно, так как в процессе передачи запроса по сети для его продвижения используются MPLS-метки, а не IP-адрес назначения. При приходе на конечный узел IP-пакет освобождается от заголовка MPLS (это также может произойти на предыдущем хопе, если применяется техника РНР) и обрабатывается на основе IP-адреса. Так как адрес

127.0. 0.1 указывает на собственный узел, то пакет передается собственному стеку TCP/IP, где он распознается как UDP-пакет протокола LSP Ping и обрабатывается соответственно.

Поле FEC посылается в запросе Echo Request для того, чтобы конечный узел пути мог сравнить указанное в пакете значение FEC со значением из его собственной базы данных для пути, по которому пришел кадр запроса. Такой механизм позволяет отслеживать ситуации, когда запрос вследствие каких-то ошибок приходит не по тому пути, который тестируется.

В том случае, когда запрос благополучно доходит до конечного узла пути, и тот убеждается, что полученный запрос пришел по нужному пути (то есть полученное значение FEC совпадает со значением FEC из базы данных конечного узла), он отправляет ответ Echo Replay узлу, выполнившему запрос. В нашем случае узел LSR8 отправляет ответ Echo Replay узлу LSR1. Сообщение Echo Replay посылается уже не по пути LSP, а как обычное UDP-сообщение, вложенное в IP-пакет. Если вспомнить, что пути LSP являются однонаправленными, станет понятно, что это единственное гарантированное решение, так как обратного пути от LSR8 к LSR1 может и не существовать.

Теперь посмотрим, что происходит в том случае, когда по какой-то причине путь LSP поврежден. На рис. 20.13 представлен именно такой случай, когда путь поврежден на последнем своем участке (между устройствами LSR7 и LSR8).

В этой ситуации LSR7 не может отправить MPLS-кадр по назначению, как того требует метка 177, а отбрасывает заголовок MPLS и старается обработать кадр как IP-пакет. Как и в случае исправного пути, адрес 127.0.0.1 требует передачи пакета локальному стеку TCP/IP. Именно этого эффекта и добивались разработчики протокола LSP Ping, выбирая в качестве адреса назначения этот специальный адрес. Узел LSR7 обрабатывает сообщение Echo Request и отправляет сообщение Echo Replay узлу LSR1 с информацией об обнаруженной ошибке.

Трассировка путей LSP

При неисправном состоянии какого-то отрезка пути LSP сообщение об ошибке не всегда может быть отправлено промежуточным устройством LSP. Возможна и такая ситуация, когда ответ на запрос Echo Request просто не приходит — сеть «молчит», например, потому что отказал промежуточный узел. Для того чтобы локализовать отказавший элемент сети (узел или соединение), протокол LSI? Ping может работать в режиме трассировки пути LSP. Этот режим аналогичен режиму работы утилиты traceroute стека TCP/IP и в нем используется тот же механизм, заключающийся в посылке серии сообщений Echo Request с монотонно возрастающим от 1 значением поля TTL. Разница состоит в том, что это поле указывается не в IP-пакете, как при использовании IP-утилиты traceroute, а в заголовке MPLS (который также имеет поле TTL).

Дальнейшее поведение протокола LSP Ping в режиме трассировки очевидно — MPLS-кадр с нулевым значением TTL передается «наверх» протоколу LSP Ping того промежуточного узла, который после вычитания единицы из значения этого поля получил нулевой результат. Протокол реагирует на такую ситуацию отправкой сообщения Echo Replay начальному узлу тестируемого пути.

Протокол двунаправленного обнаружения ошибок продвижения

Протокол двунаправленного обнаружения ршибок продвижения (Biderectional Forwarding Detection, BFD) разработан как «облегченная» альтернатива протоколу LSP Ping для постоянного мониторинга состояния пути LSP. Такой постоянный мониторинг требуется, например, в тех случаях, когда основной путь защищен резервным путем и необходим какой-то механизм, который, с одной стороны, может быстро выявить отказ пути, а с дру? гой — не перегружает сеть тестовыми сообщениями и трудоемкими проверками. Протокол LSP Ping удовлетворяет первому условию, то есть может использоваться для постоянного тестирования состояния пути путем периодической отправки сообщений Echo Requst. Однако обработка этих сообщений конечным узлом пути довольно трудоемка, так как требует сравнения значения FEC в каждом пришедшем запросе со значением из базы данных.

Протокол BFD гораздо проще, чем LSP Ping. Однако он не способен локализовать отказавший элемент сети, а только показывает, работоспособен некоторый путь LSP или нет.

Название протокола говорит о том, что он проверяет состояние соединения между двумя узлами в обоих направлениях. Так как пути MPLS однонаправленные, то для работы протокола BFD необходима пара путей LSP, соединяющих два узла в обоих направлениях.

Каждый из двух конечных узлов, на которых для мониторинга определенного пути LSP развернут протокол BFD, периодически посылает по этому пути сообщения Hello. Получение сообщений Hello от соседа означает работоспособность пути в одном определенном направлении. Неполучение сообщения Hello в течение определенного времени означает отказ пути в этом направлении, что и фиксирует протокол BFD. Информацию об отказе пути могут немедленно использовать другие протоколы стека MPLS, например рассматриваемые далее протоколы защиты пути.

Протокол BFD посылает сообщения Hello в UDP-сообщениях, которые, в свою очередь, упаковываются в IP-пакеты и снабжаются заголовками MPLS. Протокол BFD может использоваться не только для мониторинга путей MPLS, он разработан как универсальный протокол тестирования двунаправленных соединений. Обычно для инициализации сеанса BFJD служит протокол LSP Ping, который переносит по пути идентификаторы сеанса BFD.

Инжиниринг трафика в MPLS

Технология MPLS поддерживает технику инжиниринга трафика, описанную в главе 7. В этом случае используются модифицированные протоколы сигнализации и маршрутизации, имеющие приставку ТЕ (Traffic Engineering — инжиниринг трафика). В целом такой вариант MPLS получил название MPLS ТЕ.

В технологии MPLS ТЕ пути LSP называют ТЕ-туннелями. ТЕ-туннели не прокладываются распределенным способом вдоль путей, находимых обычными протоколами маршрутизации независимо в каждом отдельном устройстве LSR. Вместо этого ТЕ-туннели прокладываются в соответствии с техникой маршрутизации от источника, когда централизованно задаются промежуточные узлы маршрута. В этом отношении ТЕ-туннели подобны PVC-каналам в технологиях АТМ и Frame Relay. Инициатором задания маршрута для ТЕ-туннеля выступает начальный узел туннеля, а рассчитываться такой маршрут может как этим же начальным узлом, так и внешней по отношению к сети программной системой или администратором.

MPLS ТЕ поддерживает туннели двух типов:

? строгий ТЕ-туннель определяет все промежуточные узлы между двумя пограничными устройствами;

? свободный ТЕ-туннель определяет только часть промежуточных узлов от одного пограничного устройства до другого, а остальные промежуточные узлы выбираются устройством LSR самостоятельно.

На рис. 20.14 показаны оба типа туннелей.

Туннель 1 является примером строгого туннеля, при его задании внешняя система (или администратор сети) указала как начальный и конечный узлы туннеля, так и все промежуточные узлы, то есть последовательность IP-адресов для устройств LERI, LSR1, LSR2, LSR3, LER3. Таким образом, внешняя система решила задачу инжиниринга трафика, выбрав путь с достаточной неиспользуемой пропускной способностью. При установлении туннеля 1 задается не только последовательность LSR, но и требуемая пропускная способность пути. Несмотря на то что выбор пути происходит в автономном режиме, все устройства сети вдоль туннеля 1 проверяют, действительно ли они обладают запрошенной неиспользуемой пропускной способностью, и только в случае положительного ответа туннель прокладывается.

При прокладке туннеля 2 (свободного) администратор задает только начальный и конечный узлы туннеля, то есть устройства LER5 и LER2. Промежуточные устройства LSR4 и LSR2 находятся автоматически начальным узлом туннеля 2, то есть устройством LER5, а затем с помощью сигнального протокола устройство LER5 сообщает этим и конечному устройствам о необходимости прокладки туннеля.

Независимо от типа туннеля он всегда обладает таким параметром, как резервируемая пропускная способность. В нашем примере туннель 1 резервирует для трафика 10 Мбит/с, а туннель 2 — 36 Мбит/с. Эти значения определяются администратором, и технология MPLS ТЕ никак не влияет на их выбор, она только реализует запрошенное резервирование. Чаще всего администратор оценивает резервируемую для туннеля пропускную способность на основании измерений трафика в сети, тенденций изменения трафика, а также собственной интуиции. Некоторые реализации MPLS ТЕ позволяют затем автоматически корректировать величину зарезервированной пропускной способности на основании автоматических измерений реальной интенсивности трафика, проходящего через туннель.

Однако сама по себе прокладка в MPLS-сети ТЕ-туннеля еще не означает передачи по нему трафика. Она означает только то, что в сети действительно существует возможность передачи трафика по туннелю со средней скоростью, не превышающей зарезервированное значение. Для того чтобы данные были переданы по туннелю, администратору предстоит еще одна ручная процедура — задание для начального устройства туннеля условий, определяющих, какие именно пакеты должны передаваться по туннелю. Условия могут быть чрезвычайно разнообразными, так, в качестве признаков агрегированного потока, который должен передаваться по туннелю, могут выступать все традиционные признаки: IP-адрес назначения и источника, тип протокола, номера TCP- и UDP-портов, номер интерфейса входящего трафика, значения приоритета в протоколах DSCP и IP и т. д.

Однако мы еще не рассмотрели специфический набор протоколов, которые устройства LER и LSR сети используют для прокладки свободных туннелей или проверки работоспособности созданных администратором строгих туннелей.

Для выбора и проверки путей через туннели в технологи MPLS ТЕ используются расширения протоколов маршрутизации, работающих на основе алгоритма состояния связей. Сегодня такие расширения стандартизованы для протоколов OSPF и IS-IS. Для решения задачи ТЕ в протоколы OSPF и IS-IS включены новые типы объявлений, обеспечивающие распространение по сети информации о номинальной и незарезервированной (доступной для ТЕ-потоков) величинах пропускной способности каждой связи. Таким образом, ребра результирующего графа сети, создаваемого в топологической базе каждого устройства LER или LSR, маркируются этими двумя дополнительными параметрами. Располагая таким графом, а также параметрами потоков, для которых нужно определить ТЕ-пути, устройство LER может найти рациональное решение, удовлетворяющее одному из сформулированных в главе 7 ограничений на использование ресурсов сети. Чаще всего решение ищется по наиболее простому критерию, который состоит в минимизации максимального значения коэффициента использования вдоль выбранного пути, то есть критерием оптимизации пути является значение min (max Ki) для всех возможных путей.

В общем случае администратору необходимо проложить несколько туннелей для различных агрегированных потоков. С целью упрощения задачи оптимизации выбор путей для этих туннелей обычно осуществляется по очереди, причем администратор определяет очередность на основе своей интуиции. Очевидно, что поиск ТЕ-путей по очереди снижает качество решения — при одновременном рассмотрении всех потоков в принципе можно было бы добиваться более рациональной загрузки ресурсов.

ПРИМЕР

В примере, показанном на рис. 20.15, ограничением является максимально допустимое значение коэффициента использования ресурсов, равное 0,65. В варианте 1 решение было найдено при очередности рассмотрения потоков 1, 2, 3. Для первого потока был выбран путь А-В-С, так как в этом случае он, с одной стороны, удовлетворяет ограничению (все ресурсы вдоль пути — каналы A-В, А-С и соответствующие интерфейсы маршрутизаторов оказываются загруженными на 50/155 - 0,32), а с другой — обладает минимальной метрикой (65 + 65 “ “130). Для второго потока также был выбран путь А -В-С, так как и в этом случае ограничение удовлетворяется — результирующий коэффициент использования оказывается равным 50 + 40/155 = 0,58. Третий поток направляется по пути A-D-E-C и загружает ресурсы каналов А-D, D-Е и Е-С на 0,3. Решение 1 можно назвать удовлетворительным, так как коэффициент использования любого ресурса в сети не превышает 0,58.

Вариант 1:1-»3->2 Вариант 2: 2-+3-И

Ктах-0,58 Ктах⁼0,5

Однако существует лучший способ, представленный в варианте 2. Здесь потоки 2 и 3 были направлены по верхнему пути Л-В-С, а поток 1 — по нижнему пути A-D-E-C. Ресурсы верхнего пути оказываются загруженными на 0,45, а нижнего — на 0,5, то есть налицо более равномерная загрузка ресурсов, а максимальный коэффициент использования всех ресурсов сети не превышает 0,5. Этот вариант может быть получен при одновременном рассмотрении всех трех потоков с учетом ограничения min (max Ki) или же при рассмотрении потоков по очереди в последовательности 2,3,1.

Несмотря на не оптимальность качества решения, в производимом сегодня оборудовании применяется вариант технологии MPLS ТЕ с последовательным рассмотрением потоков. Он проще в реализации и ближе к стандартным для протоколов OSPF и IS-IS процедурам нахождения кратчайшего пути для одной сети назначения (в отсутствие ограничений найденное решение для набора кратчайших путей не зависит от последовательности учета сетей, для которых производился поиск). Кроме того, при изменении ситуации — появлении новых потоков или изменении интенсивности существующих — найти путь удается только для одного потока.

Возможен также подход, в котором внешняя по отношению к сети вычислительная система, работающая в автономном режиме, определяет оптимальное решение для набора потоков. Это может быть достаточно сложная система, которая включает подсистему имитационного моделирования, способную учесть не только средние интенсивности потоков, но и их пульсации и оценить не только загрузку ресурсов, но и результирующие параметры QoS — задержки, потери и т. п. После нахождения оптимального решения его можно модифицировать уже в оперативном режиме поочередного поиска путей.

В технологии MPLS ТЕ информация о найденном рациональном пути используется полностью, то есть запоминаются IP-адреса источника, всех транзитных маршрутизаторов и конечного узла. Поэтому достаточно, чтобы поиском путей занимались только пограничные устройства сети (LER), а промежуточные устройства (LSR) лишь поставляли им информацию о текущем состоянии резервирования пропускной способности каналов.

После нахождения пути независимо от того, найден он был устройством LER или администратором, его необходимо зафиксировать. Для этого в MPLS ТЕ используется расширение уже рассмотренного нами протокола резервирования ресурсов (RSVP), который часто в этом случае называют протоколом RSVP ТЕ. Сообщения RSVP ТЕ передаются от одного устройства LSR другому в соответствии с данными о найденных IP-адресах маршрута. При установлении нового пути в сигнальном сообщении наряду с последовательностью адресов пути указывается также и резервируемая пропускная способность. Каждое устройство LSR, получив такое сообщение, вычитает запрашиваемую пропускную способность из пула свободной пропускной способности соответствующего интерфейса, а затем объявляет остаток в сообщениях протокола маршрутизации, например CSPF.

В заключение рассмотрим вопрос отношения технологий MPLS ТЕ и QoS. Как видно из описания, основной целью MPLS ТЕ является использование возможностей MPLS для достижения внутренней цели поставщика услуг, а именно сбалансированной загрузки всех ресурсов своей сети. Однако при этом также создается основа для предоставления транспортных услуг с гарантированными параметрами QoS, так как трафик по ТЕ-туннелям передается при соблюдении некоторого максимального уровня коэффициента использования ресурсов. Как мы знаем из материала главы 7, коэффициент использования ресурсов оказывает решающее влияние на процесс образования очереди, так что потоки, передаваемые по ТЕ-туннелям, передаются с некоторым гарантированным уровнем QoS.

Для того чтобы обеспечить разные параметры QoS для разных классов трафика, поставщику услуг необходимо для каждого класса трафика установить в сети отдельную систему туннелей. При этом для чувствительного к задержкам класса трафика требуется выполнить резервирование таким образом, чтобы максимальный коэффициент использования ресурсов туннеля находился в диапазоне 0,2-0,3, иначе задержки пакетов и их вариации выйдут за допустимые пределы.

Отказоустойчивость путей MPLS

Общая характеристика

MPLS поддерживает несколько механизмов обеспечения отказоустойчивости, или в терминах SDH — механизмов автоматического защитного переключения маршрута в случае отказа какого-либо элемента сети: интерфейса LSR, линии связи или LSR в целом.

В том случае, когда путь устанавливается с помощью протокола LDP, существует единственная возможность защиты пути — его восстановление с помощью распределенного механизма нахождения нового пути средствами протоколов маршрутизации. Это абсолютно тот же механизм, который используется в IP-сетях при отказе линии или маршрутизатора. Время восстановления пути зависит от применяемого протокола маршрутизации и сложности топологии сети, обычно это десятки секунд или несколько минут.

В том случае, когда путь является ТЕ-туннелем, в технологии MPLS разработано несколько механизмов его восстановления. Эти механизмы иллюстрирует рис. 20.16, на котором показан основной путь LSP1, соединяющий устройства LSR1 и LSR8. Будем считать, что путь LSP1 является ТЕ-туннелем.

? Восстановление пути его начальным узлом. Традиционное (с помощью протокола маршрутизации) повторное нахождение нового пути, обходящего отказавший элемент сети. Отличие от восстановления пути LDP заключается только в том, что прокладкой нового пути занимается лишь один узел сети, а именно начальный узел пути. В нашем примере это узел LSR1.

? Защита линии. Такая защита организуется между двумя устройствами LSR, непосредственно соединенными линией связи. Обходной маршрут находится заранее, до отказа линии, и заранее прокладывается между этими устройствами таким образом, чтобы обойти линию связи в случае ее отказа. В нашем примере такой вариант защиты установлен для линии, соединяющей узлы LSR2 и LSR7. Обходной путь B1-LSP1 проложен через узел LSR3. Защита линии является временной мерой, так как параллельно с началом использования обходного пути начальный узел основного пути начинает процедуру его восстановления с помощью протокола маршрутизации. После восстановления основного пути использование обходного пути прекращается. Временная защита линии не гарантирует ТЕ-туннелю требуемой пропускной способности. Механизм защиты линии работает очень быстро, обычно время переключения не превосходит 50 мс, то есть сравнимо со временем переключения сетей SDH, которые всегда выступают в этой области в качестве эталона. Поэтому механизм защиты линии называют быстрой перемаршрутизацией (fats re-route).

? Защита узла. Этот механизм очень похож на механизм защиты линии, но отличается тем, что обходной путь прокладывается так, чтобы обойти отказавшее устройство LSR (в нашем примере на рисунке это устройство LSR7). Все остальные характеристики аналогичны характеристикам защиты линии; механизм защиты узла тоже относится к механизмам быстрой перемаршрутизации и тоже является временной мерой.

? Защита пути. В дополнение к основному пути в сети прокладывается путь, связывающий те же конечные устройства, но проходящий по возможности через устройства LSR и линии связи, не встречающиеся в основном пути (на рисунке это резервный путь B3-LSP1). Данный механизм самый универсальный, но он работает медленнее, чем механизмы защиты линии и узла.

Для быстрого обнаружения отказа основного пути или его части могут использоваться различные механизмы и протоколы: сообщения Hello протокола RSVP, протокол LSP Ping или BFD.

Использование иерархии меток для быстрой защиты

Рассмотрим работу быстрых механизмов защиты на примере защиты линии, представленной на рис. 20.17. Пусть для защиты линии LSR2-LSR7 в сети проложен обходной путь B-LSP1. На основном пути LSP1 для продвижения кадров используется последовательность меток 15,17 и 21. На первом участке обходного пути B-LSP1 используется метка 7, на втором — метка 8.

При'отказе линии LSR2-LSR7 устройство LSR2 начинает направлять кадры, доступа! гцие по пути LSP1, в обходной путь B-LSP1 (рис. 20.18). Однако если при этом поменя метку 15 на метку 7, как того требует обычная логика коммутации меток, то кадр прид в устройство LSR7 с меткой 8 (ее установит устройство LSR3), которая не соответству значению метки 17, используемой в устройстве LSR7 для передачи кадров по пути LSP

Для того чтобы устройство LSR7 работало при переходе на обходной путь точно так ж как и при нормальной работе основного пути, в технике быстрой защиты применяете иерархия меток. Для этого устройство LSR2, которое реализует механизм защиты лини заменяет метку 15 в пришедшем пакете меткой 17, как если бы линия LSR2-LSR7 не о называла. Затем устройство LSR2 проталкивает метку первого уровня в стек, а на верши* стека помещает метку 7, которая нужна для продвижения кадра по обходному пути.

Устройство LSR3 является предпоследним устройством обходного пути. Поэтому о* удаляет верхнюю метку 7 и выталкивает на вершину стека метку 17. В результате ад поступает в коммутатор LSR7 с меткой 17, что и требуется для продвижения его далее г пути LSP1.

Аналогичным образом работает механизм быстрой защиты узла, в нем также используете иерархия меток.

Подробное описание одного из наиболее популярных приложений технологии MPLS — MPLS VPN 3-го уровня — можно найти на сайте www.olifer.co.uk в разделе «Приложения MPLS».

Выводы

Технология MPLS считается сегодня многими специалистами одной из самых перспективнь транспортных технологий. Главный принцип MPLS: протоколы маршрутизации используются щ определения топологии сети, а для продвижения данных внутри границ сети одного поставщик услуг применяется техника виртуальных каналов.

Объединение техники виртуальных каналов с функциональностью стека TCP/IP происходит за счет того, что одно и то же сетевое устройство, называемое коммутирующим по меткам маршрутизатором (LSR), выполняет функции как IP-маршрутизатора, так и коммутатора виртуальных каналов.

Кадры MPLS имеют заголовки двух типов:

? внешний заголовок одной из технологий канального уровня, например Ethernet или РРР;

? заголовок-прокладка с полем метки и некоторыми другими полями, относящимися собственно к технологии MPLS.

MPLS поддерживает иерархию путей за счет применения техники стека меток. При этом число уровней иерархии не ограничено.

Протокол LDP позволяет автоматически назначать метки для вновь прокладываемого пути LSP. Маршрут для этого пути выбирается на основании работы стандартных протоколов маршрутизации.

Для тестирования состояния пути LSP в технологии MPLS разработан протокол LSP Ping, работа которого во многом похожа на работу утилиты ping стека TCP/IP. Мониторинг состояния пути LSP можно выполнять с помощью протокола BFD.

Существует несколько механизмов отказоустойчивости в сетях MPLS:

? восстановление пути его начальным узлом;

? защита линии;

? защита узла;

? защита пути.

Технология MPLS поддерживает инжиниринг трафика. Для этого применяются специальные версии протоколов маршрутизации, такие как OSPFTE и IS-IS ТЕ, которые учитывают свободную пропускную способность каждой линии связи сети.

Автоматическое установление найденного в соответствии с задачами инжиниринга трафика пути осуществляется специальной версией протокола RSVP, которая имеет название RSVP ТЕ.

Вопросы и задания

1. Технология MPLS является гибридом технологий:

a) IP и IPX; б) IP и OSPF; в) IP и технологии виртуальных каналов.

2. Какие функциональные модули IP-маршрутизатора используются в LSR? Варианты ответов:

а) блок продвижения;

б) блок протоколов маршрутизации;

в) блок протоколов канального уровня.

3. Какое максимальное число уровней иерархии путей LSP?

4. Можно ли в сети, поддерживающей MPLS, передавать часть трафика посредством обычного 1Р-продвижения?

5. Предположим, что LSR использует формат кадров Ethernet. На основе каких адресов LSR выполняет продвижение кадров? Варианты ответов:

а) адресов Ethernet; б) адресов IP; в) меток MPLS.

6. Класс эквивалентности продвижения это:

а) набор путей LSP с равными метриками;

б) набор путей к одному и тому же выходному устройству LER;

в) группа IP-пакетов, имеющих одни и те же требования к условиям транспортировки.

7. Что является аналогом туннелей MPLS ТЕ в технологии АТМ? Варианты ответов:

а) постоянные виртуальные каналы;

б) коммутируемые виртуальные каналы;

в) иерархические соединения.

8. Протокол LDP позволяет автоматически проложить пути LSP, причем маршруты для них:

а) определяются стандартной таблицей маршрутизации;

б) определяются с помощью техники инжиниринга трафика;

в) учитывают свободную пропускную способность линий связи.

9. Какой из вариантов управления распределением меток протоколом LDP называется упорядоченным? Варианты ответов:

а) метка назначается по запросу от вышележащего устройства LSR;

б) метка не назначается устройством LSR до тех пор, пока оно не получит метку от нижележащего устройства;

в) метка назначается без запроса.

10. Зачем в сообщении Echo Request протокола LSP Ping в качестве IP-адреса назначения используется адрес обратной петли 127.0.0.1? Варианты ответов:

а) для тестирования стека протоколов TCP/IP каждого промежуточного устройства LSR;

б) этот адрес выбран произвольно и ни на что не влияет, потому что сообщение передается на основе меток MPLS;

в) для передачи сообщения стеку протоколов TCP/IP узла тестируемого пути, после которого путь поврежден.

11. Протокол BFD отличается от протокола LSP Ping следующими свойствами:

а) не может тестировать многодоменные пути;

б) проще в реализации;

в) не способен локализовать неисправности.

12. Какие узлы пути задаются при описании свободного ТЕ-пути?

а) только конечный; б) начальный и конечный; в) часть промежуточных узлов.

13. Какие механизмы отказоустойчивости путей MPLS являются самыми быстрыми? Варианты ответов:

а) восстановление пути его начальным узлом;

б) защита узла;

в) защита линии;

г) защита пути.

ГЛАВА 21 Ethernet

операторского класса

Ethernet операторского класса (Carrier Ethernet, или Carrier Grade Ethernet) — это сравнительно новый термин, под которым скрывается целый спектр различных технологий.

В наиболее широком смысле под Ethernet операторского класса понимают как услуги Ethernet, которые операторы связи предоставляют в глобальном масштабе, так и технологии, на основе которых эти услуги организуются. В эти технологии входит усовершенствованная версия Ethernet, а также MPLS и технологии первичных сетей, такие как SDH, OTN и DWDM.

В этой главе мы рассмотрим наиболее популярные технологии, входящие в семейство Ethernet операторского класса, а также формализованное описание услуг Ethernet операторского класса.

Обзор версий Ethernet операторского класса

Движущие силы экспансии Ethernet

Как мы знаем, классическая технология Ethernet разрабатывалась исключительно как технология локальных сетей, и до недавнего времени сети этого класса и были единственной областью ее применения. Однако бесспорный успех Ethernet в локальных сетях, где она вытеснила все остальные технологии, привел к напрашивающейся идее об использовании этой технологии и в глобальных сетях (которые по большей части являются операторскими).

Потенциальных преимуществ от экспансии Ethernet за пределы локальных сетей несколько.

Для пользователей важно появление Ethernet как услуги глобальных сетей. Эта услуга может у разных провайдеров называться по-разному — Carrier Ethernet, Ethernet VPN, VPLS, ELINE или ELAN — суть от этого не меняется: пользователи получают возможность соединения своих территориально рассредоточенных сетей так же, как они привыкли в своих офисных сетях, то есть на уровне коммутаторов Ethernet и без привлечения протокола IP. При этом пользователи имеют дело с хорошо изученной технологией на интерфейсах, соединяющих их пограничное оборудование с пограничным оборудованием провайдера. Кроме того, при соединении сетей на канальном уровне пользователи свободны в IP-адресации своих сетей, так как при передаче трафика между сетями пользователей услуги Ethernet операторского класса провайдер не применяет IP-адреса. Таким образом, можно, например, назначить адреса одной и той же IP-подсети для всех сетей пользователей или же задействовать частные IP-адреса. Это общее свойство услуг VPNканального уровня, но сегодня такая услуга практически всегда выглядит как услуга с интерфейсом Ethernet.

Очень полезным свойством является также мобильность сетей пользователей; так, при помещении какой-либо сети пользователя в центр данных провайдера (то есть при хостинге сети Ethernet) ее IP-адреса могут оставаться теми же, что и были прежде, когда эта сеть была составное частью корпоративной сети пользователя.

Для провайдеров Ethernet операторского класса важна и как популярная услуга, и как внутренняя транспортная технология канального уровня. В последнем случае эта технология может использоваться для реализации глобальных услуг Ethernet или же для создания надежных, быстрых и контролируемых соединений между маршрутизаторами.

Привлекательность Ethernet как внутренней транспортной технологии для операторов связи объясняется относительно низкой стоимостью оборудования Ethernet. Порты Ethernet всегда обладали самой низкой стоимостью по сравнению с портами любой другой технологии (естественно, с учетом скорости передачи данных портом). Низкая стоимость изначально была результатом простоты технологии Etherhet, которая предлагает только минимальный набор функций по передаче кадров в режиме доставки по возможности (с максимальными усилиями), не поддерживая ни контроль над маршрутами трафика, ни мониторинг работоспособности соединения между узлами. Низкая стоимость оборудования Ethernet при удовлетворительной функциональности привела к доминированию Ethernet на рынке оборудования для локальных сетей, ну а далее начал работать механизм положительной обратной связи: хорошие продажи — массовое производство — еще более низкая стоимость и т. д.

Стремление к унификации также относятся к силам, ведущим к экспансии Ethernet в глобальные сети. Сетевой уровень уже давно демонстрирует однородность благодаря доминированию протокола IP, и перспектива получить однородный канальный уровень в виде Ethernet выглядит очень заманчивой.

Однако все это относится к области желаний, а как обстоит дело с возможностями? Готова ли технология Ethernet к новой миссии? Ответ очевиден — в своем классическом виде технологии локальной сети не готова. Для того чтобы успешно работать в сетях операторов связи, технология и воплощающее ее оборудование должны обладать определенным набором характеристик, среди которых, в первую очередь, нужно отметить надежность, отказоустойчивость, масштабируемость и управляемость. Эталоном такой технологии может служить технология SDH, которая долгие годы использовалась (и все еще используется) как становой хребет сетей операторов связи, соединяя своими каналами маршрутизаторы, телефонные станции и любое другое оборудование провайдера. MPLS также может выступать в качестве эталона технологии операторского класса, ее основные свойства, описываемые в главе 20, позволяют сделать такой вывод.

Для того чтобы соперничать с SDH или MPLS, превратившись в технологию операторского класса, Ethernet надо улучшить свою функциональность, при этом наиболее важным является решение двух задач:

? Эксплуатационные и административные характеристики должны поддерживаться протоколами администрирования и обеспечивать мониторинг состояния соединений, а также локализацию и устранение неисправностей. Эти характеристики необходимы для успешного применения Ethetmet в качестве внутренней транспортной технологии операторов связи.

? Должна быть обеспечена изоляция адресных пространств сети Ethernet провайдера от адресных пространств сетей Ethernet пользователей. Как вы знаете, пространство МАС-адресов Ethernet является плоским, так что если сеть Ethernet провайдера соединить непосредственно (а не через маршрутизатор) с сетями Ethernet пользователей, то всем коммутаторам сети Ethernet провайдера придется иметь дело с МАС-адресами пользовательского оборудования, а у крупного провайдера их может насчитываться сотни тысяч. Здесь требуется какое-то принципиально другое решение, иначе провайдер не сможет оказывать услуги частных виртуальных сетей Ethernet, строя их на собственном оборудовании Ethernet.

Разные «лица» Ethernet

Как мы увидим далее, разработчики технологии Ethernet на пути превращения ее в технологию операторского класса пытаются решить обе задачи. Однако из-за того, что такая работа начата сравнительно недавно, для оказания глобальных услуг Ethernet первыми в сетях операторов связи стали применяться технологии, отличные от Ethernet. И только в последнее время к ним присоединилась собственно технология Ethernet.

Ситуацию в области Ethernet операторского класса иллюстрирует рис. 21.1. Он показывает, что независимо от внутренней реализации для пользователя глобальная услуга Ethernet всегда предоставляется с помощью набора стандартных интерфейсов Ethernet (Ethernet UNI) на каналах доступа к сети провайдера.

Эти интерфейсы поддерживают одну из спецификаций Ethernet физического уровня, например 100Base-FX или 1000Base-LX, а также стандартные кадры Ethernet. Кроме того, существует некоторое описание услуги, которое определяет ее основные параметры, такие как топологию взаимодействия сетей пользователей (например, двухточечную, как показано на рисунке, звездообразную или полносвязную), пропускную способность логического соединения или же гарантированный уровень качества обслуживания кадров.

Однако если внешне услуги Ethernet операторского класса у разных провайдеров выглядят более-менее однотипно, внутренняя организация такой услуги в пределах сети провайдера может отличаться значительно.

Сегодня можно выделить три основных варианта подобной организации в зависимости от используемой внутренней транспортной технологии.

? Ethernet поверх MPLS (Ethernet over MPLS, EoMPLS). В этом случае MPLS-туннели (с некоторой надстройкой) используются как основной транспортный механизм провайдера, позволяющий эмулировать услугу Etheret для клиентов. Такие свойства MPLS, как поддержка детерминированных маршрутов, наличие механизма быстрой перемаршрутизации, обеспечивающего быстрое (сравнимое с SDH) переключение с основного маршрута на резервный, развитые средства контроля работоспособности соединений, сделали эту технологию весьма привлекательной для операторов связи. Кроме того, MPLS — это весьма зрелая технология с более чем 10-летней историей; она используется сегодня в магистральных сетях очень многих крупных провайдеров связи для различных целей,* так что ее надежность и эффективность проверены практикой. Группа IETF, занимающаяся разработкой стандартов MPLS, выпустила несколько документов RFC, описывающих детали процесса эмуляции Ethernet с помощью этой технологии. Сегодня данный подход является одним из самых распространенных при реализации услуги Ethernet VPN в сетях операторов связи.

? Ethernet поверх Ethernet (Ethernet over Ethernet), или транспорт Ethernet операторского класса (Carrier Ethernet Trahsport, СЕТ). Этот вариант оказания глобальной услуги Ethernet основан на использования в сети провайдера улучшенной версии Ethernet. Несколько названий этого варианта свидетельствуют о его молодости, когда терминология еще не устоялась и специалистам и пользователям приходится в начале обсуждения тратить время на то, чтобы договориться о взаимно приемлемом употреблении названий и аббревиатур.

Усилия разработчиков технологии СЕТ (в дальнейшем будем использовать эту наиболее краткую аббревиатуру) и услуг на ее основе стандартизует комитет 802 IEEE. Из-за молодости этого направления не все его стандарты еще приняты, но приверженцы Ethernet могут назвать его «истинной» технологией Carrier Ethernet, так как здесь технология Ethernet не только видна потребителям услуг извне, но и работает внутри сети провайдера. Название транспорт Ethernet операторского класса как раз и отражает тот факт, что Ethernet операторского класса функционирует как транспортная технология провайдера.

Для любой пакетной технологии непросто приблизиться к функциональности SDH, а для Ethernet это сделать сложнее, чем, скажем, для MPLS, так как Ethernet изначально была задумана как дейтаграммная технология с минимумом функций. Тем не менее прогресс в этой области наблюдается.

? Ethernet поверх транспорта (Ethernet over Transport, EOT). Это наиболее традиционный для оператора связи вариант организации, так как под транспортом здесь понимается транспорт, основанный на техникеЧкоммутации каналов, которая всегда использовалась для создания первичных сетей операторов, то есть транспорт PDH, SDH или OTN. Для того чтобы эмулировать услуги Ethernet, необходимы некоторые надстройки над базовыми стандартами этих технологий, стандартизацией таких надстроек занимается ITU-T.

Стандартизация Ethernet как услуги

Стандартизация Ethernet как услуги — это еще одно важное направление работ в области Ethernet операторского класса, так как разнообразие реализаций этой услуги неминуемо приводит к разнообразию понятий, терминов и т. п., что весьма нежелательно.

Работой по созданию технологически нейтральных спецификаций глобальной услуги Ethernet занимается организация под названием Metro Ethernet Forum (MEF).

Использование термина Metro в названии этой организации отражает начальную ситуацию развития Ethernet операторского класса, когда такие услуги предоставлялись в основном в масштабах города. Теперь же, когда технология Ethenet операторского класса стала применяться и в глобальных масштабах, название можно было бы и поменять, но оно уже стало настолько популярным, что такое переименование вряд ли случится.

Организация MEF разработала несколько спецификаций, которые позволяют потребителю и поставщику услуги разработать нужный вариант услуги Ethernet, используя терминологию и параметры, не зависящие от конкретной внутренней реализации этой услуги провайдером. Такой подход удобен, он позволяет потребителям не знать терминологии той технологии, которую использует поставщик, например MPLS или SDH, и в то же время сознательно выбирать нужный ему вариант услуги.

В MEF вводится три типа услуг виртуальных частных сетей Ethernet, которые отличаются топологией связей между сайтами пользователей. Для того чтобы формализовать топологию связей, вводится понятие виртуального соединения Ethernet (Ethernet Virtual Circuit, EVC). Каждое соединение EVC связывает сайты пользователей в отдельную виртуальную частную сеть, объединяя сетевые интерфейсы пользователей (User Network Interface, UNI).

Соответственно, имеются три типа соединений EVC (рис. 21.2):

? «точка-точка» (двухточечная топология);

? «каждый с каждым» (полносвязная топология);

? «дерево» (древовидная топология).

В зависимости от типа используемого соединения различаются и типы услуг:

? E-LINE. Эта услуга связывает только два пользовательских сайта через двухточечное EVC-соединение. Услуга E-LINE соответствует услуге выделенной линии.

? Е-LAN. Эта услуга аналогична услуге локальной сети, так как она позволяет связать неограниченное число пользовательских сайтов таким образом, что каждый сайт может взаимодействовать с каждым. При этом соблюдается логика работы локальной сети — кадры Ethernet с неизученными и широковещательными МАС-адресами передаются всем сайтам, а кадры с изученными уникальными МАС-адресами — только тому сайту, в котором находится конечный узел с данным адресом.

? E-TRJEE. (Спецификация этой услуги появилась позже других; в локальных сетях ей аналога нет. Пользовательские сайты делятся на корневые и листовые. Листовые сайты могут взаимодействовать только с корневыми, но не между собой. Корневые сайты могут взаимодействовать друг с другом.

Кроме того, в спецификациях MEF вводятся два варианта каждого типа услуги. В первом варианте пользовательский сайт определяется как сеть, подключенная к отдельному физическому интерфейсу UNI. Значения идентификаторов VLAN в пользовательских кадрах в расчет не принимаются. В названии этого варианта услуги к названию типа добавляется термин «частный» (private), например, для услуги типа E-LINE этот вариант называют частной линией Ethernet (Ethernet Private Line, EPL).

В другом варианте услуги к одному и тому же физическому интерфейсу UNI могут быть подключены различные пользовательские сайты. В этом случае они различаются по значению идентификатора VLAN. Другими словами, провайдер внутри своей сети сохраняет деление локальной сети на VLAN, сделанное пользователем. В варианте услуги с учетом VLAN добавляется название «виртуальная частная», например для услуги типа E-LINE это будет виртуальная частная линия Ethernet (Ethernet Virtual Private Line, EVPL).

В своих определениях MEF использует термины «частная услуга» и «виртуальная частная услуга» не совсем традиционным образом, так как оба типа услуги являются виртуальными частными в том смысле, что они предоставляются через логическое соединение в сети с коммутацией пакетов, а не через физический канал в сети с коммутацией каналов.

Помимо указанных определений услуг, спецификации MEF стандартизуют некоторые важные параметры услуг, например услуга может характеризоваться гарантированным уровнем пропускной способности соединения, а также гарантированными параметрами QoS.

Терминология MEF пока не получила широкого распространения. Во многих стандартах конкретных технологий по-прежцему употребляются собственные термины.

Технология EoMPLS

Псевдоканалы

Стандарты IETF описывают два типа услуг Ethernet операторского класса, которые строятся с помощью технологии MPLS: VPWS (Virtual Private Wire Service) и VPLS (Virtual Private LAN Service). Различие между этими услугами в том, что VPWS эмулирует соединение Ethernet с двухточечной топологией, то есть канал Ethernet, a VPLS эмулирует поведение локальной сети, то есть обеспечивает соединения с полносвязной топологией в стиле обычной локальной сети Ethernet.

Если использовать терминологию MEF, то услуга VPLS соответствует услуге E-LAN, а услуга VPWS — услуге E-LINE. При этом стандарты IETF описывают оба варианта услуг, как с принятием во внимание идентификаторов VLAN пользователя, так и без.

Обе услуги являются услугами MPLS VPN второго уровня (MPLS L2VPN), так как они позволяют предоставлять услуги VPN, взаимодействуя с пользовательскими сетями на втором уровне. В этом их отличие от услуг MPLS L3VPN, о которых рассказывается в главе 20.

Основным строительным элементом этих услуг являются так называемые псевдоканалы⁷⁰ (pseudowire), которые соединяют пограничные маршрутизаторы провайдера.

На рис. 21.3 показано три таких псевдоканала, соединяющих между собой пограничные маршрутизаторы РЕ1-РЕ4.

Псевдоканалы представляют собой пути LSP второго уровня иерархии (называемого также внутренним уровнем), проложенным внутри LSP первого (внешнего) уровня. Обычно в качестве LSP первого уровня иерархии используются ТЕ-туннели MPLS, так как они обладают такими дополнительными свойствами, которых нет у путей, проложенных с помощью протокола LDP. На рис. 21.3 пути LSP первого уровня не показаны, чтобы заострить внимание читателя на псевдоканалах.

Псевдоканаль| — это логические транспортные соединения, физически они могут проходить через промежуточные магистральные маршрутизаторы, однако для них они прозрачны, то есть в нашем примере маршрутизаторы PI, Р2 и РЗ просто не замечают их существование в сети.

Однако псевдоканал — это не просто логическое соединение LSP второго уровня иерархии, согласно определению, данному в RFC 3985 (http://Www.rfc-editor.org/rfc/rfc3985.txt), у псевдоканала есть более специфическое назначение.

Одним из вариантов применения псевдоканалов при эмуляции услуг Ethernet является передача псевдоканалом трафика одного пользовательского соединения, при этом псевдоканал эмулирует кабельное соединение между сетями пользователей. В примере на рис. 21.3 псевдоканал PW2 служит для организации соединения между сетями А и Fчерез сеть провайдера. При этом кадры Ethernet, отправляемые сетью А в сеть F, инкапсулируются пограничным маршрутизатором РЕ1 в данные псевдоканала и доставляются им пограничному маршрутизатору РЕ2, который извлекает эти кадры и отправляет их в сеть F в первоначальном виде.

Из определения, данного в RFC 3985, видно, что назначение псевдоканала шире эмуляции Ethernet — это может быть и эмуляции сервисов выделенных каналов технологий PDH или SDH, и эмуляция виртуальных каналов АТМ или Frame Relay; однако в любом случае эмуляция такой услуги выполняется через пакетную сеть. Тип пакетной сети также не уточняется, так что это может быть и классическая сеть IP (без MPLS), и сеть IP/MPLS, и сеть АТМ. Главное в этом обобщенном определении то, что псевдоканал скрывает от пользователей эмулируемого сервиса детали пакетной сети провайдера, соединяя пользовательские пограничные устройства (СЕ на рис. 21.3) таким образом, как если бы они соединялись с помощью выделенного канала или кабеля.

Для некоторых наиболее важных сочетаний эмулируемого сервиса и типа пакетной сети комитет IETF разработал отдельные спецификации псевдоканалов. Далее мы рассмотрим только один тип псевдоканала, который нужен для предоставления услуг Ethernet операторского класса, а именно — псевдоканал эмуляции Ethernet через сети IP/MPLS, описанный в RFC 4448 (http://www.rfc-editor.org/rfc/rfc4448.txt).

Технически создать LSP второго уровня достаточно просто — для этого маршрутизаторам, соединенным LSP первого уровня, нужно оговорить значение метки второго уровня, которое будет использоваться, чтобы различать LSP второго уровня внутри LSP первого уровня. Этот процесс иллюстрируется рис. 21.4. На нем изображены два пограничных маршрутизатора РЕ1 и РЕ2, соединенные псевдоканалом РЕ57. Однако рисунок оказался немного сложнее, чем можно было предположить — вместо одного пути LSP первого уровня мы видим два таких пути. Это связано с тем, что двухточечные псевдоканалы, которые служат для эмуляции Ethernet, по определению IETF всегда являются двунаправленными⁷¹, a MPLS LSP — это однонаправленный путь. Поэтому для создания двунаправленного псевдоканала требуется два однонаправленных пути второго уровня, вложенных в два однонаправленных пути первого уровня, что и показано на рисунке.

Рассматриваемый в нашем примере псевдоканал в направлении от РЕ 1 к РЕ2 идентифицируется меткой 57, а туннель, который использует этот канал, — меткой 102. Поэтому при отправке кадра Ethernet, предназначенного для РЕ2, маршрутизатор РЕ1 помещает исходный кадр Ethernet в кадр MPLS и адресует этот кадр двумя метками: внешней меткой 102 и внутренней меткой 57. Внешняя метка применяется затем магистральными маршрутизаторами PI, Р2 и РЗ для того, чтобы доставить кадр пограничному маршрутизатору РЕ2, при этом в процессе передачи кадра происходит обычная коммутация по меткам (на рисунке показано, что после прохождения Р1 внешняя метка получила значение 161). Внутренняя метка 57 требуется только пограничному маршрутизатору РЕ2, который знает, что эта метка соответствует псевдоканалу PW57, который нужен для связи с некоторой пользовательской сетью.

Как мы видим из рассмотренного примера, псевдоканалы работают только внутри сети провайдера, так что для эмуляции сервиса «из конца в конец» нужны еще какие-то элементы и механизмы — и мы скоро их рассмотрим, но сначала давайте обсудим преимущества применения псевдоканалов поверх MPLS. Возникает естественный вопрос: нужны ли они вообще? Нельзя ли просто обойтись LSP первого уровня для передачи трафика Ethernet через сеть провайдера? В принципе, без псевдоканалов обойтись можно, но тогда для каждого нового пользовательского соединения пришлось бы создавать новый туннель (то есть LSP первого уровня), а это не очень масштабируемое решение, так как конфигурирование такого пути обязательно включает конфигурирование всех магистральных маршрутизаторов сети. Поэтому одно из существенных преимуществ псевдоканалов состоит в том, что в сети провайдера нужно сконфигурировать только сравнительно небольшое число туннелей между пограничными маршрутизаторами, а затем использовать каждый из них для прокладки необходимого числа псевдоканалов. Создание нового псевдоканала также требует конфигурирования, но только пары пограничных маршрутизаторов, которые являются конечными точками псевдоканала, а это подразумевает гораздо меньший объем работы.

Можно заметить, что в технике MPLS L3VPN, рассматриваемой в главе 20, также используются пути второго уровня иерархии для соединения пользовательских сайтов в виртуальную частную сеть. Причины применения этого механизма в MPLS L3VPN те же — хорошая масштабируемость.

Другим преимуществом псевдоканалов является их универсальность, то есть возможность их применения не только в сетях MPLS, но и в сетях других типов, например в «чистых» IP-сетях с туннелированием по протоколу L2TP, и не только при эмуляции Ethernet, но и при эмуляции других сервисов, например каналов PDH. Естественно, что при переходе к другой реализации псевдоканалов конкретные команды конфигурирования меняются, но концепция остается, и это помогает администраторам сети освоить новую технологию.

Услуги VPWS

Услуги виртуальных частных каналов (Virtual Private Wire Service, VPWS) исполняют роль «глобального кабеля», соединяя прозрачным образом две локальных пользовательских сети Ethernet через сеть оператора связи. Мы рассмотрим организацию такой услуги с помощью псевдоканалов MPLS на примере (рис. 21.5). При этом мы опишем дополнительные элементы механизма эмуляции услуги Ethernet, которые были опущены при описании назначения псевдоканалов.

Чаще всего пользовательские сети соединяются с пограничным маршрутизатором провайдера через выделенный интерфейс, который для глобальных услуг Ethernet должен быть стандартным интерфейсом Ethernet, например 100Base-FX. В этом случае услуга VPWS заключается в прозрачном соединении этих интерфейсов, когда сеть провайдера передает все кадры, которые поступают на такой интерфейс от сети пользователя. Иногда этот режим VPWS называют коммутацией портов пользователя.

Возможен и другой вариант услуги VPWS, когда сеть провайдера соединяет виртуальные пользовательские сети, то есть по двухточечному соединению передаются не все кадры, поступающие через интерфейс пользователя, а только кадры, принадлежащие определенной сети VLAN. Этот режим работы VPWS можно назвать коммутацией виртуальных локальных сетей, или VLAN-коммутацией.

Для того чтобы обобщить понятие интерфейса с пользователем, форум IETF ввел термин канала присоединения (Attachment Circuit, АС). АС поставляет входной поток пользовательских данных для сети провайдера, то есть ту нагрузку, которую нужно коммутировать. Употребляя этот термин, можно сказать, что услуга VPWS всегда соединяет два пользовательских канала присоединения; такое определение справедливо не только для услуг Ethernet, но и для услуг, например, Frame Relay или ATM, в этом случае каналы присоединения являются виртуальными каналами этих технологий.

На рисунке показаны также внутренние функциональные элементы пограничных маршрутизаторов РЕ1 и РЕ2, которые эмулируют услуги VPWS вместе с псевдоканалом PW57. Модуль В (от Bridge — мост) работает по стандартному алгоритму IEEE 802.1D. Его роль в схеме эмуляции — выделение кадров Ethernet из общих потоков, поступающих на порты маршрутизатора, для передачи в псевдоканал. Тем самым модуль моста формирует логический интерфейс виртуального коммутатора. Например, если это режим коммутации портов, то модуль моста конфигурируется так, чтобы все кадры, пришедшие на соответствующий порт от пользователя, направлялись для дальнейшей обработки в псевдоканал. Если же это VLAN-коммутация, то модуль моста выбирает для передачи псевдоканалу только кадры, помеченные определенным значением тега VLAN.

Выбранные модулем моста кадры поступают в псевдоканал не непосредственно, а через два промежуточных модуля — NSP и VS. Модуль NSP (Native Service Processing) обеспечивает предварительную обработку кадров Ethernet. Чаще всего такая обработка связана с изменением или добавлением тега VLAN, что может потребоваться, например, если объединяемые пользовательские сети применяют различные значения VLAN для одной и той же виртуальной сети. Модуль VS (Virtual Switch — виртуальный коммутатор) коммутирует один из каналов присоединения с одним из псевдоканалов. Для услуги VPWS этот модуль работает «вхолостую», выполняя постоянную коммутацию единственного канала присоединения с единственным псевдоканалом. Однако для услуги VPLS, которая рассматривается в следующем разделе, виртуальный коммутатор играет важную роль, поэтому в обобщенной схеме эмуляции услуг Ethernet, представленной на рис. 21.5, он присутствует.

После обработки пришедшего кадра модулями NCP и VS он передается псевдоканалу. Конечные точки Т псевдоканала PW57 выполняют две операции:

? инкапсуляцию и декапсуляцию пользовательских кадров в кадры MPLS;

? мультиплексирование и демультиплексирование псевдоканалов в туннеле MPLS.

Процедуру инкапсуляции и формат результирующего кадра определяет спецификация RFC 4448. У исходного кадра отбрасываются поля преамбулы и контрольной суммы, после чего он помещается в кадр MPLS с двумя полями меток: внешней (метка туннеля) и внутренней (метка псевдоканала), как это показано на рис. 21.6). На рисунке не показаны поля заголовка кадра MPLS, относящиеся к конкретной канальной технологии, которая используется на внутренних интерфейсах пограничных маршрутизаторов — как вы помните, кадры MPLS могут иметь обрамление Ethernet, РРР, АТМ или Frame Relay (в случае Ethernet это обрамление не имеет отношения к пользовательскому кадру Ethernet, инкапсулированному в кадр MPLS).

В то время как первые два слова в заголовке, представленном на рисунке, являются стандартными заголовками MPLS, третье слово, называемое управляющим (control word), впервые появилось в стандарте RFC 4448. Это слово, которое является опциональным, предназначено для упорядочивания кадров, передаваемых по псевдоканалу — для этого каждому кадру маршрутизатором-отправителем присваивается порядковый номер, который помещается в управляющее слово. Потребность в контрольном слове возникает тогда, когда внутри сети провайдера происходит распараллеливание трафика туннеля, и кадры могут выходить из туннеля не в том порядке, в котором были посланы.

Конфигурирование псевдоканалов, то есть согласование внутренних меток, используемых для идентификации и мультиплексирования псевдоканалов внутри туннеля, может быть автоматизировано. Для этого сегодня применяют протокол LDP или BGP. Обратите внимание, что речь идет о прокладке псевдоканала, а не самого туннеля, эти два процесса независимы, так что туннель может быть проложен, например, с помощью протокола RSVP ТЕ, а псевдоканалы в нем — с помощью протокола LDP.

Протокол LDP служит также для уведомления одним маршрутизатором РЕ другого об изменении состояния «работоспособен-неработоспособен» псевдоканала или канала присоединения. Это очень полезное свойство, так как без него удаленный маршрутизатор РЕ не узнает об отказе непосредственно не присоединенных к нему отрезков эмулируемого транспортного соединения и будет пытаться его использовать, посылая данные. Протокол LDP позволяет в случае такого отказа отозвать метку, ранее назначенную псевдоканалу.

В завершение описания услуг VPWS хочется напомнить, что такое важное свойство услуги, как гарантированная пропускная способность, обеспечивается с помощью техники инжиниринга трафика, опирающейся в данном случае на соответствующие свойства туннелей MPLS. Аналогично обстоит дело с параметрами качества обслуживания (QoS) для виртуальных соединений VPWS — они могут быть обеспечены с помощью стандартных механизмов QoS, таких как, например, приоритетное обслуживание, профилирование трафика, контроль доступа и резервирование ресурсов. И в этом случае MPLS является хорошим базисом, так как детерминированность туннелей MPLS делает контроль доступа намного более определенной процедурой, чем в случае IP-сетей с их распределенным (и вносящим неопределенность) механизмом выбора маршрутов.

Услуги VPLS

Услуги виртуальной частной локальной сети (Virtual Private LAN Service, VPLS) описаны в спецификациях RFC 4761 (http://www.rfc-editor.org/rfc/rfc4761.txt) и RFC 4762 (http://www. rfc-editor.org/rfc/rfc4762.txt).

Услуги VPLS соответствуют определению услуг E-LAN MEF, причем как варианту с учетом идентификаторов VLAN пользователей, так и варианту без их учета.

Так же как и в случае VPWS, сервис VPLS организован на базе псевдоканалов. Отличие заключается в том, что для каждого экземпляра VPLS используется собственный набор псевдоканалов. При этом каждый такой набор имеет полносвязную топологию, то есть все пограничные маршрутизаторы РЕ, участвующие в работе какого-то экземпляра VPLS, связаны друг с другом.

На рис. 21.7 показан пример сети провайдера, эмулирующей два сервиса VPLS. Пользовательские сети Cl, С5 и С8 относятся к «серому» сервису VPLS, а сети С2, СЗ, С4, С6 и С7 — к «белому». Соответственно, набор псевдоканалов PW-B1, PW-B2 и PW-B3 объединяет пограничные маршрутизаторы, к которым подключены сети «серого» сервиса VPLS, а набор псевдоканалов PW-W1, PW-W2 и PW-W3 — маршрутизаторы, к которым подключены сети «белого» сервиса VPLS (в нашем примере это одни и те же пограничные маршрутизаторы PEI, РЕ2 и РЕЗ, но если бы, например, сети С4 не существовало, то псевдоканалы PW-W2 и PW-W3 были бы не нужны).

Внутренняя организация пограничного маршрутизатора при оказании услуги VPLS показана на примере маршрутизатора РЕ1. Мы видим, что для поддержки каждого экземпляра сервиса VPLS пограничному маршрутизатору требуется отдельный виртуальный коммутатор, в данном случае это модули VPB и VPW (модули NSP не показаны, чтобы не загромождать рисунок, но они в РЕ1 входят, по одному на каждый экземпляр VPLS).

Как и в случае VPWS, модуль В выполняет стандартные функции моста и при этом формирует логический интерфейс с каждым из виртуальных коммутаторов. Этот интерфейс может также формироваться на основе коммутации либо пользовательских портов,'когда весь трафик от определенного порта (или нескольких портов) передается на логический интерфейс, либо сетей VLAN, когда выбираются кадры одной или нескольких пользовательских сетей VLAN от одного или нескольких портов.

Однако если в случае VPWS виртуальный коммутатор выполнял простую работу по передаче кадров от логического интерфейса, то для VPLS этот модуль функционирует по алгоритму стандартного коммутатора (моста). Для этого виртуальный коммутатор изучает МAC-адреса и строит свою таблицу продвижения, как и обычный коммутатор. На рисунке показан упрощенный вид таблицы продвижения РЕ1, состоящей из двух записей: одна запись связывает адрес М8 сети С8 с псевдоканалом PW-B1, другая — адрес М5 сети С5 с псевдоканалом PW-B2. Пользуясь такой таблицей, виртуальный коммутатор не затапливает сеть, получая кадры с адресами М5 или М8, а направляет их в псевдоканал, ведущий к пограничному коммутатору, к которому подключена сеть с узлом назначения. Кадры с широковещательным адресом или адресом, отсутствующим в таблице продвижения, поступают на все его псевдоканалы, в данном случае — на PW-B1 и PW-W1.

Единственной особенностью виртуального коммутатора является то, что он не изучает адреса отправления кадров, приходящих с логического интерфейса. Это не требуется, потому что для интерфейсов, представленных псевдоканалами, виртуальный коммутатор работает по правилу расщепления горизонта (split horizon) — он никогда не передает на псевдоканалы кадры, полученные от какого бы то ни было псевдоканала. Тем самым предотвращается образование петель между виртуальными коммутаторами, а доставку кадров по назначению гарантирует полносвязная топология. То есть любой кадр, полученный виртуальным коммутатором по псевдоканалу, всегда передается на логический интерфейс, соответствующий тому сервису VPLS, к которому относится псевдоканал.

Модуль моста В изучает только адреса, приходящие с пользовательских интерфейсов. Они служат ему для выбора нужного интерфейса в том случае, когда несколько пользовательских сетей относятся к одному сервису VPLS.

Конфигурирование РЕ может оказаться трудоемким занятием, так как в случае N пограничных коммутаторов нужно создать N(N- 1)/2 псевдоканалов. Кроме того, добавление любого нового устройства РЕ требует переконфигурирования всех остальных коммутаторов. Для автоматизации этих процедур можно использовать вариант организации VPLS, описанный в RFC 4761, так как он предусматривает применение для этой цели протокола BGP. Вариант VPLS, описанный в RFC 4762, подразумевает распределение меток второго уровня иерархии с помощью протокола LDP, автоматизацию процедур конфигурирования он не поддерживает.

Ethernet поверх Ethernet

Области улучшений Ethernet

Рассмотрим более подробно те новые свойства, которые необходимо добавить к классическому варианту Ethernet, чтобы превратить его в транспортную технологию операторского класса (Carrier Ethernet Transport, СЕТ), способную работать в сети провайдера в качестве основного транспортного механизма.

Разделение адресных пространств пользователей и провайдера

Адресное пространство сети современной коммутируемой сети Ethernet состоит из двух частей: значений МAC-адресов конечных узлов и значений меток локальных виртуальных сетей (VLAN), на которые логически разделена сеть. Коммутаторы Ethernet при принятии решения при продвижении кадра учитывают оба адресных параметра.

Если сеть провайдера будет составлять с сетями пользователей единое целое на уровне Ethernet, то такая сеть окажется практически неработоспособной, так как все коммутаторы провайдера должны будут в своих таблицах продвижения содержать МАС-адреса всех конечных узлов всех пользователей, а также поддерживать принятое каждым пользователем разбиение сети на локальные виртуальные сети. Помимо очевидной проблемы с количества МAC-адресов (для крупного провайдера это значение может доходить до нескольких миллионов) есть еще проблема с их уникальностью — хотя система назначения адресов и призвана предотвратить дублирование «аппаратных» МАС-адресов, существуют еще и программируемые адреса, да и ошибки в прошивании аппаратных адресов тоже случаются.

Использование пользовательских меток VLAN в сети провайдера также приводит к проблемам. Во-первых, пользователям нужно договариваться о согласованном применении значений VLAN, чтобы они были уникальными для каждого пользователя, так как только тогда сеть провайдера сможет доставлять кадры нужным пользовательским сетям. Представить, как реализовать такую процедуру практически, очень непросто, ведь каждый новый пользователь приходит со своими значениями VLAN, и если заставлять его их переназначать, то можно потерять пользователя. Во-вторых, стандарт VLAN изначально не был рассчитан на глобальное применение и поэтому в нем предусмотрено только 4092 значения метки, что крайне мало для крупного провайдера.

Если посмотреть, как решаются эти проблемы в сетях провайдеров, построенных на других принципах, то мы увидим, что при использовании провайдером технологии IP МАС-адреса пользователей вообще не проникают в маршрутизаторы провайдера⁷², а IP-адреса пользователей представлены в таблицах маршрутизаторов в агрегированном виде — прием, для плоских МАС-адресов недоступный. В сетях, реализующих рассмотренную ранее технологию EoMPLS, МАС-адреса и метки VLAN пользователей применяются только в пограничных маршрутизаторах провайдера, а в магистральных маршрутизаторах они не работают — там их заменяют два уровня меток MPLS.

Маршрутизация, инжиниринг трафика и отказоустойчивость

Операторы связи привыкли к ситуации полного контроля над путями следования трафика в своих сетях, что обеспечивает, например, технология SDH. В IP-сетях степень контроля оператора над маршрутами трафика очень низкая, и одной из причин популярности технологии MPLS служит то, что она привнесла в IP-сети детерминированность маршрутов. Другой желательной для операторов характеристикой сети является отказоустойчивость маршрутов, то есть возможность быстрого перехода на новый маршрут при отказах узлов или линий связи сети. Технология SDH всегда была в этом плане эталоном, так как обеспечивает переход с основного на заранее проложенный резервный путь за десятки миллисекунд. MPLS также обладает подобным свойством.

В сетях Ethernet маршрутизация трафика и отказоустойчивость обеспечиваются протоколом покрывающего дерева (STP). Этот протокол дает администратору сети очень ограниченный контроль над выбором маршрута (это справедливо и для новых вариантов STP, таких как RSTP и MSTP). Кроме того, покрывающее дерево является общим для всех потоков независимо от их адреса назначения. Ввиду этих особенностей протокол STP/RTP является очень плохим решением в отношении инжиниринга трафика. Отказоустойчивость маршрутов также обеспечивается STP, и хотя новая версия RTP значительно сократила время переключения на новый маршрут (с нескольких десятков секунд до одной-двух), до миллисекундного диапазона SDH ей очень далеко. Все это требует нового подхода к маршрутизации потоков в сетях СЕТ, и IEEE работает над этой проблемой.

Функции эксплуатации, администрирования и обслуживания

Функции эксплуатации, администрирования и обслуживания (Operation, Administration, Maintenance, ОАМ) всегда были слабым звеном Ethernet, и это одна из главных причин, по которой операторы связи не хотят применять эту технологию в своих сетях. Новые стандарты, предлагаемые IEEE и ITU-T, призваны исправить эту ситуацию, вводя средства, с помощью которых можно выполнять мониторинг достижимости узлов, локализовывать неисправные сегменты сети и измерять уровень задержек и потерь кадров между узлами сети.

Первая группа функций направлена на решение проблемы использования Ethernet для оказания услуги виртуальных частных сетей, а две остальные — на придание Ethernet функциональности, необходимой для применения Ethernet в качестве внутренней транспортной технологии оператора связи.

Функции эксплуатации, администрирования и обслуживания в Ethernet

К настоящему времени разработано несколько стандартов Ethernet, относящихся к функциям эксплуатации, администрирования и обслуживания:

? IEEE 802. lag. Connectivity Fault Management (CFM). Стандарт описывает протокол мониторинга состояния соединений, в какой-то степени это аналог протокола BFD, рассмотренного в главе 20.

? ITU-T Y.1731. Стандарт комитета ITU-T воспроизводит функции стандарта IEEE 802.lag и расширяет их за счет группы функций мониторинга параметров QoS.

? IEEE 802.3ah. Стандарт тестирования физического соединения Ethernet.

? MEF E-LMI. Интерфейс локального управления Ethernet.

Протокол CFM

Протокол CFM обеспечивает мониторинг логических соединений различного типа, например это может быть соединение определенной сети VLAN или же соединение EoMPLS услуги VPWS. Протокол CFM может выполнять мониторинг как непосредственно соединенных узлов, так и узлов, соединение между которыми проходит через несколько сетей. Кроме того, CFM может использоваться для соединений полносвязной топологии, характерных для услуг типа E-LAN.

Мониторинг выполняется между так называемыми конечными точками обслуживания (Maintenance End Point, МЕР), представляющих собой конечные точки соединения, состояние которого нужно наблюдать.

Каждая из точек МЕР периодически посылает сообщения проверки непрерывности соединения (Continuity Check Message, ССМ), оформленные как кадры сервиса, соединение которого тестируется. Например, если тестируется соединение по VLAN 5, то сообщения ССМ оформляются как кадры Ethernet с идентификатором VLAN, равным 5.

Устройства, которые не имеют точек МЕР, передают такие сообщения транзитом. В том случае, когда некоторая точка МЕР не принимает сообщений ССМ от другой точки МЕР в течение заданного тайм-аута, соединение считается неработоспособным.

В промежуточных устройствах, через которые проходит соединение, можно сконфигурировать промежуточные точки обслуживания (Maintenance Intermediate Point, MIP). Эти точки помогают отслеживать проблемы, возникающие на промежуточных устройствах.

На рис. 21.8 показан случай мониторинга состояния соединения через сеть VLAN 5. Для этого служат три точки МЕР, одна из которых располагается в сети провайдера, а две

другие — в пограничном оборудовании пользователя. Для того чтобы осуществлять мониторинг соединения полносвязной топологии, которое представляет собой VLAN 5, сообщения ССМ посылаются с групповым адресом Ethernet. Для мониторинга двухточечных соединений могут использоваться как индивидуальные, так и групповые адреса.

Весьма важной является способность протокола CFM работать в многодоменной среде, когда соединение проходит через несколько сетей, принадлежащих различным административным доменам. Такая ситуация обычно возникает, если соединение является соединением виртуальной частной сети, организуемой одним или несколькими провайдерами (например, когда поставщик услуги VPN пользуется для организации своей сети услугами выделенных каналов оператора связи). Каждый из администраторов доменов нуждается в мониторинге соединения, но только в пределах своей сети.

Для поддержки многодоменного сценария для каждого домена конфигурируется отдельный домен обслуживания, при этом домены обслуживания образуют иерархию доменов, то есть каждый домен работает на своем индивидуальном уровне. В каждом домене создаются точки обслуживания МЕР и MIP, но точки каждого домена работают только с сообщениями ССМ своего уровня, а сообщения более высоких уровней просто прозрачно передают.

Эту идею иллюстрирует рис. 21.9. Здесь показана сеть, состоящая из трех доменов: домена пользователя, домена поставщика услуги виртуальной частной сети и домена оператора связи, через который работает сеть поставщика услуги.

Домен пользователя: уровень 5

Домен провайдера: уровень 4

Е—1] Е-3

3 d—1 Е—Ш

Домену пользователя присвоен уровень 5, домену провайдера — уровень 4, домену оператора связи — уровень 2 (уровнем по умолчанию в протоколе CFM является уровень 3, он в этом примере отсутствует). Точки обслуживания в сети оператора связи работают с сообщениями ССМ уровня 2, а сообщения точек обслуживания сети пользователя уровня 5 и сети поставщика услуги уровня 4 они передают прозрачно.

В результате оператор связи получает информацию о состоянии соединения в пределах своей сети, провайдер — в пределах своей, а пользователь соединения — «из конца в конец».

Протокол мониторинга качества соединений Y.1731

Стандарт Y.1731, разработанный ITU-T, добавляет к стандарту CFM возможность измерять между точками обслуживания сети некоторые дополнительные параметры.

? Односторонняя задержка кадра. Для измерения этой задержки точки обслуживания сети МЕР генерируют сообщения измерения задержки и ответа на измерение задержки. В этих сообщениях переносятся временные отметки, позволяющие измерить задержку.

? Вариация задержки. Эта задержка измеряется на основе тех же сообщений, что и односторонняя задержка.

? Потери кадров. Для измерения этой величины служат сообщения измерения потерь и ответа на измерение потерь. Счетчики сообщений двух точек обслуживания сравниваются и на основе этого сравнения рассчитываются цотери кадров в каждом из направлений.

Стандарт тестирования физического соединения Ethernet

Стандарт тестирования физического соединения Ethernet предназначен для обнаружения ошибок соединения между двумя непосредственно физически связанными интерфейсами Ethernet. Он поддерживает такие функции, как удаленное обнаружение неисправностей и удаленный контроль обратной связи.

Последняя функция является наиболее интересной для специалистов, занимающихся эксплуатацией сетей Ethernet, так как она позволяет удаленно (через сеть) выдать запрос некоторому интерфейсу Ethernet на переход в режим обратной связи. В этом режиме все кадры, посылаемые на этот интерфейс соседом по линии связи, возвращаются им обратно. Полученные кадры затем можно проанализировать, чтобы установить качество физической линии.

Необходимо отметить, что процедура тестирования линии в режиме обратной связи нарушает нормальную работу соединения, поэтому тестирование нужно проводить в специальное время, отведенное под обслуживание сети.

Интерфейс локального управления Ethernet

Стандарт E-LMI позволяет пограничному пользовательскому устройству, то есть устройству типа СЕ, запрашивать информацию о состоянии и параметрах услуги, предоставляемой сетью провайдера по данному интерфейсу. Например, пограничный коммутатор Ethernet, расположенный в сети пользователя, может запросить у пограничного коммутатора провайдера (то есть устройства РЕ) информацию о состоянии услуги E-LINE или

E-LAN, предоставляемой по данному интерфейсу. Кроме того, согласно стандарту E-LMI, по запросу можно получить такую информацию об услуге, как отображение идентификатора VLAN пользователя на соединение EVC, характеризующее номер виртуальной частной сети, или же величина пропускной способности, гарантированной для данного соединения EVC.

Мосты провайдера

Стандарт IEEE 802. lad «Мосты провайдера» (Provider Bridge, РВ) был первым стандартом, который решал проблему изоляции адресного пространства сети провайдера от адресного пространства его пользователей. Этот стандарт был принят IEEE в 2005 году, и сегодня он реализован в коммутаторах Ethernet многих производителей.

Нужно сказать, что проблема изоляции адресных пространств решается в этом стандарте только частично, так как МАС-адреса пользователей по-прежнему присутствуют в коммутаторах сети провайдера, разделяются только пространства идентификаторов VLAN.

Стандарт РВ вводит двухуровневую иерархию идентификаторов VLAN (рис. 21.10). На внешнем (верхнем) уровне располагается идентификатор VLAN провайдера, называемый S-VID (от Service VLAN ID — идентификатор сервиса VLAN), а на нижнем (внутреннем) уровне — идентификатор VLAN пользователя, называемый C-VID (от Customer VLAN ID — идентификатор VLAN потребителя).

Идентификатор S-VID помещается в пользовательский кадр пограничным коммутатором провайдера, он просто проталкивает C-VID в стек и добавляет новый идентификатор

S-VID, который потребуется коммутаторам сети провайдера для разделения трафика на виртуальные локальные сети внутри сети провайдера. Так как S-VID представляет собой новое поле кадра Ethernet, то ему предшествует новое поле типа EtherType, которое на рис. 21.10 обозначено как S-VID-EtherType (в отличие от оригинального поля C-VID-EtherType). Для отличия S-VID от C-VID стандарт 802.lad вводит новое значение EtherType 0х88а8 для типа данных S-VID (напомним, что для C-VID используется значение EtherType 0x8100). Этот способ инкапсуляции часто неформально называют инкапсуляцией Q-in-Qno названию стандарта 802.1Q, описывающего технику VLAN.

После того как пограничный коммутатор сети провайдера выполняет инкапсуляцию, кадр обрабатывается магистральными коммутаторами провайдера как обычный кадр, поэтому эти коммутаторы не обязаны поддерживать стандарт 802.lad (за исключением поддержки нового значения EtherType 0х88а8, но его использование не является обязательным, и многие производители коммутаторов Ethernet допускают конфигурирование этого параметра и применение стандартного значения 0x8100 и для S-VID).

Когда кадр прибывает на выходной пограничный коммутатор провайдера, над ним выполняется обратная операция — идентификатор S-VID удаляется. После этого кадр отправляется в сеть пользователя в исходном виде, имея в своем заголовке только идентификатор C-VID.

Внутренние сети VLAN провайдера, соответствующие значениям идентификаторов S-VID, обычно служат для конструирования услуг типа Е-LAN. При этом провайдеру нет необходимости согласовывать логическую структуру своей сети с пользователями.

На рис. 21.11 показана сеть провайдера, которая предоставляет потребителям две услуги типа Е-LAN. Сайты Cl, СЗ и С5 относятся к сервису Е-LAN с идентификатором S-VID 156, а сайты С2, С4 и С6 — к сервису Е-LAN с идентификатором S-VID 505.

Конфигурирование услуг E-LAN 156 и 505 выполнено без учета значений пользовательских идентификаторов VLAN на основании подключения сайта пользователя к некоторому физическому интерфейсу коммутатора провайдера. Так, например, весь пользовательский трафик, поступающий от сайта С1, классифицируется пограничным коммутатором РЕ1 как принадлежащий к виртуальной частной сети с S-VID 156.

В то же время стандарт РВ позволяет провайдеру предоставлять услуги и с учетом значений пользовательских идентификаторов VLAN. Например, если внутри сайта С1 выполнена логическая структуризация и существуют две пользовательские сети VLAN, трафик которых нельзя смешивать, провайдер может организовать для этого две сети S-VLAN и отображать на них поступающие кадры в зависимости от значений C-VID.

При своей очевидной полезности стандарт РВ имеет несколько недостатков.

? Коммутаторы сети провайдера, как пограничные, так и магистральные, должны изучать МАС-адреса узлов сетей пользователей. Это не является масштабируемым решением.

? Максимальное количество услуг, предоставляемых провайдером, ограничено числом 4096 (так как поле S-VID имеет стандартный размер в 12 бит).

? Инжиниринг трафика ограничен возможностями протокола покрывающего дерева RSTP/MSTP.

? Для разграничения деревьев STP, создаваемых в сетях провайдера и пользователей, в стандарте 802.lad пришлось ввести новый групповой адрес для коммутаторов провайдера. Это обстоятельство не позволяет задействовать в качестве магистральных коммутаторов провайдера те коммутаторы, которые не поддерживают стандарт 802. lad.

Некоторые из этих недостатков были устранены в стандарте IEEE 802.lah, который был принят летом 2008 года.

Магистральные мосты провайдера

В стандарте на магистральные мосты провайдера (Provider Backbone Bridges, РВВ) адресные пространства пользователей и провайдера разделяются за счет того, что пограничные коммутаторы провайдера полностью инкапсулируют пользовательские кадры Ethernet в новые кадры Ethernet, которые затем применяются в пределах сети провайдера для доставки пользовательских кадров до выходного пограничного коммутатора.

Формат кадра 802.1 ah

При передаче кадров Ethernet через сеть РВВ в качестве адресов назначения и источника используются МАС-адреса пограничных коммутаторов (Backbone Edge Bridges, ВЕВ). По сути, в сети провайдера работает независимая иерархия Ethernet со своими МАС-адресами и делением сети на виртуальные локальные сети (VLAN) так, как это удобно провайдеру. Из-за двух уровней МАС-адресов в кадрах провайдера стандарт РВВ получил также название MAC-in-MAC.

Формат кадра при такой инкапсуляции показан на рис. 21.12. Здесь предполагается, что сеть РВВ провайдера принимает кадры от сетей РВ (возможно, другого провайдера), которые, в свою очередь, соединены с сетями пользователя. В этом случае интерфейсы между сетью РВВ и сетями РВ носят название NNI (Network to Network Interface — интерфейс

«сеть-сеть»), а в поступающих на пограничные коммутаторы сети РВВ кадрах имеется идентификатор S-VID, добавленный входным пограничным коммутатором сети РВ (и не удаленный выходным пограничным коммутатором сети РВ, так как такое удаление выполняется для интерфейсов UNI, но не для интерфейсов NNI). Наличие идентификатора S-VID во входных кадрах не является необходимым условием работы сети РВВ, это только возможный вариант; если сеть РВВ непосредственно соединяет сети пользователей, то входящие кадры поля S-VID не имеют.

С-МАС DA

С-МАС SA

C-VID-Ether

Туре

C-VID

D-Ether Туре

_I_

C-Data

С-МАС DA

С-МАС SA

C-VID-Ether

Туре

C-VID

D-Ether Туре C-Data

Входной пограничный коммутатор сети РВВ добавляет к принимаемому кадру 6 новых полей, из которых четы ре поля представляют собой стандартный заголовок нового кадра, в поле данных которого упакован принятый кадр. В этом заголовке МАС-адресами назначения и источника являются адреса интерфейсов входного и выходного пограничных коммутаторов сети, которые на рис. 21.12 обозначены как В-МАС DA и В-МАС SA соответственно (буква «В» в этих обозначениях появилась от слова «backbone» — магистральный). Эти адреса используются в пределах сети РВВ вместе с идентификатором виртуальной локальной.сети B-VID для передачи кадров в соответствии со стандартной логикой локальной сети, разделенной на сегменты VLAN, и при этом совершенно независимо от адресной информации сетей пользователя. В качестве значения EtherType для B-VID стандарт 802.lah рекомендует применять значение 0х88а8, как и для S-VID в стандарте 802.lad, но допустимы и другие значения, например стандартное для C-VID значение 0x8100 (как и для сетей РВ эта возможность зависит от решения производителя оборудования).

Пользовательские МАС-адреса, а также идентификаторы S-VID и C-VID находятся в поле данных нового кадра и при передаче между магистральными коммутаторами сети РВВ никак не используются.

Двухуровневая иерархия соединений

Полная инкапсуляция приходящих кадров не является единственным новшеством стандарта 802.lah. Другим усовершенствованием этого стандарта является введение двухуровневой иерархии соединений между пограничными коммутаторами. Эта иерархия аналогична иерархии ТЕ-туннелей и псевдоканалов в рассмотренной ранее технологии EoMPLS и служит той же цели — обеспечению масштабируемости технологии при обслуживании большого количества пользовательских соединений.

Для этого в кадр 802.lah введено поле I-SID с предшествующим ему полем I-SID EtherType (с рекомендованным значением 0х88е7). Значение идентификатора I-SID (Information Service Identificator — идентификатор информационного сервиса) должно указывать на пользовательское соединение (виртуальную частную сеть пользователя) в сети РВВ. Так как сеть РВВ делится на сегменты В-VLAN, то соединения I-SID являются логическими соединениями внутри этих сегментов. Роль сегментов В-VLAN состоит в предоставлении транспортных услуг соединениям I-SID, в каждой сети В-VLAN может насчитываться до 16 миллионов соединений I-SID (это значение определяется форматом поля I-SID, состоящего из 24 разрядов).

Двухуровневый механизм B-VID/I-SID рассчитан на то, что в сети провайдера будет небольшое количество сегментов В-VLAN, которые направляют потоки пользовательских данных, идущих по логическим соединениям I-SID, по нужным маршрутам, а также защищают их в случае отказов в сети РВВ (с помощью протоколов RSTP/MSTP, так как никаких новых средств маршрутизации и защиты трафика стандарт РВВ не вводит). С некоторой степенью приближения можно сказать, что сегменты В-VLAN играют роль туннелей MPLS, а соединения I-SID — псевдоканалов. Если же говорить о стандартах MEF, то соединения I-SID соответствуют виртуальным соединениям EVC.

На рис. 21.13 показана сеть провайдера, оказывающая услуги Ethernet своим клиентам на основе стандарта РВВ. Она состоит из пограничных коммутаторов (Backbone Edge Bridge, ВЕВ) и магистральных коммутаторов (Backbone Core Bridge, ВСВ).

Провайдер в этом примере предоставляет услуги трех частных виртуальных сетей:

? E-LINE1 — передает голосовой трафик между сетями С1 и СЗ (двухточечная топология);

? E-LINE2 — передает голосовой трафик между сетями С2 и С4 (двухточечная топология);

? E-LAN1 — передает эластичный трафик данных между сетями С2, С4 и С6 (полносвязная топология).

Пользовательские сети непосредственно подключены к сети РВВ, промежуточных сетей РВ в этом примере нет.

На верхнем уровне структуризации сети провайдера в ней сконфигурированы две магистральные виртуальные локальные сети (В-VLAN) с идентификаторами 1007 и 1033 (обозначены как B-VID 1007 и B-VID 1033 соответственно). В нашем примере различные сети В-VLAN призваны поддерживать трафик разного типа: В-VLAN 1007 поддерживает более требовательный голосовой трафик, а В-VLAN 1033 — менее требовательный эластичный трафик данных. В соответствии с этим назначением созданы и два покрывающих дерева для каждой из виртуальных сетей В-VLAN. Естественно, что назначение сетей B-VLAN может быть и иным — оно полностью определяется оператором сети РВВ в соответствии с его потребностями.

На уровне пользовательских услуг в сети организовано три пользовательских соединения, помеченные как I-SID 56,144 и 108. Эти соединения предназначены для реализации услуг E-LINE1, E-LINE2 и E-LAN1 соответственно.

Соединения I-SID 56 и 144 отображаются пограничными коммутаторами ВЕВ1 и ВЕВ2 на В-VLAN 1007, так как эти соединения переносят пользовательский голосовой трафик, а данная сеть В-VLAN была создана для этого типа трафика. В то же время соединение I-SID 108 отображается пограничными коммутаторами ВЕВ1, ВЕВ2 и ВЕВЗ на B-VLAN 1033, так как сервис 108 переносит эластичный пользовательский трафик данных. Задает эти отображения администратор при конфигурировании пограничных коммутаторов.

Завершает процесс конфигурирования услуг E-LINE1, E-LINE2 и E-LAN1 отображение пользовательского трафика на соответствующие соединения I-SID. Это отображение также выполняется администратором сети при конфигурировании пограничных коммутаторов ВЕВ.

При отображени пользовательского трафика администратор может учитывать только интерфейс, по которому трафик поступает в сеть провайдера, или же интерфейс и значение C-VID пользователя (или же S-VID, если трафик поступает через промежуточную сеть РВ). В нашем примере таким способом задано отображение для сервиса с I-SID 56, который монопольно использует интерфейсы коммутаторов ВЕВ1 и ВЕВ2, не разделяя их с другими сервисами. В терминологии MEF это сервис EPL (а тип сервиса — E-LINE).

В том случае, когда на один и тот же интерфейс поступает трафик более чем одного сервиса, при отображении нужно также упитывать значение C-VID (или S-VID, если трафик принимается от сети РВ). Этот случай имеет место для сервисов с I-SID 144 и 108, так как они разделяют один и тот же интерфейс коммутаторов ВЕВ1 и ВЕВ2. Поэтому такие отображения нужно конфигурировать с учетом значений C-VID; например, если клиент использует для значения C-VID 305 и 500 для маркировки трафика двух различных услуг, то C-VID 305 отображается на I-SID 144, a C-VID 500 — на I-SID 108.

В терминологии MEF сервис с I-SID 144 является сервисом EVPL (тип E-LINE), а сервис с I-SID 108 — сервисом EVP-LAN (тип E-LAN).

Пользовательские МАС-адреса

Теперь нам нужно рассмотреть важный вопрос применения пользовательских МАС-адресов. Магистральным коммутаторам сети РВВ знание пользовательских адресов не требуется, так как они передают кадры только на основании комбинации B-MAC/B-VID.

А вот поведение пограничных коммутаторов в отношении пользовательских МАС-адресов зависит от типа сервиса.

При отображении кадров сервиса типа E-LINE (то есть «точка-точка») на определенное соединение I-SID пограничные коммутаторы не применяют пользовательские МАС-адреса, так как все кадры, независимо от их адресов назначения, передаются одному и тому же выходному пограничному коммутатору. Например, для сервисов с I-SID 56 и 144 коммутатор ВЕВ1 всегда задействует МAC-адрес коммутатора ВЕВ2 в качестве В-МАС DA при формировании несущего (нового) кадра, который переносит инкапсулированный пользовательский кадр через сеть РВВ.

Однако при отображении кадров сервисов типа Е-LAN и E-TREE (то есть «многоточка-многоточка») у входного коммутатора всегда существует несколько выходных пограничных коммутаторов, поддерживающих этот сервис. Например, у входного коммутатора ВЕВ1 при обслуживании кадров сервиса с I-SID 108 есть альтернатива — отправить пришедший кадр коммутатору ВЕВ2 или ВЕВЗ.

Для принятия решения в таких случаях применяются пользовательские МАС-адреса. Пограничные коммутаторы, поддерживающие сервисы типа Е-LAN и E-TREE, изучают пользовательские МАС-адреса и посылают кадр выходному коммутатору, связанному с той сетью пользователя, в которой находится МАС-адрес назначения С-МАС DA.

Так, в нашем примере коммутатор ВЕВ1 изучает адреса С-МАС SA кадров, поступающих по I-SID 108, чтобы знать, подключены ли узлы с этими адресами к ВЕВ2 или ВЕВЗ. В результате ВЕВ 1 создает таблицу продвижения (табл. 21.1).

На основании этой таблицы коммутатор ВЕВ1 по адресу назначения С-МАС выбирает соответствующий адрес выходного пограничного коммутатора и помещает его в формируемый кадр, например, для кадра с адресом назначения С-МАС-2 это будет В-МАС-2. В том же случае, когда пользовательский адрес назначения еще не изучен, коммутатор ВЕВ1 помещает в поле В-МАС широковещательный адрес. Таким же образом обрабатываются кадры с широковещательным пользовательским адресом.

Инжиниринг трафика и отказоустойчивость

Возможности инжиниринга трафика в сетях РВВ ограничены функциональностью протокола STP, который остается и в этом типе сетей основным протоколом, обеспечивающим отказоустойчивость сети при наличии избыточных связей. Этот протокол не дает администратору полного контроля над путями передачи трафика, хотя, как вы знаете из главы 14, некоторые возможности подобного рода у него имеются, так как администратор может влиять на выбор покрывающего дерева за счет назначения приоритетов коммутаторам и их портам. Применение протокола MSTP дает дополнительные возможности устанавливать в сети различные покрывающие деревья для различных виртуальных локальных сетей — это свойство использовано в сети, показанной на рис. 21.13.

Так как кадры протокола STP сети провайдера и сетей клиентов в технологии РВВ изолированы друг от друга, то здесь нет необходимости применять различные групповые адреса для коммутаторов провайдера и клиентов, как это сделано в стандарте РВ.

Ограниченные возможности стандарта РВВ в отношении инжиниринга трафика преодолены в стандарте РВВ~ТЕ, но только для случая двухточечных соединений, то есть для услуг типа E-LINE.

Магистральные мосты провайдера с поддержкой инжиниринга трафика

Технология РВВ ТЕ (Provider Backbone Bridge Traffic Engineering — магистральные мосты провайдера с поддержкой инжиниринга трафика) ведет свое начало от фирменной технологии РВТ (Provider Backbone Transport — магистральный транспорт провайдера) компании Nortel. В начале 2007 года для стандартизации этой технологии была образована рабочая группа IEEE 802.1Qay, работа которой на момент написания данной книги еще не была завершена (ее окончание планировалось на конец 2009 года).

Технология РВВ ТЕ базируется на технологии РВВ, в ней используется та же самая схема инкапсуляции кадров и отображения пользовательских соединений на провайдерские туннели.

Главными целями разработчиков технологии РВВ ТЕ были:

? поддержка функций инжиниринга трафика для магистральных виртуальных локальных сетей (В-VLAN) с топологией «точка-точка», (эти сети часто называют транками, или туннелями);

? обеспечение «быстрой» отказоустойчивости со скоростью, сравнимой со скоростью работы защиты соединений в технологии SDH.

Поставленные цели достигаются в технологии РВВ ТЕ за счет следующих изменений технологии РВВ и классической технологии локального моста:

? Отключение протокола STP

? Отключение механизма автоматического изучения магистральных МАС-адресов.

? Использование пары «В-VID/B-MAC-DA» в качестве метки туннеля. В принципе любой коммутатор, который поддерживает технику VLAN (стандарт IEEE 802.1Q), продвигает кадры на выходной порт, анализируя два указанных в кадре значения: М АС-адрес назначения и номер VLAN. Поэтому данное свойство просто предполагает, что коммутатор ведет себя в соответствии с алгоритмом продвижения, описанным в стандарте 802.1Q, но только для магистральных адресов и магистральных виртуальных локальных сетей.

? Предварительная прокладка первичного (основного) и резервного туннеля для тех случаев, когда нужно обеспечить отказоустойчивость туннеля.

? Описанные первые три свойства технологии РВВ ТЕ позволяют администратору или системе управления сетью формировать пути прохождения через сеть произвольным образом, независимо от того, имеют ли они минимальную метрику до некоторого коммутатора, названного корневым, или нет — то есть обеспечивают поддержку функций инжиниринга трафика. Пара «В-VID/B-MAC-DA» является аналогом метки пути LSP технологии MPLS, однако в отличие от метки MPLS значение этой пары остается неизменным в процессе перемещения кадра по сети провайдера.

Посмотрим, как работает технология РВВ ТЕ, на примере сети, изображенной на рис. 21.14. В этой сети сконфигурировано два туннеля:

? Основной туннель с B-VID 1007 между ВЕВ1 и ВЕВ2, проходящий через ВСВ2 и ВСВ5. Нужно отметить, что в отличие от туннелей MPLS туннели РВВ ТЕ являются двунаправленными.

? Резервный туннель с B-VID 1033, соединяющий те же конечные точки ВЕВ1 и ВЕВ2, но проходящий через другие промежуточные коммутаторы ВСВ1 и ВСВ4, что позволяет обеспечить работоспособность резервного туннеля при отказе какого-либо элемента (коммутатора или линии связи) основного туннеля.

Организация обоих туннелей достигается путем ручного конфигурирования таблиц продвижения во всех коммутаторах сети, через которые проходят туннели. Например, таблица продвижения коммутатора ВЕВ1 после такого конфигурирования выглядит так, как показано в табл. 21.2.

Для устойчивой работы сети РВВ ТЕ необходимо, чтобы комбинация В-VID/B-MAC-DA была уникальной в пределах этой сети. Уникальность может обеспечиваться разными способами. Если в качестве адресов B-MAC-DA в таблицах продвижения указываются адреса физических интерфейсов коммутаторов, то уникальность обеспечивается традиционным способом — за счет централизованной схемы назначения значения старших трех байтов этих адресов, представляющих собой уникальный идентификатор производителя оборудования OUI (как вы знаете из главы 12, эту схему контролирует комитет IEEE 802).

Существует также практика ручного назначения коммутаторам так называемых МАС-адресов обратной связи, которые относятся не к отдельному физическому интерфейсу, а к коммутатору в целом. Такие адреса удобно использовать для организации туннелей между устройствами, так как конфигурация туннеля не связана непосредственно с данным коммутатором и остается неизменной при его замене. При ручном задании МАС-адресов ответственность за их уникальность лежит на администраторе; понятно, что такое решение может работать только в пределах одного административного домена.

Добавление значения B-VID к адресу B-MAC-DA позволяет организовать к одному и тому же пограничному коммутатору до 1024 туннелей с различными в общем случае путями прохождения через сеть. Это дает администратору или системе управления широкие возможности в отношении инжиниринга трафика в сетях РВВ ТЕ.

Нужно подчеркнуть, что таблицы продвижения в сети РВВ ТЕ имеют стандартный вид (для коммутаторов, поддерживающих технику VLAN). Изменяется только способ построения этих таблиц — вместо автоматического построения на основе изучения адресов передаваемых кадров имеет место их внешнее формирование.

Отображение пользовательского трафика на соединения I-SID и связывание этих соединений с туннелями B-VID происходит в технологии РВВ ТЕ точно так же, как и в технологии РВВ.

Так как сети РВВ ТЕ поддерживают только соединения «точка-точка», то логранйчные коммутаторы недолжны изучать пользовательские МАС-адреса j

Отказоустойчивость туннелей РВВ ТЕ обеспечивается механизмом, аналогичным механизму защиты пути в технологии MPLS, рассмотренному ранее в главе 20.

Если администратор сети хочет защитить некоторый туннель, он должен сконфигурировать для него резервный туннель и постараться проложить его через элементы сети, не лежащие на пути основного туннеля. В случае отказа первичного туннеля его трафик автоматичски направляется пограничным коммутатором в резервный туннель. В примере, приведенном на рис. 21.13, для первичного туннеля с B-VID 1007 сконфигурирован резервный туннель с B-VID 1033. При отказе туннеля 1007 трафик соединений с I-SID 56 и 144 будет направлен коммутатором ВЕВ1 в туннель 1033.

Для мониторинга состояний первичного и резервного туннелей в технологии РВВ ТЕ применяется протокол CFM. Этот протокол является обязательным элементом технологии РВВ ТЕ. Мониторинг выполняется путем периодической отправки сообщений ССМ каждым пограничным коммутатором туннеля. Время реакции механизма защиты туннелей РВВ ТЕ определяется периодом следования сообщений ССМ; при аппаратной реализации этого протокола портами коммутатора время реакции может находиться в пределах десятка миллисекунд, то есть соизмеримо с реакцией сетей SDH.

Выводы

В наиболее широком смысле под Ethernet операторского класса понимают как услуги Ethernet, которые операторы связи предоставляют в глобальном масштабе, так и технологии, на основе которых эти услуги организуются.

Движущими силами превращения Ethernet в технологию операторского класса являются:

? привлекательность для пользователей услуг Ethernet в глобальном масштабе;

? низкая стоимость оборудования Ethernet;

? унификация технологий канального уровня.

Существует несколько вариантов организации глобальной услуги Ethernet:

? Ethernet поверх MPLS (EoMPLS);

? Ethernet поверх Ethernet;

? Ethernet поверх транспорта первичных сетей.

Основные потребительские свойства глобальной услуги Ethernet стандартизованы форумом МЕЕ

В технологии EoMPLS применяется двухуровневая иерархия соединений: на нижнем уровне работают туннели MPLS, а на верхнем — псевдоканалы, переносящие пользовательский трафик.

С помощью технологии EoMPLS провайдер может оказывать услуги двух типов: VPWS (соединения «точка-точка») и VPLS (соединения «каждый с каждым»).

Для реализации варианта Ethernet поверх Ethernet комитет IEE802.1 разработал три стандарта:

? мосты провайдера (РВ);

? магистральные мосты провайдера (РВВ);

? магистральные мосты провайдера с поддержкой инжиниринга трафика (РВВ).

В стандарте РВ виртуальные локальные сети (VLAN) провайдера и пользователей разделены.

В стандарте РВВ разделены как виртуальные локальные сети (VLAN), так и MAC-адреса провайдера и пользователей.

Стандарт РВВ поддерживает только услуги «точка-точка», но дает администратору полный контроль над путями следования трафика через сеть. Еще одним важным новым свойством этого стандарта является механизм быстрой защиты пользовательских соединений.

Вопросы и задания

1. Ethernet операторского класса это:

а) улучшенная версия классической технологии Ethernet;

б) новая услуга операторов связи;

в) услуга VPLS с интерфейсом Ethernet.

2. Причинами появления Ethernet операторского класса является:

а) стремление операторов строить свои сети только на коммутаторах Ethernet;

б) желание пользователей объединять свои территориально распределенные сайты, «как если бы они принадлежали одной локальной сети»;

в) стремление пользователей и операторов к унификации сети;

г) относительная дешевизна оборудования Ethernet.

3. Какие улучшения классической версии Ethernet были сделаны для превращения ее в технологию операторского класса? Варианты ответов:

а) повышена надежность оборудования Ethernet;

б) улучшены эксплуатационные свойства оборудования Ethernet;

в) добавлена возможность изоляции адресных пространств клиентов и оператора.

4. Чем вариант «Ethernet поверх MPLS» отличается от варианта «Ethernet поверх транспорта»? Варианты ответов:

а) характеристиками предоставляемой услуги;

б) используемой внутренней транспортной технологией для предоставления одной и той же услуги;

в) в первом случае в сети оператора используется техника коммутации пакетов, во втором — коммутации каналов.

5. Что стандартизуют спецификации форума MEF? Варианты ответов:

а) топологию связей услуги Ethernet;

б) возможность использования идентификаторов VLAN для определения топологии связей услуги;

в) параметры пропускной способности соединений.

6. Псевдоканал MPLS это:

а) путь LSP второго уровня иерархии;

б) эмулятор некоторого телекоммуникационного сервиса;

в) путь LSP первого уровня иерархии.

7. Какое максимальное количество псевдоканалов можно проложить в одном туннеле MPLS?

8. Должно ли устройство РЕ изучать МАС-адреса клиентов при оказании услуги VPWS?

9. Виртуальный коммутатор услуги VPLS изучает МАС-адреса, приходящие: а) по логическому интерфейсу; б) по псевдоканалам.

10. С какой целью для сообщений ССМ введено понятие уровня? Варианты ответов:

а) для мониторинга иерархических многоуровневых соединений MPLS;

б) для мониторинга многодоменных сетей Ethernet;

в) для обеспечения приоритетности тестирования сети оператора связи.

И. Верно ли утверждение «Стандарт Y.1731 дополняет функции стандарта CFM набором функции мониторинга производительности сети»?

12. Стандарт «Мосты провайдера» обеспечивает изоляцию:

а) виртуальных локальных сетей клиентов и провайдера;

б) МАС-адресов клиентов и провайдера;

в) МАС-адресов пограничных и магистральных коммутаторов провайдера.

13. Пограничные коммутаторы провайдера, работающие в соответствии со стандартом «Магистральные мосты провайдера», должны изучать МАС-адреса клиентов:

а) всегда; б) никогда; в) при оказании услуги E-LAN.

ГЛАВА 22 Удаленный доступ

Термин «удаленный доступ» (remote access) часто употребляют, когда речь идет о доступе пользователя домашнего компьютера к Интернету или сети предприятия, которая находится от него на значительном расстоянии, означающем необходимость применения глобальных связей. В последнее время под удаленным доступом стали понимать не только доступ изолированных компьютеров, но и домашних сетей, объединяющих несколько компьютеров членов семьи. Такими же небольшими сетями располагают малые офисы предприятий, насчитывающие 2-3 сотрудника.

Организация удаленного доступа является одной из наиболее острых проблем компьютерных сетей в настоящее время. Она получила название «проблемы последней мили», где под последней милей подразумевается расстояние отточки присутствия (POP) оператора связи до помещений клиентов. Сложность этой проблемы определяется несколькими факторами. С одной стороны, современным пользователям необходим высокоскоростной доступ, обеспечивающий качественную передачу трафика любого типа, в том числе данных, голоса, видео. Для этого нужны скорости в несколько мегабит, а для качественного приема телевизионных программ — в несколько десятков мегабит в секунду. С другой стороны, подавляющее большинство домов в больших и малых городах и особенно в сельской местности по-прежнему соединены с точками присутствия операторов связи абонентскими окончаниями телефонной сети, которые не были рассчитаны на передачу компьютерного трафика.

Кардинальная перестройка кабельной инфраструктуры доступа требует времени — слишком масштабна эта задача из-за огромного количества зданий и домов, географически рассеянных по огромной территории. И хотя в некоторых странах в последнее время стали прокладывать к домам высокоскоростные оптические линии, таких стран не так уж много, да и этот процесс затронул пока только большие города и крупные здания с множеством потенциальных пользователей.

Долгое время наиболее распространенной технологией доступа был коммутируемый доступ, когда пользователь устанавливал коммутируемое соединение с корпоративной сетью или Интернетом через телефонную сеть с помощью модема, работающего в голосовой полосе частот. Такой способ обладает существенным недостатком — скорость доступа ограничена нескольким десятками килобит в секунду из-за фиксированной узкой полосы пропускания примерно в 3,4 кГц, выделяемой каждому абоненту телефонной сети (вспомните технику мультиплексирования, применяемую в телефонных сетях и описанную в главе 9). Такие скорости сегодня устраивают все меньше и меньше пользователей.

Для организации скоростного удаленного доступа сегодня привлекаются различные технологии, в которых используется только существующая инфраструктура абонентских окончаний — телефонные сети или сети кабельного телевидения. После достижения POP поставщика услуг по такому окончанию компьютерные данные уже не следуют по телефонной сети или сети кабельного телевидения, а ответвляются с помощью специального оборудования в сеть передачи данных. Это позволяет преодолеть ограничения на полосу пропускания, отводимую абоненту в телефонной сети или сети кабельного телевидения, и повысить скорость доступа. Наиболее популярными технологиями такого типа являются технология ADSL, использующая телефонные абонентские окончания, и кабельные модемы, работающие поверх сети кабельного телевидения. Эти технологии обеспечивают скорость от нескольких сотен килобит до нескольких десятков мегабит в секунду.

Применяются также различные беспроводные технологии доступа, обеспечивающие как фиксированный, так и мобильный доступ. Набор таких беспроводных технологий очень широк, в него входят и беспроводные сети Ethernet (802.11), различные фирменные технологии, передача данных по сети мобильной телефонии, а также технологии фиксированного доступа, например, стандарта 802.16.

В этой главе мы рассмотрим основные схемы и наиболее популярные технологии удаленного доступа.

Схемы удаленного доступа

Рисунок 22.1 иллюстрирует разнообразный и пестрый мир удаленного доступа. Мы видим здесь клиентов различных типов, отличающихся используемым оборудованием и требованиями к параметрам доступа. Кроме того, помещения клиентов могут быть соединены с ближайшей точкой доступа оператора связи (то есть с ближайшим центральным офисом, если пользоваться терминологией операторов телефонной сети) различными способами: с помощью аналогового или цифрового окончания телефонной сети, телевизионного кабеля, беспроводной связи. Наконец, сам оператор связи может иметь различную специализацию, то есть быть либо поставщиком телефонных услуг, либо поставщиком услуг Интернета, либо оператором кабельного телевидения или же быть универсальным оператором, предоставляющим весь спектр услуг и обладающим собственными сетями всех типов.

Типы клиентов и абонентских окончаний

Рассмотрим каждый элемент схемы доступа, показанный на рис. 22.1, более подробно.

Клиенты 1 и 2 являются наиболее типичными пользователями, так как каждый из них имеет только один компьютер, которому необходимо обеспечить доступ к удаленной компьютерной сети. Помимо компьютера эти клиенты пользуются телефоном и телевизором, поэтому абонентские окончания этих устройств можно использовать для организации доступа компьютера к сети передачи данных.

Клиент 2 пользуется двумя кабельными абонентскими окончаниями, традиционным аналоговым телефонным на основе витой пары и коаксиальным телевизионным кабелем кабельного телевидения. Эти абонентские окончания обладают существенно разными характеристиками. Так, витая пара при расстоянии 1-2 км между помещением клиента и POP поставщика услуг обычно имеет полосу пропускания порядка нескольких мегагерц, в то время как коаксиальный кабель обеспечивает полосу пропускания в несколько десятков мегагерц.

У клиента 1 отсутствуют проводные абонентские окончания, так как он пользуется мобильным телефоном, кроме того, он не является клиентом кабельного телевидения, принимая телевизионный сигнал только по воздуху.

Таким образом, для организации удаленного доступа для клиента 2 поставщик услуг может использовать либо существующее телефонное абонентское окончание, либо телевизионный кабель. Для клиента 1 такой возможности нет, поэтому поставщик услуг должен предоставить ему беспроводную связь или же проложить новый кабель между его домом и ближайшей точкой присутствия.

Отличительной особенностью клиентов 1 и 2 является несимметричный характер трафика, так как домашние пользователи в основном загружают информацию на свой компьютер в процессе путешествий по Интернету. Ответом на такие потребности являются асимметричные технологии, такие как ADSL.

Клиент 3 отличается от двух предыдущих тем, что имеет несколько компьютеров, объединенных в локальную сеть. Таким клиентом может быть как частное лицо, так и небольшой офис. Удаленный доступ для локальной сети отличается повышенными требованиями к пропускной способности. Кроме того, трафик может иметь симметричный характер, если домашняя сеть включает сервер, поставляющий информацию пользователям Интернета или сотрудникам других офисов предприятия. Так как клиент 3 не имеет кабельного окончания сети CATV (cable TV), то ему можно обеспечить доступ только по телефонному окончанию. Клиент 3 может организовать свою IP-сеть различными способами. Он может попросить у поставщика услуг пул IP-адресов, так чтобы каждый его компьютер имел отдельный публичный постоянный IP-адрес. Это наиболее гибкий вариант для клиента, так как в этом случае каждый его компьютер может быть полноправным узлом Интернета и исполнять роль не только клиентской машины, но и сервера с зарегистрированным доменным именем. Очевидно, что в этом случае локальная сеть клиента должна иметь пограничный маршрутизатор, через который осуществлять связь с сетью поставщика услуг. Другой вариант организации IP-сети может быть основан на использовании техники NAT, описанной в главе 18.

Клиенты 4 являются жителями многоквартирного дома, который соединен с POP многочисленными витыми парами телефонных абонентских окончаний (по одной для каждой квартиры), а также кабелем CATV. Использование одного кабеля CATV для большого количества клиентов порождает дополнительные проблемы при организации доступа, так как кабель в этом случае является разделяемой средой. Применение телефонных абонентских окончаний для удаленного доступа жителей многоквартирного дома ничем не отличается от подключения отдельного абонента (клиента 2). И хотя большая часть жильцов дома использует обычные аналоговые телефонные окончания, жильцы нескольких квартир — абоненты сети ISDN, окончания которой являются цифровыми (при том, что они, так же как и аналоговые телефонные окончания, работают на витой паре). Хотя сеть ISDN была разработана как универсальная, то есть предоставляющая наряду с сервисами телефонии и сервисы передачи данных, на практике она используется как обычная телефонная сеть.

Клиенты 5 также являются жильцами многоквартирного дома, но в этом доме поставщик услуг развернул локальную сеть. К этой локальной сети подключаются компьютеры тех жильцов дома, которые решили стать абонентами данного поставщика услуг. Такой вариант эффективен для поставщика услуг при достаточно большом количестве абонентов в доме. Локальная сеть многоквартирного дома требует более высоких скоростей доступа, чем отдельные компьютеры или домашние сети индивидуальных клиентов, поэтому поставщик услуг должен использовать абонентское окончание с широкой полосой пропускания — для этой цели может быть применен существующий кабель CATV, специально проложенный коаксиальный кабель Ethernet или также заново проложенный оптический кабель.

Поставщик услуг удаленного доступа может обслуживать клиентов всех типов или же специализироваться на каком-то определенном типе клиентов, например жителях частных или многоквартирных домов, работниках небольших офисов. Универсальный поставщик услуг доступа должен поддерживать любые варианты организации «последней мили», что усложняет его оборудование и применяемые технологии доступа.

В любом случае, для передачи данных по какому-либо абонентскому окончанию поставщик услуг должен обеспечить передачу через это окончание компьютерных данных и совместить эту передачу с передачей информации, для которой это окончание было спроектировано, например с аналоговой телефонной информацией или с сигналом кабельного телевидения. Затем на основе этих средств физического уровня поставщик услуг должен предоставить клиенту тот или иной вариант сервиса доступа.

Еще одной проблемой, которую должен решить оператор, является организация доступа клиентов, которые физически подключены к абонентским окончаниям других поставщиков услуг связи. Так, пусть на рисунке РОР1 и POP2 принадлежат поставщику А, а POP3 — поставщику В. Для того чтобы поставщик А мог предоставлять услуги доступа к сети передачи данных клиентам, подключенным к POP3, у него должно быть заключено соответствующее соглашение с поставщиком В. Это соглашение может регламентировать различные способы взаимодействия поставщиков услуг, которые мы уже обсуждали в главе 5. Например, поставщик услуг А может арендовать у поставщика услуг В те абонентские окончания, которыми пользуются его клиенты, с тем чтобы затем передавать получаемые по ним данные в свою сеть и направлять их далее в соответствии с потребностями клиентов. В другом случае абонентские окончания могут оставаться в распоряжении поставщика услуг B_f который должен отделять поступающие компьютерные данные от телефонной или телевизионной информации и направлять в сеть поставщика услуг А. Очевидно, что между сетями передачи данных поставщиков услуг Ап В должно поддерживаться взаимодействие.

Наиболее простой вариант доступа в Интернет предоставляет клиенту незащищенное соединение с серверами корпоративной сети, однако такое соединение грозит плохими последствиями. Во-первых, конфиденциальные данные, передаваемые по Интернету, могут быть перехвачены или искажены. Во-вторых, при таком способе администратору корпоративной сети трудно ограничить доступ к своей сети несанкционированных пользователей, так как IP-адреса легальных пользователей (сотрудников предприятия) заранее неизвестны. Поэтому предприятия предпочитают безопасный доступ, основанный на технологии защищенного канала. Эта технология рассматривается в главе 24.

Мультиплексирование информации на абонентском окончании

Как мы видим на рис. 22.1, большинство домов и многоквартирных зданий связаны с POP либо телефонными абонентскими окончаниями, либо абонентскими окончаниями кабельного телевидения.

Поэтому для обеспечения клиентов тремя основными на сегодня видами доступа (к телефонной сети, телевизионной_#сети и сети передачи данных) необходимо реализовать одновременную передачу информации разного типа по одной линии связи. Например, совместить передачу данных с передачей голоса и по телефонному окончанию или же совместить передачу данных с передачей телевизионного сигнала по коаксиальному кабелю.

В идеале желательно использовать единственное абонентское окончание, способное передавать информацию всех трех типов. К сожалению, витая пара на эту роль не подходит, так как ее полоса пропускания на расстояниях в несколько километров не превышает 1 МГц. Этого явно недостаточно для одновременной передачи голоса, компьютерных данных со скоростями в несколько мегабит в секунду и цветного телевизионного изображения.

Поэтому на роль консолидирующего абонентского окончания могут претендовать только коаксиальный кабель сети CATV и широкополосные беспроводные линии связи. Естественно, мы имеем в виду уже существующие и широко распространенные типы абонентских окончаний. Если же говорить о прокладке нового кабеля, что актуально в основном для новых крупных зданий, то к этому списку нужно добавить оптический кабель.

Почти во всех технологиях доступа, которые мы будем рассматривать в следующих разделах, требуется мультиплексирование каких-либо двух или всех трех упомянутых типов информации на абонентском окончании. Так, в линии ADSL аналоговые телефонные окончания служат для мультиплексирования голоса и компьютерных данных, кабельные модемы совмещают передачу телевизионного изображения и компьютерных Данных по коаксиальному кабелю. Существуют также различные технологии беспроводного доступа, которые обеспечивают передачу телевизионного сигнала и компьютерных данных, а иногда и телефонии в одном абонентском окончании. Исключением является только наиболее старая технология доступа, а именно коммутируемый доступ, при котором аналоговое абонентское окончание может использоваться телефоном или модемом компьютера только попеременно.

Схема организации доступа с помощью универсального абонентского окончания показана на рис. 22.2.

Наиболее часто для мультиплексирования информации в абонентском окончании применяется техника FDM. Каждому из трех типов информации выделяется определенная полоса частот, ширина которой соответствует потребностям абонента. Для телефонного соединения выделяется полоса 4 КГц, соответствующая стандартной полосе абонента аналоговых телефонных сетей. Компьютерным данным нужна более широкая полоса, при асимметричном доступе для преобладающего нисходящего (входящего) трафика нужно выделить полосу, как минимум, в несколько сотен килогерц, а лучше — в несколько мегагерц. Менее интенсивный восходящий (выходящий) трафик требует полосы в несколько десятков килогерц. В кабельном телевидение традиционно используются полосы по б МГц для каждого абонента, но при этом передается только нисходящий трафик.

Для того чтобы реализовать выбранную схему FDM, в помещении клиента и точках присутствия устанавливаются распределители, которые выполняют операции мультиплексирования и демультиплексирования сигналов. Распределитель чаще всего представляет собой пассивный фильтр, который выделяет нужные диапазоны частот и передает каждый диапазон на отдельный выход. К выходу распределителя подключаются терминальные устройства абонента — телефон, телевизор и компьютер. Так как компьютер использует дискретные сигналы для обмена данными, то для него требуется дополнительное устройство, которое будет преобразовывать дискретные сигналы в аналоговые сигналы необходимого диапазона частот.

Большинство пользователей привыкли иметь дело с коммутируемыми (телефонными) модемами, которые работают со стандартной полосой 4 кГц аналоговых телефонных сетей. Телефонные модемы не разделяют эту полосу с другими устройствами, целиком занимая ее для передачи компьютерных данных. Очевидно, что распределитель в этом случае не нужен.

Существуют также устройства ADSL и кабельные модемы; первые работают на абонентских окончаниях телефонных сетей, а вторые — на кабелях CATV. Для этих окончаний распределитель необходим, так как по ним вместе с компьютерными данными передается и основная для них информация, телефонная или телевизионная.

В POP поставщика услуг каждое абонентское окончание также подключено к распределителю, который выполняет аналогичные операции мультиплексирования и демультиплексирования на другом конце кабеля. В результате телефонная информация поступает с телефонных выходов распределителя на телефонный коммутатор поставщика услуг, который передает ее в телефонную сеть. Телевизионные сигналы от соответствующих выходов распределителя собираются на оборудовании CATV, которое может быть связано с сетью CATV этого поставщика услуг.

И, наконец, компьютерные данные поступают на устройство, концентрирующее компьютерный трафик и передающее его в локальную сеть поставщика услуг. Это устройство называют по-разному, на рисунке можно видеть одно из популярных названий — сервер удаленного доступа (Remote Access Server, RAS). Можно встретить и другие названия, например концентратор удаленного доступа (Remote Access Concentrator, RAC), мультиплексор доступа или терминальная система. Будем для определенности называть здесь такое устройство сервером удаленного доступа. Обычно оно содержит большое количество модемов, которые выполняют обратные операции по отношению к модемам пользователей, то есть модулируют нисходящий трафик и демодулируют восходящий. Помимо модемов, RAS включает маршрутизатор, который собирает трафик от модемов и передает его в локальную сеть POP. Из этой локальной сети трафик передается обычным способом в Интернет или в определенную корпоративную сеть.

Мы рассмотрели обобщенную схему доступа, которая в зависимости от выбранного типа абонентского окончания и типа модема требует различных технологий доступа. Нужно подчеркнуть, что в терминах модели OSI все они являются технологиями физического уровня, так как создают поток битов между компьютером клиента и локальной сетью поставщика услуг. Для работы протокола IP поверх этого физического уровня должен использоваться один из протоколов канального уровня. Сегодня наиболее часто при удаленном доступе применяется протокол РРР, который поддерживает такие важные функции, как назначение IP-адреса клиентскому компьютеру, а также аутентификацию пользователя.

Режим удаленного узла

Наиболее распространенной услугой сегодня является предоставление доступа к общедоступному домену Интернета. При этом подразумевается, что поставщик услуг обеспечивает маршрутизацию IP-трафика между компьютером и любым сайтом Интернета, имеющим публичный адрес (или же имеющим частный адрес и обеспечивающим публичный доступ посредством техники NAT). Когда клиент располагает одним компьютером, для предоставления такой услуги поставщик услуг обычно использует режим удаленного узла.

Режим_;удалщ#иого узл#позволяет комцьютеру клиента стать узлом удаленной локальной сети, что означает для его пользователя возможность получения всего спектра услуг обычного пользователя узла, физичеркй расположенного в локальной сети.

Для этого поставщик услуг резервирует для своих клиентов удаленного доступа пул IP-адресов из диапазона адресов одной из своих подсетей. Для тех клиентов, которые не нуждаются в постоянном доступе к Интернету, услуга предоставляется как коммутируемая, и IP-адрес им назначается динамически только на время подключения клиента. Режим удаленного узла позволяет экономить адреса подсетей, так как в стандартном режиме IP-маршрутизатор должен назначить каждому своему порту адрес отдельной подсети, что для одного узла, из которого состоят сети многих клиентов, явно избыточно. Для тех же клиентов, которым требуется постоянное соединение, адрес может назначаться как на постоянной основе, так и динамически на время активности клиента.

Для обеспечения режима удаленного узла RAS поставщика услуг поддерживает протокол Proxy-ARP, рассмотренный в главе 15. Эта особенность отличает сервер удаленного доступа от обычного IP-маршрутизатора (рис. 22.3).

Для удаленных узлов в локальной сети поставщика услуг, имеющей адрес 200.25.10.0/24, выделен пул адресов от 200.25.10.5 до 200.25.10.254. Если клиент пользуется коммутируемым сервисом, то при его соединении с сетью поставщика услуг (например, по протоколу РРР), ему временно назначается адрес из этого пула. Так, компьютеру первого клиента был назначен адрес 200.25 10 Д а компьютеру второго клиента — адрес 200.25.10.6. При подключении к сети этих удаленных узлов сервер удаленного доступа заносит в специальную таблицу, являющуюся аналогом ARP-таблицы, следующие записи:

200.25.10.5 - MAC - Р1

200.25.10.6 — MAC — Р2

Здесь MAC обозначает адрес внутреннего интерфейса сервера удаленного доступа, а Р1 и Р2 — номера портов, к которым подключены клиенты удаленного доступа.

Если, например, сервер 2 (см. рис. 22.3), подключенный к сети одного из поставщиков услуг, посылает пакет компьютеру первого клиента, то маршрутизатор поставщика услуг считает, что пакет направлен к одному из узлов, принадлежащих непосредственно присоединенной подсети 200.25.10.0/24. Поэтому маршрутизатор посылает ARP-запрос, содержащий адрес 200.25.10.5. На этот запрос отвечает не компьютер первого клиента, a RAS, сообщая в ARP-ответе маршрутизатору собственный МАС-адрес. После этого маршрутизатор направляет IP-пакет, упакованный в кадр Ethernet с МАС-адресом RAS. RAS извлекает IP-пакет из пришедшего кадра Ethernet и по IP-адресу определяет в таблице номер порта, на который ему нужно направить пакет. В данном случае это порт PI. RAS инкапсулирует пакет в кадр РРР, используемый для работы на абонентском окончании, соединяющем RAS с компьютером первого клиента.

В том случае, когда у клиента имеется своя локальная сеть, узлы которой имеют зарегистрированные публичные IP-адреса, RAS работает как обычный маршрутизатор, и такой режим уже не называют режимом удаленного узла.

Режим удаленного управления и протокол telnet

Режим удаленного управления, называемый также режимом терминального доступа,

предполагает, что пользователь превращает свой компьютер в виртуальный терминал другого компьютера, к которому он получает удаленный доступ.

В период становления компьютерных сетей, то есть в 70-е годы, поддержка такого режима была одой из главных функций сети. Устройства PAD сетей Х.25 существовали именно для того, чтобы обеспечить удаленный доступ к мэйнфреймам для пользователей, находившихся в других городах и работавших за простыми алфавитно-цифровыми терминалами.

Режим удаленного управления обеспечивается специальным протоколом прикладного уровня, работающим поверх протоколов, реализующих транспортное соединение удаленного узла с компьютерной сетью. Существует большое количество протоколов удаленного управления, как стандартных, так и фирменных. Для IP-сетей наиболее старым протоколом этого типа является telnet (RFC 854).

Протокол telnet, который работает в архитектуре «клиент-сервер», обеспечивает эмуляцию алфавитно-цифрового терминала, ограничивая пользователя режимом командной строки.

При нажатии клавиши соответствующий код перехватывается клиентом telnet, помещается в TCP-сообщение и отправляется через сеть узлу, которым пользователь хочет управлять. При поступлении на узел назначения код нажатой клавиши извлекается из TCP-сообщения сервером telnet и передается операционной системе (ОС) узла. ОС рассматривает сеанс telnet как один из сеансов локального пользователя. Если ОС реагирует на нажатие клавиши выводом очередного символа на экран, то для сеанса удаленного пользователя этот символ также упаковывается в TCP-сообщение и по сети отправляется удаленному узлу. Клиент telnet извлекает символ и отображает его в окне своего терминала, эмулируя терминал удаленного узла.

Протокол telnet был реализован в среде Unix и наряду с электронной почтой и FTP-доступам к архивам файлов был популярным сервисом Интернета. Сегодня этот протокол редко используется в публичных доменах Интернета, так как никто не хочет предоставлять посторонним лицам возможность управлять собственным компьютером. Хотя для защиты от несанкционированного доступа в технологии telnet применяются пароли, они передаются через сеть в виде обычного текста, поэтому могут быть легко перехвачены и использованы. Поэтому telnet применяется преимущественно в пределах одной локальной сети, где возможностей для перехвата пароля гораздо меньше. Сегодня основной областью применения telnet является управление не компьютерами, а коммуникационными устройствами: маршрутизаторами, коммутаторами и хабами. Таким образом, он уже скорее не пользовательский протокол, а протокол администрирования, то есть альтернатива SNMP.

Тем не менее отличие между протоколами telnet и SNMP принципиальное. Telnet предусматривает обязательное участие человека в процессе администрирования, так как, по сути, он только транслирует команды, которые вводит администратор при конфигурировании или мониторинге маршрутизатора или другого коммуникационного устройства. Протокол SNMP наоборот рассчитан на автоматические процедуры мониторинга и управления, хотя и не исключает возможности участия администратора в этом процессе. Для устранения опасности, порождаемой передачей паролей в открытом виде через сеть, коммуникационные устройства усиливают степень своей защиты. Обычно применяется многоуровневая схема доступа, когда открытый пароль дает возможность только чтения базовых характеристик конфигурации устройства, а доступ к средствам изменения конфигурации требует другого пароля, который уже не передается в открытом виде.

Удаленное управление также возможно и в графическом режиме. Для Unix стандартом де-факто является система X Window, являющаяся разработкой Массачусетсского технологического института (Massachusetts Institute of Technology, MIT). Для Windows существует ряд фирменных протоколов управления, например VNC (http://www.realvnc.com); свободно распространяемая реализация этого протокола существует и для Unix.

Удаленное управление имеет свои достоинства и недостатки. Для пользователя часто удобно задействовать более мощный компьютер, установленный в сети предприятия, а не свой домашний. Кроме того, получив терминальный доступ, он может запустить на удаленном компьютере любое приложение, а не только сервис WWW или FTP. Еще одно преимущество заключается в том, что пользователь фактически получает все права пользователя внутренней сети предприятия, в то время как в режиме удаленного узла его права обычно ограничены администратором.

Удаленное управление также очень экономично потребляет пропускную способность сети, особенно при эмуляции режима командной строки. Действительно, в этом случае по сети передаются только коды клавиш и экранные символы, а не файлы или страницы веб-документов.

Недостаток удаленного управления состоит в его опасности для сети предприятия при несанкционированном доступе. Кроме того, администратору трудно контролировать потребление ресурсов компьютера, находящегося под удаленным управлением.

Коммутируемый аналоговый доступ

Основная идея коммутируемого доступа состоит в том, чтобы задействовать имеющуюся сеть PSTN для коммутируемого соединения между компьютером домашнего пользователя

и сервером удаленного доступа, установленным на границе телефонной и компьютерной сетей. Компьютер пользователя подключается к телефонной сети с помощью коммутируемого модема, который поддерживает стандартные процедуры набора номера и имитирует работу телефонного аппарата для установления соединения с RAS. Коммутируемый доступ может быть аналоговым или цифровым, в зависимости от типа абонентского окончания сети. В этом разделе мы рассмотрим доступ через аналоговые окончания, а в следующем — через цифровые.

Принцип работы телефонной сети

Первые телефонные сети были полностью аналоговыми, так как в них абонентское устройство (телефонный аппарат) преобразовывало звуковые колебания, являющиеся аналоговыми сигналами, в колебания электрического тока (также аналоговые сигналы). Коммутаторы телефонной сети тоже передавали пользовательскую информацию в аналоговой форме, перенося эти сигналы в другую область частотного спектра с помощью методов частотного уплотнения (FDM), описанных в главе 9.

Сегодня в телефонных сетях голос между коммутаторами все чаще передается в цифровой форме по каналам PDH/SDH с помощью технологии TDM. Однако абонентские окончания остаются в основном аналоговыми, что позволяет пользоваться теми же сравнительно простыми и недорогими аналоговыми телефонными аппаратами, что и раньше.

Типичная структура телефонной сети представлена на рис. 22.4. Сеть образована некоторым количеством телефонных коммутаторов, которые соединены между собой цифровыми или, в редких случаях, аналоговыми каналами. Топология связей между телефонными коммутаторами в общем случае носит произвольный характер, хотя часто имеет место многоуровневая иерархия, когда несколько коммутаторов нижнего уровня подключаются к коммутатору более высокого уровня и т. п.

К коммутаторам нижнего уровня с помощью абонентских окончаний, которые представляют собой медные пары, подключаются телефонные аппараты абонентов. Обычно длина абонентского окончания не превышает одного-двух километров, однако иногда оператор вынужден использовать и более протяженные окончания, до 5-6 км, если имеется несколько удаленных абонентов, для которых строительство отдельной точки присутствия экономически неоправданно.

Телефонная сеть, как и любая сеть с коммутацией каналов, требует обязательной процедуры предварительного установления соединения между абонентскими устройствами. В случае успеха этой процедуры в сети устанавливается канал между абонентами, через который они могут вести разговор. Процедура установления соединения реализуется с помощью сигнального протокола. Напомним, что в аналоговых телефонных сетях каждому абонентскому соединению выделяется полоса пропускания шириной в 4 кГц. Из этой полосы 3,1 кГц предназначается для передачи собственно голоса, а оставшиеся 900 Гц служат для передачи сигнальной информации между аналоговыми коммутаторами, а также в качестве защитной полосы частот между каналами, выделенными различным пользователям.

Существует большое количество различных сигнальных протоколов, разработанных за долгие годы существования телефонных сетей. Они делятся на два класса: сигнальные протоколы UNI работают между телефоном пользователя и первым коммутатором сети, а сигнальные протоколы NNI — между коммутаторами сети. Так как модем подключается к телефонной сети в качестве абонентского устройства, то он должен поддерживать только протокол UNI.

Аналоговый телефон — это достаточно примитивное устройство, поэтому поддерживаемый им сигнальный протокол также предельно прост. Процедура вызова абонента обычно представляет собой последовательность замыканий и размыканий электрической цепи, образуемой проводами абонентского окончания. В ответ на первое замыкание телефонный коммутатор подает на абонентскую цепь некоторое напряжение, которое воспроизводится в виде постоянного гудка динамика телефонной трубки. Человек активно участвует в процедуре вызова, набирая в ответ на гудок цифры вызываемого номера.

Существует два способа передачи номера в сеть. При импульсном наборе каждая цифра передается соответствующим числом последовательных импульсов размьпсания-замыкания частотой 10 или 20 Гц.

При тоновом наборе (Dual Tone Multi Frequency, DTMF) для кодирования цифр и символов используется комбинация сигналов двух групп: низкочастотной (697,770,852 и 941 Гц) и высокочастотной (1209,1336,1477 и 1633 Гц).

Сочетания этих частот дают 16 комбинаций кодирования, как показано в табл. 22.1.

Частота 1633 Гц является расширением стандарта DTMF, с помощью которого кодируются дополнительные символы А, В, С и D, отсутствующие на стандартной клавиатуре телефонов, но используемые модемами и некоторыми приложениями.

Тоновый набор выполняется с частотой 10 Гц сигналами длительностью в 50 мс с паузами также в 50 мс.

После приема такого условного «сообщения» от телефонного аппарата первый коммутатор телефонной сети маршрутизирует сообщение дальше. Если этот коммутатор является цифровым, то он преобразует поступающий от абонента аналоговый сигнал в цифровую форму.

Чтобы добиться развитой логики обработки вызовов, современные телефонные коммутаторы используют протоколы сигнальной системы 7 (Signaling System 7, SS7), в которых применяется техника коммутации пакетов. Эти протоколы построены в соответствии с моделью OSI, покрывая уровни от физического до прикладного. И хотя мы еще не раз будем упоминать SS7, подробное рассмотрение этих протоколов выходит за рамки темы данной книги, их описание можно найти в учебниках, посвященных телефонии.

Нужно подчеркнуть, что пользовательские данные по-прежнему передаются в телефонных сетях с помощью техники коммутации каналов, а техника коммутации пакетов требуется сигнальным протоколам только для установления соединения. Наряду с протоколами SS7 в телефонной сети может задействоваться большое количество более старых сигнальных протоколов, в том числе аналоговых.

Удаленный доступ через телефонную сеть

Для того чтобы получить доступ в Интернет или корпоративную сеть через телефонную сеть, модем пользователя должен выполнить вызов по одному из номеров, присвоенному модемам, находящимся на сервере удаленного доступа. После установления соединения между модемами в телефонной сети образуется канал с полосой пропускания около 4 кГц. Точное значение ширины имеющейся в распоряжении модемов полосы зависит от типа телефонных коммутаторов на пути от модема пользователя до модема RAS и от поддерживаемых ими сигнальных протоколов. В любом случае, эта полоса не превышает 4 кГц, что принципиально ограничивает скорость передачи данных модемом.

Очевидно, что такие скорости нельзя назвать приемлемыми для большинства современных приложений, которые широко используют графику и другие мультимедийные формы представления данных.

Модемы RAS обычно устанавливаются в точке присутствия поставщика услуг, при этом, естественно, совсем не обязательно, чтобы это был тот же самый поставщик услуг, который предоставляет доступ данному удаленному пользователю. В 80-е годы и в первой половине 90-х, когда Интернет еще не был столь популярен, многие крупные корпорации самостоятельно предоставляли удаленный доступ своим сотрудникам. В этом случае сервер удаленного доступа устанавливался в ближайшей к локальной сети штаб-квартиры корпорации точке присутствия или же в помещении самой штаб-квартиры. Сотрудники корпорации, работающие дома или находящиеся в командировке, присоединяли свои модемы к локальному поставщику услуг и звонили на модем сервера удаленного доступа корпорации. Иногда это был и международный звонок, если сотрудник находился в командировке в другой стране. Компьютерный трафик проходил основную часть пути по телефонной сети, и стоимость такого доступа зависела от расстояния, что характерно для телефонных сетей.

Сегодня Интернет позволяет использовать телефонную сеть гораздо экономичнее. Она нужна теперь не для соединения с RAS предприятия, а для соединения с RAS поставщика услуг Интернета. Если же целью пользователя является доступ не в Интернет, а в корпоративную сеть, то он задействует Интернет как промежуточную сеть, которая ведет к корпоративной сети (также подключенной к Интернету). Поскольку плата за доступ в Интернет не зависит от расстояния до узла назначения, удаленный доступ к ресурсам корпорации стал сегодня намного дешевле даже с учетом оплаты за локальный телефонный звонок и доступ в Интернет. Правда, при такой двухступенчатой схеме доступа пользователю приходится выполнять аутентификацию дважды — при доступе к RAS поставщика услуг и при доступе к RAS предприятия. Существуют протоколы, которые исключают подобное дублирование, например двухточечный протокол туннелирования (Point-to-Point Tunneling Protocol, РРТР). При работе РРТР сервер удаленного доступа поставщика услуг передает транзитом запрос пользователя серверу аутентификации предприятия и, в случае положительного ответа соединяет пользователя через Интернет с корпоративной сетью.

RAS может подключаться к телефонному коммутатору с помощью как аналоговых, так и цифровых окончаний. Мощные серверы удаленного доступа, оснащенные несколькими десятками модемов, обычно подключаются с помощью цифровых окончаний через линии связи Т1/Е1. В этом случае при передаче информации из сети передачи данных к пользователю аналого-цифровое преобразование не выполняется, поэтому скорость передачи данных в этом направлении (нисходящем) может достигать 56 Кбит/с. Однако это возможно только в том случае, когда все телефонные коммутаторы вдоль пути к пользователю являются цифровыми. В том же случае, когда хотя бы один телефонный коммутатор является аналоговым, максимальная скорость обмена в нисходящем направлении, как и в исходящем (в направлении от пользователя к сети), ограничивается значением 33,6 Кбит/с.

Модемы

Хотя коммутируемый модем предоставляет компьютеру услуги физического уровня, сам он представляет собой устройство, в котором реализованы функции двух нижних уровней модели OSI: физического и канального. Канальный уровень нужен модему для того, чтобы выявлять и исправлять ошибки, появляющиеся из-за искажений битов при передаче через телефонную сеть. Вероятность битовой ошибки в этом случае довольно высока, поэтому функция исправления ошибок является очень важной для модема. Для протокола, который работает поверх модемного соединения между удаленным компьютером и RAS, канальный протокол модема прозрачен, его работа проявляется только в том, что интенсивность битовых ошибок (BER) снижается до приемлемого уровня. Так как в качестве канального протокола между компьютером и RAS сегодня в основном используется протокол РРР, который не занимается восстановлением искаженных и потерянных кадров, способность модема исправлять ошибки оказывается весьма полезной.

Протоколы и стандарты модемов определены в рекомендациях ITU-T серии V и делятся на три

группы:

О стандарты» определяющие скорость передачи данных и метод кодирования;

? стандарты исправления ошибок;

Q стандарты сжатия данных.

Стандарты метода кодирования и скорости передачи данных. Модемы являются одними из наиболее старых и заслуженных устройств передачи данных; в процессе своего развития они прошли долгий путь, прежде чем научились работать на скоростях до 56 Кбит/с.

Первые модемы работали со скоростью 300 бит/с и исправлять ошибки не умели. Эти модемы функционировали в асинхронном режиме, означающем, что каждый байт передаваемой компьютером информации передавался асинхронно по отношению к другим байтам, для чего он сопровождался стартовыми и стоповыми символами, отличающимися от символов данных. Асинхронный режим упрощает устройство модема и повышает надежность передачи данных, но существенно снижает скорость передачи, так как каждый байт дополняется однйм или двумя избыточными старт-стопными символами.

Современные модемы могут работать как в асинхронном, так и синхронном режимах.

Переломным моментом в истории развития модемов стало принятие стандарта V.34, который повысил максимальную скорость передачи данных в два раза, с 14 до 28 Кбит/с по сравнению со своим предшественником — стандартом V.32. Особенностью стандарта V.34 являются процедуры динамической адаптации к изменениям характеристик канала во время обмена информацией. В V.34 определено 10 согласительных процедур, по которым модемы после тестирования линии выбирают свои основные параметры: несущую полосу и полосу пропускания, фильтры передатчика и др. Адаптация осуществляется в ходе сеанса связи без прекращения и без разрыва установленного соединения. Возможность такого адаптивного поведения была обусловлена развитием техники интегральных схем и микропроцессоров. Первоначальное соединение модемов проводится по стандарту V.21 на минимальной скорости 300 бит/с, что позволяет работать на самых плохих линиях. Затем модемы продолжают переговорный процесс до тех пор, пока не достигают максимально возможной в данных условиях производительности. Применение адаптивных процедур сразу позволило поднять скорость передачи данных более чем в 2 раза по сравнению с предыдущим стандартом — V.32 bis.

Принципы адаптивной настройки к параметрам линии были развиты в стандарте V.34+. Стандарт V.34+ позволил несколько повысить скорость передачи данных за счет усовершенствования метода кодирования. Один передаваемый кодовый символ несет в новом стандарте в среднем не 8,4 бита, как в протоколе V.34, а 9,8. При максимальной скорости передачи кодовых символов в 3429 бод (это ограничение преодолеть нельзя, так как оно определяется полосой пропускания канала тональной частоты) усовершенствованный метод кодирования дает скорость передачи данных в 33,6 Кбит/с (3429 х 9,8 - 33 604).

Протоколы V.34 и V.34+ позволяют работать на 2-проводной выделенной линии в дуплексном режиме. Дуплексный режим передачи в стандартах V.34, V.34+ поддерживается не частотным разделением канала, а одновременной передачей данных в обоих направлениях. Принимаемый сигнал определяется вычитанием с помощью процессоров DSP передаваемого сигнала из общего сигнала в канале. Для этой операции используются также процедуры эхо-подавления, так как передаваемый сигнал, отражаясь от ближнего и дальнего концов канала, вносит искажения в общий сигнал.

ПРИМЕЧАНИЕ-

Заметьте, что метод передачи данных, описанный в проекте стандарта 802.3аЬ, определяющего работу технологии Gigabit Ethernet на витой паре категории 5, взял многое из стандартов V.32-V.34+.

Стандарт V.90 описывает технологию недорогого и быстрого доступа пользователей к сетям поставщиков услуг. Этот стандарт предлагает асимметричный обмен данными: со скоростью до 56 Кбит/с из сети и со скоростью до 33,6 Кбит/с в сеть. Стандарт совместим со стандартом V.34+. Именно этот стандарт имелся в виду в предыдущем разделе, когда мы говорили о возможности нисходящей передачи данных со скоростью 56 Кбит/с при условии, что вдоль всего пути не встретится ни одного аналого-цифрового преобразователя.

В стандарте V.92 учитывается возможность принятия модемом второго вызова во время соединения. В таких случаях современные станции передают на телефонный аппарат специальные двойные тоновые сигналы, так что абонент может распознать эту ситуацию и, нажав на аппарате кнопку Flash, переключиться на второе соединение, переведя первое соединение в режим удержания. Модемы предыдущих стандартов в таких случаях просто разрывают соединение, что не всегда удобно для абонента — может быть в этот момент он заканчивает загружать из Интернета большой файл и вся его работа пропадает.

Типовая структура соединения двух компьютеров или локальных сетей через маршрутизатор с помощью аналоговых окончаний приведена на рис. 22.5.

Коррекция ошибок. Для модемов, работающих с DTE по асинхронному интерфейсу, комитет CCITT разработал протокол коррекции ошибок V.42. До его принятия в модемах, работающих по асинхронному интерфейсу, коррекция ошибок обычно выполнялась по фирменным протоколам Microcom. Эта компания реализовала в своих модемах несколько разных процедур коррекции ошибок, назвав их сетевыми протоколами Microcom (Microcom Networking Protocol, MNP) классов 2-4.

В стандарте V.42 основным является другой протокол — протокол доступа к линии связи для модемов (Link Access Protocol for Modems, LAP-M). Однако стандарт V.42 поддерживает и процедуры MNP 2-4, поэтому модемы, соответствующие рекомендации V.42, позволяют устанавливать связь без ошибок с любым модемом, поддерживающим этот стандарт, а также с любым MNP-совместимым модемом. Протокол LAP-M принадлежит описанному в главе 22 семейству HDLC и в основном работает так же, как и другие протоколы этого семейства — с установлением соединения, кадрированием данных, нумерацией кадров и восстановлением кадров с поддержкой метода скользящего окна. Основное отличие от других протоколов этого семейства — более развитые переговорные процедуры, для которых в протоколе LAP-M предусмотрены дополнительные типы кадров — XID и BREAK.

С помощью кадров взаимной идентификации (Exchange Identification, XID) модемы при установлении соединения могут договориться о некоторых параметрах протокола, например о максимальном размере поля данных кадра, величине тайм-аута при ожидании квитанции, размере окна и т. п. Эта процедура напоминает переговорные процедуры протокола РРР. Команда BREAK служит для уведомления модема-напарника о том, что поток данных временно приостанавливается. При асинхронном интерфейсе с DTE такая ситуация может возникнуть. Команда BREAK посылается в ненумерованном кадре и не влияет на нумерацию потока кадров сеанса связи. После возобновления поступления данных модем продолжает работать так, как если бы паузы в передаче не было.

Сжатие данных. Почти все современные модемы при работе по асинхронному интерфейсу поддерживают стандарты сжатия данных ССГТТ V.42bis и MNP-5 (обычно с коэффициентом 1:4, некоторые модели — до 1:8). Сжатие данных увеличивает пропускную способность линии связи. Передающий модем автоматически сжимает данные, а принимающий их восстанавливает. Модем, поддерживающий протокол сжатия, всегда пытается установить связь со сжатием данных, но если второй модем этот протокол не поддерживает, то и первый модем переходит на обычную связь без сжатия.

При работе модемов по синхронному интерфейсу наиболее популярным является протокол сжатия синхронных потоков данных (Synchronous Data Compression, SDC) компании Motorola.

Коммутируемый доступ через сеть ISDN

Назначение и структура ISDN

Целью создания технологии ISDN (Integrated Services Digital Network — цифровая сеть с интегрированным обслуживанием) было построение всемирной сети, которая должна была прийти на смену телефонной сети и, будучи такой же доступной и распространенной, предоставлять миллионам своих пользователей разнообразные услуги, как телефонные, так и передачи данных. Передача телевизионных программ по ISDN не предполагалась, поэтому было решено ограничиться пропускной способностью абонентского окончания для массовых пользователей в 128 Кбит/с.

Если бы цель разработчиков ISDN была достигнута в полной мере, то проблема доступа домашних пользователей к Интернету и корпоративным сетям была бы окончательно решена. Однако по многим причинам внедрение ISDN происходило очень медленно — процесс, который начался в 80-е годы, растянулся больше чем на десять лет, так что к моменту появления в домах пользователей некоторые услуги ISDN просто морально устарели. Так, скорость доступа 128 Кбит/с сегодня уже достаточна не для всех пользователей. Существует, правда, такой интерфейс ISDN, который обеспечивает скорость доступа до 2 Мбит/с, но он достаточно дорог для массового пользователя и его обычно применяют только предприятия для подключения своих сетей.

Хотя сеть ISDN и не стала той новой публичной сетью, на роль которой она претендовала, ее услуги сегодня достаточно доступны. Далее мы рассмотрим структуру этой сети и ее возможности в отношении организации удаленного доступа.

Архитектура сети ISDN предусмат|^ее#тне<жодьш видов уеяугДриСг 2&Б):

Q некоммутируемы© средства ц*^ювыекшнаяы>;

? коммугйруемаятеле^

? сеть передачи данный с

? сеть передачи денных с Й&кэвтов;

? сеть передачи данных с трансдайие^^кадров (режим сети FrameЯйёу);

? средства контроля и управления ребЬтой сети.

|утируемым ч. g налам J ^ gz

?

Пользователь

или

поставщик

услуг

Рис. 22.6. Услуги сети ISDN

Как видно из приведенного списка, транспортные службы сетей ISDN действительно покрывают очень широкий спектр услуг, включая популярные услуги сети Frame Relay. Стандарты ISDN описывают также ряд услуг прикладного уровня: факсимильную связь на скорости 64 Кбит/с, телексную связь на скорости 9600 бит/с, видеотекс на скорости 9600 бит/с и некоторые другие.

Все услуги основаны на передаче информации в цифровой форме. Пользовательский интерфейс также является цифровым, то есть все его абонентские устройства (телефон, компьютер, факс) должны передавать в сеть цифровые данные. Организация цифрового абонентского окончания (Digital Subscriber Line, DSL) стала одним из серьезных препятствий на пути распространения ISDN, так как требовала модернизации миллионов абонентских окончаний.

На практике не все сети ISDN поддерживают все стандартные службы. Служба Frame Relay, хотя и была разработана в рамках сети ISDN, реализуется, как правило, с помощью отдельной сети коммутаторов кадров, не пересекающейся с сетью коммутаторов ISDN.

Базовой скоростью сети ISDN является скорость канала DS-0, то есть 64 Кбит/с. Эта скорость ориентируется на самый простой метод кодирования голоса — РСМ, хотя дифференциальное кодирование и позволяет передавать голос с тем же качеством на скорости 32 или 16 Кбит/с.

Одной из оригинальных идей, положенных в основу ISDN, является совместное использование принципов коммутации каналов и пакетов. Однако сеть с коммутацией пакетов, работающая в составе ISDN, выполняет только служебные функции — с ее помощью передаются сообщения сигнального протокола. А вот основная информация, то есть сам голос, по-прежнему передается через сеть с коммутацией каналов. В таком разделении функций есть вполне понятная логика — сообщения о вызове абонентов образуют пульсирующий трафик, поэтому его эффективнее передавать по сети с коммутацией пакетов.

Интерфейсы BRI и PRI

Одним из основных принципов ISDN является предоставление пользователю стандартного интерфейса, с помощью которого пользователь может запрашивать у сети разнообразные услуги. Этот интерфейс образуется между двумя типами оборудования, устанавливаемого в помещении пользователя (Customer Premises Equipment, CPE). К этому оборудованию относится:

? терминальное оборудование (Terminal Equipment, ТЕ) пользователя (компьютер с соответствующим адаптером, маршрутизатор, телефонный аппарат);

? сетевое окончание (Network Termination, NT), которое представляет собой устройство, завершающее линию связи с ближайшим коммутатором ISDN.

Пользовательский интерфейс основан на каналах трех типов: В, D и Н.

Каналы типа В обеспечивают передачу пользовательских данных (оцифрованного голоса, компьютерных данных или смеси голоса и данных) с более низкими скоростями, чем 64 Кбит/с. Разделение данных выполняется с помощью техники TDM. Разделением канала В на подканалы в этом, случае должно заниматься пользовательское оборудование, сеть ISDN всегда коммутирует целые каналы типа В. Каналы типа В могут соединять пользователей с помощью техники коммутации каналов друг с другом, а также образовывать так называемые полупостоянные соединения, которые эквиваленты соединениям выделенных каналов обычной телефонной сети. Канал типа В может также подключать пользователя к коммутатору сети Х.25.

Канал типа D является каналом доступа к служебной сети с коммутацией пакетов, передающей сигнальную информацию со скоростью 16 или 64 Кбит/с. Передача адресной информации, на основе которой осуществляется коммутация каналов типа В в коммутаторах сети, является основной функцией канала D. Другой его функцией является поддержание сервиса низкоскоростной сети с коммутацией пакетов для пользовательских данных. Обычно этот сервис выполняется сетью в то время, когда каналы типа D свободны от выполнения основной функции.

Каналы типа Н предоставляют пользователям возможности высокоскоростной передачи данных со скоростью 384 Кбит/с (НО), 1536 Кбит/с (НИ) или 1920 Кбит/с (Н12). На них могут работать службы высокоскоростной передачи факсов, видеоинформации, качественного воспроизведения звука.

Пользовательский интерфейс ISDN представляет собой набор каналов определенного типа и с определенными скоростями. Сеть ISDN поддерживает два вида пользовательского интерфейса с начальной (Basic Rate Interface, BRI) и основной (Primay Rate Interface, PRI) скоростями передачи данных.

Начальный интерфейс ISDN предоставляет пользователю два канала по 64 Кбит/с для передачи данных (каналы типа В) и один канал с пропускной способностью 16 Кбит/с для передачи управляющей информации (канал типа D). Все каналы работают в дуплексном режиме. В результате суммарная скорость интерфейса BRI для пользовательских данных составляет 144 Кбит/с по каждому направлению, а с учетом служебной информации — 192 Кбит/с. Различные каналы пользовательского интерфейса разделяют один и тот же физический двухпроводный кабель по технологии TDM, то есть являются логическими, а не физическими каналами. Данные по интерфейсу BRI передаются кадрами, состоящими из 48 бит. Каждый кадр содержит по 2 байта каждого из двух каналов В, а также 4 бита канала D. Передача кадра длится 250 мс, что обеспечивает скорость передачи данных 64 Кбит/с для каналов В и 16 Кбит/с — для канала D. Помимо битов данных кадр содержит служебные биты для синхронизации кадров, а также обеспечения нулевой постоянной составляющей электрического сигнала. Интерфейс BRI может поддерживать не только схему 2В + D, но и В + D и просто D.

Начальный интерфейс стандартизован в рекомендации 1.430.

Основной интерфейс ISDN предназначен для пользователей с повышенными требованиями к пропускной способности сети. Интерфейс PRI поддерживает либо схему ЗОВ + D, либо схему 23В + D. В обеих схемах канал D обеспечивает скорость 64 Кбит/с. Первый вариант предназначен для Европы, второй — для Северной Америки и Японии. Ввиду большой популярности скорости цифровых каналов 2,048 Мбит/с в Европе и скорости 1,544 Мбит/с в остальных регионах привести стандарт на интерфейс PRI к общему варианту не удалось.

Возможны варианты интерфейса PRI с меньшим количеством каналов типа В, например 20В + D. Каналы типа В могут объединяться в один логический высокоскоростной канал с общей скоростью до 1920 Кбит/с. При установке у пользователя нескольких интерфейсов PRI все они могут иметь один канал типа D, при этом количество каналов В в том интерфейсе, который не имеет канала D, может увеличиваться до 24 или 31.

Основной интерфейс может быть также основан на каналах типа Н. При этом общая пропускная способность интерфейса все равно не должна превышать 2,048 или 1,544 Мбит/с. Для каналов НО возможны интерфейсы ЗНО + D для американского варианта и 5Н0 + D для европейского. Для каналов Н1 возможен интерфейс, состоящий только из одного канала Н11 (1,536 Мбит/с) для американского варианта и^и одного канала Н12 (1,920 Мбит/с) и одного канала D для европейского варианта. Кадры интерфейса PRI имеют структуру кадров DS-1 для каналов Т1 или Е1.

Основной интерфейс PRI стандартизован в рекомендации 1.431.

ВНИМАНИЕ-

Как каналы В, так и каналы D являются логическими каналами абонентского окончания, которое физически представляет собой одну витую пару. Каналы D и В'образуются путем применения техники TDM к физической среде, образуемой этой витой парой.

Стек протоколов ISDN

В сети ISDN существует два стека протоколов: стек каналов типа D и стек каналов типа В (рис. 22.7).

Сеть каналов типа D внутри сети ISDN служит транспортной системой с коммутацией пакетов, применяемой для передачи сообщений сигнализации. Прообразом этой сети послужила технология сетей Х.25. Для сети каналов D определены три уровня протоколов:

? физический протокол определяется стандартом 1.430/431;

? канальный протокол LAP-D определяется стандартом Q.921;

? на сетевом уровне может использоваться протокол сигнализации Q.931, с помощью которого выполняется маршрутизация вызова абонента службы с коммутацией каналов.

Каналы типа В образуют сеть с коммутацией каналов, которая передает данные абонентов, то есть оцифрованный голос. В терминах модели OSI на каналах типа В в коммутаторах

сети ISDN определен только протокол физического уровня - протокол 1.430/431. Коммутация каналов типа В происходит по указаниям, полученным по каналу D. Когда кадры протокола Q.931 маршрутизируются коммутатором, происходит одновременная коммутация очередной части составного канала от исходного абонента к конечному.

Протокол LAP-D принадлежит к семейству HDLC. Протокол LAP-D обладает всеми «родовыми чертами» этого семейства, но имеет и некоторые особенности. Адрес кадра LAP-D состоит из двух байтов — один байт определяет код службы, которой пересылаются вложенные в кадр пакеты, а второй требуется для адресации одного из терминалов, если у пользователя к абонентскому окончанию подключено несколько терминалов. Терминальное устройство ISDN может поддерживать разные услуги: установление соединения по протоколу Q.931, коммутация пакетов Х.25, мониторинг сети и т. п. Протокол LAP-D обеспечивает два режима работы: с установлением соединения и без установления соединения. Последний режим используется, например, для мониторинга сети.

Протокол Q.931 является сигнальным протоколом ISDN для участка пользователь-сеть, то есть протоколом типа UNI. Он переносит в своих пакетах ISDN-адрес вызываемого абонента, на основании которого и происходит настройка коммутаторов на поддержку составного канала типа В. Процедуру установления соединения по протоколу Q.931 иллюстрирует рис. 22.8.

После того как пользователь снял Tnv6tcv и /

фонный аппарат ISDN формиоует JS? Z / ^{Р Номер} вызываемого абонента, теле-

тсглхт * РУ^т пакет вызова (set ud^ и отппявлярт pro по кянэлу D ком-

„у*ш,ру ISDN, к которому он подключен. Этот коммпЗо^щ^пндшГабон:™

пакетом обработки вызова, с ппиуплл,, коммутатор отвечает аппарату абонента

гудки. Одновременно коммутатор запоминает*³¹¹¹¹^^{1 начинает} генерировать длинные и передает принятое сообщение слелуюптемГ ^{Ф 3аПР0Са} “ У^{становление} соединения таблице, аналогичной таблице *!^{УЩу комм}У^тат°РУ. адрес которого он находит по

^^О^ТЙЗЙНИИ Д^ТМТТ1Л1ГпптжпАтАггт rrnv^/t'nwr т-mr П пм

этом сообщение протокола Q.931 транслируется в сообщение начального адреса (Initial Address Message, I AM) протокола SS7 аналогичного назначения (на рисунке сообщения SS7 не детализированы). Проходя через сеть, сообщения SS7 переводят промежуточные коммутаторы в состояние готовности к установлению соединения. Выходной коммутатор сети, к которому подключен аппарат вызываемого абонента, преобразует сообщение начального адреса протокола SS7 в сообщение вызова протокола Q.931, на основании которого телефонный аппарат начинает звонить. Если абонент снимает трубку, то его аппарат генерирует сообщение соединения (connect), которое в обратном порядке проходит через все промежуточные коммутаторы (преобразованное, естественно, в соответствующее сообщение SS7). При обратном проходе коммутаторы устанавливают состояние соединения, коммутируя соответствующим образом каналы типа В.

Любое абонентское устройство ISDN должно поддерживать протокол Q.931, так что телефон ISDN намного сложнее своего аналогового коллеги. Как видно из рисунка, внутри сети сообщения Q.931 транслируются в сообщения протокола SS7, который является протоколом взаимодействия коммутатор-коммутатор (NNI), а затем снова преобразуются в сообщения Q.931 на абонентском окончании.

Использование сети ISDN для передачи данных

Несмотря на значительные отличия от аналоговых телефонных сетей, сети ISDN сегодня используются в основном так же, как аналоговые телефонные сети, то есть как сети с коммутацией каналов, но только более скоростные: интерфейс BRI дает возможность установить дуплексный режим обмена со скоростью 128 Кбит/с (логическое объединение двух каналов типа В), а интерфейс PRI — 2,048 Мбит/с. Кроме того, качество цифровых каналов гораздо выше, чем аналоговых. Это значит, что процент искаженных кадров оказывается гораздо ниже, а полезная скорость обмена данными существенно выше.

Обычно интерфейс BRI служит в коммуникационном оборудовании для подключения отдельных компьютеров или небольших локальных сетей домашних пользователей, а интерфейс PRI — для подключения сети средних размеров с помощью маршрутизатора.

Схема удаленного доступа через ISDN показана на рис. 22.9.

Подключение пользовательского оборудования к сети ISDN осуществляется в соответствии со схемой, разработанной ITU-T (рис. 22.10). Оборудование делится на функциональные группы, и в зависимости от группы различают несколько контрольных точек соединения разных групп оборудования между собой.

Терминальным оборудованием 1 (ТЕ1) может быть цифровой телефон или факс-аппарат. Контрольная тачка S соответствует точке подключения отдельного терминального устройства к устройству сетевого окончания (устройство типа NT1) или концентратору пользовательских интерфейсов (устройству типа NT2). ТЕ1 по определению поддерживает один из пользовательских интерфейсов ISDN: BRI или PRI.

Если пользовательское терминальное оборудование ТЕ1 подключено через интерфейс BRI, то цифровое абонентское окончание выполняется по 2-проводной схеме (как и обычное окончание аналоговой телефонной сети). Для кодирования данных на участке DSL до точки подключения к сети ISDN (контрольная точка U) в этом случае используется потенциальный код 2B1Q. Дуплексный режим DSL образован путем одновременной передачи сигналов по одной витой паре в обоих направлениях с эхо-подавлением и вычитанием своего сигнала из суммарного. Максимальная длина абонентского окончания для этого кяпиянтя гогтаиляет 5.5 км

При использовании терминальным оборудованием ТЕ1 интерфейса PRI цифровое абонентское окончание должно представлять собой канал Т1 или Е1, то есть 4-проводную

линию с максимальной длиной около 1800 м. Соответственно на участке DSL до точки U применяется код HDB3 (Европа) или B8ZS (Америка).

Терминальное оборудование 2 (ТЕ2) в отличие от ТЕ1 не поддерживает интерфейсы BRI и PRI. Таким оборудованием может быть компьютер или маршрутизатор с последовательными интерфейсами, не относящимися к ISDN, например RS-232C, Х.21 или V.35. Для подключения подобного оборудования к сети ISDN необходимо использовать терминальный адаптер. Терминальный адаптер (Terminal Adaptor, ТА) согласует интерфейс ТЕ2 с интерфейсом PRI или BRI. Для компьютеров терминальные адаптеры выпускаются в формате сетевых адаптеров. Контрольная точка R соответствует точке подключения терминального оборудования ТЕ2 к ТА. Тип абонентского окончания не зависит от того, работает терминальное оборудование через ТА или непосредственно.

Устройства сетевого окончания 2 (NT2) представляют собой устройства канального или сетевого уровня, которые выполняют функции концентрации пользовательских интерфейсов и их мультиплексирования. Например, к этому типу оборудования относятся: офисная АТС, коммутирующая несколько интерфейсов BRI, маршрутизатор, работающий в режиме коммутации пакетов (например, по каналу D), простой мультиплексор TDM, который мультиплексирует несколько низкоскоростных каналов в один канал типа В. Точка подключения оборудования типа NT2 к абонентскому сетевому окончанию (устройству NT1) называется контрольной точкой Т. Поскольку наличие данного типа оборудования не является обязательным (в отличие от NT1), то контрольные точки S и Т объединяются и обозначаются как контрольная точка S/Т. Физически интерфейс в точке S/Т представляет собой 4-проводную линию. Для интерфейса BRI в качестве метода кодирования выбран биполярный метод AMI, причем логическая единица кодируется нулевым потенциалом, а логический ноль — чередованием потенциалов противоположной полярности. Для интерфейса PRI используются другие коды — те же, что и для интерфейсов Т1 и Е1, то есть соответственно B8ZS и HDB3.

Устройства сетевого окончания 1 (NT1) — это устройство физического уровня, которое согласует интерфейс BPR или PRI с цифровым абонентским Ькончанием (DSL), соединяющим пользовательское оборудование с сетью ISDN. Фактически NT1 представляет собой устройство типа CSU, которое согласует методы кодирования, количество используемых линий и параметры электрических сигналов. Контрольная точка U соответствует точке подключения устройства NT1 к сети.

ПРИМЕЧАНИЕ-

Устройство NT 1 может принадлежать оператору сети или пользователю (хотя всегда устанавливается в помещении пользователя). В Европе принято считать устройство NT1 частью сетевого оборудования, поэтому пользовательское оборудование (например, маршрутизатор с интерфейсом ISDN) выпускается без встроенного устройства NT1. В Северной Америке принято считать устройство NT1 принадлежностью пользовательского оборудования, поэтому пользовательское оборудование часто выпускается со встроенным устройством NT1.

Таким образом, для удаленного доступа необходимо оснастить компьютеры пользователей терминальными адаптерами, а в POP установить маршрутизатор, имеющий один или несколько интерфейсов PRI. В этом случае максимальная скорость доступа для отдельного пользователя будет равна скорости передачи двух каналов типа В, то есть 128 Кбит/с. Драйверы терминальных адаптеров ISDN умеют объединять два отдельных физических канала типа В в один логический канал. Для этого служит расширение протокола РРР — многоканальный протокол РРР (RFC 1990).

Если пользователь удаленного доступа согласен ограничиться скоростью 64 Кбит/с, он может задействовать второй канал типа В своего интерфейса BRI для параллельной работы телефона ISDN, что невозможно сделать при применении аналогового коммутируемого модема.

Технология ADSL

Технология асимметричного цифрового абонентского окончания (Assymetric Digital Subscriber Line, ADSL) была разработана для обеспечения скоростного доступа в Интернет массовых индивидуальных пользователей, квартиры которых оснащены обычными абонентскими телефонными окончаниями. Появление технологии ADSL можно считать революционным событием для массовых пользователей Интернета, потому что для них оно означало повышение скорости доступа в десятки раз (а то и более) без какого бы то ни было изменения кабельной проводки в квартире и доме.

Для доступа через ADSL, так же как и для аналогового коммутируемого доступа, нужны телефонные абонентские ркончаййя имодРмы. Однако принципиальным отличием доступа через ADSL от коммутируемого доступа йвляетрй то, ч?о ADSL-модемы работают только в пределах абонентского скончания,/в то время как коммутируемые модемы используют возможности телефонной сети, устанавливая в ней соеданение «из конца в конец», которое проходит через несколько транзитных коммутаторов.

Поэтому если традиционные телефонные модемы (например, V.34, V.90) должны обеспечивать передачу данных на канале с полосой пропускания в 3100 Гц, то ADSL-модемы получают в свое распоряжение полосу порядка 1 МГц — эта величина зависит от длины кабеля, проложенного между помещением пользователя и POP, и сечения проводов этого кабеля.

Схема доступа через ADSL показана на рис. 22.11. Эта схема близка к общей схеме использования универсального абонентского окончания (см. рис. 22.2) за исключение того, что при доступе через ADSL факт наличия телевизоров у пользователей игнорируется, а доступ для телефонов и компьютеров является совместным.

ADSL-модемы, подключаемые к обоим концам короткой линии между абонентом и POP, образуют три канала: высокоскоростной нисходящий канал передачи данных из сети в компьютер, менее скоростной восходящий канал передачи данных из компьютера в сеть и канал телефонной связи, по которому передаются обычные телефонные разговоры. Передача данных в канале от сети к абоненту в стандарте ADSL 1998 года происходит со скоростью от 1,5 до 8 Мбит/с, а в канале от абонента к сети — от 16 Кбит/с до 1 Мбит/с; для телефона оставлена традиционная полоса в 4 кГц (рис. 22.12).

Для асимметрии нисходящей и восходящей скоростей полоса пропускания абонентского окончания делится между каналами также асимметрично. На рис. 22.12 показано распределение полосы между каналами, при этом приведенные значения для восходящей и нисходящей полосы являются максимальными значениями, которые модем в каждом конкретном сеансе может использовать полностью или же частично.

^ ^ ADSL-распределитель

.

Неопределенность используемых полос частот объясняется тем, модем постоянно тестирует качество сигнала и выбирает только те части выделенного для передачи спектра, в которых соотношение сигнал/шум является приемлемым для устойчивой передачи дискретных данных. Заранее сказать, в каких частях выделенного спектра это соотношение окажется приемлемым, невозможно, так как это зависит от длины абонентского окончания, от сечения провода, от качества витой пары в целом, от помех, которые наводятся на провода

абонентского окончания. ADSL-модемы умеют адаптироваться к качеству абонентского окончания и выбирать максимально возможную на данный момент скорость передачи данных.

В помещении клиента устанавливается распределитель, который выполняет разделение частот между ADSL-модемом и обычным аналоговым телефоном, обеспечивая их совместное сосуществование.

В POP устанавливается так называемый мультиплексор доступа к цифровому абонентскому окончанию (Digital Subscriber Line Access Multiplexer, DSLAM). Он принимает компьютерные данные, отделенные распределителями на дальнем конце абонентских окончаний от голосовых сигналов. DSLAM-мультиплексор должен иметь столько ADSL-модемов, сколько пользователей удаленного доступа обслуживает поставщик услуг с помощью телефонных абонентских окончаний.

После преобразования модулированных сигналов в дискретную форму DSLAM отправляет данные на IP-маршрутизатор, который также обычно находится в помещении POP. Далее данные поступают в магистраль передачи данных поставщика услуг и доставляются в соответствии с IP-адресами назначения на публичный сайт Интернета или в корпоративную сеть пользователя. Отделенные распределителем голосовые сигналы передаются на телефонный коммутатор, который обрабатывает их так, как если бы абонентское окончание пользователя было непосредственно к нему подключено.

Широкое распространение технологий ADSL должно сопровождаться некоторой перестройкой работы поставщиков услуг Интернета и операторов телефонных сетей, так как их оборудование должно теперь работать совместно. Возможен также вариант, когда альтернативный оператор связи берет оптом в аренду большое количество абонентских окончаний у традиционного местного оператора или же арендует некоторое количество модемов в DSLAM.

Стандарт G.992.1 описывает работу трансиверов ADSL-модемов. Технология ADSL поддерживает несколько вариантов кодирования информации (DMT, САР и 2B1Q). Достижения технологий xDSL во многом определяются достижениями техники кодирования, в которой за счет применения процессоров DSP удалось повысить скорость передачи данных при одновременном увеличении расстояния между модемом и оборудованием DSLAM.

За более чем десятилетнюю историю существования было принято несколько стандартов технологии ADSL, которые повысили верхний предел скорости доступа. Стандарт ITU-T G.991.2, принятый в 1999 году, повысил максимальную скорость нисходящего потока до 12 Мбит/с, а восходящего — до 1,3 Мбит/с, стандарт ITU-T G.991.5, принятый в 2003 году и известный как ADSL2+, повысил скорость нисходящего потока до 24 Мбит/с. В последнем случае такой резкий скачок верхнего предела скорости произошел как за счет усовершенствований в технике кодирования, так и за счет расширения используемой полосы пропускания абонентского окончания до 2,2 МГц.

В 2006 году был принят стандарт ITU-T G.992.3, известный под названием VDSL2 (Very high-speed DSL2 — сверхскоростное цифровое абонентское окончание 2). Этот стандарт позволяет достигать скорости нисходящего потока до 250 Мбит/с, но только на достаточно коротких расстояниях от абонента до точки присутствия оператора, в том же случае, когда это расстояние увеличивается до 1,5 км, скорость передачи данных падает до скорости стандарта ADSL2+.

Нужно подчеркнуть, что новые высокоскоростные стандарты рассчитаны в первую очередь на высококачественные телефонные абонентские окончания; в тех же случаях, когда качество проводки низкое, а расстояние до АТС — значительное, на существенное повышение скорости при применении модема нового стандарта рассчитывать не приходится.

Высокие скорости ADSL-модемов порождают для поставщиков услуг новую проблему, а именно проблему дефицита пропускной способности. Действительно, если каждый абонент доступа через ADSL будет загружать данные из Интернета с максимальной скоростью, например 1 Мбит/с, то при 100 абонентах поставщику услуг потребовался бы канал с пропускной способностью 100 Мбит/с, то есть Fast Ethernet, а если разрешить пользователям работать со скоростью 6 Мбит/с, то уже нужен канал АТМ 622 Мбит/с или Gigabit Ethernet. Для обеспечения необходимой скорости многие устройства DSLAM имеют встроенный коммутатор АТМ или Gigabit Ethernet. Технология ATM привлекает разработчиков DSLAM не только своей высокой скоростью, но и тем, что она ориентирована на соединение. При применении сети АТМ на канальном уровне компьютер пользователя перед передачей данных должен обязательно установить соединение с сетью поставщика услуг. Это дает возможность контролировать доступ пользователей и учитывать время использования и объем переданных данных, если при оплате за услугу эти параметры учитываются.

Технология SDSL позволяет на одной паре абонентского окончания организовать два симметричных канала передачи данных. Канал тональной частоты в этом случае не предусматривается. Обычно скорости каналов в восходящем и нисходящем направлениях составляют по 2 Мбит/с, но как и у технологии ADSL, эта скорость зависит от качества линии и расстояния до оборудования DSLAM. Технология SDSL разработана в расчете на небольшие офисы, локальные сети которых содержат собственные источники информации, например веб-сайты или серверы баз данных. Поэтому характер трафика здесь ожидается скорее симметричный, так как доступ через SDSL потребуется не только к внешним сетям из локальных сетей, но и к таким источнйкам информации извне. В технологии SDSL используется также голосовая часть спектрального диапазона, поэтому при работе SDSL-модема нельзя параллельно с передачей данных разговаривать по обычному телефону, как это делается при работе ADSL-модема.

Широкое применение доступа через xDSL наносит еще один удар технологии ISDN. При применении этого типа абонентских окончаний пользователь получает еще и интегрированное обслуживание двух сетей: телефонной и компьютерной. Но для пользователя наличие двух сетей оказывается незаметным, для него только ясно, что он может одновременно пользоваться обычным телефоном и подключенным к Интернету компьютером. Скорость же компьютерного доступа при этом превосходит возможности интерфейса PRI сети ISDN при существенно более низкой стоимости, определяемой низкой стоимостью инфраструктуры 1Р-сетей.

Доступ через сети CATV

Кабельное телевидение является одной из телекоммуникационных услуг, для которой была создана собственная разветвленная инфраструктура абонентских окончаний. Хотя кабельное телевидение и уступает по распространенности телефонной сети, тем не менее количество коаксиальных абонентских окончаний, соединяющих дома и квартиры с точками присутствия поставщиков услуг, в некоторых странах стало приближаться к количеству абонентских телефонных окончаний. Учитывая, что коаксиальный кабель обладает гораздо более широкой полосой пропускания (как минимум, 700-800 МГц), абонентское окончание

CATV может вполне справиться с одновременной передачей телефонного, компьютерного и телевизионного трафиков.

Схема использования линий CATV в качестве универсальных окончаний для доступа в Интернет, телефонную сеть и сеть кабельного телевидения нами в общих чертах уже рассматривалась. Именно окончание CATV было выбрано в качестве примера на рис. 22.2. Теперь мы остановимся на некоторых деталях этого вида доступа.

Отличием абонентского окончания CATV является то, что к коаксиальному кабелю по схеме монтажного ИЛИ подключаются одновременно несколько абонентов (рис. 22.13). Это может быть несколько десятков домов или же сотен квартир многоквартирного дома. Поэтому абонентское окончание CATV представляет собой классическую разделяемую среду, которая используется, например, в сетях Ethernet на коаксиальном кабеле.

В отсутствии кабельных модемов оборудование CATV служит для широковещательного распространения телевизионных программ до телевизионных приемников абонентов CATV из источника информации, расположенного в точке присутствия поставщика услуг. Для этого занимается диапазон частот от 50 до 550-868 МГц (точное значение зависит от национальной политики выделения частот). Каждой программе CATV выделяется в этом диапазоне полоса в 6 или 8 МГц, сигнал которой шифруется и может быть дешифрирован приемниками тех абонентов, которые подписались на прием определнной программы.

Для использования такого абонентского окончания в помещении каждого абонента высокоскоростного доступа устанавливается распределитель и кабельный модем, а в точке присутствия — головной модем, который еще называют модемной терминальной станцией (Cable Modem Termination Station, CMTS).

Для двунаправленной передачи компьютерных данных кабельные модемы клиентов и станция CMTS занимают неиспользуемые телевизионными программами частоты. Обычно это диапазон относительно низких частот от 5 до 50 МГц, расположенный ниже частот телевизионных программ, а также диапазон высоких частот выше 550 МГц.

Диапазон низких частот используется для менее скоростного восходящего канала, а диапазон высоких частот — для высокоскоростного нисходящего канала. Скорость передачи данных в восходящем направлении может доходить до 10 Мбит/с, а в нисходящем — до 30-40 Мбит/с. Модемы пользователей могут взаимодействовать только со станцией CMTS.

Так как восходящий и нисходящий каналы разделены по частотам, абонентское окончание CATV образует две разделяемые среды.

Для нисходящего канала CMTS является единственным передатчиком информации, поэтому здесь не возникает конкуренции за доступ к среде. Станция CMTS использует нисходящий канал для передачи по нему кадров данных всем абонентам за счет адресации Ethernet и разделения канала во времени.

Восходящий канал задействуется в режиме множественного доступа всеми кабельными модемами, подключенными к данному абонентскому окончанию. В этой разделяемой среде CMTS играет роль арбитра. Каждый абонентский модем начинает передачу только после того, как получит разрешение на это от головного модема по прямому каналу. Для того чтобы один абонентский модем не занимал канал надолго, CMTS назначает каждому абонентскому модему тайм-слот ограниченного размера. Тайм-слоты распределяются только между активными модемами — это позволяет расходовать ограниченную пропускную способность максимально эффективно. Для вновь подключаемых абонентских модемов предназначены специальные тайм-слоты. При включении абонентский модем использует такой тайм-слот, чтобы оповестить CMTS о своем присутствии в сети. Далее он ожидает, когда ему будет выделен тайм-слот на равных основаниях с другими модемами.

Кабельный модем абонента может иметь разъем для подключения обычного телефона, для которого также выделяется полоса в 4 МГц в нижнем диапазоне частот. В этом случае абонент получает от одного поставщика услуг доступ трех типов: телефонный, компьютерный и телевизионный.

Беспроводной доступ

Мы уже касались особенностей беспроводной передачи данных в предыдущих главах: в главе 10 были рассмотрены общие принципы беспроводной связи, а в главе 14 — технологии беспроводных локальных и персональных сетей. Беспроводная передача данных в последнее время широко используется также для организации доступа, особенно в тех случаях, когда поставщик услуг по какой-то причине не может обеспечить своим клиентам проводной доступ. Чаще всего это случается с альтернативными поставщиками услуг, которые не имеют в своем распоряжении проводных абонентских окончаний к домам клиентов. Другим типичным примером является организация временного высокоскоростного доступа для определенного здания, например при проведении конференции в помещении гостиницы, не оснащенном средствами проводного доступа необходимой пропускной способности.

Беспроводной доступ может быть как фиксированным, так и мобильным.

Фиксированный беспроводной доступ организуется для абонентов, компьютеры которых находятся в пределах ограниченной территории, чаще всего в пределах здания. В таком случае поставщик услуг может использовать направленную антенну и передатчик известной мощности, чтобы обеспечить устойчивый прием высокочастотных сигналов в такой узкой области покрытия, как здание. Если у поставщика услуг имеется достаточно большое количество абонентов фиксированного беспроводного доступа, то он обычно задействует несколько направленных антенн, чтобы покрыть все секторы, в которых находятся его абоненты.

Для беспроводного фиксированного доступа употребляется также термин беспроводное абонентское окончание (Wireless Local Loop, WLL). Этот термин хорошо отражает тот факт, что, несмотря на отсутствие кабелей, абоненты «привязаны» к определенной географической точке, как и в случае проводного абонентского окончания.

Существуют узкополосные и широкополосные беспроводные абонентские окончания. Первый тип не обеспечивает передачу телевизионного сигнала, а только сравнительно низкоскоростной компьютерный трафик (64-128 Кбит/с) и телефонный сигнал. Второй тип обычно основан на системах распространения телевизионного сигнала, поэтому работает с высокочастотными диапазонами и обеспечивает все три вида доступа, причем компьютерные данные передаются обычно со скоростями в несколько сотен килобит в секунду или несколько мегабит в секунду.

К системам последнего типа относятся многоканальная служба распределения (Multichannel Multipoint Distribution Service, MMDS) и локальная служба распределения (Local Multipoint Distribution Service, LMDS). MMDS работает в диапазоне 2,1 ГГц, a LMDS — 30 ГГц в Америке и 40 ГГц в Европе. Обе системы обеспечивают двунаправленную передачу сигналов для абонентов телевизионных, телефонных и компьютерных ус луг. Так как система MMDS работает на существенно более низких частотах, чем LMDS, она обеспечивает гораздо более широкую область покрытия. Одна мачта с направленными антеннами MMDS обычно может обслуживать территорию радиусом в 50 км, в то время как радиус покрытия передатчиков LMDS обычно не превышает 5 км, а в городских условиях он может быть и того меньше. Зато LMDS может обеспечить для своих абонентов более высокие скорости доступа (до 155 Мбит/с).

Как в узкополосных, так и в широкополосных беспроводных абонентских окончаниях используются различные методы мультиплексирования сигналов для одновременной работы своих абонентов в одном секторе направленности антенны, а также для разделения телевизионного, телефонного и компьютерного трафиков. Обычно здесь применяется комбинация приемов FDM и TDM. Например, для каждого типа трафика может быть выделен определенный диапазон частот в соответствии с принципами частотного мультиплексирования. Затем внутри диапазона частот, выделенного для компьютерного трафика, может применяться асинхронное временное мультиплексирование с определенным алгоритмом доступа к общей среде, например с центральным арбитром. Для некоторых абонентов, которым необходима гарантированная полоса пропускания, может применяться синхронное временное мультиплексирование с образованием беспроводных каналов PDH/SDH.

К сожалению, технологии WLL до сих пор во многом являются фирменными с несовместимыми оборудованием доступа и центральными станциями. Для устранения этого недостатка был разработан стандарт IEEE 802.16 (известный под названием WiMAX), который определяет некоторые общие принципы использования частотного диапазона, методов мультиплексирования и предоставляемые услуги. Также этот стандарт предусматривает применение разнообразных методов мультиплексирования, как частотного, так и временного синхронного и асинхронного, чтобы учесть интересы разных производителей оборудования WLL и обеспечить максимальную гибкость таких систем.

Технология 802.11 также может использоваться для фиксированного беспроводного доступа. Однако она применяется в этом качестве не так часто, потому что ориентирована исключительно на компьютерный трафик и игнорирует особенности телефонного и телевизионного трафиков, а именно — доступ с постоянной битовой скоростью. Метод доступа CDMA/CA, описываемый в 802.11, не может обеспечить требуемого уровня QoS для чувствительного к задержкам трафика. Тем не менее некоторые поставщики услуг применяют технологию 802.11 для фиксированного доступа в Интернет тех абонентов, которых удовлетворяет неопределенная пропускная способность. Эта технология также популярна для «кочевого» доступа в зонах временного пребывания абонентов, например в аэропортах или на железнодорожных вокзалах.

Беспроводной мобильный доступ в Интернет предоставляется сегодня в основном операторами мобильных телефонных сетей. Мобильная телефония второго поколения обеспечивает доступ в Интернет, используя в качестве транспорта с коммутацией пакетов протокол GPRS (General Packet Radio Service — служба пакетной радиосвязи общего назначения), который работает в сетях D-AMPS и GSM. Однако скорость такого доступа невысока (всего 2400-9800 Кбит/с). В мобильных сетях третьего поколения, которые только начинают разворачиваться, эта скорость должна существенно возрасти (до 2 Мбит/с).

Выводы

Термин «удаленный доступ» применяется в том случае, когда говорят о доступе домашних пользователей или сотрудников мелких филиалов предприятий к ресурсам Интернета или корпоративной сети.

Существуют различные категории клиентов удаленного доступа, отличающиеся используемыми абонентскими окончаниями, наличием или отсутствием домашней локальной сети, требованиями к скорости доступа и типом ресурсов, к которым требуется обеспечить доступ (ресурсы публичного домена Интернета или корпоративной сети).

Поставщик услуг обычно стремится сделать абонентское окончание универсальным, то есть способным передавать трафик трех основных терминальных устройств массового пользователя: телефона, телевизора и компьютера.

Базовым сервисом удаленного доступа является режим удаленного узла, когда компьютер пользователя становится узлом локальной сети поставщика услуг или своего предприятия.

Особым режимом удаленного доступа является удаленное управление, когда компьютер пользователя эмулирует терминал, подключенный к другому компьютеру. Удаленное управление позволяет пользователю получить полный контроль над другим компьютером и запускать на нем любые приложения. Это удобно для пользователя, но представляет большую потенциальную опасность для корпоративных ресурсов.

Наиболее старым видом удаленного доступа является коммутируемый доступ через аналоговые окончания PSTN. С помощью обычного модема компьютер устанавливает в телефонной сети соединение с сервером удаленного доступа, подключенного к сети с коммутацией пакетов.

Фиксированная полоса пропускания в 4 кГц, выделяемая пользователям телефонной сети, принципиально ограничивает скорость передачи обычных модемов. Модемы V.90 обеспечивают восходящую скорость до 33,6 Кбит/с и нисходящую скорость до 56 Кбит/с, но в последнем случае только тогда, когда все транзитные телефонные коммутаторы от клиента до сервера удаленного доступа являются цифровыми.

Технология ISDN была разработана для создания универсальной сети, оказывающей, в том числе, услуги компьютерного доступа. Однако сегодня ее скорость передачи (128 Кбит/с) считается слишком низкой для доступа массовых клиентов к мультимедийной информации.

Технология ADSL полностью использует полосу пропускания телефонного абонентского окончания, деля ее натри канала: дуплексный голосовой, восходящий (до 1 Мбит/с) и нисходящий (до 24 Мбит/с) компьютерные. Ограничение на полосу пропускания для абонента телефонной сети в 4 кГц не влияет на работу ADSL-модемов, так как компьютерные данные в ближайшей точке присутствия ответвляются в сеть с коммутацией пакетов.

Кабельные модемы работают на коаксиальном абонентском окончании CATV, которое является разделяемой средой для нескольких абонентов, подключенных к одному и тому же кабелю. Широкая полоса пропускания коаксиального кабеля обеспечивает восходящую скорость до 10 Мбит/с, а нисходящую — до 30-40 Мбит/с.

Для фиксированного беспроводного доступа служит множество фирменных технологий, обеспечивающих доставку пользователю телефонной, телевизионной и компьютерной информации. Для предоставления разнообразных услуг такой доступ требует сочетания частотного и временнбго мультиплексирования, а также коммутации каналов и пакетов.

Мобильный доступ пока существует в виде дополнительной низкоскоростной услуги по передаче данных через сотовые телефонные сети второго поколения. Стандарты сетей третьего поколения предусматривают более высокие скорости передачи данных, но их внедрение только начинается.

Вопросы и задания

1. Каким образом может оказывать услуги доступа поставщик услуг, который не владеет кабельными абонентскими окончаниями? Варианты ответов:

а) арендовать абонентские окончания у провайдера, которому они принадлежат;

б) заключить с провайдером, которому принадлежат абонентские окончания, договор на направление трафика пользователей в свою сеть;

в) организовать радиодоступ для клиентов.

2. Какие характеристики клиентов удаленного доступа нужно принимать во внимание при организации такого доступа?

3. Какое абонентское окончание можно назвать универсальным?

4. В режиме удаленного управления:

а) компьютер пользователя работает как монитор удаленного компьютера;

б) невозможно обмениваться файлами с удаленным компьютером;

в) локальный и удаленный компьютеры являются равноправными.

5. Какой вид доступа используется при конфигурировании маршрутизаторов?

6. Почему скорости обычных (коммутируемых) модемов намного уступают скоростям ADSL-модемов и кабельных модемов? Варианты ответов:

а) коммутируемый модем в отличие от ADSL-модема не поддерживает параллельную обработку кадров;

б) полоса пропускания, доступная коммутируемому модему, существенно уже;

в) коммутируемый модем использует телефонную сеть «из конца в конец», а ADSL-модем — нет.

7. К устройству какого уровня в терминах модели OSI можно отнести модем?

8. Чем отличаются требования к локальной сети провайдера, предоставляющего услуги коммутируемого доступа, от требований к локальной сети поставщика услуг доступа через ADSL? Варианты ответов:

а) локальная сеть поставщика услуг ADSL должна иметь существенно более высокую пропускную способность;

б) локальная сеть поставщика услуг ADSL должна быть разбита на несколько сетей VLAN;

в) ничем.

9. Какой метод доступа к разделяемой среде используют кабельные модемы? Варианты ответов:

а) CSMA/CD;

б) CSMA/CA;

в) централизованный доступ, управляемый арбитром.

10. Вы купили модем V.90 и связываетесь по телефонной сети со своим знакомым, который также использует модем V.90. Вы уверены, что все телефонные коммутаторы на пути между вами и вашим знакомым работают в цифровом режиме. На какой скорости вы получите соединение со своим знакомым?

11. Какую услугу ISDN целесообразно использовать, если к сети ISDN подключены с помощью маршрутизаторов две локальные сети, причем межсетевой трафик в течение длительного периода времени имеет интенсивность от 100 до,512 Кбит/с? Варианты ответов:

а) постоянное соединение по интерфейсу PRI;

б) коммутируемое соединение по интерфейсу BRI;

в) постоянное соединение по двум интерфейсам BRI.

12. Что необходимо изменить в настройке, если ADSL-модем работает на абонентском окончании с недопустимо высоким процентом ошибок? Варианты ответов:

а) снизить скорость передачи данных;

б) повысить скорость передачи данных;

в) увеличить полосу пропускания линии.

ГЛАВА 23 Сетевые службы

С точки зрения пользователей компьютерные сети представляют собой набор служб (сервисов), таких как электронная почта, WWW, интернет-телефония и интернет-телевидение. Транспортные функции сети, обеспечивающие работу этих служб, скрыты от пользователей, хотя иногда и влияют на некоторые детали предоставления службы, например, недостаточно высокая надежность доступа в Интернет по телефонным каналам потребовала коротких TCP-сеансов в службе WWW при передаче содержания веб-страниц. Помимо служб, ориентированных на конечных пользователей, существуют службы, ориентированные на сетевых администраторов, решающих задачи конфигурирования и управления сетевыми устройствами; в эту категорию входят службы FTP, telnet¹ и SNMP. Дополняют общую картину уже рассмотренные нами службы, помогающие компьютерам и сетевым устройствам организовать свою работу, такие как службы DNS и DHCP.

Краткий обзор функций протокола telnet был приведен в главе 22.

Электронная почта

Сетевая почтовая служба, или электронная почта, — это распределенное приложение, главной функцией которого является предоставление пользователям сети возможности обмениваться электронными сообщениями.

Как и все сетевые службы, электронная почта построена в архитектуре клиент-сервер. Почтовый клиент всегда располагается на компьютере пользователя, а почтовый сервер, как правило, работает на выделенном компьютере.

Почтовый клиент (называемый также агентом пользователя) — это программа, предназначенная для поддержания пользовательского интерфейса (обычно графического), а также для предоставления пользователю широкого набора услуг по подготовке электродных сообщений. В число таких услуг входит создание текста в различных форматах и кодировках, сохранение, уничтожение, переадресация, сортировка писем по разным критериям, просмотр перечня поступивших и отправленных писем, грамматическая и синтаксическая проверка текста сообщений, ведение адресных баз данных, автоответы, образование групп рассылки и прочее, и прочее. Кроме того, почтовый клиент поддерживает взаимодействие с серверной частью почтовой службы.

Почтовый сервер выполняет прием сообщений от клиентов, для чего он постоянно находится в активном состоянии. Кроме того, он выполняет буферизацию сообщений, распределение поступивших сообщений по индивидуальным буферам (почтовым ящикам) клиентов, управляет объемами памяти, выделяемой клиентам, выполняет регистрацию клиентов и регламентирует их права доступа к сообщениям, а также решает много других задач.

Электронные сообщения

Почтовая служба оперирует электронными сообщениями — информационными структурами определенного стандартного формата. Упрощенно электронное сообщение может быть представлено в виде двух частей, одна из которых (заголовок) содержит вспомогательную информацию для почтовой службы, другая часть (тело сообщения) — это собственно то «письмо», которое предназначается для прочтения, прослушивания или просмотра адресатом (RFC 8022).

Главными элементами заголовка являются адреса отправителя и получателя в виде Polina@ domen.com, где Polina — идентификатор пользователя почтовой службы, а domen.com — имя домена, к которому относится этот пользователь. Кроме этого, почтовая служба включает в заголовок дату и тему письма, делает отметки о применении шифрования, срочности доставки, необходимости подтверждения факта прочтения этого сообщения адресатом и др. Дополнительная информация заголовка может оповещать почтового клиента получателя об использовании той или иной кодировки. Помимо основной кодировки ASCII, современные почтовые системы позволяют создавать сообщения, включающие изображения (в форматах GIF и JPEG), а также аудио- и видеофайлы.

Протокол SMTP

В качестве средств передачи сообщения почтовая служба использует стандартный, разработанный специально для почтовых систем протокол SMTP (Simple Mail Transfer Protocol — простой протокол передачи почты). Как и большинство других протоколов прикладного уровня, SMTP реализуется несимметричными взаимодействующими частями: SMTP-клиентом и SMTP-сервером. Важно отметить, что этот протокол ориентирован на передачу данных по направлению от клиента к серверу, следовательно, SMTP-клиент работает на стороне отправителя, а SMTP-сервер — на стороне получателя. SMTP-сервер должен постоянно быть в режиме подключения, ожидая запросов со стороны SMTP-клиента.

Логика работы протокола SMTP действительно является достаточно простой (как это и следует из его названия). После того как, применяя графический интерфейс своего почтового клиента, пользователь щелкает на значке, инициирующем отправку сообщения, SMTP-клиент посылает запрос на установление TCP-соединения на порт 25 (это назначенный порт SMTP-сервера). Если сервер готов, то он посылает свои идентифицирующие данные, в частности свое DNS-имя. Затем клиент передает серверу адреса (имена) отправителя и получателя. Если имя получателя соответствует ожидаемому, то после получения адресов сервер дает согласие на установление TCP-соединения, и в рамках этого надежного логического канала происходит передача сообщения. Используя одно TCP-соединение, клиент может передать несколько сообщений, предваряя каждое из них указанием адресов отправителя и получателя. После завершения передачи TCP- и SMTP-соединения разрываются. Если в начале сеанса связи SMTP-сервер оказался не готов, то он посылает соответствующее сообщение клиенту, в ответ тот снова посылает запрос, пытаясь заново установить соединение. Если сервер не может доставить сообщение, то он передает отчет об ошибке отправителю сообщения и разрывает соединение. После того как передача сообщения благополучно заканчивается, переданное сообщение сохраняется в буфере на сервере.

ПРИМЕЧАНИЕ-

Хотя в любом протоколе предполагается обмен данными между взаимодействующими частями, то есть данные передаются в обе стороны, различают протоколы, ориентированные на передачу (pull protocols), и протоколы, ориентированные на прием данных (push protocols). В протоколах, ориентированных на передачу, к которым, в частности, относится протокол SMTP, клиент является инициатором передачи данных на сервер, а в протоколах, ориентированных на прием, к которым относятся, например, протоколы HTTP, POP3 и IMAP, клиент является инициатором получения данных от сервера.

Непосредственное взаимодействие клиента и сервера

Теперь, когда мы обсудили основные составляющие почтовой службы, давайте рассмотрим несколько основных схем ее организации. Начнем с простейшего, практически не используемого сейчас варианта, когда отправитель непосредственно взаимодействует с получателем. Как показано на рис. 23.1, у каждого пользователя на компьютере устанавливаются почтовые клиент и сервер.

Данила, используя графический интерфейс своего почтового клиента, вызывает функцию создания сообщения, в результате на экране появляется стандартная незаполненная форма сообщения, в поля которой Данила вписывает свой адрес, адрес Полины и тему письма, а затем набирает текст письма. При этом он может пользоваться не только встроенным в почтовую программу текстовым редактором, но и привлекать для этой цели другие программы, например MS Word. Когда письмо готово, Данила вызывает функцию отправки сообщения, и встроенный SMTP-клиент посылает запрос на установление связи SMTP-серверу на компьютере Полины. В результате устанавливаются SMTP- и TCP-соединения, и сообщение передается через сеть. Почтовый сервер Полины сохраняет письмо в памяти ее компьютера, а почтовый клиент по команде Полины выводит его на экран, при необходимости выполняя преобразование формата. Полина может сохранить, переадресовать или удалить это письмо. Понятно, что в том случае, когда Полина решит направить электронное сообщение Даниле, схема работы почтовой службы будет симметричной.

Протокол SMPT

Данила Полина

Рис. 23.1. Схема непосредственного взаимодействия клиента и сервера

Схема с выделенным почтовым сервером

Рассмотренная только что простейшая схема почтовой связи кажется работоспособной, однако у нее есть серьезный и очевидный дефект. Мы упоминали, что для обмена сообщениями необходимо, чтобы SMTP-сервер постоянно находился в ожидании запроса от SMTP-клиента. Это означает, что для того чтобы письма, направленные Полине, доходили до нее, ее компьютер должен постоянно находиться в режиме подключения. Понятно, что такое требование для многих пользователей неприемлемо.

Естественным решением этой проблемы является размещение SMTP-сервера на специально выделенном для этой цели компьютере-посреднике. Это должен быть достаточно мощный и надежный компьютер, способный круглосуточно передавать почтовые сообщения от многих отправителей ко многим получателям. Обычно почтовые серверы поддерживаются крупными организациями для своих сотрудников или провайдерами для своих клиентов. ⁷³

На рис. 23.2 представлена схема с выделенным почтовым сервером. Чтобы не усложнять рисунок, мы показали на нем только те компоненты, которые участвуют в передаче сообщения от Данилы к Полине. Для обратного случая схема должна быть симметрично дополнена.

1. Итак, пусть Данила решает послать письмо Полине, для чего он запускает на своем компьютере установленную на нем программу почтового клиента (например, Microsoft Outlook или Mozilla Thunderbird). Он пишет текст сообщения, указывает необходимую сопроводительную информацию, в частности адрес получателя polina@bim.com, и щелкает мышью на значке отправки сообщения. Поскольку готовое сообщение должно быть направлено совершенно определенному почтовому серверу, клиент обращается к системе DNS, чтобы определить имя почтового сервера, обслуживающему домен Полины bim. com. Получив от DNS в качестве ответа имя mail.bim.com, SMTP-клиент еще раз обращается к DNS, на этот раз, чтобы узнать IP-адрес почтового сервера mail.bim.com.

2. SMTP-клиент посылает по данному IP-адресу запрос на установление ТСР-соединения через порт 25 (SMTP-сервер).

3. С этого момента начинается диалог между клиентом и сервером по протоколу SMTP, с которым мы уже знакомы. Заметим, что здесь, как и у всех протоколов, ориентированных на передачу, направление передачи запроса от клиента на установление SMTP-соединения совпадает с направлением передачи сообщения. Если сервер оказывается готовым, то после установления TCP-соединения сообщение Данилы передается.

4. Письмо сохраняется в буфере почтового сервера, а затем направляется в индивидуальный буфер, отведенный системой для хранения корреспонденции Полины. Такого рода буферы называют почтовыми ящиками. Важно заметить, что помимо Полины у почтового сервера имеется еще много других клиентов, и это усложняет его работу. То есть почтовый сервер должен решать самые разнообразные задачи по организации многопользовательского доступа, включая управление разделяемыми ресурсами и обеспечение безопасного доступа.

5. В какой-то момент, который принципиально не связан с моментом поступления сообщений на почтовый сервер, Полина, запускает свою почтовую программу и выполняет команду проверки почты. После этой команды почтовый клиент должен запустить протокол доступа к почтовому серверу, однако этим протоколом уже не будет SMTP. Напомним, что протокол SMTP используется тогда, когда необходимо передать данные на сервер, а Полине, напротив, нужно получить их с сервера. Для этого случая были разработаны другие протоколы, обобщенно называемые протоколами доступа к почтовому серверу, такие, например, как POP3 и IMAP. Оба этих протокола относятся к протоколам, ориентированным на прием данных (протокол POP3 ожидает запрос на установление TCP-соединения через порт НО, a IMAP — через порт 143, на рисунке эти порты обобщенно показаны как порт TCP). В результате работы любого из них письмо Данилы оказывается в памяти компьютера Полины. Заметим, что на этот раз направление запроса от клиента к серверу не совпадает с направлением передачи данных, показанному стрелкой.

Схема с двумя почтовыми серверами-посредниками

Прежде чем мы перейдем к сравнению двух протоколов доступа к почте, давайте посмотрим на еще одну схему организации почтовой службы, наиболее приближенную к реальности (рис. 23.3). Здесь передача сообщений между клиентами почты (на нашем рисунке между отправителем Данилой и получателем Полиной) проходит через два промежуточных почтовых сервера, каждый из которых обслуживает домен своего клиента. На каждом из этих серверов установлены также и клиентские части протокола SMTP. При отправке письма почтовый клиент Данилы передает сообщение по протоколу SMTP почтовому серверу домена, к которому относится Данила — RoyalMail.madeira.com. Это сообщение буферизуется на данном сервере, а затем по протоколу SMTP передается дальше на почтовый сервер домена Полины — mail.bim.com, откуда описанным уже образом попадает на компьютер Полины.

Возникает вопрос, зачем нужна такая двухступенчатая передача через два почтовых сервера? Прежде всего, для повышения надежности и гибкости процедуры доставки сообщения. Действительно, в схеме с передачей сообщения сразу на сервер получателя почтовый клиент отправителя в случае неисправности почтового сервера должен самостоятельно справляться со сложившейся нештатной ситуацией. Если же посредником в передаче сообщения является другой почтовый сервер, то это позволяет реализовывать разнообразные логические механизмы реакции на отказы на стороне сервера, который к тому же всегда находится в режиме подключения. Например, при невозможности передать письмо почтовому серверу получателя сервер отправляющей стороны может не только рапортовать об этом своему клиенту, но и предпринимать собственные действия — пытаться снова и снова послать письмо, повторяя эти попытки в течение достаточно длительного периода.

Протоколы POP3 и IMAP

А теперь давайте, как мы и собирались, сравним два протокола доступа к почте: POP3 (Post Office Protocol v.3 — протокол почтового отделения версии 3) и IMAP (Internet Mail Access Protocol — протокол доступа к электронной почте Интернета). Оба эти протокола решают одну и ту же задачу — обеспечивают доступ пользователей к корреспонденции, хранящейся на почтовом сервере. В связи с многопользовательским характером работы почтового сервера оба протокола поддерживают аутентификацию пользователей на основе идентификаторов и паролей. Однако протоколы POP3 и ШАР имеют принципиальные различия, важнейшее из которых состоит в следующем. Получая доступ к почтовому серверу по протоколу POP3, вы «перекачиваете» адресованные вам сообщения в память своего компьютера, при этом на сервере не остается никакого следа от считанной вами почты. Если же доступ осуществляется по протоколу ШАР, то в память вашего компьютера передаются только копии сообщений, хранящихся на почтовом сервере.

Это различие серьезно влияет на характер работы с электронной почтой. Сейчас очень распространенной является ситуация, когда человек в течение одного и того же периода времени использует несколько различных компьютеров: на постоянном месте работы, дома, в командировке. Теперь давайте представим, что произойдет с корреспонденцией пользователя Полины, если она получает доступ к почте по протоколу POP3. Письма, прочитанные на работе, останутся в памяти ее рабочего компьютера. Придя домой, она уже не сможет прочитать их снова. Опросив почту дома, она получит все сообщения, которые поступили с момента последнего обращения к почтовому серверу, но из памяти сервера они исчезнут, и завтра на работе она, возможно, не обнаружит важные служебные сообщения, которые были загружены на диск ее домашнего ноутбука. Таким образом, получаемая Полиной корреспонденция будет «рассеяна» по всем компьютерам, которыми она пользовалась. Такой подход не позволяет рационально организовать почту: распределять письма по папкам, сортировать их по разным критериям, отслеживать состояние переписки, отмечать письма, на которые послан ответ, и письма, еще требующие ответа и т. д. Конечно, если пользователь всегда работает только с одним компьютером, недостатки протокола POP3 не являются столь критичными. Но и в этом случае проявляется еще один «дефект» этого протокола — клиент не может пропустить, не читая, ни одного письма, поступающего от сервера. То есть объемное и возможно совсем ненужное вам сообщение может надолго заблокировать вашу почту.

Протокол ШАР был разработан как ответ на эти проблемы. Предположим, что теперь Полина получает почту по протоколу IMAP. С какого компьютера она бы ни обратилась к почтовому серверу, ей будут переданы только копии запрошенных сообщений. Вся совокупность полученной корреспонденции останется в полной сохранности в памяти почтового сервера (если, конечно, не поступит специальной команды от пользователя об удалении того или иного письма). Такая схема доступа делает возможным для сервера предоставление широкого перечня услуг по рациональному ведению корреспонденции, то есть именно того, чего лишен пользователь при применении протокола POP3. Важным преимуществом ШАР является также возможность предварительного чтения заголовка письма, после чего пользователь может принять решение о том, есть ли смысл получать с почтового сервера само письмо.

Веб-служба

Изобретение службы World Wide Web (WWW), или Всемирной паутины, стоит в одном ряду с изобретениями телефона, радио и телевидения. Благодаря WWW люди получили возможность доступа к нужной им информации в любое удобное для них время. Теперь проще найти интересующую вас статью в Интернете, чем в стопке журналов, хранящихся рядом в шкафу. Очень быстро исчезают многие традиционные приемы рациональной организации работы с информацией, заключающиеся, например, в хранении полезной информации в записных книжках, раскладывании вырезок из журналов и газет в картонные папки с веревочками, упорядочивании документов в каталогах путем наклеивания на них маркеров с условными кодами, помогающими быстро отыскать нужный документ и т. д. Этим приемам приходят на смену новые безбумажные технологии Интернета, среди которых важнейшей является сетевая служба WWW, или веб-служба. Заметим, что WWW не только предоставляет любому человеку возможность быстрого поиска нужных данных и доступа к ним, но и позволяет выносить на многомиллионную аудиторию пользователей

Интернета собственную информацию — мнения, художественные и публицистические произведения, результаты научной работы, объявления и т. д. Причем он может это делать без особых организационных забот и практически бесплатно.

Мы не будем долго останавливаться на описании всех возможностей этой службы, учитывая, что для большинства из нас регулярный просмотр веб-сайтов стал не просто обыденностью, а необходимым элементом жизненного уклада.

Веб- и HTML-страницы

Миллионы компьютеров, связанных через Интернет, хранят невообразимо огромные объемы информации, представленной в виде веб-страниц.

? Веб-страница, или веб-документ, как правило, состоит из основного HTML-файла и,некоторого количества ссылок на другие объекты разного типа: JPEG- и GIF-изображения, другие, HTML-файлы, аудио- и видеофайлы.

Q НЩ-фяйлом, HTML-страницей или гипертекстовой страницей называют файл, который содержит текст, написанный на языке HTML (HyperText Markup Language — язык разметки гипертекста).

История появления языка HTML связана с попытками программистов разработать средство, которое бы позволяло им программным путем создавать красиво сверстанные страницы для просмотра на экране. Другими словами, красивая картинка появляется на дисплее только в результате ее интерпретации специальной программой, а в исходном виде она представляет собой однообразный текст с множеством служебных пометок. Вместо применения различных приемов форматирования, таких как выделение заголовков крупным шрифтом, а важных выводов — курсивным или полужирным начертанием, создатель документа на языках этого типа просто вставляет в текст соответствующие указания о том, что данная часть текста должна быть выведена на экран в том или ином виде. Служебные пометки такого рода в исходном тексте выглядят, например, как <Ь> </Ь> (начать и закончить вывод текста полужирным начертанием) и называются тегами. Язык HTML не является первым языком разметки текста, его предшественники существовали задолго до появления веб-службы, например в первых версиях ОС Unix существовал язык troff (с помощью этого языка отформатированы страницы электронной документации Unix, известные как man-страницы).

В язык HTML включены разные типы тегов, команд и параметров, в том числе для вставки в текст изображений (тег <i mg s гс="..." >). Чтобы HTML-страница выглядела так, как задумал программист, она должна быть выведена на экран специальной программой, способной интерпретировать язык HTML. Такой программой является уже упоминавшийся веб-браузер.

Существует особый тип*тега, который имеет вид <а href="..."> ...</а> и называется гиперссылкой. Гиперссылка содержит информацию о веб-странице или объекте, который может находиться как на том же компьютере, так и на других компьютерах Интернета. Отличие гиперссылки от других тегов состоит в том, что элемент, описываемый ею, не появляется автоматически на экране, вместо этого на месте тега (гиперссылки) на экран выводится некоторое условное изображение или особым образом выделенный текст — имя гиперссылки. Чтобы получить доступ к объекту, на который указывает эта гиперссылка, пользователь должен «щелкнуть» на ней, дав тем самым команду браузеру найти и вывести на экран требуемую страницу или объект. После того как новая веб-страница будет загружена, пользователь сможет перейти по следующей гиперссылке — такой «веб-серфинг» может продолжаться теоретически сколь угодно долго. Все это время веб-браузер будет находить указанные в гиперссылках страницы, интерпретировать все размещенные на них указания и выводить информацию на экран в том виде, в котором ее спроектировали разработчики этих страниц.

URL

Браузер находит веб-страницы и отдельные объекты по адресам специального формата,

называемым URL (Uniform Resource Locator — унифицированный указатель ресурса).

URL-адрес может выглядеть, например, так: http://www.olifer.co.uk/books/books.htm.

В URL-адресе можно выделить три части:

? Тип протокола доступа. Начальная часть URL (http://) указывает на то, какой протокол должен быть использован для доступа к данным, расположение которых определяется оставшейся частью URL. Помимо HTTP, здесь могут быть указаны и другие протоколы, такие как FTP, telnet, также позволяющие осуществлять удаленный доступ к файлам или компьютерам⁷⁴.

? DNS-имя сервера. Имя сервера, на котором хранится нужная страница. В нашем случае — это имя сайта www.olifer.co.uk.

? Путь к объекту. Обычно это составное имя файла (объекта) относительно главного каталога веб-сервера, предлагаемого по умолчанию. В нашем случае путем к объекту является /books/books.htm. По расширению файла мы можем сделать вывод о том, что это HTML-файл.

Веб-клиент и веб-сервер

Как мы уже отмечали, сетевая веб-служба представляет собой распределенную программу, построенную в архитектуре клиент-сервер. Клиент и сервер веб-службы взаимодействуют друг с другом по протоколу HTTP.

1веб-Слу*Вы,предс^1Ц}я<^^^ ма^ком^⁴ ^

liMif

Через этот интерфейс пользователь получает доступ к широкому набору услуг, главной из которых, конечно, является «веб-серфинг», включающий поиск и просмотр страниц, навигацию между уже просмотренными страницами, переход по закладкам и хранение истории посещений. Помимо средств просмотра и навигации, веб-браузер предоставляет пользователю возможность манипулирования страницами: сохранение их в файле на диске своего компьютера, вывод на печать, передача по электронной почте, контекстный поиск в пределах страницы, изменение кодировки и формата текста, а также множество других функций, связанных с представлением информации на экране и конфигурированием самого браузера.

К числу наиболее популярных сейчас браузеров можно отнести Internet Explorer компании Microsoft, Firefox компании Mozilla и последнее предложение компании Google — Chrome. Веб-браузер — это не единственный вид клиента, который может обращаться к веб-серверу. Эту роль могут исполнять любые программы и устройства, поддерживающие протокол HTTP, а также многие модели мобильных телефонов — для доступа в этом случае применяется специальный протокол WAP (Wireless Application Protocol — протокол беспроводных приложений).

Значительную часть своих функций браузер выполняет в тесной кооперации с вебсервером. Как уже было сказано, клиент и сервер веб-службы связываются через сеть по протоколу HTTP. Это означает, что в клиентской части веб-службы присутствует клиентская часть HTTP, а в серверной — серверная часть HTTP.

Веб-сервер — это программа, хранямшя Ь0ъе|пгы ло^ьнб компьютера, на котором

она запущена, и обеспечивающая доступ к этим объектам поШ1-адресам. Наиболее популярными веб-серверами сейчас являются Apache и Microsoft internet Information Server.

Корневой каталог HTTP

fa.

—f video, flv |

-Iim1.jpg — 'T -[abc.htm|

Рисунок из файла img1 .jpg ^ ⁷⁵ /

Текст, находящийся /

^ ^ в теле HTML-страницы

Рис. 23.4. Отображение веб-страницы

Как и любой другой сервер, веб-сервер должен быть постоянно в активном состоянии, прослушивая ТСР-порт 80, который является назначенным портом протокола HTTP. Как только сервер получает запрос от клиента, он устанавливает TCP-соединение и получает от клиента имя объекта, например, в виде /books/books.htm, после чего находит в своем каталоге этот файл, а также другие связанные с ним объекты и отсылает по ТСР-соединению клиенту. Получив объекты от сервера, веб-браузер отображает их на экране (рис. 23.4). После отправки всех объектов страницы клиенту сервер разрывает с ним ТСР-соединение. В дополнительные функции сервера входят также аутентификация клиента и проверка прав доступа данного клиента к данной странице.

Для повышения производительности некоторые веб-серверы прибегают к кэшированию наиболее часто используемых в последнее время страниц в своей памяти. Когда приходит запрос на какую-либо страницу, сервер, прежде чем считывать ее с диска, проверяет, не находится ли она в буферах более «быстрой» оперативной памяти. Кэширование страниц осуществляется и на стороне клиента, а также на промежуточных серверах (прокси-серверах). Кроме того, эффективность обмена данными с клиентом иногда повышают путем компрессии (сжатия) передаваемых страниц. Объем передаваемой информации уменьшают также за счет того, что клиенту передается не весь документ, а только та часть, которая была изменена. Все эти приемы повышения производительности веб-службы реализуются средствами протокола HTTP

Протокол HTTP

HTTP (HyperText Transfer Protocol — протокол передачи гипертекста)¹ — это протокол прикладного уровня, во многом аналогичный протоколам FTP и SMTP. В настоящее время используются две версии протокола HTTP 1.0 и HTTP 1.1

Обмен сообщениями идет по обычной схеме «запрос-ответ». Клиент и сервер обмениваются текстовыми сообщениями стандартного формата, то есть каждое сообщение представляет собой нескольких строк обычного текста в кодировке ASCII.

Для транспортировки HTTP-сообщений служит протокол TCP. При этом ТСР-соединения могут использоваться двумя разными способами:

? Долговременное соединение — передача в одном TCP-соединении нескольких объектов, причем время существования соединения определяется при конфигурировании вебслужбы.

? Кратковременное соединение — передача в рамках одного ТСР-соединения только одного объекта.

Долговременное соединение, в свою очередь, может быть использовано двумя способами:

? Последовательная передача запросов с простоями — новый запрос посылается только после получения ответа.

? Конвейерная передача — это более эффективный способ, в котором следующий запрос посылается до прибытия ответа на один или несколько предыдущих запросов (напоминает метод скользящего окна). Обычно по умолчанию степень параллелизма устанавливается на уровне 5-10, но у пользователя имеется возможность изменять этот параметр при конфигурировании клиента.

В HTTP 1.1 по умолчанию применяются постоянные соединения и конвейерный режим. ⁷⁵

Формат НТТР-сообщений

В протоколе HTTP все сообщения состоят из текстовых строк. Сообщения как запросов, так и ответов имеют единую обобщенную структуру из трех частей: обязательной стартовой строки, а также необязательных заголовков и тела сообщения. В табл. 5.1 приведены форматы и примеры стартовых строк и заголовков для запросов и ответов.

Как видно из таблицы, запросы и ответы имеют разные форматы стартовой строки. Каждая из них состоит из трех элементов, включающих поле версии протокола HTTP. И в запросе, и в ответе примера указана версия HTTP 1.1. Стартовая строка запроса включает в себя поле метода — это название операции, которая должна быть выполнена. Чаще всего в запросах используется метод GET, то есть запрос объекта. Именно он включен в наш пример запроса. Помимо этого метода в запросах протокол предусматривает и другие методы, такие как POST, который используется клиентом, например, для отправки электронной почты или в поисковых машинах, когда клиент запрашивает у сервера не определенный объект, а объекты, содержащие ключевые слова, помещенные в теле сообщения. Еще одним элементом стартовой строки является URL-ссылка на запрашиваемый объект — здесь это имя файла /books/books.htm.

В стартовой строке ответа, помимо уже упоминавшегося указания на версию протокола HTTP, имеется поле кода состояния и поле фразы для короткого текстового сообщения, поясняющего данный'код пользователю.

В настоящее время стандарты определяют пять классов кодов состояния:

? 1хх — информация о процессе передачи;

? 2хх — информация об успешном принятии и обработки запроса клиента (в таблице в примере стартовой строки ответа приведен код и соответствующая фраза 200 0К сообщает клиенту, что его запрос успешно обработан);

? Зхх — информация о том, что для успешного выполнения операции нужно произвести следующий запрос по другому URL-адресу, указанному в дополнительном заголовке

Locati on;

? 4хх — информация об ошибках на стороне клиента (читатель наверняка не раз сталкивался с ситуацией, когда при указании адреса несуществующей страницы браузер выводил на экран сообщение 404 Not Found);

? 5хх — информация о неуспешном выполнения операции по вине сервера (например, сообщение 505httpVersionNotSupported говорит о том, что сервер не поддерживает версию HTTP, предложенную клиентом).

Среди кодов состояния имеется код 401, сопровождаемый сообщением authorization requi red. Если клиент получает такое сообщение в ответ на попытку доступа к странице или объекту, это означает, что доступ к данному ресурсу ограничен и требует авторизации 1 пользователя. Помимо поясняющей фразы сервер помещает в свой ответ дополнительный заголовок www- Authenticated... >, который сообщает клиенту, какую информацию он должен направить серверу для того, чтобы процедура авторизации могла быть выполнена. Обычно это имя и пароль. Веб-клиент с момента получения такого ответа сервера начинает добавлять во все свои запросы к ресурсам данного сервера дополнительный заголовок Authorization: <имя, паролъ>, который содержит информацию, необходимую для авторизации доступа.

Динамические веб-страницы

До сих пор мы подразумевали, что содержание страницы не изменяется в зависимости от действий пользователя. Когда пользователь щелкает на гиперссылке, то он переходит на новую страницу, а если выполняет команду возвращения обратно, то на экране снова появляется предыдущая страница в неизменном виде. Такие страницы называются статическими.

Однако в некоторых случаях было бы очень желательно, чтобы содержание страницы изменялось в зависимости от действий пользователя, например при наведении указателя мыши на определенную область страницы там появлялся бы рисунок вместо текста или значка. Динамическое воспроизведение состояния базы данных также является типичным примером ситуации, когда статическая страница не может решить задачу. Например, многие интернет-магазины поддерживают базу данных продаваемых товаров, и вывод количества оставшихся в наличии товаров требует динамического обновления соответствующего поля веб-страницы.

Веб-страницы, которые могут генерировать выводимое на экран содержание, меняющееся в зависимости от некоторых внешних условий, называются динамическими.

Динамика страницы достигается путем ее программирования, обычно для этого используются программные языки сценариев, такие как Perl, РНР или JavaScript.

Различают два класса программ, предназначенных для создания динамического содержания веб-страниц:

? программы, работающие на стороне клиента (то есть на том компьютере, где запущен веб-браузер, воспроизводящий страницу на экране);

? программы, работающие на стороне сервера. ⁷⁶

В том случае, когда программа работает на стороне клиента, код страницы передается веб-сервером веб-браузеру как обычный статический объект, а затем браузер выполняет этот код, с его помощью создает динамическое содержание страницы и выводит ее на экран. Примером может служить код, написанный на языке ActionScript, который иногда используется для программирования интерактивной анимации в играх. Однако для этого требуется еще один механизм, поддерживаемый современными браузерами, — механизм надстроек (add-on). Механизм надстроек является программным интерфейсом между браузером и внешними программами, которые расширяют функциональные возможности браузеров. Программа-надстройка обрабатывает объекты веб-страницы определенного типа, в данном случае — код ActionScript. Программой-надстройкой, которая понимает ActionScript, является Flash-плейер компании Adobe. Если Flash-плейер загружен в браузер, то динамическая веб-страница, в которой есть код ActionScript, будет правильно работать и воспроизводить интерактивную анимацию. Другим популярным языком программирования страниц на стороне клиента является JavaScript.

При программировании содержания страницы на стороне сервера процесс выглядит немного сложнее, так как программный код страницы создает содержание на сервере, следовательно, здесь нужен дополнительный этап — передача этого содержания по протоколу HTTP на клиентскую машину браузеру. Популярными языками сценариев для серверной части являются Perl, ASP, JSP и РНР Существует также стандартный программный интерфейс между веб-сервером и программами, генерирующими динамическое содержание, — это общий шлюзовой интерфейс (Common Gateway Interface, CGI).

IP-телефония

IP-телефония — это сервис, который обеспечивает коммутируемые голосовые соединения преимущественно по схеме «один к одному» и который поддерживается сетью, использующей протокол IP в форме общедоступного Интернета или частной 1Р-сети.

О ТЕРМИНАХ -

Понятие «IP-телефония» распространяется также и на те случаи, когда голос и факс передаются вместе с другими видами информации, в частности с текстом и изображением. Помимо термина «IP-телефония» употребляются также термины «VoIP» (Voice over IP — голос через IP) и «интернет-телефония». Хотя аббревиатура VoIP часто используется как синоним термина «1Р-телефония», существует ее более широкая трактовка — любая услуга, включающая передачу голоса по протоколу IP; это может быть, например, передача голосовой рекламы при щелчке на соответствующем значке, расположенном на веб-странице. Интернет-телефония — это частный случай IP-телефонии, когда разговор происходит через Интернет, а не, например, в пределах локальной сети предприятия.

Ранняя 1Р-телефония

В своем развитии IP-телефония прошла три этапа.

На первом этапе это была, скорее, интернет-игрушка, пригодная разве что для общения двух энтузиастов, готовых мириться с сопровождающим диалог кваканьем и шипением. Два компьютера, оснащенные микрофонами, динамиками, звуковыми картами с поддержкой оцифровки звука и не очень сложным программным обеспечением, позволяли вести двусторонний диалог через Интернет в реальном времени (рис. 23.5).

Однако до удобств обычной телефонной услуги такой способ общения явно недотягивал. Абонентам нужно было знать IP-адрес компьютера собеседника, договариваться о времени разговора, выбирать момент для более качественной передачи речи, когда трафик Интернета между данными конкретными точками не сталкивался с перегрузками и задержками. Кроме того, при отсутствии стандартов на обоих компьютерах требовалось установить такое программное обеспечение, которое поддерживало бы один и тот же способ кодирования голоса и упаковки его в пакеты. Взаимодействия между компьютером и телефоном, подключенным к обычной телефонной сети, не предполагалось. Зато затраты ограничивались небольшой платой провайдеру за обычное коммутируемое подсоединение к Интернету.

Второй этап ознаменовался появлением стандартов IP-телефонии, прежде всего — стандартов группы Н.323, разработанных ITU-T, и стандартов на основе протокола SIP, разработанного IETF.

К третьему этапу можно отнести появление нового поколения IP-телефонии, поддерживающей широкий спектр дополнительных услуг, подобный тому, который предоставляют абонентам развитые телефонные сети.

Стандарты Н.323

Разработчики стандартов Н.323 исходили из того, что две сети — телефонная и IP — будут сосуществовать бок о бок достаточно длительное время, а значит, важно регламентировать их взаимодействие с учетом существующих в традиционных телефонных сетях процедур установления соединения, а также договориться о способе передачи вызова и собственно голоса по 1Р-сети.

В рамках установленного сеанса Н.323 абоненты могут обмениваться не только голосовой, но и видеоинформацией, то есть пользоваться видеотелефонами или оборудованием для организации видеоконференций.

В стандартах Н.323 определяется две группы протоколов (рис. 23.6):

? Протоколы транспортной (transport plane), или пользовательской (user plane), плоскости отвечают за непосредственную передачу голоса по сети с коммутацией пакетов. Протоколы этой плоскости определяют способы кодирования голоса (сюда входят стандарты различных кодеков, например G.711, G.723.1, G.729, G.728 и др.) и видео (кодеки Н.261, Н.263 и др.). Голос и видео передаются в пакетах протокола RTP (Real Time Protocol — протокол реального времени), который определен в RFC 3550 (ftp://ftp. rfc-editor.org/in-notes/rfc3550.txt) и переносит отметки времени и последовательные номера пакетов, помогая конечным узлам сеанса восстанавливать аналоговую информацию реального времени. Пакеты RTP переносятся в пакетах протокола UDP.

? Протоколы плоскости управления вызовами (call control plane) переносят по сети запросы на установление соединений и реализуют такие служебные функции, как авторизация доступа абонента к сети и учет времени соединения. Эта группа протоколов работает через надежные TCP-соединения и включает протокол сигнализации Q.931, обеспечивающий установление и завершение соединения между абонентами; протокол Н.245, с помощью которого абонентское оборудование узнает о функциональных возможностях противоположной стороны, например о том, какие аудио- и видеокодеки поддерживаются, а также о том, сколько аудио- и видеопотоков будут использовать абоненты в рамках данного соединения. По умолчанию IP-телефон поддерживает только один голосовой поток, но видеотелефон уже поддерживает два потока — один голосовой и один видео, а оборудование видеоконференци может поддерживать несколько аудиопотоков и несколько видеопотоков. Еще один протокол этой группы — RAS (Registration, Admission, Status) — служит для учета звонков, регистрации пользователя в некотором административном домене (например, в домене организации, где работает пользователь) и контроля доступа в сеть (то есть проверке сетевых ресурсов, таких как свободная пропускная способность, необходимых для качественного обслуживания телефонного вызова).

Основными элементами сети Н.323, в которых реализуются протоколы этого стека, являются так называемые IP-телефоны, подключаемые непосредственно к IP-сети, и шлюзы, связывающие традиционную телефонную сеть с IP-сетью (рис. 23.7).

поль^ван%.

1фЬмв тбгт), в функции г^роШО)1Сю;Шт^й^цйи телефонных

оргей, таких,> нап?ймйЬ,. как $87, в про$о*юлы ШлкЬз.позволйет цбо-

йдиггйм собычным телефонным аппаратом©^ й пользователями IP-телефонов иЛи

Основная задача плоскости управления вызовами — установление соединения между абонентами через сети с коммутацией пакетов — в простейшем случае может быть решена шлюзом, а в более общей постановке поручается специальному элементу сети — привратнику.

Прмдо&^И»11? (gatekeeper) выполняет регистрацию и авторизацию абонентов по протоколу RAS, а также, в сл^ае необходимости; тршбдяцйю адресов (например, DNS-имен в телефонные номера). Кроме трто. Он занимается маршрутизацией вызовов к IP-телефону или шлюзу, а если потребуется, той кдругдмупривратнику.

Обычно один привратник обслуживает так называемую зону, то есть часть сети, находящуюся под административным управлением одной организации. Все функции привратника в архитектуре Н.323 могут выполнять терминальные устройства — телефоны и шлюзы, но такое решение плохо масштабируется, а поток вызовов с трудом контролируется и тарифицируется.

Стандарты на основе протокола SIP

Основным конкурентом протоколов стандарта Н.323 является протокол SIP (Session Initiation Protocol — протокол инициирования сеанса), разработанный интернет-сообществом и стандартизованный IETF в RFC 3261 (ftp://ftp.rfc-editor.org/in-notes/ rfc3261.txt).

SIP является протоколом сигнализации, он ответственен за установление сеанса между абонентами, при этом SIP выполняет функции протоколов Q.931, RAS и Н.245 стандарта Н.323 (точнее — часть из них). Для передачи аудио- и видеоданных в ходе сеанса протокол SIP предполагает ^пользование протокола RTP.

Протокол SIP очень близок по стилю к протоколу HTTP: он имеет похожий набор и синтаксис сообщений, которыми обмениваются стороны в процессе установления сеанса. Как и у протокола HTTP, SIP-сообщения текстовые, они хорошо понятны программистам, имеющим опыт создания веб-приложений. Поэтому системы IP-телефонии, построенные на основе SIP, оказались гораздо ближе к миру Интернета, чем стандарты Н.323, пришедшие «от телефонистов». Сегодня SIP-телефония более тесно интегрирована с веб-услугами, чем телефония стандарта Н.323.

Архитектура SIP предусматривает как непосредственное взаимодействие абонентов через IP-сеть, так и более масштабируемые схемы, включающие участие серверов-посредников (прокси-серверов). Основным таким сервером является так называемый прокси-сервер SIP, он выполняет функции, близкие к функциям привратника Н.323. Кроме того, в архитектуре SIP может присутствовать сервер определения местоположения (SIP Location Server).

Работу протокола SIP в архитектуре с серверами обоих типов иллюстрирует рис. 23.8.

Адресами абонентов в протоколе SIP являются универсальные идентификаторы URI, используемые во всех веб-службах. На рис. 23.8 абонент bill@ja.net хочет установить сеанс с абонентом bob@mgu.ru. В домене ja.net установлен прокси-сервер SIP с именем sip1@ja.net, через него проходят все вызовы абонентов этого домена (за счет того, что в IP-телефонах абонентов задан IP-адрес этого прокси-сервера).

Запросом на установление сеанса в протоколе SIP является передача сообщения INVITE с URI вызываемого абонента, поэтому абонент bill@ja.net направляет своему прокси-серверу сообщение INVITE lpb@mgu.ru. Прокси-сервер для выполнения этого запроса обращается к серверу определения местоположения, который возвращает ему ответ о том, что абонент bob@mgu.ru в данный момент зарегистрирован как активный в домене piter.ru с именем bob@ piter.ru. Прокси-сервер использует эту информацию для того, чтобы направить сообщение INVITE прокси-серверу домена piter.ru (сервер с именем sip2@piter.ru), указав в нем имя bob@piter.ru. Вызов завершается прокси-сервером sip2@piter.ru, который обнаруживает, что пользователь bob@piter.ru зарегистрировался и работает в настоящее время за компьютером ws12, поэтому вызов INVITE передается на этот компьютер. Далее протокол SIP работает подобно большинству протоколов сигнализации: если пользователь bob@ws12.ru соглашается принять вызов, то он снимает трубку своего SIP-телефона (или щелкает на соответствующем значке своего программного SIP-телефона) и тем самым посылает ответ ОК назад по цепочке. Окончательное установление сеанса фиксируется отправкой сообщения АСК (подтверждение) от вызывающего абонента к вызываемому.

После установления сеанса разговор происходит между телефонами абонентов в рамках протокола RTP.

Существуют также фирменные протоколы IP-телефонии, из которых наиболее известными являются протоколы Skype — очень популярного сервиса интернет-телефонии. Этот сервис к тому же поддерживает такие дополнительные услуги, как видеоконференции, передача мгновенных сообщений, передача файлов между «абонентами.

Связь телефонных сетей через Интернет

На втором этапе развития 1Р-телефонии IP-сеть (Интернет или частная сеть) широко использовалась в качестве транзитной сети между двумя местными телефонными сетями (рис. 23.9). Данная схема реализации общедоступных услуг IP-телефонии стала достаточно популярной во всем мире, в том числе в России. Она заключается в том, что абонент звонит по определенному номеру, который закреплен за провайдером местной телефонной сети, и на звонок отвечает сервер интерактивного голосового ответа (Interactive Voice Response, IVR). IVR-сервер запрограммирован на выполнение рутинных процедур аутентификации вызывающего абонента и приема номера вызываемого абонента. Для этого привлекается техника распознавания голосовых ответов (которыми могут быть и сигналы тонового набора, используемого вызывающим абонентом для ответов на запросы IVR-сервера).

Для реализации услуги IP-телефонии по описанной схеме оператору связи не надо создавать собственную дорогостоящую транспортную инфраструктуру и иметь непосредственный доступ к абонентам. Однако стратегические перспективы такого подхода оставляют желать лучшего из-за плохой масштабируемости и узкого спектра услуг.

Масштабируемость такого варианта ограничивается несколькими факторами. Во-первых, провайдеру приходится устанавливать многочисленные одноранговые связи со своими друзьями-соперниками по бизнесу. Во-вторых, протоколы обеих плоскостей необходимо реализовывать во всех элементах сети IP-телефонии: и в привратниках, и в шлюзах, и в терминалах, что приводит к излишней сложности и дороговизне всех этих устройств. И наконец, пользователям предоставляются только базовые услуги по обработке вызовов, поскольку взаимодействие с протоколами межстанционной сигнализации (SS7) и службами интеллектуальной сети (IN) отсутствует. Эту последнюю группу недостатков нельзя отнести на счет стандартов Н.323, в которых явно не говорится о том, какие протоколы сигнализации должен поддерживать шлюз со стороны телефонной сети. Перечень дополнительных услуг по обработке вызовов определен в спецификации Н.450. Таким образом, это скорее изъян реализации шлюзов того поколения, в которых поддержка SS7 и IN, как правило, отсутствовала.

Узел провайдера услуг IP-телефон и и

Сервер аутентификации с базой данных абонентов

Сервер

биллинга

Интернет _ ^

Узел провайдера услуг IP-телефонии

Кроме того, сам диалог достаточно утомителен — гораздо удобнее просто набрать номер с небольшой приставкой вроде 8-20 и получить доступ к услугам международной IP-телефонии. Но для этого провайдеру нужен прямой доступ к абоненту или договоренность с местными операторами о переадресации таких вызовов на шлюз 1Р-телефонии провайдера с помощью средств интеллектуальной сети (а они пока поддерживаются далеко не всеми местными операторами). Таким образом, для выхода IP-телефонии на более высокий уровень национального или международного оператора требуются другие стандарты и оборудование, чтобы сети, построенные на базе протокола IP, могли равноправно соседствовать с традиционными телефонными сетями.

Многие из необходимых стандартов уже появились и воплощены в новом поколении оборудования, ставшим основой для третьего этапа развития ГР-Уелефонии.

Новое поколение сетей 1Р-телефонии

Укрупненная схема полномасштабной сети IP-телефонии показана на рис. 23.10. Такая сеть может поддерживать собственных абонентов и служить транзитной для традиционных телефонных сетей с оказанием полного спектра услуг, включая услуги интеллектуальной сети.

Эта сеть обладает несколькими отличительными особенностями. Так, в узлах 1Р-телефонии нового поколения произошло четкое разделение функций на три группы:

? транспортную;

? управления вызовами;

? прикладных сервисов.

Транспортная группа образовалась за счет выделения из шлюза функциональной части, выполняющей очень простую операцию — коммутацию между входными и выходными портами (физическими или виртуальными). Этот элемент, получивший название транспортного шлюза (Media Gateway, MG), является своего рода аналогом коммутационного поля телефонной станции.

Следующую группу — группу управления вызовами — составляют протоколы сигнализации IP-телефонии (Н.225.0, RAS из стандарта Н.323 или SIP). К этой группе относят также протоколы управления транспортными шлюзами, которые инициируют действия по коммутации портов. Все перечисленные базовые функции по обработке вызовов сегодня часто реализуются одним устройством — так называемым программным коммутатором (softswitch).

Третья группа функций образует уровень сервисов, реализуемых в виде обычных сетевых приложений универсальными серверами. Примерами таких сервисов являются инициирование телефонного вызова при щелчке на определенной кнопке веб-страницы, передача вызова абоненту, подключенному к Интернету по телефонной сети, а также услуги интеллектуальной сети.

В сетях IP-телефонии второго этапа развития уровень сервисов практически отсутствовал — пользовательские услуги оказывал только IVR-сервер, а остальные прикладные программные системы этого уровня реализовывали внутренние для провайдера функции — аутентификацию, биллинг и т. п. Теперь уровень сервисов поддерживает весь спектр дополнительных услуг, которые могут предоставлять абонентам развитые телефонные коммутаторы городского типа, в том числе и с помощью интеллектуальной сети: переадресацию вызовов в соответствии с различными условиями, телеголосование, бесплатный звонок, звонок по специальному тарифу, сокращенный набор и т. п.

Очень важно, что взаимодействие между уровнями осуществляется через стандартные интерфейсы, а это создает серьезные предпосылки для построения телефонных узлов IP-телефонии на основе продуктов разных производителей с применением общепринятых способов обработки вызовов. Такой унифицированный модульный подход был бы очень привлекателен и при разработке традиционных телефонных сетей, однако производители телефонных коммутаторов обычно реализовывали функции двух нижних уровней и взаимодействие между ними с использованием собственных корпоративных стандартов. Только при создании архитектуры интеллектуальной сети удалось, наконец, воплотить в жизнь принцип независимости верхнего уровня от двух нижних и принять в качестве стандарта межуровневого взаимодействия протокол IN АР (Intelligent Network Application Protocol — прикладной протокол интеллектуальной сети), работающий поверх протоколов системы сигнализации SS7.

Распределенные шлюзы и программные коммутаторы

Масштабируемость коммутации и независимость транспортного уровня от уровня управления вызовами в новом поколении узлов IP-телефонии достигается благодаря применению концепции программного коммутатора. Сам термин «softswitch» получил широкое распространение в названиях продуктов, компаний и неформальных объединений. Ни в одном из современных стандартов нет определения программного коммутатора, но этот маркетинговый термин выделяет в архитектуре распределенного узла IP-телефонии некоторый общий элемент. Данный управляющий элемент отвечает за обработку сообщений протоколов сигнализации, на основании которых происходят соединения: например, протокола Н.225.0 стека Н.323, протокола установления соединений SIP или же протокола сигнализации SS7.

С помощью специального протокола «главный-подчиненный» программный коммутатор управляет транспортными шлюзами, которые, в конечном счете, и осуществляют коммутацию голосовых каналов. Для управления шлюзами сегодня могут использоваться несколько близких по логике работы протоколов: SGCP (Simple Gateway Control Protocol), MGCP (Media Gateway Control Protocol) или MEGACO/H.248. Собственно, стандартом, принятым как IETF, так и ITU-T, является только совместно разработанный ими протокол MEGACO/H.248, однако и предшественники этого стандарта, протоколы SGCP и MGCP, успешно реализуются в продуктах различных производителей. С помощью одного из названных протоколов программный коммутатор выясняет детали текущего состояния соединений и портов шлюза, а также передает ему указания о том, какую пару портов (физических или логических) требуется соединить, и некоторые другие предписания. Таким образом, реализация шлюза может быть весьма простой, а весь интеллект управления соединениями перемещается на уровень программного коммутатора, который в модели распределенной коммутации управляет одновременно несколькими шлюзами. Именно такой вариант показан на рис. 23.10.

В протоколах SGCP, MGCP и MEGACO/H.248 управляющий элемент называется агентом вызова (call agent), однако программный коммутатор — это нечто большее, чем агент управления вызовами. Обычно в продукт с маркой Softswitch производители помещают элементы уровня управления вызовами нескольких стандартов, чтобы такой программный коммутатор мог взаимодействовать с другими зонами телефонной сети по наиболее популярным протоколам сигнализации. Так, в программный коммутатор может входить привратник стандарта Н.323, серверы стандарта SIP (прокси-сервер, сервер переадресации и сервер определения местоположения пользователей), а также шлюзы телефонной сигнализации для преобразования протоколов телефонных сетей в протоколы сигнализации IP-телефонии — те же SIP и Н.225.0 стека Н.323. Широкая поддержка протоколов сигнализации позволяет программному коммутатору находить общий язык практически с любыми типами телефонных сетей, как с традиционными (с коммутацией каналов), так и с пакетными.

Программные коммутаторы — «сердце» современного узла IP-телефонии — осуществляют за единицу времени множество соединений, столько же, сколько телефонные коммутаторы городского и междугородного типов. Высокая степень масштабируемости достигается благодаря распределенной модели коммутации, элементы которой взаимодействуют стандартным образом, что обеспечивает модульное построение узла коммутации.

Новые услуги

В промежуточных устройствах IP-сети не хранится информация о каждом соединении абонентов (компьютеров пользователей) с серверами. Это одно из принципиальных отличий IP-сети от телефонной сети. Коммутаторы телефонной сети, напротив, отслеживают и запоминают состояние каждого вызова, что является одной из причин более высокой стоимости передачи через них транзитного трафика по сравнению с 1Р-маршрутизаторами.

В публикациях по IP-телефонии постоянно подчеркивается, что удешевление звонков и оказание конкурентного давления на сектор традиционной международной телефонии — это краткосрочное преимущество IP-телефонии. Что же касается дальней стратегической перспективы, то основным направлением здесь будет предоставление новых услуг, в том числе интегрированных с услугами по передаче данных и манипулированию данными. К ним относятся:

? Click to Talk — инициирование телефонного разговора при просмотре веб-страницы Web;

? Internet Call Waiting (ICW) — уведомление абонента, подключившегося с помощью телефонной сети к Интернету, о наличии входящего вызова и, возможно, организация параллельного с интернет-сеансом разговора путем пакетной передачи;

? Unified Messaging — организация единой почтовой службы для любых сообщений, в том числе электронной почты, факсов и голоса, с возможностью трансформации вида представления информации.

Разнообразие услуг, их настройка в соответствии с потребностями конкретного пользователя, простота программирования нового предложения, легкость интеграции голосовых услуг с услугами манипулирования данными — это «врожденные» сильные стороны IP-телефонии, ее стратегический потенциал. Часть этих услуг, описываемых стандартами SIP и Н.245 как дополнительные, может предоставлять непосредственно программный коммутатор, более сложные сервисы реализуются с помощью серверов приложений узла 1Р-телефонии.

Интеграция систем адресации Е.164 и DNS на основе ENUM

Одной из проблем современной IP-телефонии является сложность установления соединения, когда инициировавший вызов абонент использует обычный телефонный аппарат, подключенный к традиционной телефонной сети, а вызываемый абонент — компьютер или IP-телефон, соединенный с Интернетом или частной IP-сетью. Сложность подобного соединения связана с применением в общедоступных телефонных сетях и Интернете разных схем адресации — системы телефонных номеров на основе международного стандарта Е.164 и системы имен DNS. И если пользователю компьютера или цифрового IP-телефона не составляет труда набрать телефонный номер для вызова абонента, то представить себе набор DNS-имени с помощью обычного аналогового аппарата довольно сложно.

Для преодоления пропасти между этими видами общедоступных услуг необходимо либо выбрать единую схему идентификации абонентов, либо разработать метод трансляции одной схемы в другую. Предложения ENUM (Е.164 NUmber Mapping — отображение адресов стандарта Е.164) рабочей группы IETF решают задачу вторым способом, и пока этот вариант наиболее близок к немедленной реализации. Подход ENUM, описанный в RFC 3761 (ftp://ftp.rfc-editor.org/in-notes/rfc3761 .txt), состоит в назначении всем абонентам IP-телефонии, подключенным к Интернету или частной IP-сети, идентификаторов еще одного типа — телефонных номеров стандарта Е.164. Однако на конечных узлах и даже сетях, в которых вызов терминируется, эти телефонные номера не используются — они нужны только для идентификации вызываемого абонента стороной-инициатором, применяющей обычный телефон, и маршрутизации вызова в пределах традиционной телефонной сети. Затем телефонные номера преобразуются в имена Интернета с помощью хорошо известной и отлично зарекомендовавшей себя службы — системы доменных имен (DNS).

Используемый при этом подход подобен тому, который применяется для решения обратной задачи — нахождению имени узла по его IP-адресу. С этой целью предлагается создать новую зону е164.агра, куда будут входить территории, соответствующие цифрам телефонного номера, например, зоны верхнего уровня 1, 7, 33, 44 для номеров, принадлежащих абонентам Североамериканского региона, России, Франции и Великобритании соответственно. Домен верхнего уровня агра традиционно отводится для решения обратной задачи — нахождение имени по адресу с помощью зоны in-addr.arpa.

Для преобразования телефонного номера в DNS-имя используется специальный тип записи — Naming Athority Pointer (NAPTR). Изначально данная запись предназначалась для перечисления сервисов, которые поддерживает организация, администрирующая данный домен (RFC 2915). Примером такой записи может служить строка sip:Petrov@firma. ru, сообщающая о том, что с абонентом можно связаться, направив ему вызов по протоколу SIP на имя Petrov@firma.ru. Очевидно, что такие записи будут находиться только в зонах самого нижнего уровня, где располагается база номеров, которую провайдер получил для обслуживания конечных абонентов. Зоны же верхнего уровня будут содержать только обычные ссылки на серверы имен зон более низкого уровня. Итак, если имени Petrov@firma. ru соответствует телефонный номер +7 095 758 35 22, то связанная с этим абонентом запись, возможно, содержится в зоне 8.5.7.5.9.0.7.е164.агра (обратный порядок записи цифр телефонного номера согласуется с принятым в DNS правилом расположения старшей части имени справа, а не слева, как в телефонии). Запись может находиться и в зоне 3.8.5.7.5.9.0.7.е164. агра, если все номера диапазона +7 095 758 Зххх переданы еще более мелкому провайдеру (в предыдущем примере предполагалось, что все номера +7 095 758 хххх принадлежали одному провайдеру). Деление телефонного номера на зоны производится по цифрам в полном соответствии с административной ответственностью каждой конкретной организации за отображение телефонных номеров на DNS-имена (точнее, на URL-адреса, которые в дополнение к DNS-имени имеют префикс, указывающий на протокол доступа к ресурсу). Чем больше уровней подчиненности провайдеров IP-телефонии, тем больше составных компонентов в имени зоны.

Протокол передачи файлов

До появления службы WWW сетевая файловая служба на основе протокола FTP (File Transfer Protocol — протокол передачи файлов), описанная в спецификации RFC 959, долгое время была самой популярной службой доступа к удаленным данным в Интернете и корпоративных 1Р-сетях. FTP-серверы и FTP-клиенты имеются практически в каждой ОС, кроме того, для доступа ко все еще популярным FTP-архивам используются FTP-клиенты, встроенные в браузеры.

Протокол FTP позволяет целиком переместить файл с удаленного компьютера на локальный, и наоборот. FTP также поддерживает несколько команд просмотра удаленного каталога и перемещения по каталогам удаленной файловой системы. Поэтому FTP особенно удобно использовать для доступа к тем файлам, данные которых нет смысла просматривать удаленно, а гораздо эффективней целиком переместить на клиентский компьютер (например, файлы исполняемых модулей приложений).

В протокол FTP встроены примитивные средства авторизации удаленных пользователей на основе передачи по сети пароля в открытом виде. Кроме того, поддерживается анонимный доступ, не требующий указания имени пользователя и пароля; такой способ доступа часто рассматривается как более безопасный, так как он не подвергает пароли пользователей угрозе перехвата.

Основные модули службы FTP

FTP-клиент состоит из трех основных функциональных модулей.

? User Interface (аналог агента пользователя) — пользовательский интерфейс, принимающий от пользователя команды и отображающий состояние FTP-сеанса на экране. Пользовательский интерфейс зависит от программной реализации FTP-клиента. Наряду с традиционными клиентами, работающими в символьном режиме, имеются и графические оболочки, не требующие от пользователя знания символьных команд. Символьные клиенты обычно поддерживают следующий основной набор команд:

О open имя_хоста — открытие сеанса с удаленным сервером;

О bye — завершение сеанса с удаленным хостом и завершение работы утилиты ftp; О close — завершение сеанса с удаленным хостом, утилита ftp продолжает работать;

j *'

О Is (dir) — печать содержимого текущего удаленного каталога;

О get имя файла — копирование удаленного файла на локальный хост;

О put имя_файла — копирование удаленного файла на удаленный сервер.

? User-PI — интерпретатор команд пользователя. Этот модуль взаимодействует с модулем Server-PI FTP-сервера.

? User-DTP — модуль, осуществляющий передачу данных файла по командам, получаемым от модуля User-PI по протоколу клиент-сервер. Этот модуль взаимодействует с локальной файловой системой клиента.

FTP-сервер включает два модуля.

? Server-PI — модуль, который принимает и интерпретирует команды, передаваемые по сети модулем User-PI.

? Server-DTP — модуль, управляющий передачей данных файла по командам от модуля Server-PI. Взаимодействует с локальной файловой системой сервера.

Управляющий сеанс и сеанс передачи данных

FTP-клиент и FTP-сервер поддерживают параллельно два сеанса — управляющий сеанс и сеанс передачи данных. Управляющий сеанс открывается при установлении первоначального FTP-соединения клиента с сервером, причем в течение одного управляющего сеанса может последовательно выполняться несколько сеансов передачи данных, в рамках которых передаются или принимаются несколько файлов.

Общая схема взаимодействия клиента и сервера выглядит следующим образом.

1. FTP-сервер всегда открывает управляющий ТСР-порт 21 для прослушивания, ожидая прихода запроса на установление управляющего FTP-соединения от удаленного клиента.

2. После установления управляющего соединения FTP-клиент отправляет на сервер команды, которые уточняют параметры соединения: имя и пароль клиента, роль участников соединения (активная или пассивная), порт передачи данных, тип передачи, тип передаваемых данных (двоичные данные или код ASCII), директивы на выполнение действий (читать файл, писать файл, удалить файл и т. п.).

3. После согласования параметров пассивный участник соединения переходит в режим ожидания открытия соединения на порт передачи данных. Активный участник инициирует это соединение и начинает передачу данных.

4. После окончания передачи данных соединение по портам данных закрывается, а управляющее соединение остается открытым. Пользователь может по управляющему соединению активизировать новый сеанс передачи данных.

Порты передачи данных выбирает FTP-клиент (по умолчанию клиент может использовать для передачи данных порт управляющего сеанса), а сервер должен задействовать порт, номер которого на единицу меньше номера порта клиента.

Команды взаимодействия FTP-клиента с FTP-сервером

В протоколе FTP предусмотрены специальные команды для взаимодействия FTP-клиента с FTP-сервером (не следует их путать с командами пользовательского интерфейса клиента, ориентированные на применение человеком). Эти команды делятся на три группы.

? Команды управления доступом к системе доставляют серверу имя и пароль клиента, изменяют текущий каталог на сервере, повторно инициализируют, а также завершают управляющий сеанс.

? Команды управления потоком данных устанавливают параметры передачи данных. Служба FTP может применяться для передачи разных типов данных (код ASCII или двоичные данные), работать как со структурированными данными (файл, запись, страница), так и с неструктурированными.

? Команды службы FTP управляют передачей файлов, операциями над удаленными файлами и каталогами. Например, команды RETRhSTOR запрашивают передачу файла соответственно от сервера на клиентский хост, и наоборот. Параметрами каждой из этих команд является имя файла. Может быть задано также смещение от начала файла — это позволяет начать передачу файла с определенного места при непредвиденном разрыве соединения. Команды DELE, MKD, RMD, LIST соответственно удаляют файл, создают каталог, удаляют каталог и передают список файлов текущего каталога. Каждая команда протокола FTP передается в виде одной строки кода ASCII.

Сетевое управление в IP-сетях

Функции систем управления

Любая сложная вычислительная сеть требует дополнительных специальных средств управления помимо имеющихся в стандартных сетевых операционных системах. Это связано с большим количеством разнообразного коммуникационного оборудования, работа которого критически важна для выполнения сетью своих основных функций.

Распределенный характер крупной сети делает невозможным поддержание ее работы без централизованной системы управления сетью (Network Management System, NMS), призванной в автоматическом режиме контролировать сетевой трафик и управлять коммуникационным оборудованием сети.

Системы управления сетью работают, как правило, в автоматизированном режиме, выполняя наиболее простые действия автоматически и оставляя сложные решения для принятия человеку на основе подготовленной системой информации.

Системы управления сетью представляют собой сложные программно-аппаратные комплексы, поэтому существует граница целесообразности их применения. В небольшой сети можно применять отдельные программы управления наиболее сложными устройствами, например коммутатором, поддерживающим технику VLAN. Обычно каждое устройство, которое требует достаточно сложного конфигурирования, производитель сопровождает автономной программой конфигурирования и управления. Однако при росте сети может возникнуть проблема объединения разрозненных программ управления устройствами в единую систему управления, и для решения этой проблемы придется, возможно, отказаться от этих программ и заменить их интегрированной системой управления сетью.

В соответствии с рекомендациями ITU-T Х.700 и стандарта ISO 7498-4 система управления сетью должна решать следующие группы задач;

? Управление конфигурацией сети и именованием заключаются в конфигурировании параметров как элементов сети (Network Element, NE), так и сети в целом. Для элементов сети, таких как маршрутизаторы, мультиплексоры и т. п., путем конфигурирования определяются сетевые адреса, идентификаторы (имена), географическое положение и пр. Для сети в целом управление конфигурацией обычно начинается с построения карты сети, то есть с отображения реальных связей между элементами сети и связей между элементами сети, иллюстрирующих образование новых физических или логи-ческих каналов, изменение таблиц коммутации и маршрутизации.

? Обработка ошибок включает выявление, определение и устранение последствий сбоев и отказов в работе сети.

? Анализ производительности и надежности связан с оценкой на основе накопленной статистической информации таких параметров, как время реакции системы, пропускная способность реального или виртуального канала связи между двумя конечными абонентами сети, интенсивность трафика в отдельных сегментах и каналах сети, вероятность искажения данных при их передаче через сеть, а также коэффициент готовности сети или ее определенной транспортной службы. Результаты анализа производительности и надежности позволяют контролировать соглашение об уровне обслуживания (SLA), заключаемое между пользователем сети и ее администраторами (или компанией, продающей услуги). Без средств анализа производительности и надежности поставщик услуг публичной сети или отдел информационных технологий предприятия не сможет ни проконтролировать, ни тем более обеспечить нужный уровень обслуживания для конечных пользователей сети.

? Управление безопасностью подразумевает контроль доступа к ресурсам сети (данным и оборудованию) и сохранение целостности данных при их хранении и передаче через сеть. Базовыми элементами управления безопасностью являются процедуры аутентификации пользователей, назначение и проверка прав доступа к ресурсам сети, распределение и поддержка ключей шифрования, управления полномочиями и т. п. Часто функции этой группы не включаются в системы управления сетями, а либо реализуются в виде специальных продуктов обеспечения безопасности, например сетевых экранов или централизованных систем авторизации¹, либо входят в состав операционных систем и системных приложений.

? Учет работы сети включает регистрацию времени использования различных ресурсов сети (устройств, каналов и транспортных служб) и ведение биллинговых операций (плата за ресурсы). Ввиду специфического характера оплаты услуг у различных поставщиков и различными формами соглашения об уровне обслуживания, эта группа функций реализуется только в нестандартных системах, разрабатываемых для конкретного заказчика.

В стандартах, определяющих перечисленные функции систем управления, не делается различий между управляемыми объектами — каналами, сегментами локальных сетей, коммутаторами и маршрутизаторами, модемами и мультиплексорами, аппаратным и программным обеспечением компьютеров, однако на практике деление систем управления по типам управляемых объектов широко распространено.

Ставшими классическими системы управления сетями, такие как SunNet Manager, HP OpenView или Cabletron Spectrum, управляют только коммуникационными объектами корпоративных сетей, такими как маршрутизаторы и коммутаторы.

В тех случаях, когда управляемыми объектами являются компьютеры, а также их системное и прикладное программное обеспечение, то для системы управления часто используют особое название система управления системой (System Management System, SMS).

О средствах обеспечения сетевой безопасности читайте в главе 24.

SMS обычно автоматически собирает информацию об установленных в сети компьютерах и создает записи в специальной БД об аппаратных и программных ресурсах. SMS может централизованно устанавливать и администрировать приложения, которые запускаются с файловых серверов, а также удаленно измерять наиболее важные параметры компьютера, операционной системы, СУБД (например, коэффициент использования процессора или физической памяти, интенсивность страничных прерываний и др.). SMS может давать администратору возможность брать на себя удаленное управление компьютером в режиме эмуляции графического интерфейса популярных операционных систем.

Заметим, что в последние годы существует отчетливая тенденция интеграции систем управления сетями и систем управления системами.

Архитектуры систем управления сетями

Основным элементом любой системы управления сетью является схема взаимодействия «менеджер — агент — управляемый объект» (рис. 23.11). На основе этой схемы могут быть построены системы практически любой сложности с большим количеством агентов, менеджеров и ресурсов разного типа.

Чтобы можно было автоматизировать управление объектами сети, создается некоторая модель управляемого объекта, называемая базой данных управляющей информации (Management Information Base, MIB). MIB отражает только те характеристики объекта, которые нужны для его контроля. Например, модель маршрутизатора обычно включает такие характеристики, как количество портов, их тип, таблицу маршрутизации, количество кадров и пакетов протоколов канального, сетевого и транспортного уровней, прошедших через эти порты.

Менеджер и агент работают с одной и той же моделью управляемого объекта, однако в использовании этой модели Агентом и менеджером имеются существенные различия.

Агент наполняет MIB управляемого объекта текущими значениями его характеристик, а менеджер извлекает из MIB данные, на основании которых он узнает, какие характеристики он может запросить у агента и какими параметрами объекта можно управлять. Таким образом, агент является посредником между управляемым объектом и менеджером. Агент поставляет менеджеру только те данные, которые предусматриваются MIB.

Менеджер и агент взаимодействуют по стандартному протоколу. Этот протокол позволяет менеджеру запрашивать значения параметров, хранящихся в MIB, а также передавать агенту информацию, на основе которой тот должен управлять объектом. Обычно менеджер работает на отдельном компьютере, взаимодействуя с несколькими агентами.

Агенты могут встраиваться в управляемое оборудование или работать на отдельном компьютере, связанном с управляемым оборудованием. Для получения требуемых данных об объекте, а также для выдачи на него управляющих воздействий агент должен иметь возможность взаимодействовать с ним. Однако многообразие типов управляемых объектов не позволяет стандартизовать способ взаимодействия агента с объектом. Эта задача решается разработчиками при встраивании агентов в коммуникационное оборудование или в операционную систему. Агент может снабжаться специальными датчиками для получения информации, например датчиками релейных контактов или датчиками температуры. Агенты могут отличаться разным уровнем интеллекта: обладать как самым минимальным интеллектом, необходимым для подсчета проходящих через оборудование кадров и пакетов, так и весьма высоким, достаточным для самостоятельных действий по выполнению последовательности управляющих команд в аварийных ситуациях, построению временных зависимостей, фильтрации аварийных сообщений и т. п.

дежнее, так как соответствующее оборудование может выполнять свои функции даже тогда, когда те или иные сетевые элементы выходят из строя, и основные каналы передачи данных оказываются недоступными.

Схема «менеджер — агент — управляемый объект» позволяет строить достаточно сложные в структурном отношении распределенные системы управления (рис. 23.12).

Каждый агент, показанный на рисунке, управляет одним или несколькими элементами сети, параметры которых он помещает в соответствующую базу MIB. Менеджеры извлекают данные из баз MIB своих агентов, обрабатывают их и хранят в собственных базах данных. Операторы, работающие за рабочими станциями, могут соединиться с любым из менеджеров и с помощью графического интерфейса просмотреть данные об управляемой сети, а также выдать менеджеру некоторые директивы по управлению сетью или ее элементами.

Наличие нескольких менеджеров позволяет распределить между ними нагрузку по обработке данных управления, обеспечивая масштабируемость системы. Как правило, используются два типа связей между менеджерами, одноранговая (рис. 23.13) и иерархическая (рис. 23.14).

В случае одноранговых связей каждый менеджер управляет своей частью сети на осно ийформации, получаемой от нижележащих агентов. Центральный менеджер отсутствуй Координация работы менеджеров достигается за счет обмена информацией между база» данных менеджеров. Одноранговое построение системы управления сегодня считает неэффективным и устаревшим.

Значительно более гибким является иерархическое построение связей между менеджер ми. Каждый менеджер нижнего уровня выполняет также функции агента для менедже верхнего уровня. Такой агент работает уже с укрупненной моделью MIB своей части сет В такой базе MIB собирается именно та информация, которая нужна менеджеру верхне уровня для управления сетью в целом.

Модель «менеджер — агент — управляемый объект» лежит в основе таких популярш стандартов управления, как стандарты Интернета на основе протокола SNMP и станда ты управления ISO/OSI на основе протокола CMIP (Common Management Informatic Protocol — протокол общей управляющей информации).

Более подробную информацию об этом вы можете найти на сайте www.olifer.co.uk в разделе «Системы управления сетью на основе протокола SNMP».

Выводы

С точки зрения пользователей компьютерные сети представляют собой набор служб (сервисо! таких как электронная почта, WWW, интернет-телефония и интернет-телевидение.

Электронная почта — это распределенное приложение, которое построено в архитектуре кпиен сервер и главной функцией которого является предоставление пользователям сети возможное обмениваться электронными сообщениями. Почтовый клиент и почтовый сервер применяют в сво работе специально разработанные для почтовых систем протоколы SMTP, POP3 и IMAP.

Важнейшей сетевой службой является World Wide Web (WWW), или Всемирная паутина; благода| которой люди получили возможность доступа к огромному объему информации в удобном для н виде и в удобное для них время.

Клиентская часть веб-службы, называемая также браузером, представляет собой приложение, к торое устанавливается на компьютере конечного пользователя и одной из важных функций которо является поддержание графического пользовательского интерфейса.

Веб-сервер — это программа, хранящая объекты локально в каталогах компьютера, на котором oi запущена, и обеспечивающая доступ к этим объектам по URL-адресам.

Клиент и сервер веб-службы связываются через сеть по протоколу передачи гипертекста HTTP. IP-телефония — это сервис, который обеспечивает коммутируемые голосовые соединения преим щественно по схеме «один к одному» и который поддерживается сетью, использующей протокол в форме общедоступного Интернета или частной IP-сети.

Важнейшим событием в IP-телефонии стало появлением стандартов группы Н.323, разработанж ITU-T, и стандартов на основе протокола SIP, разработанных IETF.

Новое поколение IP-телефонии поддерживает широкий спектр услуг, подобный тому, который пред ставляют абонентам развитые телефонные сети.

Файловая служба на основе протокола FTP позволяет пользователям удаленных компьютеров о мениваться файлами. FTP-серверы и FTP-клиенты имеются практически в каждой ОС, кроме тог для доступа к FTP-архивам служат FTP-клиенты, встроенные в браузеры.

Системы управления сетью позволяют в автоматическом режиме контролировать сетевой траф| и управлять коммуникационным оборудованием сети. Большинство современных систем управлеж сетью построены на основе протокола SNMP.

Вопросы и задания

1. Известно, что единственным идентификатором получателя электронной почты, в том числе в схеме с выделенным почтовым сервером, является символьный адрес вида name@domain.com. Каким образом письмо находит путь к почтовому серверу, обслуживающему данного получателя?

2. Заполните таблицу, описывающую свойства почтовых протоколов ШАР, POP3 и SMTP

4. Что вы можете сказать о HTTP-сообщении вида НТТР/1.1 200 ОК? Варианты ответов:

а) НТТР-запрос;

б) НТТР-ответ;

в) 200 — это код состояния;

г) 200 — это объем переданной информации;

д) ОК означает, что информация зашифрована открытым ключом;

е) ОК означает, «все в порядке!»

5. Что вы можете сказать о протоколе SIP? Варианты ответов:

а) протокол веб-службы;

б) протокол 1Р-телефонии;

в) входит в семейство протоколов Н.323;

г) похож на протокол HTTP;

д) выполняет примерно те же функции, что и протоколы Q.931, RAS и Н.245.

6. Что входит в функции привратника? Варианты ответов:

а) трансляция DNS-имен в телефонные номера;

б) открытие и закрытие сеанса связи;

в) регистрация и<аЬторизация абонентов;

г) маршрутизация вызовов к IP-телефону.

7. Что такое MIB в системе управления сетью? Варианты ответов:

а) модель управляемого объекта;

б) база данных управляющей информации;

в) протокол взаимодействия агента и менеджера системы управления сетью;

г) набор характеристик объекта, необходимых для его контроля.

ГЛАВА 24 Сетевая безопасность

Обеспечение безопасности названо первой из пяти главных проблем Интернета в программе, ствий новой международной инициативы построения Интернета будущего (Future Internet Dei FIND). Инициатива FIND направлена на разработку принципов организации того Интернета, кото будет служить нам через 15 лет, поэтому участники этой инициативы стараются взглянуть на Инте^ свежим взглядом и, возможно, найти новые подходы к его организации.

Сегодня же Интернет представляет собой эффективную, но вместе с тем и непредсказуемую ср полную разнообразных угроз и опасностей.

Большая группа угроз связана с несовершенством протоколов, в частности протоколов стека Т IP. Известно, что эти протоколы разрабатывались в то время, когда проблема обеспечения инф мационной безопасности еще не стояла на повестке дня. Сообщество пользователей Интерн представляло собой ограниченный круг заинтересованных в эффективной работе Сети специа стов, и уж, конечно, никто не покушался на ее работоспособность. Создаваемые в такой «тепл ной» атмосфере протоколы не содержали механизмов, позволяющих противостоять возможн (тогда только теоретически) атакам злоумышленников. Например, хотя в протоколах FTP и tel и предусмотрена аутентификация, клиент передает пароль серверу по сети в незашифровань виде, а значит, злоумышленник может перехватить его и получить доступ к FTP-архиву. Сейчас mi гие из потенциально опасных механизмов, встроенных в протоколы, уже исправлены, и некотор проблемы, обсуждаемые в этой главе, не являются актуальными, а носят, скорее, историчес* и учебный характер.

Многообразие угроз порождает многообразие методов защиты. В этой главе мы будем обсужд все основные технологии обеспечения информационной безопасности: аутентификацию и ав ризацию, шифрование и антивирусные средства, сетевые экраны и прокси-серверы, защищенн каналы и виртуальные частные сети.

Основные понятия информационной безопасности

Определение безопасной системы

Под информационной безопасностью понимается состояние защищенности информационной системы, включая собственно информацию и поддерживающую ее инфраструктуру. Информационная система находится в состоянии защищенности, если обеспечены ее конфиденциальность, доступность и целостность.

Конфиденциальность (confidentiality) — это гарантия того, что секретные данные будут доступны только тем пользователям, которым этот доступ разрешен; такие пользователи называются легальными, или авторизованными.

Доступность (availability) — это гарантия того, что авторизованные пользователи всегда получат доступ к данным.

Целостность (integrity) — это гарантия сохранности данными правильных значений, которая обеспечивается запретом неавторизованным пользователям каким-либо образом изменять, модифицировать, разрушать или создавать данные.

Требования безопасности могут меняться в зависимости от назначения информационной системы, характера используемых данных и типа возможных угроз. Трудно представить систему, для которой были бы не важны свойства целостности и доступности, но свойство конфиденциальности не всегда является обязательным. Например, если вы публикуете информацию в Интернете на веб-сервере и вашей целью является сделать ее доступной для самого широкого круга людей, конфиденциальность не требуется. Однако требования целостности и доступности остаются актуальными.

Действительно, если вы не предпримете специальных мер по обеспечению целостности системы, злоумышленник может изменить данные на вашем сервере и нанести этим ущерб вашему предприятию. Преступник может, например, внести изменения в помещенный на веб-сервере прайс-лист, что негативно отразится на конкурентоспособности вашего предприятия, или испортить коды свободно распространяемого вашей фирмой программного продукта, что, безусловно, скажется на ее деловой репутации.

Не менее важным в данном примере является и обеспечение доступности данных. Затратив немалые средства на создание и поддержание сервера в Интернете, предприятие вправе рассчитывать на отдачу: увеличение числа клиентов, количества продаж и т. д. Однако существует вероятность того, что злоумышленник предпримет атаку, в результате которой помещенные на сервер данные станут недоступными для тех, кому они предназначались. Примером таких злонамеренных действий может служить «бомбардировка» сервера пакетами, каждый из которых в соответствии с логикой работы соответствующего протокола вызывает тайм-аут сервера, что, в конечном счете, делает его недоступным для всех остальных запросов.

Понятия конфиденциальности, доступности и целостности могут быть определены не только по отношению к информации, но и к другим ресурсам вычислительной сети, таким как внешние устройства или приложения. Так, свойство конфиденциальности по отношению, например, к устройству печати можно интерпретировать так, что доступ к устройству имеют те и только те пользователи, которым этот доступ разрешен, причем они могут выполнять только те операции с устройством, которые для них определены.

Свойство доступности устройства означает его готовность к работе всякий раз, когда в этс возникает необходимость. А свойство целостности может быть определено как свойст] неизменности параметров данного устройства.

Легальность использования сетевых устройств важна не только постольку-поскольку oi влияет на безопасность данных. Устройства могут предоставлять различные услуги (ра печатка текстов, отправка факсов, доступ в Интернет, электронная почта и т. п.), незако ное потребление которых, наносящее материальный ущерб предприятию, также являете нарушением безопасности системы.

Угроза, атака, риск

Угроза - любое дейдонр* *отор0***о^

Атака —реализованная угроза,

Риск

ЙНф0^Ц№НЙдГ&

Угрозы могут исходить как от легальных пользователей сети, так и от внешних злоумьп ленников. В последние два года в статистике нарушений безопасности зафиксировг резкий сдвиг от внешних к внутренним угрозам. Примерно 2/3 от общего числа вес наиболее серьезных инцидентов, связанных с безопасностью, составляют нарушения < стороны легальных пользователей сетей: сотрудников и клиентов предприятий, студенте имеющих доступ к сети учебного заведения и др. Вместе с тем внутренние атаки обыч* наносят меньший ущерб, чем внешние.

Угрозы со стороны легальных пользователей делятся на:

? умышленные;

? неумышленные.

К умышленным угрозам относятся, например, мониторинг системы с целью получен* персональных данных других сотрудников (идентификаторов, паролей) или конфигуращ онных параметров оборудования. Это может быть также злонамеренное получение досту1 к конфиденциальным данным, хранящимся на серверах и рабочих станциях сети «родногс предприятия с целью их похищения, искажения или уничтожения; прямое «вредител ство» — вывод из строя сетевого программного обеспечения и оборудования. Кроме тог к умышленным угрозам относится нарушение персоналом правил, регламентирующ* работу пользователей в сети предприятия: посещение запрещенных веб-сайтов, вынос; пределы предприятия съемных носителей, небрежное хранение паролей и другие подобнь нарушения режима. Однако не меньший материальный ущерб предприятию может бьп нанесен в результате Неумышленных нарушений персонала — ошибок, приводящих к ш вреждению сетевых устройств, данных, программного обеспечения.

Угрозы внешних злоумышленников, называемых также хакерами, по определению являютс умышленными и обычно квалифицируются как преступления. Среди внешних нарушит лей безопасности встречаются люди, занимающиеся этой деятельностью профессионалы или просто из хулиганских побуждений. Целью, которой руководствуются внешние зло умышленники, всегда является нанесение вреда предприятию. Это может быть, например получение конфиденциальных данных, которые могут быть использованы для снятия дене с банковских счетов, или установление контроля над программно-аппаратными средствам! сети для последующего их использования в атаках на сети других предприятий.

Как правило, атака предваряется сбором информации о системе (mapping), которая по могает не только эффективно спланировать атаку, но и скрыть все следы проникновение в систему. К полезной для хакера информации относятся типы операционных систем и при ложений*развернутых в сети, IP-адреса, номера портов клиентских частей приложений имена и пароли пользователей. Часть информации такого рода может быть получена путел простого общения с персоналом (это называют социальным инжинирингом), а часть -с помощью тех или иных программ. Например, определить IP-адреса можно с помощьи утилиты ping, задавая в качестве цели адреса из некоторого множества возможных адресов Если при очередном запуске программы ping пришел ответ, значит, произошло совпаденш заданного адреса с адресом узла в атакуемой сети.

Для подготовки и проведения атак могут использоваться либо специально разработанньи для этих целей программные средства, либо легальные программы «мирного» назначения Так, последний пример показывает, как легальная программа ping, которая создавалаа в качестве инструмента диагностики сети, может быть применена для подготовки атаки

При проведении атак злоумышленнику важно не только добиться своей цели, заклю чающейся в причинении ущерба атакуемому объекту, но и уничтожить все следы своей участия в этом. Одним из основных приемов, используемых злоумышленниками длз «заметания следов», является подмена содержимого пакетов (spoofing). В частности, длз сокрытия места нахождения источника вредительских пакетов (например, при атаке отказ; в обслуживании) злоумышленник изменяет значение поля адреса отправителя в заголовка: пакетов. Поскольку адрес отправителя генерируется автоматически системным программ ным обеспечением, злоумышленник вносит изменения в соответствующие программны! модули так, чтобы они давали ему возможность отправлять со своего компьютера пакеть с любыми IP-адресами.

Типы и примеры атак

Атаки отказа в обслуживании

Атаки отказа в обслуживании (Denial of Service, DoS) направляются обычно на информа ционные серверы предприятия, функционирование которых является критически важныл условием для работоспособности всего предприятия. Чаще всего объектами DOS-aTai становятся основные веб-серверы, файловые и почтовые серверы предприятия, а такж! корневые серверы системы DNS.

Для проведения DoS-ауак злоумышленники часто координируют «работу» нескольки: компьютеров (как правило, без ведома пользователей этих компьютеров). Говорят, чт< в таких случаях имеет место распределенная атака отказа в обслуживании (Distributee Denial of Service, DDoS). Злоумышленник, захватив управление над группой удаленны: компьютеров, «заставляет» их посылать пакеты в адрес узла-жертвы (рис. 24.1). Полу чившийся в результате мощный суммарный поток «затопляет» атакуемый компьютер вызывая его перегрузку и, в конечном счете, делает его недоступным. Блокировка происходит в результате исчерпания ресурсов либо процессора, либо операционной системы, либо канала связи (полосы пропускания).

А теперь рассмотрим более конкретный пример проведения DoS-атаки, в которой используются особенности протокола TCP. Как мы уже обсуждали в главе 17, для установления логического соединения по протоколу TCP узлы должны обменяться тремя пакетами (рис. 24.2, а): сначала инициатор соединения посылает пакет с флагом SYN, на который сервер отвечает пакетом с установленными флагами ASK и SYN. Завершает процедуру пакет от узла-инициатора с флагом SYN.

Для выполнения атаки злоумышленник организует передачу на сервер массированного потока пакетов с флагом SYN, каждый из которых инициирует создание нового ТСР-соединения (рис. 24.2, б). Получив пакет с флагом SYN, сервер выделяет для нового соединения необходимые ресурсы и в полном соответствии с протоколом отвечает клиенту пакетом с флагами ASK и SYN. После этого, установив тайм-аут, он начинает ждать от клиента завершающий пакет с флагом ASK, который, увы, так и не приходит. Аналогичным образом создается множество других «недоустановленных» соединений. В результате возникает перегрузка сервера, все его ресурсы идут на поддержание множества соединений, процедуры установления которых остались незавершенными. В таком состоянии сервер уже не способен отвечать на запросы, посылаемые приложениями легальных пользователей, в результате злоумышленник достигает своей цели.

б

Рис. 24.2. Проведение DoS-атаки, в которой используются особенности протокола TCP: а — нормальный порядок установления TCP-соединения; б — DDoS-атака за счет создания множества незакрытых ТСР-соединений

Подобный подход носит универсальный характер. Например, атака может быть осуществлена путем передачи уязвимому приложению потока запросов, синтаксически правильных, но специально сконструированных, так, чтобы вызвать перегрузку. Так, для некоторых версий веб-сервера Apache губительным оказывается поток запросов, каждый из которых содержит большое количество заголовков HTTP или символов «/».

Перехват и перенаправление трафика

Следующий тип атак имеет целью направить трафик атакуемого компьютера по ложному адресу, в качестве которого может выступать адрес либо злоумышленника, либо третьей стороны. Потоком данных, который пользователь посылает, например, на свой корпоративный сервер или сервер банка, злоумышленник может распорядиться двумя способами. Первый состоит в том, что злоумышленник маскируется под сервера адресата, передавая клиенту ту «картинку» и те сообщения, которые тот ожидает. Так, злоумышленник может имитировать для пользователя-жертвы процедуру логического входа, получая при этом идентификатор и пароль пользователя. Эти данные в дальнейшем могут применяться для несанкционированного доступа к серверу предприятия или банка, которые и являются главной целью атаки. Второй способ заключается в организации транзита трафика. Каждый перехваченный пакет запоминается и/или анализируется на атакующем узле, а после этого переправляется на «настоящий» сервер. Таким образом весь трафик между клиентом и сервером пропускается через компьютер злоумышленника.

Рассмотрим некоторые приемы, используемые сейчас (или в недалеком прошлом) при проведении атак данного типа. Для большинства из них уже разработаны средства противодействия, и приводимые здесь описания атак носят в основном учебный характер.

Простейший вариант перенаправления трафика в локальной сети может быть осуществлен путем отправки в сеть ложного ARP-omeema. (Оставим в стороне вопрос, насколько часто может возникнуть такая ситуация, когда злоумышленник заинтересован в перехвате трафика собственной локальной сети.) В данном случае схема очевидна: получив широковещательный ARP-запрос относительно некоторого IP-адреса, злоумышленник посылает ложный ARP-ответ, в котором сообщается, что данному IP-адресу соответствует его собственный МАС-адрес.

Для перехвата и перенаправления трафика в локальной сети теоретически может также использоваться протокол ICMP. В соответствии с данным протоколом ICMP-сообщение о перенаправлении маршрута маршрутизатор по умолчанию посылает хосту непосредственно присоединенной локальной сети при отказе этого маршрута или в тех случаях, когда обнаруживает, что для некоторого адреса назначения хост использует нерациональный маршрут. На рис. 24.3, а применяемый по умолчанию маршрутизатор R1, получив от хоста Н1 пакет, адресованный хосту Н2, определяет, что наилучший маршрут к хосту Н2 пролегает через другой маршрутизатор данной локальной сети, а именно через маршрутизатор R2. Маршрутизатор R1 отбрасывает полученный пакет и помещает его заголовок в ЮМР-сообщение о перенаправлении маршрута, которое посылает хосту Н1. В сообщении содержится IP-адрес альтернативного маршрутизатора R2, который хост теперь должен использовать, посылая данные хосту Н2. Хост Н1 вносит изменения в свою таблицу маршрутизации и с этого момента отправляет пакеты хосту Н2 по новому скорректированному маршруту Для перехвата трафика, направляемого хостом Н1 хосту Н2, злоумышленник должен сформировать и послать хосту Н1 пакет, маскирующийся под ЮМР-сообщение о перенаправлении маршрута (рис. 24.3, б). В этом сообщении содержится запрос о корректировке таблицы маршрутизации хоста Н1, так чтобы во всех пакетах с адресом 1Рн2 адресом следующего маршрутизатора стал адрес 1Рна> являющийся адресом хоста-злоумышленника НА. Для того чтобы хост «поверил» этому сообщению, в поле IP-адреса отправителя должен быть помещен адрес маршрутизатора R1, являющегося маршрутизатором по умолчанию. Когда пакеты, передаваемые введенным в заблуждение хостом, начнут поступать на узел злоумышленника, он может либо захватывать и не передавать эти пакеты дальше, имитируя для поддержания диалога приложение, которому эти пакеты предназначались, либо организовать транзитную передачу данных по указанному адресу назначения 1Рн2-Читая весь трафик между узлами Н1 и Н2, злоумышленник получает все необходимую информацию для несанкционированного доступа к серверу Н2.

Еще одним способом перехвата трафика является использование ложных DNS-omeemoe (рис. 24.4). Задача злоумышленника состоит в получении доступа к корпоративному серверу. Для этого ему нужно завладеть именем и паролем авторизованного пользователя корпоративной сети. Эту информацию он решает получить путем ответвления потока данных, которые корпоративный клиент посылает корпоративному серверу. Злоумышленник знает, что клиент обращается к серверу, указывая его символьное DNS-имя www. example.com. Известно ему также, что перед тем как отослать пакет серверу, программное обеспечение клиентской машины направляет запрос DNS-серверу, чтобы узнать, какой IP-адрес соответствует этому имени.

Цель злоумышленника — опередить ответ DNS-сервера и навязать клиенту свой вариант ответа, в котором вместо IP-адреса корпоративного сервера (в примере 193.25.34.125) злоумышленник указывает IP-адрес атакующего хоста (203.13.1.123). На пути реализации этого плана имеется несколько серьезных препятствий.

Прежде всего необходимо задержать ответ DNS-сервера, для этого сервер, например, может быть подвергнут DoS-атаке. Другая проблема связана с определением номера порта клиента DNS, который необходимо указать в заголовке пакета, чтобы данные дошли до приложения. И если серверная часть DNS имеет постоянно закрепленный за ней так называемый «хорошо известный» номер 53, то клиентская часть протокола DNS получает номер порта динамически при запуске, причем операционная система выбирает его из достаточно широкого диапазона.

Заметим, что протокол DNS может использовать для передачи своих сообщений как протокол UDP, так и протокол TCP, в зависимости от того, как он будет сконфигурирован администратором. Поскольку протокол TCP устанавливает логическое соединение с отслеживанием номеров посланных и принятых байтов, «вклиниться» в диалог клиента и сервера в этом случае гораздо сложнее, чем в случае, когда используется дейтаграммный протокол UDP.

Однако и в последнем случае остается проблема определения номера UDP-порта клиента DNS. Эту задачу злоумышленник решает путем прямого перебора всех возможных номеров. Также путем перебора возможных значений злоумышленник преодолевает проблему определения^дентификаторов DNS-сообщений. Эти идентификаторы передаются в DNS-сообщениях и служат для того, чтобы клиент системы DNS мог установить соответствие поступающих ответов посланным запросам. Итак, злоумышленник бомбардирует клиентскую машину ложными DNS-ответами, перебирая все возможные значения идентифицирующих полей так, чтобы клиент, в конце концов, принял один из них за истинный DNS-ответ. Как только это происходит, цель злоумышленника можно считать достигнутой — пакеты от клиента направляются на адрес атакующего хоста, злоумышленник получает в свое распоряжение имя и пароль легального пользователя, а с ними и доступ к корпоративному серверу.

Внедрение в компьютеры вредоносных программ

Многочисленная группа атак связана с внедрением в компьютеры вредоносных программ (malware), к числу которых относятся троянские и шпионские программы, черви, вирусы, спам, логические бомбы и некоторые другие типы программ, нацеленные на нарушение информационной безопасности.

Эти программы могут проникать на атакуемые компьютеры разными путями. Самый простой из них — «самодоставка», когда пользователь загружает файлы из непроверенных источников (съемных носителей или веб-сайтов) либо беспечно открывает подозрительный файл, пришедший к нему по электронной почте. Существуют и более сложные представители вредоносных программ, обладающие собственными механизмами «размножения», копии таких программ распространяются по компьютерам сети без участия пользователей.

Ущерб, наносимый вредоносными программами, может выражаться не только в уничтожении, искажении или похищении информации, приведении в нерабочее состояние программного обеспечения, а значит, и компьютера в целом, но и в значительных затратах времени и сил администраторов на обнаружение и распознавание атак, фильтрацию внешних сообщений, тестирование и перезагрузку систем. Вредоносные программы в начале этого десятилетия были одной из основных причин нарушения безопасности компьютерных сетей. Однако как показала статистика, в последние два года суммарный ущерб, нанесенный вредоносными программами предприятиям, резко снизился. Это связывают, в том числе, с улучшением качества антивирусных средств и ужесточением наказаний за такого рода преступления.

Прежде чем перейти к рассмотрению конкретных типов вредоносных программ, заметим, что на практике злоумышленники часто сочетают в одной и той же программе различные типы угроз. Например, некоторые черви способны маскироваться под троянские программы или подобно вирусам заражать исполняемые файлы на локальном диске, а некоторые вирусы наделены способностями червей самокопироваться на другие компьютеры. Кроме того, вы можете встретить и другую классификацию вредоносных программ, где, скажем, троянские программы и черви рассматриваются как разновидности вирусов.

Троянские программы

Троянские программы, или трояны (trojan), — это разновидность вредоносных программ, которые наносят ущерб системе, маскируясь под какие-либо полезные приложения.

Троянские программы могут применять в качестве прикрытия знакомые пользователю приложения, с которыми он работал и раньше, до появления в компьютере «троянского коня». При другом подходе в полном соответствии с древней легендой троянская программа принимает вид нового приложения, которое пытается заинтересовать пользователя-жертву какими-то своими якобы полезными функциями.

Однако суть троянской программы и в том и в другом случаях остается вредительской: она может уничтожать или искажать информацию на диске, передавать данные (например, пароли) с «зараженного» компьютера на удаленный компьютер хакера, приводить в неработоспособноесостояние установленное на атакованном компьютере программное обеспечение, участвовать в проведении DoS-атак на другие удаленные компьютеры. Так, одна из известных троянских программ AIDS TROJAN DISK7, разосланная нескольким тысячам исследовательских организаций на дискете, при запуске перемешивала символы в именах всех файлов и заполняла все свободное пространство жесткого диска. После этого программа от имени злоумышленника предлагала помощь в восстановлении диска, требуя взамен вознаграждение для автора этой программы. (Злоумышленники могут также шантажировать пользователя, зашифровывая его данные.) Кстати, описанное компьютерное преступление завершилось поимкой хакера-шантажиста.

Троянские программы могут быть отнесены к самому простому по реализации виду вредоносных программ.

Сетевые черви

чедои(удат) — это программы, способные к самостоятельному распространению yttfpe локальной сети, а также по глобальным связям, перемещаясь

' от bfyittrp компьютера к|р?Рбму без всякого участия в этом процессе пользователей сети.

Поскольку большинство сетевых червей передаются в виде файлов, основным механизмом их распространения являются сетевые службы, основанные на файловом обмене. Так, червь может рассылать свои копии по сети в виде вложений в сообщения электронной почты или путем размещения ссылок на зараженный файл на каком-либо веб-сайте. Однако существуют и другие разновидности червей, которые для своей экспансии используют более сложные приемы, например, связанные с ошибками («дырами») в программном обеспечении.

Главная цель и результат деятельности червя состоит в том, чтобы передать свою копию на максимально возможное число компьютеров. При этом для поиска компьютеров — новых потенциальных жертв — черви задействуют встроенные в них средства. Типичная программа-червь не удаляет и не искажает пользовательские и системные файлы, не перехватывает электронную почту пользователей, не портит содержимое баз данных, а наносит вред атакованным компьютерам путем потребления их ресурсов. Если червь обладает возможностью повторного заражения, то число его копий растет лавинообразно, и вредоносные программы все более и более загружают процессор, захватывая новые области памяти, отбирая пропускную способность сетевых соединений, пока, наконец, программы легальных пользователей не потеряют возможность выполняться.

При создании типичного сетевого червя хакер, прежде всего, определяет перечень сетевых уязвимостей, которые он собирается использовать для проведения атак средствами создаваемого червя. Такими уязвимостями могут быть как известные, но не исправленные на некоторых компьютерах ошибки в программном обеспечении, так и пока неизвестные никому ошибки, которые обнаружил сам хакер. Чем шире перечень уязвимостей и чем более они распространены, тем больше узлов может быть поражено данным червем.

Червь состоит из двух основных функциональных компонентов: атакующего блока и блока поиска целей.

? Атакующий блок состоит из нескольких модулей (векторов атаки), каждый из которых рассчитан на поражение конкретного типа уязвимости. Этот блок открывает «входную дверь» атакуемого хоста и передает через нее свою копию.

? Блок поиска целей (локатор) собирает информацию об узлах сети, а затем на основании этой информации определяет, какие из исследованных узлов обладают теми уязвимостями, для которых хакер имеет средства атаки.

Эти два функциональных блока являются обязательными и присутствуют в реализации любой программы-червя. Некоторые черви нагружены их создателями и другими вспомогательными функциями, о которых мы скажем позже.

Упрощенно жизненный цикл червя может быть описан рекурсивной процедурой, состоящей из циклического запуска локатора и атакующего блока на каждом из последующих заражаемых компьютеров (рис. 24.5).

В начале каждого нового цикла червь, базирующийся на захваченном в результате предыдущей атаки компьютере, запускает локатор для поиска и формирования списка узлов-целей, пригодных для проведения каждой из специфических атак, а затем, используя средства атакующего блока, пытается эксплуатировать уязвимости узлов из этого списка. В результате успешной атаки червь копирует все свои программы на «новую территорию» и активирует локатор. После этого начинается новый цикл. На рисунке показано, как червь лавинообразно распространяется по сети. Заражение тысяч компьютеров может занять всего несколько минут. Некоторые виды червей не нападают на уже зараженные и/или подвергающиеся атаке в данный момент узлы. Если же такая проверка не предусмотрена в алгоритме работы червя, то в сети случайным образом могут возникать очаги стихийных DoS-атак.

Локатор идентифицирует цели по адресам электронной почты, IP-адресам, характеристикам установленных на хостах операционных систем, номерам портов, типам и версиям приложений.

Для сбора информации локатор может предпринимать действия, связанные как с поисками интересующих данных на захваченном им в данный момент хосте, так и путем зондирования сетевого окружения. Простейший способ получить данные локально — прочитать файл, содержащий адресную книгу клиента электронной почты⁷⁷. Помимо почтовых адресов, локатор может найти на узле базирования другие источники информации, такие как таблицы конфигурационных параметров сетевых интерфейсов, ARP-таблицы и таблицы маршрутизации. Зная IP-адреса хоста базирования и шлюзов, локатор достаточно просто может определить IP-адреса других узлов этой сети. Для идентификации узлов локатор может также использовать ICMP-сообщения или запросы ping, указывая в качестве адресов назначения все возможные IP-адреса. Для определения того, какие приложения работают на том или ином хосте, локатор сканирует различные хорошо известные номера TCP- и UDP-портов. Определив тип приложения, локатор пытается получить более детальные характеристики этого приложения.

Например, пусть некоторая программа-червь имеет в своем арсенале средства для атаки на некоторые версии веб-сервера Apache. Для поиска потенциальных жертв локатор этого червя зондирует узлы сети, посылая умышленно ошибочные запросы к веб-серверу:

GET / HTTP/1.l

Узел, на котором установлен сервер Apache, отвечает на такой запрос так, как и рассчитывал разработчик червя, то есть сообщением об ошибке, например, это может быть сообщение такого вида:

НТТР/1.1 400 Bad Request

Date: Mon, 23 Feb 2004 23:43:42 GMT

Server: Apache/1.3.19 (UNIX) (Red-Hat/Linux) mod_ssl/2.8.1

0penSSL/0.9.6 DAV/1.0.2 PHP/4.0.4pll mod_perl/1.24_01

Connection: close

Transfer-Encoding: chunked

Content-Type: text/html; charset=iso-8859-1

Из этого ответа локатор узнает о том, что на узле установлен веб-сервер Apache версии 1.3.19. Для червя этой информации может быть достаточно, чтобы внести данный узел в число целей.

Собрав данные об узлах сети, локатор анализирует их подобно тому, как это делает хакер при поиске уязвимых узлов. Для атаки выбираются узлы, удовлетворяющие некоторым условиям, которые говорят о том, что данный узел возможно обладает уязвимостями нужного типа (для них еI атакующем блоке есть средства нападения). Понятно, что при таком «предположительном» способе отбора целей не всякая предпринятая атака обязательно приводит к успеху. Неудача рассматривается атакующим блоком червя как штатная ситуация, он просто сворачивает все свои действия, направленные на не поддавшийся атаке узел, и переходит к атаке следующей цели из списка, подготовленного локатором. Рассмотрим более подробно, как работает атакующий блок червя. Среди механизмов, позволяющих червю передать свою копию на удаленный узел, наиболее длинную историю имеет уязвимость ошибки переполнения буфера. Этот достаточно распространенный вид уязвимости связан с неправильной работой некоторых программ, когда у них переполняется буфер.

При трансляции программ, написанных на многих языках программирования, в исполняемом (объектном) модуле в сегменте локальных переменных отводится место для буферов, в которые будут загружаться данные при выполнении процедур ввода. Например, в программе веб-сервера должен быть предусмотрен буфер для размещения запросов, поступающих от клиентов. Причем размер буфера должен быть равен максимально допустимой для данного протокола длине запроса. В том же сегменте локальных переменных транслятор размещает команду возврата из процедуры, которой будет передано управление при завершении процедуры (рис. 24.6, а).

Ддя правильной работы программы очень важно, чтобы вводимые данные (в нашем примере — запрос клиента) всегда укладывались в границы отведенного для них буфера. В противном случае эти данные записываются поверх команды возврата из процедуры. А это, в свою очередь, означает, что процедура не сможет завершиться корректно: при передаче управления на адрес команды возврата процессор будет интерпретировать в качестве команды то значение из запроса, которое записано поверх команды возврата. Если такого рода переполнение возникло в результате случайной ошибки, то маловероятно, что значение, записанное поверх команды возврата, окажется каким-либо осмысленным кодом. Иное дело, если это переполнение было специально инициировано злоумышленником.

Злоумышленник конструирует запрос так, чтобы сервер прореагировал на него предсказуемым и желательным для хакера образом. Для этого хакер посылает нестандартный запрос, размер которого превышает размер буфера (рис. 24.6,6), При этом среди данных запроса в том месте, которое приходится как раз на команду возврата, злоумышленник помещает команду перехода на вредоносный код червя. В простейшем случае таким вредоносным кодом может быть совсем небольшая программа, переданная в том же запросе.

Итак, атакующий блок червя посылает некорректный запрос уязвимому серверу, его буфер переполняется, код команды возврата из процедуры замещается кодом команды передачи управления вредоносной программе, которая выполняет копирование всех оставшихся программных модулей червя на вновь освоенную территорию.

Хотя рассмотренный подход применим к самым различным приложениям, для каждого типа приложений хакер должен сформировать специальный атакующий запрос, в котором смещение кода команды передачи управления вредоносной программе точно соответствовало бы местоположению команды возврата в процедуру атакуемого приложения. Именно поэтому для червя при проведении такого вида атак так важно получить информацию о типе и версиях программного обеспечения, установленного на узлах сети.

Помимо локатора и атакующего блока червь может включать некоторые дополнительные функциональные компоненты.

? Блок удаленного управления и коммуникаций служит для передачи сетевым червям команд от их создателя, а также для взаимодействия червей между собой. Такая возможность позволяет хакеру координировать работу червей для организации распределенных атак отказа в обслуживании. Сетевые черви могут быть также использованы для организации параллельных вычислений при решении таких требующих большого объема вычислений задач, как, например, подбор секретного ключа шифрования или пароля.

? Блок управления жизненным циклом может ограничивать работу червя определенным периодом времени.

? Блок фиксации событий используется автором червя для оценки эффективности атаки, для реализации различных стратегий заражения сети или для оповещения других пользователей о повреждениях, нанесенных их компьютерам. Результатом работы данного блока может быть, например, список IP-адресов успешно атакованных машин, посланный хакеру в виде файла или сообщения электронной почты.

Вирусы

"^Л&

программный фрагмент, кЪторый может внедряться в другие

Стремление злоумышленника сделать код вируса как можно более коротким часто ограничивает логику работы вируса очень простыми решениями, которые, однако, иногда приводят к весьма разрушительным последствиям. Так, например, один из реально существовавших вирусов, состоящий всего из 15 (!) байтов, записывал свою копию поверх других файлов в начало каждого сектора диска, в результате система очень быстро терпела крах. Некоторым утешением в таком и подобных ему случаях является то, ч^го одновременно с крахом компьютера прекращает свое существование и вирус.

Вирус может внедрять свои фрагменты в разные типы файлов, в том числе в файлы исполняемых программ (рис. 24.7). При этом возможны самые разные варианты: замещение кода, когда размер инфицированного файла не меняется, вставка вирусного кода целиком в начало или конец исходной программы, замена фрагментов программного кода фрагментами вируса с перестановкой замещенных фрагментов и без перестановки и т. д., и т. п. Более того, код вируса может быть зашифрован, чтобы затруднить его обнаружение антивирусными программами.

В отличие от червей вирусы (так же как и троянские программы) не содержат в себе встроенного механизма активного распространения по сети, они способны размножаться своими |Силами только в пределах одного компьютера. Как правило, передача копии вируса на другой компьютер происходит с участием пользователя. Например, пользователь может записать свой файл, зараженный вирусом, на сетевой файловый сервер, откуда тот может быть скопирован всеми пользователями, имеющими доступ к данному серверу. Пользователь может также передать другому пользователю съемный носитель с зараженным файлом или послать такой файл по электронной почте. То есть именно пользователь является главным звеном в цепочке распространения вируса за пределы своего компьютера. Тяжесть последствий вирусного заражения зависит от того, какие вредоносные действия были запрограммированы в вирусе злоумышленником. Это могут быть мелкие, но раздражающие неудобства (замедление работы компьютера, уменьшение размеров доступной памяти, трата рабочего времени на переустановку приложений) или серьезные нарушения безопасности, такие как утечка конфиденциальных данных, разрушение системного программного обеспечения, частичная или полная потеря работоспособности компьютерной сети.

Код вируса

Код вируса

Фрагмент

кода

программы

Добавление с перестановкой Фрагментарное добавление частей кода программы вируса в Тело программы

Шпионские программы

Шпионские программы (spyware) — это такой тип вредоносных программ, которые тайно (как правило, удаленно) устанавливаются злоумышленниками на компьютеры ничего не подозревающих пользователей, чтобы отслеживать и фиксировать все их действия.

В число таких действий может входить введение имени и пароля во время логического входа в систему, посещение тех или иных веб-сайтов, обмен информацией с внешними и внутренними пользователями сети и пр., и пр. Собранная информация пересылается злоумышленнику, который применяет ее в преступных целях.

Заметим, что в качестве шпионских программ могут использоваться не только созданные специально для этих целей вредоносные программы, но и программы легального назначения. Так, опасным средством шпионажа могут стать легальные системы мониторинга сети¹, такие, например, как популярные сетевые мониторы Wireshark или Microsoft Network Monitor. Исходное назначение этих программ состоит в том, чтобы дать администратору сети возможность следить за сетевым трафиком, в частности захватывать пакеты, используя механизм фильтрации, просматривать их содержимое, собирать статистику по загрузке устройств. В руках же злоумышленника такая программа превращается в мощный инструмент «взлома» сети, который позволяет перехватывать пакеты с паролями и другой секретной информацией. Они также позволяют путем сканирования TCP- и UDP-портов определять типы приложений, работающих в сети, что является очень важной информацией для подготовки атаки.

ПРИМЕЧАНИЕ-

Практически все сетевые мониторы построены в архитектуре клиент-сервер. Клиенты, обычно называемые агентами, захватывают и, если необходимо, фильтруют трафик, а затем передают его серверной части монитора для дальнейшей обработки. Серверная часть монитора может работать как в локальной сети, так и на удаленном компьютере, однако клиентские части всегда устанавливаются на компьютерах в тех сегментах сети, в которых протекает интересующий администратора (или злоумышленника) трафик. Необходимым условием для работы агентов монитора является установка сетевого адаптера компьютера, на котором запущен этот агент, в неразборчивый режим приема (см. раздел «МАС-адреса» в главе 12). Поэтому одним из способов, пресекающих несанкционированный захват и анализ сетевого трафика, является отслеживание всех интерфейсов сети, работающих в неразборчивом режиме приема.

Спам

Спам^{78 79} — это атака, выполненная путем злоупотребления возможностями электронной почты.

Учитывая ту важную роль, которую играет электронная почта в работе современных предприятий и организаций, можно понять, почему спам, дезорганизующий работу этой службы, стал рассматриваться в последние годы как одна из существенных угроз безопасности.

Спам отнимает время и ресурсы на просмотр и удаление бесполезных сообщений, при этом ошибочно могут быть удалены письма с критически важной информацией, особенно велика вероятность этого при автоматической фильтрации писем. Посторонняя почта, которая нередко составляет 70 % получаемых сообщений, не только снижает эффективность работы предприятия, но и зачастую служит средством внедрения вредоносных программ. Кроме того, спам часто является элементом различных мошеннических схем, жертвами которых могут стать как отдельные сотрудники, так и предприятие в целом.

Спамеры, то есть лица, рассылающие спам, используют для своих целей разнообразные и иногда весьма сложные методы и средства. Так, например, для пополнения баз данных адресов ими может выполняться автоматическое сканирование страниц Интернета, а для организации массовой рассылки они могут прибегать к распределенным атакам, когда зомбированные с помощью червей компьютеры бомбардируют спамом огромное число пользователей сети.

Методы обеспечения информационной безопасности

Классификация методов защиты

Сегодня существует большой арсенал методов обеспечения информационной безопасности, к которым мы, прежде всего, отнесем технические средства защиты, такие как системы шифрования, аутентификации, авторизации, аудита, антивирусной защиты, межсетевые экраны и др. Именно им в основном посвящена данная глава этого учебника.

Однако помимо технических средств, не меньшее, а иногда и большее влияние на безопасность системы оказывают средства, построенные на качественно другой основе. К таким «не техническим» мерам защиты относятся соответствующие сфера законодательства, морально-этические нормы, просветительная работа и административные меры. Например, именно ужесточением наказаний за преступления в области нарушения информационной безопасности эксперты объясняют резкое снижение за последние два года количества вирусных атак. Примером эффективных административных мер может служить запрет сотрудникам пользоваться в пределах предприятия собственными ноутбуками; такой запрет сокращает случаи утечки конфиденциальной информации и заражения корпоративных данных новыми вирусами.

Важную роль играют также, физические средства защиты, к которым относят замки, камеры наблюдения, охранные системы. Данные, записанные на съемный носитель, помещенный в сейф в хорошо охраняемом помещении, очевидно, более защищены, чем данные, хранящиеся на диске работающего в сети компьютера, защищенного самым совершенным сетевым экраном⁸⁰.

Универсальным средством противодействия атакам, имеющим целью нарушение целостности данных, а в некоторых случаях и их доступности, является резервное копирование. Резервное копирование — это набор автоматизированных процедур создания и поддержания копий данных, которые могут быть использованы для восстановления исходных данных в случае их потери или искажения. Резервные копии записывают на сменные носители большой емкости, например магнитные ленты, которые для повышения отказоустойчивости размещают в местах, территориально разнесенных с местонахождением исходных данных. Понятно, что при этом возрастает вероятность их потери или кражи. Чтобы смягчить возможные последствия этих угроз, копируемые данные записываются на сменные носители в зашифрованном виде.

Для эффективного поддержания информационной безопасности необходим системный подход. Это означает, что различные средства защиты (технические, юридические, административные, физические и т. д.) должны применяться совместно и под централизованным управлением.

Политика безопасности

Организация служб безопасности сети требует тщательной проработки политики информационной безопасности, которая включает несколько базовых принципов.

Одним из таких принципов является предоставление каждому сотруднику предприятия того минимального уровня привилегий на доступ к данным, который необходим ему для выполнения его должностных обязанностей.

Следующий принцип — использование многоуровневого подхода к обеспечению безопасности. Система защиты с многократным резервированием средств безопасности увеличивает вероятность сохранности данных. Так, например, физические средства защиты (закрытые помещения, блокировочные ключи), ограничивающие непосредственный контакт пользователя только приписанным ему компьютером, дополняют и усиливают эффективность централизованной системы авторизации пользователей.

Принцип единого контрольно-пропускного пункта заключается в том, что весь входящий во внутреннюю сеть и выходящий во внешнюю сеть трафик проходит через единственный узел сети, например через сетевой экран. Только это позволяет в достаточной степени контролировать трафик. В противном случае, когда в сети имеется множество пользовательских станций, имеющих независимый выход во внешнюю сеть, очень трудно скоординировать правила, ограничивающие права пользователей внутренней сети на доступ к серверам внешней сети и обратно — права внешних клиентов на доступ к ресурсам внутренней сети.

Используя многоуровневую систему защиты, важно обеспечивать баланс надежности защиты всех уровней. Если в сети все сообщения шифруются, но ключи легкодоступны, то эффект от шифрования нулевой. Если внешний трафик сети, подключенной к Интернету, проходит через мощный сетевой экран, но пользователи имеют возможность связываться с узлами Интернета по коммутируемым линиям через локально установленные модемы, то деньги (как правило, немалые), потраченные на сетевой экран, можно считать выброшенными на ветер.

Следующим универсальным принципом является использование только таких средств, которые при отказе переходят в состояние максимальной защиты. Это касается самых различных средств безопасности. Если в сети имеется устройство, которое анализирует весь входной трафик и отбрасывает кадры с определенным, заранее заданным обратным адресом, то при отказе оно должно полностью блокировать вход в сеть. Неприемлемым следовало бы признать устройство, которое при отказе просто отключается, начиная пропускать в сеть весь внешний трафик.

Следующим является принцип баланса возможного ущерба от реализации угрозы и затрат на ее предотвращение. Ни одна система безопасности не гарантирует защиту данных на уровне 100 %, поскольку является результатом компромисса между возможными рисками и возможными затратами. Определяя политику безопасности, администратор должен взвесить величину ущерба, которую может понести предприятие в результате нарушения защиты данных, и соотнести ее с величиной затрат, требуемых на обеспечение безопасности этих данных. Так, в некоторых случаях можно отказаться от дорогостоящего межсетевого экрана в пользу стандартных средств фильтрации обычного маршрутизатора, в других же приходится идти на беспрецедентные затраты. Главное, чтобы принятое решение было обосновано экономически.

НЕМНОГО СТАТИСТИКИ -

По данным отчета¹ о состоянии информационной безопасности на предприятиях и компаниях Великобритании в 2008 году подавляющее большинство предприятий использует средства защиты, а именно: 99 % регулярно выполняют резервное копирование своих наиболее важных данных;

98 % имеют средства обнаружения шпионских программ;

97 % фильтруют трафик электронной почты на наличие спама;

97 % используют сетевые экраны для защиты своих веб-сайтов;

95 % сканируют входящие сообщения электронной почты на предмет содержания в них вирусов; 94 % шифруют трафик своих беспроводных сетей.

Шифрование

Шифрование — это средство обеспечения конфиденциальности данных, хранящихся в памяти компьютера или передаваемых по проводной или беспроводной сети.

Шифрование является краеугольным камнем всех служб информационной безопасности, будь то система аутентификации или авторизации, защищенный канал или средства безопасного хранения данных.

Любая процедура шифрования, превращающая информацию из обычного «понятного» вида в «нечитабельный» зашифрованный, естественно должна быть дополнена процедурой дешифрирования, которая, будучи примененной к зашифрованному тексту^{81 82}, снова приводит его в понятный вид.

Пара процедур — шифрование и дешифрирование ^называется криптосистемой. Обычно криптосистема предусматривает наличие специального параметра — секретного ключе. Криптосистема считается раскрытой, если найдена процедура, позволяющая подобрать ключ за реальное время. Сложность алгоритма раскрытия является одной из важных характеристик криптосистемы и называется криптостойкостью.

В криптографии принято правило Керкхоффа, заключающееся в том, что стойкость шифра должна определяться только секретностью ключа. Так, все стандартные алгоритмы шифрования (например, AES, DES, PGP) Широко известны¹, их детальное описание содержится в легкодоступных документах, но от этого их эффективность не снижается. Система остается защищенной, если злоумышленнику известно все об алгоритме шифрования, но он не знает секретный ключ.

Существует два класса криптосистем — симметричные и асимметричные. В симметричных схемах шифрования (классическая криптография) секретный ключ шифрования совпадает с секретным ключом дешифрирования. В асимметричных схемах шифрования (криптография с открытым ключом) открытый ключ шифрования не совпадает с секретным ключом дешифрирования.

Симметричные алгоритмы шифрования

На рис. 24.8 приведена классическая модель симметричной криптосистемы, теоретические основы которой впервые были изложены в 1949 году в работе Клода Шеннона. В данной модели три участника: отправитель, получатель и злоумышленник. Задача отправителя заключается в том, чтобы по открытому каналу передать некоторое сообщение в защищенном виде. Для этого он зашифровывает открытый текст X ключом k и передает шифрованный текст Y. Задача получателя заключается в том, чтобы расшифровать Yи прочитать сообщение X. Предполагается, что отправитель имеет свой источник ключа. Сгенерированный ключ заранее по надежному каналу передается получателю. Задача злоумышленника заключается в перехвате и чтении передаваемых сообщений, а также в имитации ложных сообщений.

х

Отправитель

Шифрование

Y = F_K(X)

О Дешифрирование

X = F_k(Y)

•« Li*

X— Y— X—

исходный текст зашифрованный текст расшифрованный текст

F — алгоритм шифрования/дешифрирования К — секретный ключ

Рис. 24.8. Модель симметричного шифрования

Модель является универсальной — если зашифрованные данные хранятся в компьютере и никуда не передаются, отправитель и получатель совмещаются в одном лице, а в роли злоумышленника выступает некто, имеющий доступ к компьютеру в ваше отсутствие.

Алгоритм DES

Наиболее популярным стандартным симметричным алгоритмом шифрования данных является DES (Data Encryption Standard). Алгоритм разработан фирмой IBM и в 1976 году был рекомендован Национальным бюро стандартов к использованию в открытых секторах экономики. Суть этого алгоритма заключается в следующем (рис. 24.9).

Данные шифруются поблочно. Перед шифрованием любая форма представления данных преобразуется в числовую. Числа получают путем применения любой открытой процедуры преобразования блока текста в число. Например, ими могли бы быть значения двоичных чисел, полученных слиянием кодов ASCII последовательных символов соответствующего блока текста. На вход шифрующей функции поступает блок данных размером 64 бита, он делится пополам на левую (L) и правую (R) части. На первом этапе на место левой части результирующего блока помещается правая часть исходного блока. Правая часть результирующего блока вычисляется как сумма по модулю 2 (операция XOR) левой и правой частей исходного блока. Затем на основе случайной двоичной последовательности по определенной схеме в полученном результате выполняются побитные замены и перестановки. Используемая двоичная последовательность, представляющая собой ключ данного алгоритма, имеет длину 64 бита, из которых 56 действительно случайны, а 8 предназначены для контроля ключа.

Вот уже более трех десятков лет алгоритм DES испытывается на стойкость. И хотя существуют примеры успешных попыток «взлома» данного алгоритма, в целом можно считать, что он выдержал испытания. Алгоритм DES широко используется в различных технологиях и продуктах, связанных с безопасностью информационных систем. Для того чтобы повысить криптостойкость алгоритма DES, иногда применяют его усиленный вариант, называемый «тройным алгоритмом DES», который включает троекратное шифрование с использованием двух разных ключей. При этом можно считать, что длина ключа увеличивается с 56 до 112 бит? а 'значит, криптостойкость алгоритма существенно повышается. Но за это приходится платить производительностью — тройной алгоритм DES требует в три раза больше времени на реализацию, чем «обычный».

В 2001 году Национальное бюро стандартов США приняло новый стандарт симметричного шифрования, который получил название AES (Advanced Encryption Standard). Стандарт AES был разработан в результате проведения конкурса на разработку симметричного алгоритма

шифрования, обладающего лучшим, чем у DES, сочетанием показателей безопасности и скорости работы. Победителем был признан алгоритм Rijndael, который и был положен в основу AES. В результате AES обеспечивает лучшую защиту, так как использует 128-битные ключи (а также может работать со 192- и 256-битными ключами) и имеет более высокую скорость работы, кодируя за один цикл 128-битный блок в отличие от 64-битного блока DES. В настоящее время AES является наиболее распространенным симметричным алгоритмом шифрования.

В симметричных алгоритмах главную проблему представляют ключи. Во-первых, криптостойкость многих симметричных алгоритмов зависит от качества ключа, это предъявляет повышенные требования к службе генерации ключей. Во-вторых, принципиальной является надежность канала передачи ключа второму участнику секретных переговоров. Проблема с ключами возникает даже в системе с двумя абонентами, а в системе с п абонентами, желающими обмениваться секретными данными по принципу «каждый с каждым», потребуется пх(п- 1)/2 ключей, которые должны быть сгенерированы и распределены надежным образом. То есть количество ключей пропорционально квадрату количества абонентов, что при большом числе абонентов делает задачу чрезвычайно сложной. Несимметричные алгоритмы, основанные на использовании открытых ключей, снимают эту проблему.

Несимметричные алгоритмы шифрования

В середине 70-х двое ученых — Винфилд Диффи и Мартин Хеллман — описали принципиально другой подход к шифрованию.

Особенность шифрования с открытым ключом состоит в том, что одновременно генерируется уникальная пара ключей, таких чтотёкст, зашифрованный одним ключом, может быть расшифрован только о использованием второго ключа, и наоборот.

Е — открытый ключ

-о*

X

X

•teT:

X — исходный текст

В модели криптосхемы с открытым ключом также три участника: отправитель, получатель и злоумышленник (рис. 24.10). Задача отправителя заключается в том, чтобы по открытому каналу связи передать некоторое сообщение в защищенном виде. Получатель генерирует на своей стороне два ключа: открытый Е и закрытый D. Закрытый ключ D (часто называемый также личным ключом) абонент должен сохранять в защищенном месте, а открытый ключ Е он может передать всем, с кем хочет поддерживать защищенные отношения. Для шифрования текста служит открытый ключ, но расшифровать этот текст можно только с помощью закрытого ключа. Поэтому открытый ключ передается отправителю в незащищенном виде. Отправитель, используя открытый ключ получателя, шифрует сообщение X и передает его получателю. Получатель расшифровывает сообщение своим закрытым ключом D. Очевидно, что числа, одно из которых служит для шифрования текста, а другое — для дешифрирования, не могут быть независимыми друг от друга, а значит, есть теоретическая возможность вычисления закрытого ключа по открытому. Однако это связано с огромным объемом вычислений, которые требуют соответственно огромного времени. Поясним принципиальную связь между закрытым и открытым ключами следующей аналогией.

ПРИМЕР-АНАЛОГИЯ -

Пусть руководитель предприятия (на рис. 24.11 это пользователь 1) решает вести секретную переписку со своими сотрудниками. Рассмотрим вариант, когда требуется обеспечить конфиденциальность потока сообщений только в одну сторону — от сотрудников к руководителю. Для этого руководитель решает использовать какой-либо малоизвестный язык, например санскрит. С этой целью он обзаводится единственной копией санскритско-русского словаря, который оставляет себе, и большим количеством широкодоступных русско-санскритских словарей, которые раздает всем своим сотрудникам.

Когда у сотрудников возникает необходимость написать секретное сообщение руководителю, они, пользуясь словарем, пишут сообщения на санскрите. Руководитель переводит сообщения на русский язык, пользуясь доступным только ему санскритско-русским словарем. Очевидно, что здесь роль открытого ключа Е и закрытого ключа D руководителя играют русско-санскритский и санскритско-русский словари соответственно. Могут ли пользователи 2, 3 и 4 прочитать чужие сообщения 5г, 5з, S4, которые посылает каждый из них руководителю? Вообще-то нет, так как для этого им нужен санскритско-русский словарь, обладателем которого является только пользователь 1. Так обеспечивается конфиденциальность потока сообщений в направлении руководителя.

Заметим, что у сотрудников имеется теоретическая возможность для разгадывания сообщений друг друга, так как, затратив массу времени, можно прямым перебором составить санскритско-русский словарь по русско-санскритскому. Такая очень трудоемкая процедура, требующая больших затрат времени, отдаленно напоминает восстановление закрытого ключа по открытому.

На рис. 24.12 показана другая схема использования открытого и закрытого ключей, целью которой является подтверждение авторства (аутентификация) посылаемого сообщения. Пусть задача подтверждения авторства ставится только в отношении посланий руководителя своим сотрудникам. В этом случае роль закрытого (D) и открытого (Е) ключей руководителя играют русско-санскритский и санскритско-русский словари соответственно, причем наши предположения о доступности этих словарей меняются на противоположные. Итак, руководитель пишет письма своим сотрудникам на санскрите (то есть шифрует их закрытым ключом D). Сотрудник, получивший послание, пытается перевести зашифрованную часть письма, пользуясь санскритско-русским словарем (открытым ключом Е). Если ему это удается, то это доказывает, что текст был зашифрован закрытым ключом, парным открытому ключу Е руководителя. А владельцем этого парного ключа может быть только руководитель, значит, именно он является автором этого сообщения.

Пользователь 2 — дешифрирование

Заметим, что в этом случае сообщения первого пользователя S12, S13, S14, адресованные пользователям 2, 3 и 4, не являются секретными, так как все адресаты обладают одним и тем же открытым ключом, с помощью которого они могут расшифровывать все сообщения, поступающие от пользователя 1.

Для того чтобы в сети все п абонентов имели возможность не только принимать зашифрованные сообщения, но и сами посылать таковые, каждый абонент должен обладать собственной парой ключей Е и D. Всего в сети будет 2п ключей: п открытых ключей для шифрования и п секретных ключей для дешифрирования. Таким образом решается проблема масштабируемости — квадратичная зависимость количества ключей от числа абонентов в симметричных алгоритмах заменяется линейной зависимостью в несимметричных алгоритмах. Решается и проблема секретной доставки ключа. Злоумышленнику нет смысла стремиться завладеть открытым ключом, поскольку это не дает возможности расшифровывать текст или вычислить закрытый ключ.

Хотя информация об открытом ключе не является секретной, ее нужно защищать от подлогов, чтобы злоумышленник под именем легального пользователя не навязал свой открытый ключ, после чего с помощью своего закрытого ключа он сможет расшифровывать все сообщения, посылаемые легальному пользователю, и отправлять свои сообщения от его имени. Проще всего было бы распространять списки, связывающие имена пользователей с их открытыми ключами, широковещательно путем публикаций в средствах массовой информации (бюллетени, специализированные журналы и т. п.). Однако при таком подходе мы снова, как и в случае с паролями, сталкиваемся с плохой масштабируемостью. Решением проблемы является технология цифровых сертификатов — электронных документов, которые связывают конкретных пользователей с конкретными открытыми ключами.

Алгоритм RSA

В настоящее время одним из наиболее популярных криптоалгоритмов с открытым ключом является криптоалгоритм RSA.

В 1978 году трое ученых (Ривест, Шамир и Адлеман) разработали систему шифрования с открытыми ключами RSA (Rivest, Shamir, Adleman), полностью отвечающую всем принципам Диффи—Хеллмана. Этот метод состоит в следующем.

1. Случайно выбираются два очень больших простых числа р и q.

Вычисляются два произведения п = р х q и т = (р - 1) х (q - 1).

3. Выбирается случайное целое число Е, не имеющееюбщих сомножителей с т.

4. Находится D такое, что DE = 1 по модулю т.

5. Исходный текст ^разбивается на блоки таким образом, чтобы 0 < Х< п.

6. Для шифрования сообщения необходимо вычислить С = X^е по модулю п.

7. Для дешифрирования вычисляется X = C^D по модулю п.

Таким образом, чтобы зашифровать сообщение, необходимо знать пару чисел (?, и), а чтобы расшифровать — пару чисел (Д п). Первая пара — это открытый ключ, а вторая — закрытый.

Зная открытый ключ (?, п), можно вычислить значение закрытого ключа D. Необходимым промежуточным действием в этом преобразовании является нахождение чисел р и q, для чего нужно разложить на простые множители очень большое число и, а на это требуется

очень много времени. Именно с огромной вычислительной сложностью разложения большого числа на простые множители связана высокая криптостойкость алгоритма RSA. В некоторых публикациях приводятся следующие оценки: для того чтобы найти разложение 200-значного числа, понадобится 4 миллиарда лет работы компьютера с быстродействием миллион операций в секунду. Однако следует учесть, что в настоящее время активно ведутся работы по совершенствованию методов разложения больших чисел, поэтому в алгоритме RSA стараются применять числа длиной более 200 десятичных разрядов.

Программная реализация криптоалгоритмов типа RSA значительно сложнее и менее производительна, чем реализации классических криптоалгоритмов тина DES. Вследствие сложности реализации операций модульной арифметики криптоалгоритм RSA обычно используют только для шифрования небольших объемов информации, например для рассылки классических секретных ключей или в алгоритмах цифровой подписи, а основную часть пересылаемой информации шифруют с помощью симметричных алгоритмов.

В табл. 24.1 приведены некоторые сравнительные характеристики классического криптоалгоритма DES и криптоалгоритма RSA

Односторонние функции шифрования

Во многих базовых технологиях безопасности используется еще один прием шифрования — шифрование с помощью односторонней функции (one-way function), называемой также необратимой функцией, хэш-функцией (hash function) или дайджест-функцией (digest function).

Эта функция, примененная к шифруемым данным, дает в результате значение, называемое дайджестом, которое состоит из фиксированного сравнительно небольшого и не зависящего от длины шифруемого текста числа байтов.

Подчеркнем, знание дайджеста не позволяет и даже не предполагает восстановления исходных данных. Для чегбже нужны односторонние функции шифрования (ОФШ)?

Для ответа на этот вопрос рассмотрим несколько примеров. Пусть требуется обеспечить целостность сообщения, передаваемого по сети. Отправитель и получатель договорились, какую ОФШ и с каким значением параметра — секретного ключа — они будут использовать для решения этой задачи. Прежде чем отправить сообщение, отправитель вычисляет для него дайджест и отправляет его вместе с сообщением адресату (рис. 24.13, а). Адресат, получив данные, применяет ОФШ к переданному в открытом виде исходному сообщению. Если значения вычисленного локально и полученного по сети дайджестов совпадают, значит, содержимое сообщения не было изменено во время передачи.

Таким образом, хотя знание дайджеста не дает возможности восстановить исходное сообщение,

. оно позвоЛяет проверить целостность данных.

На первый взгляд кажется, что дайджест является своего рода контрольной суммой для исходного сообщения. Однако имеется и существенное отличие. Контрольные суммы применяются тогда, когда нужно обнаружить ошибки, вызванные техническими неполадками, например помехами в линии связи. Это средство не распознает модификацию данных злоумышленником, который, подменив сообщение, может просто добавить к нему заново вычисленную контрольную сумму.

В отличие от контрольной суммы дайджест вычисляется с использованием параметра — секретного ключа. Поскольку значение секретного ключа для ОФШ известно только отправителю и получателю^ Любая модификация исходного сообщения будет немедленно обнаружена.

На рис. 24.13, б показан другой вариант использования односторонней функции шифрования для обеспечения целостности данных. Здесь односторонняя функция не имеет параметра-ключа, но зато применяется не просто к сообщению, а к сообщению, дополненному секретным ключом. Получатель извлекает из полученных по сети данных исходное сообщение, потом дополняет его тем же известным ему секретным ключом и применяет к полученным данным одностороннюю функцию. Результат вычислений сравнивается с полученным по сети дайджестом.

Помимо обеспечения целостности сообщений, дайджест может быть использован в качестве электронной подписи для аутентификации передаваемого документа.

Построение односторонних функций является трудной задачей. Такого рода функции должны удовлетворять двум условиям:

? по дайджесту, вычисленному с помощью данной функции, должно быть невозможно каким-либо образом вычислить исходное сообщение;

? должна отсутствовать возможность вычисления двух разных сообщений, для которых с помощью данной функции могли быть вычислены одинаковые дайджесты.

Наиболее популярной в системах безопасности в настоящее время является серия хэш-функций MD2, MD4, MD5. Все они генерируют дайджесты фиксированной длины 16 байт. Адаптированным вариантом MD4 является американский стандарт SHA, длина дайджеста в котором составляет 20 байт. Компания IBM поддерживает односторонние функции MDC2 и MDC4, основанные на алгоритме шифрования DES.

Аутентификация, авторизации, аудит

Понятие аутентификации

Аутентификация наряду с авторизацией (о которой рассказывается далее) представляет собой фундаментальный атрибут информационной безопасности.

Термин «аутентификация» (authentication) происходит от латинского слова authenticus, которое означает подлинный, достоверный, соответствующий самому себе. Аутентификация, или, другими словами, процедура установления подлинности, может быть применима как к людям, так и другим объектам, в частности к программам, устройствам, документам.

^ггеитификация пользователя — это процедура доказательства пользователем тога, что oN есть тот, за кого себя выдает.

В частности, при выполнении логического входа в защищенную систему пользователь должен пройти процедуру аутентификации, то есть доказать, что именно ему принадлежит введенный им идентификатор (имя пользователя). Аутентификация предотвращает доступ к сети нежелательных лиц и разрешает вход для легальных пользователей.

В процедуре аутентификации участвуют две стороны: одна сторона доказывает свою аутентичность, предъявляя некоторые доказательства, другая сторона — аутентификатор — проверяет эти доказательства и принимает решение. В качестве доказательства аутентичности применяются самые разнообразные приемы:

? аутентифицируемвгй может продемонстрировать знание некоего общего для обеих сторон секрета: слова (пароля) или факта (даты и места события, прозвища человека и т. п.);

? аутентифицируемый может продемонстрировать, что он владеет неким уникальным предметом (физическим ключом), в качестве которого может выступать, например, электронная магнитная карта;

? аутентифицируемый может доказать свою идентичность, используя собственные биохарактеристики: рисунок радужной оболочки глаза или отпечатки пальцев, которые предварительно были занесены в базу данных аутентификатора.

Сетевые службы аутентификации строятся на основе всех этих приемов, но чаще всего для доказательства идентичности пользователя применяют пароли. Простота и логическая ясность механизмов аутентификации на основе паролей в какой-то степени компенсирует известные слабости паролей. Это, во-первых, возможность раскрытия и разгадывания паролей, во-вторых, возможность «подслушивания» пароля путем анализа сетевого трафика. Для снижения уровня угрозы раскрытия паролей администраторы сети, как правило, применяют встроенные программные средства, служащие для формирования политики назначения и использования паролей: задание максимального и минимального сроков действия пароля, хранение списка уже использованных паролей, управление поведением системы после нескольких неудачных попыток логического входа и т. п.

ПРИМЕЧАНИЕ-

Многие пользователи пренебрегают угрозами, которые несут в себе легко угадываемые пароли. Так, червь Mumu, поразивший компьютерные сети в 2003 году, искал свои жертвы, подбирая пароли из очень короткого списка: password, passwd, admin, pass, 123, 1234, 12345, 123456 и пустая строка. Такая на удивление примитивная стратегия дала прекрасные (с точки зрения атакующей стороны) результаты — множество компьютеров было взломано.

Легальность пользователя может устанавливаться по отношению к различным системам. Так, работая в сети, пользователь может проходить процедуру аутентификации и как локальный пользователь, который претендует на ресурсы только данного компьютера, и как пользователь сети, желающий получить доступ ко всем сетевым ресурсам. При локальной аутентификации пользователь вводит свои идентификатор и пароль, которые автономно обрабатываются операционной системой, установленной на данном компьютере. При логическом входе в сеть данные о пользователе (идентификатор и пароль) передаются на сервер, который хранит учетные записи всех пользователей сети. Однако такая упрощенная схема имеет большой изъян — при передаче пароля с клиентского компьютера на сервер, выполняющий процедуру аутентификации, этот пароль может быть перехвачен злоумышленником. Поэтому применяются разные приемы, чтобы избежать передачи пароля по сети в незащищенном виде.

Аутентификация, в процессе которой используются методы шифрования, а аутентификационная

информация не передается по сети, называется строгой.

Многие приложения имеют собственные средства определения, является ли пользователь законным. И тогда пользователю приходится проходить дополнительные этапы проверки.

Как уже отмечалось, в качестве объектов, требующих аутентификации, могут выступать не только пользователи, но и различные приложения, устройства, текстовая и другая информация.

Так, пользователь, обращающийся с запросом к корпоративному веб-серверу, должен доказать ему свою легальность, но он также должен убедиться сам, что ведет диалог действительно с веб-сервером своего предприятия. Другими словами, сервер и клиент должны пройти процедуру взаимной аутентификации. Здесь,мы имеем дело с аутентификацией на гтовне приложений.

При установлении сеанса связи между двумя устройствами также часто предусматриваются процедуры взаимной аутентификации устройств на более низком, канальном, уровне (см. далее раздел «Строгая аутентификация на основе многоразового пароля в протоколе CHAP»).

Аутентификация данных означает доказательство целостности этих данных, а также то, что они поступили именно от того человека, который объявил об этом. Для этого используется механизм электронной подписи. Ранее мы уже узнали, как используется для аутентификации данных несимметричное шифрование.

Авторизация доступа

Термин авторизация (authorization) происходит от латинского слова auctoritas, показывающее уровень престижа человека в Древнем Риме и соответствующие этому уровню привилегии.

Авторизация — это процедура контроля доступа легальных Пользователей к ресурсам системы и предоставление каждому из них именно тех прав; которые ему были определены администратором.

В отличие от аутентификации, которая позволяет распознать легальных и нелегальных пользователей, авторизация имеет дело только с легальными пользователями, успешно прошедшими процедуру аутентификации. Помимо предоставления пользователям прав доступа к каталогам, файлам и принтерам, средства авторизации могут контролировать возможность выполнения пользователями различных системных функций, таких как локальный доступ к серверу, установка системного времени, создание резервных копий данных, выключение сервера и т. п.

Средства авторизации наделяют пользователя сети правами выполнять определенные действия по отношению к определенным ресурсам. Для этого могут применяться различные формы предоставления правил доступа, которые часто делят на два класса:

? Избирательный доступ наиболее широко используется в компьютерных сетях. При этом подходе определенные операции с определенным ресурсом разрешаются или запрещаются пользователям или группам пользователей, явно указанным своими идентификаторами, например: «пользователю User_T разрешено читать и записывать в файл Filel».

? Мандатный подход к определению прав доступа заключается в том, что вся информация делится на уровни в зависимости от степени секретности, а все пользователи сети также делятся на группы, образующие иерархию в соответствии с уровнем допуска к этой информации. Такой подход позволяет классифицировать данные на информацию для служебного пользования, а также секретную и совершенно секретную информацию. Пользователи этой информации в зависимости от определенного для них статуса получают разные формы допуска: первую, вторую или третью. В отличие от систем с избирательными правами доступа, в системах с мандатным Подходом пользователи в принципе не имеют возможности изменить уровень доступности информации. Например, пользователь более высокого уровня не может разрешить читать данные из своего файла пользователю, относящемуся к более низкому уровню. Отсюда видно, что мандатный подход является более строгим.

Процедуры авторизации часто совмещаются с процедурами аутентификации и реализуются одними и теми же программными средствами, которые могут встраиваться в операционную систему или приложение, а также поставляться в виде отдельных программных продуктов. При этом программные системы аутентификации и авторизации могут строиться на базе двух схем:

? Централизованная схема, базирующаяся на сервере. В этой схеме сервер управляет процессом предоставления ресурсов сети пользователю. Главная цель таких систем — реализовать «принцип единого входа». В соответствии с централизованной схемой пользователь один раз логически входит в сеть и получает на все время работы некоторый набор разрешений по доступу к различным ресурсам сети. Система Kerberos⁸³ с ее сервером безопасности и архитектурой клиент-сервер, а также более современная система Shibboleth, построенная в той же архитектуре, являются наиболее известными системами этого типа. Системы TACACS и RADIUS, часто применяемые совместно с системами удаленного доступа, также реализуют этот подход.

? Децентрализованная схема, базирующаяся на рабочих станциях. При этом подходе средства авторизации работают на каждой машине. Администратор должен отслеживать работу механизмов безопасности каждого отдельного приложения — электронной почты, справочной службы, локальных баз данных и т. п.

Подчеркнем, что системы аутентификации и авторизации совместно решают одну задачу — обеспечение контроля доступа, поэтому к ним необходимо предъявлять одинаковый уровень требований. Ненадежность одного звена здесь не может быть компенсирована надежностью другого.

Аудит

Аудит (auditing) — это набор процедур мониторинга и учета всех событий, представляющих потенциальную угрозу для безопасности системы.

Аудит позволяет «шпионить» за выбранными объектами и выдавать сообщения тревоги, когда, например, какой-либо рядовой пользователь попытается прочитать или модифицировать системный файл. Если кто-то пытается выполнить действия, выбранные системой безопасности для мониторинга, то система аудита пишет сообщение в журнал регистрации, идентифицируя пользователя. Системный менеджер может готовить отчеты безопасности, которые содержат информацию из журнала регистрации. Для «сверхбезопасных» систем предусматриваются аудио- и видеосигналы тревоги, устанавливаемые на машинах администраторов, отвечающих за безопасность.

Поскольку никакая система безопасности не гарантирует защиту на уровне 100 %, последним рубежом в борьбе с нарушениями оказывается система аудита. Действительно, после того как злоумышленнику удалось провести успешную атаку, пострадавшей стороне не остается ничего другогб,*Как обратиться к службе аудита. Если при настройке службы аудита были правильно заданы события, которые требуется отслеживать, то подробный анализ записей в журнале может дать много полезной информации. Эта информация, возможно, позволит найти злоумышленника или, по крайней мере, предотвратить повторение подобных атак путем устранения уязвимых мест в системе защиты. Функции аудита встраиваются в различные средства обеспечения безопасности: сетевые экраны, системы обнаружения вторжений, антивирусные системы, сетевые мониторы.

Строгая аутентификация на основе многоразового пароля в протоколе CHAP

Протокол аутентификации по квитированию вызова (Challenge Handshake Authentication Protocol, CHAP) входит в семейство протоколов PPR В этом протоколе предусмотрено 4 типа сообщений: Success (успех), Challenge (вызов), Response (ответ), Failure (ошибка).

Этот протокол используется, например, при аутентификации удаленных пользователей, подключенных к Интернету по коммутируемому каналу Здесь аутентификатором является сервер провайдера, а аутентифицируемым — клиентский компьютер (рис. 24.14). При заключении договора клиент получает от провайдера пароль (пусть, например, это будет слово parol). Этот пароль хранится в базе данных провайдера в виде дайджеста Z = rf(parol), полученного путем применения к паролю одностороцней хэш-функции MD5.

Разделяемый секрет — parol

<^л ₁ Запрос на установление соединения, Moscow (jP)

(Т) Пакет типа Challenge: (ID, Challenge), Paris i ~ %

1 Пакет типа Response Y » d{(ID, challenge, d(parol)}, Moscow (IT)

©Сервер вычисляет локально d{(ID, challenge, d(parol)} и сравнивает с полученным от клиента значением Y

(J) Значения совпали, пакет типа Success

Рйе. 24.14. Аутентификация по протоколу CHAP

Аутентификация выполняется в следующей последовательности.

1. Пользователь-клиент активизирует программу (например, программу дозвона) удаленного доступа к серверу провайдера, вводя имя и назначенный ему пароль. Имя (на рисунке это «Moscow») передается по сети провайдеру в составе запроса на соединение, но пароль не передается в сеть ни в каком виде. То есть здесь мы имеем дело со строгой аутентификацией.

2. Сервер провайдера, получив запрос от клиента, генерирует псевдослучайное слово-вызов (пусть это будет слово «challenge») и передает его клиенту вместе со значением, идентифицирующем сообщение в рамках данного сеанса (ID), и собственным именем (здесь «Paris»). Это сообщение типа Challenge. (Для защиты от перехвата ответа аутентификатор должен использовать разные значения слова-вызова при каждой процедуре аутентификации.)

3. Программа клиента, получив этот пакет, извлекает из него слово-вызов, добавляет к нему идентификатор и вычисленный локально дайджест Z = d(parol), а затем вычисляет с помощью все той же функции MD5 дайджест Y = d{(ID, challenge, d(parol)} от всех этих трех значений. Результат клиент посылает серверу провайдера в пакете Response.

4. Сервер провайдера сравнивает полученный по сети дайджест Y с тем значением, которое он получил, локально применив ту же хэш-функцию к набору аналогичных компонентов, хранящихся в его памяти.

5. Если результаты совпадают, то аутентификация считается успешной и аутентификатор посылает партнеру пакет Success.

Аналогичный алгоритм аутентификации применяется в семействе ОС Windows. Там многоразовые пароли пользователей также хранятся в базе данных сервера в виде дайджестов, а по сети в открытом виде передается только слово-вызов. Кажется, что такой способ хранения паролей надежно защищает их от злоумышленника, даже если он сможет получить к ним доступ. Действительно, ведь даже теоретически нельзя восстановить исходное значение по дайджесту. Однако создатель первого червя Роберт Моррис решил эту проблему. Он разработал довольно простую программу, которая генерировала возможные варианты паролей, как используя слова из словаря, так и путем последовательного перебора символов. Для каждого сгенерированного слова вычислялся дайджест и сравнивался с дайджестами из файла паролей. Удивительно, но такая стратегия оказалась весьма эффективной, и хакеру удалось завладеть несколькими паролями.

Аутентификация на основе одноразового пароля

Алгоритмы аутентификации, основанные на многоразовых паролях, не очень надежны. Пароли можно подсмотреть, разгадать или просто украсть. Более надежными оказываются схемы с одноразовыми паролями. К тому же одноразовые пароли намного дешевле и проще биометрических систем аутентификации, таких как сканеры сетчатки глаза или отпечатков пальцев. Все это делает системы, основанные на одноразовых паролях, очень перспективными. ‘Следует иметь в виду, что, как правило, системы аутентификации на основе одноразовых паролей рассчитаны на проверку только удаленных, а не локальных пользователей.

Генерация одноразовых паролей может выполняться либо программно, либо аппаратно. Аппаратные реализаций'систем доступа на основе одноразовых паролей называют аппаратными ключами. Они представляют собой миниатюрные устройства со встроенным микропроцессором, похожие либо на обычные пластиковые карточки, используемые для доступа к банкоматам, либо на карманные калькуляторы, имеющие клавиатуру и маленькое дисплейное окно (рис. 24.15). Аппаратные ключи могут быть также реализованы в виде присоединяемого к разъему компьютера устройства.

Существуют и программные реализации средств аутентификации на основе одноразовых паролей — программные ключи. Программные ключи размещаются на сменном магнитном носителе в виде обычной программы, важной частью которой является генератор одноразовых паролей.

Независимо от того, какую реализацию системы аутентификации на основе одноразовых паролей выбирает пользователь, он, как и в системах аутентификации с применением многоразовых паролей, сообщает системе свой идентификатор, однако вместо того чтобы вводить каждый раз один и тот же пароль, он указывает последовательность цифр, сообщаемую ему аппаратным или программным ключом. Через определенный небольшой период времени генерируется другая последовательность — новый пароль. Сервер аутентификации проверяет введенную последовательность и разрешает пользователю осуществить логический вход. Сервер аутентификации может представлять собой отдельное устройство, выделенный компьютер или же программу, выполняемую на обычном сервере.

Рассмотрим схему использования аппаратных ключей, в основе которой лежит синхронизация по времени. Этот популярный алгоритм аутентификации был разработан компанией Security Dynamics.

Идея метода состоит в том, что аппаратный ключ и аутентифицирующий сервер вычисляют некоторое значение пр-одному и тому же алгоритму. Алгоритм имеет два параметра:

? разделяемый секретный ключ, представляющий собой 64-разрядное число, уникально назначаемое каждому пользователю и хранящееся как в аппаратном ключе, так и в базе данных сервера аутентификации;

? значение текущего времени.

Если вычисленные значения совпадают, то аутентификация считается успешной.

Итак, пусть удаленный пользователь пытается совершить логический вход в систему с персонального компьютера (рис. 24.16). Аутентифицирующая программа предлагает ему ввести его личный персональный номер (PIN), состоящий из четырех десятичных цифр, а также 6 цифр случайного числа, отображаемого в тот момент на дисплее аппаратного ключа. На основе PIN-кода сервер извлекает из базы данных информацию о пользователе, а именно — его секретный ключ. Затем сервер выполняет вычисления по тому же алгоритму, который заложен в аппаратном ключе, используя в качестве параметров секретный ключ и значение текущего времени, проверяя, совпадает ли сгенерированное число с числом, которое ввел пользователь. Если они совпадают, то пользователю разрешается логический вход.

Потенциальной проблемой этой схемы является временная синхронизация сервера и аппаратного ключа (ясно, что вопрос согласования часовых поясов решается просто). Гораздо сложнее обстоит дело с постепенным рассогласованием внутренних часов сервера и аппаратного ключа, тем более что потенциально аппаратный ключ может работать несколько лет. Компания Security Dynamics решает эту проблему двумя способами. Во-первых, при производстве аппаратного ключа измеряется отклонение частоты его таймера от номинала. Далее эта величина учитывается в виде параметра алгоритма сервера. Во-вторых, сервер отслеживает коды, генерируемые конкретным аппаратным ключом, и если таймер данного ключа постоянно спешит или отстает, то сервер динамически подстраивается под него.

Существует еще одна проблема, связанная со схемой временнбй синхронизации. Одноразовый пароль, генерируемый аппаратным ключом, действителен в течение некоторого интервала времени (от нескольких десятков секунд до нескольких десятков минут), то есть в течение этого времени одноразовый пароль, в сущности, является многоразовым. Поэтому теоретически возможно, что очень проворный хакер сможет перехватить PIN-код и одноразовый пароль с тем, чтобы также получить доступ в сеть в течение этого интервала.

Аутентификация на основе сертификатов

Аутентификация с применением цифровых сертификатов является альтернативой применению паролей и представляется естественным решением в условиях, когда число пользователей сети (пусть и потенциальных) измеряется миллионами. В таких обстоятельствах процедура предварительной регистрации пользователей, связанная с назначением и хранением их паролей, станбвится крайне обременительной, опасной, а иногда и просто нереализуемой. При наличии сертификатов сеть, которая дает пользователю доступ к своим ресурсам, не хранит никакой информации о своих пользователях — они ее предоставляют сами в своих запросах в виде сертификатов, удостоверяющих личность пользователей. Сертификаты выдаются специальными уполномоченными организациями — центрами сертификации (Certificate Authority, СА). Поэтому задача хранения секретной информации (закрытых ключей) возлагается на самих пользователей, что делает это решение гораздо более масштабируемым, чем вариант с централизованной базой паролей.

Схема использования сертификатов

Аутентификация личности на основе сертификатов происходит примерно так же, как на проходной большого предприятия. Вахтер пропускает людей на территорию на основании пропуска, который содержит фотографию и подпись сотрудника, удостоверенных печатью предприятия и подписью лица, выдавшего пропуск. Сертификат является аналогом пропуска и выдается по запросам специальными сертифицирующими центрами при выполнении определенных условий.

Сертификат представляет собой электронную форму, в которой содержится следующая информация:

О открытый ключ владельца данного сертификата;

? сведения о владельце сертификата, такие, например, как имя, адрес электронной почты, наименование организации, в которой он работает и т. п.;

? наименование сертифицирующей организации, выдавшей данный сертификат;

? электронная подпись сертифицирующей организации, то есть зашифрованные закрытым ключом этой организации данные, содержащиеся в сертификате.

Использование сертификатов основано на предположении, что сертифицирующих организаций немного и их открытые ключи широко доступны, например, из публикаций в журналах.

Когда пользователь хочет подтвердить свою личность, он предъявляет свой сертификат в двух формах: открытой (то есть такой, в которой он получил его в сертифицирующей организации) и зашифрованной с применением своего закрытого ключа (рис. 24.17). Сторона, проводящая аутентификацию, берет из незашифрованного сертификата открытый ключ пользователя и расшифровывает с его помощью зашифрованный сертификат. Совпадение результата с открытым сертификатом подтверждает, что предъявитель действительно является владельцем закрытого ключа, соответствующего указанному открытому.

Затем с помощью известного открытого ключа указанной в сертификате организации проводится расшифровка подписи этой организации в сертификате. Если в результате получается тот же сертификат р тем же именем пользователя и его открытым ключом, значит, он действительно прошел регистрацию в сертификационном центре, является тем, за кого себя выдает, и указанный в сертификате открытый ключ действительно принадлежит ему.

Сертификаты можно использовать не только для аутентификации, но и для предоставления избирательных прав доступа. Для этого 6 сертификат могут вводиться дополнительные поля, в которых указывается принадлежность его владельцев к той или иной категории пользователей. Эта категория назначается сертифицирующей организацией в зависимо-

сти от условий, на которых выдается сертификат. Например, организация, поставляющая через Интернет на коммерческой основе информацию, может выдавать сертификаты определенной категории пользователям, оплатившим годовую подписку на некоторый бюллетень, тогда веб-сервер будет предоставлять доступ к страницам бюллетеня только пользователям, предъявившим сертификат данной категории.

Сертифицирующая

организация

? ???? ? ???? ? ???? ? ????

Выдача

сертификата

Сведения о пользователе

Запрос на аутентификацию

Электронная подпись

сертифицирующей

организации

it

ТУ

Открытый и закрытый ключи пользователя

Открытый и закрытый ключи сертифицирующей организации

Рис. 24.17. Аутентификация пользователей на основе сертификатов

Подчеркнем тесную связь открытых ключей с сертификатами. Сертификат является удостоверением не только личности, но и принадлежности открытого ключа. Цифровой сертификат устанавливает и гарантирует соответствие между открытым ключом и его владельцем. Это предотвращает угрозу подмены открытого ключа. Если некоторый абонент А получает по сети сертификат от абонента Б, то он может быть уверен, что открытый ключ, содержащийся в сертификате, гарантированно принадлежит абоненту Б, адрес и другие сведения о котором содержатся в этом сертификате. Это значит, что абонент А может без опасений использовать открытый ключ абонента Б для секретных посланий в адрес последнего.

При использовании сертификатов отпадает необходимость хранить на серверах корпораций списки пользователей с их паролями, вместо этого достаточно иметь на сервере список имен и открытых ключей сертифицирующих организаций. Может также понадобиться некоторый механизм отображений категорий владельцев сертификатов на традиционные группы пользователей для того, чтобы можно было в неизменном виде задействовать механизмы управления избирательным доступом большинства операционных систем или приложений.

Сертифицирующие центры

Сертификат является средством аутентификации пользователя при его обращении к сетевым ресурсам, роль аутентифицирующей стороны играют при этом информационные серверы корпоративной сети или Интернета. В то же время и сама процедура получения сертификата включает этап аутентификации, когда аутентификатором выступает сертифицирующая организация. Для получения сертификата клиент должен сообщить сертифицирующей организации свой открытый ключ и те или иные сведения, удостоверяющие его личность. Все эти данные клиент может отправить по электронной почте или принести на съемном носителе лично. Перечень необходимых данных зависит от типа получаемого сертификата. Сертифицирующая организация проверяет доказательства подлинности, помещает свою цифровую подпись в файл, содержащий открытый ключ, и посылает сертификат обратно, подтверждая факт принадлежности данного конкретного ключа конкретному лицу. После этого сертификат может быть встроен в любой запрос на использование информационных ресурсов сети. /

Практически важным является вопрос о том, кто имеет право выполнять функции сертифицирующей организации. Во-первых, задачу обеспечения своих сотрудников сертификатами может взять на себя само предприятие. В этом случае упрощается процедура первичной аутентификации при выдаче сертификата. Предприятия достаточно осведомлены о своих сотрудниках, чтобы брать на себя задачу подтверждения их личности. Для автоматизации процесса генерации, выдачи и обслуживания сертификатов предприятия могут использовать готовые программные продукты, например, компания Netscape Communications выпустила сервер сертификатов, который организации могут у себя устанавливать для выпуска своих сертификатов.

Во-вторых, эти функции могут выполнять независимые центры по выдаче сертификатов, работающие на коммерческой основе, например сертифицирующий центр компании Verisign. Сертификаты компании Verisign выполнены в соответствии с международным стандартом Х.509 и используются во многих продуктах защиты данных, в том числе в популярном протоколе защищенного канала SSL. Любой желающий может обратиться с запросом на получение сертификата на веб-сервер этой компании. Сервер Verisign предлагает несколько типов сертификатов, отличающихся уровне^ полномочий, которые получает владелец сертификата.

? Сертификаты класса 1 предоставляют пользователю самый низкий уровень полномочий. Они могут применяться при отправке и получении шифрованной электронной почты через Интернет. Чтобы получить сертификат этого класса, пользователь должен сообщить серверу Verisign свой адрес электронной почты или свое уникальное имя.

? Сертификаты класса 2 дают возможность его владельцу пользоваться внутрикорпоративной электронной почтой и принимать участие в подписных интерактивных службах. Чтобы получить сертификат этого более высокого уровня, пользователь должен организовать подтверждение своей личности сторонним лицом, например своим работодателем. Такой сертификат с информацией от работодателя может эффективно применяться при деловой переписке.

? Сертификаты класса 3 предоставляют владельцу все те возможности, которые имеет обладатель сертификата класса 2, плюс возможность участия в электронных банковских операциях, электронных сделках по покупке товаров и некоторые другие возможности. Для доказательства своей аутентичности соискатель сертификата должен явиться лично и предоставить подтверждающие документы.

? Сертификаты класса 4 используются при выполнении крупных финансовых операций. Поскольку такой сертификат наделяет владельца самым высоким уровнем доверия, сертифицирующий центр Verisign проводит тщательное изучение частного лица или организации, запрашивающей сертификат.

Механизм получения пользователем сертификата хорошо автоматизируется в сети в модели клиент-сервер, когда браузер исполняет роль клиента, а в сертифицирующей организации установлен специальный сервер выдачи сертификатов. Браузер генерирует для пользователя пару ключей, оставляет закрытый ключ у себя и передает частично заполненную форму сертификата серверу. Для того чтобы неподписанный еще сертификат нельзя было подменить при передаче по сети, браузер ставит свою электронную подпись, зашифровывая сертификат выработанным закрытым ключом. Сервер сертификатов подписывает полученный сертификат, фиксирует его в своей базе данных и возвращает его каким-либо способом владельцу. Очевидно, что при этом может выполняться еще и неформальная процедура подтверждения пользователем своей личности и права на получение сертификата, требующая участия оператора сервера сертификатов. Это могут быть доказательства оплаты услуги, доказательства принадлежности к той или иной организации — все случаи жизни предусмотреть и автоматизировать нельзя. После получения сертификата браузер сохраняет его вместе с закрытым ключом и использует при аутентификации на тех серверах, которые поддерживают такой процесс.

В настоящее время существует большое количество протоколов и продуктов, использующих сертификаты. Например, компания Microsoft реализовала поддержку сертификатов и в своем браузере Internet Explorer, и в сервере Internet Information Server, разработала собственный сервер сертификатов, а также продукты, которые позволяют хранить сертификаты пользователя, его закрытые ключи и пароли защищенным образом.

Инфраструктура с открытыми ключами

Несмотря на активное использование технологии цифровых сертификатов во многих системах безопасности, эта технология еще не решила целый ряд серьезных проблем. Это, прежде всего, поддержание базы данных о выпущенных сертификатах. Сертификат выдается не навсегда, а на некоторый вполне определенный срок. По истечении срока годности сертификат должен либо обновляться, либо аннулироваться. Кроме того, необходимо предусмотреть возможность досрочного прекращения полномочий сертификата. Все заинтересованные участники информационного процесса должны быть вовремя оповещены о том, что некоторый сертификат уже недействителен. Для этого сертифицирующая организация должна оперативно поддерживать список аннулированных сертификатов.

Имеется также ряд проблем, связанных с тем, что сертифицирующие организации существуют не в единственном числе. Все они выпускают сертификаты, но даже если эти сертификаты соответствуют единому стандарту (сейчас это, как правило, стандарт Х.509), все равно остаются нерешенными многие вопросы. Все ли сертифицирующие центры заслуживают доверия? Каким образом можно проверить полномочия того или иного сертифицирующего центра? Можно ли создать иерархию сертифицирующих центров, когда сертифицирующий центр, стоящий выше, мог бы сертифицировать центры, расположенные ниже в иерархии? Как организовать совместное использование сертификатов, выпущенных разными сертифицирующими организациями?

Для решения этих и многих других проблем, возникающих в системах, использующих технологии шифрования с открытыми ключами, оказывается необходимым комплекс программных средств и методик, называемый инфраструктурой с открытыми ключами (Public Key Infrastructure, PKI). Информационные системы больших предприятий нуждаются в специальных средствах администрирования и управления цифровыми сертификатами, парами открытых/закрытых ключей, а также приложениями, функционирующими в среде с открытыми ключами,

В настоящее время любой пользователь имеет возможность, загрузив широко доступное программное обеспечение, абсолютно бесконтрольно сгенерировать себе пару открытый/ закрытый ключ. Затем он может также совершенно независимо от администрации вести шифрованную переписку со своими внешними абонентами. Такая «свобода» пользователя часто не соответствует принятой на предприятии политике безопасности. Для более надежной защиты корпоративной информации желательно реализовать централизованную службу генерации и распределения ключей. Для администрации предприятия важно иметь возможность получить копии закрытых ключей каждого пользователя сети, чтобы в случае увольнения пользователя или потери пользователем его закрытого ключа сохранить доступ к зашифрованным данным этого пользователя. В противном случае резко ухудшается одна из трех характеристик безопасной системы — доступность данных.

Процедура, позволяющая получать копии закрытых ключей, называется восстановлением ключей. Вопрос, включать ли в продукты безопасности средства восстановления ключей, в последние годы приобрел политический оттенок. В США прошли бурные дебаты, тему которых можно примерно сформулировать так: обладает ли правительство правом доступа к любой частной информации при условии, что на это есть постановление суда?

И хотя в такой широкой постановке проблема восстановления ключей все еще не решена, необходимость включения средств восстановления в корпоративные продукты ни у кого сомнений не вызывает. Принцип доступности данных не должен нарушаться из-за волюнтаризма сотрудников,^монопольно владеющих своими закрытыми ключами. Ключ может быть восстановлен при выполнении некоторых условий, которые должны быть четко определены в политике безопасности предприятия.

Как только принимается решение о включении в систему безопасности средств восстановления, возникает вопрос, как же быть с надежностью защиты данных, как убедить пользователя в том, что его закрытый ключ не употребляется с какими-либо другими целями, не имеющими отношения к резервированию? Некоторую уверенность в секретности хранения закрытых ключей может дать технология депонирования ключей. Депонирование ключей — это предоставление закрытых ключей на хранение третьей стороне, надежность которой не вызывает сомнений. Этой третьей стороной может быть правительственная организация или группа уполномоченных на это сотрудников предприятия, которым оказывается полное доверие.

Аутентификация информации

Под аутентификацией информации в компьютерных системах понимают установление подлинности полученных по сети данных исключительно на основе информации, содержащейся в полученном сообщении.

Если конечной целью шифрования информации является защита от несанкционированного ознакомления с этой информацией, то конечной целью аутентификации информации является защита участников информационного обмена от навязывания ложной информации. Концепция аутентификации в широком смысле предусматривает установление подлинности информации как при наличии взаимного доверия между участниками обмена, так и при его отсутствии.

В компьютерных системах выделяют два вида аутентификации информации:

? аутентификация хранящихся массивов данных и программ — установление факта того, что данные не подвергались модификации;

? аутентификация сообщений — установление подлинности полученного сообщения, в том числе решение вопроса об авторстве этого сообщения и установление факта приема.

Цифровая подпись

Для решения задачи аутентификации информации используется концепция цифровой, или электронной, подписи. Согласно терминологии, утвержденной Международной организацией по стандартизации (ISO), под термином «цифровая подпись» понимаются методы, позволяющие устанавливать подлинность автора сообщения (документа) при возникновении спора относительно авторства. Основная область применения цифровой подписи — это финансовые документы, сопровождающие электронные сделки, документы, фиксирующие международные договоренности и т. п.

До настоящего времени чаще всего для построения схемы цифровой подписи использовался алгоритм RSA. Как уже отмечалось (см. раздел «Алгоритм RSA»), в основе этого алгоритма лежит концепция Диффи—Хеллмана. Она заключается в том, что каждый пользователь сети имеет свой закрытый ключ, необходимый для формирования подписи, а соответствующий этому секретному ключу открытый ключ, предназначенный для проверки подписи, известе^цсем другим пользователям сети.

На рис. 24.18 показана схема формирования цифровой подписи по алгоритму RSA. Подписанное сообщение состоит из двух частей: незашифрованной части, в которой содержится исходный текст Г, и зашифрованной части, представляющей собой цифровую подпись. Цифровая подпись S вычисляется с использованием закрытого ключа (D, п) по формуле: S = Т° mod п.

Сообщение посылается в виде пары (Г, 5). Каждый пользователь, имеющий соответствующий открытый ключ (Е, гг), получив сообщение, отделяет открытую часть Г, расшифровывает цифровую подпись S и проверяет равенство: Т= S^E mod гг.

Если результат расшифровки цифровой подписи совпадает с открытой частью сообщения, считается, что документ подлинный, не претерпел никаких изменений в процессе передачи, а автором его является именно тот человек, который передал свой открытый ключ получателю. Если сообщение снабжено цифровой подписью, то получатель может быть уверен, что оно не было изменено или подделано по пути. Такие схемы аутентификации называются асимметричными. К недостаткам данного алгоритма можно отнести то, что длина подписи в этом случае равна длине сообщения, что не всегда удобно.

Если помимо проверки целостности документа, обеспечиваемой цифровой подписью, надо обеспечить его конфиденциальность, то после применения к тексту цифровой подписи выполняют шифрование и исходного текста, и цифровой подписи (рис. 24.19).

Другие методы цифровой подписи основаны на формировании соответствующей сообщению контрольной комбинации с помощью симметричных алгоритмов типа DES. Учитывая более высокую производительность алгоритма DES по сравнению с RSA, он более эффективен для подтверждения аутентичности больших объемов информации. А для коротких сообщений типа платежных поручений или квитанций подтверждения приема, наверное, лучше подходит алгоритм RSA.

Аутентификация программных кодов

Компания Microsoft разработала средства для доказательства аутентичности программных кодов, распространяемых через Интернет. Пользователю важно иметь доказательства, что программа, которую он загрузил с какого-либо сервера, действительно содержит коды, разработанные определенной компанией. Протоколы защищенного канала (см. далее) типа SSL помочь здесь не могут, так как позволяют удостоверить только аутентичность сервера. Суть технологии аутентикода (authenticode), разработанной Microsoft, состоит в следующем.

Организация, желающая подтвердить свое авторство на программу, должна встроить в распространяемый код так называемый подписывающий блок (рис. 24.20). Этот блок состоит из двух частей. Первая часть — сертификат этой организации, полученный обычным образом от какого-либо сертифицирующего центра. Вторую часть Образует зашифрованный дайджест, полученный в результате применения односторонней функции к распространяемому коду. Шифрование дайджеста выполняется с помощью закрытого ключа организации.

Дайджест программного кода d(T)

Закрытый ключ (D, п) организации-производителя

Шифрование дайджеста по алгоритму RSA

[d(T)]^Dmodn

Рис. 24.20. Схема получения аутентикода

Антивирусная защита

Антивирусная защита«используется для профилактики и диагностики вирусного заражения, а также для восстановления работоспособности пораженных вирусами информационных систем.

Термин «вирусы» толкуется здесь расширенно — это не только собственно вирусы, но и другие разновидности вредоносных программ, такие как черви, троянские и шпионские программы.

Профилактика заключается в проверке файлов на присутствие вирусов перед их загрузкой на защищаемый компьютер и тем более перед их выполнением на этом компьютере. Диагностический характер носит процедура проверки файлов уже находящихся в памяти компьютера. После констатации вирусного заражения наступает этап восстановления «здоровья» вычислительной системы, который может потребовать как весьма жестких мер, когда из системы удаляются все зараженные файлы, так и не столь жестких, когда файлы исправляют, удаляя из них вредоносный код.

Большинство антивирусных программ в той или иной степени расходуют ресурсы тестируемой системы. Иногда это может вызвать заметное снижение скорости выполнения пользовательских приложений. Однако это не должно быть причиной отключения антивирусных проверок, так как ущерб от «работы» вирусов, как правило, с лихвой превышает затраты вычислительных ресурсов и времени пользователя (администратора) на борьбу с вирусами.

Для защиты от вирусов используют три группы методов:

? Методы, основанные на анализе содержимого файлов (как файлов данных, так и файлов с кодами команд). К этой группе относятся сканирование сигнатур вирусов, а также проверка целостности и сканирование подозрительных команд.

? Методы, основанные на отслеживании поведения программ при их выполнении. Эти методы заключаются в протоколировании всех событий, угрожающих безопасности системы и происходящих либо при реальном выполнении проверяемого кода, либо при его программной эмуляции.

? Методы регламентации порядка работы с файлами и программами. Эти методы относятся к административным мерам обеспечения безопасности. Один из наиболее распространенных методов этой группы состоит в том, что в системе (компьютере или корпоративной сети) выполняются только те программы, запись о которых присутствует в списке программ, разрешенных к выполнению в данной системе. Этот список формируется администратором сети из проверенного программного обеспечения.

Сканирование сигнатур

Сигнатура вируса — зтб уникальная последовательность байтов, которая всегда присутствует в определенном виде вирусов и по которой этот вид вируса можно с большой вероятностью опознать.

Из этого определения следует основная идея метода сканирования сигнатур. Для каждого вновь обнаруженного вируса специалистами выполняется анализ кода, на основании которого определяется сигнатура. Полученный кодовый фрагмент помещают в специальную базу данных вирусных сигнатур, с которой работает антивирусная программа.

К размеру сигнатуры предъявляются противоречивые требования. С одной стороны, для того чтобы повысить вероятность правильной диагностики вируса, сигнатура должна быть достаточно длиной — как минимум 8-12 байт, а еще лучше 64 байта. С другой стороны, учитывая огромное число существующих к настоящему моменту вирусов (сотни тысяч), увеличение длины сигнатуры увеличит и без того большой объем базы данных сигнатур.

Система сканирования сигнатур работает следующим образом. Содержимое тестируемого файла сравнивается с каждой из заданных в базе данных этой системы сигнатур. Обнаружив совпадение, система автоматически ставит подозрительный файл на карантин_у то есть блокирует файл от возможного использования. Одним из надежных способов такого блокирования является временное шифрование зараженного файла.

ПРИМЕЧАНИЕ-

Различные методы шифрования и упаковки вредоносных программ используют и хакеры. После шифрования или архивирования даже известный вирус становится «невидимым» для обычного сканера сигнатур.

Затем система сканирования оповещает своего пользователя об обнаружении зараженных файлов и о своих действиях, предпринятых по отношению к ним, а также предлагает пользователю выбрать тот или иной вариант дальнейших действий. В частности, она может предложить удалить файл или попытаться восстановить файл путем удаления вредоносного кода и, возможно, реконструкции его исходной структуры.

Процедура сканирования может выполняться как для отдельных файлов, так и для содержимого всего диска, как регулярно, в соответствии с заранее заданным расписанием, так и время от времени по инициативе пользователя. Некоторые антивирусные системы выполняют сканирование файлов синхронно с выполнением тех или иных операций с файлами: открытием, закрытием файлов или отправкой их в виде почтовых вложений; иногда такая тактика помогает быстрее обнаружить появление вируса.

К достоинствам данного метода относят относительно низкую долю ложных срабатываний. Главным же недостатком является принципиальная невозможность обнаружить присутствие в системе нового вируса, для которого еще нет сигнатуры в базе данных антивирусной программы. Кроме того, создание базы данных сигнатур является делом очень трудоемким, а ее эксплуатация требует постоянного оперативного обновления, что может представлять проблему как для производителей, так и для пользователей антивирусных средств.

Метод контроля целостности

Метод контроля целостности основывается на том, что любое неожиданное и беспричинное изменение данных на диске является подозрительным событием, требующим особого внимания антивирусной системы. Действительно, любой вирус обязательно оставляет свидетельства своего пребывания на диске. Такими «следами» может быть искажение данных в уже существующих файлах или появление новых исполняемых файлов.

Факт изменения данных — нарушение щлостности — легко устанавливается путем сравнения контрольной суммы (или дайджеста), заранее подсчитанной для исходного состояния тестируемого кода, и контрольной суммы (дайджеста) текущего состояния тестируемого кода. Если они не совпадают, значит, целостность нарушена и имеются все основания провести для этого кода дополнительную проверку, например, путем сканирование вирусных сигнатур.

В отличие от сканирования сигнатур метод контроля целостности позволяет обнаруживать следы деятельности любых, в том числе неизвестных, вирусов, для которых в базе данных еще нет сигнатур. Кроме того, он работает быстрее, поскольку операции подсчета контрольных сумм требуют меньше вычислений, чем операции сравнения кодовых фрагментов.

Сканирование подозрительных команд

В арсенале вирусных программ есть особенно опасные средства. Примером такого грозного оружия может служить код, вызывающий форматирование жесткого диска. Каждый случай обнаружения такого кода должен переводить систему в состояние тревоги, или, по крайней мере, система должна уведомить пользователя об этом событии и попросить подтверждения, прежде чем выполнить операцию, которая может привести к катастрофическим последствиям.

Известно, что вирусные программы разных видов могут содержать функционально подобные (но программно не идентичные) блоки. Например, многие виды вирусов содержат функцию внедрения в исполняемый код. Для этого они сначала отыскивают файлы с расширениями ехе, а затем выполняют для них операции открытия и записи. И хотя совокупность этих действий может быть реализована разными кодовыми последовательностями, ее все же можно характеризовать некоторыми общими признаками, которые могут стать опознавательным знаком для функции внедрения вируса.

Если в результате сканирования в файле обнаруживают некоторое число подозрительных команд и/или признаков подозрительных кодовых последовательностей, то делается предположение о вредоносной сущности файла и предпринимаются дополнительные действия по его проверке.

Этот метод обладает хорошим быстродействием, но довольно часто он не способен выявлять новые вирусы.

Отслеживание поведения программ

Принципиально другим подходом по сравнению с методами сканирования содержимого файлов являются методы, основанные на анализе поведения программ во время их выполнения. Этот метод обнаружения вирусов можно сравнить с поимкой преступника «за руку» на месте преступления. Тестируемую программу запускают на выполнение, инструкцию за инструкцией, но все ее подозрительные действия контролируются и протоколируются антивирусной системой. Если программа пытается выполнить какую-либо потенциально опасную команду, например записать данные в исполняемый файл другой программы, то ее работа приостанавливается, и антивирусная система запрашивает пользователя о том, какие действия ей надо предпринять.

Антивирусные средства данного типа часто требуют активного участия в тестировании пользователя, призванного реагировать на многочисленные предупреждения системы, значительная часть которых может оказаться впоследствии ложными тревогами.

ПРИМЕЧАНИЕ-

Важной характеристикой любого антивирусного средства является частота ложных положительных («Да, это вирус») и ложных отрицательных («Нет, вирус отсутствует») заключений. Если система слишком часто бьет лсужНую тревогу, то пользователь этой системы может вообще перестать реагировать на эти сигналы, однако если она слишком часто объявляет зараженный файл «чистым», то возникает вопрос о качестве антивирусного средства.

При использовании антивирусных систем, анализирующих поведение программ, всегда существует риск «пропустить удар» от вируса, в результате которого по ошибке будет выполнена команда вирусного кода, способная нанести ущерб защищаемому компьютеру или сети.

Для устранения этого недостатка был разработан другой метод, который тоже строит работу по распознаванию вирусов на основе анализа выполнения программ, однако тестируемая программа выполняется в искусственно созданной (виртуальной) вычислительной среде, которую иногда называют песочницей (sandbox). Такой способ называют эмуляцией. При эмуляции так же, как и при реальном выполнении, фиксируются все подозрительные действия программы, однако в этом случае отсутствует риск повреждения информационного окружения.

Принцип работы антивирусных средств, построенных на основе анализа поведения программ, показывает, что эти средства могут использоваться для обнаружения не только известных, но и не известных вредоносных программ.

Сетевые экраны

Сетевой, или межсетевой, экран — это комплекс программно-аппаратных средств, осуществляющий информационную защиту одной части компьютерной сети от другой путем анализа проходящего между ними трафика.

Для сетевых экранов существуют и другие термины, хорошо отражающие функциональное назначение средств защиты этого типа:

? Брандмауэр — это слово много лет назад пришло в русский язык из немецкого. Изначально оно обозначало перегородку в поезде, отделяющую область топки паровоза от пассажирского отделения.

? Файервол и другие транслитерации английского слова firewall, хотя официально не приняты, можно встретить в литературе достаточно часто. Исходным значением этого термина является элемент конструкции дома, а именно стена, сделанная из огнеупорного материала и препятствующая распространению огня между частями дома (обычно принадлежащими разным собственникам).

Для сетевого экрана одна часть сети является внутренней, другая — внешней (рис. 24.21). Сетевой экран защищает внутреннюю сеть (например, локальную сеть предприятия или, как вырожденный случай, отдельный компьютер пользователя) от угроз, исходящих из внешней сети (мы будем, как правило, подразумевать под такой сетью Интернет).

Защиту границ между локальными сетями предприятия и Интернетом обеспечивают корпоративные сетевые экраны, те же функции, но на границе между домашним компьютером и Интернетом, выполняют персональные сетевые экраны.

Для эффективного выполне^я сетевым экраном его главной функции — защиты — необходимо, чтобы через него проходил весь трафик, которым обмениваются узлы защищаемой части сети с узлами Интернета.

Такое расположение позволяет сетевому экрану полностью контролировать (запрещать, ограничивать или протоколировать) доступ внешних пользователей к ресурсам внутренней сети. Сетевой экран защищает сеть не только от несанкционированного доступа внешних злоумышленников, но от ошибочных действий пользователей защищаемой сети, например таких, как передача во внешнюю сеть конфиденциальной информации.

Чтобы осуществлять контроль доступа, сетевой экран должен уметь выполнять следующие функции:

? анализировать, контролировать и регулировать трафик (функция фильтрации);

? играть роль логического посредника между внутренними клиентами и внешними серверами (функция прокси-сервера);

? фиксировать все события, связанные с безопасностью (функция аудита).

Наряду с этими базовыми функциями на сетевой экран могут быть возложены и другие вспомогательные функции защиты, в частности:

? антивирусная защита;

? шифрование трафика;

? фильтрация сообщений по содержимому, включая типы передаваемых файлов, имена DNS и ключевые слова;

? предупреждение^ обнаружение вторжений и сетевых атак;

? функции VPN;

? трансляция сетевых адресов.

Как можно заметить, большинство из перечисленных функций реализуются в виде отдельных продуктов или в составе систем защиты других типов. Так, функции пакетной фильтрации встроены практически во все маршрутизаторы, задача обнаружения вирусов решается множеством разнообразных программ, шифрование трафика — неотъемлемый элемент технологий защищенных каналов и т. д., и т. п. Прокси-серверы часто поставляются в виде приложений, более того, они сами часто интегрируют в себе многие функции, свойственные сетевым экранам, такие, например, как аутентификация, трансляция сетевых адресов или фильтрация по содержимому (контенту).

Отсюда возникают сложности при определении понятия «сетевой экран». Например, довольно распространено мнение, что сетевой экран — это пограничное устройство, выполняющее пакетную фильтрацию (то есть маршрутизатор), а прокси-сервер — это совершенно отличный от сетевого экрана инструмент защиты. Другие настаивают, что прокси-сервер является непременным и неотъемлемым атрибутом сетевого экрана. Третьи считают, что сетевым экраном может быть названо только такое программное или аппаратное устройство, которое способно отслеживать состояние потока пакетов в рамках соединения. Мы же в этой книге будем придерживаться широко распространенной точки зрения о том, что сетевой экран — это программно-аппаратный комплекс, выполняющей разнообразные функции по защите внутренней сети, набор которых может меняться в зависимости от типа, модели и конкретной конфигурации сетевого экрана.

ПРИМЕР-АНАЛОГИЯ -

Функционально сетевой экран можно сравнить с системой безопасности современного аэропорта. Аналогии здесь достаточно очевидные (рис. 24.22) — самолет соответствует защищаемой внутренней сети, а внешняя сеть, из которой приходит потенциально опасный трафик, — внешнему миру, откуда прибывают будущие пассажиры самолета, готовящегося к полету, при этом не все они приезжают с чистыми и ясными намерениями.

В потоке пассажиров, постоянно входящих в здание аэропорта, могут встречаться различные злоумышленники. Наиболее зловещие — террористы — пытаются пронести на борт взрывчатку (в сетевом мире — пакеты, несущие во внутреннюю сеть вирусы, способные «взорвать» серверы и компьютеры пользователей) или оружие для захвата самолета в воздухе (атака по захвату управления удаленным компьютером). Контрабандисты несут с собой незадекларированные ценности (запрещенный контент), а некоторые личности пытаются попасть в самолет по поддельным документам (несанкционированный доступ к внутренним ресурсам сети).

Для того чтобы отфильтровать трафик пассажиров, система безопасности аэропорта пропускает всех пассажиров и их багаж через единственно возможный путь — зону контроля. Также поступают при защите сети, направляя весь входящий трафик через сетевой экран. В зоне контроля аэропорта применяются разнообразные средства проверки пассажиров и их багажа: сличение паспортов с компьютерной базой данных, а лиц пассажиров — с фотографиями в паспортах; просвечивание сумок и чемоданов; проход пассажиров через металлодетекторы, а при первом подозрении — вытряхивание всех вещей; дотошная ручная проверка сумок и прощупывание пассажиров. Между злоумышленниками и службой безопасности постоянно происходит состязание в коварстве, с одной стороны, и находчивости — с другой. Новые трюки вызывают появление новых способов проверки. Например, пронос взрывчатки в подошве ботинка вызвал к жизни не очень приятную обязательную процедуру прохождения металлоискателя в носках, а использование террористами флаконов для маскировки жидких компонентов б^мбдл лишило пассажиров возможности брать с собой в кабину шампуни и другие любимые жидкости в больших объемах.

Сетевые экраны тоже пытаются использовать все возможные средства и методы для противостояния разнообразным угрозам. С помощью паролей и цифровых сертификатов они проверяют аутентичность внешних узлов, пытающихся установить соединения с внутренними; отслеживают логику обмена пакетами для того, чтобы отразить атаки, основанные на искажении этой логики;

«просвечивают» содержимое электронных писем и загружаемых документов, пытаясь блокировать запрещенный контент; сканируют загружаемые программы, проверяя их на наличие известных вирусов. Так же как и в зоне контроля аэропорта, здесь постоянно идет соревнование между хакерами, все время изобретающими новые методы атак, и разработчиками сетевых экранов, старающихся эти атаки обнаружить и пресечь.

Типы сетевых экранов разных уровней

Одной из принятых классификаций сетевых экранов является разделение их на типы в зависимости от уровня модели OSI, на котором они работают.

Сетевые экраны сетевого уровня, называемые также экранами с фильтрацией пакетов

(packet filtering firewall), в полном соответствии со своим названием решают задачу фильтрации пакетов по IP-адресам и портам приложений на основании списков доступа (см. раздел «Фильтрация» в главе 18). Фильтрация на основе статических правил, при которой не отслеживаются состояния соединений, называется простой фильтрацией (stateless packet inspection). Этому типу сетевых экранов соответствуют маршрутизаторы. Опытный администратор может задать достаточно изощренные правила фильтрации, учитывающие многие требования, касающиеся защиты ресурсов внутренней сети, тем не менее этот тип сетевых экранов уступает по степени защиты другим типам. Преимуществами брандмауэров сетевого уровня являются простота, невысокая стоимость и минимальное влияние на производительность сети.

Сетевые экраны сеансового уровня отслеживают состояние соединений. Они фиксирует подозрительную активность, направленную на сканирование портов и сбор другой информации о сети. Отслеживание состояний соединений заключается в том, что сетевой экран проверяет, насколько соответствует последовательность обмена сообщениями контролируемому протоколу. То есть, например, если клиент посылает ТСР-сообщение SYN, запрашивающее TCP-соединение, сервер должен отвечать TCP-сообщением АСК SYN, а не посылать в ответ, например, свой TCP-запрос SYN. После того как сетевой экран установил допустимость TCP-соединения, он начинает работать простым передаточным звеном между клиентом и сервером. Для того чтобы контролировать процесс установления соединения, сетевой экран должен фиксировать для себя текущее состояние соединения, то есть запоминать, какое последнее сообщение отправил клиент и какое сообщение он ожидает получить. Такой подход, когда пропускаются только те пакеты, которые удовлетворяют логике работы соответствующего протокола, называют фильтрацией с учетом контекста (stateful packet inspection). Благодаря такой способности брандмауэры сетевого уровня могут защищать серверы внутренней сети от различных видов атак, использующих уязвимости протоколов, в частности от DoS-атак.

Сетевые экраны прикладного уровня способны интерпретировать, анализировать и контролировать содержимое сообщений, которыми обмениваются приложения. К этому уровню относят прокси-серверы, о которых мы будем говорить подробнее далее. Прокси-сервер перехватывает запросы клиентов к внешним серверам с тем, чтобы потом отправить их от своего имени. Этот тип сетевых экранов обеспечивает самый высокий уровень защиты, хотя и имеет свои недостатки, например требует больших вычислительных затрат. Кроме того, прокси-серверы могут скрывать адрес «доверившегося» ему клиента, что снижает эффективность других средств защиты.

Реализация

Реализация сетевого экрана так же многовариантна, как и его функциональность. В качестве аппаратной составляющей сетевого экрана может выступать маршрутизатор или комбинация маршрутизаторов, компьютер или комбинация компьютеров, комбинация маршрутизаторов и компьютеров, наконец, это может быть специализированное устройство. Таким же разнообразием отличается и программная составляющая сетевого экрана, имеющая гибкую структуру и включающая в себя различные модули, функции которых могут широко варьироваться.

Сложная структура аппаратных и программных средств сетевого экрана, разнообразие настраиваемых параметров, наборы правил, регламентирующих работу фильтров разного уровня, списки паролей и другой информации для проведения аутентификации, списки прав доступа пользователей к внутренним и внешним ресурсам сети — все это требует от администратора значительной дополнительной работы по конфигурированию. Только в случае качественной надтройки аппаратуры и программных модулей сетевой экран действительно может стЗть краеугольным камнем системы защиты сети предприятия. «Умные» сетевые экраны позволяют администратору упростить эту работу, потому что они требуют только задания высокоуровневых правил политики безопасности сети, которые затем автоматически транслируются в низкоуровневые операции по конфигурированию отдельных функциональных подсистем сетевого экрана.

Архитектура

Простейшей архитектурой сети с сетевым экраном является вариант, когда все функции сетевого экрана реализуются одним программно-аппаратным устройством, например маршрутизатором или, как показано на рис. 24.23, универсальным компьютером. Такой способ построения защиты логически самый простой, однако он имеет очевидный недостаток, заключающийся в полной зависимости системы защиты от работоспособности одного звена, в данном случае — компьютера-брандмауэра.

Компьютер, играющий роль сетевого экрана, должен иметь, по крайней мере, два сетевых интерфейса, к одному из которых подключается внутренняя, к другому — внешняя сеть. Двухвходовой компьютер выполняет функции программного маршрутизатора, а также те функции сетевого экрана, конкретный перечень которых определяется установленным на данном компьютере программным обеспечением.

Более надежные схемы сетевых экранов включают несколько элементов. В сети, показанной на рис. 24.24, на рубеже защиты установлено два маршрутизатора, между которыми располагается так называемая сеть периметра.

Сетыгериметра, или сеть демилитаризованной Зоны (DMZ), — это сеть, которую для добавления еще ompro уровня защиты Ьнутрендой сети размещают мёхсйу Йй^ренней и внешней сетямивкачестбе буфера. .

В сети периметра обычно располагаются компьютеры, которые предоставляют общедоступные сервисы, например почтовый сервер, внешний сервер DNS или внешний веб-сервер предприятия. В этой зоне могут быть размещены также прокси-серверы. Учитывая, что само назначение этих компьютеров предполагает практически никак не ограничиваемый доступ к ним внешних пользователей (а значит, и злоумышленников), их необходимо защищать особенно тщательно. Главными задачами при защите этих компьютеров (называемых иногда компьютерами-бастионами) является обеспечение целостности и доступности размещенных на них данных для пользователей внешней сети. Эту задачу решают «индивидуальные» средства защиты, устанавливаемые на компьютерах-бастионах, такие, например, как антивирусные программы или фильтры спама.

Чтобы пояснить, каким образом сеть периметра усиливает защиту внутренней сети, давайте посмотрим, что произойдет, если какой-либо злоумышленник сможет «взломать» первый рубеж защиты — внешний маршрутизатор — и начнет прослушивать трафик подключенной к нему сети периметра. Очевидно, что он получит доступ только к трафику общедоступных серверов, которыйле является секретным.

Внешний маршрутизатор призван фильтровать трафик с целью защиты сети периметра и внутренней сети. Однако строгая фильтрация в этом случае оказывается невостребованной. Общедоступные серверы по своей сути предназначены для практически неограниченного доступа. Что касается защиты внутренней сети, правила фильтрации для доступа к ее узлам и сервисам являются одними и теми же для обоих маршрутизаторов, поэтому внешний маршрутизатор может просто положиться в этом деле на внутренний маршрутизатор.

Обычно внешний маршрутизатор находится в зоне веденья провайдера, и администраторы корпоративной сети огр^шчены в возможностях его оперативного реконфигурирования. Это является еще одной причиной, по которой функциональная нагрузка на внешний маршрутизатор обычно невелика.

Основная работа по обеспечению безопасности локальной сети возлагается на внутренний маршрутизатору который защищает ее как от внешней сети, так и от сети периметра. Правила, определенные для узлов сети периметра по доступу к ресурсам внутренней сети, часто бывают более строгими, чем правила, регламентирующие доступ к этим ресурсам внешних пользователей. Это делается для того, чтобы в случае взлома какого-либо компьютера-бастиона уменьшить число узлов и сервисов, которые впоследствии могут быть атакованы с этого компьютера. Именно поэтому внутренний маршрутизатор должен отбрасывать все пакеты, следующие во внутреннюю сеть из сети периметра, исключая пакеты нескольких протоколов (например, HTTP, SMTP, DNS), абсолютно необходимых пользователям внутренней сетй для обращения к внешним серверам соответственно веб-службы, электронной почты и DNS, установленным в сети периметра.

Прокси-серверы

В этом разделе мы рассмотрим функциональное назначение, принципы работы и особенности реализации прокси-серверов, которые наряду с пакетными фильтрами являются важнейшими компонентами сетевых экранов.

Функции прокси-сервера

11рокей^рер|10р особый тип приложений, которое выполняет функции посредника между

клиентскими и серверными частями распределенных сетевых приложений, причем предполагается, что клиенты принадлежат внутренней {заи^щаемой) сети,-а серверы — внешней (потенциально опасной)сети. ' ‘ *

Роль транзитного узла позволяет прокси-серверу логически разорвать прямое соединение между клиентом и сервером с целью контроля процесса обмена сообщениями между ними. ¹

Подобно сетевому экрану, прокси-сервер может эффективно выполнять свои функции только при условии, что контролируемый им трафик не пойдет обходным путем.

Прокси-сервер может быть установлен не только на платформе, где работают все остальные модули сетевого экрана (рис. 24.25, а), но и на любом другом узле внутренней сети или сети периметра (рис. 24.25, б). В последнем случае программное обеспечение клиента должно быть сконфигурировано таким образом, чтобы у него не было возможности установить прямое соединение с ресурсным сервером, минуя прокси-сервер.

Когда клиенту необходимо получить ресурс от какого-либо сервера (файл, веб-страницу, почтовое сообщение), он посылает свой запрос прокси-серверу. Прокси-сервер анализирует этот запрос на основании заданных ему администратором правил и решает, каким образом он должен быть обработан (отброшен, передан без изменения ресурсному серверу, модифицирован тем или иным способом перед передачей, немедленно обработан силами самого прокси-сервера).

В качестве правил, которыми руководствуется прокси-сервер, могут выступать условия пакетной фильтрации. Правила могут быть достаточно сложными, например в рабочие часы блокируется доступ к тем или иным узлам и/или приложениям, а доступ к другим узлам разрешается только определенным пользователям, причем для FTP-серверов пользователям разрешается делать лишь загрузку, а выгрузка запрещается. Прокси-серверы могут также фильтровать почтовые сообщения по типу пересылаемого файла (например, запретить получение сообщений формата MP3) и по их контенту. К разным пользователям могут применяться разные правила фильтрации, поэтому часто на прокси-серверы возлагается задача аутентификации пользователей.

Если после всесторонней оценки запроса от приложения прокси-сервер констатирует, что запрос удовлетворяет условиям прохождения дальше во внешнюю сеть, то он выполняет по поручению приложения, но от своего имени процедуру соединения с сервером, затребованным данным приложением.

В некоторых случаях прокси-сервер может изменять запрос клиента. Например, если в него встроена функция трансляции сетевых адресов (см. раздел «Трансляция сетевых адресов» в главе 18), он может подменять в пакете запроса IP-адреса и/или номера TCP- и UDP-портов отправителя. Таким способом прокси-сервер лишает злоумышленника возможности сканировать внутреннюю сеть для получения информации об адресах узлов и структуре сети. Единственный адрес в таком случае, который может узнать злоумышленник, — это адрес компьютера, на котором выполняется программа прокси-сервера. Поэтому многие атаки, построенные на знании злоумышленником адресов узлов внутренней сети, становятся нереализуемыми.

Прокси-сервер, выступая посредником между клиентом и сервером, взаимодействующими между собой по совершенно определенному протоколу, не может не учитывать специфику этого протокола. Так, для каждого из протоколов HTTP, HTTPS, SMTP/POP, FTP, telnet существует особый прокси-сервер, ориентированный на использование соответствующими приложениями: веб-браузером, электронной почтой, FTP-клиентом, клиентом telnet. Каждый из этих посредников принимает и обрабатывает пакеты только того типа приложений, для обслуживания которого он был создан.

ПРИМЕЧАНИЕ-

Обычно несколько разных прокси-серверов объединяют в один программный продукт.

Посмотрим, как учитывает специфику протокола прокси-сервер, ориентированный на веб-службу. Этот тип прокси-сервера может, например, выполнить собственными силами запрос веб-клиента, не отсылая его к соответствующему веб-серверу. Работая транзитным узлом при передаче сообщений между браузерами и веб-серверами Интернета, прокси-сервер не только передает клиентам запрашиваемые веб-страницы, но и сохраняет их в своей кэш-памяти на диске. В соответствии с алгоритмом кэширования, на диске прокси-сервера оседают наиболее часто используемые веб-страницы. При получении запросов к веб-серверам прокси-сервер, прежде всего, проверяет, есть ли запрошенная страница в его кэше. Если есть, то она немедленно передается клиенту, а если нет, то прокси-сервер обычным образом делает запрос от имени своего доверителя. Прокси-сервер веб-службы может осуществлять административный контроль проходящего через него контента, в частности ограничивать доступ клиента к сайтам, имеющим IP-адреса или DNS-имена из «черных списков». Более того, он может фильтровать сообщения на основе ключевых слов.

Прокси-серверы прикладного уровня и уровня соединений

Прокси-серверы могут выполнять свою посредническую миссию на разных уровнях.

ПРИМЕР-АНАЛОГИЯ -

Рассмотрим пример, иллюстрирующий идею посредничества разного уровня. Для покупки акций инвестор (в нашем случае аналог клиентской части приложения) может прибегнуть к посредническим услугам брокера или 1рейдера. Брокер, точно следуя указаниям инвестора, покупает для него определенное количество акций определенного типа по определенной цене. Трейдер — это посредник более высокого уровня, которому инвестор поручает самостоятельно принимать решения о необходимых покупках, учитывая различные факторы, например состояние рынка.

Различают прокси-серверы прикладного уровня и уровня соединений.

Прокси-сервер прикладного уровня, как это следует из его названия, умеет «вклиниваться» в процедуру взаимодействия клиента и сервера по одному из прикладных протоколов, например тому же HTTP, HTTPS_> SMTP/POP, FTP или telnet. Чтобы выступать в роли посредника на прикладном уровне, прокси-сервер должен «понимать» смысл команд, «знать» форматы и последовательность сообщений, которыми обмениваются клиент и сервер соответствующей службы. Это дает возможность прокси-серверу проводить анализ содержимого сообщений, делать заключения о подозрительном характере того или иного сеанса.

Прокси-сервер уровня соединений выполняет свою посредническую миссию на транспортном уровне, контролируя TCP-соединение. Очевидно, что работая на более низком уровне, прокси-сервер обладает гораздо меньшим «интеллектом» и имеет меньше возможностей для выявления и предупреждения атак. Однако он обладает одним очень важным преимуществом перед прокси-сервером прикладного уровня — универсальностью, то есть он может быть использован любыми приложениями, работающими по протоколу TCP (а в некоторых случаях и UDP).

Примером прокси-сервера данного типа является разработанный достаточно давно, но все еще широко применяемый сервер SOCKS (от SOCKetS).

В простейшей версии протокола SOCKS V4⁸⁴ клиент обменивается с прокси-сервером SOCKS двумя сообщениями: запросом клиента SOCKS-серверу и ответом SOCKS-сервера клиенту.

? Запрос клиента SOCKS-серверу:

О поле 1 — номер версии SOCKS, 1 байт (для этой версии — 4);

G поле 2 — код команды, 1 байт (для установки соединения TCP/IP код равен 1);

О поле 3 — номер порта, 2 байта (TCP-порт запрашиваемого пользователем ресурсного сервера, например, для 21 для FTP);

О поле 4 — 1Р-адрес, 4 байта (IP-адрес ресурсного сервера);

О поле 5 — идентификатор пользователя (строка переменной длины, завершаемая байтом null).

SOCKS-сервер анализирует все полученные данные и на основании сконфигурированных для него правил определяет, предоставить или неу данному пользователю доступ к данному серверу. Результат SOCKS-сервер сообщает клиенту в виде ответа.

? Ответ SOCKS-сервера клиенту:

О поле 1 — байт null;

О поле 2 — код ответа, 1 байт (применяются коды для следующих вариантов ответа: запрос разрешен, запрос отклонен или ошибочен, запрос не удался из-за проблем с идентификацией пользователя);

О несколько байтов, игнорируемых клиентом.

Если прокси-сервер сообщил в ответе, что запрос разрешен, то SOCKS-сервер начинает работать промежуточном звеном между клиентом и сервером (например, FTP), контролируя поток квитанции, которыми они обмениваются.

«Проксификация» приложений

Заметим, что не каждое приложение, построенное в архитектуре клиент-сервер, непременно должно работать через прокси-сервер, а также не каждое из них имеет возможность работать через прокси-сервер.

Список приложений (точнее их клиентских частей), которые должны передавать свои запросы во внешнюю сеть исключительно через прокси-сервер, определяется администратором. А чтобы эти приложения имели возможности для такого режима выполнения, их программы должны быть соответствующим образом написаны.

Точнее приложения должны быть оснащены средствами, которые распознавали бы запросы к внешним серверам и перед отправкой преобразовывали эти запросы так, чтобы все они попадали на соответствующий прокси-сервер, а не передавались в соответствии со стандартным протоколом прямо на сервер-адресат. Эти средства должны также поддерживать протокол обмена сообщениями приложения-клиента с прокси-сервером. В последние годы в большинстве приложений, ориентированных на работу через Интернет, предусмотрена встроенная поддержка прокси-сервера. Такой поддержкой, например, оснащены все веббраузеры и все клиенты электронной почты, которыми мы сейчас пользуемся.

«Проксификация» приложения, изначально не рассчитанного на работу через проки-сервер, требует изменения исходного кода с последующей перекомпиляцией — очевидно, что такая работа не представляет сложностей для разработчиков данного приложения, но не всегда под силу обслуживающему персоналу сети. Задача последних заключается в приобретении готовых приложений, совместимых с используемым в сети прокси-сервером. Однако даже приобретение готового «проксифицированного» клиента не делает его готовым к работе — необходимо еще конфигурирование, в частности нужно сообщить клиенту адрес узла сети, на котором установлен соответствующий прокси-сервер.

Как можно было бы предположить, процедура «проксификации» значительно упрощается для прокси-сервера уровня соединений, в частности SOCKS-сервера. Для «проксификации» приложения в этом случае достаточно внести простейшие исправления в исходный текст, а затем выполнить его перекомпиляцию и связывание с библиотекой процедур SOCKS. Исправления сводятся к замене всех стандартных вызовов сетевых функций версиями этих функций из библиотеки SOCKS, в частности стандартный вызов 1 i sten () заменяется вызовом rl i sten(), вызов bi nd() — вызовом rbi nd(), вызов accept () — вызовом raccept().

Имеется еще один подход к «проксификации» — встраивание поддержки прокси-сервера в операционную систему. В этом случае приложения могут оставаться в полном «неведении» о существовании в сети прокси-сервера, за них все необходимые действия выполнит ОС.

Помимо основных функций, многие прокси-серверы способны обнаруживать вирусы еще до того, как они попали во внутреннюю сеть. К другим полезным (для администрации и службы безопасности) вспомогательным функциям прокси-сервера относится сбор статистических данных о доступе пользователей в Интернет: когда и какие сайты посещал тот или иной пользователь, сколько времени продолжалось каждое посещение.

Системы обнаружения вторжений

Система обнаружения вторжений (Intrusion Detection System, IDS) — это программное или аппаратное средство, предназначенное для предупреждения, выявления и протоколирования некоторых типов сетевых атак.

В отличие от сетевых экранов и прокси-серверов, которые строят защиту сети исключительно на основе анализа сетевого трафика, системы обнаружения вторжений учитывают в своей работе различные подозрительные события, происходящие в системе.

Существуют ситуации, когда сетевой экран оказывается проницаемым для злоумышленника, например, когда атака идет через туннель VPN из взломанной сети или инициатором атаки является пользователь внутренней сети и т. п. И дело здесь не в плохой конфигурации межсетевого экрана, а в самом принципе его работы. Экран, несмотря на то что обладает памятью и анализирует последовательность событий, конфигурируется на блокирование трафика с заранее предсказуемыми признаками, например по IP-адресам или протоколам. Так что факт взлома внешней сети, с которой у него был установлен защищенный канал и которая до сих пор вела себя вполне корректно, в правилах экрана отразить нельзя. Точно так же, как и неожиданную попытку легального внутреннего пользователя скопировать файл с паролями или повысить уровень своих привилегий. Подобные подозрительные действия может обнаружить только система со встроенными агентами во многих точках сети, причем она должна следить не только за трафиком, но и за обращениями к критически важным ресурсам операционных систем отдельных компьютеров, а также иметь информацию о перечне подозрительных действий (сигнатур атак) пользователей. Таковой и является система обнаружения вторжений. Она не дублирует действия межсетевого экрана, а дополняет их, производя, кроме того, автоматический анализ всех журналов событий, имеющихся у сетевых устройств и средств защиты, чтобы попытаться найти следы атаки, если ее не удалось зафиксировать в реальном времени.

Протоколы защищенного канала. IPsec

Известно, что задачу защиты данных можно разделить на две подзадачи: защиту данных внутри компьютера и защиту данных в процессе их передачи от одного компьютера в другой. Для обеспечения безопасности данных при их передаче по публичным сетям используются различные технологии защищенного канала.

Технология защищенного канала обеспечивает защиту трафика между двумя точками в открытой транспортной сети, например в Интернете. Защищенный канал подразумевает выполнение трех основных функций:

? взаимная аутентификация абонентов при установлении соединения, которая может быть выполнена, например, путем обмена паролями;

? защита передававмцх'Ло каналу сообщений от несанкционированного доступа, например, путем шифрования;

? подтверждение целостности поступающих по каналу сообщений, например, путем передачи одновременно с сообщением его дайджеста.

В зависимости от местарасположения программного обеспечения защищенного канала различает две схемы его образования:

? схема с конечными узлами, взаимодействующими через публичную сеть (рис. 24.26, а)

? схема с оборудованием поставщика услуг публичной сети, расположенным на границе между частной и публичной сетями (рис. 24.26, б).

В первом случае защищенный канал образуется программными средствами, установленными на двух удаленных компьютерах, принадлежащих двум разным локальным сетям одного предприятия и связанных между собой через публичную сеть. Преимуществом этого подхода является полная защищенность канала вдоль всего пути следования, а также возможность использования любых протоколов создания защищенных каналов, лишь бы на конечных точках канала поддерживался один и тот же протокол. Недостатки заключаются в избыточности и децентрализованности решения. Избыточность состоит в том, что вряд ли стоит создавать защищенный канал на всем пути следования данных: уязвимыми для злоумышленников обычно являются сети с коммутацией пакетов, а не каналы телефонной сети или выделенные каналы, через которые локальные сети подключены к территориальной сети. Поэтому защиту каналов доступа к публичной сети можно считать избыточной. Децентрализация заключается в том, что для каждого компьютера, которому требуется предоставить услуги защищенного канала, необходимо отдельно устанавливать, конфигурировать и администрировать программные средства защиты данных. Подключение каждого нбвого компьютера к защищенному каналу требует выполнять эти трудоемкие операций заново.

Во втором случае клиенты и серверы не участвуют в создании защищенного канала — он прокладывается только внутри публичной сети с коммутацией пакетов, например внутри Интернета. Так, канал может быть проложен между сервером удаленного доступа поставщика услуг публичной сети и пограничным маршрутизатором корпоративной сети. Это хорошо масштабируемое решение, управляемое централизовано администраторами как корпоративной сети, так и сети поставщика услуг. Для компьютеров корпоративной сети канал прозрачен — программное обеспечение этих конечных узлов остается без изменений. Такой гибкий подход позволяет легко образовывать новые каналы защищенного взаимодействия между компьютерами независимо от места их расположения. Реализация этого подхода сложнее — нужен стандартный протокол образования защищенного канала, требуется установка у всех поставщиков услуг программного обеспечения, поддерживающего такой протокол, необходима поддержка протокола производителями пограничного коммуникационного оборудования. Однако вариант, когда все заботы по поддержанию защищенного канала берет на себя поставщик услуг публичной сети, оставляет сомнения в надежности защиты: во-первых, незащищенными оказываются каналы доступа к публичной сети, во-вторых, потребитель услуг чувствует себя в полной зависимости от надежности поставщика услуг.

Иерархия технологий защищенного канала

Защищенный канал можно построить с помощью системных средств, реализованных на разных уровнях модели OSI (рис. 24.27).

Рис. 24.27. Протоколы, формирующие защищенный канал на разных уровнях модели OSI

Если защита данных осуществляется средствами верхних уровней (прикладного, представления или сеансового), то такой способ защиты не зависит от технологий транспортировки данных (IP или IPX, Ethernet или ATM), что можно считать несомненным достоинством. В то же время приложения при этом становятся зависимыми от конкретного протокола защищенного канала, так как в них должны быть встроены явные вызовы функций этого протокола.

Защищенный канал, реализованный на самом высоком (прикладном) уровне, защищает только вполне определенную сетевую службу, например файловую, гипертекстовую или почтовую. Так, протокол S/MIME защищает исключительно сообщения электронной почты. При таком подходе для каждой службы необходимо разрабатывать собственную защищенную версию протокола.

Популярный протокол SSL⁸⁵ (Secure Socket Layer — слой защищенных сокетов) работает на уровне

представления и создает защищенный канал, используя следующие технологии безопасности:

? взаимная аутентификация приложений на обоих концах защищенного канала выполняется путем обмена сертификатами (стандарт Х.509);

? для контроля целостности передаваемых данных используются дайджесты;

? секретность обеспечивается шифрацией со средствами симметричных ключей сеанса.

Протокол SSL разработан компанией Netscape Communications для защиты данных, передаваемых между веб-сервером и веб-браузером, но он может быть использован и любыми другими приложениями. Работа протокола защищенного канала на уровне представления делает его более универсальным средством, чем протокол безопасности прикладного уровня. Однако для того чтобы приложение смогло воспользоваться протоколом уровня представления, в него по-прежнему приходится вносить исправления, хотя и не столь существенные, как в случае протокола прикладного уровня. Модификация приложения в данном случае сводится к встраиванию явных обращений к API соответствующего протокола безопасности.

Средства защищенного канала становятся прозрачными для приложений в тех случаях, когда безопасность обеспечивается на сетевом и канальном уровнях. Однако здесь мы сталкиваемся с другой проблемой — зависимостью сервиса защищенного канала от протокола нижнего уровня. Например, протокол РРТР, не являясь протоколом канального уровня, защищает кадры протокола РРР канального уровня, упаковывая их в IP-пакеты. При этом не имеет никакого значения, пакет какого протокола, в свою очередь, упакован в данном РРР-кадре: IP, IPX, SNA или NetBIOS. С одной стороны, это делает сервис РРТР достаточно универсальным, так как клиент сервиса защищенного канала может задействовать любые протоколы в своей сети. С другой стороны, такая схема предъявляет жесткие требования к типу протокола канального уровня, используемому на участке доступа клиента к защищенному каналу — для протокола РРТР таким протоколом может быть только РРР. Хотя протокол РРР очень распространен в линиях доступа, сегодня конкуренцию ему составляют протоколы Gigabit Ethernet и Fast Ethernet, которые все чаще работают не только в локальных, но и глобальных сетях.

Работающий на сетевом уровне протокол IPSec является компромиссным вариантом. С одной стороны, он прозрачен для приложений, с другой — может Сработать практически во всех сетях, так как основан на широко распространенном протоколе IP и использует любую технологию канального уровня (РРР, Ethernet, ATM и т. д.).

Распределение функций между протоколами IPSec

Протокол IPSec называют в стандартах Интернета системой. Действительно, IPSec — это согласованный набор открытие стандартов, имеющий сегодня вполне очерченное ядро, которое в то же время может быть достаточно просто дополнено новыми функциями и протоколами.

Ядро IPSec составляют три протокола:

? АН (Authentication Header — заголовок аутентификации) — гарантирует целостность и аутентичность данных;

? ESP (Encapsulating Security Payload — инкапсуляция зашифрованных данных) — шифрует передаваемые данные, обеспечивая конфиденциальность, может также поддерживать аутентификацию и целостность данных;

? IKE (Internet Key Exchange — обмен ключами Интернета) — решает вспомогательную задачу автоматического предоставления конечным точкам защищенного канала секретных ключей, необходимых для работы протоколов аутентификации и шифрования данных.

Как видно из краткого описания функций, возможности протоколов АН и ESP частично перекрываются (рис. 24.28). В то время как АН отвечает только за обеспечение целостности и аутентификации данных, ESP может шифровать данные и, кроме того, выполнять функции протокола АН (хотя, как увидим позднее, аутентификация и целостность обеспечиваются им в несколько урезанном виде). ESP может поддерживать функции шифрования и аутентификации/целостности в любых комбинациях, то есть либо всю группу функций, либо только аутентификацию/целостность, либо только шифрование.

Разделение функций защиты между протоколами АН и ESP вызвано применяемой во многих странах практикой ограничения экспорта и/или импорта средств, обеспечивающих конфиденциальность данных путем шифрования. Каждый из этих протоколов может использоваться как самостоятельно, так и одновременно с другим, так что в тех случаях, когда шифрование из-за действующих ограничений применять нельзя, систему можно поставлять только с протоколом АН. Естественно, подобная защита данных во многих случаях оказывается недостаточной. Принимающая сторона получает лишь возможность проверить, что данные были отправлены именно тем узлом, от которого они ожидаются, и дошли в том виде, в котором были отправлены. Однако от несанкционированного просмотра данных на пути их следования по сети протокол АН защитить не может, так как не шифрует их. Для шифрования данных необходим протокол ESP.

Безопасная ассоциация

Для того чтобы протоколы АН и ESP могли выполнять свою работу по защите передаваемых данных, протокол IKE устанавливает между двумя конечными точками логическое соединение (рис. 24.29), которое в стандартах IPSec носит название безопасной ассоциации (Security Association, SA).

Стандарты IPSec позволяют конечным точкам защищенного канала использовать как одну безопасную ассоциацию для передачи трафика всех взаимодействующих через этот канал хостов, так и создавать для этой цели произвольное число безопасных ассоциаций, например, по одной на каждое TCP-соединение. Это дает возможность выбирать нужную степень детализации защиты — от одной общей ассоциации для трафика множества конечных узлов до индивидуально настроенных ассоциаций для защиты каждого приложения.

Безопасная ассоциация в протоколе IPSec представляет собой однонаправленное (симплексное) логическое соединение, поэтому если требуется обеспечить безопасный двусторонний обмен данными, необходимо установить две безопасные ассоциации. Эти ассоциации в общем случае могут иметь разные характеристики, например, в одну сторону при передаче запросов к базе данных достаточно только аутентификации, а для ответных данных, несущих ценную информацию, дополнительно нужно обеспечить конфиденциальность.

Установление безопасной ассоциации начинается с взаимной аутентификации сторон, потому что все меры безопасности теряют смысл, если данные передаются или принимаются не тем лицом или не от того лица. Выбираемые далее параметры SA определяют, какой из двух протоколов, АН или ESP, будет применяться для защиты данных, какие функции будет выполнять протокол (например, можно выполнять только аутентификацию и проверку целостности или, кроме того, еще и обеспечивать конфиденциальность). Очень важными параметрами безопасной ассоциации являются также секретные ключи, используемые в работе протоколов АН и ESP.

Протокол IPSec допускает как автоматическое, так и ручное установление безопасной ассоциации. При ручном способе администратор конфигурирует конечные узлы так, чтобы они поддерживали согласованные параметры ассоциации, включая секретные ключи. При автоматической процедуре установления SA протоколы IKE, работающие по разные стороны канала, выбирают параметры в ходе переговорного процесса. Для каждой задачи, решаемой протоколами АН и ESP, предлагается несколько схем аутентификации и шифрования (рис. 24.30). Это делает протокол IPSec очень гибким Средством. Заметим, что выбор дайджест-функции для решения задач целостности и аутентификации никак не влияет на выбор функции шифрования, обеспечивающей конфиденциальность данных.

Для обеспечения совместимости в стандартной версии IPsec определен некоторый обязательный «инструментальный» набор, в частности для аутентификации данных всегда может быть использована одна из стандартных дайджест-функций MD5 либо SHA-1, а в число алгоритмов шифрования непременно входит DES. При этом производители продуктов, в которых используется IPSec, вольны расширять протокол путем включения других алгоритмов аутентификации и симметричного шифрования, что они с успехом и делают. Например, многие реализации IPSec поддерживают популярный алгоритм шифрования Triple DES, а также сравнительно новые алгоритмы: Blowfish, Cast, CDMF, Idea, RC5.

Транспортный и туннельный режимы

Протоколы АН и ESP могут защищать данные а двух режимах: транспортном и туннельном.

, &*РА1^прртном^ через сеть выполняется с помощью оригинального

- исходный пакет помещается в новый IP-пакет;

и передача данных по сети выполняется на основании заголовка нового !Р-пакета.

Применение того или иного режима зависит от требований, предъявляемых к защите данных, а также от роли, которую играет в сети узел, завершающий защищенный канал. Так, узел может быть хостом (конечным узлом) или шлюзом (промежуточным узлом). Соответственно, имеются три схемы применения протокола IPSec:

? хост-хост;

? шлюз-шлюз;

? хост-шлюз.

В схеме хост-хост защищенный канал, или, что в данном контексте одно и то же, безопасная ассоциация,^устанавливается между двумя конечными узлами сети (см. рис. 24.29). Тогда протокол IPSec работает на конечных узлах и защищает данные, передаваемые от хоста 1 к хосту 2. Для схемы хост-хост чаще всего используется транспортный режим защиты.

В соответствии со схемой шлюз-шлюз защищенный канал устанавливается между двумя промежуточными узлами, так называемыми шлюзами безопасности (Security Gateway, SG), на каждом из которых работает протокол IPSec (рис. 24.31). Защищенный обмен данными может происжодить между любыми двумя конечными узлами, подключенными к сетям, которые расположены позади шлюзов безопасности. От конечных узлов поддержка протокола IPSec не требуется, они передают свой трафик в незащищенном виде через заслуживающие доверие внутренние сети предприятий. Трафик, направляемый в общедоступную сеть, проходит через шлюз безопасности, который и обеспечивает его защиту с помощью протокола IPSec. Шлюзам доступен только туннельный режим работы.

На рис. 24.31 пользователь компьютера с адресом IP1 посылает пакет по адресу IP2, используя туннельный режим протокола IPSec. Шлюз SG1 зашифровывает пакет целиком, вместе с заголовком, и снабжает его новым заголовком IP, в котором в качестве адреса отправителя указывает свой адрес — IP3, а в качестве адреса получателя — адрес IP4 шлюза SG2. Вся передача данных по составной IP-сети выполняется на основании заголовка внешнего пакета, а внутренний пакет становится при этом полем данных для внешнего пакета. На шлюзе SG2 протокол IPSec извлекает инкапсулированный пакет и расшифровывает его, приводя к исходному виду.

Протокол АН

Протокол АН позволяет приемной стороне убедиться, что:

? пакет был отправлен стороной, с которой установлена безопасная ассоциация;

? содержимое пакета не было искажено в процессе его передачи по сети;

? пакет не является дубликатом уже полученного пакета.

Две первые функции обязательны для протокола АН, а последняя выбирается при установлении ассоциации по желанию. Для выполнения этих функций протокол АН использует специальный заголовок (рис. 24.33).

16

31

Следующий

заголовок

Длина

Индекс параметров безопасности (SPI)

Порядковый номер (SN)

Данные аутентификации

Рис. 24.33. Структура заголовка протокола АН

В полё следующего заголовка (next header) указывается код протокола более высокого уровня, то есть протокола, сообщение которого размещено в поле данных IP-пакета. Скорее всего, им будет один из протоколов транспортного уровня (TCP или UDP) или протокол ICMP, но может встретиться и протокол ESP, если он используется в комбинации с АН.

В поле длины полезной нагрузки (payload length) содержится длина заголовка АН.

Индекс параметров безопасности (Security Parameters Index, SPI) служит для связи пакета с предусмотренной для него безопасной ассоциацией. Немного позже мы обсудим его более подробно.

Поле порядкового номера (Sequence Number, SN) указывает на порядковый номер пакета и применяется для защиты от его ложного воспроизведения (когда третья сторона пытается повторно использовать перехваченные защищенные пакеты, отправленные реально аутентифицированным отправителем). Отправляющая сторона последовательно увеличивает значение этого поля в каждом новом пакете, передаваемом в рамках данной ассоциации, так что приход дубликата обнаружится принимающей стороной (если, конечно, в рамках ассоциации будет активирована функция защиты от ложного воспроизведения). Однако в любом случае в функции протокола АН не входит восстановление утерянных и упорядочивание прибывающих пакетов — он просто отбрасывает пакет, когда обнаруживает, что аналогичный пакет уже получен. Чтобы сократить требуемую для работы протокола буферную память, используется механизм скользящего окна — на предмет дублирования проверяются только те пакеты, чей номер находится в пределах окна. Окно обычно выбирается размером в 32или 64 пакета.

Поле данных аутентификации (authentication data), которое содержит так называемое значение проверки целостности (Integrity Check Value, ICV), служит для аутентификации и проверки целостности пакета. Это значение является дайджестом, вычисляемым с помощью одной из двух обязательно поддерживаемых протоколом АН односторонних функций шифрования MD5 или SAH-1, но может использоваться и любая другая функция, о которой стороны договорились в ходе установления ассоциации. При вычислении дайджеста пакета в качестве параметра ОФШ выступает симметричный секретный ключ, который был задан для данной ассоциации вручную или автоматически с помощью протокола IKE. Так как длина дайджеста зависит от выбранной ОФШ, это поле имеет в общем случае переменный размер.

Протокол АН старается охватить при вычислении дайджеста как можно большее число полей исходного IP-пакета, но некоторые из них в процессе передачи пакета по сети меняются непредсказуемым образом, поэтому не могут быть включены в аутентифицируемую часть пакета. Например, целостность значения поля времени жизни (TTL) в приемной точке канала оценить нельзя, так как оно уменьшается на единицу каждым промежуточным маршрутизатором и никак не может совпадать с исходным.

Местоположение заголовка АН в пакете зависит от того, в каком режиме — транспортном или туннельном — сконфигурирован защищенный канал. Результирующий пакет в транспортном режиме выглядит так, как показано на рис. 24.34.

При использовании туннельного режима, когда шлюз IPSec принимает проходящий через него транзитом исходящий пакет и создает для него внешний IP-пакет, протокол АН защищает все поля исходного пакета, а также неизменяемые поля нового заголовка внешнего пакета (рис. 24.35).

Протокол ESP

Протокол ESP решает две группы задач. К первой относятся задачи обеспечения аутентификации и целостности данных на основе дайджеста, аналогичные задачам протокола АН, ко второй — защита передаваемых данных путем их шифрования от несанкционированного просмотра.

Как видно на рис. 24.36, заголовок ESP делится на две части, разделяемые полем данных. Первая часть, называемая собственно заголовком ESP, образуется двумя полями (SPI и SN), назначение которых аналогично одноименным полям протокола АН, и размещается перед полем данных. Остальные служебные поля протокола ESP, называемые концевиком ESP, расположены в конце пакета.

Два поля концевика — следующего заголовка и данных аутентификации — также аналогичны полям заголовка АН. Поле данных аутентификации отсутствует, если при установлении безопасной ассоциации принято решение не использовать возможностей протокола ESP, касающихся обеспечения целостности. Помимо этих полей концевик содержит два дополнительных поля — заполнителя и длины заполнителя. Заполнитель может понадобиться в трех случаях. Во-первых, для нормальной работы некоторых алгоритмов шифрования необходимо, чтобы шифруемый текст содержал кратное число блоков определенного размера. Во-вторых, формат заголовка ESP требует, чтобы поле данных заканчивалось на границе четырех байтов. И наконец, заполнитель можно использовать, чтобы скрыть действительный размер пакета в целях обеспечения так называемой частичной конфиденциальности трафика. Правда, возможность маскировки ограничивается сравнительно небольшим объемом заполнителя — 255 байт, поскольку большой объем избыточных данных может снизить полезную пропускную способность канала связи.

На рис. 24.36 показано размещение полей заголовка ESP в транспортном режиме. В этом режиме ESP не шифрует заголовок IP-пакета, иначе маршрутизатор не сможет прочитать поля заголовка и корректно осуществить продвижение пакета между сетями. В число шифруемых полей не попадают также поля SPI и SN, которые должны передаваться в открытом виде для того, чтобы прибывший пакет можно было отнести к определенной ассоциации и предотвратить ложное воспроизведение пакета.

В туннельном режиме заголовок исходного IP-пакета помещается после заголовка ESP и полностью попадает в число защищаемых полей, а заголовок внешнего IP-пакета протоколом ESP не защищается (рис. 24.37).

Базы данных SAD И SPD

Итак, технология IPSec предлагает различные методы защиты трафика. Каким же образом протокол IPSec, работающий на хосте или шлюзе, определяет способ защиты, который он должен применить к трафику? Решение основано на использовании в каждом узле, поддерживающем IPSec, двух типов баз данных:

? безопасных ассоциаций (Security Associations Database, SAD); a политики безопасности (Security Policy Database, SPD).

При установлении безопасной ассоциации, как и при любом другом логическом соединении, две стороны принимают ряд соглашений, регламентирующих процесс передачи потока данных между ними. Соглашения фиксируются в виде набора параметров. Для безопасной ассоциации такими параметрами являются, в частности, тип и режим работы протокола защиты (АН или ESP), методы шифрования, секретные ключи, значение текущего номера пакета в ассоциации и другая информация. Наборы текущих параметров, определяющих все активные ассоциации, хранятся на обоих оконечных узлах защищенного канала в виде баз данных безопасных ассоциаций (SAD). Каждый узел IPSec поддерживает две базы SAD — одну для исходящих ассоциаций, другую для входящих.

Другой тип базы данных — база данных политики безопасности (SPD) — определяет соответствие между IP-пакетами и установленными для них правилами обработки. Записи SPD состоят из полей двух типов — полей селектора пакета и полей политики защиты для пакета с данным значением селектора (рис. 24.38).

Селектор в SPD включает следующий набор признаков, на основании которых можно с большой степенью детализации выделить защищаемый поток:

? IP-адреса источника и приемника могут быть представлены как в виде отдельных адресов (индивидуальных, групповых или широковещательных), так и диапазонами адресов, заданными с помощью верхней и нижней границ либо с помощью маски;

? порты источника и приемника (то есть TCP- или UDP-порты);

? тип протокола транспортного уровня (TCP, UDP);

? имя пользователя в формате DNS или Х.500;

? имя системы (хоста, шлюза безопасности и т. п.) в формате DNS или Х.500.

Для каждого нового пакета, поступающего в защищенный канал, IPSec просматривает все записи в базе SPD и сравнивает значение селекторов этих записей с соответствующими полями IP-пакета. Если значение полей совпадает с каким-либо селектором, то над пакетом выполняются действия, определенные в поле политики безопасности данной записи. Политика предусматривает передачу пакета без изменения, отбрасывание или обработку средствами IPSec.

В последнем случае поле политики защиты должно содержать ссылку на запись в базе данных SAD, в которую помещен набор параметров безопасной ассоциации для данного пакета (на рис. 24.38 для исходящего пакета определена ассоциация SA3). На основании заданных параметрой15езопасной ассоциации к пакету применяется соответствующие протокол (на рисунке — ESP), функции шифрования и секретные ключи.

Если к исходящему пакету нужно применить некоторую политику защиты, но указатель записи SPD показывает, что в настоящее время нет активной безопасной ассоциации с требуемой политикой, то IPSec создает новую ассоциацию с помощью протокола IKE, помещая новые записи в базы данных SAD и SPD.

Рис. 24.38. Использование баз данных SPD и SAD

Базы данных политики безопасности создаются и администрируются либо пользователем (этот вариант больше подходит для хоста), либо системным администратором (вариант для шлюза), либо автоматически (приложением).

Ранее мы выяснили, что установление связи между исходящим IP-пакетом и заданной для него безопасной ассоциацией происходит путем селекции. Однако остается другой вопрос: как принимающий узел IPSec определяет способ обработки прибывшего пакета, ведь при шифровании многие ключевые параметры пакета, отраженные в селекторе, оказываются недоступными, а значит, невозможно определить соответствующую запись в базах данных SAD и SPJD и, следовательно, тип процедуры, которую надо применить к поступившему пакету? Именно для решения этой проблемы в заголовках АН и ESP предусмотрено поле SPI. В это поле помещается указатель на ту строку базы данных SAD, в которой записаны параметры соответствующей безопасной ассоциации. Поле SPI заполняется протоколом АН или ESP во время обработки пакета в отправной точке защищенного канала. Когда пакет приходит в конечный узел защищенного канала, из его внешнего заголовка ESP или АН (на рисунке — из заголовка ESP) извлекается значение

SPI, и дальнейшая обработка пакета выполняется с учетом всех параметров заданной этим указателем ассоциации.

['Таким образом, для распознавания пакетов, относящихся к разным безопасным ассоциациям, | используются:

,.Л;?3 на узле-отправителе— селектор; ;

? на узле-получателе — индекс параметров безопасности (SPI). j

После дешифрирования пакета приемный узел IPSec проверяет его признаки (ставшие теперь доступными) на предмет совпадения с селектором записи SPD для входящего трафика, чтобы убедиться, что ошибки не произошло и выполняемая обработка пакета соответствует политике защиты, заданной администратором.

Использование баз SPD и SAD для защиты трафика позволяет достаточно гибко сочетать механизм безопасных ассоциаций, который предусматривает установление логического соединения, с дейтаграммным характером трафика протокола IP.

Сети VPN на основе шифрования

Более масштабным средством защиты трафика по сравнению с защищенными каналами являются виртуальные частные сети (VPN). Подобная сеть представляет собой своего рода «сеть в сети», то есть сервис, создающий у пользователей иллюзию существования их частной сети внутри публичной сети. Одним из важнейших свойств такой «частной сети» является защищенность трафика от атак пользователей публичной сети. Сетям VPN доступна не только способность имитации частной сети; они дают пользователю возможность иметь собственное адресное пространство (например, частные IP-адреса, такие как адреса сети 10.0.0.0) и обеспечивать качество обслуживания, близкое к качеству выделенного канала.

В соответствии с технологиями обеспечения безопасности данных, сети VPN делятся на два класса:

? сети VPN на основе разграничения трафика подробно обсуждались в разделе «Виртуальные частные сети» главы 19;

? сети VPN на основе шифрования работают на основе рассмотренной нами в предыдущем разделе техники защищенных каналов.

0^|угуа^ы«|1я частная

^шищвнных каналов, соз|щнНых

^#ОИХ;ф«4ДЙаЛб^.I........ ' ’ ......

То есть в VPN техника защищенных каналов применяется уже в других масштабах, связывая не двух пользователей, а произвольное количество клиентских сетей.

Технологии VPN на основе шифрования включают шифрование, аутентификацию и туннелирование.

? Шифрование гарантирует конфиденциальность корпоративных данных при передаче через открытую сеть.

? Аутентификация отвечает за то, чтобы взаимодействующие системы (пользователи) на обоих концах VPN были уверены в идентичности друг друга.

? Туннелирование предоставляет возможность передавать зашифрованные пакеты по открытой публичной сети.

Для повышения уровня защищенности виртуальных частных сетей технологии VPN на основе шифрования можно применять совместно с технологиями VPN на основе разграничения трафика. Технологии VPN на основе разделения трафика иногда критикуют за недостаточный уровень безопасности, считая, что без шифрования трафика персонал поставщика услуг может получить несанкционированный доступ к данным. Действительно, такая вероятность существует, поэтому клиент услуг VPN на основе разграничения трафика, например MPLS VPN, может самостоятельно повысить защищенность своего трафика, прибегнув, скажем, к шифрованию передаваемых данных.

Сейчас наиболее широко используются сети VPN на основе протоколов IPSec и SSL. Стандарты IPSec обеспечивают высокую степень гибкости, позволяя выбрать нужный режим защиты (с шифрованием или только с обеспечением аутентичности и целостности данных), а также использовать различные алгоритмы аутентификации и шифрования. Режим инкапсуляции IPSec позволяет изолировать адресные пространства получателя (клиента) и поставщика услуг за счет применения двух IP-адресов — внешнего и внутреннего.

Сети VPN на основе IPsec, как правило, строятся по типу CPVPN, то есть как виртуальные частные сети, в которых клиент самостоятельно создает туннели IPSec через IP-сеть поставщика услуг. Причем от последнего требуется только предоставление стандартного сервиса по объединению сетей, а значит, предприятию доступны как услуги сети поставщика, так и услуги Интернета. Конфигурирование сетей VPN на основе IPSec довольно трудоемко, поскольку туннели IPSec двухточечные, то есть при полносвязной топологии их количество пропорционально N х (N - 1), где N — число соединений. Необходимо учесть еще и непростую задачу поддержания инфраструктуры ключей. Протокол IPSec может применяться также для создания виртуальных частных сетей, поддерживаемых провайдером (PPVPN) — туннели в них также строятся на базе устройств клиента (СЕ-based), но эти устройства удаленно конфигурируются и администрируются поставщиком услуг.

Пропускная способность каналов и другие параметры QoS этой технологией не поддерживаются, но если оператор предоставляет определенные параметры QoS (например, за счет дифференцированного обслуживания), их можно использовать при создании туннеля IPSec.

В самое последнее время выросла популярность VPN на основе протокола SSL. Напомним, что этот протокол работает на уровне представления, непосредственно под уровнем приложений, так что приложения должны явным способом его вызывать, чтобы создать защищенный канал для своего трафика. Наиболее популярным приложением, использующим защищенные каналы SSL, является веб-браузер. В этом случае защищенные каналы SSL задействует протокол HTTP, и в этом режиме работы его часто называют протоколом HTTPS. Пользователи Интернета хорошо знают этот режим, так как браузер прибегает к нему во всех случаях, когда необходимо обеспечить конфиденциальность передаваемой информации: при покупках в интернет-магазинах, при интернет-банкинге и т. п.

Служба VPN на основе SSL функционирует на основе веб-портала, развернутого в локальной сети организации. Пользователи такой защищенной службы VPN получают удаленный доступ к ресурсам этой локальной сети, обращаясь к веб-порталу посредством обычного браузера через порт 443 (TCP-порт протокола HTTPS). Отсутствие специального клиентского программного обеспечения, требующего настройки, является значительным преимуществом VPN на основе SSL.

Выводы

Информационная система находится в состоянии защищенности, если обеспечены ее конфиденциальность, доступность и целостность.

Информационная безопасность обеспечивается техническими средствами — системами шифрования, аутентификации, авторизации, аудита, антивирусной защиты, межсетевыми экранами и др., а также юридическими и морально-этическими нормами, просветительной работой и административными мерами.

Существует два класса алгоритмов шифрования — симметричные (например, DES) и асимметричные (например, AFS). Дайджест —? это результат односторонней функции шифрования. Знание дайджеста не позволяет и даже не предполагает восстановления исходных данных. Дайджест используется для контроля целостности и аутентичности документа (цифровая подпись).

Аутентификация пользователя — это процедура доказательства пользователем того, что он есть тот, за кого себя выдает. Процедуры аутентификации могут основываться на знании разделяемого секрета (многоразовые и одноразовые пароли), владения неким уникальным предметом (физическим ключом, документом, сертификатом), на биохарактеристиках (рисунок радужной оболочки глаза).

Авторизация — это процедура контроля доступа легальных пользователей к ресурсам системы и предоставление каждому из них именно тех прав, которые определены ему администратором.

Антивирусная защита служит для профилактики и диагностики вирусного заражения, а также для восстановления работоспособности пораженных вирусами информационных систем. В ней используются методы, основанные на анализе содержимого файлов (сканирование сигнатур) и поведения программ (протоколирование и предупреждение подозрительных действий).

Сетевой экран осуществляет информационную защиту одной части компьютерной сети от другой путем анализа проходящего между ними трафика. Сетевые экраны делятся на экраны с фильтрацией пакетов на основе IP-адресов, сетевые экраны сеансового уровня, способные фильтровать пакеты с учетом контекста, и наиболее интеллектуальные сетевые экраны прикладного уровня.

Прокси-сервер — это особый тип приложения, которое выполняет функции посредника между клиентскими и серверными частями распределенных сетевых приложений, причем предполагается, что клиенты принадлежат внутренней (защищаемой) сети, а серверы — внешней (потенциально опасной)сети.

Технология защищенного канала обеспечивает защиту трафика между двумя точками в открытой транспортной сети, например в Интернете. Защищенный канал подразумевает выполнение трех основных функций:

? взаимная аутентификация абонентов при установлении соединения;

? шифрование передаваемых по каналу сообщений;

О подтверждение целостности поступающих по каналу сообщений, например, путем передачи одновременно с сообщением его дайджеста.

К числу наиболее популярных протоколов защищенного канала относятся IPsec и SSL. IPSec — это согласованный набор открытых стандартов, ядро которого составляют три протокола:

? АН гарантирует целостность и аутентичность данных;

? ESP, кроме того, обеспечивает конфиденциальность данных;

? IKE решает задачу автоматического распределения секретных ключей, необходимых для работы протоколов аутентификации.

Более масштабным средством защиты трафика по сравнению с защищенными каналами являются виртуальные мастные сети (VPN). VPN на основе шифрования включают шифрование, которое гарантирует конфиденциальность корпоративных данных при передаче через открытую сеть, аутентификацию взаимодействующих систем на обоих концах VPN и туннелирование, позволяющее передавать зашифрованные пакеты по открытой публичной сети.

Вопросы и задания

1. В каких средствах обеспечения безопасности используется шифрование? Варианты ответов:

а) аутентификация и авторизация;

б) антивирусные системы;

в) защищенный канал;

г) сетевой экран прикладного уровня;

д) фильтрующий маршрутизатор;

е) цифровая подпись.

2. Какие из антивирусных методов способны обнаружить еще неизвестный вирус? Варианты ответов:

а) сканирование сигнатур;

б) метод контроля целостности;

в) отслеживание поведения команд;

г) эмуляция тестируемых программ.

3. К числу базовых функций сетевого экрана относятся:

а) аудит;

б) шифрование трафика;

в) фильтрация трафика;

г) антивирусная защита;

д) функция прокси-сервера;

е) авторизация;

ж) повышение пропускной способности канала.

4. Существует ли угроза похищения пароля при использовании аппаратного ключа?

5. Справедливо ли утверждение «Поскольку открытый ключ не является секретным, то его не нужно защищать»?

6. Что содержится в электронном сертификате? Варианты ответов:

а) секретный ключ владельца данного сертификата;

б) данные о владельце сертификата;

в) информация о сертифицирующем центре, выпустившем данный сертификат;

г) зашифрованные открытым ключом сертифицирующего центра данные, содержащиеся в сертификате.

7. Правила доступа узлов сети периметра к ресурсам внутренней сети часто бывают

более строгими, чем правила, регламентирующие доступ к этим ресурсам внешних пользователей. Как вы думаете, почему? '

8. Какие из следующих утверждений верны:

а) любое приложение после соответствующего конфигурирования имеет возможность работать через прокси-сервер;

б) для работы через прокси-сервер приложение, изначально не рассчитанное на работу через проки-сервер, требует изменения исходного кода;

в) каждое приложение, построенное в архитектуре клиент-сервер, непременно должно работать через прокси-сервер.

9. Почему в семействе протоколов IPSec функции обеспечения целостности и аутентичности данных дублируются в двух протоколах — АН и ESP?

10. Отметьте в таблице все возможные комбинации режимов работы протокола IPsec.

Ответы на вопросы

Глава 1

1. От вычислительной техники компьютерными сетями были унаследованы интеллектуальные возможности конечных узлов — компьютеров, а от телекоммуникационных сетей — методы передачи информации на большие расстояния.

2. Вычислительные ресурсы многотерминальных систем централизованы, а в компьютерной сети они распределены.

3. Значимые практические результаты по объединению компьютеров с помощью глобальных связей впервые были получены в конце 60-х годов.

4. Сеть ARPANET, созданная в конце 60-х, стала прародительницей Интернета.

5. Варианта).

7. Технология Ethernet была стандартизована в 1980 году.

8. Компьютерные и телекоммуникационные сети сближаются в отношении типов услуг и используемых технологий.

Глава 2

2. Варианты б) и в).

4. Варианты б), ж) и з).

5. К сетевым службам относятся служба WWW, электронная почта, файловая служба, IP-телефония, справочная служба, DNS, DHCP, система управления сетью. Последние четыре ориентированы на администратора сети. Файловая служба, справочная служба, DNS, DHCP часто входят в состав сетевой ОС.

6. Варианты а), в) и г).

8. Рисунок 2.9, а, слева направо: ячеистая топология/звезда/дерево, полносвязная то-пология/кольцо. Рисунок 2.9, б, верхний ряд слева направо: полносвязная топология, ячеистая топология, ячеистая топология/звезда/дерево. Рисунок 2.9, б, нижний ряд слева направо: ячеистая топология/кольцо, ячеистая топология, ячеистая топология.

9. Варианте).

Глава 3

1. Вариант г).

2. Варианты а) и г).

3. Дискретизация по времени соответствует частоте квантования амплитуды звуковых колебаний 1/25мкс, или 40 000 Гц. Для кодирования 1024 градаций звука требуется 10 двоичных разрядов. Отсюда необходимая пропускная способность для передачи оцифрованного таким образом голоса равна 40 000 х 10 - 400 Кбит/с.

4. Вариант б).

5. Время передачи данных увеличится примерно на 240 мс (детали см. на сайте www.olifer. co.uk).

Глава 4

1. Модель OSI стандартизует, во-первых, семиуровневое представление средств взаимодействия систем в сетях с коммутацией пакетов, во-вторых, перечень функций каждого уровня, в-третьих, названия всех уровней.

2. Да, модель взаимодействия открытых систем можно представить с другим количеством уровней, например, в модели TCP/IP определено только 4 уровня.

3. Все утверждения верны.

4. Модель OSI не рассматривает средства взаимодействия приложений конечных пользователей. Поэтому работа приложений не может быть отнесена ни к одному из уровней модели OSL Однако некоторые приложения, вместо того чтобы обращаться к системным средствам организации сетевого взаимодействия, реализуют их «собственными силами». В таких случаях можно говорить о том, что приложение работает на соответствующем уровне (уровнях) модели OSI.

5. Как правило, протоколы транспортного уровня устанавливаются на конечных узлах. На промежуточных узлах сети, в частности на маршрутизаторах, транспортный протокол может быть установлен для поддержки дополнительных функций, например для удаленного управления промежуточным узлом, так как при этом промежуточный узел по отношению к управляющему узлу является конечным узлом.

6. Сетевые службы раббтйют на прикладном уровне.

8. Никакие из перечисленных терминов синонимами не являются. К примеру, спецификация может быть как стандартизованной, так и не стандартизованной, а документ RFC может как являться, так и не являться стандартом.

9. Вариант г).

10. Да, компьютеры будут функционировать нормально. Отличие межуровневых интерфейсов в стеке протоколов двух компьютеров не помешает их сетевому взаимодействию.

11 и 12. Соответствующую информацию можно найти на сайтах www.ietf.org и www.rfc-editor.org.

Глава 5

5. С одной стороны, сеть оператора связи назвать корпоративной сетью нельзя, поскольку существует традиционное деление сетей на эти два типа. С другой стороны, можно, так как эта сеть может выполнять внутрикорпоративные функции, если принадлежит корпорации, которая занимается предоставлением телекоммуникационных услуг.

9. См. заполненную таблицу на сайте www.olifer.co.uk.

12. Поставщик услуг Интернета (ISP), поставщик интернет-контента (ICP), поставщик услуг хостинга (HSP), поставщик услуг по доставке контента (CDP), поставщик услуг по поддержке приложений (ASP), поставщик биллинговых услуг (BSP).

Глава 6

1. Да, краткосрочные и долгосрочные значения одной и той же характеристики могут различаться.

3. Для пакета фиксированной длины фиксированными являются время сериализации и время задержки пакета.

4. От длины пакета зависит время его сериализации.

5. Варианты а), б) и в).

6. Медиана равна 17 мс, среднее значение — 1441,7.

7. Задержки в сети лучше характеризует медиана, так как ее значение ближе к значениям большинства задержек выборки.

8. 85-процентный квантиль равен 20 мс, так как задержки шести пакетов (85 %) меньше или равны 20 мс.

10. Единичное значение односторонней задержки пакета зависит от размера пакета, так как задержка измеряется между моментом помещения в исходящую линию связи первого бита пакета узлом-отправителем и моментом приема последнего бита пакета с входящей линии связи узла-получателя.

12. Вариацию задержки можно компенсировать применением буфера достаточного размера.

13. Избирательная функций формирует пары пакетов, для которых вычисляется разность односторонних задержек.

14. Варианты а) и б).

16. Трафик может передаваться с большими задержками, но без джиттера, например, при передаче по спутниковому каналу задержки для всех пакетов велики, но одинаковы.

Глава 7

1. В сетях с коммутацией каналов очереди не возникают.

2. На размер очереди в наибольшей степени влияет коэффициент загрузки.

3. Приоритетное обслуживание не дает никаких гарантий в отношении средней пропускной способности для трафика очередей более низких приоритетов.

4. В отношении предсказуемости скорости передачи данных приложения можно разделить на приложения с потоковым и пульсирующим трафиком.

5. При увеличении пульсации потока задержки, связанные с пребыванием пакетов этого потока в очереди, увеличатся.

6. Обслуживающий прибор модели М/М/1 обычно соответствует выходному интерфейсу маршрутизатора, при этом производительность обслуживающего прибора равна пропускной способности интерфейса.

7. Причиной возможного возникновения очередей в сети с коммутацией пакетов даже при невысокой средней загрузке коммутаторов и маршрутизаторов являются значительные кратковременные перегрузки.

8. Вариант б), так как трафик загрузки больших файлов данных требует некоторой гарантированной пропускной способности, обеспечиваемой при взвешенном обслуживании, и не чувствителен к задержкам, которые могут возникать при таком обслуживании.

9. Комбинировать приоритетное и взвешенное обслуживание можно. В наиболее популярном алгоритме подобного рода поддерживается одна приоритетная очередь и несколько очередей, обслуживаемых в соответствии с взвешенным алгоритмом.

10. Второй поток будет испытывать в очереди наименьшие задержки, так как он должен обслуживаться при относительном коэффициенте использования 0,5 — это минимальный коэффициент для всех потоков.

И. Вариант б).

12. Да, в те периоды, когда скорость потока А оказывается меньше зарезервированной для этого потока пропускной способности, эта пропускная способность может использоваться потоком В.

13. При инжиниринге трафика меняется маршрут.

14. Варианты б) и в).

16. При работе сети в недогруженном режиме операторы обычно выполняют мониторинг коэффициента использования пропускной способности линий связи сети.

Глава 8

1. Термин «линия связи»‘является синонимом всех трех представленных терминов.

3. Цифровой канал л!Ъжет передавать аналоговые данные, если они оцифрованы.

4. Усилители только увеличивают мощность сигнала, в то время как регенераторы помимо увеличения мощности восстанавливают исходную форму сигнала.

5. Теоретически спектр сигнала некоторой определенной формы можно найти с помощью формул Фурье, а сделать это практически можно с помощью спектрального анализатора.

6. Варианте).

7. Варианты а), в) и г).

8. Варианты а) и б).

10. Для устойчивой передачи данных мощность передатчика в 40 дБм достаточна, так как кабель вносит затухание -0,2 х 60 = -12 дБ, а это снижает мощность сигнала на входе до 28 дБм, что выше порога приемника в 20 дБм.

11. Причиной перекрестных наводок на ближнем конце кабеля является влияние электромагнитного поля, создаваемого передатчиками, на соседние провода кабеля, к которым подключены входы приемников.

12. Повысить пропускную способность канала за счет увеличения числа состояний информационного сигнала удается не всегда, поскольку это может привести к выходу спектра за пределы полосы пропускания линии.

13. Помехи в кабелях UTP подавляются за счет скручивания проводов.

14. Более качественно передает сигналы кабель с большим по абсолютной величине значением NEXT.

15. Для передачи данных на большие расстояния предназначен одномодовый кабель.

16. Вариант в), так как значения импеданса передатчика и кабеля будут не совпадать.

17. Теоретический предел скорости передачи данных рассчитывается следующим образом:

С - Flog₂(l + Р_с/Р_ш) = 1 000 000 х log₂( 1 + 62/2) = 1 000 000 х log₂(32) = 5 Мбит/с.

Глава 9

1. В методе BFSK используется две частоты.

2. Варианта).

3. Пятый бит добавляется для устойчивого распознавания 4-х информационных битов при искажении сигналов.

4. Количество битов, которое передает один символ кода, имеющий 10 состояний, рассчитывается по следующей формуле:

log₂10 = 3,32.

6. Варианты б) и в).

7. Для улучшения самосинхронизации кода B8ZS применяется искусственное искажение последовательности нулей запрещенными символами.

8. Варианты а) и б).

11. Варианты а) и в).

12. Варианта).

13. Вариант б).

14. В схемах контроля по паритету расстояние Хемминга равно 2.

16. В сетях с коммутацией пакетов используется асинхронный режим.

17. Первыми двумя гармониками являются 25 МГц и 75 МГц.

19. Нет, данные по каналу надежно передаваться не могут. Полоса пропускания равна 1 МГц, спектр с учетом первых двух гармоник — 10 МГц, что значительно шире имеющейся полосы пропускания.

20. Учитывая частоту появления символов, можно выбрать следующие коды: О — 1, А — 01, D — 001, В — 001, С — 0001, F — 00000. В этой кодировке для передачи указанного сообщения потребуется 35 бит. Таким образом, достигается компрессия по сравнению с обоими случаями. Кодировка ASCII дает 128 бит. В случае использования кодов равной длины при наличии только данных шести символов для кодирования одного символа достаточно 3 бит, а для всего сообщения — 48 бит.

21. Ширина спектра увеличится в два раза.

Глава 10

3. Варианта).

4. Радиоволны с частотами от 2 до 30 МГц могут распространяться на сотни километров за счет отражения ионосферой Земли.

5. Для спутниковой связи используется спектр 1,5-30,5 ГГц.

6. Распространению микроволн мешают туман, роса, дождь.

7. Вариант б).

8. Вариант б).

9. Эллиптические орбиты позволяют обеспечить связью районы, близкие к Северному и Южному полюсам.

10. Варианты а), б) и г).

11. Технология FHSS является высокоскоростной при условии, что применяется высокоскоростной метод кодирования для каждой из частот.

12. Последовательность БаркерЪ используется в технологии DSSS благодаря ее свойству быстрой синхронизации приемника с передатчиком.

13. Основным свойством расширяющих последовательностей, используемых в технологии CDMA, является взаимная ортогональность кодов.

14. Нет, указанные последовательности использовать нельзя, так как сами последовательности и их инверсии не являются ортогональными относительно операций, определенных для сигналов DSSS.

15. 01001000111.

Глава 11

2. Варианты а), б) и г).

4. Нет, в сети PDH нельзя выделить канал DS-0 непосредственно из канала DS-3.

5. Вместо «кражи бита», применяемой в канале Т-1, в канале Е-1 выделяют для служебных целей два байта, нулевой и шестнадцатый.

8. Отсутствие синхронности трибутарных потоков компенсируется за счет «плавающих» виртуальных контейнеров внутри кадра SDH.

9. Кадр STM-1 может мультиплексировать 63 канала.

10. Кадр STM-1, если в нем уже мультиплексировано 15 каналов Е-1, может мультиплексировать 64 канала.

11. В кадре STM-1 используется три указателя, так как он может содержать три различных виртуальных контейнера уровня VC-3.

13. Вариант б).

14. Защита MS-SPRing более эффективна, чем SNC-P, если трафик распределяется между мультиплексорами сети равномерно.

15. Вариант б).

16. Нет, объединять контейнеры VC-3 за счет смежной конкатенации нельзя.

17. Да, составляющие контейнеры при виртуальной конкатенации можно передавать по разным маршрутам.

18. Да, пропускную способность соединения SDH можно изменить динамически, если в сети работает механизм LCAS.

19. Протокол GFP в режиме GFP-F не использует для выравнивания скоростей пустые кадры, потому что в этом режиме кадры полностью буферизуются.

20. И в сетях FDM, и в сетях DWDM используется частотное мультиплексирование.

22. В сетях DWDM регенераторы служат для устранения нелинейных искажений оптического сигнала.

23. Причиной ухудшения качества оптического сигнала является его хроматическая дисперсия.

24. Операция выравнивания выполняется, когда разница в принятых и переданных данных составляет 3 байта. Каждую секунду разница составляет 10-5 х 155 х 10+6 = 1550 бит, поэтому частота отрицательного выравнивания равна 1550/24 = 64,58 Гц.

25. Варианты б) и в).

Глава 12

1. Варианты а) и г).

3. Варианты б) и в).

4. Вариант б).

5. Преамбула и начальный ограничитель кадра в стандарте Ethernet служат для входа приемника в побайтный и побитный синхронизм с передатчиком.

6. Вариант б).

8. Скорость передачи пользовательских данных равна 9,597 Мбит/с.

9. Варианты а) и г).

10. Варианта).

11. Время равно 368 мс (детали см. на сайте www.olifer.co.uk).

13. Вариант б).

14. Вариант в).

15. Вариант б).

16. Вариант в).

18. Да, станция может передать кадр через точку доступа.

19. Вариант в).

20. Режим PCF всегда имеет приоритет перед режимом DCF, поскольку межкадровый интервал в режиме PCF меньше, чем в DCF.

21. Варианте).

Глава 13

1. Варианты а) и в).

2. Вариант б).

3. Вариант б).

4. Правильны все варианты.

5. Записи таблицы продвижения имеют ограниченный срок жизни с целью динамического и автоматического отражения изменений топологии сети.

6. Нет, скорость продвижения не может превосходить скорость фильтрации.

7. Варианты а), в) и г).

8. Варианты б) и в).

9. Вариант б).

10. Варианты а) и б).

11. Да, форматы кадров 10 Мбит/с Ethernet и Fast Ethernet совпадают.

12. Вариант в).

......

11. кт. для воло1штю-онт11яегшж^о|тго1гргжтатт11ттт^

15. Цифра 4 говорит о том, что информация в каждом направлении передается с помощью четырех волн.

16. Нет, если только мультиплексор не имеет специальный порт 10GBase-WL.

Глава 14

1. Варианты а) и в).

2. Нет, корневой мост не имеет корневых портов.

3. Варианта).

4. Да, администратор может влиять на выбор корневого коммутатора, задавая значения старших двух байтов идентификатора коммутаторов.

5. Выбор активной топологии завершается через определенное время.

6. Варианты б), в) и г).

8. Вариант б).

9. Варианты а), б) и в).

10. Варианты б) и в).

И. Варианты б), в) и г).

12. Группирование портов плохо работает в сети, построенной на нескольких коммутаторах, из-за слишком больших накладных расходов: для соединения коммутаторов нужно использовать столько портов, сколько сетей VLAN существует в сети.

13. Да, можно одновременно использовать группирование портов и стандарт IEEE 802.1Q.

14. Да, алгоритм покрывающего дерева должен учитывать наличие в сети VLAN.

Глава 15

1. Варианты а) и в). Идентификатор виртуального канала и МAC-адрес могут являться локальными (аппаратными) адресами интерфейсов, если соответствующие сети включены в составную IP-сеть в качестве подсетей.

2. Варианты а) и г). Детали см. на сайте www.olifer.co.uk.

4. Номер подсети 108.5.16.0. Для нумерации интерфейсов в данной сети может быть использовано 12 бит, то есть 4096 значений. Но так как двоичные значения, состоящие из одних нулей и одних единиц, зарезервированы, то в сети не может быть более 4094 узлов.

5. Об IP-адресах узлов ничего определенного сказать нельзя (детали см. на сайте www. olifer.co.uk).

6. Варианте).

7. Количество ARP-таблиц соответствует числу сетевых интерфейсов с назначенными IP-адресами.

9. При наличии DHCP-агентов достаточно одного DHCP-сервера.

10. Максимум можно организовать 16 385 подсетей. При этом маска должна иметь значение 255.255.255.252 (детали см. на сайте www.olifer.co.uk).

11. Администратор должен иметь 25 адресов при условии, что в сети установлен DHCP-сервер.

Глава 16

4. Варианте).

5. Записей о маршрутах по умолчанию в таблице маршрутизации может быть несколько.

7. Нет, в IP-пакете маскале передается.

9. Вариант б).

10. Такое сочетание адреса сети и маски дает совпадение с любым IP-адресом.

И. Вариант г).

12. Вариант в).

Глава 17

1. Объем полученных данных составляет 165 005 байт.

2. Варианты а) и г).

3. Да, в сети можно обойтись без протоколов маршрутизации, если создавать таблицы маршрутизации вручную.

5. Варианте).

6. Варианты а), б) и в).

7. Варианты а), б) и г).

8. Вариант в). ICMP-сообщение всегда направляется узлу-отправителю пакета, вызвавшего ошибку. Оно обрабатывается либо ядром операционной системы, либо протоколами транспортного и прикладного уровней, либо приложениями, либо просто игнорируется. Обработка ICMP-сообщений в функции протоколов IP и ICMP не входит.

Глава 18

3. Вариант г).

5. Варианты б) и в).

6. В качестве номеров назначенных портов могут выступать произвольные числа, уникальные для данного глобального IP-адреса, например 4100,4102,4103.

7. Варианта).

9. Варианте).

Глава 19

1. Вариант б).

2. Варианты а) и б).

3. Варианты б) и в).

4. Варианты б) и в).

5. При туннелировании роль несущего протокола чаще всего исполняет протокол IP.

6. Вариант б).

7. Да, были помечены кадры 6 и 7, так как согласованная величина пульсации равна: CIRхТ -51 200бит - 6400 байт, и это значение превышается 6-м кадром.

8. Варианта).

9. Вариант б).

10. Варианте).

И. Варианты а) и в).

12. Варианты а), б) и в).

13. Вариант б).

Глава 20

1. Варианте).

2. Варианты б) и в).

3. Максимальное число уровней иерархии путей LSP стандартами MPLS не ограничивается.

4. Да, в сети, поддерживающей MPLS, часть трафика можно передавать посредством обычного 1Р-продвижения.

5. Варианте).

6. Варианте).

7. Варианта).

8. Варианта).

9. Вариант б).

10. Варианте).

11. Варианты б) и в).

12. Вариант в).

13. Варианты б) и в).

Глава 21

1. Правильны все варианты ответов.

2. Варианты б), в) и г).

3. Варианты б) и в).

4. Варианты б) и в).

5. Правильны все варианты ответов.

6. Варианты а) и б).

7. Максимальное количество псевдоканалов равно 1048 576. Эта величина определяется разрядностью метки MPLS.

8. Нет, устройство РЕ не должно изучать МАС-адреса клиентов.

9. Вариант б).

10. Вариант б).

И. Да, стандарт Y.1731 дополняет функции стандарта CFM набором функций мониторинга производительности сети.

12. Вариант б).

13. Варианте).

Глава 22

1. Варианты а), б) и в).

2. Принимать во внимание нужно набор дополнительных услуг, которыми клиенты хотели бы воспользоваться.

3. Универсальным можно назвать абонентское окончание, которое обеспечивает передачу всех вйдов трафика: компьютерного, телефонного и телевизионного.

4. Варианты а) и б).

5. При конфигурировании маршрутизаторов имеет место удаленное управление с помощью протокола telnet.

6. Варианты б) и в).

7. Это зависит от функциональности модема. Если модем не кадрирует информацию и оперирует только с потоком битов, то он является устройством физического уровня. Если же он кадрирует информацию, то это устройство канального уровня.

8. Варианта).

9. Варианте).

10. Соединение будет работать на скорости 33,6 Кбит/с.

11. Варианта).

12. Варианта).

Глава 23

4. Варианты б), в) и е).

5. Варианты б), г) и д).

6. Варианты а), в) и г).

7. Варианты а), б) и г).

Глава 24

1. Варианты а), г), д) и е).

2. Варианты б), в) и г).

3. Варианты а), в) и д).

4. Да, при использовании аппаратного ключа существует угроза похищения пароля в течение интервала существования «разового» значения ключа.

5. Нет, это утверждение несправедливо, открытый ключ необходимо защищать от подмены.

6. Варианты б) и в).

7. Вариант б).

8. Все комбинации возможны, кроме работы в транспортном режиме защищенного канала, построенного по схеме шлюз-шлюз.

Рекомендуемая и использованная литература

1. Фред Халсалл. передача данных, сети компьютеров и взаимосвязь открытых систем, М.: Радио и связь, 1995.

2. Столингс В. Передача данных, 4-е изд. СПб.: Питер, 2004.

3. Столингс В. Современные компьютерные сети, 2-е изд. СПб.: Питер, 2003.

4. КуроузДж., Росс К. Компьютерные сети, 4-е изд. СПб.: Питер, 2004.

5. Таненбаум Э. Компьютерные сети, 4-е изд. СПб.: Питер, 2002.

6. Фейт Сидни. TCP/IP. Архитектура, протоколы, реализация. М.: Лори, 2000.

7. Стивен Браун. Виртуальные частные сети. М: Лори, 2001.

8. Шринивас Вегешна. Качество обслуживания в сетях IP. М.: Вильямс, 2003.

9. Аннабел 3. Додд. Мир телекоммуникаций. Обзор технологий и отрасли. М.: ЗАО «Олимп-Бизнес», 2002.

10. Кеннеди Кларк, Кевин Гамильтон. Принципы коммутации в локальных сетях Cisco. М.: Вильямс, 2003.

11. Дуглас Э. Камер. Сети TCP/IP. Том 1. Принципы, протоколы и структура. М.: Вильямс, 2003.

12. Блэк Ю. Сети ЭВМ: протоколы стандарты, интерфейсы. Перев. с англ. М.: Мир, 1990.

13. Ричард Стивенс. Протоколы TCP/IP. Практическое руководство. СПб.: БХВ-Санкт-Петербург, 2003.

14. Слепое Н. Н. Синхронные цифровые сети SDH. М.: Эко-Трендз, 1998.

15. Денисьев и Мирошников. Средства связи для «последней мили». М.: Эко-Трендз, 1998.

16. Дилип Найк. Стандарту и протоколы Интернета. М.: Channel Trading Ltd., 1999.

17. Уолрэнд Дж. Телекоммуникационные и компьютерные сети. Вводный курс, М.: Постмаркет,

2001.

18. Гольдштейн Б. С., Пинчук А. В., Суховицкий А. Л. IP-телефония. М.: Радио и связь, 2001.

19. Олифер В. Г., Олифер Н. А. Новые технологии и оборудование IP-сетей. СПб.: БХВ-Санкт-Петербург, 2000.

20. Олифер В. Г.у Олифер Н. А. Сетевые операционные системы, 2-е изд. СПб.: Питер, 2008.

Алфавитный указатель

ССМ 743 CD 364

CDMA 276,306 CDP 159 СЕ 685 СЕТ 730,741 CGI 808 CHAP 690,861 CIDR 494,544 CIR 675 Cisco 600 CLNP 127 CMIP 826 CMTS 788 CO 150 CONP 127 CoS 704 CP 326 CPE 777 CP VPN 683 CRC 275 CS 362

CSMA/CA 380 CSMA/CD 362 CTS 383 CW 381

DWDM 278,310,333 DXC 320

E

D

DCC 322 DCE 232 DCF 380 DDoS 832 DE 674 DES 849 DHCP 508 DHCP-агент 510 DiffServ 603 DIFS 383 DIX 358 DLCI 94,674 DM 630 DMZ 541 DNS 488,505 DNS-имя 488 DoS 832 DS 379 DSL 777 DSLAM 786 DSn 311 DSP 281,435 DSS 379 DSSS 305 DTE 232 DTMF 770 DVA 573 DVMRP 632

E-l 311 E-2 311 E-3 311 eBGP 590 EDR 394 EF 613 EGP 588 EHF 287 ELF 287 ENUM 818 EoMPLS 730 EOT 731 EPL 733 EPP 414 EPS 326 ESP 892 ESS 379

Ethernet 32,34,103 на основе Ethernet 730 MPLS 730 транспорта 731 операторского класса 727 Ethernet DIX 358 Ethernet II 358 EtherSwitch 414 EtherType 471 ETSI 317 EVC 732 EVPL 733

F

Fast Ethernet 32 FCS 168,274,361 FDD 281 FDDI 32 FDM 233,276 FEC 275,703 FECN 674 FEXT 240 FHSS 302 FIFO 192 FIN 559 FIND 829 FLP 431 FM 231,257 FP 642 FPGA 438 FQDN 504 Frame Relay 34,672 FSK 257

RFC 3232 555 RIP 575 RP 631 RPF 632 RPT 636 RSA 854 RSOH 321 RST 559 RSTP 449 RSVP 604,609 RSVPTE 721 RTP 809 RTS 382 RTT 176

Stratum 2 315 STS-N 317 SVC 680 SYN 559 SynOptics 427

T

SA 893 SAD 899 SAP 128 SCO 392 SCP 143c SCS 252 SDC 775 SDH 310,317 SDH NG 331 SFF 443 SFP 443 SG 894 SGCP 816 SIFS 383 SIP 811 SIR 178 SLA 165,643 SLIP 689 SM 630 SMB 130 SMF 250 SMS 822 SMTP 483,795 SN 896 SNC-P 328 SOCKS 886 SONET 316 SPD 899 SPI 896 SPT 637 SPX 128 SRC 315 SS7 771 SSL 122,891 STA 412,449 STDM 280 STM 280 STM-N 317 STP 231,449 Stratum 1 314

T-l 311 T-2 311 T-3 311 ТА 783 TCP 483,554 ТСР-порт 555 ТСР-сокет 556 TDD 281 TDM 233,276,278 ТЕ 216,718,777 TE1 781 TE2 783 telnet 483,767 ТЕ-туннель 718 свободный 718 строгий 718 TLA 642 TM 320 Token Bus 32 ToS 515 TS 346 TTL 516,547 TU 318

U

V

UBR 681

UDP 483,554

UDP-дейтаграмма 557

UDP-порт 555

UDP-сокет 556

UHF 231

UNI 732

URG 559

URL 803

UTP 231

V.42 774 VBR 188 VC 95,318 VCI 94 VHF 231 VLAN 467 VPLS 733,739 VPN 148,662 VPWS 733,737 VSAT 299

W

WAN 28 WAP 804 WDM 276,334 WEP 384 WFQ 202 WLAN 375 WLL 288,790 WPA 385 WRED 608 WWW 34,801

X

X.25 29 XGMII 436 XID 775

A

абонент 78

абонентское окончание 144 беспроводное 790 проводное 790 Абрамсон Норман 354 абсолютный уровень мощности 237 автоматическое защитное переключение 325 автоматическое назначение динамических адресов 509 статических адресов 509 автономная система 587 автопереговоры 430 авторизация 859 агент пользователя 803 агрегатный порт 319 агрегирование адресов 540,644 линий связи 459 физических каналов 459 агрегированный поток 615 адаптер сетевой 41 терминальный 783 адаптивная компрессия 272 адаптивная маршрутизация 573 административный блок 318 администратор 528 адрес

IP-адрес 487 МАС-адрес 59,486 агрегируемый 642 аппаратный 60,486 виртуального интерфейса 519 выходного интерфейса 520 глобальный 120,642 групповой 59,360,490,491,528 индивидуальный 360,490

адрес (продолжение) локальный 486 назначения пакета 520 потока данных 63 неопределенный 491 обратной петли 491,519 ограниченный 491 особого назначения 527 порта 526

произвольной рассылки 59 разрешение 61 сетевой 120,487 символьный 59

следующего маршрутизатора 520,526 уникальный 59,642 частный 493,616 числовой 59

широковещательный 59,360,491,528 адресация 59 иерархическая 60 плоская 60

адресная таблица 407,408 адресное пространство 59 активное измерение 171 активное сопротивление 239 активное управления очередями 206 алгоритм FIFO 197

адаптивной маршрутизации 573 ведра маркеров 605 взвешенных очередей 200 Дийкстры 583

динамической маршрутизации 573 дистанционно-векторный 574 комбинированный 202 покрывающего дерева 412,449 приоритетного обслуживания 197 прозрачного моста 406,449 состояния связей 573,574,719 Хафмана 273

широковещания и усечения 634 шифрования 854 альтернативный порт 457 амплитудная манипуляция 257 амплитудная модуляция 257,258 анализ

надежности 822 производительности 822 аналоговая линия связи 233 аналоговый телефон 770 аналого-цифровой преобразователь 261 антенна

изотропная 287 направленная 287 ненаправленная 287 параболическая 287

антивирусная защита 872 аппаратный адрес 60,486 аппаратный ключ 862 аппаратура передачи данных 232 промежуточная 232 арбитр 71 аренда

IP-адресов 509 каналов 148 арендуемый канал 662 асинхронное отображение нагрузки 345 асинхронное приложение 189 асинхронный канал 392 асинхронный режим временного мультиплексирования 278 передачи 280,678 атака

отказа в обслуживании 832 понятие 831 распределенная 832 атакующий блок 839 аудиоуровень 394 * аудит 860 аукцион 291 аутентикод 872 аутентификация данных 859 пользователя 857 понятие 870 приложений 858 строгая 858 устройств 859 АЦП 261

база данных

безопасных ассоциаций 899 политики безопасности 899 управляющей информации 823 базовая станция 293 базовая трансляция сетевых адресов 617 базовый набор услуг 378 байт дифференцированного обслуживания 515

баланс нагрузки 91

Баркера последовательность 305

бастион 882

безопасная ассоциация 893 безопасность

информационная 830,846 транспортных услуг 164 бесклассовая междоменная маршрутизация 494,544

беспроводная локальная сеть 375 беспроводная связь мобильная 285

беспроводная связь (;продолжение) фиксированная 285 беспроводная сеть 140 беспроводная среда 230,287 беспроводное абонентское окончание 790 биполярное кодирование с альтернативной инверсией 266

биполярный импульсный код 267

БИС 30

бит

кодовый 559 синхронизации 312 битовая скорость передатчика 54 переменная 188 постоянная 187 битовый интервал 365,429 бит-стаффинг 313 блок

административный 318 атакующий 839

данных оптического канала 344 коммутирующий 652 поиска целей 839 пользовательских данных 344 транспортный оптического канала 344 трибутарный 318 управления

жизненным циклом 843 удаленного 842 центральный 652 фиксации событий 843 бод 245

большая интегральная схема 30 большой адронный коллайдер 51 брандмауэр 876 браузер 803 буфер 88

буферная память 88 быстрое продвижение 613 быстрое расширение спектра 303 быстрый протокол покрывающего дерева 449

В

вариация задержки пакета 177 веб-браузер 46 веб-документ 802 веб-клиент 803 веб-сервер 804 веб-страница 802 ведро маркеров 605 вектор атаки 839 величина пульсации 178 дополнительная 676 согласованная 676 вероятность отказа 179 вертикальная подсистема 252

вертикальный контроль по паритету 274 взаимная идентификация 775 взаимодействие межсетевое 118 открытых систем 108,113 взвешенная очередь 200 взвешенное обслуживание 200,202 взвешенный алгоритм RED 608 ВЗГ 315

видимый свет 288 виртуальная конкатенация 331 виртуальная локальная сеть 467 виртуальная частная линия Ethernet 733 виртуальная частная сеть 148,662,682,901 на базе

инфраструктуры поставщика 683 оборудования потребителя 683 поддерживаемая клиентом 683 поставщиком 683 виртуальное соединение 681,732 виртуальный канал 94 двунаправленный 673 коммутируемый 680 однонаправленный 673 постоянный 673,680 виртуальный контейнер 318 виртуальный путь 681 вирус 843 витая пара категории 3 244 категории 5 236 неэкранированная 231,247,248 понятие 247

экранированная 231,247,249 внешний шлюз 587 внешний шлюзовой протокол 588 внешняя помеха 235 внешняя сеть 684 внешняя угроза 831 внутренний шлюзовой протокол 588 внутренняя помеха 235 внутренняя сеть 684 возможность

отрицательного выравнивания 345 положительного выравнивания 345 волновое мультиплексирование 276,277,334 высокоуплотненное 335 уплотненное 333 волновое сопротивление 239 волокно выделенное 667 многомодовое 250 одномодовое 250 оптическое 667 темное 667

волоконно-оптический кабель 231,250 восстановление ключей 869 восходящий порт 423 вредоносная программа 837 временное мультиплексирование 233,276, 278

асинхронный режим 278 синхронный режим 278 статистическое 280 время

буферизации 97 жизни записи 527 маршрута 573,579 пакета 516,527,547 коммутации пакета 166 конвергенции 573 наработки на отказ 179 оборота 176,366,570 ожидания пакета в очереди 166 пакетизации 99 передачи

данных в канал 165 сообщения 97

распространения сигнала 98,165 реакции сети 176 сериализации 165 удержания токена 372 Всемирная паутина 801 вторжение 888

вторичный задающий генератор 315 входная очередь 88 входной буфер 88,100 выборка случайной величины 169 выделенный канал 662 выделенный сервер 49 выравнивание заголовка пакета 517 отрицательное 323,345 положительное 323,345 высокоуплотненное волновое мультиплексирование 335 высокоуровневое управление линией связи 690

выходная очередь 88 гарантированная доставка 613 гармоника основная 259 понятие 233 генератор вторичный 315 задающий 315 первичный 314 эталонный 314 геостационарная орбита 298 геостационарный спутник 298

гиперссылка 802

гипертекстовая информационная служба 34 гипертекстовая страница 802 гистограмма распределения 169 главное устройство 390 глобальная метка потока 64 глобальная сеть 28,139,232 глобальная система навигации 300 глобальный агрегируемый уникальный адрес 642

глобальный адрес 120 ГЛОНАСС 300

горизонтальная подсистема 252 горизонтальный контроль по паритету 274 городская сеть 34,139 Цюша закон 28

группирование MAC-адресов 469 групповое вещание 621 из конкретного источника 626 из любого источника 626 групповой адрес 59,360,490,491,528

д

дайджест 855 дайджест-функция 855 двоичная фазовая манипуляция 258 двоичная частотная манипуляция 258 двоичный код 52

двунаправленное обнаружение ошибок продвижения 717

двунаправленный виртуальный канал 673

двухточечная цепь 336

двухточечный протокол туннелирования 772

деградация системы 180

дейтаграмма 89,116,485

дейтаграммная передача 89

дейтаграммная сеть 141

дейтаграммный протокол 484

декомпозиция

иерархическая 110 понятие 109

демилитаризованная зона 541 демультиплексирование 69,554 демультиплексор 70,233 депонирование ключей 870 дерево 58

кратчайшего пути 637 разделяемое 631

реверсивного кратчайшего пути 634 с вершиной в источнике'631 точки встречи 636 дескриптор потока 609 дескрэмблер 267,270 десятичная упаковка 272 децибел 235 дешифрирование 848 джиттер 177

диапазон

амплитудной модуляции 231 инфракрасный 288 микроволновый 231,287 очень высоких частот 231 ультравысоких частот 231 широковещательного радио 231 Дийкстры алгоритм 583 динамическая запись 409,500 динамическая маршрутизация 573 динамическая страница 807 динамическая фрагментация 547 динамический номер порта 555 динамическое распределение кадров 462 диод

лазерный 251 светоизлучающий 251 дискретизация 262 повремени 79,261 по значениям 79,261 дискретная модуляция 261 диспетчер каналов 393 дистанционно-векторный алгоритм 574 дистанционно-векторный протокол маршрутизации 632 дифракционная структура 339 дифракционная фазовая решетка 339 дифракция 290

дифференцированное обслуживание 515,603

диффузный передатчик 296

длина

заголовка 515 пульсации 433

долговременное соединение 805 долговременные характеристики сети 164 доля потерянных пакетов 179 домен

группового вещания 630 имен 504 коллизий 418

широковещательного трафика 468 доменная система имен 503 доменное имя 488,503,504 дополнительная величина пульсации 676 доставка с максимальными усилиями 91 достоверность передачи данных 242 доступ

избирательный 859 коллективный 362 кочевой 377 маркерный 356 по требованию 427 приоритетный 427 резидентный 377 случайный 356 терминальный 767 доступность 179,830

драйвер

переферийного устройства 41 сетевой интерфейсной карты 41 древовидная топология 141 дробный канал 313 дуплексная связь с временным разделением 281 с частотным разделением 281 дуплексный канал 55 дуплексный режим коммутатора 418

Е

емкость канала связи 54

3

заголовок

аутентификации 645,892 вставка 705 кадра 395

маршрутизации 645 мультиплексной секции 321 основной 645 пакета 85 пути 318

регенераторной секции 321 системы безопасности 645 следующий 645 тракта 323 фрагментации 645 задержка

доставки пакета 170 квантиль 171

коэффициент вариации 171 медиана* 170 пакетизации 679 передачи кадра 424 процентиль 171 среднее значение 170 стандартное отклонение 170 закон Гроша 28 закрытый ключ 851 замена метки 675 замораживание изменений 582 запись

динамическая 409,500 статическая 409,500 запрещенный код 268 запрос

на резервирование ресудеов 609 понятие 81 затопление сети 409 затухание погонное 236 понятие 235 защита 1:1 325 защита (продолжение)

1+1 325 1:N 326

антивирусная 872 карт 326 линии 722

мультиплексной секции 327 пути 723

сетевого соединения 328 узла 723

защитное переключение оборудования 326 защищенность кабеля 241 защищенный канал 889 защищенный протокол IP 646 звезда 57

звездообразная топология 57,141 звено 229

значение проверки целостности 897

И

идентификатор виртуального канала 94 запроса 596 интерфейса 643 коммутатора 450 организационно уникальный 360 пакета 516,547 порта 451 соединения 94,674 иерархическая адресация 60 иерархическая декомпозиция 110 иерархическая звезда 58 иерархия скоростей 311 избирательный доступ 859 избыточный код 268 измерение активное 171 пассивное 173 изотропная антенна 287 изохронное приложение 189 импульсно-кодовая модуляция 262,311 импульсный набор 770 импульсный способ кодирования 52 имя

DNS-имя 488 доменное 488 краткое 504 относительное 504 полное 504 плоское 502 символьное 488

индекс параметров безопасности 896 индивидуальный адрес 360,490 индивидуальный клиент 147 инжиниринг социальный 832 трафика 216,718

инкапсуляция 670

интегрированная система управления 821 интегрированное обслуживание 603,678,775 интегрируемость сети 182 интеллектуальная сеть 36 интенсивность битовых ошибок 242 отказов 179

интерактивное приложение 189 интерактивные услуги 147 интерактивный голосовой ответ 813 интервал hello 451 битовый 365,429 межпакетный 363 отсрочки 365,429 Интернет 35,156 интерфейс

доступа к гигабитной среде 436 логический 41 межуровневый 110 начальный 778 независимый от среды 429 ненумерованный 693 одноранговый 112 основной 778 понятие 40

прикладной программный 115 связи между частными сетями 681 сетевой 59 сеть-сеть 749 услуг 110 физический 41 шлюзовой 808 интерфейсная карта 41 интранет 684

инфокоммуникационная сеть 36,132 информационная безопасность 830,846 информационные услуги 131,147,154 информационный поток 63,485 информационный центр 143,144 инфракрасные волны 288 инфракрасный диапазон 288 инфраструктура с открытыми ключами 869 истечение времени жизни маршрута 579

К

кабель 41

волоконно-оптический 23*1,250 категории 1 248 категории 2 248 категории 3 248 категории 4 248 категории 5 248 категории 6 236,249 категории 7 249 коаксиальный 231,249

кабель (iпродолжение) медный 231 многомодовый 250 неэкранированный 248 одномодовый 250 симметричный 247 телевизионный 250 кабельная линия связи 231 кабельный модем 765 кадр 486 STM-N 317

положительной квитанции 381 помеченный 471 понятие 116 продвижение 409 состав 116 канал 276 арендуемый 662 асинхронный 392 виртуальный 94,680 выделенный 662 доступа 101 дробный 313 дуплексный 55 коммутируемый 680 не ориентированный на соединение 392 оптический 344

ориентированный на соединение 392 полудуплексный 55 понятие 78,229 постоянный 680 присоединения 737 связи 41 симплексный 55 синхронный 392 составной 80,229 спектральный 334 типа В 777 D 778 Н 778

тональной частоты 258 уплотненный 277 элементарный 78,79,262 канальный уровень 116 качество обслуживания 36 квадратурная амплитудная модуляция 259 квадратурная фазовая манипуляция 258 квантиль 171 квитанция 54 квитирование 564,861 Кеплер Йоханес 298 Керкхоффа правило 848 класс

адресов 489 А 490 В 490

класс (продолжение)

С 490 D 490 ? 490

транспортного сервиса 121 трафика 611 услуги 704

эквивалентности продвижения 703 классификация компьютерных сетей 139 критерии 139 трафика 197,203 клиент

индивидуальный 147 корпоративный 147,148 массовый 148 понятие 45 почтовый 795

клиентская операционная система 49 ключ

аппаратный 862 закрытый 851 открытый 849,851 программный 863 секретный 848,864 коаксиальный кабель 231,249 толстый 249 тонкий 250 код

2D1Q 268 4В/5В 268,429,430 8В/6Т 269,429 AMI 266 B8ZS 270 HDB3 270 NRZ 264

биполярный импульсный 267 двоичный 52 доступа 394 запрещенный 268 избыточный 268 манчестерский 267 переменной длины 273 решетчатый 259,276 самосинхронизирующийся 264 сверточный 276 Хемминга 275 кодирование 256 без возвращения к нулр> 264 биполярное с альтернативной инверсией 266

импульсный способ 52 линейное 244 относительное 273 понятие 52

потенциальный способ 52 статистическое 273

кодирование (продолжение) физическое 244 Хафмана 273 кодовый бит 559 коллективный доступ 362 коллизия 364 обнаружение 364 предотвращение 376 распознавание 366 кольцевая топология 57,141,338 кольцо 57 SDH 324 плоское 324

комбинированное обслуживание 202 комбинированный коммутатор 441 комитет производителей компактного оборудования 443 коммуникационное облако 47 коммутатор 233

2- го уровня 655

3- го уровня 469,655 комбинированный 441 корневой 450 назначенный 451 неблокирующий 419 пограничный 748 понятие 67,68 программный 815

с общей шиной 440 стековый 445

с фиксированным количеством портов 442 фотонный 340

коммутационная матрица 414,438 коммутационная сеть 68 коммутация интерфейсов 67 каналов 36,73,123 многопротокольная 698 налету 415 на основе тегов 700 напролет 415 пакетов 36,73,85,123 пометкам 702 понятие 62,68

коммутируемый виртуальный канал 680 коммутируемый модем 764 коммутирующий блок 88,652 коммутирующий по меткам маршрутизатор 698,702 компрессия данных 272 трафика 187 компьютер-бастион 882 компьютерная сеть 25,44 компьютерный трафик 84 конвейерная передача 805 конвергенция 573

конвертор интерфейса Gigabit Ethernet 443 кондиционирование трафика 186,202 конечная точка обслуживания 743 конкатенация виртуальная 331 смежная 331 конкурентное окно 381 конкурс 291

контейнер виртуальный 318 контент 159,878 контролируемый период 383 контроллер 42 контроль

допуска в сеть 210 доступа 203 по паритету 274 вертикальный 274 горизонтальный 274 потока 206

расходования ресурсов 164 циклический избыточный 275 контрольная последовательность кадра 168, 274,361

контрольная сумма 54,105,274 заголовка 516 пакета 85

контрольная точка 781 конфигурационный параметр 508 конфигурирование 508 конфиденциальность 830 концевик 85 концентратор 232,369 понятие 57

удаленного доступа 765 корневой коммутатор 450 корневой порт 451

корпоративная сеть 142,145,151,154 корпоративный клиент 147,148 корпоративный маршрутизатор 653 корпоративный сетевой экран 876 коррекция ошибок 275 кочевой доступ 377 коэффициент вариации 171 использования 193 пульсации трафика 178 расширения 305 кража бита 312

кратковременное соединение 805 краткое доменное имя 504 краткосрочные характеристики сети 164 кратчайший маршрут 216 кредит 208 криптосистема ассимметричная 851 понятие 848

криптосистема (продолжение) раскрытие 848 симметричная 849 криптостойкость 848 критерий

выбора маршрута 515 классификации 139 кросс-коннектор 320 кэширование данных 187

лавинная маршрутизация 572 лазерный диод 251 линейное кодирование 244 линия доступа 472 связи 52,229 аналоговая 233 воздушная 230 кабельная 231 качество 33 проводная 230 радиорелейная 292 создание 41 цифровая 233 лицензия 149,291 логический интерфейс 41 логический порт 462 логическое соединение 91,561 локализация адресов 546 локальная метка потока 64 локальная сеть 31,139 локальная служба распределения 790 локальная таблица коммутации 82 локальное приложение 49 локальный адрес 486 локальный оператор 149 локальный поставщик услуг 159 локальный признак потока 82 локальный способ назначения адреса 360 лотерея 291 лямбда 333

М

магистраль 143 магистральная сеть 142—144 магистральный маршрутизатор 651 магистральный порт 423 магистральный поставщик услуг 159 магнитная связь 239 максимальная емкость адресной таблицы 425

максимальная скорость передачи 208 маловысотная орбита 298 мандатный подход 859

манипуляция амплитудная 257 фазовая 257 двоичная 258 квадратурная 258 частотная 257 двоичная 258 многоуровневая 258 четырехуровневая 258 манчестерский код 267 маркер доступа 372 маркерный доступ 356 марковское распределение 192 маршрут временный 528 кратчайший 216 определение 120 понятие 62 постоянный 528 по умолчанию 521 специфический 520,528 статический 528 маршрутизатор 68,119 волн 340 доступа 653

коммутирующий по меткам 698,702 корпоративный 653 локальной сети 655 магистральный 651 оператора связи 653 пограничный 653,702 по умолчанию 521 программный 523,655 регионального отделения 654 удаленного офиса 655 маршрутизация 68 адаптивная 573 динамическая 573 лавинная 572 от источника 572 статическая 573

маршрутизируемый протокол 121 маршрутизирующий протокол 121 маска 489,533 двоичная запись 489 понятие 489 массовый клиент 148 масштабируемость сети 180,482 матрица коммутационная 414,438 медленное расширение спектра 303 медный кабель 231

медный неэкранированный кабель 248 межпакетный интервал 363 межсетевое взаимодействие 118 межсетевой протокол 484,514 межсетевой экран 876 межсимвольная интерференция 290 межуровневый интерфейс 110 метасимвол 601 метка замена 675 назначение 675 потока 94 глобальная 64 локальная 64 Меткалф Роберт 354 метод

инжиниринга трафика 186,216,217 кондиционирования трафика 186 контроля перегрузок 164 маркерного доступа 356 обеспечения качества обслуживания 185 обратной связи 186 опроса 376

предотвращения перегрузок 164 простоя источника 564 скользящего окна 565 случайного доступа 356 метрика 450 понятие 65

производительности сети 168,174 механизм

кондиционирования трафика 202 обратной связи 421 предотвращения перегрузки 205 управления перегрузкой 205 микроволновая система 287 микроволновый диапазон 287 микроэлектронная механическая система 341

миниатюрный апертурный терминал 299 мини-компьютер 30

минимальная таблица маршрутизации 527 многоканальная служба распределения 790 многоканальный протокол РРР 690 многолучевое замирание 290 многолучевое распространение сигнала 290 многомодовое оптическое волокно 250 многомодовый кабель 250 многопротокольная коммутация с помощью меток 698

многотерминальная операционная система 29

многотерминальная система разделения времени 26

многоуровневая частотная манипуляция 258 многоуровневый подход 109 множественный Доступ с кодовым разделением 276,306 множественный протокол покрывающего дерева 474

мобильная беспроводная связь 285

мобильная компьютерная сеть 286 мобильная телефония 285 мода 250

модель взаимодействия открытых систем 108,113 модем 232,258 кабельный 765 коммутируемый 764 телефонный 764

модемная терминальная станция 788 модуляция 53,256 амплитудная 231,257-259 дискретная 261 импульсно-кодовая 262,311 квадратурная 259 понятие 245

с несколькими поднесущими 302 фазовая 258 частотная 231,257,258 мост

локальной сети 403 понятие 403 провайдера 746 прозрачный 406,407 с маршрутизацией от источника 407 транслирующий 407 мощность опорная 237 мультиплексирование 69,555 волновое 276—278,310,333—335 временное 233,276,278 высокоуплотненное 335 ортогональное 302 пространственное 389 уплотненное 278,310,333 частотное 233,276,302 мультиплексная секция 321 мультиплексор 70,233,319 ввода-вывода 320,338 доступа 765,786 оптический 338 терминальный 320

мультипрограммная операционная система 102 мультисервисная сеть 35 мэйнфрейм 26 набор

импульсный 770 тоновый 770 услуг

базовый 378 расширенный 379 наведенный сигнал 240 наводка 235 объединенная 240 перекрестная 240 понятие 240

надежность транспортных услуг 164 назначение

динамических адресов 509 статических адресов автоматическое 509 ручное 508

назначенный коммутатор 451 назначенный порт 451 Найквиста—Котельникова теорема 262 Найквиста теория 262 Найквиста формула 228,246 наложенная сеть 141,230 нгСйравленная антенна 287 национальный оператор 149 начальное число 303 начальный интерфейс 778 неблокирующий коммутатор 419 недогруженная сеть 186 недогруженный режим 222 независимое поведение маршрутизаторов 612

независимый от среды интерфейс 429 незащищенное соединение 762 ненаправленная антенна 287 ненаправленная среда 287 ненумерованный интерфейс 693 необратимая функция 855 неопределенный адрес 491 неполносвязная топология 57 нерекурсивная процедура разрешения имени 506

несущая частота 245,362 несущий сигнал 244 неумышленная угроза 831 неэкранированная витая пара 231,247,248 неэкранированный кабель 248 низкоорбитальный спутник 300 номер

версии протокола 515 порта

динамический 555 назначенный 555 стандартный 555 хорошо известный 555 сети 487,488 узла в сети 487,488 номинальная скорость протокола 370

обеспечение информационной безопасности 846

область сети 585 обнаружение коллизии 364 ошибок 274 случайное раннее 607 обновление триггерное 582

оборудование

коммуникационное 682 кроссовое 682 терминальное 144,781 обработка ошибок 822 обратная доставка 316 обратная зона 507 обратная петля 491 обратная связь 186,421 обслуживание

взвешенное 200,202 дифференцированное 515,603 интегрированное 603,678,775 комбинированное 202 приоритетное 197 справедливое 202 общая длина пакета 516 общая среда передачи данных 354 общая шина 58,103,440 общедоступный домен Интернета 765 общий шлюзовой интерфейс 808 объединение подсетей 545 объединенная наводка 240 объем пульсации 606 объявление о расстоянии 574 о состоянии связей сети 583 ограниченная широковещательная рассылка 491 ограниченный широковещательный адрес 491 ограничитель начала кадра 363 одномодовое оптическое волокно 250 одномодовый кабель 250 однонаправленный виртуальный канал 673 однопрограммная операционная система 102 одноразовый пароль 862 одноранговая операционная система 49 одноранговый интерфейс 112 односторонняя задержка пакетов 174 односторонняя функция 855 окно

конкурентное 381 приема 568 прозрачности 237 скользящее 565

оконечное оборудование данных 232 оператор локальный 149 национальный 149 операторов 149 региональный 149 связи 145

транснациональный 150 операционная система клиентская 49 компьютера 47 многотерминальная 29

операционная система (продолжение) мультипрограммная 102 однопрограммная 102 одноранговая 49 серверная 49 сетевая 29,47 опорная мощность 237 оптическая транспортная сеть 310,342 оптический канал 344 оптический кросс-коннектор 338,340 оптический мультиплексор 338,339 оптоэлектронный кросс-коннектор 340 орбита

геостационарная 298 маловысотная 298 средневысотная 298

организационно уникальный идентификатор 360

ортогональное частотное мультиплексирование 302 основная гармоника 259 основной заголовок 645 основной интерфейс 778 особый 1Р-адрес 527 отказ

в обслуживании 832 в установлении соединения 82 отказоустойчивость 180 открытая система 124 открытая спецификация 124 открытый ключ 849,851 относительное доменное имя 504 относительное кодирование 273 относительный коэффициент использования -201

относительный уровень мощности 237 отображение нагрузки асинхронное 345 синхронное 345

отрицательное выравнивание 323,345 офисный телефонный коммутатор 144 очередь

FIFO 192,197 взвешенная 200 входная 88 выходная 88 повторной передачи 570 приоритетная 197 ошибка переполнения буфера 841

П

пакет 116,119,485 пакетная сеть 689 пакетный коммутатор 88 пакетный метод коммутации 36 память буферная 88

память (продолжение) многовходовая 441 разделяемая 441 параболическая антенна 287 параметры

логического соединения 91 получателя 645 специальные 645 пароль

одноразовый 862 применение 858 пассивное измерение 173 первичная сеть 141_t230,310 первичный эталонный генератор 314 перегрузка контроль 164 предотвращение 164,205 признак 208 управление 205 передача голоса 29 дейтаграммная 89 конвейерная 805 последовательная 805 с простоями 805 с установлением виртуального канала 93 логического соединения 91 эстафетная 295 перекрестная наводка на ближнем конце 240 на дальнем конце 240 переменная битовая скорость 188 переполнение буфера 841 перераспределение 586 период

контролируемый 383 пульсации 178 персональная сеть 351,389 персональный компьютер 32 персональный сетевой экран 876 петля 411

пиковая скорость передачи данных 178 пикосеть 390 пилотный сигнал 307 планирование расходования ресурсов 164 сети 182

плезиохронная цифровая иерархия 310

плоская адресация 60

плоское имя 502

плоское кольцо 324

плотный режим 630

повторитель 232

погонное затухание 236

пограничный коммутатор 748 пограничный маршрутизатор 653,702 пограничный шлюзовой протокол 588 поддомен 504 подпись цифровая 870 электронная 870 подпоток 63 подсеть 493 подсистема вертикальная 252 горизонтальная 252 кампуса 252

подуровень управления 421 подчиненное устройство 390 покрывающее дерево 412,449 поле

данных 361,394 источника 527

контрольной последовательности кадра 361

следующего заголовка 645 полезная пропускная способность протокола 371

политика информационной безопасности 847

полное доменное имя 504 полносвязная топология 56,141 полностью оптическая сеть 336 полностью оптический кросс-коннектор 340

положительная квитанция 381 положительное выравнивание 323,345 полоса пропускания 54,242 полудуплексный канал 55 полудуплексный режим коммутатора 418 полупроводниковый лазер 251 пользовательский слой 135 пользовательский фильтр 411,465 помеха внешняя 235 внутренняя 235 помехоустойчивость 239 помеченный кадр 471 порог чувствительности приемника 239 порт 41 ТСР-порт 555 UDP-порт 555 агрегатный 319 альтернативный 457 восходящий 423 доступа 472 корневой 451 логический 462 магистральный 423 назначенный 451 приложения 555

порт (продолжение) резервный 457 с разделением каналов 693 трибутарный 319 физический 462 порядковый номер запроса 596 последовательная передача 805 последовательность Баркера 305

псевдослучайной перестройки частоты 303 расширяющая 305 поставщик услуг биллинговых 160 Интернета 157,159 локальный 159 магистральный 159 по доставке контента 159 по поддержке приложений 160 региональный 159 хостинга 159

постоянная битовая скорость 187 постоянный виртуальный канал 673,680 построение Интернета будущего 829 потенциальный код 2D1Q 268 NRZ 264

без возвращения к нулю 264 с инверсией при единице 266 потенциальный способ кодирования 52 поток

агрегированный 615 байтов 558 данных 63,485 информационный 63,485 контроль 206 потоковый трафик 187 почтовый клиент 795 почтовый сервер 795 пошаговая спецификация 613 преамбула 363,366 предложенная нагрузка 54,166 предотвращение коллизий 376 перегрузки 205 преобразователь

аналого-цифровой 261 цифро-аналоговый 261 префикс 495,545 адреса 495 формата 642 привратник 811 признак

непосредственно подключенной сети 526 перегрузки 208

прикладной программный интерфейс 115 прикладной уровень 123,483

приложение асинхронное 189 изохронное 189 локальное 49

сверхчувствительное к задержкам 189 сетевое

распределенное 49 централизованное 49 синхронное 189 с потоковым трафиком 187 с пульсирующим трафиком 188 устойчивое к потере данных 189 чувствительное к потере данных 189 приоритет пакета 515 понятие 197

приоритетная очередь 197 приоритетное обслуживание 197 приоритетный доступ по требованию 427 проблема последней мили 759 провайдер 157

проверка непрерывности соединения 743 проводная сеть 140 проводная среда 230,287 проводное абонентское окончание 790 программа вредоносная 837 троянская 838 шпионская 844

программное обеспечение стека TCP/IP 527 программный ключ 863 программный коммутатор 815 программный маршрутизатор 523,655 продвижение кадра 409

по реверсивному пути 632 прозрачный мост 406,407 производительность коммутатора 425 транспортных услуг 164 прокси-сервер понятие 883 прикладного уровня 886 уровня соединений 886 промежуточная аппаратура 232 промежуточная точка обслуживания 743 пропускная способность 54,243 простая фильтрация 880 простой источника 564 простой протокол передачи почты 483,796 управления сетью 135

пространственное мультиплексирование 389 протокол IPSec 646 Proxy-ARP 501

протокол (продолжение) адаптации 393 аутентификации 861

по квитированию вызова 690 по паролю 690

беспроводных приложений 804 верхнего уровня 516 взаимодействия приложений 43 группового управления в Интернете 627 двунаправленного обнаружения ошибок продвижения 717 двухточечной связи 690 дейтаграммный 484

динамического конфигурирования хостов 508

доступа

к линии связи для модемов 775 к электронной почте 800 загрузки 637

инициирования сеанса 811 интеллектуальной сети 816 как логический интерфейс 41 коррекции ошибок 774 маршрутизации 121,528,553 группового вещания 627 дистанционно-векторный 632 маршрутизируемый 121 маршрутной информации 575 межсетевой 484,514

межсетевых управляющих сообщений 484, 591

общей управляющей информации 826 ориентированный на передачу 796 на прием 796 передачи

гипертекста 483,805 почты 483,796 файлов 483,819 покрывающего дерева быстрый 449 классический 449 множественный 474 пользовательских дейтаграмм 483,554 понятие 112

почтового отделения 800 разрешения адресов 61,487,497, 651 распределения меток 701,709 реального времени 809 резервирования ресурсов 604,609 сжатия синхронных потоков данных 775 сигнализации 681 сигнальный 312,609,701,769 туннелирования 772 управления

агрегированием линий связи 464 линией связи 690

управления (продолжение) передачей 483,554 сетью 135,690 шлюзовой внешний 588 внутренний 588 пограничный 588 эмуляции терминала 483 протокольная единица данных 116,451 профилирование 203 профиль 393 процедура

разрешения имени нерекурсивная 506 рекурсивная 506 установления соединения 81 процента ль 171 процессор

пакетов Ethernet 414 цифровой обработки сигнала 435 прямая коррекция ошибок 275 прямое последовательное расширение спектра 305 псевдоканал 733

пуассоновское распределение 192 пул адресов 510 пульсация 433 пульсирующий трафик 84 путь

виртуальный 681 коммутации по меткам 702 ПЭГ 314 радиодиапазон 287 радиоканал 231-радиорелейная линия связи 292 радиосеть 147 разброс задержки 177 разделение времени 70 каналов 693 на подсети 545 ресурсов 40 частотное 70

разделяемая многовходовая память 441 разделяемая среда 71 разделяемое дерево 631 размер окна 565 разрешение адреса 61 разряженный режим 630 распознавание коллизий 366 распределение динамическое 462 марковское 192 пуассоновское 192 статическое 463

распределенная атака 832 распределенная система 379 распределенное приложение 49 распределенный режим 380 распределитель 764 рассредоточенная сеть 392 расстояние Хемминга 275 рассылка

ограниченная 491 широковещательная 491 расширение

поля данных кадра 433 спектра быстрое 303 медленное 303

прямое последовательное 305 скачкообразной перестройкой частоты 302 расширенный интерфейс 436 расширенный набор услуг 379 расширенный спектр 302 расширенный список доступа 602 расширяемость сети 180 расширяющая последовательность 305 расщепление горизонта 581,741 реальная частная сеть 682 реверсивный протокол разрешения адресов 501 регенераторная секция 321 регенератор сигнала 232,320 региональный оператор 149 региональный поставщик услуг 159 режим

аутентификации 691 включения 626 дуплексный 418 исключения 626 неблокирующий 419 недогруженный 222 неразборчивого захвата 361,407 передачи

асинхронный 280,678 синхронный 280 перераспределения 586 плотный 630 полудуплексный 418 пульсаций 433 разряженный 630 распределенный 380 свертывания колец 374 терминального доступа 767 транспортный 894 туннельный 894 удаленного узла 765 удаленного у прав ичшя 767 центрт нмотпный 380 резервирование

нропчгмюн способности 210 pirvpcnii 209. (>09

резервная связь 412 резервное копирование 846 резервный порт 457 резидентный доступ 377 рекомендуемый стандарт 232 рекурсивная процедура разрешения имени 506

ресурсы

контроль расходования 164 планирование расходовчния 164 разделение 40

ретрансляционный участок 519 решетчатый код 259,276 риск 831

ручное назначение статических адресов 508 самовосстанавл и вающаяся сеть 325 самосинхронизирующийся код 264 сверточный код 276 свертывание колец 374 сверхвысокая частота 287 сверхнизкая частота 287 световод 250 светодиод 251 светоизлучающий диод 251 свободный ТЕ-туннеаь 718 связной агент 511 связь

ближнего радиуса дсиа вня 398 магнитная 239 наземная 231 резервная 412 спутниковая 231 электрическая 239 сеанс

передачи данных 820 управляющий 820 сеансовый уровень 122 сегмент 116,449,485,558 секретный ключ 848,864 секция

мультиплексная 321 регенераторная 321 сервер

выделенный 49 имен 61 маршрутов 573 понятие 16 почтовый 795 сетевой 32

у ;аленно1 о доступа 765 серверная операционная система 49 сервис 613 сертификат 865 сетевая интерфейсная карта 41 сетевая операционная система 29,47

сетевая служба 46 сетевая технология 31 сетевое окончание 777 сетевой адаптер 41 сетевой адрес 120,487 выходного интерфейса 520 следующего маршрутизатора 520 сетевой интерфейс 59,732 сетевой монитор 517 сетевой протокол Microcom 775 сетевой сервер 32 сетевой уровень 118,484 сетевой червь 838 сетевой экран

корпоративный 876 персональный 876 понятие 876 прикладного уровня 880 сеансового уровня 880 сетевого уровня 880 с фильтрацией пакетов 880 сеть

агрегирования трафика 142 беспроводная 140,375 виртуальная 467.662,682 внешняя 684 внутренняя 684 глобальная 28,139,232 городская 34,139 дейтаграммная 141 демилитаризованной зоны 882 доступа 142,143 затопление 409 здания 153 интегрируемость 182 интеллектуальная 36 инфокоммуникационная 36,132 кампуса 153 коммутационная 68 компьютерная 25,44,286 корпоративная 142,145,151,154 локальная 31,139,467 магистральная 142—144 масштаба предприятия 154 масштабируемость 180 мегаполиса 34,139 мобильная 286 мультисервисная 35 на базе

виртуальных каналов 141 логических соединений 141 наложенная 141,230 недогруженная 186 оператора связи 141,145 оптическая 310,316.342 отдела 151

первичная 141,230,310

сеть (продолжение) передачи данных 25,35 периметра 882 персональная 351,389 планирование 182 полностью оптическая 336 проводная 140 рабочей группы 152 радио 147

рассредоточенная 392 расширяемость 180 самовосстанавливающаяся 325 с базовым набором услуг 378 с избыточной пропускной способностью 186

с интегрированным обслуживанием 35 синхронная 316 с коммутацией каналов 140 пакетов 140 совместимость 182 составная 118

с расширенным набором услуг 379 телевизионная 147 телефонная 28,230 транспортная 310,342 управляемость 181 частная 662,682 сжатие 272 сигнал

наведенный 240 несущий 244 пилотный 307 стартовый 42 столовый 42 сигнальная система 7 771 сигнальный протокол 312.609,701,769 сигнатура вируса 873 символьное имя 488 символьное подавление 273 символьный адрес 59 симметричная криптосистема 849 симметричный кабель 247 симплексный канал 55 синхронизация передатчика и приемника 53, 263

синхронная оптическая сеть 316 синхронная цифровая иерархия 310 синхронное отображение нагрузки 345 синхронное приложение 189 синхронный канал 392 синхронный режим временного мультиплексирования 278 передачи 280 система Т-каналов 311 автономная 587

система (продолжение) аутентификации 862 беспроводных абонентских окончаний 288

видимого света 288

дифференцированного обслуживания 603 доменных имен 488,505 имен 503

интегрированного обслуживания 603 инфракрасных волн 288 кабельная 252 микроволновая 287 микроэлектронная механическая 341 многотерминальная 26 навигации глобальная 300 обнаружения вторжений 888 открытая 124 пакетной обработки 26 разделения времени 26 распределенная 379 сигнальная 771 терминальная 765 управления сетью 821 системой 822 шифрования 854 скользящее окно 565 скорость

OLE_LINK7передачи данных 177 битовая 54 передачи данных 54 пиковая 178

предложенной нагрузки 54 продвижения 424 протокола номинальная 370 согласованная 675 средняя 178 фильтрации 424 чиповая 305 скремблирование 269 скрытый терминал 376 скрэмблер 267 слой

защищенных сокетов 122,891 менеджмента 135 пользовательский 135 управления 135 слот трибутарный 346 служба

безопасности 47 каталогов 47 мониторинга сети 47 печати 46 распределения локальная 790 многоканальная 790 распределенной системы 379

резервного копирования и архивирования 47

сетевая 46 справочная 47 файловая 46

случайное раннее обнаружение 607 случайный доступ 356 смежная конкатенация 331 смешанная топология 58,141 смещение фрагмента 516 сниффер 844

совет по архитектуре Интернета 126 совместимость сети 182 согласованная величина пульсации 676 согласованная скорость передачи данных 675 соглашение об уровне обслуживания 165,

822

соединение виртуальное 681 долговременное 805 кратковременное 805 логическое 91,561 незащищенное 762 отказ в установлении 82 установление 81 сокет 556 сообщение 43,97 PATH 609 RESV 609

начального адреса 781 понятие 116,123

проверки непрерывности соединения 743 электронное 795 сообщество Интернета 126 сопротивление активное 239 волновое 239 составная сеть 118 составной канал 80.229 состояние защищенности 830 сота 294

сохранение с продвижением 88 социальный инжиниринг 832 спам 845 спектр кода 271

расширенный 302 сигнала 233,259,263 спектральное разложение сигнала 233 спектральный канал 334 специальные параметры 645 спецификация запроса приемника 609 открытая 124 пошаговая 613 трафика источника 609 фильтра 609

специфический маршрут 520,528 список

доступа 465,600 расширенный 602 стандартный 600 контроля доступа 203 справедливое обслуживание 202 спутник

геостационарный 298 низкоорбитальный 300 среднеорбитальный 300 спутниковая связь 231 среда

беспроводная 230,287 ненаправленная 287 проводная 230,287 разделяемая 71 физическая 230 средневысотная орбита 298 среднеорбитальный спутник 300 среднесрочные характеристики сети 164 средняя скорость передачи данных 178 поступления маркеров 606 срок аренды 509 стадия

обучения 454 продвижения 454 прослушивания 454 стандарт

комитетов и объединений 125 международный 125 межсетевого взаимодействия 357 межуровневого взаимодействия 816 на кабельные системы 252 национальный 125 рекомендуемый 232 сжатия данных 775 фирменный 125

стандартная сетевая технология 32 стандартная топология физических связей 354

стандартный назначенный номер порта 555 стандартный список доступа 600 стартовый сигнал 42 статистическая оценка 170 статистическое временное мультиплексирование 280 статистическое кодирование 273 статическая запись 409,500 статическая маршрутизация 573 статическая страница 807 статический маршрут 528 статическое распределение кадров 463 стек

TCP/IP 130,483

стек (продолжение) коммуникационных протоколов 112 меток 706

протоколов SDH 320 стековый коммутатор 445 столовый сигнал 42 страница

гипертекстовая 802 динамическая 807 статическая 807 строгая аутентификация 858 строгий ТЕ-туннель 718 структурированная кабельная система 252 схема автопереговоров 430 сшивание путей 706

Т

таблица

адресная 407,408 коммутации 66,68,90,95 кросс-соединений 318 маршрутизации 68,120,519 минимальная 527 формирование 527 продвижения 408,701 соединений 318 соответствия адресов 61 фильтрации 408 тайм-аут 579 доставки 122 квитанции 570 таймер отсрочки 381 тайм-слот 278 такт 245 тег

виртуальной локальной сети 471 языка разметки 802 телевизионная сеть 147 телевизионный кабель 250 телефон аналоговый 770 телефонная сеть 28,230 телефонные услуги 146 телефонный модем 764 тема для обсуждения 126 темное волокно 667 теорема Найквиста—Котельникова 262 теория

автоматического управления 207 Найквиста 262 очередей 191

терминальная система 765 терминальное оборудование 144,777.781 терминальный адаптер 232,783 терминальный доступ 767 терминальный мультиплексор 320 тест целостности соединения 370

техника расширенного спектра 302 технология

бесклассовой междоменной маршрутизации 494,544 волнового мультиплексирования 334 коммутации на основе тегов 700 межсетевого взаимодействия 118 сетевая 31

цифровых сетей с инте! рированным обслуживанием 35 тип сервиса 515 токен доступа 372 толстый коаксиальный кабель 249 тонкий коаксиальный кабель 250 тонкопленочный фильтр 339 тоновый набор 770 топология

древовидная 58,141 звездообразная 57,141 кольцевая 57,141,338 неполносвязная 57 полносвязная 56,141 понятие 55 смешанная 58.141 ячеистая 57,324,338 точка

встречи 631 доступа 294,379 классификации трафика 197 контрольная 781 обслуживания конечная 743 промежуточная 743 присутствия 150 рандеву 631

традиционная технология NAT 616 транк 459,472 транслирующий мост 407 трансляция сетевых адресов 616 базовая 617 двойная 621 и портов 617

транснациональный оператор 150 транспондер 667

транспорт Ethernet операторского класса 730 транспортное средство 47 транспортные услуги 131,147 безопасность 164 надежность 164 производительность 164 транспортный блок оптического канала 344 транспортный режим 894 транспортный уровень 121,483 транспортный шлюз 815 трафик 135

инжиниринг 186,216,217 трафик (продолжение) классификация 197,203 компрессия 187 компьютерный 84 кондиционирование 186,202 межсегментный 406 неравномерный 96 потоковый 187 профилирование 203 пульсирующий 84 формирование 204 эластичный 189 трибутарный блок 318 трибутарный порт 319 трибутарный слот 346 триггерное обновление 582 троянская программа 838 тунне!Ирование 670 туннельный режим 894 угроза

внешняя 831 неумышленная 831 понятие 831 умышленная 831

удаление метки на предпоследнем хопе 704

удаленное управление 767

удаленный доступ 759

удаленный узел 765

узкое место составного пути 179

указатель

виртуального контейнера 318 срочности 571

улучшенная скорость передачи данных 394 умышленная угроза 831 уникальный адрес 59 унифицированный указатель ресурса 803 уплотненное волновое мультиплексирование 278,310,333 уплотненный канал 277 управление активное 206 безопасностью 822 выравниванием 346 доступом к среде 116,355,358 конфигурацией сети и именованием 821 логическим каналом 358,393 очередями 186,206 перегрузкой 205 управляемость сети 181 управляющий сеанс 820 уровень

аудиоуровень 394 базового диапазона частот 393 Интернета 484

уровень (продолжение) канальный 116 линии 321 мощности абсолютный 237 относительный 237 представления 122 прикладной 123,483 протокола адаптации 393 сеансовый 122 секции 321 сетевой 118,484 сетевых интерфейсов 484 согласования 429 тракта 321

транспортный 121,483 управления 394 физический 116 физических радиосигналов 393 фотонный 320

усеченный экспоненциальный алгоритм отсрочки 365 усилитель 232

ускоренная MPLS-коммутация 709 услуги

виртуальной частной локальной сети 739 интерактивные 147 информационные 131,147,154 компьютерных сетей 146 телефонные 146 транспортные 131.147 широковещательные 147 установление логического соединения 91 устройство главное 390

для подключения к цифровым каналам 232

подчиненное 390 сетевого окончания 783 физического уровня 429 учет работы сети 822

Ф

фазар 340

фазовая манипуляция 257 фазовая модуляция 258 файервол 876 файловая служба 46 файл-сервер 46

физическая среда передачи данных 230 физический интерфейс 41 физический порт 462 физический уровень 116 физическое кодирование 244 фиксированная беспроводная связь 285 фиксированная граница адреса 489

фильтр

пользовательский 411,465 тонкопленочный 339 фильтрация 424 кадра 409

маршрутных объявлений 603 пользовательского трафика 600 понятие 600 простая 880 с учетом контекста 880 флаг пакета 516 формирование трафика 204 формула

Найквиста 228,246 Фурье 235

Шеннона 228,241,246 фотонный коммутатор 340 фотонный уровень 320 фрагментация 547 фрейм 486 фронт 264 функция необратимая 855 односторонняя 855 Фурье формула 235

X

хаб 369

характеристики задержек пакетов 169 качества обслуживания 185 сети

долговременные 164 краткосрочные 164 производительность 168 среднесрочные 164 Хафмана алгоритм 273 Хемминга расстояние 275 хоп 519

хорошо известный номер порта 555 хост 483

хэш-функция 855

ц

ЦАП 261

целостность 830,897 центр

информационный 143,144 обмена трафиком 159 сертификации 865 управления сервисами 143 144 централизованная справочная служба 47 нейтрализованное сетевое приложение 49 централизованный режим 380

централизованный способ назначения адреса 360

центральный блок управления 652 центральный офис 150 цепь 324

двухточечная 336

с промежуточными подключениями 337 циклический избыточный контроль 275 цифро-аналоговый преобразователь 261 цифровая иерархия плезиохронная 310 синхронная 310 цифровая линия связи 233 цифровая оболочка 342 цифровая обработка сигналов 281 цифровая подпись 870 цифровая сеть с интегрированным обслуживанием 775 цифровое абонентское окончание 777 цифровой кросс-коннектор 320 цифровой сертификат 864

Ч

частная линия Ethernet 733 частная сеть 148 виртуальная 682 реальная 682 частный адрес 493,616 частота

несущая 245,362 сверхвысокая 287 сверхнизкая 287 частотная манипуляция 257 частотная модуляция 231,257,258 частотное мультиплексирование 233,276 частотное разделение 70 частотное уплотнение 277 частотный план 334 червь сетевой 838 чередование байтов 323 четырехуровневая частотная манипуляция 258

чип 305

чиповая скорость 305 числовой адрес 59 чистая IP-сеть 689

Ш

Шеннона формула 228,241,246 ширина спектра сигнала 233 широковещательная рассылка 491 широковещательное радио 287 широковещательное сообщение 491 широковещательные услуги 147 широковещательный адрес 59,360,491,528 широковещательный шторм 409,491 шифрование понятие 848 с открытым ключем 851 с помощью односторонней функции 855 шлюз 810 безопасности 894 внешний 587 понятие 483 транспортный 815 шлюзовой протокол внешний 588 внутренний 588 пограничный 588 шпионская программа 844 шум дискретизации 263

Э

экран 876

экранированная витая пара 231,247,249 экстранет 684 эластичный трафик 189 электрическая связь 239 электронная подпись 859,870 электронное сообщение 795 элементарный канал 78,79,262 элемент сети 821

эмуляция выполнения программ 876 эстафетная передача 295 эхо-запрос 596 зхо-ответ 596 эхо-протокол 596

Я

язык разметки гипертекста 802 ячейка 678

ячеистая топология 57,324,338

OCR by TAX

Виктор Гоигорьевич Олифер, Наталья Алексеевна Олифер

Компьютерные сети. Принципы, технологии, протоколы Учебник для вузов. 4-е изд.

Руководитель npoeirra Ведущий редактор Литературный редактор Художественный редактор Корректор Верстка

А. Юрченко

Ю. Сергиенко А. Жданов

Л. Адуевская В. Листова Е. Егорова

Подписано в печать 08.10.09. Формат 70x100/16. Уел. п. л. 76,11. Тираж 4500. Заказ 19113. ООО «Лидер», 194044, Санкт-Петербург, Б. Сампсониевский пр., д. 29а Налоговая льгота — общероссийский классификатор продукции ОК 005-93. том 2; 95 3005 — литература учебная.

Отпечатано по технологии CtP в ОАО «Печатный двор» им. А. М. Горького.

197110, Санкт-Петербург, Чкаловский пр., д. 15.

ЕБНИК

>ДЛЯ ВУЗОВ

Профессиональные биографии Виктора и Натальи Олифер очень похожи.

Оба они получили свое первое высшее образование в МВТУ им. Н. Э. Баумана (специальность «Электронные вычислительные машины»), а второе — в МГУ им. М. В. Ломоносова (специальность «Прикладная математика»).

После защиты диссертации каждый из них совмещал преподавание в вузах с научно-исследовательской работой. В 1995 году Наталья и Виктор стали читать лекции по сетевым технологиям в Центре информационных технологий при МГУ.

Ими были разработаны несколько авторских курсов, которые и составили в дальнейшем основу для написания популярных учебников «Сетевые операционные системы» и «Компьютерные сети», а также книги «Computer Networks: Principles,

Technologies and Protocols for Network Design».

В настоящее время Наталья Олифер работает независимым консультантом в области сетевых технологий, а Виктор Олифер участвует в проекте по развитию сети JANET, объединяющей университеты и исследовательские центры Великобритании.

Новое издание одного из лучших российских учебников по сетевым технологиям можно считать юбилейным. Прошло ровно 10 лет с момента первой публикации книги «Компьютерные сети. Принципы, технологии, протоколы». За это время книга приобрела широкую популярность в России, была издана на английском, испанском, португальском и китайском языках, и с каждым новым изданием она существенно обновлялась.

Не стало исключением и это, четвертое, издание, в котором появилось много новых разделов, посвященных самым актуальным направлениям сетевых технологий.

Издание предназначено для студентов, аспирантов и технических специалистов, которые хотели бы получить базовые знания о принципах построения компьютерных сетей, понять особенности традиционных и перспективных технологий локальных и глобальных сетей, изучить способы создания крупных составных сетей и управления такими сетями.

Рекомендовано Министерством образования и науки Российской Федерации в качестве учебного пособия для студентов высших учебных заведений, обучающихся по направлению «Информатика и вычислительная техника» и по специальностям «Вычислительные машины, комплексы, системы и сети», «Автоматизированные машины, комплексы, системы и сети», «Программное обеспечение вычислительной техники и автоматизированных систем».

197198, Санкт-Петербург, а/я 127 тел.: (812) 703-73-74, postbook@piter.com

61093, Харьков-93, а/я 9130

тел.: (057) 75В-41-45, 751-10-02, pvter©kharkov.piter.com www.piter.com — вся информация о книгах и веб-магазин