Компьютерные сети

Star InactiveStar InactiveStar InactiveStar InactiveStar Inactive
Тема 14. Администрирование сети

 

Дополнительные, не связанные с протоколами, административные задачи. Управление конфигурацией сети, отказоустойчивостью сети и устранение помех, производительностью, безопасностью, профилями пользователей.

В нашем курсе рассматривались основные сетевые технологий и сетевые протоколы. Не менее важной задачей является управление компьютерной сетью. Управление (администрирование) состоит из пяти основных направлений:

- управление конфигурацией сети (configuration management);

- устранение возникающих неисправностей (fault management);

- управление производительностью сети (performance management);

- управление безопасностью сети (security management);

- управление учетными записями пользователей (accounting management).

Управление конфигурацией сети

Управление конфигурацией сети включает в себя следующие задачи: отслеживание оборудования и программного обеспечения, управление файловыми архивами, учет сетевых услуг. В результате выполнения этих задач администратор должен владеть детальным списком существовавшей, текущей и прогнозируемой конфигурации сети. В зависимости от масштаба сети, такой список может быть довольно большим.

Список должен содержать общую и конкретную информацию. Например, в качестве общей информации могут учитываться лицензии на программное обеспечение, компьютеры и устройства в сети. А в качестве конкретной информации –версии драйверов и микропрограмм.

Содержание списка конфигурации помогает производить изменения в сети и устранять неполадки. Обычно любая сеть требует регулярной диагностики и обслуживания. Для облегчения этой задачи необходимо графом сети, где вершинами графа будут устройства, а ребрами – сетевой носитель.

Устранение возникающих неисправностей

Для выявления и устранения неисправностей в компьютерной сети используются аппаратные, программные и административные средства. Цель использования этих средств – быстрое выявление и устранение неисправного компонента (или потенциально неисправного компонента) в компьютерной сети. С помощью этих средств решаются следующие задачи:

- быстрое нахождение и устранение неисправностей (по мере возможности предупреждение неисправностей);

- установка приоритета в предупреждении и устранении неисправностей;

- своевременное решение проблем пользователей и удовлетворение их запросов.

В компьютерной сети по мере возможности рекомендуется использовать отказоустойчивые программные и аппаратные средства, которые, как правило, обладают избыточностью. Даже при возникновении неполадки, использование таких средств должно сохранить работоспособность сети.

Рассмотрим некоторые средства выявления и устранения неисправностей.

Сетевая система управления (Network management system). Это комбинация аппаратного и программного обеспечения, которая отслеживает операции компонентов сети. Обычно в состав системы входит компьютер, который должен сигнализировать о проблемах в сети, наглядно указывая на их источник на экране. Также обычно используются средства удаленного оповещения. Сетевые компоненты взаимодействуют с системой управления с помощью протоколов SNMP (Simple Network Management Protocol) и CMIP (Common Management Information Protocol).

Анализатор протокола (Protocol analyzer) – комбинация аппаратного и программного обеспечения, которая проверяет трафик в сети. Анализатор помогает разрешить сложные проблемы в сети, поскольку он может анализировать используемые протоколы в каждом соединении.

Тестер кабеля (Cable tester) – аппаратное устройство, позволяющее находить неисправности кабеля. В зависимости от вида носителя, кабельный тестер позволяет находить неисправный сегмент и указывает место его повреждения.

Системы со встроенной избыточностью (Redundant systems) используют несколько одинаковых частей программного и аппаратного обеспечения, выполняющих одни и те же функции. Например, можно использовать два сервера, осуществляющих дублирование (mirroring) своих файлов. Если один сервер сломается, пользователи станут пользоваться вторым сервером. Администратор далее будет восстанавливать сервер без всякого ущерба работоспособности сети.

Стандартным методом реализации избыточности при хранении файлов является использование RAID (Redundant Array of Inexpensive Drives) – избыточного массива недорогих дисков. RAID позволяет использовать два или больше физических дисков для создания виртуальной дисковой структуры. Эта структура позволяет хранить избыточную файловую информацию. Существует несколько уровней RAID, которые позволяют гибко определять уровень защиты информации. {RAID распределяет данные по дискам на уровне битов, байтов и блоков.} В RAID используется термин «data stripping» (чередование данных) указывает на последовательное чередование дисков при записи данных, группа таких дисков называется «stripe set». Рисунок (1 и 2 блок – 1 диск, 3 и 4 блок – 2 диск, 5 и 6 – 3 диск, 7 и 8 – 4 диск).

Очень важно грамотно выбирать уровень RAID в зависимости от требований сохранности информации. Мы будем рассматривать шесть уровней RAID: 0,1,2,3,4 и 5.

RAID 0. Disk striping without parity. Использует чередование дисков без контроля четности. На данном уровне данные блок за блоком распределяются по всем дискам. При использовании нескольких дисковых контроллеров, такой метод увеличивает скорость доступа к файлу. RAID 0 не обеспечивает избыточности, потеря одного диска приводит к частичной потере информации.

RAID 1. Disk mirroring and duplexing. Использует парное зеркалирование дисков (disk mirroring). Используются два диска на одном контроллере, каждый байт записанный на один диск, дублируется на втором диске. При потере одного диска, данные будут восстановлены со второго. Дублирование дисков (disk duplexing) использует свой контроллер для каждого диска. Такой метод может защитить от сбоев не только диска, но и контроллера. RAID 1 обеспечивает избыточность но является достаточно дорогим методом, так как можно использовать лишь 50% емкости дисков.

RAID 2. Disk striping with ECC. В RAID 2 применяется чередование дисков с записью кода коррекции ошибок. Блоки данных распределяются минимум на три диска, привязанные к одному контроллеру. Одновременно генерируется код коррекции ошибок (ECC, error correction code), который записывается на отдельный диск. Для кода коррекции ошибок требуется больше дискового пространства, чем для метода с контролем четности, поэтому RAID 2 используется редко.

RAID 3. Disk ECC stored as parity. Использует код коррекции ошибок хранимый как контроль четности. RAID 3 похож на RAID 2 за исключением того, что код коррекции ошибок заменен схемой контроля четности. Информация о четности занимает меньший объем по сравнению с ECC. Только один диск используется для хранения данных четности. При потере одного диска, данные будут восстановлены с помощью четности.

RAID 4. Disk striping with large blocks. RAID 4 определяет метод записи целых блоков данных на каждый диск вместо того, чтобы чередовать блоки данных по всем дискам. Используется контроль четности, информация четности записывается на один диск. Каждый раз при записи данных четность должна быть вычислена и записана на диск четности. Такая система хорошо работает с большими фрагментами файлов. Но она все же является неэффективной, так как четность должна записываться одновременно с записью данных (диски находятся на одном контроллере). Windows NT не поддерживает RAID 2,3,4 хотя они могут реализовываться аппаратно.

RAID 5. Disk striping with parity. RAID 5 записывает данные и информацию четности на все диски в наборе с чередованием, гарантируя, что информация четности, связанная с этими данными, находится на отдельном диске. Если выходит из строя отдельный диск, информация четности (вместе с данными, имеющимися на других дисках) может динамически заменить потерянные данные. Однако при повреждении двух дисков, данные будут потеряны. RAID 5 более эффективен чем RAID 2,3,4 и поддерживается Windows NT. Объем информации четности может быть подсчитан по следующей формуле: единица, деленная на количество физических дисков в системе и умноженная на общий объем дисков в системе. Например, если используется 4 диска по 3 Гбайт, общих их объем составит 12 Гбайт, информация четности займет 3 Гб. Если используется шесть дисков по 2 Гбайт, общий их объем составит 12 Гбайт, информация четности займет 2 Гбайт. Все диски должны быть одного размера. Чем больше дисков в системе RAID 5, тем больше можно хранить полезной информации, тем меньше объем информации контроля четности. (рисунок)

Sector sparing (обеспечение запасных секторов) – технология защиты от сбоев, при которой оборудование или операционная система проверяют целостность дисков до выполнения операции записи. Если во время записи обнаруживается плохой сектор, он помечается неиспользуемым, а данные записываются в хороший сектор. Эта технология работает только на дисках SCSI, за исключением случаев когда файловая система поддерживает обеспечение запасных секторов (например, NTFS).

Рассмотрим таблицу требований к оборудованию для организации устойчиво к сбоям системы на базе Windows NT

Уровень RAID Min кол-во дисков Max кол-во дисков Кол-во контроллеров

1 2 2 1

1 2 2 2

5 3 32 1 или больше

0 2 32 1 или больше

Средства архивирования и резервирования данных (Data archiving and backup devices). Хотя эти средства и не предотвращают неисправностей, они позволяют существенно уменьшить ущерб от аварии. При проведении регулярной процедуры резервирования, возможно быстрое восстановление данных после повреждения жесткого диска, деструктивных действий вируса и других ошибок.

Возможно простое копирование файлов на другой диск. Но обычно операционные системы реализуют специальные команды резервирования, облегчающие эту задачу. Например, файл может маркироваться датой и временем его резервирования.

Microsoft выделяет следующие типы резервирования.

Полное резервирование – копирование всех указанных файлов.

Резервирование с приращением (incremental backup) – будут скопированы только те файлы, которые изменились со времени последнего резервирования.

Дифференциальное резервирование (differential backup) – будут скопированы только те файлы, которые изменились со времени последнего копирования. При этом на файл не будет ставиться отметка о текущем резервировании. При проведении последующего дифференциального резервирования или резервирования с приращением, файл будет снова скопирован.

Под резервированием понимается реализация одного из перечисленных методов через некоторые промежутки времени. Обычно производится ежедневное резервирование с приращением и ежемесячное полное резервирование.

Важно хранить список скопированных файлов (log). Обычно программы резервирования сами составляют этот список. Microsoft рекомендует хранить две копии списка: одну - на сервере, другую - вместе с резервными копиями.

Как правило, для резервирования используются накопители на магнитной ленте. Важным моментом резервирования является выбор места хранения магнитных лент. Некоторые компании копируют резервные ленты и вторую копию хранят в другом здании.

Перед использованием системы резервирования необходимо тщательно ее протестировать. Для этого следует произвести тестовое резервирование, восстановить данные с полученных резервных копий и сравнить данные.

Для резервирования, накопитель на магнитных лентах можно подсоединить непосредственно к серверу или использовать сеть для резервирования данных сразу с нескольких серверов. Сетевое резервирование очень удобно для администратора, но оно создает ощутимый сетевой трафик. Его можно уменьшить, если для резервирования выделить отдельные сегменты кабеля и соединить эти сегменты со вторыми сетевыми картами на серверах.

Источники бесперебойного питания (Uninterruptible Power Supply, UPS) – устройства, состоящие из нескольких аккумуляторов и иногда генераторов, способные некоторое время осуществлять электропитание компьютеров при возникающих неполадках в электрической сети. UPS крайне рекомендуется использовать вместе с сетевыми серверами для предотвращения сбоев. При возникновении неисправности, UPS предупредит пользователей сети для того чтобы они смогли завершить сеанс работы. Через некоторое время UPS осуществит завершение работы сервера.

Кроме того, существует большое количество интеллектуальных средств, выявляющих неисправность и предлагающих варианты ее устранения.

Управление производительностью сети

Управление производительностью сети заключается в периодическом отслеживании различных характеристик, поиск «узких мест» (bottlenecks), просчитывание возможного развития событий и выработку рекомендаций по дальнейшему улучшению сети.

Характеристики производительности сети

В сетях на основе Windows NT обычно отслеживаются следующие характеристики.

Количество байт, полученных с сервера и записанных на него позволяет получать информацию о загрузке сервера. Дополнительно можно контролировать количество отказов сервера на запись или чтение информации.

Количество команд в очереди на исполнение также является показателем загрузки сервера. Это число не должно быть большим.

Количество коллизий в секунду (в сетях Ethernet). Высокий уровень коллизий в сетях Ethernet не является хорошим показателем, т.к. при коллизии узлы прекращают работу в сети на случайный промежуток времени. Коллизии и загрузка сети не имеют прямого отношения друг к другу пока загрузка не приближается к пику 56-60%, тогда число коллизий чрезвычайно увеличивается и полностью «замораживает» трафик в сети. Высокий уровень коллизий в секунду обычно указывает на физические дефекты в сети. Например, если сегмент слишком длинный, то устройство при прослушивании кабеля (метод CSMA/CD) может не услышать передачу другого устройства и начать работу с сетью, вызвав коллизию.

Количество ошибок системы безопасности. Высокий уровень неудачных входов в сеть, неудачных доступов к объектам и неудачных изменений настроек безопасности могут указывать на попытки взлома сети. В таком случает рекомендуется поставить аудит на объекты, вызвавшие ошибки, чтобы понять причину проблемы. (Понятие аудита будет рассмотрено в рамках администрирования учетных записей пользователей). Также можно применить анализатор протоколов, чтобы выявить место, откуда исходят ошибки – если например, хакер атакует сеть.

Сеансы соединений с сервером. Особое внимание следует уделить этапу завершения сеансов. Если сеанс завершается в результате ошибки или из-за истечения периода ожидания сервера (time-out), то возможно сервер перегружен и отказывает в соединении, либо не может их быстро обслуживать. Возможно, следует добавить оперативную память на сервере или заменить некоторое оборудование.

Существуют несколько сотен других характеристик, администратор должен сам решать какие из них необходимо отслеживать.

Инструменты отслеживания характеристик производительности сети

Для отслеживания характеристик в Windows NT используются следующие инструменты.

Event viewer является частью основного набора административных инструментов Windows NT. Event Viewer поддерживает три регистрационных списка: один для регистрации событий системы безопасности (security log), второй для системной информации (system log) и третий для сообщений приложений (application log). В рамках производительности сети наиболее интересны первые два списка.

Список событий системы безопасности записывает сообщения на основе фильтров, устанавливаемых в User Manager for Domains (другом административном инструменте). Также при назначении аудита, события аудита записываются в список системы безопасности. С помощью этого списка удобно отслеживать неудачные попытки регистрации в сети и доступа к данным. Список системной информации записывает события, регистрируемые системными компонентами Windows NT и предоставляет наиболее полезную информацию о функционировании сети и исправности оборудования. Например, если вы установили сетевую карту, а она не работает, можно проверить System log чтобы выяснить, не было ли конфликта прерываний. В этот же список заносится время запуска и остановки служб.

Performance monitor. В отличие от event viewer, который регистрирует отдельные события, Performance monitor лучше подходит для записи и отслеживания тенденций изменения параметров системы. Можно установить достаточно большое количество характеристик, которые будет отслеживать Performance Monitor. В зависимости от значения выбранной характеристики, Performance Monitor может посылать предупреждения администратору сети и запускать другую программу, которая вернет систему в приемлемое состояние. Performance Monitor при работе потребляет ресурсы компьютера, поэтому можно осуществлять слежение за сервером удаленно, с другой машины под управлением Windows NT.

Performance monitor и Event viewer в состоянии подготовить данные для хранения долгосрочных записей о производительности и событий в сети. Важно сохранять для длительного хранения только необходимые данные, чтобы потом в них не запутаться.

Network monitor. В отличие от Event Viewer и Performance monitor, программа Network monitor не устанавливается автоматически в процессе установки Windows NT. В дальнейшем ее можно добавить как сетевую службу. Программа Network monitor является весьма мощным программным анализатором протоколов. Она отслеживает поток сетевых данных, записывает адреса отправителя и получателя, заголовки и данные для каждого пакета. Network monitor может захватывать пакеты пока не заполнит объем, равный свободной оперативной памяти минус 8 мегабайт для других программ. Соответственно рекомендуется использовать какой-либо фильтр при перехвате пакетов. Можно фильтровать пакеты основываясь на используемых в них транспортных протоколах, адресам отправителя и получателя, по шаблону данных, искать конкретные шестнадцатеричные или ASCII потоки в данных пакетов. Из соображений безопасности, Network Monitor обнаруживает другие установленные экземпляры агентов Network Monitor в сети, показывая имя компьютера, на которых они запущены, имя пользователя, вид работы Network Monitor в данный момент, адрес адаптера и номер версии. Если между двумя Network Monitor имеется маршрутизатор, не поддерживающий групповую адресацию (multicasting), то они могут не видеть друг друга. Но если вы видите другой Network Monitor, то они видит и вас.

Общесистемное управление

Как ни парадоксально это звучит, на производительность сети влияет не только сеть, но и другое оборудование. Кроме отслеживания работы самой сети, следует большое внимание уделять жестким дискам и оперативной памяти на серверах.

Жесткий диск. Из трех перечисленных выше инструментов, для отслеживания характеристик жесткого диска наиболее полезен Performance Monitor. Обычно отслеживаются следующие характеристики: оставшееся дисковое пространство, скорость обработки запросов (это и средняя пропускная способность, и количество переданных данных), частота занятости диска (как частота его работы, так и среднее количество запросов в очереди диска). При мониторинге необходимо обратить внимание, какой диск отслеживается: физический или логический. Также не все счетчики будут доходить до 100%, так как считывание с многих логических дисков может давать суму свыше 100% для всего физического диска. Иногда требуется использовать средний результат. (Внимание: перед использованием счетчиков дисков следует исполнить команду diskperf).

Оперативная память. Оперативная память сервера требуется для обслуживания входящих запросов. Windows NT спроектирована так, чтобы сбрасывать из памяти на диск (в swap file) не используемые в данный момент данные. Если серверу приходится сбрасывать на диск слишком много данных, имеет смысл установить дополнительную память. Существует два типа ошибок обращения к странице. Программные ошибки происходят, когда данные удалены из рабочего множества (working set) программы и перемещены в другую область физической памяти. Операция по возвращению данных в рабочее множество является очень быстро. Аппаратные ошибки обращения к странице происходят когда данные убраны после того, как долго оставались неиспользованными, или когда имеется такая недостача физической памяти, что данные программ фактически хранятся на диске. Считывание данных с диска занимает на порядок больше времени, чем считывание из памяти. Таким образом, важно измерять частоту появления ошибок обращения к странице памяти.

Управление безопасностью сети

Управление безопасностью сети направлено на защиту данных и оборудования в сети. Оно включает в себя аппаратные, программные и административные средства для уменьшения опасности изнутри или снаружи организации. Можно привести некоторые примеры опасностей:

- несанкционированный внутренний или внешний доступ к документам организации;

- воровство или уничтожение данных;

- воровство, несанкционированное использование или повреждение компьютеров и сетевых устройств.

Управление безопасностью сети решает следующие задачи:

- определение возможных опасностей и их последствий;

- разработка и внедрение политики защиты компьютерной сети;

- администрирование учетных записей пользователей;

- использование различных средств для слежения за деятельностью пользователей и оповещения о сомнительных действиях пользователей.

Для реализации политики защиты необходимо идентифицировать пользователей и ресурсы сети с помощью различных схем сетевого наименования.

Схемы сетевого наименования

Каждому компьютеру в сети должно быть присвоено имя, чтобы он мог взаимодействовать с другими компьютерами в сети. Кроме того, имена нужны пользователям сети для работы с разделенными (shared) ресурсами. Сетевые имена могут быть разделены на следующие категории: учетные записи, компьютеры, ресурсы.

Учетные записи

Учетная запись представляет собой объединение всей информации, относящейся к пользователю или группе пользователей в сети. Обычно она состоит из имени пользователя, пароля, прав пользователя и сведений об участии в группах. Учетные записи создаются администратором. Пользователь не должен предоставлять другим пользователям свой пароль.

Имена компьютеров

Каждый компьютер в сети может иметь много имен в зависимости от того, какой процесс, протокол или устройство взаимодействует с ним в данный момент. Поскольку не все части сети используют одинаковые схемы наименования, необходима система, преобразующая (разрешающая) одни типы имен и адресов в другие. Существует несколько стандартов разрешения имен.

Компьютерные имена NetBIOS

Каждый компьютер в сети Microsoft использует компьютерное имя, длиной до 15 символов (также его называют именем NetBIOS). Эти имена относят к прикладному уровню OSI. Сети, использующие стек TCP/IP должны разрешить имя компьютера в адрес IP, прежде чем сможет произойти сетевое взаимодействие. Windows Internet Name Service (WINS) или Domain Name Service (DNS) могут быть использованы для разрешения компьютерных имен в адреса.

Windows Internet Name Service

WINS – служба, разрешающая компьютерные имена NetBIOS в адреса IP. Эта служба запускается на сервере Windows NT в сети и динамически разрешает имена так, чтобы компьютеры могли взаимодействовать друг с другом. WINS – это служба типа клиент-сервер, клиент регистрирует свое компьютерное имя на сервере WINS в процессе загрузки. Когда клиенту WINS нужно обнаружить компьютер в сети, он может запросить сервер WINS.

Domain Name Service

Служба DNS похожа на WINS в том что она также разрешает компьютерные имена в адреса IP. В DNS эти имена называются именами хостов (host names) или fully qualified domain names (FQDN – полное имя узла). Если компьютерные имена NetBIOS состоят из одной части, то стек TCP/IP опирается на соглашение по наименованию, известное как Domain Name System. FQDN представляет собой иерархическое имя, использующее формат hostname.domainname, например microsoft.com. Windows NT может сочетать компьютерное имя NetBIOS с именем домена DNS для формирования FQDN. В Windows NT 4.0 DNS представляет собой статическую службу, то есть необходимо вручную ввести имена и адреса IP прежде чем сервер DNS сможет их разрешить. Сервер DNS может также запрашивать другие серверы DNS, чтобы получить частичное разрешение для имени компьютера. Например, один сервер может разрешить часть имени kirov.ru, другой – разрешить часть vspu.

В дополнение к WINS и DNS, для разрешения имен в адреса IP могут быть использованы файлы LMHOSTS и HOSTS.

Файлы LMHOSTS и HOSTS

Эти файлы хранятся обычно на клиентском компьютеры. Они должны быть вручную созданы или изменены и помещены в соответствующий каталог (в Windows95 – каталог Windows, в Windows NT - %systemroot%\System32\Drivers\etc). Файл LMHOSTS обычно отвечает за разрешение имен NetBIOS в адреса IP. Файл HOSTS – разрешает имена хостов и имена FQDN в адреса IP.

Имена ресурсов

Каждый ресурс можно идентифицировать по имени. Например, «Принтер, установленный в 411 кабинете». Лучше назначать имена, по которым пользователи легко могут понять, к какому объекту они получают доступ. Обычно именованными ресурсами бывают принтеры, диски и каталоги.

Разработка и внедрение политики защиты компьютерной сети

Планирование политики защиты имеет большое значение в области безопасности. Любую опасность гораздо дешевле предотвратить, чем потом исправлять ее последствия. Разработка политики защиты состоит из трех этапов.

- Выяснение потребности компании.

- Разработка политики защиты (безопасности), соответствующей этим потребностям.

- Реализация политики защиты.

Выяснение потребностей компании

Каждая организация имеет свои отличия от любой другой организации в мире. Она имеет свой уникальный персонал, стиль и идеологию управления. Политика безопасности должна соответствовать стилю организации. Идеи администратора должны поддерживаться руководством компании. Например, требование наличия бездисковых станций в дисплейном классе может не совпадать с мнением руководства организации.

Необходимо ознакомиться со схемой организации фирмы или других сходных по деятельности фирм. Желательно ответить на следующие вопросы: Хотите ли вы быть подключены к Интернету? Хотите ли вы иметь это подключение в будущем? Являются ли ваши данные настолько чувствительными, что должны оставаться абсолютно закрытыми? Хотите ли вы иметь возможность удаленно администрировать свой узел?

Совместно с руководством компании нужно решить, насколько тщательной и всеобъемлющей должна быть защита сети. После этого необходимо сделать вашу систему как можно более легкой в использовании, но без нарушения исходных целей в области безопасности.

Разработка и реализация политики защиты

Администратор отвечает за политику безопасности своей организации (security policy). Она состоит из набора правил и предписаний, определяющих все моменты безопасности в организации. Желательно в точности описать последовательность внедрения защиты, чтобы помощник администратора смог разобраться с политикой защиты при необходимости.

Многие пользователи считают, что правила безопасности являются препятствиями для выполнения ими работы и пытаются обойти эти правила. Не отбрасывайте их идеи немедленно, всегда анализируйте и взвешивайте преимущества удобной работы пользователя и пользу от введения дополнительной защиты. Таким образом администратор может решить, изменить политику или оставить все как есть. Следует объяснить пользователям, почему система была изменена или не была изменена и поблагодарите за предложения.

Нельзя забывать, что пользователи могут случайно и неумышленно повредить данные или саму сеть. Политика безопасности должна позволить пользователям легко и эффективно выполнить их работу, не позволяя им вызвать какие-либо повреждения.

Реализация политики физической защиты

Электронная защита информации может быть очень хорошо организована, но нельзя забывать, что злоумышленник может вынести компьютер за пределы здания. Администратор отвечает за все аспекты безопасности сети, включая ее физическую защиту.

В одноранговых сетях каждый пользователь отвечает за безопасность своего компьютера. Политика безопасности может быть простой: пользователи должны каждый вечер выключать свои компьютеры и запирать двери кабинетов. Некоторые пользователи могут оставлять свои компьютеры на ночь, чтобы получать файлы из дома – администратор должен решить, позволено ли это с точки зрения политики безопасности. Необходимо соблюдать баланс между потребностями пользователей и требованиями безопасности сети.

В сети на основе сервера, каждому пользователю предоставлены конкретные права, основанные на его потребностях и роли в организации. Пользователи такой сети также должны взять на себя часть ответственности за обеспечение защиты своих рабочих станций.

Защита сервера. Администратор должен предотвратить несанкционированный доступ как извне, так и изнутри сети. Хорошо подготовившийся пользователь может вызвать невосстановимую потерю данных, получив доступ к серверному шкафу. Необходимо ограничить физический доступ к серверам, а также число пользователей и групп, имеющих право локальной регистрации на сервере.

Защита маршрутизаторов. Доступ к маршрутизаторам также должен быть ограничен. Пользователь может решить что сеть работает странно, и выключить и включить маршрутизатор, пытаясь решить проблему. Получив доступ к маршрутизатору, пользователь может изменить таблицы маршрутизации, а в крупной сети – добавить свой сегмент, таким образом сделав первый шаг в крупном нарушении безопасности компьютерной сети.

Защита кабелей. Если передаваемые данные имеют крайне важное значение, может потребоваться ограничение количества излучаемых электронных сигналов. Существует возможность, что кто-то подключится к медному кабелю и похитит данные. В середине 70-х г. в США была разработана беспроводная технология, позволявшая прослушивать ЭМ сигнал исходивший от компьютеров и кабелей. В таких случаях необходимо использовать оптоволоконный кабель, не излучающий электрических сигналов. К такому кабелю значительно сложнее подключиться. Также желательно использовать структуру зданий для защиты кабелей, например прокладывать их внутри стен.

Модели безопасности

Существует две модели безопасности учетных записей: защита на уровне ресурсов (share-level security) и защита на уровне пользователей (user-level security).

Защита на уровне ресурсов

Защита на уровне ресурсов представляет собой такую технику защиты, при которой каждый владелец ресурса предоставляет ресурс в совместное пользование под своим контролем и создает пароль для управления доступом к этому ресурсу. Например, пользователь предоставляет цветной принтер для использования в сети. Он может защитить его использования, установив пароль на печать. Знающие пароль пользователи смогут получить доступ к принтеру. Примерами ОС, использующих защиту на уровне ресурсов, являются Windows 3.11 и Windows 95. Они разрешают три вида доступа к ресурсу: только для чтения (read-only), полный доступ (full) и в зависимости от пароля (depends on password).

Доступ только для чтения позволяет пользователю только просматривать файлы в разделяемом каталоге. Они не могут изменять, удалять или добавлять файлы в каталог, но могут их печатать и копировать на свои компьютеры.

Полный доступ позволяет создавать, читать, записывать, удалять и изменять файлы в разделяемом каталоге.

Доступ в зависимости от пароля позволяет предоставлять пользователям права на чтение или на полный доступ в зависимости от введенного пароля. Соответственно, необходимо определить два пароля на ресурс: один на чтение, другой на полный доступ.

Защита на уровне пользователей

При использовании этой модели, каждому пользователю присвоено уникальное имя и пароль. Когда пользователь пытается войти в сеть, ему предлагается ввести свое имя пользователя и пароль, которые сравниваются с базой данных защиты на удаленном сервере. Такой процесс называется идентификацией (authentication). Если имя и пароль верны, сервер регистрирует пользователя в сети. Права и привилегии присваиваются на основе идентификатора пользователя (User ID) и групп, к которым он принадлежит.

В Windows NT эта техника используется для присвоения разрешений. Администратор ограничивает уровень доступа пользователей к ресурсам сети. Существуют следующие типы разрешений:

Read (чтение). Аналогично разрешению read-only в Windows 3.11 или Windows 95, позволяет пользователям просматривать файлы в каталоге с совместным доступом. Они не могут изменять, удалять или добавлять файлы, но могут печатать и копировать файлы на свои компьютеры.

Execute (исполнение). Разрешает пользователям запускать файлы в каталоге с совместным доступом.

Write (запись). Разрешение Write позволяет читать, записывать и изменять файлы в разделенном каталог. Пользователи не могут запускать или удалять файлы.

Delete (удаление). Дает пользователям право удалять файлы из каталога с совместным доступом.

Full control (полный доступ). Позволяет читать, исполнять, создавать, записывать, изменять и удалять файлы в разделенном каталоге.

No access (нет доступа). Пользователи лишены прав получать доступ к каталогу. В сочетании с другими разрешениями No access имеет преимущество. Это означает, что если пользователь имеет к конкретному каталогу доступ Full control и No access, он не получит доступа.

Управление учетными записями

Для отслеживания пользователей и их разрешений, администратор логически делит пользователей и ресурсы на управляемые группы и присваивает разрешения каждой из групп.

Например, организация, состоящая из управления, технического подразделения, отдела маркетинга, бухгалтерии и отдела кадров, легко может быть сгруппировано согласно специализации каждого из отделов. В этом примере администратор может создать группы: Управление, Инженеры, Маркетинг, Бухгалтерия и Кадры. Далее администратор помещает каждого пользователя в соответствующую группу.

Так как каждой группе потребуется доступ к различным ресурсам, администратор мог бы создать группы с разрешениями на доступ к следующим устройствам: высокоскоростной принтер, цветной принтер, принтер, принтер для САПР, круглосуточный принтер, принтер бухгалтерии. Соответственно для этого создаются следующие группы учетных записей: группа высокоскоростной принтер, включающая в себя группы управление и маркетинг, группа цветной принтер с группой маркетинг, группа основной принтер – бухгалтерия, инженеры и кадры, принтер САПР – инженеры, круглосуточный принтер – группа Everyone, принтер бухгалтерии – бухгалтерия.

Дополнительные средства защиты

Существует еще несколько приемов, позволяющих повысить безопасность компьютерной сети. Это аудит (auditing), использование бездисковых рабочих станций (diskless workstation), шифрование (encryption) и защита от вирусов (virus protection).

Аудит (auditing) – это способ отслеживания событий и действий пользователей. Аудит формирует список событий (audit log), в котором хранится информация кто, когда и что делал в сети. Например, большое количество неудачных попыток регистрации за очень короткий период времени может указывать на то, что кто-то пытается получить доступ к сети. Другие функции аудита обеспечивают основу для принятия будущих решений, например, где разместить сетевые ресурсы и какие ресурсы могут понадобиться в будущем. Windows NT имеет мощные средства аудита и позволяет аудит удачного и неудачного выполнения следующих событий

Вход в сеть (logon) и выход из сети (logoff). Пользователь вошел в сеть или вышел из нее, создал или оборвал сетевое соединение с сервером.

Доступ к файлам и объектам (file and object access). Пользователь получил доступ к каталогу, файлу или принтеру, который настроен на проведение аудита (файлы и каталоги – только в NTFS). Должен быть выбран аудит этого события или файловых ресурсов или ресурсов печати.

Использование прав пользователя (Use of user rights). Пользователь использовал свое право (за исключением входа в сеть и выхода из нее).

Управление группами и пользователями (User and group management). Учетная запись пользователя или группы было создана, изменена или удалена. Или учетная запись пользователя была переименована, заблокирована или разблокирована, или пароль был установлен или изменен.

Изменение политики защиты (Security policy changes). Было произведено изменение прав пользователя, политики аудита или доверительных отношений.

Перезапуск (restart), выключение (shutdown) и системные события (system). Пользователь перезагрузил или выключил компьютер, или произошло событие, влияющее на безопасность системы.

Отслеживание процессов (process tracking). Отслеживание детальной информации о различных событиях, например активизации программ, появление повторяющихся дескрипторов, косвенный доступ к объектам и завершение процесса.

Не нужно забывать, что перед отслеживанием файлов, каталогов и принтеров необходимо не только указать свойства аудита на каждом из этих объектов, но и включить аудит file and object access используя User manager for domains.

Бездисковые рабочие станции (diskless workstations) могут быть использованы в условиях повышенной безопасности, где искажение данных недопустимо. С появлением ОС, основанных на Java, бездисковые рабочие станции (сетевые компьютеры) были переработаны и нацелены на привлечение более широкой аудитории. Эти компьютеры могут только запускать приложения, загруженные с сервера, они могут уменьшить эксплуатационные расходы, связанные с обновлением и установкой приложений. До сих пор неясно, смогут ли сетевые компьютеры заменить стандартные PC.

Бездисковые компьютеры имеют загрузочную микросхему ПЗУ, которая позволяет клиенту инициировать сеанс работы с сервером. При запуске бездисковый компьютер запускает по сети широковещательное сообщение с физическим адресом своего оборудования. Сервер RARP (Reverse Address Resolution Protocol – протокол обратного разрешения адресов) выполняет обратный поиск присвоенного клиенту сетевого адреса и посылает загрузочную информацию прямо клиенту. Сервер поручает клиенту идентифицировать пользователя. После того, как пользователь будет правильно идентифицирован, сервер позволит клиенту войти в сеть.

Бездисковые компьютеры являются надежным вложением для высокозащищенных сред. Поскольку у таких компьютеров нет ни гибких, ни жестких дисков, пользователи не могут получить данные и уйти вместе с ними. Однако они бесполезны, если сетевой сервер недоступен.

Шифрование (encryption) – процесс приведения данных к некоторому виду, который могу понимать только отправитель и получатель. Шифрование данных перед их передачей на сетевую карту является наиболее безопасным способом посылки данных.

Существует также оборудование, которое зашифровывает и расшифровывает данные по мере того, как они попадают в компьютер или покидают его.

Защита от вирусов. Большинство вирусов не наносят компьютеру серьезно вреда, но некоторые из них могут вызвать потерю данных. Существует несколько классификаций вредоносных программ, рассмотрим одну из них. Вредоносные программы разделяют на следующие категории.

Вирусы (Viruses) – компьютерные программы, производящие копии самих себя и прицепляющиеся к исполняемому файлу. Прикрепление к файлу данных бессмысленно, так как процессор не исполняет данные.

Черви (worms) – они производят копии самих себя, но не прикрепляются к другим программам.

Троянские кони (Trojan horses). Поступают на компьютеры замаскированные под другие программы. Можно привести в качестве примера Back Orifice, который при запуске устанавливал на компьютер программу удаленного управления, воровал пароли доступа в Интернет и производил другие действия.

Макровирусы (Macro viruses) – используют макроязыки и заражают файлы данных. Хотя сами данные не выполняются, макрокод, связанный с ними, может запуститься на выполнение. Некоторые вирусы могут самостоятельно распространяться по электронной почте. При запуске такого вируса, он отправляется всем людям, занесенным в адресную книгу «жертвы». Примером такого вируса является «Мелисса».

Программы защиты от вирусов не могут предотвратить появление вирусов. Они могут предотвратить активизацию вируса, исправить повреждения, нанесенные вирусом, и удалить вирусы системы. Механизм защиты от вирусов состоит из трех задач.

Предотвращение попадания вирусов в сеть. Необходимо ограничить круг программ, которые можно запускать пользователям. Администратор должен выработать стратегию, при которой все поступающие в организацию диски и вложения электронной почты должны проверяться на вирусы. На сервере электронной почты необходимо установить специальную антивирусную программу, которая будет проверять все входящие сообщения.

Регулярная проверка компьютеров в сети на наличие любых вирусов. Необходимо регулярно (желательно по расписанию) запускать антивирусную программу, которая сможет обнаружить и обезвредить вирусы.

Действия при обнаружении вируса. Администратор должен инструктировать пользователей по действиям в случае обнаружения вирусов. Пользователи должны сообщить сотрудникам информационного подразделения, очистить от вирусов свои жесткие и гибкие диски, информировать всех своих партнеров, которые могли бы получить зараженный диск или сообщение электронной почты.

Необходимо помнить, что вирус, запущенный пользователем, получает права этого пользователя и может повредить все файлы, к которым имеет доступ пользователь.

Управление учетными записями пользователей

Одна из главных задач администрирования состоит в том, чтобы пользователи могли получить доступ к тому, что им нужно, но не могли получить доступ к тому, что им не нужно. Эта простая задача не всегда легко реализуется. Важнейшим инструментом ее решения в Windows NT является User manager for domains.

Существует три главные задачи управления учетными записями пользователей.

Пользователи должны иметь только те права, в которых они нуждаются.

Их учетные записи должны быть защищены.

Администратор должен знать действия пользователей внутри установленных пределов.

Создание учетных записей пользователей

Первым шагом в управлении учетными записями является создание учетной записи компьютера Windows NT Server, который устанавливается с двумя предопределенными учетными записями пользователей: Administrator и Guest. Учетная запись Administrator служит для управления сетью и имеет слишком большие права для обычного пользователя. Учетная запись Guest используется лицами, не имеющими своих учетных записей. Она является полезной в случает если более чем один человек знает ее пароль, что делает ее небезопасной. Перед созданием учетной записи пользователя необходимо ответить на следующие вопросы.

Пароли (passwords). Должны ли пользователи иметь возможность смены пароля? Как часто пароль должен меняться? Сколько букв должно быть в пароле? Могут ли пользователи повторно использовать тот же самый пароль? Должны ли неудачные попытки регистрации приводить к блокировке учетной записи?

Часы входа (logon hours). Должен ли быть запрещен вход пользователей в определенные часы дня или в определенные дни?

Аудит (auditing). Должны ли отслеживаться действия пользователей (регистрация, выход из сети, доступ к объектам и изменения политики)? До какой степени?

Пароли

Из соображений безопасности пользователи должны регулярно менять свои пароли. Однако, с другой стороны, смена не должна быть частой, чтобы пользователи забывали свои пароли.

Если пользователь потеряет свой пароль, необходимо с помощью User manager for domains присвоить новый пароль и изменить настройки так, чтобы пользователь изменил пароль при последующем входе в систему.

Если пароли в организации регулярно изменяются, необходимо запретить ввод использовавшегося ранее пароля. Windows NT может запоминать определенное количество старых паролей и не разрешать их повторное использование. Рекомендуется в пароле использовать буквы разных регистров, числа и знаки пунктуации, чтобы исключить подбор по словарю. Но при использовании чересчур сложных паролей пользователи начинают их записывать на бумаге и прикреплять к мониторам.

Очень полезна блокировка учетной записи пользователя после нескольких попыток неудачной регистрации. Это не позволяет подбирать пароль. Необходимо помнить, что пароль Администратора заблокировать нельзя.

Теоретически Windows NT может использовать пароли до 128 символов, но окна диалога не позволяют ввести больше 14 символов. Чем больше символов в пароле, тем сложнее его подобрать. Рекомендуется указывать минимальное число символов в пароле равное 8.

Часы входа

В некоторых компаниях нежелательно ограничивать время входа пользователей. Но в жестко управляемом офисе данная мера может быть гарантией того, что самозванец не может использовать учетную запись и войти в сеть в нерабочее время. Например, уборщица, даже узнав пароль учетной записи, не сможет вечером ей воспользоваться.

В Windows NT можно ограничить часы регистрации каждого пользователя днями недели, часами дня или тем и другим. Если пользователи работают под Windows NT, то при наступлении запрещенного времени сеанс работы пользователя будет завершен и пользователь не сможет войти в сеть. В других операционных системах, например Windows 95, сеанс работы с пользователем не будет завершен, но при отключении пользователь не сможет вновь зарегистрироваться в сети.

Аудит

Еще один способ отслеживания событий в сети заключается в отслеживании определенных событий. Количество отслеживаемых событий зависит от того, какое количество информации можно хранить и обрабатывать. Часто достаточно записывать неудачные попытки входа, чтобы знать, каким людям не удалось войти в сеть.

Настройка прав пользователей

Администратор должен решить, какие права устанавливать пользователям. Как Windows NT Server так и Windows NT Workstation устанавливаются с предопределенными группами, в которые можно назначать пользователей и таким образом предоставлять права группы без необходимости выбирать их вручную. Ниже представлен список встроенных групп Windows NT Server.

Группа Права

Administrators Полный контроль над компьютером и доменом

Account Operators Могут администрировать локальные учетные записи пользователей и групп в локальном домене

Backup Operators Могут осуществлять резервное копирование и восстанавливать файлы, к которым они обычно не имеют доступа

Guests Разрешенный гостям доступ к ресурса домена

Print Operators Могут добавлять, удалять и управлять принтерами домена

Server Operators Могут администрировать серверы домена

Сюда на вошла группа Replicator, так как это не группа пользователей. Она используется для службы Replicator, позволяющей динамически реплицировать указанные папки по сети.

В дополнение к локальным группам, на сервере домена существует несколько глобальных групп (различие между локальными и глобальными группами будет дано позднее): Domain Administrators, Domain Users и Domain Guests.

Использование предопределенных групп облегчает присвоение прав новым учетным записям пользователям, но ни в коей мере не уменьшает гибкость системы. Кроме прав группы, каждому пользователю можно предоставить индивидуальные права. Например, Васе Иванову можно предоставить право управлять принтерами, хотя он и входит в группу Users. Также можно поместить пользователя сразу в несколько групп. Права пользователя будут совокупными. В случае, если права конфликтуют, используются права группы с наибольшим групповым приоритетом (групповые приоритеты устанавливаются с помощью System Policy Editor). Например, Васю Иванова из группы Users добавили еще и в группу Administrators. На один из файлов были выставлены права: Administrators: Full control, Users: Read. В результате, Вася будет обладать правами Full control. Исключением является право No access. Это право стоит выше групповых приоритетов. Например, если права на файл изменить на Administrators: Full control, Users: No access, то Вася Иванов доступа к файлу не получит.

Также еще существует несколько групп, к которым пользователи добавляются автоматически, и эти группы нельзя удалить. Они перечислены в таблице.

Группа Состав группы

Everyone Каждый, кто зарегистрирован в домене на данный момент

Interactive Каждый, кто локально зарегистрирован в домене

Network Каждый, кто зарегистрирован в домене через сеть

Важно помнить о существовании этих групп. Например, если установить на какой-нибудь объект право группы Everyone на Full control, то такие права будут иметь все лица от администратора до обычных пользователей.

Управление учетными записями групп

Права групп можно добавлять или удалять права групп точно так же, как и пользователей. Можно создавать совершенно новые группы, чтобы предоставлять выбранные администратором права, или добавлять одни группы в другие (ограничения такого добавления описаны ниже). При существовании нескольких доменов, можно использовать группы для того, чтобы дать пользователям одного домена права на доступ к другим доменам.

В Windows NT 4.0 существует концепция локальных и глобальных групп.

Глобальные группы (Global groups) – те группы, которые предназначены для использования более чем в одном домене. Они могут включать отдельных пользователей.

Локальные группы (Local groups) – те группы, которые предназначены для использования в локальном домене. Они могут включать как отдельных пользователей, так и глобальные группы.

Доверительные отношения между доменами

Одной из причин, по которой можно включить глобальную группу в локальную, является междоменное взаимодействие. Сети на базе Windows NT Server организованы в административные единицы, называемые доменами (domain) с целью обеспечения безопасности и для управления из единого центра ресурсами и учетными записями этой сети. По умолчанию ресурсы одного домена недоступны для пользователей других доменов. Но иногда требуется разрешить доступ пользователям других доменов.

В таких случаях используют доверительные отношения (trust relationship). Между доменами можно установить так называемое «доверие», которое может быть односторонним или двухсторонним. Односторонние отношения существуют когда пользователи первого домена используют ресурсы второго домена. Говорят, что второй домен «доверяет» первому домену. При двухсторонних отношениях пользователи любого домена используют ресурсы других доменов, состоящих в двусторонних отношениях.

Чтобы установить отношения доверия, необходимо дать членам домена A учетную запись в домене B. Это можно сделать тремя способами.

1. Добавить каждого пользователя индивидуально в базу данных учетных записей пользователей домена B.

2. Добавить учетные записи каждого пользователя домена A в глобальную группу домена A, затем дать этой группе права в домене B.

3. Добавить учетные записи пользователей домена A в глобальную группу, затем добавить эту группу в локальную группу в домене B.

Первый метод является достаточно трудоемким. При добавлении пользователя в домен A его также необходимо добавить и в домен B, базы учетных записей доменов не взаимосвязаны, и при изменении учетной записи в домене A, необходимо вручную изменять ее и в домене B.

Второй метод более легкий в реализации, но не являющийся самым эффективным.

Третий метод является самым лучшим с точки зрения администрирования. Например, нужно добавить пользователей домена A в глобальную группу Domain Users, а затем добавить эту группу в группу Users в домене B. Тогда любые изменения учетных записей членов группы Domain Users в домене A будут отражены в домене B.

Особенности управления учетными записями

Каждый раз изменения в учетных записях пользователей или групп отражаются в базе данных реестра (Registry) и записываются в две совместно используемые записи, которые образуют информацию о защите в реестре – это Security и SAM. Поэтому важно осуществлять резервное копирование содержимого реестра, желательно совместно с резервным копированием сервера.

Одним из важных аспектов восстановления после сбоев (disaster recovery) в Windows NT является отражение изменений конфигурации на ERD (Emergency Repair Disk), который можно использовать для восстановления установки, если потребуется. ERD создается с помощью утилиты RDISK, но для копирования информации о защите необходимо указать ключ /S.

Контрольные вопросы

1. You are replacing the Windows NT Server computer in the corporate network with a new Pentium Xeon computer. What tools can you use to gather performance data for your new server?

 a. Resource meter

 b. CSU/DSU

 c. Windows NT performance monitor

 d. an oscilloscope

 e. MAU  f. a protocol analyzer (Window NT network monitor)

 g. PAD

 h. a time-domain reflectometer

 i. RAS

2. How can you prevent network data from being accessed by unauthorized individuals?

a. by performing daily backups

b. by implementing disk mirroring on the server that stores the datat

c. by implementing RAID level 5 on the server that stores the data

d. by encrypting the data

3. When will DNS be used instead of WINS to resolve a computer name to an IP address?

a. when there is no HOSTS file

b. when there is no LMHOSTS file

c. when the requested name contains a period (".")

d. when the requested name contains a backslash ("\")

4. A Windows NT Server computer is running slowly, and you suspect that it has insufficient memory. Which of the following Performance Monitor counters should you observe to detect memory bottlenecks?

a. % Processor Time

b. Disk Reads/sec

c. Page Faults/sec

d. Network Reads/sec

5. You have enabled Windows NT auditing for logon activities. Which application should you use to see which users have unsuccessfully attempted to log on?

a. User Manager

b. File Manager

c. Security Manager

d. Event Viewer

6. Which of the following statements best describes RAID level 5?

a. It is also known as sector sparing.

b. It stores data and parity information on different disks.

c. It is a mirrored pair of disks, each of which is attached to a separate controller.

d. It is a form of continual backup because it maintains a fully redundant copy of a partition on another disk.

7. Recently, several power outages occurred in your office building. How can you maintain network server operation during electrical power outages?

a. by installing a UPS for each server

b. by implementing RAID level 1 on each server

c. by implementing RAID level 5 on each server

d. by installing RemoteBoot Manager on each server

8. The Universal Naming Convention (UNC) provides a way for computers to identify network resources. Which of the following are included in a UNC string?

 a. a domain name

 b. a computer name

 c. a workgroup name

 d. a share name

9. Which of the following statements best describes share-level security?

a. Passwords are assigned to resources on a network.

b. Passwords are assigned on a per-user basis.

c. It provides a higher level of security on a network than user-level security.

d. It is also known as access permissions.

10. HOSTS and LMHOSTS files are used under Windows NT to resolve computer names to IP addresses. Which of the following is true?

a. A local HOSTS file can be used as a local DNS equivalent.

b. A remote HOSTS file can be used as a local WINS equivalent.

c. A local LMHOSTS file can be used as a local DNS equivalent.

d. A remote LMHOSTS file can be used as a local WINS equivalent.

11. A network is particularly slow during business reporting periods. Which utility can help the administrator keep track of key network and component activities?

a. Performance Monitor

b. Network Task Manager

c. System Agent

d. System Resource Meter

12. You plan to implement security on an Ethernet network and minimize administration. What security model should you implement?

a. domain-level security

b. share-level security

c. user-level security

d. server-level security

13. Which of the following password policies can be used to protect sensitive data?

 a. implementing a minimum-length requirement for passwords

 b. assigning passwords based on users' birth dates

 c. forcing users to periodically create new, unique passwords

 d. locking accounts after several successive attempts to log on to the network using an incorrect password

14. You administer a corporate Windows NT network. One of the users informs you that she has forgotten her password. What can you do to solve the problem?

a. delete the user's password with User Manager for Domains

b. assign the user to the Administrator group

c. edit the user's profile by using System Policy Editor

d. edit the user's password by using the Password option in the server's Control Panel

15. Which of the following describe user-level security?

 a. It enables passwords to be assigned to individual network resources.

 b. It enables passwords to be assigned on a per-user basis.

 c. It provides a higher level of network security than does share-level security.

 d. It is also known as password-protected shares.

16. The server on the corporate network contains a large amount of data, which is backed up regularly. Which of the following should you implement to minimize downtime in the event of a server disk failure?

a. UPS

b. RAID level 0

c. RAID level 5

d. encryption

17. Which of the following troubleshooting tools enables you to view the contents of network packets?

a. a time-domain reflectometer

b. a protocol analyzer

c. a packet generator

d. an oscilloscope

18. You are implementing fault tolerant disk management systems on the file servers on the corporate network, and you want the fastest possible read speed. Which of the following should you implement?

a. RAID level 0

b. RAID level 1

c. RAID level 5

d. RAID level 7

19. Which of the following methods backs up files that were created or changed since the last non-copy backup and marks the files as having been backed up?

a. normal backup

b. daily backup

c. incremental backup

d. differential backup

20. The file server on the corporate network contains several important databases. How can you ensure that the data on the server is easily and quickly available in the event of a server disk crash?

a. by implementing RAID level 0

b. by implementing disk mirroring

c. by implementing disk encryption

d. by implementing disk striping without parity

21. Suppose the following situation exists: You have been asked to select a TCP/IP naming standard and its related services for a corporation's large internetwork. The computer names should be easy for users to understand and remember.

Required result: Enable users to browse computer names across the company's routed internetwork.

Optional desired results:

Enable users to refer to computers by using both DNS and NetBIOS names when running Windows Sockets applications.

Provide a centralized file or database that eliminates the requirement of maintaining local IP address mappings on each computer.

Proposed solution:

Implement both a HOSTS and an LMHOSTS file on each client workstation.

Which results does the proposed solution produce?

a. The proposed solution produces the required result and produces both of the optional desired results.

b. The proposed solution produces the required result and produces only one of the optional desired results.

c. The proposed solution produces the required result but does not produce any of the optional desired results.

d. The proposed solution does not produce the required result.

22. You are the administrator of a corporate Windows NT network. Becky, a domain user, has been on vacation for the last two weeks. When she returns, she is unable to log on to the network. Which utility could you use to verify Becky's account information?

a. User Manager for Domains

b. Account Manager

c. Profile Manager

d. Network Monitor

23. Which of the following is a TCP/IP protocol that is used to monitor Windows NT Server networks?

a. FTAM

b. SMTP

c. SNMP

d. SMB

24. Which of the following RAID levels defines a stripe set that does not provide data redundancy?

a. level 0

b. level 1

c. level 2

d. level 3

e. level 4

f. level 5 g. level 6

h. level 7

i. level 8

j. level 9

k. level 10

25. Which of the following protocols uses 15-character names to identify computers on a network?

a. TCP/IP

b. IPX/SPX

c. NetBIOS

d. AppleTalk

26. Which of the following should be the primary defense against data loss?

a. daily backups

b. disk mirroring

c. RAID level 5

d. data encryption

27. Which of the following devices can perform sector sparing?

a. SCSI devices

b. AT devices

c. ESDI devices

d. IDE devices

28. On the corporate network, users must provide user names and passwords at logon. Different levels of access are assigned to each user. Which type of network security is being implemented?

a. share-level security

b. account-level security

c. user-level security

d. resource-level security

29. As the MIS manager, you have hired a consultant to optimize performance on the corporate NetWare network. The consultant plans to gather networking performance statistics by examining packets captured on the network. Which of the following devices must the consultant use?

a. an SNMP management interface

b. a protocol analyzer

c. a time-domain reflectometer

d. an advanced cable tester

30. Which of the following is true of TCP/IP subnet masks?

a. They mask a portion of the IP address so that TCP/IP can distinguish the network ID from the host ID.

b. They mask a portion of the IP address so that TCP/IP can distinguish the WINS server address from the default gateway address.

c. They mask a portion of the IP address so that TCP/IP can distinguish the DNS address from the host address.

d. They mask a portion of the IP address so that TCP/IP can distinguish the DNS address from the default gateway address.

31. What users account are already built into Windows NT Workstation or Stand-alone Server?

 a. Administrator

 b. Replicator

 c. Backup Operator

 d. Guest

32. Which of the following are logs maintained by Event Viewer?

 a. Security information

 b. Network information

 c. System information

 d. Application events

33. Where are user accounts created?

a. Server manager

b. Network monitor

c. User manager for Domains

d. System Administrator

34. The easiest and least expensive means to protect data is:

a. Fault tolerance.

b. RAID level 5.

c. Disk mirroring.

d. Scheduled backups.

35. Disk striping without parity requires how many disks to implement?

a. One

b. Two

c. Three

d. RAID 0

36. A company is installing an Internet Web server and is very concerned with how quickly data images can be read from the server and sent to potential clients. What disk management system would you want to enable? The company is not as concerned with losing the data as it is about the speed at which the data can be read.

a. One.

b. RAID level 2- disk striping with ECC.

c. Disk mirroring.

d. Raid level 0 – Disk striping without parity.

Ответы

1. c, f

2. d

3. c

4. c

5. d

6. b

7. a

8. b,d

9. a

10. a

11. a

12. b

13. a,c,d

14. a

15. b,c

16. c

17. b

18. c

19. c

20. b

21. b

22. a

23. c

24. a

25. c

26. a

27. a

28. c

29. b

30. a

31. a,d

32. a,c,d

33. c

34. d

35. b

36. d

User Rating: 5 / 5

Star ActiveStar ActiveStar ActiveStar ActiveStar Active
Тема 13. Стеки протоколов

 

Закрепление модели OSI

Вы изучили модель OSI, состоящую из семи уровней. Сейчас мы повторим передачу информации в компьютерной сети используя модель OSI.

Разберем работу клиента с файловым сервером.

Предположим, приложение обращается с запросом к прикладному уровню OSI, например к файловой службе. На основании этого программное обеспечение прикладного уровня формирует сообщение стандартного формата. Обычное сообщение состоит из заголовка и поля данных. Заголовок содержит служебную информацию, которую необходимо передать через сеть прикладному уровню машины-адресата, чтобы сообщить ему, какую работу надо выполнить. В нашем случае в заголовке должна быть информация о месте нахождения файла и о типе операции, которую необходимо над ним выполнить. Поле данных сообщения может быть пустым или содержать какие-либо данные, например те, которые необходимо записать в удаленный файл. Для того чтобы доставить информацию по назначению, предстоит решить еще много задач, ответственность за которые несут нижележащие уровни.

После формирования сообщения прикладной уровень направляет его вниз по стеку представительному уровню. Протокол представительного уровня на основании информации, полученной из заголовка прикладного уровня, выполняет требуемые действия и добавляет к сообщению собственную служебную информацию – заголовок представительного уровня, в котором содержатся указания для протокола представительного уровня машины-адресата. Полученное в результате сообщение передается вниз сеансовому уровню, который в свою очередь добавляет свой заголовок и т.д. (Некоторые реализации протоколов помещают служебную информацию не только в начале сообщения в виде заголовка, но и в конце, в виде так называемого «концевика».) Наконец, сообщение достигает нижнего, физического уровня, который собственно и передает его по линиям связи машине-адресату. К этому времени сообщение «обрастает» заголовками всех уровней.

Когда сообщение по сети поступает на машину-адресат, оно принимается ее физическим уровнем и последовательно перемещается вверх с уровня на уровень. Каждый уровень анализирует и обрабатывает заголовок своего уровня, выполняя соответствующие данному уровню функции, а затем удаляет этот заголовок и передает сообщение вышележащему уровню.

На каждом уровне OSI единица данных называется пакетом, но на некоторых уровнях используются и другие названия: биты, кадры, дейтаграммы, сегменты, сообщения.

В модели OSI различают два основных типа протоколов. В протоколах с установлением соединения (connection-oriented) перед обменом данными отправитель и получатель сначала устанавливают соединение и оговаривают некоторые параметры протоколов. После завершения диалога они разрывают соединение. Телефон – пример взаимодействия, основанного на установлении соединения.

Вторая группа протоколов – без предварительного установления соединения (connectionless) также называемым дейтаграммным (datagram). Отправитель просто передает сообщение когда оно готово. Опускание письма в почтовый ящик – это пример связи без предварительного установления соединения.

Три первых уровня – физический, канальный и сетевой – являются сетезависимыми, так как протоколы этих уровней тесно связаны с технической реализацией сети и используемым телекоммуникационным оборудованием. Замена оборудования в сети часто влечет замену протоколов канального и физического уровня.

Три верхних уровня – прикладной, представительный и сеансовый – ориентированы на приложения и мало зависят от технических особенностей построения сети. На протоколы этих уровней не влияют какие-либо изменения в топологии сети или замена оборудования.

Транспортный уровень является промежуточным, он скрывает все детали функционирования нижних уровней от верхних. Это позволяет разрабатывать приложения, не зависящие от технических особенностей сети.

Соответственно любое сетевое оборудование работает на трех нижних уровнях OSI. Повторители, разъемы и модемы – физический. Мосты, коммутаторы, сетевые адаптеры – канальный. Маршрутизатор – сетевой. Исключением являются шлюзы, которые представляют собой аппаратно-программный комплекс. Шлюзы, работающие на верхних уровнях, являются программами и не используют какое-либо оборудование.

Стандартизация

Работы по стандартизации компьютерных сетей ведутся большим количеством организаций. Различают:

- стандарты отдельных фирм (например, стек протоколов DECnet фирмы Digital Equipment)

- стандарты специальных комитетов и объединений. В такие структуры входит несколько фирм. Например, стандарты ATM, разрабатываемые специально созданным объединением ATM Forum или стандарты союза Fast Ethernet Alliance по разработке 100 Мбит Ethernet

- национальные стандарты, например стандарт FDDI, разработанный Американским национальным институтом стандартов ANSI

- международные стандарты, например модель OSI Международной организации по стандартизации ISO, стандарты сетей X.25, frame relay, ISDN Международного союза электросвязи ITU.

Некоторые стандарты непрерывно развиваются и переходят из одной категории в другую. Например, фирменные стандарты на продукцию, при получившую широкое распространение, обычно становятся международными стандартами де-факто, и производителям из других стран приходится следовать фирменным стандартам для обеспечения совместимости своих изделий. Например, стандарт фирмы IBM на персональный компьютер стал международным стандартом де-факто.

Некоторые стандарты ввиду широкого распространения становятся де-юре основой для национальных и международных стандартов. Стандарт Ethernet был первоначально разработан компаниями Digital Equipment, Intel и Xerox, через некоторое время был принят в несколько измененном виде как национальный стандарт IEEE 802.3, а затем ISO утвердила его как международный стандарт ISO 8802.3.

Проведем обзор организаций, активно и успешно занимающихся разработкой стандартов в области компьютерных сетей.

- Международная организация по стандартизации (International Organization for Standardization, ISO) – ассоциация ведущих национальных организаций по стандартизации разных стран. Утвердила модель OSI и разработанный в соответствии с ней стек протоколов OSI.

- Международный союз электросвязи (International Telecommunication Union, ITU) – специализированный орган ООН. В рамках союза действует Международный консультативный комитет по телефонии и телеграфии (МККТТ, Consultative Committee on International Telegraphy and Telephony, CCITT). Сейчас комитет сменил название на Сектор телекоммуникационной стандартизации ITU (ITU Telecommunication Standardization Sector, ITU-T). Основа – разработка международных стандартов в области телефонии, электронной почты, факсимильной связи, телетекста и т.д., передачи аудио- и видеосигналов. Раз в четыре годы издаются так называемые «Книги», содержащие стандарты. Примеры: цифровая сеть с интеграцией услуг ISDN, протоколы X.25, X.400, X.500.

- Институт инженеров по электронике и радиоэлектронике (Institute of Electrical and Electronic Engineers, IEEE) – национальная организация США, определяющая сетевые стандарты. В 1981 г рабочая группа 802 этого института сформулировала основные спецификации для локальный сетей, самыми известными из которых стали 802.1, 802.2, 802.3 и 802.5, описывающие общие понятия в области локальных сетей и стандарты Ethernet и Token Ring.

- Европейская ассоциация производителей компьютеров (European Computer Manufacturers Association, ECMA) – некоммерческая организация, сотрудничающая с ITU-T и ISO. Стандарт передачи текста и изображений ECMA-101

- Ассоциация производителей компьютеров и оргтехники (Computer nad Business Equipment Manufacturers Association, CBEMA) – американская организация аналогичная ECMA

- Ассоциация электронной промышленности (Electronic Industries Association, EIA) – национальная коммерческая организация США, группа производителей электронного и сетевого оборудования. Стандарты коннекторов, проводов и др. Наиболее известен – RS-232C.

- Министерство обороны США (Department of Defense, DoD) имеет многочисленные подразделения, создающие стандарты для компьютерных систем. Наиболее известен стек протоколов TCP/IP

- Американский национальный институт стандартов (American National Standards Institute, ANSI) – представляет США в ISO. Совместно с IBM разрабатывают архитектуру SNA. Стандарт FDDI. Также ANSI разрабатывает стандарты языков программирования, интерфейс SCSI, рекомендации по переносимости для C, FORTRAN, COBOL.

Особое место в выработке международных открытых стандартов занимают стандарты Internet. Эти стандарты становятся международными стандартами де-факто, утверждаются и приобретают статус официальных международных стандартов. Существует несколько организационных подразделений, отвечающих за развитие Internet и за стандартизацию средств Internet.

Основное – Internet Society (ISOC) – профессиональное сообщество, занимающееся вопросами эволюции и роста Internet. Под управлением ISOC работает Internet Architecture Board (IAB) – технический контроль и координация работ в Internet. IAB – конечная инстанция для определения новых стандартов Internet.

В IAB входят две основные группы – Internet Engineering Task Force (IETF) и Internet Research Task Force (IRTF). IETF – инженерная группа, занимающаяся решением ближайших технических проблем Internet. IRTF координирует долгосрочные исследовательские проекты. Список утвержденных официальных стандартов Internet публикуется в виде документа RFC (Request for Comments) с соответствующим порядковым номером. Все стандарты Internet носят название RFC, но не все RFC являются стандартами Internet, часто RFC это комментарии к какому-либо стандарту или описания некоторых проблем Internet.

Введение

Вы изучили модель OSI. Нельзя забывать, что модель OSI является абстрактной моделью, по каждому уровню в ней даются лишь концептуальные темы и методы. Однако, компьютерные сети требуют конкретных спецификаций, на основе которых они и строятся. Эти конкретные спецификации и называются протоколами (protocols).

Протокол – это совокупность формализованных правил, соглашений и стандартов. В нашем курсе, протоколы являются практической реализацией тем и методов модели OSI. Пакетом протоколов (protocol suite) мы будем называть группу спецификаций, которые используются совместно. Стеком протоколов (protocol stack) мы будем называть пакет протоколов, выстроенный в логической иерархии.

Обычно протоколы создаются организациями, занимающимися выработкой стандартов по компьютерным сетям. После стандартизации протокола, разработчики программ и устройств применяют его в своих продуктах.

Очень трудно создать полностью универсальный протокол, который бы удовлетворял всех разработчиков. Существуют даже различные реализации одного и того же протокола (можно привести аналогию – теоретическую задачу можно решить многими способами и многими путями). Хотя оборудование, использующее различные реализации теоретически может взаимодействовать, необходимо предварительно проводить тесты на его совместимость.

Используемые протоколы не всегда в точности соответствуют модели OSI. Некоторые протоколы осуществляют функции, выходящие за рамки одного уровня OSI или наоборот, не осуществляют полностью функции какого-либо уровня. Данное несоответствие связано с тем, что многие протоколы были разработаны еще до принятия модели OSI.

В принципе, компьютерная сеть может работать на своих закрытых протоколах, не соответствующих модели OSI, (какие проблемы?) но в таком случае возникают проблемы взаимодействия с другими устройствами и другими протоколами. Проблема совместимости привела к повсеместному внедрению открытой системы OSI. Модель OSI не описывает какого-либо конкретного протокола, она дает стандартную схему взаимодействия в компьютерной сети.

Некоторые организации постарались видоизменить свои протоколы в соответствие с моделью OSI. Другие доказывали преимущество своих протоколов и построили свою открытую модель. В результате, современные стеки протоколов находятся в различной степени соответствия модели OSI. В любом случае, модель OSI является незаменимым средством сравнения принципиально разных протоколов, выполняющих одинаковые функции.

Далее будут рассмотрены несколько наиболее популярных стеков сетевых протоколов. Каждый стек состоит из десятков (и даже сотен) протоколов, и в курсе будут рассмотрены только самые фундаментальные из них. При рассмотрении каждого протокола будет использоваться модель OSI в качестве основы.

Стек протоколов Netware (IPX/SPX)

Стек является оригинальным стеком протоколов фирмы Novell, разработанным для сетевой операционной системы NetWare в начале 80-х годов. Корни стека Netware идут из стека протоколов Xerox Network System (XNS), разработанного в 60-х годах. Популярность стека IPX/SPX непосредственно связана с операционной системой Novell Netware, которая еще сохраняет мировое лидерство по числу установленных систем, хотя в последнее время ее популярность снизилась и по темпам роста она отстает от Microsoft Windows NT.

ОС Novell Netware обеспечивает весь спектр сетевых служб в сети на основе сервера, для одноранговой сети существует версия Personal Novell Netware.

Стек протоколов Netware не имеет точного соответствия с моделью OSI.

Соответствие стека IPX/SPX модели OSI можно проиллюстрировать следующей таблицей.

Протокол Уровень OSI Темы Методы

MLID (Multiple Link Interface Driver) Data Link -MAC Media access Contention

Token passing

Polling*

LSL (Link Support Layer) Data Link-LLC Зависят от протокола Обеспечивают интерфейс между MLID и протоколом более высокого уровня

IPX (Internetwork Packet Exchange Protocol) Network Addressing Logical network

Service

Route selection Dynamic

Connection services Connectionless

RIP-Router Information Protocol Network Route discovery Distance vector

NLSP-NetWare Link Services Protocol Network Route discovery Link-state

SPX-Sequenced Packet Exchange Protocol Transport Addressing Connection identifier

Segment development Division and combination

Connection services Segment sequencing

Error control

End-to-end flow control

NCP-NetWare Core Protocols Transport Connection services Segment sequencing

Error control

End-to-end flow control

Session Session administration Data transfer

Presentation Translation Character code

File syntax

Application Service use OS redirector

Collaborative

SAP-Service Advertising Protocol Application Service advertisement Active

NDS – Netware Directory Services Application Service advertisement Passive

MLID (Multiple Link Interface Driver)

MLID – это стандарт драйверов сетевых плат. Каждый драйвер представляет собой программу, поддерживающую концепцию Novell Open Data-Link Interface (ODI). ODI упрощает разработку сетевых драйверов для широкого разнообразия сетевых адаптеров и набора сетевых протоколов. Сетевой адаптер ODI может работать со множеством протоколов. Разработчик сетевого адаптера может поставлять только драйвер ODI для работы с протоколами.

MLID – реализация концепции ODI в рамках IPX/SPX. Сам по себе MLID не связан с каким-либо стеком протоколов и может использовать разные протоколы канального и физического уровней (Ethernet, FDDI, Token Ring, Fast Ethernet, ATM, 100VG-AnyLAN). MLID ничего не знает о более высоких протоколах, протоколы ничего не знают о физической среде.

Протокол MLID работает на MAC подуровне канального уровня модели OSI и может реализовывать все три метода доступа к среде. Пример MLID – драйвер ne2000.com, который используется для многих сетевых карт.

LSL (Link Support Layer)

LSL – это интерфейс между MLID и протоколами более высоких уровней. LSL уровень обрабатывает заголовки пакетов и перенаправляет пакеты на более высокие уровни. LSL функционирует на LLC подуровне канального уровня OSI.

IPX (Internetwork Packet Exchange Protocol)

IPX является протоколом без установления связи сетевого уровня. (Такие протоколы еще называют дейтаграммными). Он произошел из XNS Internetwork Datagram Protocol (IDP). Как протокол сетевого уровня, IPX осуществляет адресацию и маршрутизацию пакетов. В состав сетевого адреса входит физический адрес (рассматриваемый на более низком уровне) и адрес службы (рассматриваемый на более высоком уровне). IPX осуществляет динамический выбор маршрута на основании информации, получаемой с помощью Routing Information Protocol (RIP).

Поскольку IPX не ориентирован на установление связи, он не подходит для некоторых типов сетевых коммуникаций (например, подсоединение рабочих станций в терминал). IPX хорошо подходит для рассылки широковещательных сообщений (например, сообщения синхронизации времени).

IPX изначально разрабатывался для применения в локальных сетях, поэтому он является одним из самых экономичных протоколов локальных сетей.

RIP (Router Information Protocol)

Протокол RIP также произошел из XNS. RIP – протокол маршрутизации, использующий алгоритм дистанционно-векторного типа (вспомнить что это такое) для выявления маршрута и использующий количество хопов для определения цены маршрута. Хотя RIP в стеке IPX/SPX реализован в виде службы (она даже имеет свой адрес службы), он жестко привязан к IPX и осуществляет функции сетевого уровня.

NLSP (NetWare Link Services Protocol)

Протокол NLSP является протоколом маршрутизации, использующий алгоритм состояния связей для выявления маршрута. Он основан на протоколе OSI, называемом IS-IS (Intermediate System to Intermediate System). NLSP поддерживает сети с повышенной отказоустойчивостью с топологией сетка (mesh).

SPX (Sequenced Packet Exchange Protocol)

SPX является протоколом транспортного уровня, расширенной версией IPX, с реализованным обслуживанием соединений. SPX – протокол с установлением связи, он отвечает за надежную доставку. SPX произошел от протокола Xerox Sequenced Packet Protocol.

SPX организует соединения с помощью виртуальных каналов. Каждое соединение получает свой идентификатор CID, помещаемый в заголовок пакета. Каждая служба может поддерживать несколько соединений, различая их по CID. (Например, служба печати может одновременно вести диалог с несколькими клиентами, используя различное CID для каждого клиента) Поддерживание нескольких соединений одновременно также называется connection multiplexing. Протокол SPX осуществляет сегментацию: разбивку поступающих сверху данных на сегменты. Обслуживание соединений реализуется полностью – упорядочивание пакетов, контроль ошибок, конечное управление потоком.

NCP (NetWare Core Protocols)

NCP – протокол взаимодействия сервера NetWare и оболочки рабочей станции. Через NCP работает множество сетевых служб (например служба печати и файловая служба). В NCP реализован свой язык, который можно использовать при составлении программ «низкого уровня» для NetWare. С помощью этого языка обеспечивается передача запросов и ответов между сервером и клиентом, и таким образом реализуется «прозрачный» доступ к службам.

Например, на файловом сервере необходимо выбрать файл и получить его. Приложение будет обращаться к серверу через протокол NCP, используя запросы и ответы:

Запрос: Рабочая станция X запрашивает готовность сервера Z

Ответ: Файловый сервер Z подтверждает готовность к запросу

Запрос: Рабочая станция X посылает спецификацию файла Y на файл сервер Z

Ответ: Файловый сервер Z отсылает обратно результат поиска файлов с данной спецификацией Y

Запрос: Рабочая станция X запрашивает конкретный файл Y1

Ответ: Файловый сервер Z проверяет права доступа на файл Y1

...

Ответ: Файловый сервер посылает файл Y1 на рабочую станцию X разбитый на 20 пакетов

Каждый запрос и ответ подтверждается при приеме. Происходит своеобразный эффект «пинг-понга».

Так как NCP может пользоваться услугами IPX, то на NCP реализуются все средства обслуживания соединений транспортного уровня, которые не обеспечивает IPX. NCP управляет администрированием передачи данных на сеансовом уровне. На прикладном уровне NCP отвечает за использование службы и поддерживает редиректор системы.

В стеке IPX/SPX на сетевом уровне обычно используется протокол IPX, а на транспортном уровне и выше – протокол NCP.

SAP (Service Advertising Protocol)

SAP используется для объявления служб. Каждый сервер периодически и широковещательно рассылает SAP объявления о службах с помощью пакетов Service Identification Packet. Клиенты получают информацию о доступности службы и об адресе службы. Клиенты могут сами опрашивать серверы с помощью пакетов Service Query Packet.

В версии NetWare 4.x и выше уже реализована служба каталогов NetWare Directory Services (NDS), позволяющая сократить широковещательный трафик пакетов SAP.

Пример работы стека Netware

Следующий пример наглядно демонстрирует работу протоколов стека NetWare. В качестве примера возьмем запрос на чтение файла с файлового сервера.

1. Запрос на чтение файла поступает через локальную операционную систему к клиентской службе Netware – NetWare DOS Requestor

2. Requestor формирует вызов на языке NCP и этот вызов добавляется в качестве заголовка NCP на уровень IPX

3. IPX добавляет свой заголовок с сетевым адресом и пакет передается на LSL

4. LSL определяет какой канальный протокол будет использоваться и передает пакет к выбранному MLID.

5. MLID подготавливает данные и передает их на физический уровень, который уже генерирует сигнал.

6. Физический уровень сервера принимает сигнал и передает его на свой MLID.

7. MLID декодирует сигнал, удаляет все заголовки канального уровня и передает результат на LSL.

8. LSL передает данные на IPX.

9. IPX определяет нужное гнездо, удаляет заголовок IPX и передает запрос на выбранное NCP гнездо.

10. NCP определяет и исполняет запрос на файловом сервере.

Стек протоколов Internet (TCP/IP)

§5.1.6-§5.4 Олифера

Стек протоколов Internet был разработан в 1970-х годах Министерством обороны США (Department of Defense) для связи глобальных сетей с различными типами компьютеров и операционных систем. Стек получил свое название от двух самых известных своих протоколов: Transmission Control Protocol (TCP) и Internet Protocol (IP). Сейчас стек протоколов TCP/IP является самым популярным.

Одна из причин популярности состоит в том, что никто не является владельцем стека TCP/IP. Стек TCP/IP является открытым стеком, и его поддерживают подавляющее большинство производителей оборудования и операционных систем. Изначально протокол TCP/IP применялся в системах Unix, в частности, был встроен в BSD (Berkeley Standard Distribution) версию Unix. С тех пор TCP/IP получил всестороннее признание сообщества Unix и сейчас поддерживается всеми версиями этой системы.

Стек протоколов TCP/IP был разработан за 10 лет до принятия модели OSI, поэтому он не полностью ей соответствует и состоит из 4 уровней. (см. рис) Протоколы Internet не касаются физического и канального уровня, т.е. они работают поверх разных существующих стандартов, например, поверх Ethernet. В такой универсальности состоит одна из причин успеха TCP/IP.

Верхний уровень стека TCP/IP называется уровнем обработки (process layer). В него входят протоколы TELNET, FTP, SMTP, HTTP и другие. Протоколы уровня обработки обеспечивают работу сетевых служб. Уровень обработки соответствуют трем верхним уровням OSI: Прикладному, Представительному, Сеансовому.

Третий уровень TCP/IP называется «узел-узел» (host-to-host). На нем реализуются два протокола: TCP and UDP. Они обеспечивают прием и передачу данных с других систем. Третий уровень TCP/IP точно соответствует транспортному уровню OSI.

Второй уровень TCP/IP называется межсетевым (internet) соответствует сетевому уровню OSI. На нем рассматриваются протоколы IP, ICMP, RIP, OSPF, ARP.

Первый уровень называется уровнем доступа к сети (network access) и реализуется другими протоколами канального и физического уровней, не входящими в стек TCP/IP.

Соответствие стека TCP/IP модели OSI можно проиллюстрировать следующей таблицей.

Протокол Уровень OSI Темы Методы

IP - Internet Protocol Network Switching Packet

Route selection Dynamic

Connection services Error control

ICMP - Internet Control Message Protocol Network Connection services Error control

Network-layer flow control

RIP - Routing Information Protocol Network Route discovery Distance vector

OSPF - Open Shortest Path First Network Route discovery Link-state

TCP - Transmission Control Protocol Network Addressing Service

Transport Addressing Connection identifier

Segment development Division and combination

Connection services Segment sequencing

Error control

End-to-end flow control

UDP - User Datagram Protocol Network Addressing Service

Transport Segment development Division and combination

Connection services Connectionless

ARP - Address Resolution Protocol Network Address resolution Зависит от протокола, вычисляется по логическому адресу подсети и физическому адресу устройства

DNS - Domain Name System Transport Address/name resolution Service-provider -initiated

FTP - File Transfer Protocol Session Session administration Connection establishment

File transfer

Connection release

Presentation Translation File syntax

Application Network services File services

Service use Collaborative

SMTP - Simple Mail Transfer Protocol Application Network services Message services

TELNET - Remote Terminal Emulation Session Dialog control Half-duplex

Session administration Connection establishment

File transfer

Connection release

Presentation Translation Byte order Character code

Application Service use Remote operation

RPC - Remote Procedure Call Session Session administration Connection establishment

File transfer

Connection release

XDR - External Data Representation Presentation Translation Byte order

Character code

File syntax

NFS - Network File System Application Network services File services

Service use Remote operation

IP (Internet Protocol)

IP – протокол сетевого уровня с использованием дейтаграммной коммутации пакетов без установления соединения. Он выполняет сетевую IP адресацию и динамический выбор маршрута. Протокол IP разбивает поступающие сверху пакеты на более мелкие части при необходимости. Далее IP добавляет заголовок и передает пакет на канальный уровень в качестве кадра.

IP использует динамическую маршрутизацию: на каждом хопе происходит выбор маршрута в соответствии с таблицами маршрутизации. В качестве обслуживания соединений IP осуществляет только контроль ошибок заголовка: в IP заголовок помещается контрольная сумма. Но контрольная сумма проверяет только заголовок а не пакет в целом.

Обычно длина пакета около 1 кб, максимальная длина 65535 байт. Заголовок обычно занимает 20 байт.

ICMP (Internet Control Message Protocol)

ICMP (протокол межсетевых управляющих сообщений) является протоколом сетевого уровня, работающим совместно с IP. ICMP обеспечивает обслуживание соединений на сетевом уровне: он определяет перегрузку, обрыв связи и другие ошибки. ICMP используется для информирования IP и протоколов более высоких уровней о таких сетевых ошибках.

RIP (Routing Information Protocol)

RIP это протокол маршрутизации основанный на алгоритме дистанционно-векторного типа (DVA). Маршрутизаторы периодически (раз в 30 секунд) и широковещательно пересылают свои таблицы по своим подсетям. В качестве цены маршрута используется количество хопов. RIP присущи все недостатки DVA протоколов – плохая работа в больших и сложных интерсетях. IP RIP по своим функциям похож на IPX RIP, хотя они являются разными протоколами.

OSPF (Open Shortest Path First)

OSPF был разработан как замена RIP и является протоколом маршрутизации с использования алгоритма состояния связей (LSA). Соответственно маршрутизаторы владеют графом структуры сети, и могут более грамотно строить маршрут в интерсетях. OSPF выполняет распределение загрузки каналов (load balancing), то есть при наличии нескольких путей с одинаковой ценой, направляет пакеты попеременно по этим путям.

TCP (Transmission Control Protocol)

TCP (протокол управления передачей) является главным транспортным протоколом Internet с установлением соединения. Он принимает сообщения любого размера с верхних уровней, обеспечивает конечное обслуживание соединений и дуплексный режим работы.

TCP принимает поток данных, разбивает его на сегменты и передает их на сетевой уровень протоколу IP. TCP присваивает каждому сегменту номер и при приеме производит упорядочивание. Также возможна агрегация сегментов, когда в один сегмент входят данные от нескольких сетевых служб.

Если задача IP заключалась в передаче данных между произвольными устройствами сети, TCP передает данные между любыми службами на любых узлах сети.

Пакетам каждого соединения присваивается идентификатор соединения CID, который также называется портом. Для некоторых служб номера портов закреплены и стандартизированы. Например, FTP: 21. Каждый порт может поддерживать несколько соединений и таким образом осуществлять их мультиплексирование.

Протокол TCP по своей функциональности похож на SPX.

UDP (User Datagram Protocol)

Протокол UDP (протокол дейтаграмм пользователя) принадлежит к транспортному уровню, но в отличие от TCP не устанавливает логического соединения и не использует подтверждений. UDP просто осуществляет обмен дейтаграммами между сетевым и высшими уровнями. UDP также использует адрес службы, называемый портом. Порт здесь является просто указателем на конкретную службу, а не идентификатором соединения. Номера портов в TCP и UDP разные, и не влияют друг на друга. 21 порт в UDP не зависит от 21 порта в TCP.

Так как UDP не выполняет процедуры установления соединения и контроля потока, он работает быстрее чем TCP.

UDP подходит для сетей, где быстродействие важнее надежной доставки. Также для приложений, передающих данные небольшого объема за один раз.

ARP (Address Resolution Protocol)

Протокол ARP формирует сетевой IP адрес используя комбинацию физического адреса устройства и логического адреса подсети. Сетевой IP адрес состоит из 4 байт, каждый из них представлен в десятичной системе и отделен точкой. Например, 195.151.147.4.

ARP использует широковещательные пакеты или составленную ранее таблицу адресов для определения соответствия IP адреса и физического адреса.

Каждому узлу в сети может быть также присвоено и несколько логических имен. Например, www.vspu.kirov.ru. Человеку легче запомнить имя а не четыре числа. Протокол ARP также определяет соответствие логического имени и цифрового сетевого адреса.

IP адресация

IP адрес состоит из двух логических частей – номера сети и номера узла в сети. Какая часть адреса относится к номеру сети, а какая – к номеру узла, определяется значениями первых бит адреса. Соответственно выделяют классы IP адресов.

A 0,номер сети номер узла номер узла номер узла

B 10, номер сети номер сети номер узла номер узла

C 110, номер сети номер сети номер сети номер узла

D 1110 Multicast

E 11110 зарезервирован

Номер сети класса A может быть в диапазоне от 1 до 126. Таких сетей немного, зато количество узлов в такой сети может достигать 16 млн. Сети класса B – средних размеров, число узлов в них около 65 тыс. В сети класса C может быть 255 узлов. Класс D – особый групповой адрес Multicast. Пакет получат все узлы, владеющие таким адресом. Класс E – зарезервирован для будущих применений.

Существует несколько особых IP адресов. Если в поле номера сети стоят нули, то считается что узел назначения принадлежит той же сети, что и узел отправления. Если в поле номера узла стоят только единицы, то пакет рассылается всем узлам данной сети. Например, пакет с адресом 195.151.147.255 достигнет всех узлов сети 195.151.147.0.

Специальный адрес 127.0.0.1 служит для тестирования и называется loopback. Данные, переданные на такой адрес, возвращаются обратно не передаваясь по сети.

Существует второй метод распределения границ сети и узла – с помощью маски. Маска – это число, используемое в паре с IP адресом. Двоичная запись маски содержит единицы в тех разрядах, которые должны в IP адресе интерпретироваться как номер сети. Например: класс A – 255.0.0.0, класс B – 255.255.0.0, класс C – 255.255.255.0. Снабжая каждый IP адрес маской можно отказаться от понятий классовой адресации и сделать ее более гибкой. Например, адрес 185.23.44.206 относится к сети 185.23.0.0, номер узла – 44.206, но если указать маску 255.255.255.0, то номером сети будет 185.23.44.0. А 206 – номер узла в сети.

DNS (Domain Name System)

DNS – это распределенная база данных, производящая преобразование имени по запросу клиента в сетевой адрес и обратно. Записи в DNS связаны иерархией имен: например, в имени www.vspu.kirov.ru, ru обозначает Россию, kirov – регион, vspu – клиента в регионе, а www – компьютер или службу у клиента.

FTP (File Transfer Protocol)

Протокол FTP позволяет передавать файлы между двумя компьютерами. FTP обеспечивает защиту с помощью пароля на соединение, передачу списка файлов, выполнение операций с файлами, исполнение файлов. FTP может использоваться для передачи файлов между двумя разными операционными системами, так как язык запросов FTP не зависит от локальной ОС.

SMTP (Simple Mail Transfer Protocol)

SMTP – протокол маршрутизации электронной почты, который использует TCP и IP для передачи сообщений между компьютерами. SMTP не обеспечивает интерфейс для конечного пользователя. Для чтения и написания писем, для управления почтовым ящиком требуются специальные пользовательские почтовые программы.

TELNET (Remote Terminal Emulation)

TELNET позволяет пользователям получать доступ к приложениям сервера, используя клиентские компьютеры в роли терминалов. Так же как и FTP, TELNET обеспечивает связь между разными операционными системами, например UNIX и VMS.

NFS (Network File System)

NFS была впервые разработана фирмой Sun Microsystems в рамках концепции Sun ONC (Open Network Computing). Три самых популярных протокола – это NFS, XDR (external Data Representation, Прикладной уровень), and RPC (Remote Procedure Call, Сеансовый уровень).

Для внедрения этих протоколов, Sun сделала их открытыми. Далее они были приняты и доработаны сообществом Интернет.

NFS отличается от таких протоколов как FTP и TELNET своей «прозрачностью». NFS позволяет пользователям различных компьютеров работать с удаленными файлами так же легко, как и с локальными. Пользователь может не знать никаких специализированных команд.

Протокол XDR позволяет передавать данные в специальном кодированном формате, не зависящем от операционной системы. XDR реализуется в виде серии библиотек, позволяющих программистам встраивать XDR в приложения.

RPC функционирует следующим образом. Редиректор перенаправляет запрос на локальные или сетевые ресурсы в зависимости от места расположения ресурса. Существуют специальные сервера RPC, которые могут хранить несколько RPC запросов и файлов. Сервер принимает запрос и отсылает клиенту результат запроса.

Пример работа стека Internet

Покажем на примере работу стека TCP/IP. Клиент ранее запросил передачу файла через уже открытый TCP порт и передача является ответом на запрос.

1. Операционная система сервера передает непрерывный поток данных протоколу TCP

2. Протокол TCP определяет, что поток превышает размер пакета более низких уровней, и разбивает поток на сегменты. Каждому сегменту присваивается порядковый номер и каждый сегмент передается протоколу IP.

3. На сетевом уровне формируются дейтаграммы с помощью добавления логических адресов приемника и источника в каждый сегмент.

4. С помощью ARP определяется физический адрес устройства назначения или устройства следующего хопа, адрес добавляется в пакет и передается на канальный уровень.

При передаче происходит также и ряд других операций. В интерсети на каждом хопе происходит определение следующего IP адреса в маршруте.

5. Канальный уровень клиента принимает кадры и передает их на сетевой уровень.

6. Протокол IP отбрасывает свои заголовки и передает дейтаграммы на транспортный уровень.

7. Протокол TCP подтверждает прием каждого сегмента, и воссоздает исходный поток данных комбинируя сегменты с помощью порядковых номеров.

8. FTP сервис клиента принимает поток данных и передает его локальной операционной системе.

Стек протоколов DNA (Digital Network Architecture)

DNA, сетевая цифровая архитектура, была создана компанией Digital Equipment Corporation (DEC) в 1974 году. Ее также называют DecNET. Сейчас используется пятая итерация этой архитектуры.

Архитектура DNA совершенствовалась много лет, отражая изменения в сетевых технологиях. DNA является сложной архитектурой, достаточно хорошо соответствующей всем семи уровням OSI. (см. рис)

В пятой итерации DNA разделилась на две половины на транспортном уровне и выше. Первая половина связана со стандартными протоколами ISO, вторая половина – с протоколами DEC.

Как и другие стеки протоколов, DNA поддерживает несколько стандартных протоколов физического и канального уровней: IEEE/ISO 802.X/8802.X, FDDI, X.25 (вместе с LAPB).

Соответствие стека DNA модели OSI можно проиллюстрировать следующей таблицей.

Протокол Уровень OSI Темы Методы

Ethernet v.2 Physical Connection types Multipoint

Physical topology Bus

Digital signaling State transition

Bit synchronization Synchronous

Bandwidth use Baseband

Data Link-MAC Logical topology Bus

Media access Contention

Addressing Physical device

HDLC (ISO 3309, 4335, 7809,and 8885)-High-level Data Link Control Physical Connection types Point-to-point

Data Link-LLC Transmission synchronization Asynchronous

Synchronous

Connection services LLC-level flow control

DDCMP - Digital Data Communications Message Protocol Physical Connection types Point-to-point

Multipoint

Data Link-LLC Transmission synchronization Asynchronous

Synchronous

Connection services LLC-level flow control

Error control

Message sequencing

CLNS (ISO 8473, 9542, and 10589)-Connec tionless-Mode Network Service Network Addressing Logical network

Route discovery Link-state

Route selection Dynamic

CONS (ISO 8878 and 8208)-Connection-Mode Network Service Network Addressing Logical network

Route discovery Link-state

Route selection Dynamic

Connection services Network-layer flow control

Error control

Packet sequence control

ISO 8073, Connection-Oriented Transport Protocol Specification

NSP-Network Services Protocol Transport Addressing Connection identifier

Connection services Segment sequencing

Error control

End-to-end flow control

Transport Addressing Connection identifier

Connection services Segment sequencing

Error control

End-to-end flow control

Session Control Transport Address/name resolution Service-request or-initiated

Addressing Connection identifier

Session Session administration Connection establishment

Data transfer

Connection release

ISO 8327, Session Protocol Specification Session Dialog control Half-duplex

Session administration Connection establishment

Data transfer

Connection release

ASN.1 with BER-Abstract Syntax Notation Presentation Translation Character code

FTAM and DAP-File Transfer, Access, and Management Application Network service File services

NVTS-Network Virtual Terminal Service Presentation Translation Character code (for commands)

Application Network service Terminal Service

Service use Remote operation

MAILbus and X.400 Application Network service Message service

Naming Service and X.500 Transport Address/name resolution Service-provider -initiated

Application Network service Directory service

Ethernet Version 2

1 версия Ethernet была разработана фирмами Digital, Intel и Xerox. Ethernet V1 работал на канальном и физическом уровне и обеспечивал пропускную способность 10 Мбит/с. В основу протокола лег Xerox Research Ethernet с пропускной способностью 3 Мбит/с. В дальнейшем, протокол был усовершенствован до второй версии.

Ethernet V2 применяет CSMA/CD и Манчестерское кодирование сигнала. Первоначально использовался только коаксиальный кабель. Протокол Ethernet V2 очень похож на IEEE/ISO 802.X/8802.X, но они имеют различный формат кадра.

HDLC (High-Level Data Link Control)

HDLC – протокол канального уровня, был разработан для физических модемных соединений и поддерживает синхронную и асинхронную синхронизацию передачи. HDLC определяет как формат кадра, так и командный синтаксис для его передачи. Используя специальные команды, HDLC может осуществлять управление потоком LLC-подуровня.

DDCMP (Digital Data Communications Message Protocol)

DDCMP – ранний протокол DEC для канального уровня, он был разработан в 1974 г для связи WAN. Так же как и HDLC он поддерживает синхронную и асинхронную синхронизацию передачи. Он может использоваться для дуплексной или полудуплексной связи одноточечных и многоточечных соединений. DDCMP использует специальные команды и подтверждения для обслуживания соединений: контроль ошибок, управление потоком LLC-подуровня и упорядочивание сообщений (DDCMP использует термин «сообщение» для кадров канального уровня).

Во время принятия стека DNA все пользователи работали с компьютерами через терминалы. Поддержка терминалов реализовывалась протоколом Local Area Transport (LAT), который позволяет поддерживать несколько терминалов и осуществлять мультиплексирование по одному каналу. LAT не соответствует сетевому уровню OSI так как пакеты не могут маршрутизироваться.

CLNS (Connectionless-Mode Network Service

CLNS – протокол сетевого уровня DNA, не ориентированный на соединение. Он состоит из трех протоколов:

1. ISO 8473, протокол Connectionless-mode Network Service, управляет передачей данных между двумя конечными устройствами.

2. ISO 9542, End System to Intermediate System Routing Exchange (ES-IS) протокол маршрутизации между конечным устройством и промежуточным маршрутизатором. Этот протокол достаточно прост, так как не затрагивает маршрутизацию в интерсети.

3. ISO 10589, Intermediate System to Intermediate System Infra-Domain Routing Exchange (IS-IS) протокол маршрутизации между промежуточными маршрутизаторами. Он более сложен чем ES-IS, так как служит для передачи информации в интерсети. (Рисунок!)

Эти протоколы осуществляют адресацию, коммутацию, выявление и выбор маршрута.

CONS (Connection-Oriented Network Service)

CONS – протокол сетевого уровня, ориентированный на соединение. Он состоит из двух протоколов:

1. ISO 8208, X.25 Packet-Level Protocol for Data Terminal Equipments (протокол пакетной коммутации для терминального оборудования), является версией X.25, предложенной ISO. Протокол X.25 будет рассмотрен ниже.

2. ISO 8878, протокол, дополняющий X.25 до реализации OSI Connection-Mode Network Service (сетевая служба OSI, ориентированная на соединение).

CONS обеспечивает выявление маршрута по состоянию связи и выбирает его динамически. Этот протокол предусматривает управление потоком данных на сетевом уровне, контроль ошибок и упорядочивание пакетов.

Обычно на сетевом уровне в стеке DNA используется протокол CLNS.

ISO 8073, Connection Oriented Transport Protocol Specification

ISO 8073 – протокол транспортного уровня используется для обеспечения надежной доставки. Протокол поддерживает управление потоком, контроль ошибок и упорядочивание сегментов.

NSP (Network Services Protocol)

Протокол NSP входит в стек DNA с момента составления стека. NSP протокол транспортного уровня, ориентированный на установление соединения. NSP использует обычные или приоритетные дуплексные или полудуплексные каналы. Для управления потоком сетевые протоколы сообщают о перегрузках NSP, который уменьшает количество сообщений с помощью фиксированной скорости или с помощью окна.

Session Control (протокол управления сеансом)

Протокол управления сеансом обеспечивает интерфейс между протоколами транспортного уровня и приложениями. Данный протокол является оригинальным протоколом DNA и выполняет следующие функции:

- преобразование адресов и имен

- выбор протоколов (при использовании нескольких протоколов низкого уровня)

- управление сеансом

- адресация CID

ISO 8327 (Session Protocol Specification)

ISO 8237 – протокол ISO сеансового уровня. Он предусматривает установление полудуплексного диалога и управление сеансом. В каждом сеансе может использоваться одно или несколько соединений транспортного уровня.

Синхронизация передачи пакетов достигается путем использования специальных маркеров синхронизации. Диалог может быть возобновлен с любого маркера. (Например, если лектор читает текст, можно попросить его вернуться к началу абзаца).

ISO 8824, Abstract Syntax Notation One - ASN.1 with ISO 8825, Specification of Basic Encoding Rules for ASN

ASN.1 – это набор правил синтаксиса, использующийся для согласования и обмена данными между различными системами. Сами правила описываются в BER. ASN.1 – протокол, который может осуществлять перевод кода символов.

ISO 8571 FTAM (File Transfer, Access, and Management) и and DAP (Data Access Protocol)

ISO 8571 – обобщенный протокол файловых служб. Конкретная реализация протокола FTAM зависят от производителя (Например, DecNET FTAM). Но любая реализация этого протокола должна включать в себя определенные типы документов: текст, двоичный код и другие, а также виды услуг: передачу файлов, управление файлами и другие. Протокол DAP дополняет FTAM до таких операций, как создание, удаление, хранение и поиск файлов. DAP поддерживает различные ОС, и позволяет организовывать множественный доступ к файлам. DAP реализует индексирование файлов.

NVTS (Network Virtual Terminal Service)

NVTS обеспечивает доступ разных терминалов к сетевым службам. Виртуальный терминал это обобщенное представление дисплея компьютера. Сервер и клиент хранят у себя представление дисплея, что позволяет вести обмен данными через их одинаковое представление.

MAILbus Product Family и X.400 Message Handling System

MAILbus и X.400 описывают спецификации службы передачи сообщений DECnet. MAILbus была разработана DEC, а спецификация X.400 поддерживается для связи в интерсети. (X.400 описывает как сообщения хранятся и передаются между различными сетевыми устройствами).

Naming Service and X.500 Directory

Служба имен осуществляет преобразование адресов и имен. X.500 – это спецификация службы каталога. DEC осуществила переход к совместимости службы имен с X.500.

Стек протоколов AppleTalk

Разработка стека протоколов AppleTalk была начата фирмой Apple Computer, Inc. в 1983 г. AppleTalk был разработан в качестве сетевой архитектуры для компьютеров Apple Macintosh. В настоящее время AppleTalk поддерживается и другими платформами.

Для организации компьютеров Apple Macintosh в корпоративные сети, AppleTalk был расширен до второй фазы AppleTalk Phase II. Новая версия позволяет компьютерам Apple сосуществовать с другими стеками протоколов в сложных больших сетях. Если в первой фазе существовал только физический адрес, то во второй – комбинация сетевого и физического адреса.

AppleTalk был разработан после принятия модели OSI и достаточно хорошо ей соответствует.

Соответствие стека AppleTalk модели OSI можно проиллюстрировать следующей таблицей.

Протокол Уровень OSI Темы Методы

LocalTalk Physical Connection types Multipoint

Physical topology Bus

Digital signaling State transition

Bit synchronization Synchronous

Bandwidth use Baseband

Data Link-MAC Logical topology Bus

Media access Contention

Addressing Physical device

Data Link-LLC Transmission synchronization Synchronous

Connection services LLC-level flow control

Error control

AARP - AppleTalk Address Resolution Protocol Network Data Link Сопоставляет адреса Сопоставляет AppleTalk адрес и физические адреса ELAP и TLAP

DDP - Datagram Delivery Protocol Network Addressing Logical network

Service

Route selection Dynamic

Interoperability Network layer translation

RTMP - Routing Table Maintenance Protocol Network Route discovery Distance vector

ZIP-Zone Information Protocol Session Зависит от реализации протокола Логически разделяет сервера по зонам

NBP-Name Binding Protocol Transport Address resolution Service-request or-initiated

ATP-AppleTalk Transaction Protocol Transport Addressing Transaction identifier

Segment development Division and combination

Connection services Error control

Segment sequencing

ASP-AppleTalk Session Protocol Transport Connection services Segment sequencing

End-to-end flow control

Session Session administration Connection establishment

File transfer

Connection release

PAP-Printer Access Protocol Session Session administration Connection establishment

File transfer

Connection release

ADSP-AppleTalk Data Stream Protocol Transport Addressing Connection identifier

Segment development Division and combination

Connection services Segment sequencing

Error control

End-to-end flow control

Session Session administration Connection establishment

File transfer

Connection release

AFP-AppleTalk Filing Protocol Session Session administration Data transfer

Presentation Translation File syntax (indirectly)

Encryption Public key

AppleShare Application Network services File

Print

Service advertisement Active

Service use Collaborative

LLAP, ELAP, TLAP (LocalTalk, EtherTalk, and TokenTalk Link Access Protocols)

Эти протоколы являются успешной интеграцией физического и канального уровней. Для удобства именования при использовании протоколов Ethernet или TokenRing в стеке AppleTalk они носят названия EtherTalk и TokenTalk.

LocalTalk – это протокол, разработанный Apple. Он осуществляет конкурентный доступ с помощью CSMA/CA и рассчитан на экранированную витую пару. Он больше всего подходит для небольших рабочих групп (так как максимальная дальность сети составляет 300 метров, максимальное количество устройств – 32, скорость передачи данных 230,4 Kbps). Одной из уникальных черт LocalTalk является автоматическое получение адресов. При включении, сетевое устройство связывается с другими устройствами для определения подходящего физического адреса.

В протоколах EtherTalk и TokenTalk физический адрес жестко закреплен.

AARP (AppleTalk Address Resolution Protocol)

Так как ELAP и TLAP используют фиксированный физический адрес, AARP привязывает адрес AppleTalk к физическим адресам ELAP и TLAP. Это позволяет использовать их в качестве протоколов канального и физического уровней AppleTalk.

DDP (Datagram Delivery Protocol)

DDP – главный протокол сетевого уровня AppleTalk. Он осуществляет связь без установления соединения (connectionless) между двумя гнездами. Понятие «гнездо» аналогично адресу службы. Устройства в сети AppleTalk идентифицируются адресом подсети и адресом устройства. Под адресом устройства понимается адрес AppleTalk – эквивалент физическому адресу в LLAP или логический адрес, привязанный к физическому адресу ELAP и TLAP.

DDP использует полный адрес для маршрутизации пакетов в интерсети. Если адрес сети пакета совпадает с текущей сетью, пакет передается на канальный уровень для доставки, иначе передается на маршрутизатор. Маршрутизатор обрабатывает адрес назначения пакета с помощью таблиц маршрутизации (составляемых RTMP) и определяет следующий хоп.

Совместно с DDP используются протоколы Routing Table Maintenance Protocol (RTMP), the Zone Information Protocol (ZIP), и the Name Binding Protocol (NBP).

RTPM (Routing Table Maintenance Protocol)

RTMP является протоколом маршрутизации, осуществляющим выявление маршрута и использующим таблицы маршрутизации. Он использует алгоритм дистанционно-векторного типа (DVA) и похож по функциональности на RIP.

ZIP (Zone Information Protocol)

Протокол ZIP использует понятие «зон» для логической организации серверов в больших интерсетях. С помощью зоны можно ограничивать число серверов, видимых пользователем. ZIP используется маршрутизаторами для переноса серверов в определенные зоны и для сопоставления логических имен серверов и зон.

NBP (Name Binding Protocol)

В стеке AppleTalk устройствам можно присваивать логическое имя. Логическое имя позволяет скрыть адреса AppleTalk от пользователей и от более высоких уровней. NBP позволяет сопоставлять адреса AppleTalk и логические имена. Необходимо помнить, что AppleTalk адреса могут динамически меняться, и NBP должен эти изменения отслеживать.

ATP (AppleTalk Transaction Protocol)

ATP – протокол транспортного уровня без установления соединения но с подтверждениями, основанный на транзакциях. ATP подтверждает доставку информации, а в случае неполучения подтверждения в течение определенного периода времени – перепосылает пакет. Транзакция – форма взаимодействия членов сети, содержащая запрос и ответ. Ответ и запрос имеют один и тот же идентификатор транзакции.

ATP также осуществляет разделение и склеивание пакетов, имеющих слишком большой размер для нижележащих уровней. ATP обеспечивает контроль ошибок для потерянных пакетов и упорядочивание сегментов.

ASP (AppleTalk Session Protocol)

ASP – протокол сеансового уровня OSI, он оптимизирован для работы с файловыми службами. ASP устанавливает, поддерживает и прерывает сессии. ASP поддерживает существование нескольких сеансов у каждой службы, каждый сеанс должен устанавливаться по инициативе клиента. ASP использует ATP и обеспечивает надежную доставку пакетов. ASP может отправлять сразу несколько ATP транзакций для оптимизации передачи пакетов.

PAP (Printer Access Protocol)

PAP – протокол сеансового уровня, похожий на ASP. Он может использоваться для управления несколькими типами сеансов – с файловыми службами, службами печати и так далее. Однако он был оптимизирован для служб печати. Сеанс в PAP может быть установлен как по инициативе клиента, так и по инициативе сервера.

ADSP (AppleTalk Data Stream Protocol)

ADSP относят к сеансовому уровню, так как он может устанавливать и разрывать логические соединения между двумя гнездами. ADSP также производит функции транспортного уровня: упорядочивание сегментов, управление потока с помощью скользящего окна и контроль ошибок.

ADSP – дуплексный протокол, ориентированный на установление соединения. ADSP использует DDP в качестве протокола сетевого уровня. В отличие от ATP, ADSP основан на установлении соединений с использованием идентификатора CID. В связи с этими особенностями, ADSP лучше подходит для низкоскоростных соединений в отличие от ATP-ASP и ATP-PAP.

AFP (AppleTalk Filing Protocol)

AFP производит файловые операции с помощью перевода команд локальной файловой системы в команды сетевой службы. Для этого AFP осуществляет трансляцию синтаксиса команд и дает возможность приложениям осуществлять трансляцию формата файлов. AFP проверяет и шифрует пароли пользователей для безопасного доступа к файлам.

AppleShare

В AppleShare входят три основные службы: AppleShare File Server, AppleShare Print Server, и AppleShare PC.

AppleShare File Server использует AFP для доступа к удаленным файлам. Пользователь получает возможность хранить и производить операции с файлами на файловых серверах. AppleShare File Server регистрирует пользователей и закрепляет за ними тома и каталоги.

AppleShare Print Server использует NBP и PAP для пересылки информации в сети AppleTalk. AppleShare Print Server вызывает NBP для определения адреса принтера по его имени. PAP открывает соединение к выбранному принтеру. AppleShare Print Server поддерживает очередь печати, и отсылает документы по мере готовности принтера.

Доступ к службам AppleShare не ограничивается пользователями компьютеров Apple Macintosh. Компьютеры с другими операционными системами могут получать доступ к службам AppleShare при запуске AppleShare PC.

Работу стека AppleTalk можно продемонстрировать следующим примером (см. рис). Предположим, что DOS клиент получил доступ к файловому серверу и желает запросить файл.

1. Не-Macintosh клиент посылает команду локальной файловой системе

2. Локальная файловая система определяет, что запрашиваемый файл доступен только удаленно и перенаправляет запрос транслятору AFP

3. Транслятор AFP генерирует файловый запрос и передает его ASP

4. ASP, уже установивший сеанс, передает запрос ATP

5. ATP создает идентификатор транзакции и передает пакет на DDP

6. DDP открывает гнездо и адресует пакет адресом гнезда

7. В сети LocalTalk LLAP генерирует запрос на передачу к серверу (Requst-to-send, RTS)

8. После получения ответа о готовности (Clear-to-send, CTS) LLAP добавляет физический адрес и с помощью оборудования преобразует кадр в электрические сигналы.

9. Сервер принимает сигнал, преобразует его в кадр, проверяет физический адрес получателя и передает пакет на DDP

10. DDP определяет гнездо назначения и передает пакет на ATP

11. ATP записывает идентификатор транзакции и передает пакет на ASP

12. ASP удостоверяется в том, что сессия открыта и передает команду AFP

13. AFP исполняет команду с помощью файловой службы AppleShare

Процесс продолжается и дальше, так как файловая служба AppleShare отсылает несколько ответных команд клиенту. Сервер заносит все ответы в буфер до тех пор, пока не получит подтверждения транзакций.

Стек протоколов SNA (Systems Network Architecture)

SNA был разработан фирмой IBM. SNA не только описывает стек протоколов, но и определяет основные характеристики компьютерного аппаратного и программного обеспечения для работы в интерсети. Эти характеристики были положены в основу модели OSI, так как SNA была разработана на 10 лет раньше.

В своей первой версии в 1974 году SNA поддерживала только сети с иерархией, где выделялись хосты, связующие контроллеры, групповые (кластерные) контроллеры и терминалы. В 1984 году архитектура SNA была изменена для поддержки распределенных вычислений, работы в интерсети, управления сетью и других новых функций. SNA стала поддерживать одноранговые сети с помощью APPN (Advanced Peer-to-Peer Networking).

В 1987 году IBM выдвинула SAA (Systems Application Architecture), взяв в нее только часть архитектуры SNA, но стек SNA будет использоваться еще не один год.

Так как модель OSI была разработана с учетом SNA, они очень хорошо друг другу соответствуют. Но SNA больше напоминает модель сетевого взаимодействия, а не стек протоколов. Поэтому далее будет произведено сравнение модели OSI и SNA, рассмотрение основных компонентов архитектуры SNA и описание основных протоколов стека SNA.

См. рисунок.

Архитектура и модель SNA

Модель SNA состоит также как и OSI из семи уровней.

1. Физическое управление (Physical control). На нем рассматриваются физические, механические и технические характеристики среды передачи и интерфейсов среды передачи. Этот уровень полностью аналогичен физическому уровню. Хотя IBM разработала собственные протоколы на этом уровне, такие как Token Ring, в дальнейшем были поддержаны и другие протоколы, например Ethernet.

2. Управление каналом передачи данных (Data Link Control) напоминает канальный уровень OSI. SNA определяет на этом уровне протокол SDLC для связи первичных и вторичных устройств и Token Ring для одноранговых сетей.

3. Управление маршрутом (Path control) включает много функций сетевого уровня OSI, таких как маршрутизация и фрагментация дейтаграмм. На этом уровне также реализуется несколько функций канального уровня, таких как управление потоком.

4. Управление передачей (Transmission control) обеспечивает надежное конечное обслуживание соединений, и напоминает транспортный уровень OSI. Также здесь реализуются функции шифрования, рассматриваемые в OSI на представительном уровне.

5. Управление потоком данных (Data flow control) соответствует сеансовому уровню OSI.

6. Службы представления (Presentation services) реализуют алгоритмы преобразования данных, что соответствует представительному уровню OSI. На этом уровне также реализуются некоторые функции прикладного уровня, такие как управление доступом к ресурсам и синхронизация операций.

7. Службы транзакций (Transaction services) соответствуют прикладному уровню OSI. Здесь реализуются средства приложений для распределенных вычислений и управления сетью. В качестве примера можно привести SNADS (SNA Distribution Services).

Рассмотрим основные компоненты SNA. Ключевыми компонентами SNA являются узлы (nodes) - физические устройства (PU). Существует несколько типов узлов.

Хосты (hosts) – PU типа 5, включают в себя мейнфреймы и системы среднего класса. Хост управляет доменом (domain). Домен состоит из физических и логических устройств (PU и LU), связей между ними и всех ресурсов, подчиненных хосту. Домен может разделяться на несколько подобластей

В сетях SNA обычно существует множество хостов, также существует возможность терминалу одного из хостов получать доступ к приложениям на другом хосте.

Связующие контроллеры (communications controllers) – это PU типа 4. Они маршрутизируют и контролируют поток данных. Коммуникационный контроллер может быть напрямую подсоединен к хосту по высокоскоростному каналу и может соединяться с другим удаленным связующим контроллером. На связующих контроллерах работает протокол NCP (Network Control Program). Она берет на себя часть нагрузки хостов и выполняют некоторую обработку. Поэтому связующие контроллеры также называют front-end processor (процессоры переднего края)

Периферийные узлы (peripheral nodes) – PU типа 2. Они включают в себя множество клиентских устройств. Например, это групповые контроллеры, терминалы и принтеры.

SNA использует следующую классификацию узлов и программного обеспечения по функциям.

Физическое устройство (physical unit, PU) – комбинация аппаратного и программного обеспечения, которое используется для наблюдения и управления ресурсами узла. Физическими устройствами являются три описанных выше узла.

PU типа 2 – групповые контроллеры, терминалы и принтеры или другие периферийные устройства. Данные устройства взаимодействуют только с мейнфреймами.

PU типа 2.1 – миникомпьютеры, групповые контроллеры, шлюзы и рабочие станции, которые могут взаимодействовать с мейнфреймами или любыми другими устройствами типа 2.1. Физические устройства типа 2.1 послужили основой для новой спецификации APPN.

PU типа 4 – связующие контроллеры, которые связывают хосты и групповые контроллеры (или другие устройства типа 2).

PU типа 5 – хосты

Логическое устройство (logical unit, LU) – это логические структуры сети, являющиеся конечными точками сетевого взаимодействия. Они обеспечивают средства установления соединения с другими логическими устройствами для обмена информацией. Они позволяют людям и приложениям получать доступ к сети и к функциям, обеспечиваемым VTAM.

LU типа 0 – логические устройства общего назначения, используемые для межпрограммного взаимодействия. Эти логические устройства заменяются более развитыми типа 6.2. Связь program-to-program

LU типа 1 – групповые терминалы и принтеры. Отношения master/slave. Связь program-to-device

LU типа 2 – терминалы. Отношения master/slave. Связь program-to-device

LU типа 3 – аналогичен типу 1. Отношения master/slave. Связь program-to-device

LU типа 4 – старые одноранговые соединения. Отношения master/slave. Связь program-to-device

LU типа 6.0 и 6.1 – используются в одноранговых соединениях CICS или соединениями IMS между мейнфреймами. Отношения peer-to-peer. Связь program-to-program

LU типа 6.2 – используются в APPC. Отношения peer-to-peer. Связь program-to-program

LU типа 7 – дисплейные станции. Связь program-to-device

Точки управления (control points) – программные инструменты управления и контролирования потока данных в сети. Они используются с PU типов 5 и типа 2.1.

PU типа 5 содержит программу VTAM (Virtual Terminal Access Method), которая обеспечивает SSCP (System Services Control Point). Она управляет всеми соединениями и потоком данных. Вся иерархия SNA построена вокруг SSCP. Несколько SSCP могут разделить сеть SNA на несколько доменов и каждый SSCP будет управлять LU и PU в своем домене.

PU типа 2.1 обеспечивает точку управления для одноранговых взаимоотношений. Она работает совместно с другими точками управления типа 2.1

Стек протоколов SNA

Соответствие стека SNA модели OSI можно проиллюстрировать следующей таблицей.

Протокол Уровень OSI Темы Методы

Token-Ring Physical Connection types Point-to-point

Physical topology Star

Digital signaling State transition

Bit synchronization Synchronous

Bandwidth use Baseband

Data Link-MAC Logical topology Ring

Media access Token passing

Addressing Physical device

SDLC-Synchronous Data Link Control Data Link-MAC Media access Polling

Addressing Physical device

Data Link-LLC Transmission synchronization Synchronous

Connection services Flow control

Error control

NCP-Network Control Program Data Link-MAC Media access Polling

Addressing Physical device

Data Link-LLC Connection services Flow control

Network Addressing Logical network

Route selection Static

Gateway services Network layer translation

VTAM-Virtual Telecommunications Access Method Transport Addressing Connection identifier

Segment development Division and combination

Connection services End-to-end flow control

Session Dialog control Half-duplex

Session administration Connection establishment

Data transfer

Connection release

APPN (PU 2.1)-Advanced Peer-to-Peer Networking Network Addressing Logical network

Route discovery

Transport Connection services Segment sequencing

End-to-end flow control

CICS-Customer Information Control System Session Dialog control Half-duplex

Session administration Connection establishment

Data transfer

Connection release

Presentation Translation File syntax

IMS-lnformation Management System Session Dialog control Half-duplex

Session administration Connection establishment

Data transfer

Connection release

Presentation Translation File syntax

APPC (LU 6.2)-Advanced Program-to-Pro gram Communication Transport Addressing Connection identifier

Connection services Segment sequencing

End-to-end flow control

Session Dialog control Half-duplex

Session administration Connection establishment

Data transfer

Connection release

DDM-Distributed Data Management Application Network services File

Service use OS call interception

SNADS-SNA Distribution Services Application Network services File Message

DIA-Document Interchange Architecture Application Network services File

Token Ring

Данный протокол был разработан IBM и далее стандартизирован как IEEE 802.5. Используемая топология – физическая звезда, логическое кольцо. Доступ к среде – передача маркера, обеспечивается скорость от 4 до 16 Mbps. Захватив маркер, компьютер отправляет кадр данных в сеть. Кадр проходит по кольцу, пока не достигнет узла назначения. Узел принимает кадр и посылает подтверждение. Подтверждение передается по кольцу и достигает адресата, после чего адресат возвращает маркер в сеть. В сети одновременно может передаваться только один кадр.

SDLC (Synchronous Data Link Control)

Протокол использует специальное оборудование для связи по выделенной или телефонной линии. Может поддерживать одно- и многоточечные соединения, дуплексный и полудуплексные режимы. SDLC генерирует свои собственные контрольные сообщения дополнительно к добавлению заголовка канального уровня.

NCP (Network Control Program)

На связующих контроллерах SNA запущен протокол NCP (Network Control Program). Она берет на себя часть нагрузки хостов и выполняют некоторую обработку. Он выполняет некоторые функции сетевого и канального уровней. Сейчас NCP обеспечивает маршрутизацию и функции шлюза.

VTAM (Virtual Telecommunications Access Method)

VTAM управляет связью и потоком данных в SNA. Он обеспечивает связь внутри домена, между доменами и в интерсети. VTAM работает с NCP для контроля сетевых ресурсов. Обычно VTAM и SSCP считаются синонимами, однако SSCP – одна из функциональных служб VTAM.

APPN (Advanced Peer-to-Peer Networking)

APPN – это архитектура транспортного и сетевого уровней, позволяющая работать одноранговой сети, состоящей из PU типа 2.1. APPN обеспечивает выявление маршрута, службу каталогов, и управление потоком с помощью окна. APPN не требует наличия хоста с SSCP.

CICS (Customer Information Control System)

CICS упрощает транзакции между приложениями стандартизируя команды ввода-вывода в сети. Разработчики программ должны использовать язык CICS для связи в сети. CICS обеспечивает связь между терминалом и приложением, распределенный доступ к файлам, безопасность, многозадачность, управление хранением информации, отслеживание и восстановление транзакций, откат транзакций и перезапуск приложения. CICS часто используется в банковской и биржевой деятельности.

IMS (Information Management System)

IMS аналогичный протокол, рассчитанный на транзакции. Он состоит из двух продуктов: IMS Transaction Manager и IMS Database Manager. С их помощью IMS позволяет осуществлять множественный доступ к базе данных IMS Database Manager, обеспечивает коммутацию сообщений, устанавливает приоритеты транзакций.

APPC (Advanced Program-to-Program Communication)

APPC была добавлена при введении LU типа 6.2. Она обеспечивает одноранговую связь между LU и не требует участия хоста.

DDM (Distributed Data Management)

DDM обеспечивает «прозрачный» доступ к файлам для клиентов SNA. Он обеспечивает функцию, похожую на перехват вызова ОС.

SNADS (SNA Distribution Services)

SNADS является службой прикладного уровня, который использует передачу сообщений и документов в режиме store-and-forward (хранение и передача)

DIA (Document Interchange Architecture)

DIA описывает правила обмена документов между разными системами. DIA управляет файловыми службами: координирует передачу файлов, их хранение и поиск.

Контрольные вопросы (по стекам DNA, AppleTalk, SNA)

1. Which protocol suite provides the standards with the broadest industry support?

A. AppleTalk

B. Internet

C. NetWare

D. SNA

2. Which types of addresses are used on LocalTalk networks?

A. Physical node numbers

B. Static logical IDs

C. Dynamic logical IDs

D. Logical device names

3. Which protocol enables Ethernet and Token Ring networks to interface with AppleTalk protocols?

A. RTMP

B. AARP

C. LLAP

D. ZIP

4. Which protocol is responsible for matching users' logical device names with AppleTalk addresses?

A. AARP

B. ZIP

C. NBP

D. ATP

5. Which two components are required to enable a NetWare LAN to communicate with a Digital computer?

A. Ethernet v.2 support

B. IEEE 802.3 Ethernet support

C. TCP/IP

D. NetWare for LAT

6. Which two of the following DNA protocols are regarded as presentation-layer protocols?

A. ASN.1

B. NVTS

C. FTAM

D. MAILbus

7. Which three of the following statements are true regarding SNA network addressable units?

A. A PU Type 2 is a communication controller.

B. An LU Type 6.2 device is capable of program-to-program communication.

C. A PU consists of the hardware and software required to manage the resources of nodes.

D. Control points are found on Type 5 and Type 2.1 PUs.

8. Which SNA protocols are required to implement peer-to-peer communication?

A. DDM

B. SNADS

C. APPN and APPC

D. NCP

9. Выберите фирмы, являющиеся основоположницами стеков

1. SNA

2. AppleTalk

3. DNA a. Digital Equipment Corporation

b. Xerox

c. Microsoft

d. Apple Computer, Inc.

e. IBM

f. IEEE

10. Ethernet V2 использует _______ доступ к среде и ________ кодирование. Он отличается от IEEE 802.3 _______ (чем?).

11. CLNS использует _______ протокол маршрутизации для связи между маршрутизаторами и _______ протокол маршрутизации для связи между конечными устройствами и маршрутизаторами. CLNS и CONS используют ______ алгоритм для выявления маршрута.

12. Поддержка терминалов в DNA осуществляется с помощью LAT. Почему LAT нельзя отнести к сетевому уровню?

13. ISO 8237 – протокол сеансового уровня. Он осуществляет синхронизацию передачи пактов с помощью ____________.

14. Что такое BER и где это используется?

15. Что дополняет протокол DAP и до каких функций?

16. Что такое X.400 и X.500? Как они связаны с DNA?

17. Особенностью адресации LocalTalk является _______________ (какие адреса и как используются). Для поддержки Ethernet и TokenRing служит протокол ________ который привязывает ______________ (что к чему?).

18. Совместно с DDP используется протокол маршрутизации _________, который основан на _____________ алгоритме выявления маршрута.

19. Для чего служат «зоны» в протоколе ZIP?

20. В чем главное отличие ADSP от ATP и для чего ADSP лучше подходит?

21. Для чего служит служба AppleShare PC?

22. Что такое домен в SNA?

23. Какие типы PU, LU и протоколы были добавлены в SNA для реализации одноранговой сети?

24. Какой тип PU соответствует периферийным узлам и какие устройства являются периферийными узлами (перечислить)?

25. Какой тип PU соответствует коммуникационным контроллерам и какой протокол работает на этих контроллерах?

26. В иерархии SNA какая программа/протокол запущена на контрольной точке PU5, какой сервис она обеспечивает?

27. Какую логическую и физическую топологию использует Token Ring?

28. Какой из верхних протоколов DNA обеспечивает высокую безопасность и восстановление или откат операций с файлами? Какой протокол рекомендуется для использования с базами данных? Какой протокол реализует передачу файлов и документов в режиме store-and-forward?

Ответы

1. B

2. C

3. B

4. C

5. A,D

6. A,B

7. B,C,D

8. C

9. 1e, 2d, 3a

10. CSMA/CD, манчестерское, форматом кадра

11. IS-IS, ES-IS, Link-State

12. Потому что пакеты не маршрутизируются

13. Специальных маркеров синхронизации

14. Правила для реализации протокола ASN.1

15. Протокол FTAM до функций создания, удаления, хранения и посика файлов. Поддерживает различные ОС и реализует индексирование файлов.

16. Спецификация службы передачи сообщений и службы каталога. MailBUS была расширена с поддержкой X.400, Naming Service была расширена для поддержки X.500

17. Использование динамических физических адресов. AARP, привязывает физические адреса к адресам AppleTalk.

18. RTMP, DVA.

19. Для ограничения числа серверов, видимых пользователем.

20. ATP – ориентирован на транзакции, ADSP – на соединение. ADSP лучше подходит для низкоскоростных соединений.

21. Для подключения не Mac компьютеров к сервисам AppleShare

22. Домен состоит из LU и PU, подчиненных хосту.

23. PU типа 2.1., LU типа 6.2, протоколы APPN и APPC

24. PU типа 2, устройства: групповые контроллеры, принтеры, терминалы

25. PU типа 4, протокол NCP

26. VTAM , обеспечивает SSCP

27. Логическое кольцо, физическая звезда.

28. CICS, IMS, SNADS.

Дополнительные протоколы и стандарты

Кроме перечисленных выше пяти стеков, применяются еще дополнительные протоколы и стандарты. Большинство из них относятся к низким уровням и могут быть использованы с протоколами более высоких уровней.

SLIP (Serial Line IP) и PPP (the Point-to-Point Protocol)

Протоколы SLIP и его приемник – PPP были разработаны для обеспечения соединений по коммутируемой телефонной линии (dial-up). Данные протоколы относят к протоколом глобальных сетей. SLIP и PPP могут работать только между двумя физически соединенными устройствами.

Соответствие протоколов SLIP и PPP модели OSI можно проиллюстрировать следующей таблицей.

Протокол Уровень OSI Темы Методы

SLIP Physical Connection types Point-to-point

PPP Physical Connection types Point-to-point

Data Link-MAC Addressing Physical device

Data Link-LLC Connection services Error control

SLIP был разработан раньше PPP. SLIP является очень простым протоколом, но это не позволяет ему выполнять ряд функций, например одновременную работу с несколькими протоколами более высоких уровней. SLIP также не является четко установленным стандартом. Различные реализации SLIP могли быть несовместимы друг с другом.

PPP был разработан IETF для усовершенствования SLIP. PPP осуществляет следующие функции:

- динамическую IP адресацию,

- поддерживает несколько протоколов по одному каналу (с помощью специального поля в кадре, указывающего на протокол),

- вход по паролю,

- контроль ошибок.

Однако, не все реализации PPP поддерживают одинаковое множество функций. Поэтому в процессе установления связи между двумя устройствами оговаривается уровень функций PPP.

Группа протоколов IEEE/ISO 802.X/8802.X

В 1985 г. рабочая группа 802 института IEEE выдвинула ряд стандартов физического и канального уровней, которые были в дальнейшем утверждены ANSI. После этого протоколы были пересмотрены и утверждены ISO как ISO 8802.x. Сейчас в рабочей группе 802 существует 16 подгрупп, продолжающих устанавливать и совершенствовать стандарты. Ниже будут приведены самые часто используемые стандарты IEEE 802.x. ISO 8802.x протоколы не отличаются от IEEE 802.x ничем кроме незначительных деталей, поэтому они не будут рассматриваться отдельно. Протоколы большей частью ориентированы на применение в локальных сетях, встречаются и стандарты для сетей любого размера, в том числе и глобальных.

Соответствие протоколов IEEE 802.x модели OSI можно проиллюстрировать следующей таблицей.

Протокол Уровень OSI Темы Методы

802.2 Data Link-LLC Зависит от протоколов Определение более высоких протоколов

802.3 Physical Connection types Multipoint

Digital signaling State transition

Bit synchronization Synchronous

Bandwidth use Baseband (except 10BROAD36)

Data Link-MAC Logical topology Bus

Media access Contention

Addressing Physical device

802.3 - 1 BASES Physical Physical topology Star

802.3 - 10BASE2 Physical Physical topology Bus

802.3 - 10BASE5 Physical Physical topology Bus

802.3 - 10BASE-T Physical Physical topology Star

802.3 - 10BASE-F Physical Physical topology Star

802.3 - 10BROAD36 Physical Physical topology Bus

Bandwidth use Broadband

802.3 - 100BASE-X Physical Physical topology Star

802.3 - 1000BASE-T Physical Physical topology Star

802.4 Physical Connection types Multipoint

Physical topology Bus

Digital signaling State transition

Bit synchronization Synchronous

Bandwidth use Baseband (Broadband)

Data Link-MAC Logical topology Ring

Media access Token passing

Addressing Physical device

802.5 Physical Connection types Point-to-point

Physical topology Star

Ring

Digital signaling State transition

Bit synchronization Synchronous

Bandwidth use Baseband

Data Link-MAC Logical topology Ring

Media access Token passing

Addressing Physical device

802.6 Physical Connection types Point-to-point

Physical topology Ring

Bandwidth use Baseband

Data Link-MAC Logical topology Ring

802.11 Data Link-MAC Media access Contention

802.12 Physical Connection types Multipoint

Physical topology Star

Bandwidth use Baseband

Data Link-MAC Logical topology Bus

Media access Contention

IEEE 802.2

802.2 принадлежит подуровню LLC канального уровня и используется другими протоколами 802.x. Он разделяет сетевой уровень от уровня MAC, поэтому сетевой уровень не зависит от той или иной реализации протоколов MAC подуровня. 802.2 добавляет несколько полей к заголовку кадра, в которых указывается какой протокол более высокого уровня используется в кадре. Также указываются процесс сетевого уровня – источник пакета и процесс – получатель пакета.

IEEE 802.3

Используя стандарт Ethernet Intel, Digital и Xerox в качестве основы, IEEE выдвинул стандарт Ethernet как IEEE 802.3. Отличия от Ethernet v.2 состоят в формате кадра. 802.3 позволяет использовать несколько реализаций физического уровня, например использование разных полос частот (baseband и broadband), типов носителя, топологий и скоростей передачи данных. В любой реализации используется CSMA/CD доступ к среде.

Каждой реализации присвоено имя, состоящее из трех частей. Первая часть, это число, обозначающее скорость передачи в Mbps, вторая часть указывает на используемую полосу частот – BASE для baseband и BROAD для broadband, третья часть указывает на максимальную длину сегмента или на какой-либо другой параметр.

Существуют следующие спецификации:

1Base5 – 24 AWG UTP, пропускная способность 1 Mbps, длина сегмента до 500 м, топология физическая звезда;

10Base2 – использует 5 мм, 50-Омный коаксиальный кабель, пропускная способность 10 Mbps, максимальная длина сегмента 185 м, топология физическая шина, также называется «тонкий Ethernet» (Thin Ethernet);

10Base5 – использует 10 мм, 50-Омный коаксиальный кабель, пропускная способность 10 Mbps, топология физическая шина, также называется «толстый Ethernet» (Thick Ethernet);

10BaseT – использует 24 AWG UTP, пропускная способность 10 Mbps, максимальная длина сегмента 100 м, топология физическая звезда;

10BaseF – использует волоконно-оптический кабель, пропускная способность 10 Mbps, максимальная длина сегмента 4 км, топология физическая звезда. Включает в себя три спецификации: 10BaseFL – fiber link, 10BaseFB – fiber backbone, 10BaseFP – fiber passive;

10Broad36 – использует 75-Омный коаксиальный кабель, пропускная способность до 10 Mbps, максимальная длина сегмента 1800 м или 3600 м при использовании спаренного кабеля, топология физическая звезда;

100BaseX – 100BaseT4 использует 4 пары UTP категории 3,4,5, 100BaseTX использует 2 пары UTP категории 5 или 150-Омного STP, 100BaseFX использует 2 многомодовых оптических кабеля. В 1997 г. стандарт был модернизирован для поддержки дуплексного режима. (Также он известен как Fast Ethernet).

1000BaseT – использует 4 пары UTL категории 5 или выше.

Сейчас уже разрабатывается спецификация для пропускной способности 10 Gbps по медной витой паре.

IEEE 802.4

Стандарт 802.4 (называемый еще Token Bus) был создан для локальных сетей предприятий и заводов. Комитет активно работал с 1984 по 1988 г.г., и разработал стандарт 802.4. Он основан на топологии шина, реализует доступ к среде с помощью передачи маркера, использует обе полосы частот (baseband и broadband), 75-Омный телевизионный кабель или оптическое волокно.

IEEE 802.5

Стандарт 802.5 базируется на основе спецификации IBM Token Ring. Использует доступ к среде на основе передачи маркера, дифференциальное манчестерское кодирование и достигает пропускной способности 1, 4 и 16 Mbps. В отличие от спецификации IBM Token Ring, 802.5 не определяет конкретных видов среды передачи или физической топологии. Однако обычно используется UTP и физическая топология звезда.

IEEE 802.6

802.6 ввел технологию, называемую DQDB (Distributed Queue Dual Bus) для использования в городских сетях (MAN). DQDB использует топологию двойной шины на волоконно-оптическом кабеле. Для повышения защиты от сбоев, шина может быть сведена в кольцо. Каждая шина передает сигналы в одном направлении, и соответственно две шины работают в противоположных направлениях. DQDB динамически выделяет полосу пропускания частот используя временные интервалы. Используется как синхронная, так и асинхронная передача. Поддерживается как передача данных, так и видео- и аудиопотоки.

IEEE 802.9

Стандарт 802.9 еще называют IsoEthernet, или изохронным Ethernet. Он обеспечивает пропускную способность 16 Mbps с помощью комбинации одного асинхронного канала в 10 Mbps и 96 64 kbps (в сумме 6 Mbps) выделенных каналов на UTP. 802.9 подходит для сетей как с непостоянной загрузкой, так и для сетей с постоянным трафиком, чувствительным ко времени доставки.

IEEE 802.11

Стандарт 802.11 направлен на реализацию беспроводной связи. Он был утвержден сравнительно недавно – в 1997 г. Для передачи используется частота 2.4 ГГц. Передача происходит в широком диапазоне частот с помощью Direct sequence modulation (пропускная способность до 25,5 Mbps) или с помощью Frequency hopping (пропускная способность до 4,5 Mbps). Используется CSMA\CA доступ к среде передачи.

IEEE 802.12

Группа 802.12 выдвинула стандарт 100VG-AnyLAN, основанный на разработках AT&T, IBM и Hewlett-Packard. Стандарт опирается на топологию физической звезды и на конкурентный метод доступа к среде передачи. В отличие от других сетей, основанных на конкуренции, устройства 802.12 для передачи информации запрашивают хаб. При одновременном получении нескольких запросов, хаб определяет приоритет каждой передачи и таким образом осуществляется контроль сети на основе приоритетов устройств. IEEE 802.12 был разработан для реализации высокоскоростной сети в окружении сетей Ethernet и TokenRing, поэтому он поддерживает формат кадров как Ethernet, так и TokenRing.

Проект IEEE 802.14

Проект стандарта 802.14 направлен на осуществление передачи данных по существующим волоконно-оптическим и коаксиальным кабелям в системе кабельного телевидения.

FDDI (Fiber Distributed Data Interface)

FDDI был разработан институтом ANSI в 1986 г. и в дальнейшем выдвинут как стандарт ISO 9314. FDDI считается протоколом глобальных сетей (WAN), хотя может использоваться и в локальных, и в городских сетях.

FDDI включает в себя спецификации MAC и физического уровней и рассчитан на совместное использование с IEEE 802.2.

Соответствие протокола FDDI модели OSI можно проиллюстрировать следующей таблицей.

Протокол Уровень OSI Темы Методы

FDDI Physical Connection types Point-to-point

Physical topology Star Ring (dual)

Digital signaling State transition

Bandwidth use Baseband

Data Link-MAC Logical topology Ring

Media access Token passing

Спецификация FDDI использует логическое кольцо и доступ к среде основанный на передаче маркера. В качестве среды передачи может использоваться как волоконно-оптический кабель, так и витая пара. Обеспечивается пропускная способность 100 Mbps. FDDI очень похож на стандарт IEEE 802.5. Оба используют передачу маркера, и являются детерминированными видами доступа к среде. Оба могут быть реализованы в виде физической топологии звезда для быстрого поиска неисправностей. В 802.5 и FDDI используется волоконно-оптический кабель, не подверженный влиянию электромагнитных излучений. Главное преимущество FDDI заключается в более высокой пропускной способности и большей длине сегмента. В сети FDDI компьютер может захватить маркер только на определенное время и за этот промежуток передать столько кадров, сколько успеет. Завершив передачу, компьютер сразу же освобождает маркер. Поэтому по сети FDDI может одновременно циркулировать несколько кадров в отличие от Token Ring где одновременно циркулирует только один кадр. Обычно FDDI используется как магистраль, связывающая более мелкие локальные сети. Длина кольца FDDI не может превышать 100 км.

FDDI основан на двух физических кольцах, работающих в противоположных направлениях. В случае повреждения сегмента, сетевой трафик может быть перенаправлен на второе кольцо узлом, присоединенным к обоим кольцам. Такие устройства называют DAS (dual-attached stations). DAS также могут осуществлять баланс нагрузки между двумя кольцами. (рисунок).

Все компьютеры в сети FDDI отвечают за мониторинг передачи маркера и технология мониторинга называется beaconing.

Рекомендация X.25

Рекомендация X.25 была выдвинута в 1974 г International Telegraph & Telephone Consultative Committee (CCITT), переименованным позднее в International Telecommunications Union (ITU) на основе сетей с коммутацией пакетов Datapac, Tymnet и Telenet. X.25 считается протоколом глобальных сетей (WAN).

X.25 является спецификацией для физического подключения компьютера к сети с коммутацией пакетов и собственно самой передачи пакетов. Соответственно спецификация разделяется на три уровня:

Уровень 1. Описывает правила соединений физического уровня, обычно ссылается на стандарты типа X.21, X.21 bis, V.32 и т.д.

Уровень 2. Обеспечивает механизм создания соединения канального уровня, определяется протоколом LAPB (Link Access Procedure Balanced). LAPB – бит-ориентированный, синхронный и дуплексный LLC протокол.

Уровень 3. Определяет способ передачи пакетов между терминалами (Data Terminal Equipment, DTE) и сетевым оборудованием (Data Circuit-Terminating Equipment, DCE). К устройству DTE подключаются терминалы по асинхронным каналам, поток данных от терминалов формируется в пакеты (packet assembling).

X.25 не описывает конкретного алгоритма маршрутизации, и каждый производитель может самостоятельно их определять. X.25 базируется на пакетной коммутации с использованием постоянных (permanent virtual circuit, PVC) или динамических виртуальных каналов (switched virtual circuit, SVC). С 1984 г. X.25 обеспечивает конечное обслуживание соединений. X.25 рассчитан на скорости до 64 kbps, что недостаточно для LAN.

Соответствие спецификации X.25 модели OSI можно проиллюстрировать следующей таблицей.

Протокол Уровень OSI Темы Методы

X.21 Physical Connection types Point-to-point

Physical topology Mesh (гибридная)

Bit synchronization Synchronous

LAPB Data Link-LLC Connection services LLC-level flow control

Error control

X.25 Network Addressing По каналу (напоминает логическую сетевую адресацию, адрес присваивается каждому соединению)

Switching Packet (виртуальный канал)

Connection services Network-layer flow control

Error control

Frame Relay

Протокол Frame relay (ретрансляция кадров) аналогичный X.25 протокол коммутации пакетов глобальных сетей (WAN), разработанный для поддержки ISDN. Frame relay осуществляет более простое обслуживание соединений в отличие от X.25, к тому же соединения Frame Relay более помехоустойчивы чем X.25, поэтому Frame Relay работает быстрее. Помехоустойчивость достигается за счет использования более совершенной среды передачи (например, волоконно-оптического кабеля) в отличие от X.25, где могут использоваться обычные телефонные линии. Frame Relay основан на стандартах ANSI и CCITT (ITU).

Соответствие протокола Frame Relay модели OSI можно проиллюстрировать следующей таблицей.

Протокол Уровень OSI Темы Методы

Frame relay (through CCITT I.451/Q.931 and Q.922) Physical Connection types Point-to-point

Physical topology Mesh (гибридная)

Switching Packet (виртуальный канал)

Data Link-LLC Connection services LLC-level flow control

Error control (только определение)

Frame Relay обеспечивает функции канального уровня на постоянных или динамических виртуальных каналах. Поэтому маршрут между конечными точками известен, и процедуры фрагментации пакетов и выбора маршрута не производятся. Frame Relay обычно обеспечивает пропускную способность от 56 kbps до 1,544 MBps (T1).

При установке Frame Relay указывается committed information rate (CIR), определяющий минимальную гарантированную пропускную способность на виртуальном канале.

ISDN и B-ISDN

ISDN (Integrated Services Digital Network) описывает несколько международных спецификаций CCITT (ITU). ISDN описывает передачу голоса и данных по цифровым телефонным линиям в глобальных сетях (WAN). Broadband ISDN (B-ISDN) расширяет спецификации ISDN до большей пропускной способности (51, 155, 622 Mbps в отличие от 64 kbps) используя волоконно-оптический кабель.

Соответствие спецификации ISDN модели OSI можно проиллюстрировать следующей таблицей.

Протокол Уровень OSI Темы Методы

LAPD (CCITT Q.920 and Q.921) Data Link-MAC Addressing Physical device

Data Link-LLC Connection services LLC-level flow control

Упорядочивание кадров

ISDN (through CCITT I.450/Q.930 and I.451/Q.931) Network Switching Packet

Circuit

Спецификации ISDN построены на цифровой передаче данных, поэтому для повсеместного применения ISDN требуется перевод аналоговых телефонных станций в цифровые. При этом и аналоговые и цифровые данные смогут передаваться по телефонным линиям, как определяет спецификация ISDN. Посредством ISDN пользователи получают доступ к цифровым каналам передачи, называемым bit pipes. Bit pipes могут быть организованы как с помощью коммутации каналов, так и с помощью коммутации пакетов. Услуги ISDN предлагают несколько стандартных спецификаций мультиплексированных каналов:

Канал A. – 4 kHz аналоговый канал;

Канал B – 64 kbps цифровой канал;

Канал С – 8-16 kbps цифровой канал (используется для передачи служебной информации и управляющих сигналов);

Канал D – 16-64 kbps цифровой канал (используется для передачи служебной информации и управляющих сигналов), включает в себя три подканала: s – для передачи, t – для телеметрии, p – для низкоскоростной передачи пакетов;

Канал E – 64 kbps цифровой канал для внутреннего использования в ISDN;

Канал H – цифровой канал с пропускной способностью 384, 1536, 1920 kbps.

В качестве международного стандарта используются следующие спецификации каналов:

Basic rate – 2 B канала (по 64 kbps) + 1 D канал (16 kbps);

Primary rate – 1 D канал (64 kbps) + 23 B канала (США и Япония) или 30 B каналов (Европа и Австралия);

Hybrid rate – 1 A канал (4 kHz аналоговый) + 1 С канал (8 или 16 kbps цифровой канал)

Функции ISDN заключаются только в передаче данных, однако на канале типа D используется протокол LAPD (Link Access Procedure, D channel) для обслуживания соединений. В качестве протокола физического уровня B-ISDN использует ATM или SONET.

ATM

ATM (Asynchronous Transfer Mode) был разработан ITU и форумом ATM (ATM Forum) для применения в высокоскоростных сетях LAN, MAN и WAN.

Соответствие протокола ATM модели OSI можно проиллюстрировать следующей таблицей.

Протокол Уровень OSI Темы Методы

ATM Data Link-LLC Transmission synchronization Isochronous

Connection services Error control

Network Switching Packet (обычно называют ячейками)

Route selection Static

В 1988 г. ITU выдвинул ряд стандартов ATM как часть B-ISDN. Стандарты определяют пять классов услуг ATM, которые определяются по следующим трем характеристикам:

1. Время передачи между отправителем и получателем. Некоторые виды трафика требуют точного значения времени передачи данных между устройствами.

2. Bit rate (количество битов трафика в промежуток времени). Существует постоянный и переменный bit rate. Большинство технологий передачи звука и видео-потока ориентированы на постоянный bit-rate, но некоторые новые технологии используют переменный bit-rate.

3. Тип соединения. Различают как связь с установлением соединения, так и связь без установления соединения. (Connection-mode и connectionless)

Класс A. Фиксирует время передачи (timing), постоянный bit rate, ориентирован на установление соединения.

Класс B. Фиксирует время передачи, переменный bit rate, ориентирован на установление соединения. Устанавливает предельное значение времени передачи.

Класс C. Не фиксирует время передачи, переменный bit rate, ориентирован на установление соединения.

Класс D. Не фиксирует время передачи, переменный bit rate, не ориентирован на установление соединения.

Класс X. Переменный bit rate, использование как связи ориентированной на установление соединения, так и не ориентированной.

Каждый класс услуг оптимизирован для определенных задач. Например, класс A –подходит для передачи видео-потока. Протокол ATM построен на использовании «ячеек» - пакеты длиной 53 байта, из которых 5 байт являются заголовком класса (другие стандарты использовали кадры произвольной длины). Фиксированный размер ячейки ускоряет коммутацию. Стандарт ATM предусматривает наличие уровней адаптации (adaptation level), позволяющих устанавливать интерфейс между ATM и протоколами более высоких уровней. ATM может базироваться на других технологиях физического уровня, таких как FDDI или SONET.

Асинхронная передача данных – еще одна особенность ATM. ATM использует технологию, называемую label multiplexing, выделяющую промежуток времени для передачи по требованию. Асинхронность выдачи промежутков подразумевает, что они не выдаются периодически. Трафик, критичный ко времени доставки, может получить приоритет над другим трафиком, то есть поступившая ячейка с высоким приоритетом будет передана вне очереди. Можно сказать, что такая технология использует StatTDM (Statistical TDM) на основе приоритета ячеек.

Устройства в сети ATM устанавливают виртуальную магистраль (virtual path), имеющую свой идентификатор VPI. По этой магистрали могут устанавливаться виртуальные каналы с идентификаторами VCI. VCI и VPI занимают три байта в заголовке ячейки. Другие технологии, например Ethernet, отводит 6 байт на физический адрес. ATM может использовать три байта, т.к. VCI и VPI относятся только к текущей связи между двумя устройствами. Каждый коммутатор может присваивать различные VCI и VPI любой связи. Таким образом на каждой связи может существовать до 16 миллионов каналов.

Пропускная способность ATM находится в интервале от 66 Mbps до 622 Mbps (обычно 155 Mbps).

SMDS

SMD (Switched Megabit Data Service) был разработан Bell Communications Research в 1991 году. SMD считается прародителем технологии ATM. SMDS предназначен для городских сетей (MAN), хотя может использоваться и в глобальных сетях (WAN).

SMDS относится к канальному уровню OSI и поддерживает несколько стандартов физического уровня. SMDS не производит обслуживания соединений.

Соответствие протокола SMDS модели OSI можно проиллюстрировать следующей таблицей.

Протокол Уровень OSI Темы Методы

SMDS Data Link-LLC Transmission synchronization Isochronous

Network Switching Packet (также как и в ATM называются ячейки, фиксированный размер))

SMDS не ориентирован на установление соединений, и может быть использован вместе с DQDB (IEEE 802.6) и SONET. Также как и в ATM пакеты SMDS называются ячейками и имеют фиксированный размер. Обеспечивается пропускная способность от 1,544 Mbps до 45 Mbps.

SONET/SDH

Спецификация SONET (Synchronous Optical Network) была также разработана в 1984 компанией Bell Communications Research и в дальнейшем утверждена ANSI. К концу 1988 г. CCITT (ITU) опубликовал похожую спецификацию SDH (Synchronous Digital Hierarchy). Существует несколько национальных спецификаций SDH: SDH-Europe, SDH-Japan и SDH-SONET (Северная Америка). SONET и SDH считаются спецификациями глобальных сетей (WAN) и основаны на волоконно-оптическом кабеле.

Соответствие протокола SONET/SDH модели OSI можно проиллюстрировать следующей таблицей.

Протокол Уровень OSI Темы Методы

SONET/SDH Physical Connection types Point-to-point

Physical topology Mesh

Ring

Multiplexing TDM

На базе спецификации физического уровня SONET/SDH могут базироваться такие протоколы как FDDI, DQDB (IEEE 802.6), SMDS и ATM. Пропускная способность SONET является кратной 51,84 Mbps (например, стандарт OC-48 (optical carrier) обладает пропускной способностью 48x51,84=2488,43 Mbps). Пропускная способность SDH является кратной 155,52 Mbps (например, пропускная способность SDH-16 будет 16x155,52=2488,43 Mbps, что эквивалентно OC-48)

Цифровая связь

Цифровые линии намного быстрее и качественнее передают сигнал по сравнению с аналоговыми линиями. Для работы по цифровой линии не нужны модемы, так как не происходит аналогово-цифрового преобразования. На цифровой линии используются устройства CSU/DSU.

T1 – стандартный тип цифровой линии, предназначен для дуплексной связи типа точка-точка, использует две пары проводов (одну для приема, другую для передачи), скорость T1 составляет 1,544 Mbps. Европейский аналог T1 называется E1 и обеспечивает скорость 2,048 Mbps. Канал T2 состоит из четырех каналов T1 и обеспечивает скорость 6,312 Mbps, канал T3 – 28 каналов T1 и обеспечивает скорость 44,736 Mbps, канал T4 – 168 каналов T1 и скорость 274,760 Mbps.

Switched 56 – технология коммутации каналов на линии 56 kbps. Преимущество – канал Switched 56 можно использовать только при необходимости связи.

Приложение

Маршрутизируемые протоколы/стеки:

DECnet (DNA)

IP

IPX

OSI (DNA)

XNS

DDP (AppleTalk)

Немаршрутизируемые протоколы:

LAT (Local Area Transport DEC)

NetBEUI (протокол Microsoft)

Контрольные задания

1. Which two of the following are regarded as WAN protocols?

A. Frame relay

B. SLIP

C. IEEE 802.6

D. X.25

2. Which protocols are commonly used with IEEE 802.2?

A. IEEE 802.3

B. IEEE 802.5

C. IEEE 802.6

D. All of the above

3. What is the primary characteristic that distinguishes a cell from a packet?

A. Cells are generally smaller than packets.

B. Cells don't incorporate physical addresses.

C. All cells have the same fixed length.

D. Packets cannot be switched.

4. Which two of the following protocols are intended primarily for use on fiber-optic cable?

A. Frame relay

B. FDDI

C. SONET

D. X.25

5. Which two of the following ATM service classes require no timing?

A. Class A

B. Class B

C. Class C

D. Class D

6. Which two of the following standards use token passing for media access control?

A. IEEE 802.4

B. IEEE 802.6

C. Frame relay

D. FDDI

7. Which two of the following standards are designed to support audio data?

A. IEEE 802.3

B. ISDN

C. ATM

D. Frame relay

8. Over fiber-optic media, typical B-ISDN data rates are ______.

A. 51 Mbps

B. 155 Mbps

C. 312 Mbps

D. 622 Mbps

9. Which two of the following network standards are well suited to delivering time-critical data?

A. X.25

B. IEEE 802.5

C. Frame relay

D. ATM

10. The project 802 model defines standards for which layers of the OSI model?

 a. the Application layer

 b. the Presentation layer

 c. the Session layer

 d. the Transport layer

 e. the Network layer

 f. the Data Link layer

 g. the Physical layer

11. Which of the following are dial-up communication protocols?

 a. FTP

 b. PPP

 c. TCP

 d. SLIP

 e. IP

 f. FDDI

12. What does the T1 technology offer?

 a. a maximum transmission rate of 1,544 Mbps?

 b. a maximum transmission rate of 45 Mbps?

 c. point-to-point, full-duplex transmission

 d. two 64-Kbps B channel and one 16-Kbps D channel per line

13. Which of the following network standards is known as Fast Ethernet?

a. 10Base2

b. 10Base5

c. 100BaseX

d. 100BaseVG-Anylan

14. Which of the following is true of thinnet and thicknet?

a. Thinnet and thicknet are specified in IEEE Standard 802.5.

b. The maximum cable segment length is 100 meters for thinnet and 500 meters for thicknet.

c. Thicknet is associated with the 10Base5 topology, whereas thinnet is associated with the 10Base2 topology.

d. Because of their different size and construction, thicknet and thinnet should not be used in the same network.

15. Which of the following WAN technologies can provide subscribers with bandwidth as needed? (Обеспечивать минимальное гарантированное значение полосы пропускания)

a. Frame relay

b. X.25

c. ISDN

d. T1

16. Which of the following protocols/stacks can be used with a router?

 a. IPX/SPX

 b. TCP/IP

 c. NetBEUI

 d. AppleTalk

 e. LAT

 f. DLC

 g. DECNet

 h. XNS

17. Which of the following supports the simultaneous transmission of voice, video and data?

a. 56-kbps dedicated analog line

b. ATM

c. CSU/DSU

d. Switched 56

e. X.25

18. Which WAN technology is a protocol suite that uses packet assemblers and disassemblers?

a. X.25

b. ATM

c. ISDN

d. Frame relay

19. Which of the following WAN technologies is intended to replace analog phone lines?

a. T1

b. ATM

c. Frame relay

d. ISDN

e. X.25

20. Which WAN technology supports transmission rates greater than 100 Mbps?

a. ISDN

b. T1

c. ATM

d. Switched 56

e. X.25

1. a,d

2. d

3. c

4. b,c

5. c,d

6. a,d

7. b,c

8. a,b,d

9. b,d

10. f,g

11. b,d

12. a,c

13. c

14. c

15. a

16. a,b,d,g,h

17. b

18. a

19. d

20. c

Star InactiveStar InactiveStar InactiveStar InactiveStar Inactive
Тема 11. Уровень представления OSI

 

Понятие уровня представления OSI. Трансляция: битовой организации, байтовой структуры, кода символов, синтаксиса. Шифрование данных: транспозиция, подстановка, алгебраическая трансляция.

Введение

На транспортном уровне приложения передают информацию между собой. При этом осуществляется распознавание имен и адресов, сегментация, адресация приложений и обслуживание соединений. Сеансовый уровень OSI отвечает за управление диалогом и сеансом. На уровне представления осуществляет преобразование информации в понятный обоим приложениям вид с помощью трансляции. Для защиты от несанкционированного доступа используется шифрование данных.

Следующая таблица отражает темы, изучаемые на уровне представления OSI.

Уровень OSI Темы Методы

Presentation Трансляция (Translation) Bit order (порядка следования битов)

Byte order (порядка следования байтов)

Character code (кодов символов)

File syntax (синтаксиса файлов)

Шифрование (Encryption) Открытым ключом (Public keys)

Закрытым ключом (Private keys)

Трансляция

Различные корпорации разработали большое количество несовместимых между собой методов представления информации. Для передачи информации очень часто бывает необходимо перевести информацию из одного представления в другое. Такой перевод называется трансляцией. Существует четыре вида трансляции:

- порядка следования битов (bit order)

- порядка следования байтов (byte order)

- кода символов (character code)

- синтаксиса файлов (file syntax).

Трансляция порядка следования битов

Как вы знаете, в цифровых компьютерах (какие еще бывают – аналоговые), вся информация представляется в виде «0» и «1». Трансляция порядка следования битов оговаривает количество бит в байтах и символах. Например, на одном компьютере один символ кодируется семью битами (всего 128 символов), а на другом – восемью (всего 256 символов). Также такая трансляция (как следует из названия) согласовывает порядок следования битов – справа-налево или слева-направо.

Например, для обмена информацией компьютеры договариваются что буква A будет кодироваться 0001, а буква Z – 1000. Предположим, передается буква «А» или код 0001. Другой компьютер принимает этот код, и определяет порядок отсчета битов. Если не определять порядок отсчета, то последовательность символов можно принять и как 0001 и как 1000.

Трансляция порядка следования байтов

Как называется единица данных, объемом в два байта? Правильно, слово. Слово данных состоит из двух байтов. Один из этих байтов называется старшим, другой – младшим. Уровень представления определяет последовательность байтов в слове. По стандартам микропроцессора Intel младший байт должен идти первым. Такая последовательность называется «маленьким индейцем» (little Indian). По стандартам микропроцессоров Motorola старший бит должен идти первым. Такая последовательность называется «большой индеец» (big Indian). Соответственно без использования трансляции связь между компьютерами с процессором Motorola и процессором Intel была бы невозможной.

Трансляция кода символов

При трансляции порядка следования битов определялось, какое количество битов определяют символ в том или ином стандарте. При трансляции кодов символов уже используется сопоставление конкретного значения битового кода и символа. Существует несколько кодов, соотносящих значения битового кода и символа. Например, код ASCII (American Standart Code for Information Interchange) определяет английские буквы, цифры и некоторые символы. Существует стандартная 7-битная версия ASCII и 8-битная расширенная версия (IBM extended). Другой код, например Shift-JIC, определяет японские символы.

Для представления одного алфавита может существовать более одного кода. Например, кроме ASCII, существует еще один код, кодирующий английские буквы, цифры и некоторые знаки препинания – код EBCDIC (Extended Binary Coded Decimal Interchange Code). Одна и та же последовательность бит переводится в различные символы в каждом коде, хотя алфавиты кодов одинаковы. (См. рисунок).

Одной из функций уровня представления OSI является трансляция информации из одного кода в другой. Соответственно из двух связывающихся служб одна может производить перекодировку информации. Либо обе службы могут перекодировать информацию в какой-либо третий промежуточный код.

Сейчас разработан 16-битный универсальный код Unicode, который может содержать в себе 65536 различных символов. Для каждого языка в таком коде выделена кодовая страница (code page).

Трансляция синтаксиса файлов

Большинство современных компьютерных сетей включают в себя компьютеры с различными операционными системами . Каждая операционная система, как правило, опирается на свой стандарт формата файлов . Соответственно задачей уровня представления является перевод файла и его атрибутов из одного формата в другой. Атрибуты: это имя файла, время его создания/изменения и т.д.

Например, на ОС Apple Macintosh System 7 каждый файл представляет из себя два объекта, которые называются data fork (ветвь данных) и resource fork (ветвь ресурса). В ветви данных находятся собственно данные, а в ветви ресурсов находится список ресурсов, используемых этим файлом – окна, приложения, драйверы и т.д. Содержащаяся в этой ветви информация привязана к конкретной операционной системе и не может быть использована в других системах. В DOS и Windows используется только ветвь данных. Также в различных операционных системах могут различаться схемы обозначения начала и конца файла, дескрипторы безопасности, стандарты наименования файлов и другие характеристики. Все эти параметры должны быть учтены при трансляции синтаксиса файлов.

Шифрование

В операционные системы обычно включается функция шифрования (encryption) для защиты данных от несанкционированного использования. Шифрование данных осуществляется тремя способами:

- транспозиция (transposition)

- подстановка (substitution)

- алгебраическая трансляция (algebraic) (STUDENT + ABILITY = JOB)

Эти способы кодируют данные. Любой человек, владеющий алгоритмом шифрования, может получить исходные данные. В более сложных алгоритмах для расшифровки данных используются ключи (keys). Ключ – это массив данных, позволяющий зашифровывать и расшифровывать информацию. Шифрование может быть как программным, так и аппаратным. Шифрование при передаче данных от одного приложения к другому производится программно на уровне представления OSI.

Любой алгоритм шифрования может быть вскрыт а ключ – найден. Сейчас ведется разработка все более мощных и надежных средств защиты информации. Различают два метода реализации шифрования – с использованием открытого ключа (public key) и закрытого ключа (private key).

Шифрование закрытым ключом

Для зашифровки и расшифровки информации используется один и тот же ключ. Любой, кто владеет ключом может как зашифровывать так и расшифровывать информацию. Поэтому доступ к закрытому ключу должен быть ограничен. Такой ключ может встраиваться аппаратно в микросхемы или назначаться администратором сети. Однако при смене ключа возникает проблема передачи ключа. При передаче ключ необходимо защитить от перехвата. (Вопрос – для чего ключи необходимо регулярно менять?) Пример – алгоритм DES (Data encryption standart, 64-битный ключ).

Шифрование открытым ключом

Здесь используется два ключа – открытый ключ для зашифровки информации и закрытый – для расшифровки. Открытый ключ создается из закрытого ключа через специальный алгоритм. Отправитель не владеет закрытым ключом и зашифровывает информацию с помощью открытого ключа. Адресат расшифровывает информацию с помощью комбинации открытого и закрытого ключей. Владение только открытым ключом не позволяет расшифровывать информацию за приемлемое время. В настоящее время алгоритмы шифрования открытым ключом настолько эффективны, что для их расшифровки потребуется несколько десятков лет вычислительного времени суперкомпьютера. Однако, стремительное развитие вычислительной техники приводит к постоянному поиску все более криптостойких алгоритмов. Пример – алгоритм RSA (Rivesi, Shamir, Adleman). (Рассказать о командном соревновании по расшифровке ключа RSA, запрете использования программы Pretty Good Privacy – PGP).

Заключение

На уровне представления осуществляет преобразование информации в понятный обоим приложениям вид с помощью трансляции. Для защиты от несанкционированного доступа используется шифрование данных.

Контрольные вопросы

1. What functions do OSI Presentation layer implementations perform?

2. Which two Presentation layer methods resolve data bit and byte counting schemes? (Choose two.)

a. Bit order

b. Byte order

c. File syntax

d. Character code

3. What is the purpose of encrypting data?

Ответы

1. Presentation layer implementations transform data into a mutually agreed-upon format. It may also compress or expand, and encrypt or decrypt data.

2. A and B.

3. To protect it from unauthorized use.

Star InactiveStar InactiveStar InactiveStar InactiveStar Inactive
Тема 12. Прикладной уровень OSI

 

Понятие уровня приложений OSI. Объявления о службах: активные и пассивные объявления. Обеспечение доступности служб: перехват вызовов ОС, удаленных операций, совместной обработки.

Введение

На транспортном уровне приложения передают информацию между со-бой. При этом осуществляется распознавание имен и адресов, сегментация, ад-ресация приложений и обслуживание соединений. Сеансовый уровень OSI от-вечает за управление диалогом и сеансом. На уровне представления осуществ-ляет преобразование информации в понятный обоим приложениям вид с помо-щью трансляции. Для защиты от несанкционированного доступа используется шифрование данных. На прикладном уровне реализуются все сетевые службы. Вы уже изучали сетевые службы (повторить): файловые службы, службы печа-ти, службы передачи сообщений, средства приложений, средства баз данных.

Прикладной уровень обеспечивает интерфейс между сетевыми службами и операционной системой. Прикладной уровень OSI не включает взаимодейст-вие с приложениями конечных пользователей. Свои протоколы взаимодействия приложения реализуют, обращаясь к операционной системе.

Соответственно прикладной уровень осуществляет две функции: объяв-ление служб и обеспечение доступности служб.

Следующая таблица отражает темы, изучаемые на прикладном уровне OSI.

Уровень OSI Темы Методы

Прикладной (Presenta-tion) Объявление служб (Ser-vice advertisement) Активное (Active)

Пассивное (Passive)

Обеспечение доступно-сти служб (Service use) Перехват вызова ОС (OS call interception)

Удаленная обработка (Remote operation)

Коллективные вычисле-ния (Collaborative)

Объявление служб (Service advertisement)

Вопрос: как узнать, какой службе адресован пакет?

Каждая служба имеет свой адрес (как говорилось ранее). Серверы объяв-ляют, какие службы они обеспечивают для клиентов сети и по каким адресам. Существует два механизма объявления служб: активный и пассивный.

Активное объявление служб

1 способ. При активном объявлении служб каждый сервер периодически и широковещательно рассылает сообщения, в которых указывается вид службы и адрес службы. 2 способ. Клиенты проверяют сетевые сервера на предмет на-личия необходимых служб. В любом случае информация о сетевых службах со-храняется у клиентов в специальные таблицы.

В большинстве сетей с использованием активного объявления служб также используется и время жизни службы. Например, если протокол преду-сматривает рассылку объявлений о службах раз в пять минут, клиенты должны удалять из своих списков те службы, объявления о которых не были получены в последние пять минут.

Пассивное объявление служб

Серверы регистрируют свои сетевые службы в специальном информаци-онном ресурсе – каталоге (directory). (Повторить что такое служба каталогов). Клиент запрашивает информацию о сервисе в каталоге. Под информацией сле-дует понимать доступность сервиса и адрес сервиса.

Обеспечение доступности служб

Перед использованием сетевых служб необходимо обеспечить их дос-тупность ОС компьютера, так как приложения работают с сетевыми службами через операционную систему. Существует несколько уровней «вовлечения» ло-кальной ОС в сетевые взаимоотношения.

Перехват вызова ОС (OS call interception)

При использовании перехвата вызова ОС локальная операционная сис-тема не «знает» о существовании сетевых служб. Например, если в DOS запро-сить файл с сетевого файлового сервера, приложение и DOS предполагают, что файл будет получен с локального дискового ресурса. На самом деле, редиректор перехватит запрос DOS к несуществующему локальному ресурсу и направит этот запрос к сетевым файловым службам.

Перехват вызова ОС позволяет использовать сетевые службы там, где они не предусмотрены, например в DOS.

(На рисунке показана схема запроса)

Удаленная обработка

В отличие от перехвата вызова, в данном уровне локальная ОС полно-стью владеет информацией о сетевых службах и отвечает за передачу запроса сетевым службам. Сервер обрабатывает все запросы и не отличает локальные запросы от запросов сетевых клиентов. То есть, серверу все равно, чей запрос обрабатывать.

Коллективные вычисления

Существуют полностью сетевые операционные системы. В них и по-ставщик и получатель сервиса владеют информацией друг о друге, и координи-руют свои усилия для оптимального использования служб. Компьютеры, участ-вующие в коллективных вычислениях, разделяют все свои ресурсы с другими компьютерами. Например, один компьютер может начать процесс на другом компьютере. При использовании коллективных вычислений стираются границы между сервисом и клиентом.

Заключение

На прикладном уровне реализуются все сетевые службы. Вы уже изуча-ли сетевые службы (повторить): файловые службы, службы печати, службы пе-редачи сообщений, средства приложений, средства баз данных. Соответственно прикладной уровень осуществляет две функции: объявление служб и обеспече-ние доступности служб.

Контрольные вопросы

1. List five types of Application layer implementations (kind of services).

2. Name the two topics that must be addressed to use Application layer im-plementations.

3. Which type of service use method does the following statement describe?

Software intercepts requests before they reach the local operating system, identifies which requests are meant for network services, and sends out a request for the specific network service.

a. Active

b. Collaborative

c. DOS requestor

d. Remote operation

e. OS call interception

4. By way of comparison, what type of service advertisement is used by tele-vision commercials?

a. Active

b. Passive

1. File, print, message, application, and database services.

2. Service advertisement and use.

3. E.

4. A.

Star InactiveStar InactiveStar InactiveStar InactiveStar Inactive
Тема 10. Сеансовый уровень OSI

 

Понятие уровня сеанса OSI. Управление сеансом: установление связи, передача данных, освобождение связи. Методы ведения диалога: симплексный, полудуплексный, дуплексный.

Введение

Мы изучили транспортный уровень, который уже мог передавать данные между сервисами компьютера. Таким образом он скрывает особенности инфраструктуры сети от более высоких уровней. Также на транспортном уровне наиболее полным образом реализуются функции обслуживания соединений и транспортный уровень отвечает за надежную доставку пакетов.

Сейчас две службы, одна из которых является сервером а другая клиентом, могут передавать информацию друг другу используя транспортный уровень. Но для правильной интерпретации информации службам необходимо знать когда начинать передачу информации, как синхронизировать эту передачу и когда ее заканчивать.

Представьте что вы встретили на улице знакомого и желаете завязать с ним разговор. Вы знаете его имя, ваши слова будут ему понятны и ваша речь – разборчива. Но вы будете использовать определенные правила разговора – вести беседу по очереди, использовать одинаковый язык.

Поэтому для управления сеансами, то есть диалогами между конечными сервисами и используется сеансовый уровень. На этом уровне происходит установление диалога, управление диалогом и синхронизация.

{Также обычно транспортный уровень обеспечивает более высокие уровни информацией об имеющихся в сети службах. }

Следующая таблица отражает темы, изучаемые на сеансовом уровне OSI.

Уровень OSI Темы Методы

Session Управление диалогом (Dialog control) Симплексный (Simplex)

Дуплексный (Full-duplex)

Полудуплексный (Half-duplex)

Управление сеансом (Session administration) Установление соединения (Connection establishment)

Передача данных (Data transfer)

Завершение соединения (Connection release)

Управление диалогом

Существует три различных способа управления диалогом, которые оговаривают направление передачи данных. Это сиплексный, дуплексный и полудуплексные способы. По способу управления диалоги обычно имеют такое же название (симплексный, дуплексный и полудуплексный диалог).

Симплексный диалог

Симплексный метод предусматривает передачу информации только в одном направлении. Таким образом, только одно устройство может вести передачу. Передающее устройство не может принимать информацию, а принимающие устройства не могут ее передавать. Для передачи может использоваться вся полоса частот.

В следующей таблице перечислены преимущества и недостатки симплексного метода

Преимущества Недостатки

Сравнительно дешевое оборудование Передача информации только в одном направлении

Для передачи может использоваться вся полоса частот – нет конкуренции

Возможность радиопередачи на большое пространство

Полудуплексный диалог

В полудуплексном диалоге устройства могут как передавать так и принимать информацию, но в любой момент времени только одно устройство может вести передачу. Если устройство передает информацию, то в этот момент оно не может ее принимать. Для передачи может использоваться вся полоса частот. Для передачи информации другие устройства должны освободить канал.

Полудуплексный диалог осуществляют обычные гражданские рации и некоторые сетевые протоколы.

В следующей таблице перечислены преимущества и недостатки полудуплексного метода

Преимущества Недостатки

Возможность как приема так и передачи Требуется относительно более дорогое оборудование чем в симплексном методе

Задержки на переключение направления передачи информации приводят к неэффективному использованию полосы частот

Дуплексный диалог

При использовании дуплексного диалога оба устройства могут одновременно принимать и передавать информацию. Обычно для реализации дуплексного диалога требуется два логических или физических канала – один для передачи, другой для приема. Пример дуплексной связи – обычная телефонная линия.

В следующей таблице перечислены преимущества и недостатки дуплексного метода

Преимущества Недостатки

Оба устройства могут вести одновременный прием и передачу Более дорогое по сравнению с другими методами оборудование

Требует дополнительную пропускную способность

Управление сеансом (session administration)

Как уже говорилось, на сеансовом уровне происходит установление диалога, управление диалогом и синхронизация. Для более подробного рассмотрения разобьем управление сеансом на три задачи:

- установление соединения (connection establishment)

- передача данных (data transfer)

- завершение соединения (connection release).

Установление соединения

Как следует из названия, данный этап отвечает за начало сеанса. Для успешного установления соединения необходимо:

- произвести идентификацию: проверить имя пользователя и пароль пользователя

- определить CID (идентификатор подключения)

- определить какие службы требуются и на какое время

- согласовать, кто начнет передачу первым

- скоординировать управление потоком и согласовать параметры протоколов

Передача данных

На этапе передачи данных происходит обмен информацией. При передаче данных выполняются следующие задачи:

- передача данных

- подтверждение принятия данных (или негативное подтверждение(

- восстановление прерванного соединения

Завершение соединения

После передачи данных соединение необходимо завершить. (Как можно завершить соединение? По телефону – как происходит. А если один человек случайно повесит трубку?) Соответственно завершение может быть произведено по согласованию обеих сторон или в связи с потерей связи. Потеря связи регистрируется при неполучении ожидаемого подтверждения. Сеанс может быть восстановлен или начат заново. (Представьте что на FTP произошел обрыв файла. Можно скачать заново, а можно продолжить с прерванного места).

Заключение

Сеансовый уровень OSI позволяет устанавливать и поддерживать диалоги между службами. На сеансовом уровне рассматриваются такие темы как управление диалогом и управление сеансом.

Контрольные задания

1. Define the basic purpose of the OSI Session layer.

2. Describe the difference between simplex, half-duplex, and full-duplex dialog.

3. Which two subtasks are related to connection establishment? (Choose two.)

a. Acknowledging data receipt

b. Verifying user login names and passwords

c. Resuming interrupted communications

d. Agreeing which services are required and for what duration

Ответы

1. Session layer implementations facilitate communications between service requestors and providers by establishing, maintaining, synchronizing, and managing dialog between communicating entities.

2. Simplex dialog allows communications on the transmission channel to occur in only one direction. Half-duplex dialog allows communications on the transmission channel to occur in both directions, but only one direction at a time. Full-duplex dialog allows communications on the transmission channel to occur in both directions simultaneously.

3. B and D.

Недавно добавили

12 October 2011