Ім'я файлу: Турега М.Л., К.П..docx
Розширення: docx
Розмір: 1145кб.
Дата: 31.10.2022
скачати
Пов'язані файли:
История болезни гинекология.docx
ЛР1.docx
Тренінг подолання стресових ситуацій.docx
Використання радіоактивних ізотопів, як індикаторів у тваринницт
Розширення: docx
Розмір: 1145кб.
Дата: 31.10.2022
скачати
Пов'язані файли:
История болезни гинекология.docx
ЛР1.docx
Тренінг подолання стресових ситуацій.docx
Використання радіоактивних ізотопів, як індикаторів у тваринницт
1.3.2.2 Транспортний рівень – забезпечує зв’язок між кінцевими вузлами мережі. Протокол ТСР використовують при передаванні великих обсягів інформації, а також при необхідності забезпечити високу надійність передавання даних. Він керує потоками даних, розбиває отримані повідомлення на окремі сегменти, виконує їх нумерацію, формує контрольні суми і передає на мережевий рівень. При цьому протокол ТСР перед тим, як передати сформовані сегменти встановлює з адресатом логічний зв’язок та контролює процес обміну з ним даними, вимагає підтвердження отримання даних. При отриманні пакетів з мережевого рівня впорядковує їх за номерами, перевіряє на наявність помилок і формує запити на втрачені пакети.
1.3.2.3 Рівень міжмережевої взаємодії – забезпечує адресацію вузлів, формування IP-пакетів та обмін даними між кінцевими вузлами різнорідних мереж.
Поширені протоколи:
ІР – основний протокол рівня.
DHCP – протокол динамічного присвоєння адрес комп’ютерам мережі.
NAT – протокол трансляції мережевих адрес. Здійснює відправку запитів внутрішніх абонентів (intranet) у зовнішню мережу (Internet) від свого імені.
RIP – забезпечує збирання інформації про структуру об’єднаної мережі, наявні маршрутизатори та зв’язки між ними, будує таблиці маршрутизації.
ICMP – формує керуючі повідомлення про неполадки в роботі апаратно-програмного забезпечення мережі та помилки, що виникли при передаванні даних.
ARP – протокол визначення МАС-адреси хоста на основі його ІР-адреси.
RARP – протокол визначення ІР-адреси хоста на основі його МАС-адреси.
1.3.2.4 Рівень мережевих інтерфейсів – забезпечує передавання інформації в межах локальної мережі. Здійснює інкапсуляцію ІР-пакетів в кадри мережевої технології (Ethernet, Token Ring, FDDI) та передавання їх адресатам внутрішньої мережі або маршрутизатору. Отримує дані з неоднорідних локальних і глобальних мереж та передає їх рівню міжмережевої взаємодії.
1.3.3 Версії протоколу ІР технології ТСР/ІР:
1.3.3.1 IPv4 – згідно протоколу адреса має довжину 32 біти (4 байти), поділених для зручності на чотири октети, [В4.В3.В2.В1]. IP-адреса може бути записана як у двійковому, так і у десятковому форматах.
ІР-адреса [B4.B3.B2.B1] містить ідентифікатор мережі та ідентифікатор хоста [ІМ/ІВ]. Ідентифікатор мережі є спільним для всіх вузлів цієї мережі.
Ідентифікатор вузла являє собою номер конкретного вузла в цій мережі.
Поділ ІР-адреси на ідентифікатор мережі та ідентифікатор вузла в протоколі ІРv4 може здійснюватися як шляхом поділу адрес за класами, так і за допомогою масок. Хости, які використовують протокол IPv4, не можуть взаємодіяти з хостами, які використовують протокол IPv6, оскільки підтримується лише зворотня сумісність.
1.3.3.2 IPv6 – протокол, окрім розширення адресного простору (128 біт/ /16 байт) забезпечує вищу достовірність і конфіденційність інформації та підтримку більшого числа фільтрів.
1.4 Види адресації абонентів мережі
Три схеми адресації абонентів:
1.4.1 Символьна (доменна) адреса – це адреса, що не прив'язана до конкретного комп’ютера, вона присвоюється певній групі користувачів, і несе смислове навантаження. Наприклад, логін електронної пошти користувача або ім’я сайту. Заміну даної адреси на ІР здійснює служба DNS яка працює на протоколі ТСР/ІР.
1.4.2 Апаратна (МАС) адреса – це адреса вузла мережі. Вона є унікальною і присвоюється мережевому адаптеру фірмою-виробником у вигляді 16-кового коду, 00:А1:2С:АВ:31:00. Заміну даної адреси на ІР здійснює служба DNS яка працює на протоколі ТСР/ІР.
1.4.3 Числова (ІР) адреса – використовується для передавання даних в мережі до складу якої входять побудовані за стандартами різних технологій різнорідні мережі. Призначення ІР-адрес комп'ютерам мережі здійснюється службою динамічного присвоєння адрес (DHCP).
1.4.3.1 Поділ ІР-адрес за класами, особливі ІР-адреси:
В протоколі IPv4 існує п'ять класів IP-адрес: A, B, C, D, E. Клас визначає, які байти ІР-адреси [B4.B3.B2.B1] відносяться до ідентифікатора мережі, а які - до ідентифікатора вузла. Клас також визначає максимально можливе число вузлів у даній мережі.
Класи IP-адрес:
Клас А: [B4] – ідентифікатор мережі, [В3.B2.В1] - ідентифікатор вузла.
Клас В: [B4.В3] – ідентифікатор мережі, [B2.В1] - ідентифікатор вузла.
Клас С: [B4.В3.B2] – ідентифікатор мережі, [В1] - ідентифікатор вузла.
Клас D: особлива, групова адреса (multicast).
Клас E: зарезервований для майбутнього використання.
Спеціальні ІР-адреси:
[0.0.0.0] – даний вузол у даній мережі.
[255.255.255.255] – обмежена широкомовна адреса (limited broadcast), всі вузли даної мережі, в якій знаходиться відправник пакету.
[127.0.0.0] – ІР-адреса з ідентифікатором мережі "127", шлейфова адреса (loopback) і використовується для тестування. Такі ІР-адреси заборонені для присвоєння мережі.
Приклади запису ІР-адреси:
ІР: X.X.Y.Y
ІМ: X.X.0.0 – мережа за вказаною адресою.
ІВ: 0.0.Y.Y – адреса хоста у даній мережі.
Br: X.X.255.255 – широкомовна адреса хостів у мережі X.X.0.0.
1.4.3.2 Поділ ІР-адрес за масками:
Якщо в парі з ІР-адресою використовується маска, то поділ адреси на ідентифікатор мережі та ідентифікатор вузла відбувається не за класовою ознакою, а за маскою. Маски порівняно з класами дозволяють більш гнучко поділити ІР-адресу на ідентифікатор мережі та ідентифікатор вузла.
Маски в ІР-мережах використовують для поділу ІР-адреси на ідентифікатор мережі та ідентифікатор вузла, структуризації мережі, тобто поділу мережі на підмережі, визначення в якій мережі (внутрішній/зовнішній) знаходиться отримувач пакету.
Сучасні маршрутизатори у парі з ІР-адресою використовують маски. У двійковому форматі маска містить одиниці у тих розрядах, які займає ідентифікатор мережі. Якщо маска містить «1» у розрядах, які належать ідентифікатору мережі певного класу, то вона носить назву маска за замовчуванням (МЗ).
Маски за замовчуванням у двійковому і десятковому форматах:
Клас А: МЗ: 11111111 00000000 00000000 00000000; 255.0.0.0;
Клас В: МЗ: 11111111 11111111 00000000 00000000; 255.255.0.0;
Клас С: МЗ: 11111111 11111111 11111111 00000000; 255.255.255.0;
1.4.3.3 Недоліки IPv4, структуризація мережі:
Версії IPv4 протоколу IP властивий ряд недоліків, пов’язаних із класовістю IP-адрес. Наприклад, якщо мережа дуже велика (клас А), то:
По-перше, існуючі на сьогодні LAN-технології не в стані забезпечити таку велику кількість хостів в одній мережі.
По-друге, це є недоцільно, бо широкомовний трафік зробить цю мережу непрацездатною.
По-третє, можливі ситуації, коли є залишки невикористаних IP-адрес або виділеного блоку IP-адрес може не вистачити у зв’язку із збільшенням кількості хостів у мережі.
Рішенням цих проблем є структуризація комп’ютерної мережі шляхом її ділення на підмережі (subnetting) та об’єднання мереж (supernetting). При діленні мережі на менші частини – підмережі (subnets) ці підмережі будуть з’єднуватись між собою за допомогою маршрутизаторів.
Підмережа – це фізичний сегмент TCP/IP-мережі, в якому використовується IP-адреси зі спільним ідентифікатором підмережі. В організаціях підмережі застосовують для об’єднання декількох фізичних сегментів в одну логічну мережу. Для ділення мережі на декілька підмереж необхідно використати різні ідентифікатори мережі для кожної новоутвореної частини цієї мережі.
Використання підмереж має ряд переваг:
Можливість сумісно використовувати різні мережеві технології.
Можливість подолати існуючі обмеження, наприклад, на максимальну кількість вузлів в одному сегменті.
Можливість зменшити навантаження на мережу, перенаправляючи мережевий трафік і зменшуючи кількість широкомовних пакетів.
1.5 Демілітаризована зона (DMZ)
DMZ (демілітаризована зона) - технологія забезпечення безпеки внутрішньої мережі при наданні доступу зовнішнім користувачам до певних ресурсів внутрішньої мережі. При застосуванні даної технології сервери, що відповідають на запити із зовнішньої мережі, знаходяться в особливому сегменті мережі (DMZ), а доступ до основних ресурсів мережі обмежений за допомогою брандмауера (firewall / Мережевий екран).
Основними завданнями мережевого екрану є:
Контроль доступу зі зовнішньої мережі в DMZ.
Контроль доступу з внутрішньої мережі в DMZ.
Дозвіл або контроль доступу з внутрішньої мережі в зовнішню.
Заборона доступу напряму зі зовнішньої мережі у внутрішню.
У деяких випадках для організації DMZ достатньо програмних засобів маршрутизатора або навіть проксі-сервера. Серверам в DMZ, при необхідності, можна обмежити можливість з’єднуватися з вузлами внутрішньої мережі. Доступ в DMZ зі зовнішньої мережі також може обмежуватися, щоб зробити DMZ більш безпечною для розміщення у ній певних серверів. На серверах в DMZ повинні виконуватися лише необхідні програми, непотрібні відключаються або взагалі видаляються.
Для створення мережі з DMZ може бути використаний один МЕ, що має мінімум три мережевих інтерфейса: один - для з’єднання з провайдером (WAN), другий - з внутрішньою мережею (LAN), третій - з DMZ. Подібна схема дешевша в реалізації, однак висуває підвищені вимоги до обладнання та адміністрування: firewall повинен опрацьовувати весь трафік, що йде як в DMZ, так і у внутрішню мережу. При цьому він стає єдиною точкою відмови, а в разі його злому або помилки в налаштуваннях внутрішня мережа виявиться вразливою безпосередньо ззовні.
У конфігурації з двома МЕ, DMZ підключається до двох маршрутизаторів, один з яких обмежує з’єднання зі зовнішньої мережі в DMZ, а другий - контролює з’єднання з DMZ у внутрішню мережу. Подібна схема дозволяє мінімізувати наслідки злому будь-якого з МЕ або серверів, що взаємодіють зі зовнішньою мережею - до тих пір, поки не буде зламаний внутрішній МЕ, зловмисник не матиме довільного доступу до внутрішньої мережі, а злом внутрішнього брандмауера не можливий без злому зовнішнього брандмауера.
Вищий рівень захисту можна забезпечити використовуючи два МЕ двох різних виробників і різної архітектури - це знизить ймовірність того, що обидва пристрої будуть мати однакову вразливість. Наприклад, випадкова помилка в налаштуваннях з меншою ймовірністю з’явиться в конфігурації інтерфейсів двох різних виробників, «діра» в безпеці, знайдена в системі одного виробника, з меншою ймовірністю опиниться в системі іншого. Недоліком цієї архітектури є вища її вартість.
Існує рідкісна конфігурація з трьома МЕ. У цій конфігурації перший з них приймає на себе запити зі зовнішньої мережі, другий контролює мережеві підключення DMZ, а третій контролює з’єднання внутрішньої мережі. У подібній конфігурації зазвичай DMZ і внутрішня мережа «приховані» за NAT.
1.6 Протокол динамічної конфігурації хоста (DHCP)
Протокол динамічної конфігурації хоста автоматизує процес конфігурації мережевих інтерфейсів вузлів, забезпечуючи відсутність дублювання ІР-адрес за рахунок централізованого управління їх розподілом.
DHCP широко використовується в Інтернеті для налаштування ряду параметрів і прописування IP-адрес вузлам. Окрім мереж підприємств і домашніх мереж, DHCP використовують інтернет-провайдери. З його допомогою вони налаштовують пристрої через інтернет-з’єднання. За допомогою DHCP, окрім надання IP-адреси вузлам, найчастіше передається маска мережі, IP-адреса шлюзу за замовчуванням, а також IP-адреси DNS серверів і часові параметри.
DHCP-сервером може бути відповідним чином налаштований маршрутизатор або спеціально виділений DHCP-сервер. Протокол DHCP працює згідно моделі клієнт-сервер.
1.6.1 Процес конфігурації хоста:
При запуску комп’ютера мережі відбувається пошук його IP-адреси широкомовним способом на основі поширення комп’ютером спеціального пакету DHCP DISCOVER. Пакет повинен прибути на DHCP-сервер. Якщо цей сервер не підключений до мережі безпосередньо, то він повинен бути ретрансльований маршрутизатором на DHCP-сервер незалежно від місця його розташування. Коли сервер отримує вказаний пакет, він виділяє вільну IP-адресу і відправляє її хосту за допомогою пакету-пропозиції DHCP OFFER. Для цього сервер визначає хост за його МАС-адресою, яка міститься в пакеті DHCP DISCOVER. Отримавши пакет DHCP-пропозиції, хост відправляє запит DHCP REQUEST серверу на пропоновану йому IP-адресу. Отримавши запит прийнятої хостом пропозиції (IP-адресу та інші конфігураційні параметри), сервер надсилає підтвердження параметрів пакетом DHCP PACK хосту, після чого хост автоматично налаштовує свій мережевий інтерфейс. У разі, якщо сервер не може прийняти конфігурацію хоста, він надсилає йому пакет DHCP NAK (відмова в підтвердженні), що змушує клієнта почати процес узгодження заново.
1.6.2 Режими роботи DHCP-сервера:
1.6.2.1 Ручне призначення статичних адрес:
Адміністратор, окрім пулу доступних адрес, забезпечує DHCP-сервер інформацією про жорстку відповідність IP-адрес фізичним адресам або іншим ідентифікаторам клієнтських вузлів. DHCP-сервер, користуючись цією інформацією, завжди видасть певному DHCP-клієнтові одну і ту ж призначену йому адміністратором IP-адресу, а також набір інших конфігураційних параметрів.
1.6.2.2 Автоматичне призначення статичних адрес:
У цьому режимі DHCP-сервер самостійно без втручання адміністратора довільним чином вибирає клієнтові IP-адресу з пулу наявних IP-адрес. Адреса дається клієнтові з пулу в постійне користування, тобто між ідентифікуючою інформацією клієнта і його IP-адресою, як і при ручному призначенні, існує постійна відповідність. Вона встановлюється у момент першого призначення DHCP-сервером IP-адреси клієнтові. При усіх подальших запитах сервер повертає клієнтові ту ж саму IP-адресу.
1.6.2.3 Автоматичний розподіл динамічних адрес:
При динамічному розподілі адрес DHCP-сервер надає IP-адресу клієнтові на обмежений час, що називається часом оренди. Перед закінченням терміну дії оренди, хост повинен надіслати на DHCP-сервер запит про продовження терміну користування IP-адресою. Якщо такий запит не був зроблений або в проханні було відмовлено, хост не має права надалі використовувати виданої раніше IP-адреси. Коли комп’ютер, який є DHCP-клієнтом, видаляється з мережі, призначена йому IP-адреса автоматично звільняється. При підключені комп’ютера до іншої мережі, йому автоматично призначається нова IP-адреса. Ні користувач, ні мережевий адміністратор не втручаються в цей процес. Це дає можливість повторно призначити цю саму IP-адресу іншому комп’ютеру. Режим динамічного розподілу адрес дозволяє будувати IP-мережі, кількість вузлів в якій перевищує кількість наявних у розпорядженні адміністратора IP-адрес.
Основною перевагою DHCP є автоматизація рутинної роботи адміністратора по конфігурації стеку TCP/IP на кожному комп’ютері.
DHCP-сервер повинен знаходитися в одній мережі з клієнтами, враховуючи, що клієнти надсилають йому широкомовні запити.
Для зниження ризику виходу мережі з ладу із-за відмови DHCP-сервера в мережі іноді ставлять резервний DHCP-сервер.
Також DHCP-клієнт може достроково відмовитися від виділених йому параметрів.
У випадку коли в мережі немає жодного DHCP-сервера, то його підміняє DHCP-агент, який відіграє роль посередника між DHCP-клієнтами і DHCP-серверами. Зв'язковий агент переправляє запити клієнтів з мережі без DHCP-сервера до мережі з DHCP-сервером. Таким чином, один DHCP-сервер може обслуговувати DHCP-клієнтів декількох різних мереж.
1 2 3 4 5 6 7