Локальні комп`ютерні мережі

1.3 Основні протоколи обміну в комп'ютерних мережах
Для забезпечення узгодженої роботи в мережах передачі даних використовуються різні комунікаційні протоколи передачі даних - набори правил, яких повинні дотримуватися передавальна і приймаюча сторони для узгодженого обміну даними. Протоколи - це набори правил і процедур, що регулюють порядок здійснення деякому зв'язку. Протоколи - це правила і технічні процедури, що дозволяють декільком комп'ютерам при об'єднанні в мережу спілкуватися один з одним.
Існує безліч протоколів. І хоча всі вони беруть участь в реалізації зв'язку, кожен протокол має різні цілі, виконує різні завдання, володіє своїми перевагами і обмеженнями.
Протоколи працюють на різних рівнях моделі взаємодії відкритих систем OSI / ISO (мал. 5). Функції протоколів визначаються рівнем, на якому він працює. Кілька протоколів можуть працювати спільно. Це так званий стек, або набір, протоколів.
Як мережеві функції розподілені по всіх рівнях моделі OSI, так і протоколи разом працюють на різних рівнях стека протоколів. Рівні в стеку протоколів відповідають рівням моделі OSI. У сукупності протоколи дають повну характеристику функцій і можливостей стека.
Передача даних по мережі, з технічної точки зору, повинна складатися з послідовних кроків, кожному з яких відповідають свої процедури або протокол. Таким чином, зберігається строга черговість у виконанні певних дій.
Крім того, всі ці дії повинні бути виконані в одній і тій же послідовності на кожному мережевому комп'ютері. На комп'ютері-відправника дії виконуються в напрямку зверху вниз, а на комп'ютері-одержувачі знизу вгору.
Комп'ютер-відправник у відповідності з протоколом виконує наступні дії: Розбиває дані на невеликі блоки, званими пакетами, з якими може працювати протокол, додає до пакетів адресну інформацію, щоб комп'ютер-отримувач коштів міг визначити, що ці дані призначені саме йому, готує дані до передачі через плату мережевого адаптера і далі - по мережевому кабелю.
Комп'ютер-одержувач відповідно до протоколу виконує ті ж дії, але тільки у зворотному порядку: приймає пакети даних з мережевого кабелю; через плату мережевого адаптера передає дані в комп'ютер; видаляє з пакету всю службову інформацію, додану комп'ютером-відправником, копіює дані з пакету в буфер - для їх об'єднання в вихідний блок, передає додатку цей блок даних у форматі, який воно використовує.
І комп'ютера-відправнику, і комп'ютера-одержувачу необхідно виконати кожну дію однаковим способом, з тим щоб прийшли по мережі дані збігалися з відправленими.
Якщо, наприклад, два протоколи будуть по-різному розбивати дані на пакети і додавати інформацію (про послідовність пакетів, синхронізації і для перевірки помилок), тоді комп'ютер, що використовує один з цих протоколів, не зможе успішно зв'язатися з комп'ютером, на якому працює інший протокол .
До середини 80-их років більшість локальних мереж були ізольованими. Вони обслуговували окремі компанії і рідко об'єднувалися у великі системи. Проте, коли локальні мережі досягли високого рівня розвитку і обсяг переданої ними інформації зріс, вони стали компонентами великих мереж. Дані, що передаються з однієї локальної мережі до іншої по одному з можливих маршрутів, називаються маршрутизованих. Протоколи, які підтримують передачу даних між мережами по декількох маршрутах, називаються маршрутизуються протоколами.
Серед безлічі протоколів найбільш поширені такі:
· NetBEUI;
· XNS;
· IPX / SPX і NWLmk;
· Набір протоколів OSI.
Більш детально кожен стек протоколів буде розглянуто в наступному розділі. [REF _Ref165810888 \ r \ h 1 ]
2 Огляд програмних засобів
2.1 Аутентифікація і авторизація. Система Kerberos
Kerberos - це мережева служба, призначена для централізованого розв'язання завдань аутентифікації та авторизації у великих мережах. Вона може працювати в середовищі багатьох популярних операційних систем. В основі цієї досить громіздкої системи лежить кілька простих принципів.
· У мережах, що використовують систему безпеки Kerberos, всі процедури аутентифікації між клієнтами і серверами мережі виконуються через посередника, якому довіряють обидві сторони аутентификационного процесу, причому таким авторитетним арбітром є сама система Kerberos.
· У системі Kerberos клієнт повинен доводити свою автентичність для доступу до кожної службі, послуги якої він викликає.
· Усе обміни даними в мережі виконуються в захищеному вигляді з використанням алгоритму шифрування.
Мережева служба Kerberos побудована за архітектурою клієнт-сервер, що дозволяє їй працювати в самих складних мережах. Kerberos-клієнт встановлюється на всіх комп'ютерах мережі, які можуть звернеться до якої-небудь мережевої служби. У таких випадках Kerberos-клієнт від імені користувача передає запит на Kerberos-сервер і підтримує з ним діалог, необхідний для виконання функцій системи Kerberos.
Отже, в системі Kerberos є такі учасники: Kerberos-сервер, Kerberos-клієнт і ресурсні сервери (рис. 6). Kerberos-клієнти намагаються отримати доступ до мережевих ресурсів - файлам, додатком, принтера і т.д. Цей доступ може бути наданий, по-перше, тільки легальним користувачам, а по-друге, за наявності у користувача достатніх повноважень, визначених службами авторизації відповідних ресурсних сервер - файловим сервером, сервером додатків, сервером друку. Проте в системі Kerberos ресурсним серверів забороняється «напряму» приймати запити від клієнтів, їм дозволяється починати розгляд запиту клієнта тільки тоді, коли на це надходить дозвіл від Kerberos-сервера. Таким чином, шлях клієнта до ресурсу в системі Kerberos складається з трьох етапів:
1. Визначення легальності клієнта, логічний вхід в мережу, отримання дозволу на продовження процесу отримання доступу до ресурсу.
2. Отримання дозволу на звернення до ресурсного сервера.
3. Отримання дозволу на доступ до ресурсу.
Для вирішення першого і другого завдання клієнт звертається до Kerberos-сервера. Кожна з цих завдань вирішується окремим сервером, що входять до складу Kerberos-сервера. Виконання первинної аутентифікації і видача дозволу на продовження процесу отримання доступу до ресурсу здійснюється так званим аутентифікаційні сервером (Authentication Server, AS). Цей сервер зберігає в своїй базі даних інформацію про ідентифікатори і паролі користувачів.
Другу задачу, пов'язану з отриманням дозволу на звернення до ресурсного сервера, вирішує інша частина Kerberos-сервера - сервер квитанцій (Ticket-Granting Server, TGS). Сервер квитанцій для легальних клієнтів виконує додаткову перевірку і дає клієнтові дозвіл на доступ до потрібного йому ресурсному сервера, для чого наділяє його електронною формою-квитанцією. Для виконання своїх функцій сервер квитанцій використовує копії секретних ключів всіх ресурсних серверів, які зберігаються у нього в базі даних. Крім цих ключів сервер TGS має ще один секретний DES-ключ, який розділяє з сервером AS.
Третє завдання - отримання дозволу на доступ безпосередньо до ресурсу - вирішується на рівні ресурсного сервера.
Вивчаючи досить складний механізм системи Kerberos, не можна не задатися питанням: який вплив чинять всі ці численні процедури шифрування та обміну ключами на продуктивність мережі, яку частину ресурсів мережі вони споживають і як це позначається на її пропускної здатності?
Відповідь досить оптимістичний - якщо система Kerberos реалізована і налаштована правильно, вона незначно зменшує продуктивність мережі. Так як квитанції використовуються багаторазово, мережеві ресурси, що витрачаються на запити надання квитанцій, невеликі. Хоча передача квитанції при аутентифікації логічного входу трохи знижує пропускну здатність, такий обмін повинен здійснюватися і при використанні будь-яких інших систем і методів аутентифікації. Додаткові ж витрати незначні. Досвід впровадження системи Kerberos показав, що час відгуку при встановленій системі Kerberos істотно не відрізняється від часу відгуку без неї - навіть у дуже великих мережах з десятками тисяч вузлів. Така ефективність робить систему Kerberos вельми перспективною.
Серед уразливих місць системи Kerberos можна назвати централізоване зберігання всіх секретних ключів системи. Успішна атака на Kerberos-сервер, в якому зосереджена вся інформація, критична для системи безпеки, призводить до краху інформаційної захисту всієї мережі. Альтернативним рішенням могла б бути система, побудована на використанні алгоритмів шифрування з парними ключами, для яких характерне розподілене зберігання секретних ключів.
Ще однією слабкістю системи Kerberos є те, що вихідні коди тих додатків, доступ до яких здійснюється через Kerberos, повинні бути відповідним чином модифіковані. Така модифікація називається «керберізаціей» додатка. Деякі постачальники продають «керберізірованние» версії своїх додатків. Але якщо немає такої версії і немає вихідного тексту, то Kerberos не може забезпечити доступ до такого додатку. [REF _Ref165810905 \ r \ h 6 ]
2.2 Встановлення та налаштування протоколів мережі
Як говорилося вище, серед безлічі протоколів можна виділити найбільш поширені.
NetBEUI - розширений інтерфейс NetBIOS. Спочатку NetBEUI і NetBIOS були тісно пов'язані і розглядалися як один протокол, потім виробники їх відособили і зараз вони розглядаються окремо. NetBEUI - невеликий, швидкий і ефективний протокол транспортного рівня, який поставляється з усіма мережними продуктами фірми Microsoft. До переваг NetBEUI відносяться невеликий розмір стека, висока швидкість передачі даних і сумісність з усіма мережами Microsoft. Основний недолік - він не підтримує маршрутизацію, це обмеження стосується всіх мереж Microsoft.
Xerox Network System (XNS) був розроблений фірмою Xerox для своїх мереж Ethernet. Його широке застосування почалося з 80 = х років, але поступово він був витіснений протоколом TCP / IP. XNS - великий і повільний протокол, до того ж він застосовує значну кількість широкомовних повідомлень, що збільшує трафік мережі.
Набір протоколів OSI - повний стек протоколів, де кожен протокол відповідає конкретному рівню моделі OSI. Набір містить маршрутизуються і транспортні протоколи, серії протоколів IEEE Project 802, протокол сеансового рівня, представницького рівня і декількох протоколів прикладного рівня. Вони забезпечують повнофункціональної мережі, включаючи доступ до файлів, друк і т.д. [REF _Ref165810888 \ r \ h 1 ]
Особливо слід зупинитися на стеку протоколів IPX / SPX. Цей стек є оригінальним стеком протоколів фірми Novell, який вона розробила для своєї мережевої операційної системи NetWare ще на початку 80-х років. Протоколи Internetwork Packet Exchange (IPX) і Sequenced Packet Exchange (SPX), які дали ім'я стеку, є прямою адаптацією протоколів XNS фірми Xerox, поширених в набагато меншою мірою, ніж IPX / SPX. За кількістю установок протоколи IPX / SPX лідирують, і це обумовлено тим, що сама ОС NetWare займає лідируюче становище з часткою установок у світовому масштабі приблизно в 65%.
Сімейство протоколів фірми Novell і їх відповідність моделі ISO / OSI представлено на рис. 7
На фізичному і канальному рівнях в мережах Novell використовуються всі популярні протоколи цих рівнів (Ethernet, Token Ring, FDDI та інші).
На мережевому рівні в стеці Novell працює протокол IPX, а також протоколи обміну маршрутною інформацією RIP і NLSP. IPX є протоколом, який займається питаннями адресації і маршрутизації пакетів в мережах Novell. Маршрутні рішення IPX засновані на адресних полях в заголовку його пакету, а також на інформації, що надходить від протоколів обміну маршрутною інформацією. Наприклад, IPX використовує інформацію, що поставляється або протоколом RIP, або протоколом NLSP (NetWare Link State Protocol) для передачі пакетів комп'ютера призначення або наступного маршрутизатора. Протокол IPX підтримує тільки дейтаграммний спосіб обміну повідомленнями, за рахунок чого економно споживає обчислювальні ресурси. Отже, протокол IPX забезпечує виконання трьох функцій: завдання адреси, встановлення маршруту та розсилку дейтаграм.
Транспортному рівню моделі OSI в стеці Novell відповідає протокол SPX, який здійснює передачу повідомлень з встановленням сполук.
На верхніх прикладному, представницькому і сеансовому рівнях працюють протоколи NCP і SAP. Протокол NCP (NetWare Core Protocol) є протоколом взаємодії сервера NetWare і оболонки робочої станції. Цей протокол прикладного рівня реалізує архітектуру клієнт-сервер на верхніх рівнях моделі OSI. За допомогою функцій цього протоколу робоча станція проводить підключення до сервера, відображає каталоги сервера на локальні букви дисководів, переглядає файлову систему сервера, копіює вилучені файли, змінює їх атрибути і т.п., а також здійснює розподіл мережевого принтера між робочими станціями.
SAP (Service Advertising Protocol) - протокол оголошення про сервіс - концептуально подібний протоколу RIP. Подібно до того, як протокол RIP дозволяє маршрутизаторам обмінюватися маршрутною інформацією, протокол SAP дає можливість мережних пристроям обмінюватися інформацією про наявні мережевих сервісах.
Сервери та маршрутизатори використовують SAP для оголошення про своїх сервісних послуги та мережевих контактах ". Протокол SAP дозволяє мережних пристроїв постійно коригувати дані про те, які сервісні послуги є зараз у мережі. При старті сервери використовують SAP для оповіщення що залишилася частини мережі про свої послуги. Коли сервер завершує роботу, то він використовує SAP для того, щоб сповістити мережа про припинення дії своїх послуг.
У мережах Novell сервери NetWare 3.x кожну хвилину розсилають широкомовні пакети SAP. Пакети SAP в значній мірі засмічують мережу, тому однією з основних завдань маршрутизаторів, що виходять на глобальні зв'язку, є фільтрація трафіку SAP-пакетів і RIP-пакетів.
Особливості стека IPX / SPX обумовлені особливостями ОС NetWare, а саме орієнтацією її ранніх версій на роботу в локальних мережах невеликих розмірів, що складаються з персональних комп'ютерів із скромними ресурсами. Тому Novell потрібні були протоколи, на реалізацію яких потрібно мінімальна кількість оперативної пам'яті і які б швидко працювали на процесорах невеликої обчислювальної потужності. У результаті, протоколи стека IPX / SPX донедавна добре працювали в локальних мережах і не дуже - у великих корпоративних мережах, тому що занадто перевантажували повільні глобальні зв'язки широкомовними пакетами, які інтенсивно використовуються декількома протоколами цього стека (наприклад, для встановлення зв'язку між клієнтами і серверами).
Ця обставина, а також той факт, що стек IPX / SPX є власністю фірми Novell і на його реалізацію потрібно одержувати у неї ліцензію, довгий час обмежували поширеність його тільки мережами NetWare. Однак до моменту випуску версії NetWare 4.0, Novell внесла і продовжує вносити у свої протоколи серйозні зміни, спрямовані на пристосування їх для роботи в корпоративних мережах. Зараз стек IPX / SPX реалізований не тільки в NetWare, але й у декількох інших популярних мережевих ОС - SCO UNIX, Sun Solaris, Microsoft Windows NT. [REF _Ref165810822 \ r \ h 8 ]
Висновки і пропозиції
За результатами виконаної роботи можна дати коротку характеристику організації локальних мереж.
По-перше, локальні мережі реалізують розподілену обробку інформації, відповідно обробка розподіляється між усіма комп'ютерами мережі, що дозволяє збільшити продуктивність комп'ютерів.
По-друге, локальні мережі бувають двох видів:
Тимчасова мережа, в якій немає єдиного центру управління взаємодією робочих станцій і немає єдиного центру для зберігання даних.