[ «Локальные сети. Полное руководство. Перевод с английского Криста Андэрсон с Марком Минаси Локальные сети. Полное руководство: Пер. - К.: ВЕК+, М.: ЭНТРОП, с англ.-СПб.: КОРОНА принт, 1999.— 624 с., ил. ISBN ...»
Маршрутизация всех путей посредством широковещательной передачи Маршрутизация связывающего дерева посредством широковещательной, передачи.
При использовании этих методов требуются данные о логической структуре сети.
Маршрутизация всех путей. Узел, сконфигурированный первым на указанных выше методов, начинает процесс отыскания путей путем широковещательной передачи кадров ARE (All Router Explorer — система поиска всех возможных маршрутов) или АРЕ All Path Explorer — система поиска всех возможных путей). Это почти одно и то же. Разница заключается, в основном, в том, какой термин вы чаще употребляете в разговорах по поводу методов маршрутизации по источнику — "кадры АРЕ" или "кадры ARE". Все кадры ARE для достижения места назначения используют различные пути.
Когда каждый из этих кадров проходит через мост, он добавляет к пакету следующее.
Адрес входящего кольца (incoming ring), из которого поступает пакет (напомним, что маршрутизация по источнику применяется к сетям token Ring).
Идентификаторы сегмента и моста.
Адрес исходящего кольца (outgoing ring), в которое будет направлен паки при его следовании к месту конечного назначения.
Как показано на рис. 5.16, после того как мост добавит эту информацию к пакету, он снова посылает ARE на его "столбовую дорогу". Мост преднамеренно выполняет лавинообразную маршрутизацию ARE, вследствие чего множество таких пакетов появляется во всей сети.
Этот процесс продолжается до тех пор, пока пакет ARE не прибудет в конечный пункт назначения. Таким образом, каждый пакет ARE будет включать в себя однозначно определенную информацию о пути от источника к месту назначения.
Маршрутизация связывающего дерева посредством широковещательной передачи. Метод STBR (Spanning Tree Broadcast Routing – маршрутизация связывающего дерева посредством широковещательной передачи) при поиске пути действует аналогично алгоритму STA. При этом узел генерирует кадры STE (Spanning Tree Explorer - система поиска связывающего дерева), но они направляются только в активные порты, т.е. порты, не заблокированные от передачи пакетов. Таким образом, в сети будет существовать только единственный кадр STE, направляемый по единственному, заранее определенному, пути (рис. 5.17), В сущности, это аналог алгоритма STA для сетей Token King.
Примечание Если сеть с мостами зациклилась, то мост, который послал пакет впервые, примет вслед за этим копию пакета ARE и отбросит пакет вместо его повторного направления.
Основное различие между методами STBR и STA заключается в месте их применения (STA - в сетях Ethernet, a STBR - в сетях Token Ring) и в приёмнике информации. При использовании метода STA узлы не отвечают за маршрутизацию пакетов. Она выполняется автоматически в зависимости от установленной сетевым администратором стоимости порта и приоритета.
Кадр со специальной маршрутизацией. В любом случае, когда одному узлу требуется передать данные другому сразу после перезагрузки, узел посылает их с дополнениями, требуемыми для поиска пути. Однако после того как узел примет пакеты ARE или STE, работа не завершится — посылающий узел все еще не будет осведомлен о том, каким образом пакеты достигли цели или какой путь является наилучшим.
Поэтому, когда узел получит кадр ARE или STE, он отвечает передачей так называемого кадра со специальной маршрутизацией (SRF — Specifically Routed Frame). Это значит, что передаче кадра STE соответствует единственный ответ, а передаче ARE — столько, сколько имеется кадров ARE. Каждый кадр SRF содержит информацию о маршрутах, взятую из исходного (поискового) пакета, на который он отвечает. Кадр SRF возвращается исходному отправителю кадра поиска, который, вслед за этим, вычисляет все пути, используя информацию, содержащуюся в принятых кадрах SRF, и кэширует предпочтительный путь для его использования во всех последующих передачах данных в соответствующий узел. Этот процесс показан на рис. 5.18.
Замечание Поскольку пакеты, посланные по сети при использовании метода маршрутизации по источнику, несут с собой "дорожную карту", они могут иметь различные размеры в зависимости от размера этой карты, которая, в свою очередь, может иметь длину до 18 байтов. В дорожной карте два байта отводятся для хранения информации о мосте и порте. В ней также должен быть указан адрес исходного порта. Дорожная карта может содержать описание пути длиной не более семи транзитных участков.
Метод маршрутизации по источнику при организации работы мостов используется не так часто, как метод прозрачного моста (рассматриваемый далее) или метод STA. Это обусловлено двумя причинами. Первая: как вы могли увидеть, здесь генерируется большой трафик. Вторая, быть может, более важная причина: сети Token Ring просто не имеЛокальные сети. Полное руководство ют базы данных об установленных пользователях, которая создается в сети Ethernet. Поскольку маршрутизация по источнику была создана для локальных сетей Token Ring и FDDI, более высокие требования, предъявляемые к Ethernet, приводят к меньшим требованиям к маршрутизации по источнику. Как уже упоминалось, в сравнении с методом STA маршрутизация по источнику является более гибким средством, позволяющим выбирать путь способом, подобным способу, используемому маршрутизаторами.
Организация прозрачного моста В локальных сетях Ethernet используется метод STA, в Token Ring - метод SR. При использовании STA с помощью мостов определяется, какой порт посылает пакет с данным адресом места назначения. Мосты с маршрутизацией по источнику знать не знают никаких инструкций по маршрутизации — они просто направляют пакет, используя информацию об установленном соответствии, которую посылающий узел включает в пакет.
Так могут ли локальные сети Ethernet и Token Ring взаимодействовать друг с другом или же они обречены на взаимное непонимание?
Сети с мостами, использующими один из этих двух методов, могут взаимодействовать с помощью некоего дополнительного моста, поддерживающего функционирование алгоритма связывающего дерева и протокол преобразования пакетов. Этот алгоритм определяет порты, выделенные для выполнения такого взаимодействия, и пакет, пересылаемый через это порты, будет преобразован в формат, "понятный" в сети другого типа.
Ранее в этой главе уже было описано, как работает алгоритм связывающего дерева.
При использовании описанных мостов в сети будет существовать еще один экземпляр этого дерева, работающий бок о бок со связывающим деревом, сформированным только для связей в сети Ethernet, но он не подменяет его. Каждый порт моста может быть переведён в одно из следующих состояний: заблокированное (blocking state), направляющее (forwarding state), или направляюще-преобразующее (forwarding and converting state).
Преобразование пакетов из формата сети 802.2 Ethernet в формат сети 802.2 Token Ring не вызывает затруднений. Как показано на рис. 5.19, кадры двух этих типов сетей очень близки друг к другу, за исключением того, что если кадры в сети Token Ring содержат поле информации о маршрутизации (RIF — Routing Information Field) переменной длины, то у кадров в сети Ethernet поле Length имеет постоянную длину. Это происходит потому, что оно содержит информацию, не относящуюся к маршрутизации. Когда пакет приходит на порт, находящийся в направляюще-преобразующем состоянии, поле преобразуется в формат, используемый доменом места назначения.
Примечание Если в сети Ethernet используются пакеты стандарта 802.3, а не 802.2, их обработка немного усложняется и выполняется несколько иначе. Несмотря на это идея остается в основном прежней - информация о маршрутизации пакетов (или отсутствие таковой) редактируется так, чтобы была обеспечена возможность ее передачи в сеть иного типа.
Где же транслирующие мосты получают информацию, нужную им для преобразования пакетов? Необходимая информация для этого адреса хранятся о двух базах данных.
База данных переадресации (forwarding database) содержит список адресов, доступных пакету при его направлении (переадресации). Например, запись в ней может означать:
"Чтобы достигнуть адреса 12345, надо послать пакет в порт А.". База данных RIF (Routing Information Field - поле информации о маршрутизации) содержит информацию о маршрутизации для всех рабочих станций сети, независимо от того, на какой стороне транслирующего моста (translation bridge) они находятся. В предыдущем примере запись в ней могла бы означать: "Чтобы достигнуть адреса 67890, послать пакет в порт А, затем в D, затем в С". Когда транслирующий мост узнает адрес на стороне сети, использующей метод SR, эти две записи обновляется добавлением информации по маршрутизации к базе данных RIF, а информации об адресе и порте - к базе данных переадресации.
Информация, хранимая в этих двух базах данных, не является статической: в зависимости от конфигурации моста через определенные интервалы времени стирая информация стирается и заменяется новой. Если таймер установлен, скажем, на 15 минут, то каждый раз после подтверждения адреса (например, когда транслирующий мост принимает пакет из узла с определенным адресом.) таймер, соответствующий этому адресу перезапускается. Таким образом, не все записи удаляются автоматически по мере исчерпания "срока годности". Стираются только неподтвержденные адреса.
Итак, мосты, как и ожидалось, продолжают свою работу. Со стороны сети STA пакеты передаются в направлении порта, отправляющего их в конечный пункт назначения. На стороне сети SR сохраняется "дорожная карта", которая может быть присоединена к пакетам для определения конечного места назначения. Когда кадр SR перемещается на сторону сети STA, его поле с информацией по маршрутизации удаляется, а когда кадр STA перемещается на сторону сети SR, он получает "дорожную карту" с информацией по маршрутизации.
Связь сетей с помощью маршрутизаторов Маршрутизаторы являются устройствами, работающими на сетевом уровне, которые позволяют связывать сети с широко распространенными маршрутизируемыми сетевыми протоколами. Если у вас есть удаленный доступ к Internet, то вы уже имеете некоторое представление о том, как пакеты перемещаются в маршрутизируемую сеть. Если для этого используется какая-либо версия Windows, то при конфигурировании удаленного доступа вам потребовалось указать шлюз, используемый по умолчанию. Этот шлюз фактически и является маршрутизатором. Он не посылает пакеты напрямую по их адресу, но выполняет широковещательную передачу в вашу локальную сеть. Как это будет вкратце описано далее в разделе "Шлюзы для мэйнфреймов", шлюз решает, адресован пакет узлу локальной сети, или нет. Если это так, то маршрутизатор игнорирует его. Если не так, направляет его в следующую сеть, где происходит то же самое. Так будет до тех пор, пока пакет не достигнет конечного места назначения.
Примечание Поскольку маршрутизаторы соединяют различные сети, соответствующая терминология немного усложняется. Все сети, связанные маршрутизаторами, имеют собирательное название интерсеть (internetwork), под которым можно понимать Internet в качестве наиболее известного примера.
Но вначале выясним некоторые детали. Во-первых, в данном разделе внимание сфокусировано на маршрутизации в сетях TCP/IP, поскольку это наиболее широко используемый протокол. Во-вторых, термин "маршрутизатор" относится к устройству,.выполняющему задачи, описанные далее. Этим устройством может быть черный ящик с мигающими индикаторами (аппаратный маршрутизатор), или компьютер с множеством установленных сетевых плат, работающий под управлением операционной системы типа Windows NT, поддерживающей маршрутизацию (программный маршрутизатор). В обоих случаях основные функции маршрутизатора остаются теми же.
КАК работает маршрутизатор Как показано на рис. 5.20, все связи в интерсети создаются на базе маршрутизаторов, а не на отдельных узлах. Сети же связаны мостами, в которых организация связи базируется на использовании индивидуальных адресов, а мосты предоставляют информацию, помогающую пакету достичь конечного места назначения. Каждая область сети, отделенная от других областей маршрутизаторами, называется сегментом сети.
Рассмотрим простой пример, в котором узел Argus в сегменте 1 хочет послать, данные узлу Cameron в сегменте 3. Соответствующий процесс выполняется примерно так.
1. Узел Argus выполняет широковещательную передачу данных в свой локальный сегмент, где его "слышат" все другие узлы сегмента. Его также "слышит" маршрутизатор 1, являющийся шлюзом по умолчанию для данного сегмента.
Примечание Сеть может иметь более одного маршрутизатора, подключенного к другим сетям, но один из них должен быть определен как шлюз по умолчанию, и он будет управлять передачей данных. Единственное исключение из этого правила - случай, когда шлюз по умолчанию работает некорректно. При этом в работу включается альтернативный шлюз, если, конечно, он определен.
2. Маршрутизатор 1 проверяет адрес места назначения пакета и сравнивает его с содержимым таблицы маршрутизации (routing table), содержащей список адресов, расположенных в локальном сегменте. Он спрашивает себя: "Предназначен ли этот пакет кому-либо здесь?". Если ответом будет "Нет", то маршрутизатор 1 повторно упаковывает пакет и передает его в сегмент 2 — следующий сегмент, обрабатывающий пакет типа SEP (Somebody Else's Problem - чьи-то чужие проблемы).
3. При широковещательной передаче пакета в сегмент 2, маршрутизатор 2 слышит широковещательную передачу и проверяет адрес места назначения пакета. Опятьтаки, поскольку место назначения расположено не в сегменте 2, маршрутизатор повторно упаковывает пакет и посылает его в сегмент 3.
4. В сегменте 3 происходит то же самое, но теперь маршрутизатор 3, являющийся шлюзом по умолчанию сегмента 3, находит адрес места назначения в таблице маршрутизации. С этого момента маршрутизатор 3 более не несет ответственности за судьбу пакета. Теперь выполняется широковещательная передача пакета в сегмент. Узел Cameron слышит его и забирает себе. Все счастливо завершается.
В предыдущем примере маршрутизатору было несложно сделать свой выбор. В каждом сегменте есть один маршрутизатор, соединенный с одним из других сегментов, поэтому данные могут путешествовать по прямой линии к месту назначения. Однако многие маршрутизированные сети устроены не так просто. Internet представляет собой прекрасный пример чрезвычайно сложной, маршрутизированной сети.
Следовательно, маршрутизация сложной сети требует решения двух проблем.
Если между источником и конечным местом назначения имеется несколько доступных для использования путей, по какому критерию следует выбирать один из Каким образом можно получить информацию о маршрутизации, и кто отвечает за ее хранение?
Читайте дальше, если хотите узнать, как маршрутизаторы решают эти проблемы.
Поиск наилучшего пути Одним из важных моментов работы маршрутизированной сети является управление трафиком. Ясно, что широковещательную передачу пакетов и какие-либо сегменты, не содержащие конечного места назначения,.следует выполнять с минимизацией сетевого трафика. Не будем забывать, что в каждый момент времени передавать данные в сети будут сразу несколько узлов. Лучше всего было бы найти как можно более короткий (или самый быстрый) путь, чтобы освободить сеть так скоро, как это возможно. Поэтому при клоняться от некоей средней линии, для того, чтобы скомпенсировать изменения в трафике или работоспособности сети. Этим маршрутизированные сети отличаются от сетей с мостами, в которых путь предопределяется в начале передачи данных и предназначается для использования в процессе всей передачи, независимо от того, сколько задержек в работе сети при этом возникнет. Маршрутизация является более гибким средством.
Например, пусть узел Argus пытается связаться с узлом Diana, расположенным в сети 5 (рис. 5.21). Для перехода из сети 1 в сеть 5 пакет должен пройти через маршрутизаторы 1—4.
Однако когда пакет достигает маршрутизатора 2, этот маршрутизатор может оценить ситуацию и сделать вывод: "Хорошо, я могу передавать пакет на маршрутизатор 3, но в данный момент он перегружен. Почему бы мне вместо этого не передать его прямиком на маршрутизатор 5 в надежде, что этот путь сработает?". Такой альтернативный путь (рис. 5.22) фактически включает большее число транзитных участков, но он более эффективен, чем исходный путь, поскольку пакеты не посылаются на занятый в данный момент маршрутизатор.
Этот пример показывает, что маршрутизация потенциально может для немного больше, чем организация работы мостов, поскольку она 6олее гибкая. Однако следует учесть одно простое соображение: так как каждый раз при встрече пакета с маршрутизатором необходимо определять состояние сети, то время, затраченное на это, должно быть добавлено ко времени "путешествия" пакета. Поэтому маршрутизация требует компромиссных решений. Если маршрутизатор может определить состояние сети для уменьшения излишнего сетевого трафика, или для поиска наименее занятого пути между источником и местом назначения, то все это очень хорошо, поскольку увеличит общую производительность сети. Однако возрастающее время ожидания означает, что было бы, в общем, неплохо минимизировать количество транзитных участков на пути пакета.
Кто позаботится о хранимой информации Какая информация используется при определении пути пакета к месту назначения и кто отвечает за выбор этого пути? Все зависит от сетевых установок, от средств, поддерживаемых сетью данного типа и ее оборудованием.
Информация о маршрутизации может быть получена на основании данных об узлах.
При этом исходный путь определяется информацией, хранящейся в передающем узле, или на основании данных о маршрутизаторах. Путь определяется с помощью информации, хранящейся в сетевых маршрутизаторах.
Примечание Сети TCP/IP поддерживают узловую маршрутизацию. Сети IPX/SPX ее не поддерживают.
Узловая маршрутизация. Для передачи пакета в сеть с помощью узловой маршрутизации, узел сначала должен установить соответствие имени узла (например, Argus) интерсетевому адресу (например, 12.45.2.15), используя таблицу, получаемую с сервера, хранящего список соответствия имя/адрес. В сетях TCP/IP эту таблицу предоставляет сервер DNS, (Domain Name Service - служба имен домена). Интерсетевой адрес идентифицирует сеть, в которой расположен узел места назначения, а также предоставляет индивидуальный локатор самого узла, используемый после того, как будет найдена сеть.
После того, как интерсетевой адрес будет определен, или разрешен (resolved), хосткомпьютер (host) сравнивает адреса, принадлежащие части сети, с адресом места назначения. При этом (в случае сети TCP/IP) хост-компьютер просматривает адрес места назначения через собственную маску подсети (см. гл. 3). Если источник и место назначения находятся в одной и той же сети, то источник может послать пакет в место назначения напрямую.
Если же они находятся в разных сетях, то у узла имеются две возможности.
Послать пакет маршрутизатору сети и позволить ему действовать с данной отправной точки самому.
Самому определить полный путь к сети места назначения.
В первом случае хост-компьютер посылает пакет на промежуточный маршрутизатор, выбрав его (если доступны несколько) с помощью одного из инструментов, приведенных в табл. 5.1. Хотя этот прием применяется не очень часто, но у узла имеется техническая возможность не только выбрать маршрутизатор для посылки пакета, но и указать весь путь от источника до места назначения. Такая возможность известна как маршрутизация по источнику (source routing). Например, в соответствии с протоколом IP, посылающий узел указывает весь маршрут, предоставляя все интерсетевые адреса маршрутизаторов, которые должны быть использованы. В каждом таком маршрутизаторе адрес места назначения IP-дейтаграммы будет обновляться и указывать на следующий маршрутизатор, куда дейтаграмма должна быть послана.
Статическая Каждый хост-компьютер поддер- Этот метод быстро работает, но таблица мар- живает список всех маршрутиза- для крупных интерсетей требуютшрутизации торов и тех из них, которые сле- ся большие таблицы. К тому же Динамически Объект сетей TCP/IP, включаю- Когда маршрутизаторы обнаружиобновляемая щий протокол, позволяет мар- вают лучший путь к отдельному таблица мар- шрутизаторам периодически об- месту назначения, они посылают шрутизации новлять таблицы маршрутизации сообщение узлам своей сети, похост-компьютера с помощью сво- зволяющее хост-компьютерам обих собственных таблиц новить свои таблицы Подслушива- Некоторые сети поддерживают Сети Windows NT используют для получать информацию по маршрутизации без использования Шлюз по Узел может иметь маршрутиза- Если из соображений обеспечения умолчанию тор, определённый как шлюз по надёжности работы будут опредеумолчанию, используемый для лены несколько шлюзов по умолорганизации всех интерсетевых чанию, второй шлюз будет присвязей соединён только в случае, когда Сетевой запрос Когда узел готов переслать пакет, Все маршрутизаторы в сети будут Обеспечить весь путь к каждому месту назначения в сети значительно сложнее, чем обеспечить путь к маршрутизатору, который направляет пакет по требуемому пути. Исходный узел должен либо уже знать путь и воспользоваться им, либо выполнить поиск пути, как это делается и SR организации работы мостов. Роль маршрутизаторов в этом случае аналогична мостам: они отвечают за хранение и направление пакетов, но не вносят каких-либо изменений в их путь.
Примечание Метод организации работы мостов с маршрутизацией по источнику (SR) и метод узловой маршрутизации по источнику - различные методы, поскольку маршрутизация по источнику базируется на МАС-адресах канального уровня, а маршрутизация, описанная в этом разделе, основывается на IP- и IPX-адресах сетевого уровня.
Поскольку описанная выше маршрутизация по источнику требует интенсивного трафика и работает медленно, она используется не очень часто, за исключением случаев, когда сетевой администратор пытается найти отказавший маршрутизатор, или какую-либо часть сети.
Маршрутизация, базирующаяся на маршрутизаторах. Даже при использовании маршрутизации, базирующейся на узлах маршрутизации, применяются маршрутизаторы, вовлекаемые в нее тем или иным способом. Как только пакет покидает посылающий узел, маршрутизатор становится ответственным за обеспечение прохождения пакета к месту его назначения. Если узел места назначения находится в той же сети, к которой маршрутизатор подсоединен, его работа проста - маршрутизатор адресует пакет к узлу места назначения - и все в порядке. Если же это не так, маршрутизатор должен "проконсультироваться" с таблицей маршрутизации, чтобы из "соседей" выбрать маршрутизатор к которому он подключен, и который при этом выглядит наилучшим кандидатом на передачу пакета. Маршрутизаторы строят свои таблицы в процессе своеобразного "исследования".
Использование таблиц маршрутизации Таблица маршрутизации может содержать путевую информацию, используемую для достижения как определенной сети, входящей в интерсеть, так и определенного узла интерсети. Таблица маршрутизации потенциально может также содержать информацию о маршрутизаторе по умолчанию, используемую тогда, когда недоступны другие пути. Это рукции для достижения каждого возможного места назначения в сети. Если путь не указан, используется путь, заданный по умолчанию.
Табл. 5.2. содержит информацию, которую обычно можно найти в таблице маршрутизации. Названия полей могут не соответствовать указанным в вашей таблице маршрутизации, но информация останется той же.
Если вы работаете на компьютере с установленной операционной системой Windows в сети TCP/IP, то вы сможете проверить свою таблицу маршрутизации компьютера, введя в командную строку фразу route print (табл. 5.3).
Запись Описание Network ID Если запись относится к сети, она содержит сетевой адрес; если – к отдельID-сети) ному узлу, - интерсетевой адрес этого узла Subnet mask В IP-сети поле содержит 32-битовый номер, используемый для идентифиМаска подкации подсети и отделения её от остальной части сети.
сети) Forwarding Содержит адрес, по которому должны направляться пакеты, посылаемые address данному узлу или сети, ли не содержит ничего, если узел сети подключен к (Адрес на- маршрутизатору. Может быть указан адрес как физического, так и сетевого правления) уровня Идентифицирует порт, который используется для направления пакетов лиInterface бо с применением номера (аппаратного) устройства, либо адреса сетевого (Интерфейс) Определяет степень предпочтительности отдельного маршрута. Если их (маршрутов) более одного, можно выбрать маршрут с наименьшей стоимостью. Поскольку метрика является функцией стоимости маршрута, Metric то чем меньше ее величина, тем более вероятно, что данный маршрут будет (Метрика) использован. Метрики могут быть получены одним из нескольких способов: подсчетом количества транзитных участков, расчетом задержки (являющейся функцией скорости пути или степенью его перегрузки), вычислением эффективной пропускной способности пути или его надежности Используется для маршрутов, динамически обновляемых с помощью каLifetime кой-либо информации. Указывает, как долго этот путь остается дейстВремя жиз- вующим перед тем, как он будет отменен, чтобы маршрутизатор смог рени) конфигурировать себя в соответствии с обстановкой в сети. Данным столбец может быть невидим в таблице маршрутизации Построение таблицы маршрутизации Ранее уже описывалось, как хост-компьютеры строят свои таблицы маршрутизации, и установленные для хост-компьютеров требования к маршрутизации достаточно просты. В основном, все, что требуется от хост-компьютера — это знать, где можно найти маршрутизатор, подключенный к интерсети. Чтобы маршрутизация была эффективной, маршрутизаторы должны знать друг о друге. Некоторые из них дают о себе знать всей остальной глобальной сети с помощью так называемого оповещения.
Каждый раз, когда маршрутизатор "входит" в сеть, он сообщает другим маршрутизаторам свой адрес и сети, к которым подсоединен. При этом он, по сути, говорит следующее: "Привет! Я, — Маршрутизатор А. Если вы пытаетесь получить доступ в сети 1, 2 или 3, то я могу вам помочь". После того как данный маршрутизатор выполнит широковещательную передачу этой информации другим маршрутизаторам, они добавляют эту информацию в свои таблицы. Чем больше маршрутизаторов будет включено в сеть, тем обширнее у каждого из них должна быть таблица маршрутизации (рис. 5.23).
Маршрутизаторы будут продолжать оповещать о своем присутствии через определённые интервалы времени после своего первого появления на сетевой «арене». Если возникнут какие-либо изменения в состоянии сети (например, отказ портов), то другие маршрутизаторы отредактируют свои таблицы маршрутизации, отображая изменения в логической структуре интерсети. В противном случае повторы ранее сделанных оповещений типа: «Я всё ещё Маршрутизатор А и я всё ещё могу предоставить вам доступ в сети 1, или 3» - игнорируются.
Формат и содержимое таблицы маршрутизации задаются с помощью протокола маршрутизации определённого типа, который определяет, как именно будут генерироваться таблицы маршрутизации. Протокол так же позволяет отслеживать такие «мелочи», как способ конструирования таблицы, тип хранимой в ней информации, способ взаимодействия каждого отдельного маршрутизатора с остальными. Имеется несколько алгоритмов маршрутизации, но здесь их рассмотрение ограничивается двумя примерами протоколов, наиболее часто встречающихся в глобальных сетях: RIP и OSPF.
Протокол обмена данными между маршрутизаторами (RIP – Routing Information Protocol). Это старейший протокол маршрутизации, всё ещё находящийся в употреблении. Хотя в некоторых документах он называется устаревшим, его всё ещё широко используют в маленьких сетях. Компьютеры Windows NT, сконфигурированные для маршрутизации по протоколу IP, поддерживают и RIP.
По умолчанию поддерживающие RIP-протокол маршрутизаторы каждые 30 секунд Оповещают остальную часть сети о своём текущем статусе. Маршруты данной сети (идентифицированной сетевым номером и маской подсети) при условии, что они не обновляются каким-либо другим способом, считаются действующими на период времени ожидания (тайм-аута) 180 секунд. Если время ожидания будет исчерпано, то маршрут не удаляется немедленно из таблицы маршрутизации. Должно произойти шесть обновлений перед тем как маршрут будет окончательно удалён из таблицы маршрутизации. Когда же появляется новый маршрут, он не замещает немедленно аналогичные маршруты, уже существующие в таблице маршрутизации. Если такой маршрут ещё не был определён, он будет немедленно добавлен в таблицу маршрутизации. Если в таблице маршрутизации такой маршрут уже существует, то его замена на новый задерживается на определённый интервал времени (для его подтверждения). Длительность этого интервала зависит от того, исчерпал ли этот маршрут время ожидания, или он всё ещё действующий. Обычно маршруты с одинаковой метрикой, но определяющие другой путь, не замещают существующий маршрут, пока он не исчерпает своё время ожидания.
Следовательно, маршрутизаторы не всегда оперируют новейшей информацией. Хотя это ещё не обязательно конец света, но в принципе такая ситуация далека от идеала. Задержка на подтверждение информации может быть особенно существенна при потере маршрута или при его перегруженности.
Итак, в таблице маршрутизации должны быть отражены два изменения сразу после того, как они происходят: удаление маршрута и возрастание его метрики, т.е. рост стоимости маршрута. Когда случается одно из этих событий, рассматриваемый маршрутизатор выполняет запускаемое обновление (triggered update). Запускаемые обновления содержат всю информацию, которая была изменена за время, прошедшее после последнего регулярного обновления, но, в целях экономии полосы пропускания, не содержат не изменившуюся информацию. Этим они отличаются от регулярных плановых обновлений, при которых выполняется полная широковещательная передача всей информации о маршрутизации, независимо от того, изменилась она или нет.
Все эти широковещательные передачи, обновления, запускаемые обновления приводят к возрастанию трафика. Поэтому, в современной реализации протокола RIP не выполняется широковещательная передача информации более чем одному соседнему маршрутизатору (Рис 5.24). После её выполнения обновляющие пакеты исчезают. Это не мешает маршрутизаторам, отстоящим друг от друга на расстоянии в несколько транзитных участГлава 5. Дополнительное сетевое оборудование ков, выполнить взаимное обновление таблиц, поэтому они продолжают совместно использовать свои полные таблицы маршрутизации. Однако для маршрутизатора 5 потребуется время для обновления данных в соответствии с информацией о состоянии маршрутизатора 10, поскольку обновляющая информация будет течь от маршрутизатора 10 по сети «тонкой струйкой».
Маршрутизация с предпочтением кратчайшего пути (OSPF – Open Shortest Path First). При использовании алгоритма OSPF каждый маршрутизатор в интерсети сразу после запуска объявляет о себе с помощью пакета Hello, впоследствии регулярно повторяемого. Маршрутизаторы, отдалённые на один транзитный участок, «слышат» этот пакет Hello и получают требуемые данные. Подобным образом маршрутизатор через некоторые интервалы времени объявляет свое состояние всем маршрутизаторам в интерсети, что позволяет им определить функционирующие маршрутизаторы и их загруженность.
Все остальные маршрутизаторы получают данные, характеризующие статус данного маршрутизатора и информацию о его таблице маршрутизации, после чего с помощью определенных алгоритмов, определяют свои кратчайший путь, или, точнее, путь с наименьшей стоимостью, к отдельной сети, идентифицированной сетевым номером и маской подсети. Идентификация кратчайшего пути не обязательно подразумевает детализацию всего пути. Вместо этого в ходе ее выполнения определяется указатель на маршрутизатор, который и должен обеспечить путь с наименьшей стоимостью. Если для использования доступно несколько действующих путей с одинаковой метрикой, маршрутизатор будет применять все эти пути, распределяя по ним свой трафик с целью равномерной загрузки сети. Такой способ отличается от применяемого в алгоритме RIP, при котором устанавливается только один путь от каждого источника к каждому месту назначения.
Несмотря на то, что маршрутизаторы совместно используют таблицы маршрутизации только с соседними (с ними) маршрутизаторами, свои состояния они изменяют применительно к состоянию всей сети. Для уменьшения трафика маршрутизаторы, использующие алгоритм OSPF, могут быть подразделены на группы, называемые областями (area). При этом в сети выполняется лавинообразная маршрутизация только в пределах данной области с помощью магистральных маршрутизаторов, предназначенных для пересылки таблиц маршрутизации между областями, как показано на рис, 5.25. Вторичные маршрутизаторы области подключают каждую область к магистрали, поддерживая структуру связей в виде логического дерева.
Поскольку каждый маршрутизатор предназначен только для определения кратчайшего пути к месту назначения, магистральный маршрутизатор должен поддерживать несколько версий алгоритма маршрутизации. Очевидно, что путь, кратчайший в одном случае, может не быть таковым в другом. Результаты обработки информации с помощью алгоритма передаются далее в соответствующую область.
Шлюзы для мэйнфреймов Большинству читателей этой книги, скорее всего, никогда не приходилось обеспечивать связь с мэйнфреймами, однако если вы собираетесь это далось, то знайте, что вам потребуется устройство, называемое шлюзом (gateway). Шлюзы выполняют более сложную работу, чем мосты или маршрутизаторы. Мосты просто извлекают информацию из вашего пакета, просматривают адреса источника и места назначения, и передают пакет в требуемое, место. Маршрутизаторы просматривают информацию в пакете и передают пакет от одного маршрутизатора другому, изменяя адреса канала связи источника и места назначения вдоль пути, но не изменяя никакой другой информации внутри пакета. Шлюзы могут эффективно трансформировать информацию, записанную в формате одного стандартного протокола, в формат другого. Шлюзы обрабатывают данные, переносимые между сетями, использующими в корне отличные протоколы, с помощью одного из двух способов: туннелирования и эмуляции терминала.
Связь с помощью протокола туннелирования Наиболее общим методом, требующим наименьшей загрузки процессора, является туннелирование. Оно выполняется инструментальными средствами, с помощью которых шлюз перемещает пакеты, принимая информацию из первой сети в одном формате, упаковывая ее во взаимно понятный формат и перенося в сеть, использующую другой формат. Концептуально туннелирование аналогично почтовой связи между офисами. Если вы получите служебное письмо, циркулирующее в вашем главном офисе, которое должен увидеть ваш коллега Том в каком-то филиале компании, то вы не сможете просто переслать ему по почте само письмо. Система адресации, используемая для писем (с указаГлава 5. Дополнительное сетевое оборудование ниями "Кому" и "От кого") прекрасно работает внутри офиса, но обычное почтовое отделение не будет знать, что с ним делать. Поэтому вам следует упаковать письмо в конверт, формат которого понимает и почтовое отделение, и филиал компании и вы сами. Когда письмо в конверте попадет в филиал, оно будет направлено Тому, он вскроет конверт и достанет ваше письмо.
Допустим теперь требуется послать пакет в соответствии с протоколом IPX фирмы Nowell из вашей сети, построенной на PC-компьютере, на компьютер Macintosh и сети AppleTalk. Обе сети — и NetWare, и AppleTalk — понимают TCP/IP, поэтому его можно использовать для передачи информации. Доставляя пакет IPX в сеть компьютеров Mac, сеть PC инкапсулирует пакет в "конверт" TCP/IP и посылает пакет в этой оболочке компьютеру Mac. Когда Mac его получит, он вскроет конверт TCP/IP. Заметим, что компьютер Mac все-таки должен выполнить некоторые преобразования, приводящие данные PC в понятную ему форму. Однако такое преобразование не является проблемой шлюза: раз данные перемещены из сети PC в сеть Mac, работа шлюза закончена. Принцип туннелирования показан на рис. 5.26.
Cвязь с помощью эмуляции терминала Другой метод организации работы шлюза для переноса данных называется эмуляцией терминала. Мэйнфреймы изначально не проектировались для "переговоров" с персональными компьютерами. Они предназначались для связи с "неинтеллектуальными" (dumb) терминалами. Следовательно, когда ПК требуется связаться с мэйнфреймом, он должен выдавать себя за неинтеллектуальный терминал. Существуют два метода эмуляций терминала: применение плат эмуляции и использование программ эмуляции типа Reflection или Attachmate.
Есть два способа успешной реализации эмуляции терминала в сетевом окружении:
установка в ПК плат эмуляции терминала или создание шлюзов. В первом случае на каждом ПК, которому требуется обеспечить доступ к мэйнфрейму, следует установить плату эмуляции терминала. Их конфигурирование может оказаться непростым делом. На рис.
5.27 показана установка двух коммуникационных плат в систему, для которой может потребоваться одновременный доступ и к мэйнфрейму, и к сети, что приведет к аппаратным конфликтам и зависанию. К тому же это достаточно дорого.
Альтернативный метод заключается в выделений какого-либо ПК для управления всей эмуляцией, выполняемой в сети, так что этот ПК сам становится шлюзом (gateway server). Плата (или платы) эмуляции терминала будут установлены только на этом компьютере, как показано на рис. 5.28. Пользователи будут обращаться к шлюзу и мэйнфрейму, используя программное обеспечение каждой рабочей станции.
Эмуляция терминала имеет три основных недостатка.
Она дорого стоит. Необходимо купить дополнительное оборудование и программное обеспечение, чтобы ваши ПК могли связываться с мэйнфреймами.
Она медленно работает. Всякий раз, когда одна операционная систему выдается за другую (эмулирует ее), это приводит к затратам времени.
Дополнительное оборудование и программное обеспечение будет причиной большего количества сбоев оборудования. Причина не в том, что платы эмуляции терминала более "конфликтны", чем какие-либо другие, а в том, что ваш компьютер имеет ограниченное количество прерываний и адресов DMA, доступных этим платам.
Познакомившись ближе с этими проблемами, вы, возможно, проявите интерес к использованию шлюза — выделенного компьютера, управляющего связями всех ПК с мэйнфреймом. Хотя, используя шлюз, вы и не избавитесь от этих проблем, но они будут ограничены одним компьютером, а не возникать на всех ПК, которым требуется доступ к мэйнфрейму. Компьютерам, подключенным к шлюзу, также будет необходимо программное обеспечение, но им не потребуются собственные платы эмуляции терминала.
Выводы Как вы могли заметить, сетевое аппаратное обеспечение является достаточно сложным. Но, к сожалению, без него не обойтись. Даже в простейшей сети вам часто может потребоваться концентратор для связи между отдельными узлами сети. Как только сеть станет более крупной и сложной, вам будут нужны повторители для увеличения физической протяжённости сети, а также коммутаторы для управления трафиком, связями и фильтрацией пакетов. Поэтому вы будете искать устройства с функциональными возможностями нескольких устройств, сочетающими, например, концентратор/коммутатор или мост/маршрутизатор.
Завершающей задачей создания "нервной системы" вашей сети является использование некоторых интерсетевых устройств, рассмотренных в этой главе. В гл. 6 вы познакомитесь с глобальными сетями, в которых чаще всего используются маршрутизаторы.
Упражнение 1. Вы пытаетесь связать между собой две локальные сети: Ethernet и Token Ring. Какое устройство требуется для этого использовать?
A. Прозрачный мост.
B. Маршрутизатор.
C. Мост с маршрутизацией по источнику.
2. Какие общие функциональные возможности у коммутаторов и мостов и каково их 3. Эта диаграмма иллюстрирует один из методов оповещения маршрутизатора. Каково его полное название?
Глава Общие сведения О глобальных сетях Точно так же, как локальные сети (LAN) позволяют расширить "область деятельности" отдельного компьютера глобальные сети (WAN) расширяют локальные. Глобальные связи требуются отнюдь не всем, но даже если в постоянных глобальных связях нет необходимости, их периодическое использование имеет такие достоинства.
Совместное использование информации.
Улучшенная связь с помощью электронной почты и программ оперативного планирования заданий (online schedule software).
Централизованная система архивирования и защиты файлов.
Более того, глобальные сети, практически, имеют все возможности локальных — просто они дополнительно расширяют область их действия. Польза от их применения ограничена, главным образом, скоростью работы: глобальные сети работают с меньшей скоростью, чем локальные.
В гл. 8 описывается оборудование, необходимое для создания сервера коммуникаций либо организации прямого соединения любого компьютера с внешним миром. Давайте прямо сейчас рассмотрим технологии обеспечения сетей средствами связи с внешним миром как с помощью двухточечных соединений, так и путем создания частных глобальных сетей (worldwide private networking).
Технология глобальных сетей Для описания локальных и глобальных сетей применяется схожая терминология, но для глобальных используют дополнительные, отчасти жаргонные, выражения, которые следует знать. Кроме того, отдельные понятия, применяемые при описании сети, охватывающей определенную область (штат, район, область и т.п.), имеют несколько иной смысл, чем понятия, применяемые к сетям, расположенным в пределах комнаты.
Представление данных В большинстве современных сетевых технологий при описании передачи данных используют такое понятие, как пакеты (packets), в которых содержатся данные, и адресная информация. Пакеты удобно представлять в виде обычного письма.
Конверт идентифицирует пакет как некую автономную структурную единицу в общем потоке корреспонденции и отмечает его как часть, отдельную от прочих сетевых данных.
Адресная информация идентифицирует получателя и (обычно) отправителя пакета.
В начале пакета содержится адресная информация, а собственно данные находятся в середине пакета.
Конверт - это структура пакета; он содержит данные записанные в формате, "понятном" линии связи. Точно так же, как почтовая система, использующая пакеты FedEx, не сможет обработать письма UPS Ground, в большинстве линий связи использует некоторый стандартный формат данных. Размер пакета определяется его типом. Так, в сетях с ретрансляцией кадров (Frame Relay) передаются пакеты, называемые кадрами (frames), имеющими разные размеры, а в сетях с ретрансляцией ячеек (Cell Relay), таких, как служба коммутируемой мультимегабитной передачи данных (SMDS), передают ячейки размером 53 байта.
Примечание Пакеты разных типов отнюдь не идентичны. Как вы увидите далее, в сетях с коммутацией пакетов (packet-switched network) различного типа, пакеты могут включать дополнительную информацию. Так, в пакеты стандарта X.25 вводится информация по контролю ошибок, а в Frame Relay - нет.
Так же, как и в локальных сетях, пакеты, передаваемые,по глобальной сети, для достижения места назначения необходимо снабдить некоторой адресной информацией.
Даже если выполнить широковещательную передачу пакета во все каналы глобальной сети, но в нем не указать адреса назначения, предполагаемый получатель не распознает, что пакет предназначен ему. Если требуется какое-либо подтверждение приема, то в пакет следует включить адрес отправителя. В противном случае получатель просто получит пакет, и на этом все закончится. Пакеты, не требующие подтверждения приема, называют дейтаграммами.
Примечание В большинстве современных линий связи глобальных сетей используют дейтаграммы, поскольку скорость их передачи выше, а для глобальных сетей это чрезвычайно важно. При работе по устаревшим, ненадежным линиям связи все еще используют связь с логическим соединением.
Чтобы по сети можно было передавать данные, необходим конверт и адресная информация. А вот формат передаваемых данных важен только для узла, который принимает пакет, "вскрывает конверт" и читает адресованную ему информацию.
Сравнение методов коммутации пакетов и коммутации каналов Пакеты очень важны, поскольку глобальные сети, называемые сетями с Коммутацией пакетов (packed-switched network), построены именно по принципу использования пакетов. При таком методе коммутации нужны указания о том, каким образом данным следует искать путь от источника к месту назначения, подобно методам.маршрутизации (см. гл. 5).
В сетях с коммутацией каналов (circuit-switched networks) задается статический путь от одного пункта к другому. В начале каждого сеанса передачи данных между отправителем и получателем устанавливается соединение. Этот виртуальный путь используется в течение всего сеанса. По нему следуют все данные, передаваемые отправителем. Поскольку доступен единственный путь, нет необходимости вводить в данные обширную адресную информацию — пакеты не могут затеряться. Таким образом, можно использовать пакеты меньшего размера, так как в них содержится меньший объем данных. Досадным последствием этого метода является то, что установленный виртуальный канал долГлава 6. Общие сведения о глобальных сетях жен использоваться в течение всего сеанса, даже если станет доступным другой, более эффективный путь.
Напротив, пакетная коммутация весьма напоминает маршрутизацию (см. гл. 5) тем, что между отправителем и получателем в этом случае не устанавливается виртуальный канал связи. Здесь не организуется единственный путь для данных. Сеть в этом случае можно представить себе как набор коммутируемых узлов (switching points), которые направляют данные по собственному пути. Это же предполагает и некоторую их задержку в коммутируемых узлах, поскольку в каждом таком узле должен быть определен наиболее эффективный его дальнейший путь. Конечно, по человеческим меркам задержка невелика. Однако сети с коммутацией пакетов не обеспечивают столь же высокого качества передачи в режиме реального времени, как сети с коммутацией каналов. Если вы устанавливаете голосовую связь, используя технологию IP, то учтите, что звук будет передаваться хуже, чем по линиям с коммутацией каналов. Оба метода маршрутизации сравниваются в табл. 6.1.
Содержимое Пакеты данных содержат информацию Пакеты данных содержат Быстродействие и надежность сети Нигде не сказано, что глобальная сеть должна работать медленнее локальной, однако это почти всегда так. Главным образом это обусловлено высокой стоимостью скоростных линий связи. На практике хорошее соединение глобальной сети работает на скорости около 2 Мбит/с, весьма далекой от 100 Мбит/с, доступной в современных локальных сетях Ethernet. До тех пор пока вы не потребуете от глобальной сети сделать больше, чем она может, это нельзя отнести к ее недостаткам, однако об этом следует помнить.
Быстродействие линии связи — не совсем корректная мера эффективности соединения. Реальная мера скорости сети — пропускная способность — рассчитывается с учетом двух факторов: доступной для использования полосой пропускания и сетевой скорости.
Полоса пропускания описывает ширину полосы частот или количество каналов, а также объем данных, которые можно пропустить по каналу за единицу" времени. Усиление "конкуренции" за полосу пропускания замедляет работу соединения, поскольку пакеты должны ожидать своей очереди. Это несколько напоминает движение по дороге, забитой транспортом: в зависимости от плотности движения путешествие займет у вас разное время.
Сетевая скорость (network speed) является функцией, зависящей от скорости перемещения данных по каналу. Как указано в гл. 1, скорость передачи данных зависит от среды связи. Чем лучше канал защищен от помех, тем быстрее перемещаются данные. СочеЛокальные сети. Полное руководство тание полосы пропускания с сетевой скоростью и определяет реальную пропускную способность сети.
Примечание Пропускную способность не всегда можно определить однозначно. В глобальных сетях используют как полудуплексную, так и дуплексную технологии - способы передачи пакетов, проходящих по каналу связи. При полудуплексной связи пер даются данные в единственном направлении, в то время как при дуплексной - в обоих. Для полудуплексной связи требуется большая полоса пропускания (поскольку каналы можно объединить), однако дуплексная связь более гибкая.
Другая, не менее важная, характеристика сети — надежность. Если каналы передачи данных подвержены помехам, то либо канал окажется не в состоянии управлять слишком "плотным" потоком данных, либо некоторые пакеты будут потеряны.
Кроме того, помехи могут исказить данные. Чтобы гарантировать идентичность переданных и принятых данных, необходим метод контроля ошибок. Напомним: в большинстве современных глобальных сетей передаются дейтаграммы и, следовательно, отправитель не получает подтверждения приема. Как же узнать о необходимости повторной отсылки пакета? И как исправлять ошибки? Отнюдь не во всех глобальных сетях предусмотрен контроль ошибок, однако в сетях спроектированных для передачи данных по ненадежным каналам, он используется обязательно.
Для контроля ошибок обычно используют методы, известные под общим названием контроль с использованием циклического избыточного кода (CRC - Cyclic Redundancy Checking). Прежде чем передать пакет, отправитель выполняет вычисления, основывающиеся на данных, содержащихся в пакете с помощью особого алгоритма, использующего данные и адресную информацию пакета в качестве переменных некоторого уравнения.
Алгоритм и ожидаемый результат добавляются к содержимому пакета. Когда конечный узел получает пакет, он также выполняет вычисления по этому же. алгоритму. Если полученный ответ не совпадает с помещенным в пакет, получатель отсылает сообщение об ошибке отправителю. Затем он просит повторно прислать исходный пакет. Обратите внимание: получатель не исправляет ошибки в пакете — технология CRC такого не предусматривает. Она просто позволяет получателю определить, не искажены ли поступившие данные и при необходимости запросить их повторно.
Примечание Методы CRC обеспечивают высокую надежность связи, однако, поскольку они увеличивают объем пакетов, уменьшается пропускная способность сети. Поэтому их применяют для передачи данных по сетям, надежность которых невысока, скажем, Internet и Х.25.
Сравнение методов передачи кадров и передачи ячеек В разделе "Представление данных" было упомянуто, что пакет, т.е. "конверт", используемый в глобальных сетях, может иметь формат ячейки или кадра. Как известно, в сетях разного типа используются и пакеты разных типов. Вспомните: сети Ethernet и Token Ring взаимно несовместимы, поскольку их пакеты содержат не совсем одинаковую информацию, по даже одинаковая информация организована в них по-разному. В глобальных сетях различия более глубокие. Отличия сетей Ethernet и Token Ring, в основном, относятся к способам управления трафиком (главным образом, к исключению возможности одновременной передачи двумя узлами). В глобальных сетях основное внимание уделяют проблеме наилучшего использования ограниченного объема трафика (traffic space).
Выбор определённого метода влияет на выбор типов данных для использования в конкретной среде.
Технологии формирования кадров. Основная задача технологий формирования кадров заключается в достижении максимальной пропуск поп способности в пределах доступной полосы пропускания. Идея состоит в том, что чаще всего передача данных по сети происходит не непрерывно, а "скачками", если использовать соответствующий жаргон. Это справедливо для передачи как по глобальным, так и локальным сетям. Работая за компьютером, вы не используете сеть постоянно. Большую часть сетевых данных можно сохранять или кэшировать локально — сеть используется только короткое время, причем совсем необязательно занимать всю доступную полосу пропускания.
Высокие сетевые скорости в локальных сетях делают возможным "захват" всей сети единственным пользователем на весь сеанс. Это приемлемо из-за небольшой продолжительности сеанса. Если же возникают проблемы с трафиком, есть можно сегментировать. Однако в глобальных сетях все обстоит несколько иначе. Вообще говоря, эти сети работают медленнее и по ним передается большее количество данных, чем по локальным сетям. Более того, захват всех ресурсов глобальной сети каким-либо узлом локальной, скажем, для передачи письма, совершенно неприемлем. Поэтому при формировании кадров смешивают данные, передаваемые всеми пользователями сети, в одну "кучу" и отсылают их все сразу. Когда данные поступают на другой конец сети, они сортируются и маршрутизируются по месту (местам) конечного назначения. При этом используется весь канал целиком, причем одновременно несколькими устройствами. Таким образом, эффективная полоса пропускания сети, где используется технология сборки кадров, заметно превосходит фактический размер полосы канала (т.е. полосы, которую имел бы этот канал в локальной сети).
При данном методе передачи возникает несколько, проблем. Первая: если в какой-то момент времени понадобится полоса пропускания шириной, больше доступной для использования, некоторые пакеты будут пропущены. С помощью механизма, подробнее рассмотренного далее в разделе о ретрансляции кадров, пропущенные пакеты отыскиваются и посылаются повторно. Вторая проблема: не все пакеты прибывают по месту назначения в том же порядке, что отсылались. Из этих проблем вырастает третья: данные поступают по месту назначения не в виде хорошо сглаженного потока, а в том виде, в котором они были подготовлены и отсортированы в конце путешествия по сети с формированием кадров.
В большинстве случаев это не имеет значения: сервер интерпретирует запрос на открытие файла с перепутанной последовательностью данных (scrambled order) столь же легко, как и файла в исходном формате. Однако это имеет решающее значение при работе в режиме реального времени и здесь предпочтительно использовать технологию ретрансляции ячеек.
Технология ретрансляции ячеек. Технология ретрансляции ячеек была разработана главным образом для возможно более "гладкой" передачи данных различных типов. В этом случае максимальное использование полосы пропускания отходит на второй план.
Все данные (текстовая, видео и звуковая информация и т.д.), передаваемые с ретрансляцией ячеек, разделяются на ячейки размером 53 байта и передаются по сети непрерывным потоком, причем данные, требующие передачи в режиме реального времени, являются первоочередными. Когда данные поступают в место назначения, они принимаются в том же порядке, в котором передавались.
Удаленный доступ к сети Когда вы слышите выражение "глобальная сеть", первое, что вам приходит в голову — карта, на которой показан главный офис в Чикаго и филиалы по всей стране. Однако отнюдь не все глобальные сети предназначены для связывания офисов. Иногда задачи такой связи намного скромнее — это может быть обеспечение служащего-надомника средствами обмена электронной почтой с офисом или находящегося в командировке коммивояжера доступом к базе данных заказчиков. Если все это уже есть в офисе, вы, вероятно, захотите воспользоваться такими возможностями и вне офиса.
Те, кому не по плечу создание сложной глобальной сети либо необходимы более гибкие средства, чем предоставляемые глобальной сетью с проложенными раз и навсегда кабелями, весьма полезен удаленный доступ, реализованный в той или иной форме. В настоящее время известны три основных вида организации удаленного доступа.
Удаленное присутствие в сети (удаленный доступ).
Дистанционное управление главным компьютером.
Удаленный доступ к компьютеру, работающему под управлением многопользовательской операционной системы.
Во всех этих случаях в системах организации удаленного доступа используют три общих элемента. Во-первых, на сетевом компьютере должно быть установлено программное обеспечение, позволяющее устанавливать с ним связь по телефонным линиям.
Это программное обеспечение называют серверным элементом. Во-вторых, на клиентом компьютере (выходящим на связь по телефонной линии) должно быть установлено программное обеспечение, позволяющее набрать номер и установить связь с другим компьютером. Это программное обеспечение называют клиентным элементом. В-третьих, клиент должен поддерживать, не только сетевой протокол, позволяющий связаться с сетью после установления удаленного соединения, но также и дополнительный, называемый протоколом линии связи, который нужен для соединения с сервером удаленного доступа (dial-up server). В качестве протокола линии связи обычно используют протоколы SLIP (Slip Line Protocol — протокол последовательной межсетевой связи) или РРР (Point to Point Protocol — протокол двухточечной связи). Большинство серверов поддерживают протокол РРР, поскольку он производительнее и проще в установке.
Защита в системах удалённого доступа Защита глобальных и локальных сетей подробно рассмотрена в гл. 15. В данный момент вам следует знать, что удалённое управление и удалённый доступ приводят к появлению проблем защиты, которые отсутствуют в локальных сетях. Причём это связано именно с тем, что с помощью средств удалённого доступа локальные сети могут стать частью международной и не защищённой сети. Если вам не понятно, задумайтесь: проникновение в локальную сеть, не соединённую с внешним миром, требует физического доступа к сети. Для дистанционного управления (или удалённого доступа, если на то пошло) физический доступ не нужен. Более того, физический доступ так же значительно облегчается, поскольку к локальной сети оказывается подключенной вся телефонная сеть. В этом нет ничего нового, если мы вспомним вездесущую сеть Internet, однако над этим следует задуматься. В системы удалённого доступа и дистанционного управления встроены определённый средства защиты от несанкционированного доступа, и вы обязательно должны их использовать.
Системы дистанционного управления имеют дополнительные системы защиты. Они предоставляют удаленному пользователю доступ к главному компьютеру, а также позволяют запускать на нём приложения без санкции лиц, постоянно следящих за исполнением приложений и отображением каких-либо файлов на экране. Проблемы с людьми, которые не имеют намерений подсмотреть что-либо, а просто любят отвлекаться на посторонние занятия, можно решить, отключив монитор. А вот чтобы помешать потенциальным злоумышленникам, следует использовать программное обеспечение дистанционного управления, которое всё отображает на мониторе клиентного компьютера и ничего – на главном. Эта проблема не существенна для систем удалённого доступа, поскольку в них не используется сетевой компьютер, а просто выполняется вход в сеть по особому соединению. Точно так же, это не имеет большого значения для тонкого клиента, поскольку сеанс работы пользователя не отображается на экране сервера.
Системы дистанционного управления Программное обеспечение дистанционного управления позволяет на расстоянии "захватить" компьютер (автономный или сетевой) и управлять им с помощью клавиатуры или мыши. Как показано на рис. 6.1, вся обработка данных при этом выполняется главным компьютером, а, клиентному остается только предоставить область ввода и отображать на экране то, что происходит в главном компьютере, установленном в офисе. Кроме того, программное обеспечение дистанционного управления часто используют для передачи (и синхронизации) файлов.
Как указывалось в предыдущем разделе "Защита в системах удаленного доступа", программное обеспечение дистанционного управления позволяет запустить компьютер, просто позвонив по телефону. Во время сеанса дистанционного управления щелчки мыши или нажатия клавиш передаются на сетевой (главный (host)) компьютер, а изображения на экране - на удаленный компьютер (гость).
Для дистанционного управления необязательно выполнять идентификацию в сети, однако одна из машин должна быть выделена для работы в качестве главной. Вы не можете дистанционно управлять машиной, на которой в данный момент кто-нибудь уже работает. Хотя, в принципе это возможно, но это допустимо при поиске и исправлении неполадок в компьютере. Например, можно установить на свой компьютер, а также компьютер своих родителей программное обеспечение дистанционного управления. Теперь вам будет значительно проще устранять сбои в работе электронной почты на их компьютере. Однако на дистанционно управляемом компьютере не могут одновременно работать два человека.
Программное обеспечение дистанционного управления состоит из двух частей.
Программное обеспечение дистанционного управления главной машиной, которое загружается в офисный компьютер.
Программное обеспечение дистанционного управления клиентной машиной, которое загружается в клиентный компьютер, используемый для дистанционного управления главной машиной.
Эти части не всегда отделены друг от друга. Даже если вы загрузите в оба компьютера одинаковое программное обеспечение, то будут установлены оба компонента.
Совет В некоторых пакетах допускается разделение компонентов главной машины и клиента, т.е.
их раздельная загрузка, что четко разделяет их роли. Если вам необходимо, чтобы с одного из компьютеров можно было управлять другими, но никогда - наоборот, это будет очень полезно.
После подключения к главному компьютеру, вы можете использовать его точно так же, как будто сидите перед ним. Программы для дистанционного управления обычно поддерживают передачу и даже синхронизацию файлов, с тем, чтобы вы могли автоматически обновлять файлы на клиентном компьютере. Используемые приложения не обязательно загружать на клиентную машину. Необязательна даже их поддержка. Так, вы можете запустить 32-битовую программу на клиентной машине, работающей под управлением 16-битовой операционной системы, скажем, Windows 3.x. Самое главное, чтобы клиентная машина отобразила информацию, поступающую от главной машины.
Тип соединения, используемого для дистанционного управления сетевым компьютером, не обязательно должен совпадать с применяемым для непосредственной работы на нем. Модемное соединение обычно поддерживает скорость около 40 Кбит/с. Модемы, рассчитанные на 56 Кбит/с, фактически никогда не передают данные с такой скоростью.
Это намного меньше скорости 100 Мбит/с, достижимой в локальной сети, что весьма существенно, даже если вам необходимо передавать по линии только видеоизображения и иногда - файлы. Поэтому программное обеспечение для удаленного доступа обычно поддерживает на клиентной стороне кэширование точечных рисунков (bitmap caching). Это позволяет избежать повторной загрузки изображения ранее загруженных компонентов рабочего стола главного компьютера при каждом перемещении мыши. Точно так же, чтобы избежать перегрузки файлов, программное обеспечение для дистанционного управления должно поддерживать обновление файлов, при котором (и отличие от их замены) загружаются только изменения, внесенные в файл, но не весь файл. Для текстовых файлов это несущественно, однако любой менеджер, обновляющий базу данных о клиентах с помоГлава 6. Общие сведения о глобальных сетях щью программ дистанционного управления, оценит возможность пересылки только измененных записей базы данных, а не всей базы.
Системы удаленного доступа В отличие от программы дистанционного управления, позволяющей удаленному компьютеру управлять сетевым, программное обеспечение организации удаленного доступа предоставляет непосредственный доступ в сеть с помощью процедуры удаленной идентификаций. Иными словами, клиентный компьютер сам становится частью сети, только он соединяется с ней по телефонной линии (через модем), а не кабелем "витая пара", допускающим скорость передачи до 100 Мбит/с, с которой работают остальные сетевые компьютеры (рис. 6.2). Точно так же (как если бы вы сидели за столом в офисе, расположенном за несколько миль от вас) данные загружаются с файлового сервера в память удаленного компьютера для дальнейшей обработки. Все запущенные приложения используют ресурсы клиентного компьютера.
Для организации удаленного доступа к локальной сети, вам необходимо:
программное обеспечение сервера удаленного доступа, запущенное на главном компьютере;
клиентное программное обеспечение для организации удаленного доступа, установленное на клиентном компьютере;
учетная запись в сети.
Если все это есть, то дозвонившись на сервер, входите в сервер удаленного доступа, и вы — в сети. Установив соединение, можете делать в сети все, на что имеете разрешение: редактировать файлы, принимать/отсылать электронную почту, копировать файлы и т.п. Набор прав может быть точно таким же, что при обычном входе, но может быть ограничен: например, вы можете работать только с сервером удаленного доступа, но не со всей сетью.
При дистанционном управлении количество главных и клиентных компьютеров совпадает. В то же время при удаленном доступе единственный сервер может поддерживать сотни удаленных соединений. Точное число зависит от возможностей программного обеспечения. Так, сервер удаленного доступа Windows 98 поддерживает единственное соединение, а Windows NT- до 256.
Поскольку удаленный доступ позволяет включить компьютер в сеть, поддержка программных средств, необходимых для обработки, данных возлагается на клиентную машину. Таким образом, клиент удаленного доступа должен располагать большими ресурсами, чем клиент системы дистанционного управления, который может "опираться" на ресурсы главного компьютера.
Многопользовательские соединения Прямой удаленный доступ третьего типа, приобретающий популярность в последнее время, обеспечивает соединение с многопользовательским сервером (multiuser server), позволяя запускать на нем приложения, используя тонкий клиентный протокол (thin client protocol) (рис. 6.3). Напомним: в тонкой клиентной сети приложения выполняются сервером, а результаты отображаются на экране клиентного компьютера. Как и при дистанционном управлении, щелчки кнопкой мыши и нажатия клавиш передаются на сервер и им же интерпретируются.
Все это выглядит примерно так. Сетевой сервер работает под управлением многопользовательской версии какой-нибудь операционной системы, скажем, Windows NT. Каждый тонкий клиент звонит на сервер и устанавливает соединение с ним. После этого сервер организует для данного соединения виртуальную машину, работающую под управлением Windows NT, которая используется исключительно данным клиентом. Таким образом удаленный доступ может получить большое число клиентов — ограничения на их количество налагаются только количеством лицензий, объемом требуемой памяти и тактовой частотой процессора (CPU cycles).
Такая система напоминает дистанционное управление машиной в том смысле, что в ней осуществляется удаленное выполнение приложений. С другой стороны, она напоминает удаленный доступ, поскольку клиентный компьютер (участвующий в удаленном соединении) является в некотором роде отдельной сетевой машиной. Он соединяется с сервером точно так же, как и локальный компьютер, только по телефонной линии, а не по сетевому кабелю.
Из всех трех типов удаленного доступа, я считаю этот метод самым простым. Установка и настройка системы удаленного доступа нередко вызывают затруднения, а дистанционное управление требует наличия свободной машины. В то же время тонкий клиент, установивший связь с многопользовательской версией Windows, сразу начинает работать, причем ему не нужна машина, ожидающая соединения с ним.
Конечно, недостатки есть и в этой системе. Во-первых, все это слишком дорого для случайного или эпизодического использования. Чтобы система работала, на сервере следует установить многопользовательскую версию Windows, а это стоит недешево. Машина, которая в состоянии поддерживать множество пользователей, должна иметь мощный проГлава 6. Общие сведения о глобальных сетях цессор и большую оперативную память, что также поднимает ее цену. Наконец, для каждого сеанса, организуемого на многопользовательской машине под управлением Windows, вам следует приобрести отдельную клиентную лицензию, а это в зависимости от необходимого числа лицензий существенно увеличивает расходы.
Во-вторых, не все протоколы обслуживания дисплея одинаковы. Например, терминальный сервер Windows (WTS - Windows Terminal Server) фирмы Microsoft поставляется вместе с протоколом удаленного дисплея (RDP - Remote Display Protocol). Он предназначен для загрузки изображений и приема вводимой пользователем информации во время сеанса. Однако протокол RDP работает лучше при локальном, а не удаленном входе в тонкую клиентную сеть. В принципе, он работает и во втором случае, однако регенерация изображения на экране выполняется замедленно. Более быстрый протокол, например, ICA (Internet Computing Architecture - вычислительная архитектура Internet), предоставляемый надстройкой Metaframe фирмы Citrix, отличается от него совсем немного.
Виртуальные частные сети Общий недостаток всех описанных выше методов удаленного доступа заключается в использовании для организации соединения телефонных линий. Это значит следующее.
Пакеты передаются по незащищенным сетям (подробнее о последствиях см. гл.
Если сервер и клиент удалены друг от друга на большое расстояние, то оплата телефонного соединения может быть значительной.
Для каждого соединения необходима отдельная линия.
Единственный путь обойти эти проблемы — создать виртуальную частную сеть (VPN - virtual private network) внутри другой сети, скажем, Internet. Для пользователя это будет выглядеть аналогично соединению с главной сетью (host network) (рис. 6.4). Однако в данном случае соединение туннелируется через общедоступную сеть, т.е. проходит внутри нее, но в то же время автономно (в определенной степени, — Прим, ред.) от нее.
Подробнее об этом далее, в разделе "Механизмы туннелирования".
VPN-сети можно использовать для разных целей. Отдельные пользователи могут связываться с сетью организации и использовать удаленный доступ или дистанционное управление. Можно соединить целые сети, можно даже применить VPN для соединения с отдельной машиной, чтобы использовать в сети ее ресурсы, не включая в локальную сеть саму машину.
Примечание В большинстве случаев VPN создают с помощью Internet. Это объясняется тем, что Internet самая доступная сеть общего пользования. Поэтому я буду приводить её и в дальнейших примерах. Однако в качестве магистрали VPN в принципе можно использовать любую общедоступную сеть.
Поскольку виртуальные частные сети предназначены для организации доступа к частной локальной по общедоступным сетям, к сетям VPN предъявляют строгие требования с точки зрения безопасности.
Поддержка идентификации пользователя, с тем чтобы личность пользователя можно было установить с помощью базы данных учетных записей. Кроме того, в целях защиты входы в сеть и доступ к файлам должны заноситься в файл журнала.
Клиенты виртуальной сети должны иметь адрес, используемый в частной сети, и этот адрес должен быть ограничен частной сетью.
С целью защиты информации должно поддерживаться шифрование данных. Кроме того, программное обеспечение VPN должно быть в состоянии генерировать и обновлять ключи шифрования.
VPN должна поддерживать транспортные протоколы, используемые в общедоступных сетях.
Короче говоря, сети VPN представляют собой защищенное, недорогое и простое средство, открывающее множество маршрутов для доступа к сети, причем как одному пользователю, так и целым локальным сетям, расположенным в другом месте. Единственный недостаток VPN заключается в том, что ее трафик конкурирует с остальным трафиком в общедоступной сети.
Механизмы туннелирования Как же все это работает? Вспомните: при удаленном соединении клиенты удаленного доступа и дистанционного управления используют соответствующий протокол линии связи, чаще всего — РРР. Помимо РРР, компьютеры VPN должны использовать еще один протокол для переноса данных частной сети по сети общедоступной. С этой целью используется технология туннелирования. При использовании этой технологии пакеты данной сети "укладываются" в пакеты другой. Это напоминает помещение почтового конверта в обертку из простой коричневой оберточной бумаги. "Обертка" отнюдь не предназначена для сокрытия информации: ее добавление фактически означает добавление маршрутной информации, которая необходима для отсылки исходного пакета по сети, в которой такие пакеты не поддерживаются. Когда пакет достигает места назначения, скажем, локальной сети организации, дополнительная информация "срывается" с заголовка пакета, и он предстает в исходном виде.
Зачем нужна такая инкапсуляция? Как указано в гл. 3, для передачи пакетов по сети необходимо использовать протокол, который поддерживается этой сетью. Туннелирование работает как средство "маскировки" пакетов. Например, при прохождении пакета по сети, поддерживающей протокол IP, пакеты IPX могут принять вид IP (точнее, РРР). Как только пакет покидает сеть IP и переходит в сеть, поддерживающую протокол IPX, пакет снимает маску IP и возвращает исходный формат. Для инкапсуляции и восстановления исходного формата пакетов как раз и предназначен протокол Туннелирования.
Протоколы туннелирования: настоящее и будущее Технология Туннелирования известна давно. Так, она некоторое время применялась для создания туннелей в сетях IP с помощью протоколов TCP/IP и SNA (Systems Network Architecture — системная сетевая архитектура, служащего для связи персональных компьютеров с мэйнфреймами IBM) в операционной системе NetBIOS. Приведем несколько примеров более современных протоколов туннелирования.
Протокол туннельной двухточечной связи (РРТР — Point-to-Point Tunneling Protocol).
Протокол Туннелирования 2-го уровня L2TP (Layer 2 Tunneling Protocol).
Режим защищенных туннелей IPSec (IP Security).
Работа протоколов Туннелирования на канальном и сетевом уровне несколько различается: В протоколах канального уровня предусматривается использование связи с логическим соединением. Это означает, что прежде чем выполнить Туннелирование, конечный узел должен дать согласие на создание туннеля, и задействовать совместимые средства шифрования, сжатия и прочие опции. Кроме того, возможности этих протоколов в значительной степени зависят от возможностей средств защиты, предоставляемых протоколом РРР или другим протоколом сетевого уровня. С другой стороны, протоколы туннелирования сетевого уровня не требуют обязательного создания туннеля до начала сеанса.
Напротив, они предполагают, что все приготовления уже выполнены без их участия. В основном эти протоколы предназначены для шифрования и инкапсуляции пакетов, выполняемых за счет включения дополнительных заголовков. Поэтому все узлы VPN должны использовать единый протокол сетевого уровня.
Протокол РРТР. Этот протокол можно рассматривать как проект стандартного протокола канального уровня, используемого для Туннелирования пакетов по сетям поддерживающим IP-протокол, например, Internet. И хотя его можно использовать в любых сетях, поддерживающих протоколы NetBEUI, IPX/SPX (или совместимые), TCP/IP, он спроектирован для создания интерсетей именно с протоколом IP. Для передачи данных и управляющей информации во время сеанса (session control information) протокол предусматривает использование, двух каналов. Один из них предназначен для передачи данных, второй — информации управления сеансом. С этой целью используется протокол с логическим соединением — TCP, входящий в набор протоколов TCP/IP.
Протокол РРТР распространен достаточно широко. Главным образом он используется фирмой Microsoft, однако проект стандарта разработан фирмой Ascend Communications.
Фактически же, реализация протокола, используемая Microsoft, несколько отличается от той, что предлагает рабочая группа инженеров Internet (IETF). Это объясняется тем, что фирма Microsoft усовершенствовала средства шифрования по сравнению с исходным стандартом.
Протокол L2TP. Несмотря на широчайшую поддержку, протокол РРТР постепенно вытесняется L2TP. Это скоростной протокол Туннелирования, в основе которого лежит РРТР. L2TP также относится к протоколам канального уровня. Он спроектирован для поддержки протоколов NetBEUI, IPX/SPX (и совместимых), а также TCP/IP и предназначен для использования во всех сетях, поддерживающих передачу дейтаграмм UDP (сеансы без установления логической связи), например, Frame Relay, ATM, X.25 или IP.
Как указано выше, протокол L2TP постепенно вытесняет РРТР с его позиций основного протокола. Почему? Во-первых, его поддерживает Microsoft. Современные операционные системы Windows не поддерживают этот протокол, однако в следующем поколеЛокальные сети. Полное руководство нии Windows NT поддержка предусмотрена. Даже без такой поддержки L2TP имеет потенциальные возможности стать более быстрым протоколом по сравнению с РРТР, поскольку он предусматривает одноканальные дейтаграммы UDP, а не двухканальные, используемые в РРТР. В принципах организации L2TP не предусмотрено установление логического канала связи, что уменьшает надежность протокола. Однако в настоящее время надежность имеет меньшее значение, поскольку (по крайней мере, в США), качество каналов связи значительно улучшилось и контроль ошибок уже не столь важен. Большое значение имеет преимущество пакетов UDP перед GRE, поскольку большинство брандмауэров поддерживают обработку пакетов UDP, а не GRE. Кроме того, L2TP более гибок по сравнению с РРТР, поскольку обеспечивает поддержку архитектуры большинства глобальных сетей, а не только Internet.
Примечание На конец 1998 г. стандарт протокола L2TP все еще не был выпущен. На рассмотрение IETF представлен предварительный вариант стандарта, хотя окончательный стандарт пока еще разрабатывается. РРТР вообще никогда не описывался как законченный стандарт, так что его отсутствие не препятствует распространению L2TP.
Хотя L2TP и позволяет использовать встроенные функции защиты РРР, в нем предусмотрено взаимодействие с протоколом IPSec, a PPP используется только в том случае, если этот протокол сетевого уровня недоступен.
Протокол IPSec. В то время как протоколы L2TP и РРТР относятся к числу стандартных протоколов Microsoft, протокол IPSec относится к категории "прочее", Он представляет собой протокол сетевого уровня, определяющий процедуру шифрования пакетов IP и назначения новых заголовков, с помощью которых они отсылаются по сети IP. Весь процесс идентификации выполняется с помощью сертификатов (вложений) в передаваемые данные, идентифицирующих отправителя. Компьютер, инициирующий сеанс, отсылает сертификат по общедоступной сети в место назначения. Конечный узел принимает сертификат и подтверждает его идентичность собственному сертификату. Затем два компьютера используют свои открытые ключи (public keys) или секретные ключи (private keys) чтобы определить параметры (установки) сеанса, в том числе тип шифрования и сжатия, которые должны использоваться на протяжении всего сеанса.
Как указывалось выше, для обеспечения защиты в L2TP применяется (по умолчанию) протокол IPSec. Почему нельзя просто использовать IPSec и покончить с этим?
Главным образом он необходим для поддержки удаленного доступа из различных мест.
Природная форма (native form) протокола IPSec обеспечивает защиту только на уровне машины, но не на уровне пользователя. Обратите внимание: для взаимной идентификации машины на обоих концах соединения используют сертификаты, специфические для каждой машины. Обычно в различных реализациях IPSec используются соответствующие расширения (дополнения), позволяющие идентифицировать собственно пользователей, однако они не входят в стандарт.
Для защиты на уровне пользователя необходимо использовать один из протоколов Туннелирования канального уровня, позволяющих выполнить идентификацию на уровне пользователя, а затем применять алгоритм шифрования сетевого уровня. Если пользовательская база данных компьютеров вашей VPN статична, а сетевая операционная система (NOS — networking operating system) поддерживает IPSec, рекомендуем выбрать именно этот протокол.
Примечание Если вам не совсем понятно, Что такое защита на уровне пользователя, и чем она отличается от других форм защиты, обратитесь к гл. 15.
Образец сеанса РРТР Допустим, вы хотите начать сеанс в VPN с клиентом удаленного доступа. Сеанс туннелирования (tunneling session) между компьютерами VPN начинается следующим образом.
1. В процессе работы в соответствии с РРР используется протокол управления каналом (LCP) для инициализации сеанса связи между двумя узлами VPN. LCP отвечает за выбор режима связи, а также используемые коэффициенты сжатия, однако фактически на этом этапе он не используется.
2. Клиент (узел, инициирующий соединение) представляет серверу для идентификации свои "верительные грамоты". С этой целью используется один из нескольких протоколов идентификации — это делается для того, чтобы не дать третьей стороне выдать себя за клиента или перехватить пароль. Сервер либо идентифицирует доступ клиента, либо прерывает связь, если не может его идентифицировать. При желании сервер может прервать соединение и перезвонить клиенту по предварительно заданному номеру. Это удваивает гарантию, что вызывающая сторона — именно клиент сети.
Примечание Протоколы идентификации паролей рассматриваются в гл. 14.
3. Клиентной машине назначается адрес, а также методы сжатия и шифрования данных, выбранные с помощью протокола LPC.
С этого момента связь установлена: клиент идентифицирован, все параметры сеанса выбраны и реализованы. Теперь можно без опасений начинать передачу данных.
Всегда ли использование сетей VPN предпочтительнее других методов удаленного доступа? Не обязательно. Конечно, сети VPN позволяют сэкономить деньги при передаче на дальние расстояния, однако имеют один недостаток: поскольку клиенты VPN используют в качестве среды передачи общедоступную сеть Internet наравне с множеством других пользователей, производительность сети может быть невелика. Да, ваш трафик останется тайным, но даже в своей коричневой оберточной бумаге он должен: конкурировать за полосу пропускания с трафиком остальных клиенток.
Сети с коммутацией пакетов Как указано в разделе "Сравнение методов коммутации пакетов и коммутации каналов", глобальные сети работают не так как сети локальные. Здесь мы рассмотрим два примера реализации глобальной сети, основанные на методе коммутации пакетов.
Х.25. Устаревшая технология, используемая для передачи данных по ненадежным (некачественным) сетям. Он все еще используется при работе на устаревших линиях связи.
Frame Relay. Более современная технология, предпочтительная при организации новых глобальных сетей, поскольку обеспечивает наиболее эффективное использование полосы пропускания.
Обе технологии работают во многом аналогично. Основное различие состоит в наличии дополнительной информации о контроле ошибок, включаемой в любой пакет Х. что не предусмотрено в Frame Relay.
Стандарт Х. Х.25 представляет собой протокол доступа для сетей с коммутацией пакетов, в соответствии с которым устанавливается виртуальный канал между двумя, узлами сети. Его реализация выглядит примерно так: на сетевой плате установлено несколько физических портов, каждый из которых может поддерживать множество виртуальных каналов. Когда вы посылаете пакет, он следует к месту назначения по одному из этих каналов.
По современным стандартам протокол Х.25 не слишком скоростной: скорость передачи составляет всего 64—256 Кбит/с. За пределами США этот тип глобальных сетей весьма популярен по двум причинам: в тех местах, где используется исключительно проводная связь, его можно использовать без каких бы то ни было ограничений. Кроме того, он весьма надежен, даже если сама линия связи надежностью не отличается. Поскольку связь в целом работает медленно, а, кроме того, протокол предназначен для сетей с коммутацией пакетов, он не позволяет передавать непрерывные данные, например, видеоинформацию. Однако он великолепно подходит для "пульсирующего" обмена, т.е. для передачи файлов, сообщений электронной почты и записей баз данных.
Вообще-то, стандарт Х.25 описывает не тип сети, а метод прохождения пакетов данных в глобальных сетях с коммутацией пакетов, а также прохождение той информации, которая должна сопровождать данные, Протокол Х.25 работает на трех нижних уровнях модели OSI.
Физический уровень. Х.25 предусматривает использование последовательного соединения (порта) RS-232. Поэтому все маршрутизаторы сети с протоколом Х. должны поддерживать этот тип соединений.
Канальный уровень. Данные, отсылаемые по глобальной сети, должны быть упакованы в кадры (frames) для обеспечения установки соединения.
Сетевой уровень. Выполняется одновременная передача данных и кода контроля ошибок, что гарантирует их передачу до места назначения единым блоком. Если происходят ошибки, отправитель заново отсылает данные.
Для контроля ошибок в сетях Х.25 используется информация CRC, которая включается в состав кадра. Когда кадр прибывает на другой конец сети Х.25, выполняется тест CRC. Если результат проверки не совпадает с ответом, включенным в состав кадра, получатель просит отправителя повторно переслать данные. Если ответ правильный, получатель подтверждает, что данные поступили единым блоком. В любом случае до подтверждения о получении отправитель готов "отбросить" данные.
Другой аспект надежности протокола Х.25 заключается в способности системы отслеживать ход сеанса. Во-первых, если виртуальный канал, внезапно прерывается и сеанс заканчивается, то можно зафиксировать статус сеанса на момент его окончания. Когда же виртуальный канал устанавливается вновь, сеанс можно продолжить с момента окончания, и отослать все пакеты, которые остались неотправленными после "обрыва" связи. Вовторых, в протоколе Х.25 предусмотрен механизм управления потоком информации (flow control). Он гарантирует, что абонент никогда не получит пакетов больше, чем он в состоянии обработать одновременно. Если успешное получение кадра не подтверждается, отправитель прекращает отсылку кадров до тех пор, пока не получит какое-либо подтверждение. В некоторых случаях получатель действительно может отослать явное сообщение отправителю, предлагающее прекратить передачу до особого уведомления.
Такова Х.25 — медленная, но надежная технология сетей с коммутацией пакетов.
Если же качество линии связи лучше, предпочтительнее использовать технологию ретрансляции кадров. Первоначально предполагалось, что технология Frame Relay заменит на время технологию выделенных линий связи, пока не появится что-нибудь более совершенное. Однако в конечном итоге в новых глобальных сетях она стала самой популярной технологией доступа.
Улучшение использования полосы пропускания с помощью ретрансляции кадров Ретрансляция кадров — наилучшая технология создания глобальных сетей. Почему именно ретрансляция кадров? Тому есть следующие причины.
Ретрансляция кадров хорошо известна. Эта технология существует уже много лет.
Такая технология пригодна для пульсирующей передачи данных именно того типа, который все еще используется в большинстве сетей, например, для передачи файлов.
Высокая эффективность использования полосы пропускания.
По сравнению с исходной реализацией скорость передачи в существующих версиях значительно повышена. Поэтому сети Frame Relay могут поддерживать потоки данных с высоким уровнем требований к качеству передачи.
Первоначально технология Frame Relay разрабатывалась как временное средство. Ее предполагалось использовать до завершения разработки жизнеспособной альтернативы выделенным линиям. Выделенная линия — это специальная частная линия связи для двухточечных соединений между компонентами глобальной сети (рис. 6.5). Каждому филиалу (В—Е) необходима линия связи с сервером корпорации, расположенным в офисе А.
Выделенные линии обеспечивают великолепную связь, однако (и это их единственный недостаток) чрезвычайно дороги, и чем их больше и выше скорость работы, тем выше стоимость. К тому же эти дорогостоящие линии никогда не используются постоянно, так что вам придется оплачивать немалую часть бесполезной (незанятой) полосы пропускания. Более медленные линии связи дешевле, но в этом случае вас ждут проблемы с производительностью.
Территория Соединенных Штатов охвачена высокоскоростной проводной сетью.
Почему бы не дать доступ людям к ее части совместно с прочими подписчиками, чтобы эффективнее использовать полосу пропускания? Именно в этом и состоит идея ретрансляции кадров — предоставить людям доступ к высокоскоростным линиям связи, позволяющим передавать данные с той же скоростью, что и по выделенным линиям. Однако они должны использовать их совместно, отсылая данные по виртуальным каналам, с тем чтобы два подписчика не мешали друг другу: Здесь нет физического двухточечного соединения, как в выделенных линиях, но; как показано на рис. 6.6, выглядит данное соединение точно так же. Фактически же, более эффективное использование полосы пропускания при ретрансляции кадров значительно повышает качество соединения в линиях с одинаковой пропускной способностью.
Благодаря более эффективному распределению полосы пропускания, сети с ретрансляцией кадров (frame relay networks) обеспечивают, по сравнению с выделенной линией, примерно двукратное ускорение передачи данных. Точное значение скорости зависит от фактической полосы пропускания канала. Чаще всего технология Frame Relay используется в линиях связи Т1 (1,55 Мбит/с) или 56К (56 Кбит/с), однако испытывалась она и на линиях ТЗ (45 Мбит/с). Доступность услуг со скоростями ТЗ — это вопрос из совершенно другой области, но сама технология существует.
Соперники Frame Relay Ранее уже упоминалось, что технология ретрансляции кадров первоначально рассматривалась как переходная, временно применяемая взамен технологии выделенных линий. В качестве альтернативы предполагалось использовать службу коммутируемой мультимегабитной передачи данных (SMDS – Switched Multimegabit Data Service). Технология SMDS имела множество достоинств. Она была скоростной, допускала передачу данных до 45 Мбит/с, не требовала установки логического канала связи (чем достигалась большая гибкость сети) и хорошо приспособленной для передачи потоковых данных (streaming data). С другой стороны, технология Frame Relay допускала несколько меньшую скорость, предусматривала установку логического канала связи и более всего подходила для пульсирующей передачи (bursting transmission). В конце концов, даже средства речевой связи по сетям Frame Relay всё ещё разрабатываются.
Тем не менее, технология Frame Relay победила в сражении протоколов для глобальных сетей. И не потому, что имела лучшую архитектуру, а из-за низкой стоимости. Хотя SMDS не намного дороже, чем Frame Relay (если учесть доступную полосу пропускания), однако SMDS намного дороже в абсолютном выражении. Многие полагают, что высокая скорость соединения в глобальных сетях не стоит потраченных денег, поэтому ретрансляция кадров победила по определению.
Внутри облака Технология Frame Relay предусматривает распределение полосы пропускания сети с помощью статистического мультиплексирования (statistical multiplexing). В этом случае полоса пропускания распределяется между пакетами, а не между пользователями. Различие заключается в следующем: если один канал разделяется на несколько виртуальных, то каждый из них занимает часть полосы пропускания, независимо от того, используется он, или нет. В большинстве случаев данные передаются по сети короткими пакетами, что делает использование значительной части полосы пропускания неэффективным (рис. 6.7).
Если же вместо разделения канала распределить полосу пропускания соответственно сетевому трафику, то получатель, которому необходима широкая полоса пропускания, получит ее. Кроме того, пользователи, которым не требуется широкая полоса, заполучить ее.
не смогут (рис. 6.8).
Если кадры всех подписчиков перемешаются в одной и той же сети с коммутацией пакетов, как же их рассортировать для отправки? Каждый кадр фиксируется согласно идентификатору соединения канала передачи данных (DLCI - Data Link Connection Identifier). Идентификаторы DLCI работают как "погрузочная платформа", поскольку кадры направляются не по назначенному адресу, а в место, указанное DLCI. Когда кадр туда поступает, телефонная станция (telco box), соединяющая подписчика с сетью, исследует содержимое DLCI и определяет, соответствует ли DLCI адресу, который доступен подписчику.
Если адрес доступен, пакет пересылается по конечному назначению. Если же кадр попал сюда по ошибке, он отбрасывается.
Управление перегрузкой сети Как видите, ретрансляция кадров позволяет более эффективно использовать полосу пропускания, чем разделение физического канала на множество логических. Однако переполнение канала данными имеет свои недостатки. Именно поэтому, когда сеть одновременно использует множество подписчиков, работа замедляется. Провайдеры Frame Relay предлагают линии с согласованной скоростью передачи информации (CIR — Committed Information Rate), представляющую собой среднюю пропускную способность. Вы можете, например, получить соединение с CIR, равной 50 Кбит/с, но фактически работать со скоростью 100 Кбит/с. Однако провайдер гарантирует, что ваша скорость передачи никогда не упадет ниже 50 Кбит/с. Кадры, скорость передачи которых ниже этой величины, фиксируются, и вам сообщается, что они выходят за гарантированную пропускную способность канала. При перегрузке линии, отмеченные кадры отбрасываются в первую, очередь.
Фактическое значение предлагаемой CIR зависит от качества обслуживания. В принципе, провайдер может предложить значение CIR, равное 0, что означает отсутствие любых гарантий. Это, однако, маловероятно. Как правило, чем меньше значение CIR, тем дешевле связь, но это уменьшает эффективную пропускную способность.
«