АвтоматизацСЦя доступу до каналСЦв комп'ютерних мереж

дипломная работа: Информатика, программирование

Документы: [1]   Word-103557.doc Страницы: Назад 1 Вперед

ЗмСЦст


Вступ

1. АналСЦз органСЦзацСЦСЧ передачСЦ даних по каналах комптАЩютерних мереж

1.1 АналСЦз фСЦзичноСЧ органСЦзацСЦСЧ передачСЦ даних

1.1.1 ТопологСЦя фСЦзичних зв'язкСЦв

1.1.2 ОрганСЦзацСЦя сумСЦсного використання лСЦнСЦй зв'язку

1.2 СтруктуризацСЦя каналСЦв як засСЦб побудови великих мереж

1.2.1 ФСЦзична структуризацСЦя мережСЦ

1.2.2 ЛогСЦчна структуризацСЦя мережСЦ

1.3 Висновок

2. ФСЦзична сутнСЦсть та порядок органСЦзацСЦСЧ каналСЦв комптАЩютерних мереж

2.1 Структурована кабельна система комптАЩютерноСЧ мережСЦ

2.2 Кабель кручена пара

2.3 КоаксСЦальний кабель

2.4 Оптоволоконний кабель

2.5 Висновок

3. СутнСЦсть СЦснуючих методСЦв доступу до каналСЦв комптАЩютерних мереж

3.1 Метод доступу до каналСЦв комптАЩютерних мереж з перевСЦркою несучоСЧ та виявленням колСЦзСЦй CSMA/CD

3.2 Методи подолання колСЦзСЦй

3.3 Метод маркерного доступу в локальних мережах з рСЦзною топологСЦСФю

3.4 Висновок

4. Засоби здСЦйснення авторизацСЦСЧ доступу до каналСЦв комптАЩютерних мереж

4.1 МСЦiе процесСЦв авторизацСЦСЧ доступу при органСЦзацСЦСЧ СЦнформацСЦйних систем на основСЦ комптАЩютерних мереж

4.2 Настройка мережевих служб для здСЦйснення авторизацСЦСЧ доступу до мережСЦ РЖнтернет

4.2.1 АвторизацСЦя на основСЦ логСЦна СЦ пароля

4.2.2 АвторизацСЦя через облСЦковСЦ записи Windows

4.2.3 Практичне вирСЦшення побудови системи авторизацСЦСЧ через Windows домен

4.3 ПрактичнСЦ рекомендацСЦСЧ щодо забезпечення доступу до каналСЦв комптАЩютерноСЧ мережСЦ пСЦдприСФмства

4.3.1 АвторизацСЦя доступу на фСЦзичному рСЦвнСЦ органСЦзацСЦСЧ комптАЩютерних мереж

4.3.2 АвторизацСЦя доступу на канальному рСЦвнСЦ органСЦзацСЦСЧ комптАЩютерних мереж

4.3.3 АвторизацСЦя доступу на мережевому рСЦвнСЦ органСЦзацСЦСЧ комптАЩютерних мереж

4.3.4 АвторизацСЦя доступу на транспортному рСЦвнСЦ органСЦзацСЦСЧ комптАЩютерних мереж

4.4 Висновок

Висновки


Вступ


ТСЦльки в мережСЦ з повнозвтАЩязною топологСЦСФю для з'СФднання кожноСЧ пари комп'ютерСЦв СФ окремий канал. У рештСЦ випадкСЦв неминуче виникаСФ питання про те, як органСЦзувати сумСЦсне використання каналСЦв комптАЩютерних мереж кСЦлькома комп'ютерами мережСЦ. Як завжди при роздСЦленнСЦ ресурсСЦв, головною метою тут СФ здешевлення мережСЦ.

У комптАЩютерних мережах використовують як СЦндивСЦдуальнСЦ лСЦнСЦСЧ зв'язку мСЦж комп'ютерами, так загальнСЦ подСЦлюванСЦ (shared) лСЦнСЦСЧ, коли одна лСЦнСЦя зв'язку почергово використовуСФться кСЦлькома комп'ютерами. У разСЦ застосування подСЦлюваних лСЦнСЦй зв'язку (часто використовуСФться також термСЦн подСЦлюване середовище передачСЦ даних - shared media) виникаСФ комплекс проблем, пов'язаних з СЧх сумСЦсним використанням, який включаСФ як чисто електричнСЦ проблеми забезпечення потрСЦбноСЧ якостСЦ сигналСЦв при пСЦдключеннСЦ до одного СЦ того ж дроту кСЦлькох приймачСЦв СЦ передавачСЦв, так СЦ логСЦчнСЦ проблеми роздСЦлення в часСЦ доступу до цих лСЦнСЦй.

Класичним прикладом мережСЦ з подСЦлюваними лСЦнСЦями зв'язку СФ мережСЦ з топологСЦСФю "загальна шина», в яких один кабель спСЦльно використовуСФться всСЦма комп'ютерами мережСЦ. Жоден з комп'ютерСЦв мережСЦ у принципСЦ не може СЦндивСЦдуально, незалежно вСЦд всСЦх СЦнших комп'ютерСЦв мережСЦ, використовувати кабель, оскСЦльки при одночаснСЦй передачСЦ даних вСЦдразу декСЦлькома вузлами сигнали змСЦшуються СЦ спотворюються. У токологСЦях "кСЦльце» або "зСЦрка» СЦндивСЦдуальне використання лСЦнСЦй зв'язку, що сполучають комп'ютери, принципово можливе, але цСЦ кабелСЦ часто також розглядають як подСЦлюваний ресурс мережСЦ для всСЦх комп'ютерСЦв, так що, наприклад, тСЦльки один комп'ютер кСЦльця маСФ право в даний момент часу вСЦдправляти по кСЦльцю пакети СЦншим комп'ютерам.

РЖснують рСЦзнСЦ способи рСЦшення задачСЦ органСЦзацСЦСЧ доступу до каналСЦв комптАЩютерних мереж. УсерединСЦ комп'ютера проблеми роздСЦлення лСЦнСЦй зв'язку мСЦж рСЦзними модулями також СЦснують - прикладом СФ доступ до системноСЧ шини, яким управляСФ або процесор, або спецСЦальний арбСЦтр шини. У мережах органСЦзацСЦя сумСЦсного доступу до лСЦнСЦй зв'язку маСФ свою специфСЦку через СЦстотно бСЦльший час розповсюдження сигналСЦв по довгих лСЦнСЦях, до того ж цей час для рСЦзних пар комп'ютерСЦв може бути рСЦзним. Через це процедури узгодження доступу до лСЦнСЦСЧ зв'язку можуть займати дуже великий промСЦжок часу СЦ приводити до значних втрат продуктивностСЦ мережСЦ.

Не дивлячись на всСЦ цСЦ складнощСЦ, в локальних мережах подСЦлюванСЦ лСЦнСЦСЧ зв'язку використовуються дуже часто. Цей пСЦдхСЦд, зокрема, реалСЦзований в широко поширених класичних технологСЦях Ethernet СЦ Token Ring. Проте останнСЦми роками намСЦтилася тенденцСЦя вСЦдмови вСЦд середовищ передачСЦ даних, що роздСЦляються, СЦ в локальних мережах. Це пов'язано з тим, що за здешевлення мережСЦ, що досягаСФться таким чином, доводиться розплачуватися продуктивнСЦстю.

Мережа з подСЦлюваним середовищем при великСЦй кСЦлькостСЦ вузлСЦв працюватиме завжди повСЦльнСЦше, нСЦж аналогСЦчна мережа з СЦндивСЦдуальними лСЦнСЦями зв'язку, оскСЦльки пропускна спроможнСЦсть каналу одному комп'ютеру, а при СЧСЧ сумСЦсному використаннСЦ - дСЦлиться на всСЦ комп'ютери мережСЦ.

Часто з такою втратою продуктивностСЦ миряться ради збСЦльшення економСЦчноСЧ ефективностСЦ мережСЦ. Не тСЦльки у класичних, але СЦ в зовсСЦм нових технологСЦях, розроблених для локальних мереж, зберСЦгаСФться режим подСЦлюваних лСЦнСЦй зв'язку. Наприклад, розробники технологСЦСЧ Gigabit Ethernet, прийнятоСЧ в 1998 роцСЦ як новий стандарт, включили режим роздСЦлення передавального середовища в своСЧ специфСЦкацСЦСЧ разом з режимом роботи по СЦндивСЦдуальних лСЦнСЦях зв'язку.

При використаннСЦ СЦндивСЦдуальних каналСЦв зв'язку в повнозв'язних топологСЦях кСЦнцевСЦ вузли повиннСЦ мати по одному порту на кожну лСЦнСЦю зв'язку. У зСЦркоподСЦбних топологСЦях кСЦнцевСЦ вузли можуть пСЦдключатися СЦндивСЦдуальними лСЦнСЦями зв'язку до спецСЦального пристрою - комутатору. У глобальних мережах комутатори використовувалися вже на початковому етапСЦ, а в локальних мережах - з початку 90-х рокСЦв. Комутатори приводять до подорожчання локальноСЧ мережСЦ, тому поки СЧх застосування обмежене, але по мСЦрСЦ зниження вартостСЦ комутацСЦСЧ цей пСЦдхСЦд, можливо, витСЦснить застосування подСЦлюваних лСЦнСЦй зв'язку. НеобхСЦдно пСЦдкреслити, що СЦндивСЦдуальними в таких мережах СФ тСЦльки лСЦнСЦСЧ зв'язку мСЦж кСЦнцевими вузлами СЦ комутаторами мережСЦ, а зв'язки мСЦж комутаторами залишаються подСЦлюваними, оскСЦльки по ним передаються повСЦдомлення рСЦзних кСЦнцевих вузлСЦв.

У глобальних мережах вСЦдмова вСЦд подСЦлюваних лСЦнСЦй зв'язку пояснюСФться технСЦчними причинами. Тут великСЦ часовСЦ затримки розповсюдження сигналСЦв принципово обмежують застосовнСЦсть технСЦки роздСЦлення лСЦнСЦСЧ зв'язку. Комп'ютери можуть витратити бСЦльше часу на переговори про те, кому зараз можна використовувати лСЦнСЦю зв'язку, нСЦж безпосередньо на передачу даних по цСЦй лСЦнСЦСЧ зв'язку. Проте це не вСЦдноситься до каналСЦв зв'язку типу "комутатор-комутатор». В такому випадку тСЦльки два комутатори борються за доступ до каналу мережСЦ, СЦ це СЦстотно спрощуСФ завдання органСЦзацСЦСЧ сумСЦсного його використання. Тому питання авторизацСЦСЧ доступу до каналСЦв комптАЩютерних мереж СЦ досСЦ СФ вельми актуальним.

Виходячи з цього, метою даноСЧ роботи СФ дослСЦдження засобСЦв здСЦйснення авторизацСЦСЧ доступу до каналСЦв комптАЩютерних мереж.

Для досягнення поставленоСЧ мети в роботСЦ слСЦд вирСЦшити наступнСЦ завдання:

1. Провести класифСЦкацСЦю методСЦв доступу до каналСЦв звтАЩязку в комптАЩютерних мережах.

2. ПроаналСЦзувати особливостСЦ фСЦзичноСЧ органСЦзацСЦСЧ каналСЦв комптАЩютерних мереж.

3. Детально дослСЦдити принципи СЦ суть органСЦзацСЦСЧ доступу до каналСЦв комптАЩютерних мереж з перевСЦркою несучоСЧ.

4. Детально дослСЦдити принципи СЦ суть органСЦзацСЦСЧ доступу до каналСЦв комптАЩютерних мереж на основСЦ маркеру.

5. ОбТСрунтувати технСЦчнСЦ засоби здСЦйснення авторизацСЦСЧ доступу до каналСЦв комптАЩютерних мереж.

6. ОбТСрунтувати мСЦiе процесСЦв авторизацСЦСЧ доступу при органСЦзацСЦСЧ СЦнформацСЦйних систем на основСЦ комптАЩютерних мереж.

7. ЗдСЦйснити практичну настройку мережевих служб для авторизацСЦСЧ доступу до мережСЦ РЖнтернет.

8. Розробити рекомендацСЦСЧ щодо забезпечення доступу до каналСЦв комптАЩютерноСЧ мережСЦ пСЦдприСФмства.


РоздСЦл 1. АналСЦз органСЦзацСЦСЧ передачСЦ даних по каналах комптАЩютерних мереж


1.1 АналСЦз фСЦзичноСЧ органСЦзацСЦСЧ передачСЦ даних


НавСЦть при розглядСЦ простоСЧ мережСЦ, що складаСФться всього з двох машин, можна побачити багато проблем, "астивих будь-якСЦй обчислювальнСЦй мережСЦ, зокрема проблеми, пов'язанСЦ з фСЦзичною передачею сигналСЦв по лСЦнСЦях зв'язку, без вирСЦшення якоСЧ неможливий будь-який вид зв'язку.

У обчислювальнСЦй технСЦцСЦ для представлення даних використовуСФться двСЦйковий код. УсерединСЦ комп'ютера одиницям СЦ нулям даних вСЦдповСЦдають дискретнСЦ електричнСЦ сигнали. Представлення даних у виглядСЦ електричних або оптичних сигналСЦв називаСФться кодуванням. РЖснують рСЦзнСЦ способи кодування двСЦйкових цифр 1 СЦ 0, наприклад, потенцСЦйний спосСЦб, при якому одиницСЦ вСЦдповСЦдаСФ один рСЦвень напруги, а нулю - СЦнший, або СЦмпульсний спосСЦб, коли для представлення цифр використовуються СЦмпульси рСЦзною або однСЦй полярностСЦ.

АналогСЦчнСЦ пСЦдходи можуть бути використанСЦ для кодування даних СЦ при передачСЦ СЧх мСЦж двома комп'ютерами по лСЦнСЦях зв'язку. Проте цСЦ лСЦнСЦСЧ зв'язку вСЦдрСЦзняються по своСЧх електричних характеристиках вСЦд тих, якСЦ СЦснують усерединСЦ комп'ютера. Головна вСЦдмСЦннСЦсть зовнСЦшнСЦх лСЦнСЦй зв'язку вСЦд внутрСЦшнСЦх полягаСФ в СЧх набагато бСЦльшСЦй протяжностСЦ, а також в тому, що вони проходять поза екранованим корпусом по просторах, часто схильних до дСЦСЧ сильних електромагнСЦтних перешкод. Все це приводить до значно великих спотворень прямокутних СЦмпульсСЦв (наприклад, "заваленню» фронтСЦв), чим усерединСЦ комп'ютера. Тому для надСЦйного розпСЦзнавання СЦмпульсСЦв на приймальному кСЦнцСЦ лСЦнСЦСЧ зв'язку при передачСЦ даних усерединСЦ СЦ поза комп'ютером не завжди можна використовувати однСЦ СЦ тСЦ ж швидкостСЦ СЦ способи кодування. Наприклад, повСЦльне наростання фронту СЦмпульсу СЦз-за високого СФмкСЦсного навантаження лСЦнСЦСЧ вимагаСФ передачСЦ СЦмпульсСЦв з меншою швидкСЦстю (щоб переднСЦй СЦ заднСЦй фронти сусСЦднСЦх СЦмпульсСЦв не перекривалися СЦ СЦмпульс встиг дорости до необхСЦдного рСЦвня).

У обчислювальних мережах застосовують як потенцСЦйне, так СЦ СЦмпульсне кодування дискретних даних, а також специфСЦчний спосСЦб представлення даних, який нСЦколи не використовуСФться усерединСЦ комп'ютера, - модуляцСЦю (рис. 1.1). При модуляцСЦСЧ дискретна СЦнформацСЦя представляСФться синусоСЧдальним сигналом тСЦСФСЧ частоти, яку добре передаСФ наявна лСЦнСЦя зв'язку.


Рис. 1.1. Приклади представлення дискретноСЧ СЦнформацСЦСЧ


ПотенцСЦйне або СЦмпульсне кодування застосовуСФться на каналах високоСЧ якостСЦ, а модуляцСЦя на основСЦ синусоСЧдальних сигналСЦв переважно у тому випадку, коли канал вносить сильнСЦ спотворення до передаваних сигналСЦв. Зазвичай модуляцСЦя використовуСФться в глобальних мережах при передачСЦ даних через аналоговСЦ телефоннСЦ канали зв'язки, якСЦ були розробленСЦ для передачСЦ голосу в аналоговСЦй формСЦ СЦ тому погано пСЦдходять для безпосередньоСЧ передачСЦ СЦмпульсСЦв.

На спосСЦб передачСЦ сигналСЦв впливаСФ СЦ кСЦлькСЦсть проводСЦв в лСЦнСЦях зв'язку мСЦж комп'ютерами. Для скорочення вартостСЦ лСЦнСЦй зв'язку в мережах зазвичай прагнуть до скорочення кСЦлькостСЦ проводСЦв СЦ через це використовують не паралельну передачу всСЦх бСЦт одного байта або навСЦть декСЦлька байт, як це робиться усерединСЦ комп'ютера, а послСЦдовну, побитную передачу, що вимагаСФ всього однСЦСФСЧ пари проводСЦв.

Ще однСЦСФю проблемою, яку потрСЦбно вирСЦшувати при передачСЦ сигналСЦв, СФ проблема взаСФмноСЧ синхронСЦзацСЦСЧ передавача одного комп'ютера з приймачем СЦншого. При органСЦзацСЦСЧ взаСФмодСЦСЧ модулСЦв усерединСЦ комп'ютера ця проблема вирСЦшуСФться дуже просто, оскСЦльки в цьому випадку всСЦ модулСЦ синхронСЦзуються вСЦд загального тактового генератора. Проблема синхронСЦзацСЦСЧ при зв'язку комп'ютерСЦв може вирСЦшуватися рСЦзними способами, як за допомогою обмСЦну спецСЦальними тактовими синхроСЦмпульсами по окремСЦй лСЦнСЦСЧ, так СЦ за допомогою перСЦодичноСЧ синхронСЦзацСЦСЧ заздалегСЦдь обумовленими кодами або СЦмпульсами характерноСЧ форми, що вСЦдрСЦзняСФться вСЦд форми СЦмпульсСЦв даних.

Не дивлячись на заходи, що робляться, - вибСЦр вСЦдповСЦдноСЧ швидкостСЦ обмСЦну даними, лСЦнСЦй зв'язку з певними характеристиками, способу синхронСЦзацСЦСЧ приймача СЦ передавача, - СЦснуСФ вСЦрогСЦднСЦсть спотворення деяких бСЦт передаваних даних. Для пСЦдвищення надСЦйностСЦ передачСЦ даних мСЦж комп'ютерами часто використовуСФться стандартний прийом - пСЦдрахунок контрольноСЧ суми СЦ передача СЧСЧ по лСЦнСЦях зв'язку пСЦсля кожного байта або пСЦсля деякого блоку байтСЦв. Часто в протокол обмСЦну даними включаСФться як обов'язковий елемент сигнал-квитанцСЦя, який пСЦдтверджуСФ правильнСЦсть прийому даних СЦ посилаСФться вСЦд одержувача вСЦдправниковСЦ.

Завдання надСЦйного обмСЦну двСЦйковими сигналами, представленими вСЦдповСЦдними електромагнСЦтними сигналами, в обчислювальних мережах вирСЦшуСФ певний клас устаткування. У локальних мережах це мережевСЦ адаптери, а в глобальних мережах - апаратура передачСЦ даних, до якоСЧ вСЦдносяться, наприклад, пристроСЧ, виконуючу модуляцСЦю СЦ демодуляцСЦю дискретних сигналСЦв, - модеми. Це устаткування кодуСФ СЦ декодуСФ кожен СЦнформацСЦйний бСЦт, синхронСЦзуСФ передачу електромагнСЦтних сигналСЦв по лСЦнСЦях зв'язку, перевСЦряСФ правильнСЦсть передачСЦ по контрольнСЦй сумСЦ СЦ може виконувати деякСЦ СЦншСЦ операцСЦСЧ. МережевСЦ адаптери розрахованСЦ, як правило, на роботу з певним передавальним середовищем - коаксСЦальним кабелем, витою парою, оптоволокном СЦ тому подСЦбне Кожен тип передавального середовища володСЦСФ певними електричними характеристиками, що впливають на спосСЦб використання даного середовища, СЦ визначаСФ швидкСЦсть передачСЦ сигналСЦв, спосСЦб СЧх кодування СЦ деякСЦ СЦншСЦ параметри


1.1.1 ТопологСЦя фСЦзичних зв'язкСЦв

При об'СФднаннСЦ в мережу бСЦльшого числа комп'ютерСЦв виникаСФ цСЦлий комплекс нових проблем.

Насамперед необхСЦдно вибрати спосСЦб органСЦзацСЦСЧ фСЦзичних зв'язкСЦв, тобто топологСЦю. ПСЦд топологСЦСФю обчислювальноСЧ мережСЦ розумСЦСФться конфСЦгурацСЦя графа, вершинам якого вСЦдповСЦдають комп'ютери мережСЦ (СЦнодСЦ СЦ СЦнше устаткування, наприклад концентратори), а ребрам - фСЦзичнСЦ зв'язки мСЦж ними. Комп'ютери, пСЦдключенСЦ до мережСЦ, часто називають станцСЦями або вузлами мережСЦ.

ВСЦдмСЦтимо, що конфСЦгурацСЦя фСЦзичних зв'язкСЦв визначаСФться електричними з'СФднаннями комп'ютерСЦв мСЦж собою СЦ може вСЦдрСЦзнятися вСЦд конфСЦгурацСЦСЧ логСЦчних зв'язкСЦв мСЦж вузлами мережСЦ. ЛогСЦчними зв'язками СФ маршрути передачСЦ даних мСЦж вузлами мережСЦ СЦ утворюються шляхом вСЦдповСЦдного налаштування комунСЦкацСЦйного устаткування.

ВибСЦр топологСЦСЧ електричних зв'язкСЦв СЦстотно впливаСФ на багато характеристик мережСЦ. Наприклад, наявнСЦсть резервних зв'язкСЦв пСЦдвищуСФ надСЦйнСЦсть мережСЦ СЦ робить можливим балансування завантаження окремих каналСЦв. Простота приСФднання нових вузлСЦв, "астива деяким топологиям, робить мережу легко розширюваною. ЕкономСЦчнСЦ мСЦркування часто приводять до вибору топологий, для яких характерна мСЦнСЦмальна сумарна довжина лСЦнСЦй зв'язку. Розглянемо деякСЦ, що найчастСЦше зустрСЦчаються топологСЦСЧ.

Повнозв'язна топологСЦя (рис. 1.2, а) вСЦдповСЦдаСФ мережСЦ, в якСЦй кожен комп'ютер мережСЦ пов'язаний зСЦ всСЦма останнСЦми. Не дивлячись на логСЦчну простоту, цей варСЦант виявляСФться громСЦздким СЦ неефективним. ДСЦйсно, кожен комп'ютер в мережСЦ повинен мати велику кСЦлькСЦсть комунСЦкацСЦйних портСЦв, достатню для зв'язку з кожним з решти комп'ютерСЦв мережСЦ. Для кожноСЧ пари комп'ютерСЦв маСФ бути видСЦлена окрема електрична лСЦнСЦя зв'язку. Повнозв'язнСЦ топологСЦСЧ застосовуються рСЦдко, оскСЦльки не задовольняють жодному з приведених вище вимог. ЧастСЦше цей вид топологСЦСЧ використовуСФться в багатомашинних комплексах або глобальних мережах при невеликСЦй кСЦлькостСЦ комп'ютерСЦв.

ВсСЦ СЦншСЦ варСЦанти заснованСЦ на неполносвязных топологиях, коли для обмСЦну даними мСЦж двома комп'ютерами може потрСЦбно промСЦжна передача даних через СЦншСЦ вузли мережСЦ.

КомСЦрчаста топологСЦя (mesh) виходить з повнозв'язноСЧ шляхом видалення деяких можливих зв'язкСЦв (рис. 1.2, б). У мережСЦ з комСЦрчастою топологСЦСФю безпосередньо зв'язуються тСЦльки тСЦ комп'ютери, мСЦж якими вСЦдбуваСФться СЦнтенсивний обмСЦн даними, а для обмСЦну даними мСЦж комп'ютерами, не сполученими прямими зв'язками, використовуються транзитнСЦ передачСЦ через промСЦжнСЦ вузли. КомСЦрчаста топологСЦя допускаСФ з'СФднання великоСЧ кСЦлькостСЦ комп'ютерСЦв СЦ характерна, як правило, для глобальних мереж.

Загальна шина (рис. 1.2, в) СФ дуже поширеною (а до недавнього часу найпоширенСЦшою) топологСЦСФю для локальних мереж. В цьому випадку комп'ютери пСЦдключаються до одного коаксСЦального кабелю по схемСЦ "монтажного АБО». Передавана СЦнформацСЦя може розповсюджуватися в обидвСЦ сторони. Застосування загальноСЧ шини знижуСФ вартСЦсть проводки, унСЦфСЦкуСФ пСЦдключення рСЦзних модулСЦв, забезпечуСФ можливСЦсть майже миттСФвого широкомовного звернення до всСЦх станцСЦй мережСЦ. Таким чином, основними перевагами такоСЧ схеми СФ дешевизна СЦ простота розводки кабелю по примСЦщеннях. НайсерйознСЦший недолСЦк загальноСЧ шини полягаСФ в СЧСЧ низькСЦй надСЦйностСЦ: будь-який дефект кабелю або якого-небудь з численних роз'СФмСЦв повнСЦстю паралСЦзуСФ всю мережу. На жаль, дефект коаксСЦального роз'СФму рСЦдкСЦстю не СФ. РЖншим недолСЦком загальноСЧ шини СФ СЧСЧ невисока продуктивнСЦсть, оскСЦльки при такому способСЦ пСЦдключення в кожен момент часу тСЦльки один комп'ютер може передавати данСЦ в мережу. Тому пропускна спроможнСЦсть каналу зв'язку завжди дСЦлиться тут мСЦж всСЦма вузлами мережСЦ.

ТопологСЦя зСЦрка (рис. 1.2, г). В цьому випадку кожен комп'ютер пСЦдключаСФться окремим кабелем до загального пристрою, званого концентратором, який знаходиться в центрСЦ мережСЦ. У функцСЦСЧ концентратора входить напрям передаванСЦй комп'ютером СЦнформацСЦСЧ одному або рештСЦ всСЦх комп'ютерСЦв мережСЦ. Головна перевага цСЦСФСЧ топологСЦСЧ перед загальною шиною - СЦстотно велика надСЦйнСЦсть. Будь-якСЦ неприСФмностСЦ з кабелем стосуються лише того комп'ютера, до якого цей кабель приСФднаний, СЦ лише несправнСЦсть концентратора може вивести з ладу всю мережу. КрСЦм того, концентратор може грати роль СЦнтелектуального фСЦльтру СЦнформацСЦСЧ, що поступаСФ вСЦд вузлСЦв в мережу, СЦ при необхСЦдностСЦ блокувати забороненСЦ адмСЦнСЦстратором передачСЦ.

До недолСЦкСЦв топологСЦСЧ типу зСЦрка вСЦдноситься вища вартСЦсть мережевого устаткування СЦз-за необхСЦдностСЦ придбання концентратора. КрСЦм того, можливостСЦ по нарощуванню кСЦлькостСЦ вузлСЦв в мережСЦ обмежуються кСЦлькСЦстю портСЦв концентратора. РЖнодСЦ маСФ сенс будувати мережу з використанням декСЦлькох концентраторСЦв, СЦСФрархСЦчно сполучених мСЦж собою зв'язками типу зСЦрка (рис. 1.2, д). В даний час СЦСФрархСЦчна зСЦрка СФ найпоширенСЦшим типом топологСЦСЧ зв'язкСЦв як в локальних, так СЦ глобальних мережах.

У мережах з кСЦльцевою конфСЦгурацСЦСФю (рис. 1.2, е) данСЦ передаються по кСЦльцю вСЦд одного комп'ютера до СЦншого, як правило, в одному напрямСЦ. Якщо комп'ютер розпСЦзнаСФ данСЦ як "своСЧ», то вСЦн копСЦюСФ СЧх собСЦ у внутрСЦшнСЦй буфер. У мережСЦ з кСЦльцевою топологСЦСФю необхСЦдно приймати спецСЦальнСЦ заходи, щоб у разСЦ виходу з ладу або вСЦдключення якоСЧ-небудь станцСЦСЧ не урвався канал зв'язку мСЦж рештою станцСЦй. КСЦльце СФ дуже зручною конфСЦгурацСЦСФю для органСЦзацСЦСЧ зворотного зв'язку - данСЦ, зробивши повний оборот, повертаються до вузла-джерела. Тому цей вузол може контролювати процес доставки даних адресатовСЦ. Часто це "астивСЦсть кСЦльця використовуСФться для тестування зв'язностСЦ мережСЦ СЦ пошуку вузла, що працюСФ некоректно. Для цього в мережу посилаються спецСЦальнСЦ тестовСЦ повСЦдомлення.


Рис. 1.2. ТиповСЦ топологСЦСЧ мереж


ТодСЦ як невеликСЦ мережСЦ, як правило, мають типову топологСЦю - зСЦрка, кСЦльце або загальна шина, для крупних мереж характерна наявнСЦсть довСЦльних зв'язкСЦв мСЦж комп'ютерами. У таких мережах можна видСЦлити окремСЦ довСЦльно зв'язанСЦ фрагменти (пСЦдмережСЦ), що мають типову топологСЦю, тому СЧх називають мережами СЦз змСЦшаною топологСЦСФю (рис. 1.3).


Рис. 1.3. ЗмСЦшана топологСЦя


1.1.2 ОрганСЦзацСЦя сумСЦсного використання лСЦнСЦй зв'язку

ТСЦльки у мережСЦ з повнозв'язною топологСЦСФю для з'СФднання кожноСЧ пари комп'ютерСЦв СФ окрема лСЦнСЦя зв'язку. У рештСЦ всСЦх випадкСЦв неминуче виникаСФ питання про те, як органСЦзувати сумСЦсне використання лСЦнСЦй зв'язку декСЦлькома комп'ютерами мережСЦ. Як СЦ завжди при роздСЦленнСЦ ресурсСЦв, головною метою тут СФ здешевлення мережСЦ.

У обчислювальних мережах використовують як СЦндивСЦдуальнСЦ лСЦнСЦСЧ зв'язку мСЦж комп'ютерами, так СЦ що роздСЦляються (shared), коли одна лСЦнСЦя зв'язку поперемСЦнно використовуСФться декСЦлькома комп'ютерами. У разСЦ застосування лСЦнСЦй зв'язку (часто використовуСФться також термСЦн середовище передачСЦ даних, що роздСЦляСФться, - shared media), що роздСЦляються, виникаСФ комплекс проблем, пов'язаних з СЧх сумСЦсним використанням, який включаСФ як чисто електричнСЦ проблеми забезпечення потрСЦбноСЧ якостСЦ сигналСЦв при пСЦдключеннСЦ до одного СЦ тому ж дроту декСЦлькох приймачСЦв СЦ передавачСЦв, так СЦ логСЦчнСЦ проблеми роздСЦлення в часСЦ доступу до цих лСЦнСЦй.

Класичним прикладом мережСЦ з лСЦнСЦями зв'язку, що роздСЦляються, СФ мережСЦ з топологСЦСФю "загальна шина», в яких один кабель спСЦльно використовуСФться всСЦма комп'ютерами мережСЦ. Жоден з комп'ютерСЦв мережСЦ в принципСЦ не може СЦндивСЦдуально, незалежно вСЦд всСЦх СЦнших комп'ютерСЦв мережСЦ, використовувати кабель, оскСЦльки при одночаснСЦй передачСЦ даних вСЦдразу декСЦлькома вузлами сигнали змСЦшуються СЦ спотворюються. У топологиях "кСЦльце» або "зСЦрка» СЦндивСЦдуальне використання лСЦнСЦй зв'язку, що сполучають комп'ютери, принципово можливо, але цСЦ кабелСЦ часто також розглядають як мережСЦ, що роздСЦляються для всСЦх комп'ютерСЦв, так що, наприклад, тСЦльки один комп'ютер кСЦльця маСФ право в даний момент часу вСЦдправляти по кСЦльцю пакети СЦншим комп'ютерам.

РЖснують рСЦзнСЦ способи рСЦшення задачСЦ органСЦзацСЦСЧ сумСЦсного доступу до лСЦнСЦй зв'язку, що роздСЦляються. УсерединСЦ комп'ютера проблеми роздСЦлення лСЦнСЦй зв'язку мСЦж рСЦзними модулями також СЦснують - прикладом СФ доступ до системноСЧ шини, яким управляСФ або процесор, або спецСЦальний арбСЦтр шини. У мережах органСЦзацСЦя сумСЦсного доступу до лСЦнСЦй зв'язку маСФ свою специфСЦку СЦз-за СЦстотно бСЦльшого часу розповсюдження сигналСЦв по довгих проводах, до того ж це час для рСЦзних пар комп'ютерСЦв може бути рСЦзним. Через це процедури узгодження доступу до лСЦнСЦСЧ зв'язку можуть займати дуже великий промСЦжок часу СЦ приводити до значних втрат продуктивностСЦ мережСЦ.

Не дивлячись на всСЦ цСЦ складнощСЦ, в локальних мережах лСЦнСЦСЧ зв'язку, що роздСЦляються, використовуються дуже часто. Цей пСЦдхСЦд, зокрема, реалСЦзований в широко поширених класичних технологСЦях Ethernet СЦ Token Ring. Проте останнСЦми роками намСЦтилася тенденцСЦя вСЦдмови вСЦд середовищ передачСЦ даних, що роздСЦлялися, СЦ в локальних мережах. Це пов'язано з тим, що за здешевлення мережСЦ, що досягаСФться таким чином, доводиться розплачуватися продуктивнСЦстю.

Мережа з середовищем, що роздСЦляСФться, при великСЦй кСЦлькостСЦ вузлСЦв працюватиме завжди повСЦльнСЦше, нСЦж аналогСЦчна мережа з СЦндивСЦдуальними лСЦнСЦями зв'язку, оскСЦльки пропускна спроможнСЦсть СЦндивСЦдуальноСЧ лСЦнСЦСЧ зв'язку дСЦстаСФться одному комп'ютеру, а при СЧСЧ сумСЦсному використаннСЦ - дСЦлиться на всСЦ комп'ютери мережСЦ.

Часто з такою втратою продуктивностСЦ миряться ради збСЦльшення економСЦчноСЧ ефективностСЦ мережСЦ. Не тСЦльки у класичних, але СЦ в зовсСЦм нових технологСЦях, розроблених для локальних мереж, зберСЦгаСФться режим лСЦнСЦй зв'язку, що роздСЦляються. Наприклад, розробники технологСЦСЧ Gigabit Ethernet, прийнятоСЧ в 1998 роцСЦ як новий стандарт, включили режим роздСЦлення передавального середовища в своСЧ специфСЦкацСЦСЧ разом з режимом роботи по СЦндивСЦдуальних лСЦнСЦях зв'язку.

При використаннСЦ СЦндивСЦдуальних лСЦнСЦй зв'язку в повнозв'язних топологиях кСЦнцевСЦ вузли повиннСЦ мати по одному порту на кожну лСЦнСЦю зв'язку. У зСЦркоподСЦбних топологиях кСЦнцевСЦ вузли можуть пСЦдключатися СЦндивСЦдуальними лСЦнСЦями зв'язку до спецСЦального пристрою - комутатора. У глобальних мережах комутатори використовувалися вже на початковому етапСЦ, а в локальних мережах - з початку 90-х рокСЦв. Комутатори приводять до СЦстотного дорожчання локальноСЧ мережСЦ, тому поки СЧх застосування обмежене, але у мСЦру зниження вартостСЦ комутацСЦСЧ цей пСЦдхСЦд, можливо, витСЦснить застосування лСЦнСЦй зв'язку, що роздСЦляються. НеобхСЦдно пСЦдкреслити, що СЦндивСЦдуальними в таких мережах СФ тСЦльки лСЦнСЦСЧ зв'язку мСЦж кСЦнцевими вузлами СЦ комутаторами мережСЦ, а зв'язки мСЦж комутаторами залишаються такими, що роздСЦляються, оскСЦльки по ним передаються повСЦдомлення рСЦзних кСЦнцевих вузлСЦв (рис. 1.4).


Рис. 1.4. РЖндивСЦдуальнСЦ лСЦнСЦСЧ зв'язку, що роздСЦляються, в мережах на основСЦ комутаторСЦв


У глобальних мережах вСЦдмова вСЦд лСЦнСЦй, що роздСЦляються, зв'язку пояснюСФться технСЦчними причинами. Тут великСЦ тимчасовСЦ затримки розповсюдження сигналСЦв принципово обмежують застосовнСЦсть технСЦки роздСЦлення лСЦнСЦСЧ зв'язку. Комп'ютери можуть витратити бСЦльше часу на переговори про той, кому зараз можна використовувати лСЦнСЦю зв'язку, чим безпосередньо на передачу даних по цСЦй лСЦнСЦСЧ зв'язку. Проте це не вСЦдноситься до лСЦнСЦй зв'язку типу "комутатор - комутатор». В цьому випадку тСЦльки два комутатори борються за доступ до лСЦнСЦСЧ зв'язку, СЦ це СЦстотно спрощуСФ завдання органСЦзацСЦСЧ сумСЦсного використання лСЦнСЦСЧ.


1.2 СтруктуризацСЦя каналСЦв як засСЦб побудови великих мереж


У мережах з невеликою (10-30) кСЦлькСЦстю комп'ютерСЦв найчастСЦше використовуСФться одна з типових топологий - загальна шина, кСЦльце, зСЦрка або повнозв'язна мережа. ВсСЦ перерахованСЦ топологСЦСЧ володСЦють "астивСЦстю однорСЦдностСЦ, тобто всСЦ комп'ютери в такСЦй мережСЦ мають однаковСЦ маСФ рацСЦю вСЦдносно доступу до СЦнших комп'ютерСЦв (за винятком центрального комп'ютера при з'СФднаннСЦ зСЦрка). Така однорСЦднСЦсть структури робить простий процедуру нарощування числа комп'ютерСЦв, полегшуСФ обслуговування СЦ експлуатацСЦю мережСЦ.

Проте при побудовСЦ великих мереж однорСЦдна структура зв'язкСЦв перетворюСФться з переваги в недолСЦк. У таких мережах використання типових структур породжуСФ рСЦзнСЦ обмеження, найважливСЦшими з яких СФ:

В· обмеження на довжину зв'язку мСЦж вузлами;

В· обмеження на кСЦлькСЦсть вузлСЦв в мережСЦ;

В· обмеження на СЦнтенсивнСЦсть трафСЦку, що породжуСФться вузлами мережСЦ.

Наприклад, технологСЦя Ethernet на тонкому коаксСЦальному кабелСЦ дозволяСФ використовувати кабель завдовжки не бСЦльше 185 метрСЦв, до якого можна пСЦдключити не бСЦльше 30 комп'ютерСЦв. Проте, якщо комп'ютери СЦнтенсивно обмСЦнюються СЦнформацСЦСФю мСЦж собою, СЦнодСЦ доводиться знижувати число пСЦдключених до кабелю комп'ютерСЦв 20, а то СЦ до 10, щоб кожному комп'ютеру дСЦставалася прийнятна частка загальноСЧ пропускноСЧ спроможностСЦ мережСЦ.

Для зняття цих обмежень використовуються спецСЦальнСЦ методи структуризацСЦСЧ мережСЦ СЦ спецСЦальне структуротворне устаткування - повторители, концентратори, мости, комутатори, маршрутизатори. Устаткування такого роду також називають комунСЦкацСЦйним, маючи на увазСЦ, що за допомогою його окремСЦ сегменти мережСЦ взаСФмодСЦють мСЦж собою.


1.2.1 ФСЦзична структуризацСЦя мережСЦ

Просте з комунСЦкацСЦйних пристроСЧв - повторитель (repeater) - використовуСФться для фСЦзичного з'СФднання рСЦзних сегментСЦв кабелю локальноСЧ мережСЦ з метою збСЦльшення загальноСЧ довжини мережСЦ. ПовторСЦтель передаСФ сигнали, що приходять з одного сегменту мережСЦ, в СЦнших СЧСЧ сегменти (рис. 1.5). ПовторСЦтель дозволяСФ подолати обмеження на довжину лСЦнСЦй зв'язку за рахунок полСЦпшення якостСЦ передаваного сигналу - вСЦдновлення його потужностСЦ СЦ амплСЦтуди, полСЦпшення фронтСЦв СЦ тому подСЦбне


Рис. 1.5. Повторитель дозволяСФ збСЦльшити довжину мережСЦ Ethernet


Концентратори характернСЦ практично для всСЦх базових технологСЦй локальних мереж - Ethernet, ArcNet, Token Ring, FDDI, Fast Ethernet, Gigabit Ethernet, l00VG-AnyLAN.

ПотрСЦбно пСЦдкреслити, що в роботСЦ концентраторСЦв будь-яких технологСЦй багато загального - вони повторюють сигнали, що прийшли з одного зСЦ своСЧх портСЦв, на СЦнших своСЧх портах. РСЦзниця полягаСФ в тому, на яких саме портах повторюються вхСЦднСЦ сигнали. Так, концентратор Ethernet повторюСФ вхСЦднСЦ сигнали на всСЦх своСЧх портах, крСЦм того, з якого сигнали поступають (рис. 1.6, а). А концентратор Token Ring (рис. 1.6, б) повторюСФ вхСЦднСЦ сигнали, що поступають з деякого порту, тСЦльки на одному порту - на тому, до якого пСЦдключений наступний в кСЦльцСЦ комп'ютер.


Рис. 1.6. Концентратори рСЦзних технологСЦй


НагадаСФмо, що пСЦд фСЦзичною топологСЦСФю розумСЦСФться конфСЦгурацСЦя зв'язкСЦв, утворених окремими частинами кабелю, а пСЦд логСЦчною - конфСЦгурацСЦя СЦнформацСЦйних потокСЦв мСЦж комп'ютерами мережСЦ. У багатьох випадках фСЦзична СЦ логСЦчна топологСЦСЧ мережСЦ збСЦгаються. Наприклад, мережа, представлена на рис. 1.7, а, маСФ фСЦзичну топологСЦю кСЦльце. Комп'ютери цСЦСФСЧ мережСЦ дСЦстають доступ до кабелСЦв кСЦльця за рахунок передачСЦ один одному спецСЦального кадру - маркера, причому цей маркер також передаСФться послСЦдовно вСЦд комп'ютера до комп'ютера в тому ж порядку, в якому комп'ютери утворюють фСЦзичне кСЦльце, тобто комп'ютер А передаСФ маркер комп'ютеру В, комп'ютер В - комп'ютеру С и т. д.

Мережа, показана на рис. 1.7, б, демонструСФ приклад неспСЦвпадання фСЦзичноСЧ СЦ логСЦчноСЧ топологСЦСЧ. ФСЦзично комп'ютери сполученСЦ по топологСЦСЧ загальна шина. Доступ же до шини вСЦдбуваСФться не по алгоритму випадкового доступу, вживаному в технологСЦСЧ Ethernet, а шляхом передачСЦ маркера в кСЦльцевому порядку: вСЦд комп'ютера А - комп'ютеру В, вСЦд комп'ютера В - комп'ютеру С и т. д. Тут порядок передачСЦ маркера вже не повторюСФ фСЦзичнСЦ зв'язки, а визначаСФться логСЦчною конфСЦгурацСЦСФю драйверСЦв мережевих адаптерСЦв. НСЦщо не заважаСФ набудувати мережевСЦ адаптери СЦ СЧх драйвери так, щоб комп'ютери утворили кСЦльце в СЦншому порядку, наприклад: У, А, С... При цьому фСЦзична структура мережСЦ нСЦяк не змСЦнюСФться.


Рис. 1.7. ЛогСЦчна СЦ фСЦзична топологСЦСЧ мережСЦ


РЖншим прикладом неспСЦвпадання фСЦзичноСЧ СЦ логСЦчноСЧ топологий мережСЦ СФ вже розглянута мережа на рис. 1.6, а. Концентратор Ethernet пСЦдтримуСФ в мережСЦ фСЦзичну топологСЦю зСЦрка. Проте логСЦчна топологСЦя мережСЦ залишилася без змСЦн - це загальна шина. ОскСЦльки концентратор повторюСФ данСЦ, що прийшли з будь-якого порту, на рештСЦ всСЦх портСЦв, то вони з'являються одночасно на всСЦх фСЦзичних сегментах мережСЦ, як СЦ в мережСЦ з фСЦзичною загальною шиною. ЛогСЦка доступу до мережСЦ абсолютно не мСЦняСФться: всСЦ компоненти алгоритму випадкового доступу - визначення незанятостСЦ середовища, захоплення середовища, розпСЦзнавання СЦ вСЦдробСЦток колСЦзСЦй - залишаються в силСЦ.

ФСЦзична структуризацСЦя мережСЦ за допомогою концентраторСЦв корисна не тСЦльки для збСЦльшення вСЦдстанСЦ мСЦж вузлами мережСЦ, але СЦ для пСЦдвищення СЧСЧ надСЦйностСЦ. Наприклад, якщо який-небудь комп'ютер мережСЦ Ethernet з фСЦзичною загальною шиною СЦз-за збою починаСФ безперервно передавати данСЦ по загальному кабелю, то вся мережа виходить з ладу, СЦ для вирСЦшення цСЦСФСЧ проблеми залишаСФться тСЦльки один вихСЦд - уручну вСЦд'СФднати мережевий адаптер цього комп'ютера вСЦд кабелю. У мережСЦ Ethernet, побудованСЦй з використанням концентратора, ця проблема може бути вирСЦшена автоматично - концентратор вСЦдключаСФ свСЦй порт, якщо виявляСФ, що приСФднаний до нього вузол дуже довго монопольно займаСФ мережу. Концентратор може блокувати некоректно працюючий вузол СЦ в СЦнших випадках, виконуючи роль деякого вузла, що управляСФ.


1.2.2 ЛогСЦчна структуризацСЦя мережСЦ

ФСЦзична структуризацСЦя мережСЦ корисна у багатьох вСЦдношеннях, проте у рядСЦ випадкСЦв, що зазвичай вСЦдносяться до мереж великого СЦ середнього розмСЦру, неможливо обСЦйтися без логСЦчноСЧ структуризацСЦСЧ мережСЦ. НайбСЦльш важливою проблемою, що не вирСЦшуСФться шляхом фСЦзичноСЧ структуризацСЦСЧ, залишаСФться проблема перерозподСЦлу передаваного трафСЦку мСЦж рСЦзними фСЦзичними сегментами мережСЦ.

У великСЦй мережСЦ природним чином виникаСФ неоднорСЦднСЦсть СЦнформацСЦйних потокСЦв: мережа складаСФться з безлСЦчСЦ пСЦдмереж робочих груп, вСЦддСЦлСЦв, фСЦлСЦй пСЦдприСФмства СЦ СЦнших адмСЦнСЦстративних утворень. Дуже часто найбСЦльш СЦнтенсивний обмСЦн даними спостерСЦгаСФться мСЦж комп'ютерами, що належать до однСЦСФСЧ пСЦдмережСЦ, СЦ лише невелика частина звернень вСЦдбуваСФться до ресурсСЦв комп'ютерСЦв, що знаходяться поза локальними робочими групами. (До недавнього часу таке спСЦввСЦдношення трафСЦкСЦв не бралося пСЦд сумнСЦв, СЦ був навСЦть сформульований емпСЦричний закон "80/20», вСЦдповСЦдно до якого в кожнСЦй пСЦдмережСЦ 80 % трафСЦку СФ внутрСЦшнСЦм СЦ лише 20 % - зовнСЦшнСЦм.) Зараз характер навантаження мереж багато в чому змСЦнився, широко упроваджуСФться технологСЦя intranet, на багатьох пСЦдприСФмствах СФ централСЦзованСЦ сховища корпоративних даних, активно використовуванСЦ всСЦма спСЦвробСЦтниками пСЦдприСФмства. Все це не могло не вплинути на розподСЦл СЦнформацСЦйних потокСЦв. РЖ тепер не рСЦдкСЦснСЦ ситуацСЦСЧ, коли СЦнтенсивнСЦсть зовнСЦшнСЦх звернень вище СЦнтенсивностСЦ обмСЦну мСЦж "сусСЦднСЦми» машинами. Але незалежно вСЦд того, в якСЦй пропорцСЦСЧ розподСЦляються зовнСЦшнСЦй СЦ внутрСЦшнСЦй трафСЦк, для пСЦдвищення ефективностСЦ роботи мережСЦ неоднорСЦднСЦсть СЦнформацСЦйних потокСЦв необхСЦдно враховувати.

Мережа з типовою топологСЦСФю (шина, кСЦльце, зСЦрка), в якСЦй всСЦ фСЦзичнСЦ сегменти розглядаються як одне середовище, що роздСЦляСФться, виявляСФться неадекватнСЦй структурСЦ СЦнформацСЦйних потокСЦв у великСЦй мережСЦ. Наприклад, в мережСЦ СЦз загальною шиною взаСФмодСЦя будь-якоСЧ пари комп'ютерСЦв займаСФ СЧСЧ на весь час обмСЦну, тому при збСЦльшеннСЦ числа комп'ютерСЦв в мережСЦ шина стаСФ вузьким местомом. Комп'ютери одного вСЦддСЦлу вимушенСЦ чекати, коли закСЦнчить обмСЦн пари комп'ютерСЦв СЦншого вСЦддСЦлу, СЦ це при тому, що необхСЦднСЦсть в зв'язку мСЦж комп'ютерами двох рСЦзних вСЦддСЦлСЦв виникаСФ набагато рСЦдше СЦ вимагаСФ зовсСЦм невеликоСЧ пропускноСЧ спроможностСЦ.

Цей випадок СЦлюструСФ рис. 1.8, а. Тут показана мережа, побудована з використанням концентраторСЦв. Хай комп'ютер А, що знаходиться в однСЦй пСЦдмережСЦ з комп'ютером В, посилаСФ йому данСЦ. Не дивлячись на розгалужену фСЦзичну структуру мережСЦ, концентратори поширюють будь-який кадр по всСЦх СЧСЧ сегментах. Тому кадр, що посилаСФться комп'ютером А комп'ютеру В, хоча СЦ не потрСЦбний комп'ютерам вСЦддСЦлСЦв 2 СЦ 3, вСЦдповСЦдно до логСЦки роботи концентраторСЦв поступаСФ на цСЦ сегменти теж. РЖ до тих пСЦр, поки комп'ютер В не отримаСФ адресований йому кадр, жоден з комп'ютерСЦв цСЦСФСЧ мережСЦ не зможе передавати данСЦ.

Така ситуацСЦя виникаСФ через те, що логСЦчна структура даноСЧ мережСЦ залишилася однорСЦдною - вона нСЦяк не враховуСФ збСЦльшення СЦнтенсивностСЦ трафСЦку усерединСЦ вСЦддСЦлу СЦ надаСФ всСЦм парам комп'ютерСЦв рСЦвнСЦ можливостСЦ по обмСЦну СЦнформацСЦСФю (рис. 1.8, б).

ВирСЦшення проблеми полягаСФ у вСЦдмовСЦ вСЦд СЦдеСЧ СФдиного однорСЦдного середовища, що роздСЦляСФться. Наприклад, в розглянутому вище прикладСЦ бажано було б зробити так, щоб кадри, якСЦ передають комп'ютери вСЦддСЦлу 1, виходили б за межСЦ цСЦСФСЧ частини мережСЦ в тому СЦ лише в тому випадку, якщо цСЦ кадри направленСЦ якому-небудь комп'ютеру з СЦнших вСЦддСЦлСЦв. З СЦншого боку, в мережу кожного з вСЦддСЦлСЦв повиннСЦ потрапляти тСЦ СЦ лише тСЦ кадри, якСЦ адресованСЦ вузлам цСЦСФСЧ мережСЦ. При такСЦй органСЦзацСЦСЧ роботи мережСЦ СЧСЧ продуктивнСЦсть СЦстотно пСЦдвищитися, оскСЦльки комп'ютери одного вСЦддСЦлу не простоюватимуть в той час, коли обмСЦнюються даними комп'ютери СЦнших вСЦддСЦлСЦв.


Рис. 1.8. СуперечнСЦсть мСЦж логСЦчною структурою мережСЦ СЦ структурою СЦнформацСЦйних потокСЦв

Неважко вСЦдмСЦтити, що в запропонованому рСЦшеннСЦ ми вСЦдмовилися вСЦд СЦдеСЧ загального середовища, що роздСЦлялося, в межах всСЦСФСЧ мережСЦ, хоча СЦ залишили СЧСЧ в межах кожного вСЦддСЦлу. Пропускна спроможнСЦсть лСЦнСЦй зв'язку мСЦж вСЦддСЦлами не повинна збСЦгатися з пропускною спроможнСЦстю середовища усерединСЦ вСЦддСЦлСЦв. Якщо трафСЦк мСЦж вСЦддСЦлами складаСФ тСЦльки 20 % трафСЦку усерединСЦ вСЦддСЦлу (як вже наголошувалося, ця величина може бути СЦншСЦй), то СЦ пропускна спроможнСЦсть лСЦнСЦй зв'язку СЦ комунСЦкацСЦйного устаткування, що сполучаСФ вСЦддСЦли, може бути значно нижче за внутрСЦшнСЦй трафСЦк мережСЦ вСЦддСЦлу.

Таким чином, розповсюдження трафСЦку, призначеного для комп'ютерСЦв деякого сегменту мережСЦ, тСЦльки в межах цього сегменту, називаСФться локалСЦзацСЦСФю трафСЦку. ЛогСЦчна структуризацСЦя мережСЦ - це процес розбиття мережСЦ на сегменти з локалСЦзованим трафСЦком.

Для логСЦчноСЧ структуризацСЦСЧ мережСЦ використовуються такСЦ комунСЦкацСЦйнСЦ пристроСЧ, як мости, комутатори, маршрутизатори СЦ шлюзи.

МСЦст (bridge) дСЦлить середовище передачСЦ мережСЦ, що роздСЦляСФться, на частини (часто званСЦ логСЦчними сегментами), передаючи СЦнформацСЦю з одного сегменту в СЦншСЦй тСЦльки в тому випадку, якщо така передача дСЦйсно необхСЦдна, тобто якщо адреса комп'ютера призначення належить СЦншСЦй пСЦдмережСЦ. Тим самим мСЦст СЦзолюСФ трафСЦк однСЦСФСЧ пСЦдмережСЦ вСЦд трафСЦку СЦнший, пСЦдвищуючи загальну продуктивнСЦсть передачСЦ даних в мережСЦ. ЛокалСЦзацСЦя трафСЦку не тСЦльки економить пропускну спроможнСЦсть, але СЦ зменшуСФ можливСЦсть несанкцСЦонованого доступу до даних, оскСЦльки кадри не виходять за межСЦ свого сегменту СЦ СЧх складнСЦше перехопити зловмисниковСЦ.

На рис. 1.9 показана мережа, яка була отримана з мережСЦ з центральним концентратором (див. рис. 1.9) шляхом його замСЦни на мСЦст. МережСЦ 1-го СЦ 2-го вСЦддСЦлСЦв складаються з окремих логСЦчних сегментСЦв, а мережа вСЦддСЦлу 3 - з двох логСЦчних сегментСЦв. Кожен логСЦчний сегмент побудований на базСЦ концентратора СЦ маСФ просту фСЦзичну структуру, утворену вСЦдрСЦзками кабелю, що пов'язують комп'ютери з портами концентратора.

Рис. 1.9. ЛогСЦчна структуризацСЦя мережСЦ за допомогою моста


Мости використовують для локалСЦзацСЦСЧ трафСЦку апаратнСЦ адреси комп'ютерСЦв. Це утрудняСФ розпСЦзнавання приналежностСЦ того або СЦншого комп'ютера до певного логСЦчного сегменту - сама адреса не мСЦстить нСЦякоСЧ СЦнформацСЦСЧ СЦз цього приводу. Тому мСЦст достатньо спрощено представляСФ дСЦлення мережСЦ на сегменти - вСЦн запам'ятовуСФ, через який порт на нього поступив кадр даних вСЦд кожного комп'ютера мережСЦ, СЦ надалСЦ передаСФ кадри, призначенСЦ для цього комп'ютера, на цей порт. ТочноСЧ топологСЦСЧ зв'язкСЦв мСЦж логСЦчними сегментами мСЦст не знаСФ. Через це застосування мостСЦв приводить до значних обмежень на конфСЦгурацСЦю зв'язкСЦв мережСЦ - сегменти мають бути сполученСЦ так, щоб в мережСЦ не утворювалися замкнутСЦ контури.

Комутатор (switch, switching hub) за принципом обробки кадрСЦв нСЦчим не вСЦдрСЦзняСФться вСЦд моста. Основна його вСЦдмСЦннСЦсть вСЦд моста полягаСФ в тому, що вСЦн СФ свого роду комунСЦкацСЦйним мультипроцесором, оскСЦльки кожен його порт оснащений спецСЦалСЦзованим процесором, який обробляСФ кадри по алгоритму моста незалежно вСЦд процесорСЦв СЦнших портСЦв. За рахунок цього загальна продуктивнСЦсть комутатора зазвичай набагато вище за продуктивнСЦсть традицСЦйного моста, що маСФ один процесорний блок. Можна сказати, що комутатори - це мости нового поколСЦння, якСЦ обробляють кадри в паралельному режимСЦ.

Обмеження, зв'язанСЦ СЦз застосуванням мостСЦв СЦ комутаторСЦв, - по топологСЦСЧ зв'язкСЦв, а також ряд СЦнших, - привели до того, що у рядСЦ комунСЦкацСЦйних пристроСЧв з'явився ще один тип устаткування - маршрутизатор (router). Маршрутизатори надСЦйнСЦше СЦ ефективнСЦше, нСЦж мости, СЦзолюють трафСЦк окремих частин мережСЦ один вСЦд одного. Маршрутизатори утворюють логСЦчнСЦ сегменти за допомогою явноСЧ адресацСЦСЧ, оскСЦльки використовують не плоскСЦ апаратнСЦ, а складенСЦ числовСЦ адреси. У цих адресах СФ поле номера мережСЦ, так що всСЦ комп'ютери, у яких значення цього поля однакове, належать до одного сегменту, званого в даному випадку пСЦдмережею (subnet).

ОкрСЦм локалСЦзацСЦСЧ трафСЦку маршрутизатори виконують ще багато СЦнших корисних функцСЦй. Так, маршрутизатори можуть працювати в мережСЦ СЦз замкнутими контурами, при цьому вони здСЦйснюють вибСЦр найбСЦльш рацСЦонального маршруту з декСЦлькох можливих. Мережа, представлена на рис. 1.10, вСЦдрСЦзняСФться вСЦд своСФСЧ попередницСЦ (див. рис. 1.10) тим, що мСЦж пСЦдмережами вСЦддСЦлСЦв 1 СЦ 2 прокладений додатковий зв'язок, який може використовуватися як для пСЦдвищення продуктивностСЦ мережСЦ, так СЦ для пСЦдвищення СЧСЧ надСЦйностСЦ.


Рис. 1.10. ЛогСЦчна структуризацСЦя мережСЦ за допомогою маршрутизаторСЦв


РЖншою дуже важливою функцСЦСФю маршрутизаторСЦв СФ СЧх здатнСЦсть зв'язувати в СФдину мережу пСЦдмережСЦ, побудованСЦ з використанням разных мережевих технологСЦй, наприклад Ethernet СЦ Х.25.

ОкрСЦм перерахованих пристроСЧв окремСЦ частини мережСЦ може сполучати шлюз (gateway). Зазвичай основною причиною, по якСЦй в мережСЦ використовують шлюз, СФ необхСЦднСЦсть об'СФднати мережСЦ з рСЦзними типами системного СЦ прикладного програмного забезпечення, а не бажання локалСЦзувати трафСЦк. Проте шлюз забезпечуСФ СЦ локалСЦзацСЦю трафСЦку як деякий побСЦчний ефект.

КрупнСЦ мережСЦ практично нСЦколи не будуються без логСЦчноСЧ структуризацСЦСЧ. Для окремих сегментСЦв СЦ пСЦдмереж характернСЦ типовСЦ однорСЦднСЦ топологСЦСЧ базових технологСЦй, СЦ для СЧх об'СФднання завжди використовуСФться устаткування, що забезпечуСФ локалСЦзацСЦю трафСЦку, - мости, комутатори, маршрутизатори СЦ шлюзи.


1.3 Висновок


Таким чином, виходячи з проведеного аналСЦзу органСЦзацСЦСЧ каналСЦв передачСЦ даних в комптАЩютерних мережах можна зробити ряд висновкСЦв:

у межах тСЦСФСЧ або СЦншоСЧ архСЦтектури КМ повинна забезпечуватись погоджена взаСФмодСЦя рСЦзних СЧСЧ структур. Так, при деякСЦй логСЦчнСЦй структурСЦ, яка вСЦдповСЦдаСФ прийнятСЦй архСЦтектурСЦ КМ, може бути побудована множина фСЦзичних структур у виглядСЦ рСЦзнорСЦдних каналСЦв передачСЦ даних, що впливають на "астивостСЦ та можливостСЦ мережСЦ. Вони являють собою узагальнений алгоритм СЦнформацСЦйного процесу, що протСЦкаСФ в КМ;

при передачСЦ дискретних даних по каналах передачСЦ даних застосовуються два основнСЦ типи фСЦзичного кодування - на основСЦ синусоСЧдального несучого сигналу СЦ на основСЦ послСЦдовностСЦ прямокутних СЦмпульсСЦв. Перший спосСЦб часто називаСФться також модуляцСЦСФю або аналоговою модуляцСЦСФю, пСЦдкреслюючи той факт, що кодування здСЦйснюСФться за рахунок змСЦни параметрСЦв аналогового сигналу. Другий спосСЦб звичайно називають цифровим кодуванням. ЦСЦ способи вСЦдрСЦзняються шириною спектру результуючого сигналу СЦ складнСЦстю апаратури, необхСЦдноСЧ для СЧх реалСЦзацСЦСЧ.

Тому для детального вивчення особливостей доступу до каналСЦв передачСЦ даних розглянемо сутнСЦсть СЦснуючих методСЦ доступу.

РоздСЦл 2. ФСЦзична сутнСЦсть та порядок органСЦзацСЦСЧ каналСЦв комптАЩютерних мереж


Канали передачСЦ даних СФ фундаментом будь-якоСЧ мережСЦ. Якщо в каналах щодня вСЦдбуваються короткСЦ замикання, контакти розтАЩСФмСЦв то вСЦдходять, то знову входять у щСЦльне зтАЩСФднання, додавання новоСЧ станцСЦСЧ призводить до необхСЦдностСЦ тестування десяткСЦв контактСЦв розтАЩСФмСЦв через те, що документацСЦя на фСЦзичнСЦ зтАЩСФднання не ведеться. Очевидно, що на основСЦ таких каналСЦв передачСЦ даних будь-яке найсучаснСЦше СЦ продуктивне устаткування буде працювати погано. КористувачСЦ будуть незадоволенСЦ великими перСЦодами простоСЧв СЦ низькою продуктивнСЦстю мережСЦ, а обслуговуючий персонал буде в постСЦйнСЦй "запарцСЦ", розшукуючи мСЦiя коротких замикань, обривСЦв СЦ поганих контактСЦв. Причому проблем з каналами передачСЦ даних стаСФ набагато бСЦльше при збСЦльшеннСЦ розмСЦрСЦв мережСЦ.


2.1 Структурована кабельна система комптАЩютерноСЧ мережСЦ


ВСЦдповСЦддю на високСЦ вимоги до якостСЦ каналСЦв звтАЩязку в комптАЩютерних мережах стали структурованСЦ кабельнСЦ системи.

Структурована кабельна система (СКС) (Structured Cabling System, SCS) - це набСЦр комутацСЦйних елементСЦв (кабелСЦв, розтАЩСФмСЦв, конекторСЦв, кросових панелей СЦ шаф), а також методика СЧх спСЦльного використання, яка дозволяСФ створювати регулярнСЦ, легко розширюванСЦ структури звтАЩязкСЦв в комптАЩютерних мережах.

Структурована кабельна система представляСФ свого роду "конструктор", за допомогою якого проектувальник мережСЦ будуСФ потрСЦбну йому конфСЦгурацСЦю зСЦ стандартних кабелСЦв, зтАЩСФднаних стандартними розтАЩСФмами, якСЦ комутуються на стандартних кросових панелях. При необхСЦдностСЦ конфСЦгурацСЦю звтАЩязкСЦв можна легко змСЦнити - додати комптАЩютер, сегмент, комутатор, вилучити непотрСЦбне устаткування, а також замСЦнити зтАЩСФднання мСЦж комптАЩютерами СЦ концентраторами.

При побудовСЦ структурованоСЧ кабельноСЧ системи маСФться на увазСЦ, що кожне робоче мСЦiе на пСЦдприСФмствСЦ повинне бути оснащене розетками для пСЦдключення телефону СЦ комптАЩютера, навСЦть якщо на даний момент цього не потрСЦбно. Тобто добре структурована кабельна система будуСФться надлишковою. У майбутньому це може заощадити час тому, що змСЦни в пСЦдключеннСЦ нових пристроСЧв можна здСЦйснювати за рахунок перекомутацСЦСЧ вже прокладених кабелСЦв.

Структурована кабельна система плануСФться СЦ будуСФться СЦСФрархСЦчно з головною магСЦстраллю СЦ численними вСЦдгалуженнями вСЦд неСЧ (рис. 2.1).

Ця система може бути побудована на базСЦ вже СЦснуючих сучасних телефонних кабельних систем, у яких кабелСЦ, що представляють собою набСЦр кручених пар, прокладаються в кожному будинку, розводяться мСЦж поверхами. На кожному поверсСЦ використовуСФться спецСЦальна кросова шафа, вСЦд якоСЧ кабелСЦ в трубах СЦ коробах пСЦдводяться до кожноСЧ кСЦмнати СЦ розводяться по розетках. На жаль, далеко не у всСЦх будинках телефоннСЦ лСЦнСЦСЧ прокладаються крученими парами, тому вони непридатнСЦ для створення комптАЩютерних мереж, СЦ кабельну систему в такому випадку потрСЦбно будувати заново.

Типова СЦСФрархСЦчна структура структурованоСЧ кабельноСЧ системи (рис. 2.2) включаСФ:

горизонтальнСЦ пСЦдсистеми (у межах поверху);

вертикальнСЦ пСЦдсистеми (усерединСЦ будинку);

пСЦдсистему кампусу (у межах однСЦСФСЧ територСЦСЧ з декСЦлькома будинками).

Горизонтальна пСЦдсистема зтАЩСФднуСФ кросову шафу поверху з розетками користувачСЦв. ПСЦдсистеми цього типу вСЦдповСЦдають поверхам будинку.

Вертикальна пСЦдсистема зтАЩСФднуСФ кросовСЦ шафи кожного поверху з центральною апаратною будинку.

Наступним кроком СЦСФрархСЦСЧ СФ пСЦдсистема кампусу, що зтАЩСФднуСФ кСЦлька будинкСЦв з головною апаратною усього кампусу. Ця частина кабельноСЧ системи звичайно називаСФться магСЦстраллю (backbone).


Рис. 2.1. РЖСФрархСЦя структурованоСЧ кабельноСЧ системи



Використання структурованоСЧ кабельноСЧ системи замСЦсть хаотично прокладених кабелСЦв даСФ пСЦдприСФмству багато переваг.

УнСЦверсальнСЦсть. Структурована кабельна система при продуманСЦй органСЦзацСЦСЧ може стати СФдиним середовищем для передачСЦ комптАЩютерних даних у локальнСЦй обчислювальнСЦй мережСЦ, органСЦзацСЦСЧ локальноСЧ телефонноСЧ мережСЦ, передачСЦ вСЦдеоСЦнформацСЦСЧ СЦ навСЦть передачСЦ сигналСЦв вСЦд датчикСЦв пожежноСЧ безпеки або охоронних систем. Це дозволяСФ автоматизувати бСЦльшСЦсть процесСЦв контролю, монСЦторингу та управлСЦння господарськими службами СЦ системами життСФзабезпечення пСЦдприСФмства.

ЗбСЦльшення термСЦну служби. ТермСЦн морального старСЦння добре структурованоСЧ кабельноСЧ системи може складати 10 - 15 рокСЦв.

Зменшення вартостСЦ добавлення нових користувачСЦв СЦ змСЦни мСЦiь СЧх розташування.

ВСЦдомо, що вартСЦсть кабельноСЧ системи значна СЦ визначаСФться в основному не вартСЦстю кабелю, а вартСЦстю робСЦт з його прокладки. Тому бСЦльш вигСЦдно провести однократну роботу по прокладцСЦ кабелю, можливо, з великим запасом по довжинСЦ, нСЦж кСЦлька разСЦв виконувати прокладку, нарощуючи довжину кабелю. При такому пСЦдходСЦ всСЦ роботи з добавлення або перемСЦщення користувача зводяться до пСЦдключення комптАЩютера до вже наявноСЧ розетки.

МожливСЦсть легкого розширення мережСЦ. Структурована кабельна система СФ модульною, тому СЧСЧ легко розширювати. Наприклад, до магСЦстралСЦ можна додати нову пСЦдмережу, не роблячи нСЦякого впливу на СЦснуючСЦ пСЦдмережСЦ. Можна замСЦнити в окремСЦй пСЦдмережСЦ тип кабелю незалежно вСЦд СЦншоСЧ частини мережСЦ. Структурована кабельна система СФ основою для розподСЦлу мережСЦ на легко управляСФмСЦ логСЦчнСЦ сегменти тому, що вона сама вже роздСЦлена на фСЦзичнСЦ сегменти.

Забезпечення бСЦльш ефективного обслуговування. Структурована кабельна система полегшуСФ обслуговування СЦ пошук несправностей у порСЦвняннСЦ СЦз шинною кабельною системою. При шиннСЦй органСЦзацСЦСЧ кабельноСЧ системи вСЦдмова одного з пристроСЧв або сполучних елементСЦв призводить до вСЦдмови всСЦСФСЧ мережСЦ, яку важко локалСЦзувати. У структурованих кабельних системах вСЦдмова одного сегмента не дСЦСФ на СЦншСЦ тому, що обтАЩСФднання сегментСЦв здСЦйснюСФться за допомогою концентраторСЦв. Концентратори дСЦагностують СЦ локалСЦзують несправний сегмент.

НадСЦйнСЦсть. Структурована кабельна система маСФ пСЦдвищену надСЦйнСЦсть, оскСЦльки виробник такоСЧ системи гарантуСФ не тСЦльки якСЦсть СЧСЧ окремих компонентСЦв, але СЦ СЧх сумСЦснСЦсть.

БСЦльшСЦсть проектувальникСЦв починаСФ розробку СКС з горизонтальних пСЦдсистем тому, що саме до них пСЦдключаються кСЦнцевСЦ користувачСЦ. При цьому вони можуть вибирати мСЦж екранованою крученою парою, неекранованою крученою парою, коаксСЦальним кабелем СЦ волоконно-оптичним кабелем. Можливе використання й безпровСЦдних лСЦнСЦй звтАЩязку.

Горизонтальна пСЦдсистема характеризуСФться дуже великою кСЦлькСЦстю вСЦдгалужень кабелю (рис. 2.3) тому, що його потрСЦбно провести до кожноСЧ розетки, причому й у тих кСЦмнатах, де поки комптАЩютери в мережу не обтАЩСФднуються. Тому до кабелю, який використовуСФться в горизонтальнСЦй проводцСЦ, предтАЩявляються пСЦдвищенСЦ вимоги до зручностСЦ виконання вСЦдгалужень, а також зручностей його прокладки в примСЦщеннях. На поверсСЦ звичайно встановлюСФться кросова шафа, яка дозволяСФ за допомогою коротких вСЦдрСЦзкСЦв кабелю, оснащеного розтАЩСФмами, провести перекомутацСЦю зтАЩСФднань мСЦж устаткуванням СЦ концентраторами / комутаторами.

При виборСЦ кабелю приймають до уваги такСЦ характеристики: пропускна спроможнСЦсть, вСЦдстань, фСЦзична захищенСЦсть, електромагнСЦтна перешкодозахищенСЦсть, вартСЦсть. КрСЦм того, при виборСЦ кабелю потрСЦбно враховувати, яка кабельна система уже встановлена на пСЦдприСФмствСЦ, а також якСЦ тенденцСЦСЧ СЦ перспективи СЦснують на ринку на даний момент.


2.2 Кабель кручена пара


МСЦдний провСЦд, зокрема неекранована кручена пара (Twisted Pair - TP), СФ кращим середовищем для горизонтальноСЧ кабельноСЧ пСЦдсистеми, хоча, якщо користувачам потрСЦбна дуже висока пропускна спроможнСЦсть, або кабельна система прокладаСФться в агресивному середовищСЦ, для неСЧ пСЦдСЦйде СЦ волоконно-оптичний кабель. КоаксСЦальний кабель - це застарСЦла технологСЦя, якоСЧ варто уникати, якщо тСЦльки вона вже не використовуСФться широко на пСЦдприСФмствСЦ. БезпровСЦдний звтАЩязок СФ новою СЦ багатообСЦцяючою технологСЦСФю, однак через порСЦвняльну новизну СЦ низьку перешкодостСЦйкСЦсть краще обмежити масштаби СЧСЧ використання.

Кручена пара як середовище передачСЦ використовуСФться у всСЦх сучасних мережних технологСЦях, а також в аналоговСЦй СЦ цифровСЦй телефонСЦСЧ. УнСЦфСЦкацСЦя пасивних елементСЦв мережСЦ на крученСЦй парСЦ стала основою для концепцСЦСЧ побудови структурованих кабельних систем, незалежних вСЦд прикладень (мережних технологСЦй). Будь-якСЦ мережСЦ на крученСЦй парСЦ (крСЦм застарСЦлоСЧ LocalTalk) заснованСЦ на зСЦркоподСЦбнСЦй фСЦзичнСЦй топологСЦСЧ, що при вСЦдповСЦдному активному устаткуваннСЦ може бути основою для будь-якоСЧ логСЦчноСЧ топологСЦСЧ.

ПровСЦд кручена пара являСФ собою два скручених СЦзольованих провСЦдники. ПровСЦд застосовують для кросування (cross-wires) усерединСЦ комутацСЦйних шаф або стСЦйок, але нСЦяк не для прокладки зтАЩСФднань мСЦж примСЦщеннями, такий провСЦд може складатися з однСЦСФСЧ, двох, трьох СЦ навСЦть чотирьох кручених пар.

Кабель вСЦдрСЦзняСФться вСЦд проводу наявнСЦстю зовнСЦшньоСЧ СЦзоляцСЦйноСЧ панчохи (jacket). Ця панчоха головним чином захищаСФ провСЦд (елементи кабелю) вСЦд механСЦчних впливСЦв СЦ вологи. НайбСЦльше поширення одержали кабелСЦ, що мСЦстять двСЦ або чотири крученСЦ пари. РЖснують кабелСЦ СЦ на бСЦльше число пар - 25 пар СЦ бСЦльше.

КатегорСЦя (Category) крученоСЧ пари визначаСФ частотний дСЦапазон, у якому СЧСЧ застосування ефективне (ACR маСФ позитивне значення). На даний час дСЦють стандартнСЦ шСЦсть категорСЦй кабелю (Category 1 Г· Category 5е), проробляСФться 6-а категорСЦя й очСЦкуСФться поява кабелСЦв категорСЦСЧ 7. ЧастотнСЦ дСЦапазони кабелСЦв рСЦзних категорСЦй наведенСЦ в табл. 2.1.





Рис. 2.3. Структура кабельноСЧ системи поверху та будСЦвлСЦ


Таблиця 2.1

КласифСЦкацСЦя кабелСЦв на крученСЦй парСЦ

КатегорСЦя

Клас лСЦнСЦСЧ

Смуга пропускання, МГц

Типове мережне застосування

1

A

0,1

Аналогова телефонСЦя

2

B

1

Цифрова телефонСЦя, ISDN

3

C

16

10Base-T (Ethernet)

4

-

20

Token Ring 16 MбСЦт/с

5

D

100

100Base-TX (Fast Ethernet)

D

125

1000Base-TX (Gigabit Ethernet)

6*

E1

200 (250)

-

7*

F1

600

-


КатегорСЦСЧ визначаються стандартом EIA/TIA 568A. В останньому стовпцСЦ наводиться класифСЦкацСЦя лСЦнСЦй звтАЩязку, якСЦ забезпечуються цими кабелями згСЦдно стандарту ISO 11801 СЦ EN 50173.

Кручена пара може бути як екранованою (shielded), так СЦ неекранованою (unshielded), вид кабелСЦв наведений на рис. 2.4. ТермСЦнологСЦя конструкцСЦй екрана неоднозначна, тут використовуються слова braid (оплСЦтка), shield СЦ screen (екран, захист), foil (фольга), tinned drain wire (луджений "дренажний" провСЦд, що йде уздовж фольги).

Неекранована кручена пара (НКП) бСЦльше вСЦдома по абревСЦатурСЦ UTP (Unshielded Twisted Pair). Якщо кабель укладений у загальний екран, але пари не мають СЦндивСЦдуальних екранСЦв, то, вСЦдповСЦдно до стандарту ISO 11801, вСЦн теж вСЦдноситься до неекранованих кручених пар СЦ позначаСФться UTP або S/UTP. Сюди ж вСЦдноситься ScTP (Screened Twisted Pair) або FTP (Foiled Twisted Pair) - кабель, у якому крученСЦ пари укладенСЦ в загальний екран з фольги, а також SFTP (Shielded Foil Twisted Pair) - кабель, у якого загальний екран складаСФться з фольги й оплСЦтки.


Рис. 2.4. КабелСЦ кручена пара:

а - UTP категорСЦСЧ 3-5, б - UTP категорСЦСЧ 6, в - ScTP, FTP, г - SFTP, д - STP Турe 1, е - PiMF.

1 - провСЦд в СЦзоляцСЦСЧ, 2 - зовнСЦшня оболонка, 3 - сепаратор,

4 - екран з фольги, 5 - дренажний провСЦд, 6 - оплСЦтка, що екрануСФ

Екранована кручена пара (ЕКП), вона ж STP (Shielded Twisted Pair), маСФ багато рСЦзновидСЦв, але кожна пара обовтАЩязково маСФ "асний екран.

НайбСЦльше поширення одержали кабелСЦ з числом пар 2 СЦ 4. РЖснують СЦ подвСЦйнСЦ конструкцСЦСЧ - два кабелСЦ по двСЦ або чотири пари, укладенСЦ в сумСЦжнСЦ СЦзоляцСЦйнСЦ панчохи. У загальну панчоху можуть бути укладенСЦ СЦ кабелСЦ STP+UTP. З багатопарних популярнСЦ 25-парнСЦ, а також зборки по 6 штук

4-парних. КабелСЦ з великим числом пар (50, 100) застосовуються тСЦльки в телефонСЦСЧ, оскСЦльки виготовлення багатопарних кабелСЦв високих категорСЦй -дуже складна задача.

Для багатопарних кабелСЦв стандартизоване колСЦрне маркування проводСЦв, яке дозволяСФ швидко СЦ безпомилково виконувати СЧх обробку без попередньоСЧ перевСЦрки. Кожна пара маСФ умовно прямий (Tip) СЦ зворотний (Ring) провСЦд. Маркування для 25-парного кабелю наведенСЦ в табл. 2.2, для 4-парного - у табл. 2.3; крСЦм основного варСЦанта СЦснуСФ й альтернативне маркування.


Таблиця 2.2

КолСЦрне маркування 25-парного кабелю

№ пари

КолСЦр:

основний/смужки

Прямий (Tip)

Зворотний (Ring)

БСЦлий/синСЦй

СинСЦй/бСЦлий

БСЦлий/жовтогарячий

Жовтогарячий/бСЦлий

БСЦлий/зелений

Зелений/бСЦлий

БСЦлий/коричневий

Коричневий/бСЦлий

БСЦлий/сСЦрий

ССЦрий/бСЦлий

Червоний/синСЦй

СинСЦй/червоний

Червоний/жовтогарячий

Жовтогарячий/червоний

Червоний/зелений

Зелений/червоний

Червоний/коричневий

Коричневий/червоний

Червоний/сСЦрий

ССЦрий/червоний

Чорний/синСЦй

СинСЦй/чорний

Чорний/жовтогарячий

Жовтогарячий/чорний

Чорний/зелений

Зелений/чорний

Чорний/коричневий

Коричневий/чорний

Чорний /сСЦрий

ССЦрий/чорний

Жовтий/синСЦй

СинСЦй/жовтий

Жовтий/жовтогарячий

Жовтогарячий/жовтий

Жовтий/зелений

Зелений/жовтий

Жовтий/коричневий

Коричневий/жовтий

Жовтий/сСЦрий

ССЦрий/жовтий

ФСЦолетовий/синСЦй

СинСЦй/фСЦолетовий

ФСЦолетовий/жовтогарячий

Жовтогарячий/фСЦолетовий

ФСЦолетовий/зелений

Зелений/фСЦолетовий

ФСЦолетовий/коричневий

Коричневий/фСЦолетовий

ФСЦолетовий/сСЦрий

ССЦрий/фСЦолетовий


Таблиця 2.3

КолСЦрне маркування 4-парного кабелю

№ пари

КолСЦр: основний/смужки

Основний варСЦант (EIA/TIA 568A)

Альтернативний варСЦант

Прямий (Tip)

Зворотний (Ring)

Прямий (Tip)

Зворотний (Ring)

БСЦлий/зелений

Зелений

БСЦлий

СинСЦй

БСЦлий/жовтогарячий

Жовтогарячий

Чорний

Жовтий

БСЦлий/синСЦй

СинСЦй

Зелений

Червоний

БСЦлий/коричневий

Коричневий

Жовтогарячий

Коричневий


ДешевСЦ кабелСЦ найчастСЦше мають невиразне маркування - у парСЦ з кожним кольоровим проводом йде просто бСЦлий, що ускладнюСФ вСЦзуальний контроль правильностСЦ обтиску.

ЗтАЩСФднувальна апаратура забезпечуСФ можливСЦсть пСЦдключення до кабелСЦв, тобто надаСФ кабельнСЦ СЦнтерфейси. Для крученоСЧ пари маСФться рСЦзноманСЦтний асортимент конекторСЦв, призначених як для нерозтАЩСФмного, так СЦ розтАЩСФмного зтАЩСФднання проводСЦв, кабелСЦв СЦ шнурСЦв. З нерозтАЩСФмних конекторСЦв поширенСЦ розтАЩСФми типСЦв S110, S66 СЦ Krone, що СФ промисловими стандартами. Серед розтАЩСФмних найбСЦльш популярнСЦ стандартизованСЦ модульнСЦ розтАЩСФми (RJ-11, RJ-45 та СЦн.). ЗустрСЦчаються СЦ конектори фСЦрми IBM, уведенСЦ з мережами Token Ring, а також деякСЦ специфСЦчнСЦ нестандартизованСЦ конектори. БагатопарнСЦ кабелСЦ часто зтАЩСФднують 25-парними розтАЩСФмами Telco (RJ-21). До зтАЩСФднувальноСЧ апаратури вСЦдносяться СЦ рСЦзнСЦ адаптери, що дозволяють поСФднувати рСЦзнотипнСЦ кабельнСЦ СЦнтерфейси.

МодульнСЦ розтАЩСФми Modular Jack (гнСЦзда, розетки) СЦ Modular Plug (вилки) СФ розтАЩСФмами для 1-, 2-, 3-, 4-парних кабелСЦв категорСЦй 3 - 6. У кабельних системах застосовуються 8- СЦ 6-позицСЦйнСЦ розтАЩСФми, бСЦльше вСЦдомСЦ пСЦд назвами RJ-45 СЦ RJ-11 вСЦдповСЦдно. Уявлення про конструкцСЦСЧ вилок розповсюджених видСЦв розтАЩСФмСЦв надаСФ рис. 2.5.




Рис. 2.5. ГеометрСЦя модульних розеток:

а - 6-позицСЦйнСЦ, б - 8-позицСЦйнСЦ, в - модифСЦкованСЦ (MMJ), г - СЦз ключем


Коректне позначення для розетки, яка використовуСФться для пСЦдключення мережноСЧ апаратури, маСФ вигляд "Modular Jack 8P8C", для вилки - "Modular Plug 8Р8С", де 8Р указуСФ на розмСЦр (8-позицСЦйний), а 8С - на число контактСЦв (8). Для пСЦдключення телефонСЦв використовують конфСЦгурацСЦю 6Р4С (6 позицСЦй, 4 контакти). ЗустрСЦчаються й СЦншСЦ позначення, наприклад "Р-6-4" - вилка (plug) на 6 позицСЦй СЦ 4 контакти, "PS-8-8" - вилка екранована (plug shielded) на 8 позицСЦй СЦ 8 контактСЦв. 6-позицСЦйнСЦ вилки можуть бути вставленСЦ й у 8-позицСЦйнСЦ розетки, але не навпаки. КрСЦм звичайних симетричних розтАЩСФмСЦв (рис. 2.5, а СЦ б), зустрСЦчаються модифСЦкованСЦ (рис. 2.5, в) MMJ (Modified Modular Jack) СЦ з ключем (keyed, рис. 2.5, г). У деяких випадках застосовують СЦ 10-позицСЦйнСЦ 10-контактнСЦ розтАЩСФми.

Призначення контактСЦв модульних розтАЩСФмСЦв, якСЦ застосовуються у телекомунСЦкацСЦях, стандартизоване, розповсюдженСЦ варСЦанти наведенСЦ на рис. 3.6. НаведенСЦ розкладки розрСЦзняються положенням пар проводСЦв, кольори пар проводСЦв повиннСЦ вСЦдповСЦдати стандартнСЦй послСЦдовностСЦ EIA/TIA 568A: бСЦлозелений - зелений - бСЦложовтий - синСЦй - бСЦлосинСЦй - жовтий - бСЦлокоричневий - коричневий (табл. 2.4).


Рис. 2.6. Розкладка проводСЦв для модульних розтАЩСФмСЦв 10Base-T (100BaseTX)


МодульнСЦ вилки рСЦзних категорСЦй зовнСЦ можуть майже не вСЦдрСЦзнятися одна вСЦд одноСЧ, але мати рСЦзну конструкцСЦю (рис. 2.7). Вилки для категорСЦСЧ 5 можуть мати сепаратор, який надягаСФться на проводи до зборки й обтиску, що дозволяСФ скоротити довжину розплетеноСЧ частини кабелю СЦ полегшити розкладку проводСЦв. Проте сепаратор - не обовтАЩязковий атрибут вилок високих категорСЦй. Контакти при установцСЦ (обтиску) врСЦзаються в проводи крСЦзь СЦзоляцСЦю.

Вилки для одножильного СЦ багатожильного кабелю розрСЦзняються формою контактСЦв. ГолчастСЦ контакти (рис. 2.7, г) використовуються для багатожильного кабелю, голки встромляються мСЦж жилами проводСЦв, забезпечуючи надСЦйне зтАЩСФднання. Для одножильного кабелю використовуються контакти, якСЦ обтискують жилу з двох бокСЦв (рис. 2.7, д). Ряд фСЦрм випускаСФ й унСЦверсальнСЦ вилки, що надСЦйно зтАЩСФднуються з будь-яким кабелем вСЦдповСЦдного типу. Застосування типСЦв вилок, якСЦ не вСЦдповСЦдають кабелю, чревате великим вСЦдсотком браку СЦ недовговСЦчнСЦстю зтАЩСФднання. ПСЦд час обтиску вдавлюСФться СЦ виступ 3, що фСЦксуСФ кабель (ту частину, що ще в панчосСЦ). ФСЦксатор 2 служить для фСЦксацСЦСЧ вилки в розетцСЦ.

Досить бажаний аксесуар вилки - гумовий ковпачок, що надягаСФться позаду для помтАЩякшення навантаження на кабель у мСЦiСЦ його виходу з вилки. БСЦльш дорогСЦ ковпачки мають виступ, що захищаСФ фСЦксатор, СЦ обтСЦчну форму. ТакСЦ ковпачки кориснСЦ для комутацСЦйних шнурСЦв - вони дозволяють без ушкоджень витягати шнур з пучка "за хвСЦст" (вилка без ковпачкСЦв буде чСЦплятися своСЧми кутами СЦ виступаючим фСЦксатором за СЦншСЦ проводи).



Рис. 2.7. МодульнСЦ вилки:

а - СЦз сепаратором (розрСЦз), б - без сепаратора (розрСЦз), в - у зборСЦ з ковпачком, г - контакт для багатожильного кабелю, д - для одножильного кабелю


МодульнСЦ вилки допускають тСЦльки однократну установку. До установки контакти в них пСЦднятСЦ над каналами для проводСЦв, затиск для кабелю не продавлений. У такому положеннСЦ в розетки вони не входять. При установцСЦ контактСЦв затиск для кабелю вдавлюСФться всередину. Вилки рСЦзних виробникСЦв розрСЦзняються кСЦлькСЦстю точок закрСЦплення кабелю СЦ зручнСЦстю установки. Для установки вилок СЦснуСФ спецСЦальний обтискний СЦнструмент (crimping tool), без якого якСЦсна обробка кабелю неможлива. ЯкСЦсна СЦ надСЦйна установка вилок вимагаСФ навичок, оскСЦльки контроль якостСЦ цСЦСФСЧ операцСЦСЧ проблематичний, в особливо вСЦдповСЦдальних випадках СФ сенс придбати фСЦрмовСЦ шнури заводського виготовлення.


2.3 КоаксСЦальний кабель (coaxial cable)


КоаксСЦальний кабель (coaxial cable, або coax) усе ще залишаСФться одним з можливих варСЦантСЦв кабелю для горизонтальних пСЦдсистем, особливо у випадках, коли високий рСЦвень електромагнСЦтних перешкод не дозволяСФ використовувати кручену пару, або ж невеликСЦ розмСЦри мережСЦ не створюють великих проблем з експлуатацСЦСФю кабельноСЧ системи.

Товстий Ethernet маСФ в порСЦвняннСЦ з тонким бСЦльшу пропускну спроможнСЦсть, вСЦн бСЦльш стСЦйкий до ушкоджень СЦ передаСФ данСЦ на великСЦ вСЦдстанСЦ, однак до нього складнСЦше приСФднатися СЦ вСЦн менш гнучкий. З товстим Ethernet складнСЦше працювати, СЦ вСЦн мало пСЦдходить для горизонтальних пСЦдсистем. Однак його можна використовувати у вертикальнСЦй пСЦдсистемСЦ як магСЦстраль, якщо оптоволоконний кабель з якихось причин не пСЦдходить.

Тонкий Ethernet - це кабель, що повинен був вирСЦшити проблеми, позвтАЩязанСЦ з застосуванням товстого Ethernet. До появи стандарту 10Base-T тонкий Ethernet був основним кабелем для горизонтальних пСЦдсистем. Тонкий Ethernet простСЦше монтувати, нСЦж товстий. МережСЦ з тонкого Ethernet можна швидко зСЦбрати тому, що комптАЩютери зтАЩСФднуються один з одним безпосередньо.

Головний недолСЦк тонкого Ethernet - складнСЦсть його обслуговування. Кожен кСЦнець кабелю повинен закСЦнчуватися термСЦнатором 50 Ом. При вСЦдсутностСЦ термСЦнатора або втратСЦ ним своСЧх робочих "астивостей (наприклад, через вСЦдсутнСЦсть контакту) перестаСФ працювати весь сегмент мережСЦ, пСЦдключений до цього кабелю. АналогСЦчнСЦ наслСЦдки маСФ погане зтАЩСФднання будь-якоСЧ робочоСЧ станцСЦСЧ (яке здСЦйснюСФться через Т-конектор). НесправностСЦ в мережах на тонкому Ethernet складно локалСЦзувати. Часто доводиться вСЦдтАЩСФднувати Т-конектор вСЦд мережного адаптера, тестувати кабельний сегмент СЦ потСЦм послСЦдовно повторювати цю процедуру для всСЦх приСФднаних вузлСЦв. Тому вартСЦсть експлуатацСЦСЧ мережСЦ на тонкому Ethernet звичайно значно перевищуСФ вартСЦсть експлуатацСЦСЧ аналогСЦчноСЧ мережСЦ на крученСЦй парСЦ, хоча капСЦтальнСЦ витрати на кабельну систему для тонкого Ethernet звичайно нижче.

КоаксСЦальний кабель як середовище передачСЦ даних використовуСФться тСЦльки в застарСЦлих мережних технологСЦях Ethernet 10Base5, Ethernet 10Base2 СЦ ARCnet. КрСЦм того, вСЦн використовуСФться в кабельному телебаченнСЦ (CATV) як антенний кабель.

КоаксСЦальний кабель маСФ конструкцСЦю, схематично представлену на рис. 2.8.



Електричними провСЦдниками СФ центральна жила СЦ екрануюча оплСЦтка. ДСЦаметр жили СЦ внутрСЦшнСЦй дСЦаметр оплСЦтки, а також дСЦелектрична проникнСЦсть СЦзоляцСЦСЧ мСЦж ними визначають частотнСЦ "астивостСЦ кабелю. МатерСЦал СЦ перерСЦз провСЦдникСЦв з СЦзоляцСЦСФю визначають втрати сигналу в кабелСЦ та його СЦмпеданс. В СЦдеальному випадку електричне СЦ магнСЦтне поля, що утворюються при проходженнСЦ сигналу, цСЦлком залишаються всерединСЦ кабелю, так що коаксСЦальний кабель не створюСФ електромагнСЦтних перешкод. Також вСЦн малочутливий до зовнСЦшнСЦх перешкод (якщо вСЦн знаходиться в однорСЦдному полСЦ перешкод). На практицСЦ, звичайно ж, коаксСЦальний кабель СЦ випромСЦнюСФ, СЦ приймаСФ перешкоди, але у вСЦдносно невеликому ступенСЦ. Найкращий за "астивостями коаксСЦальний кабель, який застосовуСФться в телекомунСЦкацСЦях, товстий жовтий кабель Ethernet маСФ посрСЦблену центральну жилу товщиною 2 мм СЦ подвСЦйний шар екрануючоСЧ оплСЦтки. КоаксСЦальний кабель використовуСФться тСЦльки при асиметричнСЦй передачСЦ сигналСЦв, оскСЦльки вСЦн сам принципово асиметричний.

Головний недолСЦк коаксСЦального кабелю - обмежена пропускна спроможнСЦсть: у локальних мережах це 10 МбСЦт/с, яка досягнута у технологСЦСЧ Ethernet 10Base-2 СЦ 10Base-5. У залежностСЦ вСЦд застосування використовуСФться коаксСЦальний кабель з рСЦзними значеннями СЦмпедансу: 50 Ом - Ethernet, 75 Ом - передача радСЦо- СЦ телевСЦзСЦйних сигналСЦв, 93 Ом - у ЛКМ ARCnet.

Для зтАЩСФднання коаксСЦального кабелю застосовують коаксСЦальнСЦ конектори (рис. 2.9). Щоб не виникало луни на кСЦнцях, кожен кабельний сегмент повинен закСЦнчуватися термСЦнатором - резистором, опСЦр якого збСЦгаСФться з СЦмпедансом кабелю. ТермСЦнатор може бути зовнСЦшнСЦм - пСЦдключатися до конектору на кСЦнцСЦ кабелю, або внутрСЦшнСЦм - знаходитись усерединСЦ пристрою, що пСЦдключаСФться цим кабелем. Для кожного коаксСЦального кабелю характерний свСЦй набСЦр аксесуарСЦв СЦ правил пСЦдключення (топологСЦчних обмежень). Тут буде розглянуте застосування коаксСЦала тСЦльки для технологСЦСЧ Ethernet. ТехнологСЦя ARCnet, що також використовуСФ коаксСЦальний кабель, уже давно не розвиваСФться СЦ не пСЦдтримуСФться стандартами СКС.

Рис. 2.9. КоаксСЦальнСЦ конектори:

а - вилка, б - I-конектор, в, г - термСЦнатори, д - перехСЦдник до BNC


КоаксСЦальнСЦ кабелСЦ застосовуються в технологСЦях Ethernet 10Base-5 ("товстий" кабель, класичний Ethernet) СЦ 10Base-2 ("тонкий" кабель, CheaperNet) зСЦ швидкСЦстю передачСЦ 10 МбСЦт/с. Ethernet для коаксСЦала допускаСФ тСЦльки шинну топологСЦю, Т-подСЦбнСЦ вСЦдгалуження для пСЦдключення абонентСЦв неприпустимСЦ. Кабельний сегмент (послСЦдовнСЦсть електрично зтАЩСФднаних вСЦдрСЦзкСЦв) повинен мати на кСЦнцях 50-ОмнСЦ зовнСЦшнСЦ термСЦнатори (2 шт.). Неправильний термСЦнований сегмент (термСЦнатори вСЦдсутнСЦ або СЧх опСЦр не 50 Ом) СФ непрацездатним. До вСЦдмови всього сегмента призводить обрив або коротке замикання в будь-якСЦй його частинСЦ (не зможуть звтАЩязатися абоненти, розташованСЦ навСЦть з однСЦСФСЧ сторони обриву). Кожен сегмент повинен заземлюватися в однСЦй (СЦ тСЦльки однСЦй!) точцСЦ. КабелСЦ компонуються коаксСЦальними вилками з обох бокСЦв. Для поСФднання вСЦдрСЦзкСЦв кабелю застосовують I-конектори (N СЦ BNC, у залежностСЦ вСЦд типу кабелю).

Переважним кабелем для горизонтальноСЧ пСЦдсистеми СФ неекранована кручена пара категорСЦСЧ 5. РЗСЧ позицСЦСЧ ще бСЦльш змСЦцняться з прийняттям специфСЦкацСЦСЧ 802.3аb для застосування на цьому видСЦ кабелю технологСЦСЧ Gigabit Ethernet.

На рис. 2.10 показанСЦ типовСЦ комутацСЦйнСЦ елементи структурованоСЧ кабельноСЧ системи, якСЦ застосованСЦ на поверсСЦ при прокладцСЦ неекранованоСЧ крученоСЧ пари. Для скорочення кСЦлькостСЦ кабелСЦв тут установленСЦ 25-парний кабель СЦ розтАЩСФм для такого типу кабелю Telco, який маСФ 50 контактСЦв.

Кабель вертикальноСЧ (або магСЦстральноСЧ) пСЦдсистеми, що зтАЩСФднуСФ поверхи будинку, повинен передавати данСЦ на великСЦ вСЦдстанСЦ СЦ з бСЦльшою швидкСЦстю в порСЦвняннСЦ з кабелем горизонтальноСЧ пСЦдсистеми. У минулому основним видом кабелю для вертикальних пСЦдсистем був коаксСЦал. Тепер для цСЦСФСЧ мети все частСЦше використовуСФться оптоволоконний кабель.

Для вертикальноСЧ пСЦдсистеми вибСЦр кабелю на даний час обмежуСФться трьома варСЦантами:

Оптоволокно - вСЦдмСЦннСЦ характеристики пропускноСЧ спроможностСЦ, вСЦдстанСЦ СЦ захисту даних, стСЦйкСЦсть до електромагнСЦтних перешкод. Може передавати голос, вСЦдео СЦ данСЦ. ПорСЦвняно дорогий та складний в обслуговуваннСЦ.

Товстий коаксСЦал - гарнСЦ характеристики пропускноСЧ спроможностСЦ, вСЦдстанСЦ СЦ захисту даних, може передавати данСЦ. Але з ним складно працювати.

Широкосмуговий кабель, який використовуСФться у кабельному телебаченнСЦ - гарнСЦ показники пропускноСЧ спроможностСЦ СЦ вСЦдстанСЦ. Може передавати голос, вСЦдео СЦ данСЦ. ПотрСЦбнСЦ великСЦ витрати пСЦд час експлуатацСЦСЧ.

Рис. 2.10. КомутацСЦйнСЦ елементи горизонтальноСЧ пСЦдсистеми


2.4 Оптоволоконний кабель


ОсновнСЦ областСЦ застосування оптоволоконного кабелю - вертикальна пСЦдсистема СЦ пСЦдсистеми кампусСЦв. Однак, якщо потрСЦбен високий ступСЦнь захищеностСЦ даних, висока пропускна спроможнСЦсть або стСЦйкСЦсть до електромагнСЦтних перешкод, волоконно-оптичний кабель може використовуватися й у горизонтальних пСЦдсистемах. З волоконно-оптичним кабелем працюють протоколи AppleTalk, ArcNet, Ethernet, FDDI СЦ Token Ring, l00VG-AnyLAN, Fast Ethernet, ATM.

ВартСЦсть установки мереж на оптоволоконному кабелСЦ для горизонтальноСЧ пСЦдсистеми виявляСФться досить високою. Ця вартСЦсть складаСФться з вартостСЦ мережних адаптерСЦв СЦ вартостСЦ монтажних робСЦт, що у випадку оптоволокна набагато вище, нСЦж при роботСЦ з СЦншими видами кабелю.

Застосування волоконно-оптичного кабелю у вертикальнСЦй пСЦдсистемСЦ маСФ ряд переваг. ВСЦн передаСФ данСЦ на дуже великСЦ вСЦдстанСЦ без необхСЦдностСЦ регенерацСЦСЧ сигналу. ВСЦн маСФ осердя меншого дСЦаметра, тому може бути прокладений у вужчих мСЦiях. Оптоволоконний кабель нечутливий до електромагнСЦтних СЦ радСЦочастотних перешкод, на вСЦдмСЦну вСЦд мСЦдного коаксСЦального кабелю тому, що сигнали СФ свСЦтловими, а не електричними. Це робить оптоволоконний кабель СЦдеальним середовищем передачСЦ даних для промислових мереж. Оптоволоконному кабелю не страшна блискавка, тому вСЦн пСЦдходить для зовнСЦшньоСЧ прокладки. ВСЦн забезпечуСФ бСЦльш високий ступСЦнь захисту вСЦд несанкцСЦонованого доступу тому, що вСЦдгалуження набагато легше знайти, нСЦж у випадку мСЦдного кабелю (при вСЦдгалуженнСЦ рСЦзко зменшуСФться СЦнтенсивнСЦсть свСЦтла).

Оптоволоконний кабель маСФ СЦ недолСЦки. ВСЦн дорожчий за мСЦдний кабель, дорожче обходиться СЦ його прокладка. Оптоволоконний кабель менш мСЦцний, нСЦж коаксСЦальний. РЖнструменти, якСЦ використовуються при прокладцСЦ СЦ тестуваннСЦ оптоволоконного кабелю, мають високу вартСЦсть СЦ складнСЦ в роботСЦ. ПриСФднання конекторСЦв до оптоволоконого кабелю вимагаСФ великого мистецтва СЦ часу, а отже, СЦ грошей.

Для зменшення вартостСЦ побудови мСЦжповерховоСЧ магСЦстралСЦ на оптоволокнСЦ деякСЦ компанСЦСЧ, наприклад AMP, пропонують кабельну систему з одним комутацСЦйним центром. Звичайно, комутацСЦйний центр СФ на кожному поверсСЦ, а в будинку маСФться загальний комутацСЦйний центр (рис. 3.10), який зтАЩСФднуСФ мСЦж собою комутацСЦйнСЦ центри поверхСЦв. При такСЦй традицСЦйнСЦй схемСЦ СЦ використаннСЦ волоконно-оптичного кабелю мСЦж поверхами потрСЦбно виконувати досить велике число оптоволоконних зтАЩСФднань в комутацСЦйних центрах поверхСЦв. Якщо ж комутацСЦйний центр у будинку один, то всСЦ оптичнСЦ кабелСЦ розходяться з СФдиноСЧ кросовоСЧ шафи прямо до розтАЩСФмСЦв кСЦнцевого устаткування - комутаторСЦв, концентраторСЦв або мережних адаптерСЦв з оптоволоконними трансиверами.

Товстий коаксСЦальний кабель також можливо використовувати як магСЦстраль мережСЦ, однак для нових кабельних систем бСЦльш рацСЦонально використовувати оптоволоконний кабель тому, що вСЦн маСФ бСЦльший термСЦн служби СЦ зможе в майбутньому пСЦдтримувати високошвидкСЦснСЦ СЦ мультимедСЦйнСЦ прикладення. Але для вже СЦснуючих систем товстий коаксСЦальний кабель служив магСЦстраллю системи багато рокСЦв, СЦ з цим потрСЦбно рахуватися. Причинами його широкого застосування були: широка смуга пропускання, висока захищенСЦсть вСЦд електромагнСЦтних перешкод СЦ низьке радСЦовипромСЦнювання.

Хоча товстий коаксСЦальний кабель СЦ дешевше, нСЦж оптоволокно, але з ним набагато складнСЦше працювати. ВСЦн особливо чутливий до рСЦзних рСЦвнСЦв напруги заземлення, що часто буваСФ при переходСЦ вСЦд одного поверху до СЦншого. Цю проблему складно обСЦйти, тому "кабелем номер один" для горизонтальноСЧ пСЦдсистеми сьогоднСЦ СФ волоконно-оптичний кабель.

Як СЦ для вертикальних пСЦдсистем, оптоволоконний кабель СФ найкращим вибором для пСЦдсистем декСЦлькох будинкСЦв, розташованих у радСЦусСЦ декСЦлькох кСЦлометрСЦв. Для цих пСЦдсистем також пСЦдходить товстий коаксСЦальний кабель.

При виборСЦ кабелю для кампусу потрСЦбно враховувати вплив середовища на кабель поза примСЦщенням. Для запобСЦгання ураження блискавкою краще вибрати для зовнСЦшньоСЧ проводки неметалевий оптоволоконний кабель. З багатьох причин зовнСЦшнСЦй кабель виробляСФться в полСЦетиленовСЦй захиснСЦй оболонцСЦ високоСЧ щСЦльностСЦ. При пСЦдземнСЦй прокладцСЦ кабель повинен мати спецСЦальну вологозахисну оболонку (вСЦд дощу СЦ пСЦдземноСЧ вологи), а також металевий захисний шар вСЦд гризунСЦв СЦ вандалСЦв. Вологозахищений кабель маСФ прошарок з СЦнертного газу мСЦж дСЦелектриком, екраном СЦ зовнСЦшньою оболонкою.


2.5 Висновок


Детальний аналСЦз фСЦзичноСЧ сутностСЦ та порядка використання каналСЦв передачСЦ даних в гетерогенних комптАЩютерних мережах дозволив зробити ряд висновкСЦв:

використання каналСЦв передачСЦ даних при побудовСЦ гетерогенних комптАЩютерних мережах вСЦдбуваСФться в рамках структурованоСЧ кабельноСЧ системи;

типова СЦСФрархСЦчна структура структурованоСЧ кабельноСЧ системи включаСФ: горизонтальнСЦ пСЦдсистеми; вертикальнСЦ пСЦдсистеми; пСЦдсистему кампусу;

використання структурованоСЧ кабельноСЧ системи даСФ багато переваг: унСЦверсальнСЦсть, збСЦльшення термСЦну служби, зменшення вартостСЦ добавлення нових користувачСЦв СЦ змСЦни мСЦiь СЧх розташування, можливСЦсть легкого розширення мережСЦ, забезпечення ефективнСЦшого обслуговування, надСЦйнСЦсть;

при виборСЦ типу кабелю приймають до уваги такСЦ характеристики: пропускна спроможнСЦсть, вСЦдстань, фСЦзична захищенСЦсть, електромагнСЦтна перешкодозахищенСЦсть, вартСЦсть;

найбСЦльш поширеними СФ такСЦ типи кабелю: кручена пара (екранована СЦ неекранована), коаксСЦальний кабель, оптоволоконний кабель (одно- СЦ багатомодовий);

для горизонтальноСЧ пСЦдсистеми найбСЦльш прийнятним варСЦантом СФ неекранована кручена пара, для вертикальноСЧ пСЦдсистеми СЦ пСЦдсистеми кампусу - оптоволоконний кабель або коаксСЦал;

КрСЦм того, результати аналСЦзу побудованоСЧ моделСЦ комп'ютерноСЧ мережСЦ за допомогою програмного пакету проектування СЦ моделювання гетерогенних комп'ютерних мереж NetCracker Professional дозволили зробити висновок, про те що вибранСЦ технологСЦСЧ СЦ фСЦзичне середовище каналСЦв передачСЦ даних в мережСЦ дозволяють функцСЦонувати даноСЧ ГКМ в повному об'СФмСЦ покладених на неСЧ функцСЦй по обмСЦну СЦнформацСЦСФю мСЦж хостами мережСЦ.


РоздСЦл 3. СутнСЦсть СЦснуючих методСЦв доступу до каналСЦв комптАЩютерних мереж


Методи доступу до загального подСЦлюваного середовища передачСЦ даних можна роздСЦлити на два великих класи: випадковСЦ СЦ детермСЦнованСЦ.

ВипадковСЦ методи доступу передбачають можливСЦсть захвату загального подСЦлюваного середовища передачСЦ даних будь-яким вузлом мережСЦ у довСЦльний випадковий момент часу, якщо в даний момент вСЦн вважаСФ середовище вСЦльним.

Через це не виключена можливСЦсть одночасного захоплення середовища двома або бСЦльше станцСЦями мережСЦ, що призводить до помилок передачСЦ даних. Таке явище називаСФться колСЦзСЦСФю. Таким чином, колСЦзСЦя в середовищСЦ передачСЦ - це спотворення даних, викликане накладенням сигналСЦв при одночаснСЦй передачСЦ кадрСЦв декСЦлькома станцСЦями.

ДетермСЦнованСЦ методи, навпаки, передбачають можливСЦсть надання загального середовища в розпорядження вузла мережСЦ за суворо визначеним (детермСЦнованим) порядком. При використаннСЦ детермСЦнованих методСЦв колСЦзСЦСЧ неможливСЦ, але вони СФ бСЦльш складними в реалСЦзацСЦСЧ СЦ збСЦльшують вартСЦсть мережного обладнання.


3.1 Метод доступу до каналСЦв комптАЩютерних мереж з перевСЦркою несучоСЧ та виявленням колСЦзСЦй CSMA/CD


Метод багатостанцСЦйного доступу до середовища з контролем несучоСЧ та виявленням колСЦзСЦй (Carrier Sense Multiply Access / Collision Detection - CSMA/CD) походить вСЦд радСЦомереж.

Дана схема являСФ собою схему зСЦ змаганням, у якСЦй мережнСЦ вузли змагаються за право використання середовища. Вузол, що виграв змагання, може передати один пакет, а потСЦм повинен звСЦльнити середовище для СЦнших вузлСЦв. Якщо вузол вже використовуСФ середовище, всСЦ СЦншСЦ вузли повиннСЦ вСЦдкласти своСЧ передачСЦ, поки не звСЦльниться середовище. При цьому здСЦйснюСФться перевСЦрка активностСЦ середовища (контроль несучоСЧ), коли вСЦдсутнСЦсть активностСЦ означаСФ, що середовище вСЦльне. ТодСЦ передачу можуть почати вСЦдразу декСЦлька вузлСЦв. Якщо один вузол встиг почати передачу, середовище стаСФ зайнятим, а всСЦ СЦншСЦ вузли, що спСЦзнились, повиннСЦ чекати на його звСЦльнення. Але якщо декСЦлька вузлСЦв починають передачу майже одночасно, спостерСЦгаСФться колСЦзСЦя. У цьому випадку всСЦ передавачСЦ повиннСЦ припинити свою передачу СЦ зачекати деякий час перед СЧСЧ поновленням. Щоб уникнути повторення колСЦзСЦй, час чекання вибираСФться випадковим чином.

Рис. 3.1 представляСФ дСЦаграму станСЦв, яка СЦлюструСФ операцСЦСЧ канального рСЦвня, що реалСЦзуСФ схему CSMA/CD. Значну частину часу канальний рСЦвень знаходиться в станСЦ прослуховування каналу звтАЩязку. У цьому станСЦ аналСЦзуються всСЦ кадри, переданСЦ фСЦзичним рСЦвнем (середовищем). Якщо заголовок кадру мСЦстить адресу отримувача, що збСЦгаСФться з адресою вузла, канальний рСЦвень переходить до стану прийому, пСЦд час якого вСЦдбуваСФться прийом кадру.



Рис. 3.1. Алгоритм CSMA/CD


Коли прийом кадру завершений, про це повСЦдомляСФться вищому (мережному) рСЦвню мережСЦ, а канальний рСЦвень повертаСФться до стану прослуховування. Можливо, що колСЦзСЦя вСЦдбудеться пСЦд час прийому кадру. У цьому випадку прийом кадру перериваСФться СЦ канальний рСЦвень переходить до стану прослуховування. Кадр можна передати в середовище тСЦльки за запитом мережного рСЦвня. Коли робиться такий запит СЦ вузол не знаходиться в станСЦ прийому, канальний рСЦвень переходить до стану чекання. У цьому станСЦ вузол чекаСФ, коли середовище звСЦльниться. ПСЦсля звСЦльнення середовища починаСФться передача кадру. Якщо передача завершуСФться успСЦшно (без колСЦзСЦСЧ), стан знову змСЦнюСФться на стан прослуховування. Якщо пСЦд час передачСЦ кадру трапляСФться колСЦзСЦя, передача перериваСФться СЦ СЧСЧ треба повторити знову. При цьому стан змСЦнюСФться на стан затримки. У цьому станСЦ вузол знаходиться деякий час СЦ потСЦм знову переходить до стану чекання.

Час затримки при кожнСЦй колСЦзСЦСЧ обчислюСФться щоразу наново. РЖснуСФ багато способСЦв обчислення часу затримки. Основна мета полягаСФ в недопущеннСЦ таких блокувань, СЦз яких пара вузлСЦв, що викликали колСЦзСЦю, не може вийти. Наприклад, такСЦ блокування могли б зустрСЦтися, якби час затримки був однаковим для всСЦх вузлСЦв мережСЦ. ПСЦсля колСЦзСЦСЧ обидва вузли затримали б своСЧ операцСЦСЧ на той самий час, а потСЦм одночасно виявили, що середовище вСЦльне, СЦ знову одночасно почали передачу. У результатСЦ виявилася б ще одна колСЦзСЦя, СЦ цей процес нСЦколи не скСЦнчився. Одним СЦз способСЦв запобСЦгання взаСФмних блокувань СФ вибСЦр часу затримки, пропорцСЦйний значенню адреси вузла (ID). Це ефективний спосСЦб, однак вСЦн забезпечуСФ певнСЦ переваги вузлам СЦз меншими значеннями адрес. ПСЦсля колСЦзСЦСЧ час затримки для вузла з найнижчим значенням адреси закСЦнчуСФться швидше СЦнших, СЦ вСЦн захоплюСФ середовище. РЖншСЦ вузли, звтАЩязанСЦ з колСЦзСЦСФю, при виходСЦ зСЦ стану затримки знаходять середовище зайнятим. В СЦншому способСЦ час затримки вибираСФться випадково. Цей спосСЦб не припускаСФ нСЦяких прСЦоритетСЦв, але вСЦн не застрахований вСЦд наступних колСЦзСЦй. У цьому випадку не можна гарантувати можливостСЦ передачСЦ кадру протягом якогось фСЦксованого вСЦдрСЦзка часу тому, що можуть зустрСЦчатися повторнСЦ колСЦзСЦСЧ, кСЦлькСЦсть яких невизначена.

Ethernet - це найпоширенСЦший стандарт локальних мереж. У мережах Ethernet використовуСФться метод доступу до середовища передачСЦ даних CSMA/CD.

Цей метод застосовуСФться винятково в мережах СЦз логСЦчною загальною шиною. Одночасно всСЦ комптАЩютери мережСЦ мають можливСЦсть негайно (СЦз врахуванням затримки поширення сигналу по фСЦзичному середовищу) одержати данСЦ, якСЦ будь-який з комптАЩютерСЦв почав передавати на загальну шину (рис. 3.2). Простота схеми пСЦдключення - це один з факторСЦв, що визначили успСЦх стандарту Ethernet. Кажуть, що кабель, до якого пСЦдключенСЦ всСЦ станцСЦСЧ, працюСФ в режимСЦ колективного доступу (Multiply Access - MA).


Рис. 3.2. Метод випадкового доступу CSMA/CD


ВсСЦ данСЦ, переданСЦ по мережСЦ, розмСЦщуються в кадри визначеноСЧ структури СЦ супроводжуються унСЦкальною адресою станцСЦСЧ-отримувача.

Щоб одержати можливСЦсть передавати кадр, станцСЦя повинна переконатися, що подСЦлюване середовище вСЦльне. Це досягаСФться прослуховуванням основноСЧ гармонСЦки сигналу, що також називаСФться несучою частотою (Carrier Sense - CS). Ознакою незайнятостСЦ середовища СФ вСЦдсутнСЦсть в ньому несучоСЧ частоти, яка при манчестерському способСЦ кодування дорСЦвнюСФ 5 Г· 10 МГц, у залежностСЦ вСЦд послСЦдовностСЦ одиниць СЦ нулСЦв, переданих на даний момент.

Якщо середовище вСЦльне, то вузол маСФ право почати передачу кадру. Цей кадр зображений на рис. 3.2 першим. Вузол 1 виявив, що середовище вСЦльне, СЦ почав передавати свСЦй кадр. У класичнСЦй мережСЦ Ethernet на коаксСЦальному кабелСЦ сигнали передавача вузла 1 поширюються в обидва боки так, що СЧх одержують всСЦ вузли мережСЦ. Кадр даних завжди супроводжуСФться преамбулою (preamble), що складаСФться з 7 байтСЦв, якСЦ складаються СЦз значень 10101010, СЦ 8-го байта, рСЦвного 10101011. Преамбула потрСЦбна для входження приймача в побСЦтовий СЦ побайтовий синхронСЦзм СЦз передавачем.

ВсСЦ станцСЦСЧ, пСЦдключенСЦ до кабелю, можуть розпСЦзнати факт передачСЦ кадру, СЦ та станцСЦя, яка розпСЦзнаСФ "асну адресу в заголовках кадру, записуСФ його вмСЦст у свСЦй внутрСЦшнСЦй буфер, оброблюСФ отриманСЦ данСЦ, передаСФ СЧх нагору по своСФму стеку, а потСЦм посилаСФ по кабелю кадр-вСЦдповСЦдь. Адреса станцСЦСЧ-вСЦдправника мСЦститься у вихСЦдному кадрСЦ, тому станцСЦя-отримувач знаСФ, кому потрСЦбно надСЦслати вСЦдповСЦдь. Вузол 2 пСЦд час передачСЦ кадру вузлом 1 також намагався почати передачу свого кадру, однак виявив, що середовище зайняте - в ньому присутня несуча частота - тому вузол 2 змушений чекати, поки вузол 1 не припинить передачу кадру.

ПСЦсля закСЦнчення передачСЦ кадру всСЦ вузли мережСЦ зобовтАЩязанСЦ витримати технологСЦчну паузу (Inter Packet Gap) у 9,6 мкс. Ця пауза - так званий мСЦжкадровий СЦнтервал - потрСЦбна для приведення мережних адаптерСЦв до вихСЦдного стану, а також для запобСЦгання монопольного захоплення середовища однСЦСФю станцСЦСФю. ПСЦсля закСЦнчення технологСЦчноСЧ паузи вузли мають право почати передачу свого кадру тому, що середовище вСЦльне. Через затримку поширення сигналу по кабелю не всСЦ вузли чСЦтко одночасно фСЦксують факт закСЦнчення передачСЦ кадру вузлом 1. У наведеному прикладСЦ вузол 2 дочекався закСЦнчення передачСЦ кадру вузлом 1, зробив паузу в 9,6 мкс СЦ почав передачу свого кадру.


3.2 Методи подолання колСЦзСЦй


При описаному пСЦдходСЦ можлива ситуацСЦя, коли двСЦ станцСЦСЧ одночасно намагаються передати кадр даних по загальному середовищу. МеханСЦзм прослуховування середовища СЦ паузи мСЦж кадрами не гарантують вСЦд виникнення такоСЧ ситуацСЦСЧ, коли двСЦ або бСЦльше станцСЦй одночасно вирСЦшують, що середовище вСЦльне, СЦ починають передавати своСЧ кадри. Вважають, що при цьому вСЦдбуваСФться колСЦзСЦя (collision) тому, що вмСЦст обох кадрСЦв зСЦштовхуСФться на загальному кабелСЦ СЦ вСЦдбуваСФться перекручування СЦнформацСЦСЧ - методи кодування, використовуванСЦ в Ethernet, не дозволяють видСЦляти сигнали кожноСЧ станцСЦСЧ з загального сигналу.

КолСЦзСЦя - це нормальна ситуацСЦя в роботСЦ мереж Ethernet. У прикладСЦ, зображеному на рис. 3.3, колСЦзСЦю породила одночасна передача даних вузлами 3 СЦ 1. Для виникнення колСЦзСЦСЧ необовтАЩязково, щоб декСЦлька станцСЦй почали передачу абсолютно одночасно, така ситуацСЦя малоймовСЦрна. Набагато ймовСЦрнСЦше, що колСЦзСЦя виникаСФ через те, що один вузол починаСФ передачу ранСЦше другого, але до другого вузла сигнали першого просто не встигають дСЦйти на той час, коли другий вузол вирСЦшуСФ почати передачу свого кадру. Тобто колСЦзСЦСЧ - це наслСЦдок розподСЦленого характеру мережСЦ.

Щоб коректно обробити колСЦзСЦю, всСЦ станцСЦСЧ одночасно спостерСЦгають за виникаючими у кабелСЦ сигналами. Якщо переданСЦ сигнали СЦ сигнали, що спостерСЦгаються, вСЦдрСЦзняються, то фСЦксуСФться виявлення колСЦзСЦСЧ (collision detection, CD). Для збСЦльшення СЦмовСЦрностСЦ швидкого виявлення колСЦзСЦСЧ всСЦма станцСЦями мережСЦ станцСЦя, що виявила колСЦзСЦю, перериваСФ передачу свого кадру (у довСЦльному мСЦiСЦ, можливо, СЦ не на межСЦ байта) СЦ пСЦдсилюСФ ситуацСЦю колСЦзСЦСЧ посиланням в мережу спецСЦальноСЧ послСЦдовностСЦ з 32-х бСЦтСЦв - так званоСЧ jam-послСЦдовностСЦ.



ПСЦсля цього передаюча станцСЦя, яка виявила колСЦзСЦю, зобовтАЩязана припинити передачу СЦ зробити паузу протягом короткого випадкового СЦнтервалу часу. ПотСЦм вона може знову почати спробу захоплення середовища СЦ передачСЦ кадру. ТривалСЦсть випадковоСЧ паузи вибираСФться за виразом


Пауза = T × L,

де        T - СЦнтервал чекання, який дорСЦвнюСФ 512 бСЦтовим СЦнтервалам (у технологСЦСЧ Ethernet прийнято всСЦ СЦнтервали вимСЦрювати в бСЦтових СЦнтервалах; бСЦтовий СЦнтервал позначаСФться як bt СЦ вСЦдповСЦдаСФ часу мСЦж появою двох послСЦдовних бСЦтСЦв даних на кабелСЦ; для швидкостСЦ 10 МбСЦт/с розмСЦр бСЦтового СЦнтервалу дорСЦвнюСФ 0,1 мкс або 100 нс);

L - цСЦле число, обране з рСЦвною СЦмовСЦрнСЦстю з дСЦапазону [0, 2N], де N - номер повторноСЧ спроби передачСЦ даного кадру: 1, 2,..., 10.

ПСЦсля 10-СЧ спроби СЦнтервал, СЦз якого вибираСФться пауза, не збСЦльшуСФться. Таким чином, випадкова пауза може приймати значення вСЦд 0 до 52,4 мс.

Якщо 16 послСЦдовних спроб передачСЦ кадру викликають колСЦзСЦю, то передавач повинен припинити спроби СЦ видалити цей кадр.

РЖз описання методу доступу CSMA/CD видно, що вСЦн носить ймовСЦрнСЦсний характер, СЦ ймовСЦрнСЦсть успСЦшного одержання у своСФ розпорядження загального середовища залежить вСЦд завантаженостСЦ мережСЦ, тобто вСЦд СЦнтенсивностСЦ виникнення у станцСЦй потреби в передачСЦ кадрСЦв. При розробцСЦ цього методу наприкСЦнцСЦ 70-х рокСЦв передбачалося, що швидкСЦсть передачСЦ даних у 10 МбСЦт/с дуже висока в порСЦвняннСЦ з потребами комптАЩютерСЦв у взаСФмному обмСЦнСЦ даними, тому завантаження мережСЦ буде завжди невеликим. Це припущення залишаСФться СЦнодСЦ справедливим СЦ донинСЦ, однак уже зтАЩявилися прикладення, якСЦ працюють у реальному масштабСЦ часу з мультимедСЦйною СЦнформацСЦСФю, що дуже завантажують сегменти Ethernet. При цьому колСЦзСЦСЧ виникають набагато частСЦше. При значнСЦй СЦнтенсивностСЦ колСЦзСЦй корисна пропускна спроможнСЦсть мережСЦ Ethernet рСЦзко падаСФ тому, що мережа майже постСЦйно зайнята повторними спробами передачСЦ кадрСЦв. Для зменшення СЦнтенсивностСЦ виникнення колСЦзСЦй потрСЦбно або зменшити трафСЦк, скоротивши, наприклад, кСЦлькСЦсть вузлСЦв у сегментСЦ, чи замСЦнивши прикладення, або пСЦдвищити швидкСЦсть протоколу, наприклад перейти на Fast Ethernet.

СлСЦд зазначити, що метод доступу CSMA/CD взагалСЦ не гарантуСФ станцСЦСЧ, що вона коли-небудь зможе одержати доступ до середовища. Звичайно, при невеликому завантаженнСЦ мережСЦ СЦмовСЦрнСЦсть такоСЧ подСЦСЧ невелика, але при коефСЦцСЦСФнтСЦ використання мережСЦ, що наближаСФться до 1, така подСЦя стаСФ дуже ймовСЦрною. Цей недолСЦк методу випадкового доступу - плата за його надзвичайну простоту, що зробила технологСЦю Ethernet найдешевшою. РЖншСЦ методи доступу - маркерний доступ мереж Token Ring СЦ FDDI, метод Demand Priority мереж 100VG-AnyLAN - не мають цього недолСЦку.

ЧСЦтке розпСЦзнавання колСЦзСЦй всСЦма станцСЦями мережСЦ СФ необхСЦдною умовою коректноСЧ роботи мережСЦ Ethernet. Якщо якась станцСЦя, що передаСФ, не розпСЦзнаСФ колСЦзСЦю СЦ вирСЦшить, що кадр даних переданий нею вСЦрно, то цей кадр даних буде загублений. Через накладення сигналСЦв при колСЦзСЦСЧ СЦнформацСЦя кадру перекрутиться, СЦ вСЦн буде вСЦдбракований станцСЦСФю, яка приймаСФ (можливо, через розбСЦжнСЦсть контрольноСЧ суми). НайСЦмовСЦрнСЦше, перекручена СЦнформацСЦя буде повторно передана яким-небудь протоколом верхнього рСЦвня, наприклад, транспортним або прикладним, що працюСФ зСЦ встановленням зтАЩСФднання. Але повторна передача повСЦдомлення протоколами верхнСЦх рСЦвнСЦв вСЦдбудеться через значно тривалСЦший СЦнтервал часу (СЦнодСЦ навСЦть через декСЦлька секунд) у порСЦвняннСЦ з мСЦкросекундними СЦнтервалами, якими оперуСФ протокол Ethernet. Тому, якщо колСЦзСЦСЧ не будуть надСЦйно розпСЦзнаватися вузлами мережСЦ Ethernet, то це призведе до помСЦтного зниження корисноСЧ пропускноСЧ спроможностСЦ даноСЧ мережСЦ.


3.3 Метод маркерного доступу в локальних мережах з рСЦзною топологСЦСФю


Даний метод характеризуСФться тим, що в ньому право використання середовища передаСФться вСЦд вузла до вузла органСЦзацСЦйним способом, а не шляхом змагання. Право на використання середовища передаСФться за допомогою унСЦкального кадру (названого маркером) уздовж логСЦчного кСЦльця в мережСЦ з використанням адресацСЦСЧ вузлСЦв. Кожен вузол СЦдентифСЦкуСФться "асним СЦдентифСЦкатором (ID). У схемСЦ типу шини з передачею маркера кожному вузлу вСЦдомий СЦдентифСЦкатор наступного вузла в логСЦчному кСЦльцСЦ (NID - Next ID). Зазвичай наступний вузол маСФ адресу з бСЦльшим значенням ID. Рис. 3.4 СЦлюструСФ поняття логСЦчного кСЦльця.

КрСЦм передачСЦ маркера, схема СЦз шиною повинна вирСЦшувати проблему втрати маркера СЦ реконфСЦгурацСЦСЧ кСЦльця. Втрата маркера може вСЦдбутися через ушкодження одного з вузлСЦв логСЦчного кСЦльця. На деякий момент часу маркер приходить до ушкодженго вузла, але вузол не пропускаСФ його далСЦ, СЦ СЦншСЦ вузли не одержують маркер. РеконфСЦгурацСЦя кСЦльця виконуСФться, коли в логСЦчне кСЦльце добавляСФться або з нього вилучаСФться один СЦз вузлСЦв.

ПСЦд час нормальноСЧ роботи, тобто коли не виконуСФться нСЦ вСЦдновлення маркера, нСЦ реконфСЦгурацСЦя кСЦльця, кожен вузол працюСФ вСЦдповСЦдно до дСЦаграми станСЦв, поданоСЧ на рис. 3.4. Велику частину часу канальний рСЦвень знаходиться в станСЦ прослуховування.



Рис. 3.4. ЛогСЦчне кСЦльце


Якщо заголовок вхСЦдного кадру в якостСЦ адреси отримувача мСЦстить ID вузла, вузол переходить до стану прийому СЦ вСЦдбуваСФться прийом кадру. Якщо прийнятий кадр СФ кадром даних, мережний рСЦвень СЦнформуСФться про прийом, а канальний рСЦвень повертаСФться до стану прослуховування. Однак, якщо прийнятий кадр СФ маркером, це означаСФ, що вузол одержуСФ право передачСЦ в середовище. Якщо на той час СФ кадр даних, що чекаСФ передачСЦ, стан змСЦнюСФться на стан передачСЦ кадру СЦ починаСФться його передача.

ПСЦсля завершення передачСЦ кадру стан змСЦнюСФться на стан передачСЦ маркера СЦ починаСФться передача маркера. Якщо на момент одержання маркера вузол не маСФ кадру даних для передачСЦ, стан канального рСЦвня змСЦнюСФться вСЦдразу на стан передачСЦ маркера. ПСЦсля передачСЦ маркера стан знову змСЦнюСФться на стан прослуховування середовища.

ДСЦаграма станСЦв, що представляСФ операцСЦСЧ канального рСЦвня пСЦд час реконфСЦгурацСЦСЧ кСЦльця СЦ вСЦдновлення маркера, показана на рис. 3.5.



Рис. 3.5. Протокол для шини з передачею маркера (нормальна робота)


Для успСЦшноСЧ реконфСЦгурацСЦСЧ кСЦльця використовуються три стани: збою, бездСЦяльностСЦ й опитування. При наявностСЦ тСЦльки одного вузла неможливо здСЦйснити реконфСЦгурацСЦю кСЦльця. Спроба реконфСЦгурацСЦСЧ з СФдиним вузлом призводить до стану чекання збою, поки в мережу не буде доданий ще один вузол. Для вСЦдновлення маркера досить двох станСЦв: бездСЦяльностСЦ й опитування. Як у випадку реконфСЦгурацСЦСЧ, так СЦ у випадку вСЦдновлення маркера, як тСЦльки встановлюСФться NID, стан канального рСЦвня змСЦнюСФться на стан нормальноСЧ роботи. ДеталСЦ цього стану поданСЦ на рис. 3.5. Зауважимо, що перехСЦд канального рСЦвня до стану нормальноСЧ роботи СФ фактично переходом до стану прослуховування вСЦдповСЦдно до рис. 3.5. ВСЦдзначимо також, що маркер можна сприйняти як загублений (що викликаСФ перехСЦд до стану бездСЦяльностСЦ) тСЦльки тодСЦ, коли канальний рСЦвень знаходиться в станСЦ прослуховування. В усСЦх СЦнших станах на рис. 3.6 вузол володСЦСФ маркером СЦ тому не може загубити його.

Рис. 3.6. Протокол для шини з передачею маркера (реконфСЦгурацСЦя мережСЦ та вСЦдновлення маркера)


Коли новий вузол пСЦдключаСФться до мережСЦ, вСЦн входить до стану збою, при якому в середовище починаСФ передаватися безперервна збСЦйна послСЦдовнСЦсть. Перешкоди в середовищСЦ повиннСЦ викликати втрату маркера, примушуючи таким чином усСЦ вузли, що беруть участь у передачСЦ маркера по логСЦчному кСЦльцю, почати процедуру вСЦдновлення маркера. ПСЦсля збою всСЦ вузли, включаючи СЦ новий, переходять до стану бездСЦяльностСЦ.

Вузол можна збудити, коли мине час його бездСЦяльностСЦ або коли вСЦн одержить маркер. Час бездСЦяльностСЦ рСЦзний для кожного вузла СЦ пропорцСЦйний значенню ID. ОскСЦльки всСЦ вузли входять до стану бездСЦяльностСЦ практично одночасно, вузол СЦз меншим значенням ID збудиться першим.

ПСЦсля збудження вузол переходить до стану опитування, у якому вСЦн посилаСФ маркер наступному вузлу в логСЦчному кСЦльцСЦ, починаючи з вузла NID, адреса якого на одиницю бСЦльше його "асного ID (названого "my" ID або MID). ПСЦсля посилання маркера вузлу, адресованому поточним значенням NID, вузол, що опитуСФ, якийсь час чекаСФ вСЦдповСЦдСЦ. Якщо в мережСЦ немаСФ вузла з таким ID, то немаСФ СЦ вСЦдповСЦдСЦ, СЦ вузол, що опитуСФ, збСЦльшуСФ NID на 1 СЦ знову посилаСФ маркер. Якщо в мережСЦ СФ вузол СЦз таким ID, вСЦн повинен бути в станСЦ бездСЦяльностСЦ. ПрихСЦд маркера збуджуСФ його, СЦ вСЦн сам починаСФ опитування мережСЦ. Початок опитування наступним вузлом розглядаСФться попереднСЦм вузлом як вСЦдгук, СЦ вСЦн вважаСФ, що NID встановлений СЦ переходить до стану нормальноСЧ роботи. Таким чином, стан опитування переходить вСЦд одного вузла до СЦншого за напрямком зростання розмСЦру ID.

ЛогСЦчне кСЦльце замикаСФться, коли вузол СЦз найбСЦльшим ID встановлюСФ NID, що СФ адресою вузла, який збудився першим (СЦз найменшим значенням ID, наявним у мережСЦ).

На цей момент вузол СЦз найменшим значенням ID уже знаходиться в станСЦ нормальноСЧ роботи. Таким чином, коли вСЦн одержуСФ опитуючий маркер, вСЦн не продовжуСФ опитування, а посилаСФ маркер вузлу з попередньо встановленим NID. На цьому опитування завершуСФться СЦ реконфСЦгурацСЦя кСЦльця, або вСЦдновлення маркера, закСЦнчуСФться.

Схема доступу до кСЦльцевого середовища з передачею маркера.

Основна вСЦдмСЦннСЦсть мСЦж даною схемою СЦ двома попереднСЦми полягаСФ у фСЦзичнСЦй топологСЦСЧ середовища. Як метод CSMA/CD, так СЦ метод доступу до шини з передачею маркера, використовують спосСЦб фСЦзичного пСЦдключення до шини, на той час як кСЦльцева схема з передачею маркера будуСФться на топологСЦСЧ фСЦзичного кСЦльця.

Сигнали, переданСЦ вузлом мережСЦ, заснованоСЧ на топологСЦСЧ фСЦзичноСЧ шини, поширюються по всьому середовищу (широкомовна передача). У топологСЦСЧ фСЦзичного кСЦльця сигнали поширюються через однонаправленСЦ двохточечнСЦ шляхи мСЦж вузлами мережСЦ. Вузли й однонаправленСЦ ланки зтАЩСФднуються послСЦдовно, формуючи фСЦзичне кСЦльце. У шиннСЦй структурСЦ вузли дСЦють тСЦльки як передавачСЦ або приймачСЦ. Якщо вузол видалиться з мережСЦ СЦз шинною структурою, наприклад, у результатСЦ несправностСЦ, це не вплине на проходження сигналу до СЦнших вузлСЦв.

ДеякСЦ мережСЦ з кСЦльцевою топологСЦСФю використовують метод естафетноСЧ передачСЦ. СпецСЦальне коротке повСЦдомлення-маркер циркулюСФ по кСЦльцю, поки комптАЩютер не зажадаСФ передати СЦнформацСЦю СЦншому вузлу. ВСЦн модифСЦкуСФ маркер, добавляСФ електронну адресу СЦ данСЦ, а потСЦм вСЦдправляСФ його по кСЦльцю. Кожен СЦз комптАЩютерСЦв послСЦдовно одержуСФ даний маркер СЦз доданою СЦнформацСЦСФю СЦ передаСФ його сусСЦднСЦй машинСЦ, поки електронна адреса не збСЦжиться з адресою комптАЩютера-отримувача, або маркер не повернеться до вСЦдправника. КомптАЩютер, що одержав повСЦдомлення, повертаСФ вСЦдправнику вСЦдповСЦдь, яка пСЦдтверджуСФ, що повСЦдомлення прийняте. ТодСЦ вСЦдправник створюСФ ще один маркер СЦ вСЦдправляСФ його в мережу, що дозволяСФ СЦншСЦй станцСЦСЧ перехопити маркер СЦ почати передачу. Маркер циркулюСФ по кСЦльцю, поки якась СЦз станцСЦй не буде готова до передачСЦ СЦ не захопить його.

У кСЦльцевСЦй структурСЦ при поширеннСЦ сигналу вузли вСЦдСЦграють активну роль. Для досягнення вузла-отримувача сигнали, породженСЦ портом вузла-вСЦдправника, повиннСЦ бути переданСЦ всСЦма вузлами, розмСЦщеними по кСЦльцю мСЦж вузлами вСЦдправника СЦ отримувача. ВСЦдзначимо, що, як показано на рис. 3.7, у кожному вузлСЦ сигнали передаються усерединСЦ самого вузла вСЦд прийомного порту до передаючого порту. ПСЦд час цСЦСФСЧ передачСЦ вузли можуть аналСЦзувати СЦ модифСЦкувати вхСЦднСЦ сигнали.


Рис. 3.7. Структура фСЦзичного кСЦльця

Перевага такого рСЦшення полягаСФ в тому, що сигнали пСЦд час передачСЦ можуть пСЦдсилюватися, СЦ, отже, максимальна довжина фСЦзичного кСЦльця не обмежуСФться внаслСЦдок ослаблення сигналу в середовищСЦ. Однак ушкодження окремого вузла або кабельного сегмента фСЦзичного кСЦльця призводить до руйнацСЦСЧ шляху проходження сигналСЦв, СЦ вся мережа виходить СЦз ладу. Ця проблема кСЦльцевих мереж СЦз передачею маркера вирСЦшуСФться шляхом використання змСЦшаноСЧ зСЦрково-кСЦльцевоСЧ топологСЦСЧ (рис. 3.8).

Це рСЦшення вимагаСФ використання ведучих концентраторСЦв, що можна легко (можливо, автоматично) переключити для обходження ушкоджених вузлСЦв. Проста змСЦна внутрСЦшньоСЧ конфСЦгурацСЦСЧ ведучого концентратора призводить до розтАЩСФднання вузла C СЦз мережею СЦ зберСЦгання кСЦльцевого звтАЩязку для СЦнших вузлСЦв.

Як СЦ у випадку шинноСЧ структури з передачею маркера, у схемСЦ доступу до кСЦльцевого середовища в якостСЦ маркера використовуСФться унСЦкальна послСЦдовнСЦсть бСЦтСЦв. Однак у цьому випадку маркер не маСФ адреси. ЗамСЦсть цього маркер може перебувати в двох станах: вСЦльному СЦ зайнятому.


Рис. 3.8. ЗСЦрково-кСЦльцева топологСЦя

Якщо в жодному з вузлСЦв кСЦльця немаСФ кадрСЦв даних для передачСЦ, вСЦльний маркер циркулюСФ по кСЦльцю. Зауважимо, що на кожен конкретний момент часу в кСЦльцСЦ циркулюСФ тСЦльки один вСЦльний маркер (рис. 3.9, а). Вузол, у якого СФ кадр даних для передачСЦ, повинен чекати, поки не одержить вСЦльний маркер. На момент приходу вСЦльного маркера вузол змСЦнюСФ його стан на "зайнятий", передаСФ його далСЦ по кСЦльцю СЦ добавляСФ до зайнятого маркера кадр даних.


Рис. 3.9. Передача маркера СЦ пакета в кСЦльцевСЦй мережСЦ з передачею маркера


Зайнятий маркер разом СЦз кадром даних передаСФться по всьому кСЦльцю (рис. 3.9, б). ЗмСЦнити стан маркера знову на вСЦльний може тСЦльки той вузол, який змСЦнив його на зайнятий. Кадр даних мСЦстить у своСФму заголовку адресу отримувача. При проходженнСЦ через вузол-отримувач кадр копСЦюСФться. Наприклад, кадр даних, сформований у вузлСЦ А, був посланий вузлу С. Зайнятий маркер (разом СЦз кадром даних, що надходить за маркером) повинен бути ретрансльованим вузлами B, С СЦ D. Однак у вузлСЦ С кадр даних буде скопСЦйованим. РЖншими словами, усСЦ вузли кСЦльця, за винятком вузла вСЦдправника, ретранслюють пакет, але його приймаСФ тСЦльки один СЦз них (вузол-отримувач). Коли зайнятий маркер разом СЦз кадром повертаСФться у вузол вСЦдправника, стан маркера змСЦнюСФться на вСЦльний, а кадр даних видаляСФться з кСЦльця, тобто просто не передаСФться далСЦ (рис. 3.9, в).

Як тСЦльки маркер стаСФ вСЦльним, будь-який вузол може змСЦнити його стан на зайнятий СЦ почати передачу даних.

Протокол кСЦльцевоСЧ мережСЦ з передачею маркера повинен вирСЦшувати проблему втрати маркера в результатСЦ помилок при передачСЦ, а також при збоях у вузлСЦ або в середовищСЦ. ЦСЦ функцСЦСЧ виконуються мережним монСЦторним вузлом. Наприклад, вСЦдсутнСЦсть передач у мережСЦ означаСФ втрату маркера. Якщо виявлена втрата маркера, мережний монСЦтор починаСФ процедуру вСЦдновлення кСЦльця.


3.4 Висновок


Таким чином, методи доступу до загального подСЦлюваного середовища передачСЦ даних можна роздСЦлити на два великих класи: випадковСЦ СЦ детермСЦнованСЦ.

ВипадковСЦ методи доступу передбачають можливСЦсть захвату загального подСЦлюваного середовища передачСЦ даних будь-яким вузлом мережСЦ у довСЦльний випадковий момент часу, якщо в даний момент вСЦн вважаСФ середовище вСЦльним.

ДетермСЦнованСЦ методи, навпаки, передбачають можливСЦсть надання загального середовища в розпорядження вузла мережСЦ за суворо визначеним (детермСЦнованим) порядком.


РоздСЦл 4. Засоби здСЦйснення авторСЦзацСЦСЧ доступу до каналСЦв комптАЩютерних мереж


4.1 МСЦiе процесСЦв авторизацСЦСЧ доступу при органСЦзацСЦСЧ СЦнформацСЦйних систем на основСЦ комптАЩютерних мереж


РЖнформацСЦя СФ одним з найбСЦльш цСЦнних ресурсСЦв будь-якоСЧ компанСЦСЧ, тому забезпечення захисту СЦнформацСЦСЧ СФ одному з найважливСЦших СЦ прСЦоритетнСЦших завдань.

Безпека СЦнформацСЦйноСЧ системи (РЖС) - це "астивСЦсть, що укладаСФ в здатностСЦ системи забезпечити СЧСЧ нормальне функцСЦонування, тобто забезпечити цСЦлСЦснСЦсть СЦ секретнСЦсть СЦнформацСЦСЧ. Для забезпечення цСЦлСЦсностСЦ СЦ конфСЦденцСЦйностСЦ СЦнформацСЦСЧ необхСЦдно забезпечити захист СЦнформацСЦСЧ вСЦд випадкового знищення або несанкцСЦонованого доступу до неСЧ.

ПСЦд цСЦлСЦснСЦстю розумСЦСФться неможливСЦсть несанкцСЦонованого або випадкового знищення, а також модифСЦкацСЦСЧ СЦнформацСЦСЧ. ПСЦд конфСЦденцСЦйнСЦстю СЦнформацСЦСЧ - неможливСЦсть витоку СЦ несанкцСЦонованого заволодСЦння СЦнформацСЦСЧ, що зберСЦгаСФться, передаваноСЧ або такоСЧ, що приймаСФться.

ВСЦдомСЦ наступнСЦ джерела погроз безпецСЦ СЦнформацСЦйних систем:

антропогеннСЦ джерела, викликанСЦ випадковими або навмисними дСЦями суб'СФктСЦв;

техногеннСЦ джерела, що приводять до вСЦдмов СЦ збоСЧв технСЦчних СЦ програмних засобСЦв СЦз-за застарСЦлих програмних СЦ апаратних засобСЦв або помилок в ПЗ;

стихСЦйнСЦ джерела, викликанСЦ природними катаклСЦзмами або форс-мажорними обставинами.

У свою чергу антропогеннСЦ джерела погроз дСЦляться:

на внутрСЦшнСЦ (дСЦСЧ з боку спСЦвробСЦтникСЦв компанСЦСЧ) СЦ зовнСЦшнСЦ (несанкцСЦоноване втручання стороннСЦх осСЦб СЦз зовнСЦшнСЦх мереж загального призначення) джерела;

на ненавмиснСЦ (випадковСЦ) СЦ навмиснСЦ дСЦСЧ суб'СФктСЦв.

РЖснуСФ достатньо багато можливих напрямСЦв витоку СЦнформацСЦСЧ СЦ шляхСЦв несанкцСЦонованого доступу до неСЧ в системах СЦ мережах:

перехоплення СЦнформацСЦСЧ;

модифСЦкацСЦя СЦнформацСЦСЧ (початкове повСЦдомлення або документ змСЦнюСФться або пСЦдмСЦняСФться СЦншим СЦ вСЦдсилаСФться адресатовСЦ);

пСЦдмСЦна авторства СЦнформацСЦСЧ (хтось може послати лист або документ вСЦд вашого СЦменСЦ);

використання недолСЦкСЦв операцСЦйних систем СЦ прикладних програмних засобСЦв;

копСЦювання носСЦСЧв СЦнформацСЦСЧ СЦ файлСЦв з подоланням мерСЦв захисту;

незаконне пСЦдключення до апаратури СЦ лСЦнСЦй зв'язку;

маскування пСЦд зареСФстрованого користувача СЦ привласнення його повноважень;

введення нових користувачСЦв;

впровадження комп'ютерних вСЦрусСЦв СЦ так далСЦ.

Для забезпечення безпеки СЦнформацСЦйних систем застосовують системи захисту СЦнформацСЦСЧ, якСЦ СФ комплексом органСЦзацСЦйно - технологСЦчних мерСЦв, програмно - технСЦчних засобСЦв СЦ правових норм, направлених на протидСЦю джерелам погроз безпецСЦ СЦнформацСЦСЧ.

При комплексному пСЦдходСЦ методи протидСЦСЧ погрозам СЦнтегруються, створюючи архСЦтектуру безпеки систем. НеобхСЦдно вСЦдзначити, що будь-яка системи захисту СЦнформацСЦСЧ не СФ повнСЦстю безпечною. Завжди доводитися вибирати мСЦж рСЦвнем захисту СЦ ефективнСЦстю роботи СЦнформацСЦйних систем.

До засобСЦв захисту СЦнформацСЦСЧ РЖС вСЦд дСЦй суб'СФктСЦв вСЦдносяться:

засоби захист СЦнформацСЦСЧ вСЦд несанкцСЦонованого доступу;

захист СЦнформацСЦСЧ в комп'ютерних мережах;

криптографСЦчний захист СЦнформацСЦСЧ;

електронний цифровий пСЦдпис;

захист СЦнформацСЦСЧ вСЦд комп'ютерних вСЦрусСЦв.

ПСЦд захистом СЦнформацСЦСЧ вСЦд несанкцСЦонованого доступу понСЦмаСФться дСЦставання доступу до ресурсСЦв СЦнформацСЦйноСЧ системи шляхом виконання трьох процедур: СЦдентифСЦкацСЦя, аутентифСЦкацСЦя СЦ авторизацСЦя.

РЖдентифСЦкацСЦя - привласнення користувачевСЦ (об'СФкту або суб'СФктовСЦ ресурсСЦв) унСЦкальних СЦмен СЦ код (СЦдентифСЦкаторСЦв).

АутентифСЦкацСЦя - встановлення достовСЦрностСЦ користувача, що представив СЦдентифСЦкатор або перевСЦрка того, що особа або пристрСЦй, що повСЦдомив СЦдентифСЦкатор СФ дСЦйсно тим, за кого воно себе видаСФ. НайбСЦльш поширеним способом аутентифСЦкацСЦСЧ СФ привласнення користувачевСЦ пароля СЦ зберСЦгання його в комп'ютерСЦ.

АвторизацСЦя - перевСЦрка повноважень або перевСЦрка права користувача на доступ до конкретних ресурсСЦв СЦ виконання певних операцСЦй над ними. АвторизацСЦя проводиться з метою розмежування прав доступу до мережевих СЦ комп'ютерних ресурсСЦв.

Для централСЦзованого вирСЦшення завдань авторизацСЦСЧ в крупних мережах предназначена мережева служба Kerberos. Вона може працювати в середовищСЦ багатьох популярних операцСЦйних систем. У основСЦ цСЦСФСЧ достатньо громСЦздкоСЧ системи лежить декСЦлька простих принципСЦв.

У мережах, що використовують систему безпеки Kerberos, всСЦ процедури аутентифСЦкацСЦСЧ мСЦж клСЦСФнтами СЦ серверами мережСЦ виконуються через посередника, якому довСЦряють обидвСЦ сторони аутентифСЦкацСЦйного процесу, причому таким авторитетним арбСЦтром СФ сама система Kerberos.

У системСЦ Kerberos клСЦСФнт повинен доводити свою автентичнСЦсть для доступу до кожноСЧ служби, послуги якоСЧ вСЦн викликаСФ.

ВсСЦ обмСЦни даними в мережСЦ виконуються в захищеному виглядСЦ з використанням алгоритму шифрування.

Мережева служба Kerberos побудована по архСЦтектурСЦ клСЦСФнт-сервер, що дозволяСФ СЧй працювати в найскладнСЦших мережах. Kerberos-клиент встановлюСФться на всСЦх комп'ютерах мережСЦ, якСЦ можуть звернеться до якоСЧ-небудь мережевоСЧ служби. У таких випадках Kerberos-клиент вСЦд СЦменСЦ користувача передаСФ запит на Kerberos-сервер СЦ пСЦдтримуСФ з ним дСЦалог, необхСЦдний для виконання функцСЦй системи Kerberos.

Отже, в системСЦ Kerberos СФ наступнСЦ учасники: Kerberos-сервер, Kerberos-клиент СЦ ресурснСЦ сервери (рис. 4.1). Kerberos-клиенты намагаються дСЦстати доступ до мережевих ресурсСЦв - файлСЦв, додатком, принтеру СЦ так далСЦ Цей доступ може бути наданий, по-перше, тСЦльки легальним користувачам, а по-друге, за наявностСЦ у користувача достатнСЦх повноважень, визначуваних службами авторизацСЦСЧ вСЦдповСЦдних ресурсних сервер, - файловим сервером, сервером додаткСЦв, сервером друку.


Рис. 4.1. Три етапи роботи системи Kerberos

Проте в системСЦ Kerberos ресурсним серверам забороняСФться "безпосередньо» приймати запити вСЦд клСЦСФнтСЦв, СЧм дозволяСФться починати розгляд запиту клСЦСФнта тСЦльки тодСЦ, коли на це поступаСФ дозвСЦл вСЦд Kerberos-сервера. Таким чином, шлях клСЦСФнта до ресурсу в системСЦ Kerberos складаСФться з трьох етапСЦв:

Визначення легальностСЦ клСЦСФнта, логСЦчний вхСЦд в мережу, отримання дозволу на продовження процесу дСЦставання доступу до ресурсу.

Отримання дозволу на звернення до ресурсного сервера.

Отримання дозволу на доступ до ресурсу.

Для вирСЦшення першого СЦ другого завдання клСЦСФнт звертаСФться до Kerberos-серверу. Кожне з цих завдань вирСЦшуСФться окремим сервером, що входить до складу Kerberos-сервера. Виконання первинноСЧ аутентифСЦкацСЦСЧ СЦ видача дозволу на продовження процесу дСЦставання доступу до ресурсу здСЦйснюСФться так званим аутентифСЦкацСЦйним сервером (Authentication Server, AS). Цей сервер зберСЦгаСФ в своСЧй базСЦ даних СЦнформацСЦю про СЦдентифСЦкатори СЦ паролСЦ користувачСЦв.

Другу задачу, пов'язану з отриманням дозволу на звернення до ресурсного сервера, вирСЦшуСФ СЦнша частина Kerberos-сервера - сервер квитанцСЦй (Ticket-Granting Server, TGS). Сервер квитанцСЦй для легальних клСЦСФнтСЦв виконуСФ додаткову перевСЦрку СЦ даСФ клСЦСФнтовСЦ дозвСЦл на доступ до потрСЦбного йому ресурсному серверу, для чого надСЦляСФ його електронною формою-квитанцСЦСФю. Для виконання своСЧх функцСЦй сервер квитанцСЦй використовуСФ копСЦСЧ секретних ключСЦв всСЦх ресурсних серверСЦв, якСЦ зберСЦгаються у нього в базСЦ даних. ОкрСЦм цих ключСЦв сервер TGS маСФ ще один секретний DES-ключ, який роздСЦляСФ з сервером AS.

ТретСФ завдання - отримання дозволу на доступ безпосередньо до ресурсу - вирСЦшуСФться на рСЦвнСЦ ресурсного сервера.

Вивчаючи досить складний механСЦзм системи Kerberos, не можна не задатися питанням: який вплив роблять всСЦ цСЦ численнСЦ процедури шифрування СЦ обмСЦну ключами на продуктивнСЦсть мережСЦ, яку частину ресурсСЦв мережСЦ вони споживають СЦ як це позначаСФться на СЧСЧ пропускнСЦй спроможностСЦ?

ВСЦдповСЦдь вельми оптимСЦстична - якщо система Kerberos реалСЦзована СЦ конфСЦгурована правильно, вона трохи зменшуСФ продуктивнСЦсть мережСЦ. ОскСЦльки квитанцСЦСЧ використовуються багато разСЦв, мережевСЦ ресурси, що витрачаються на запити надання квитанцСЦй, невеликСЦ. Хоча передача квитанцСЦСЧ при аутентифСЦкацСЦСЧ логСЦчного входу декСЦлька знижуСФ пропускну спроможнСЦсть, такий обмСЦн повинен здСЦйснюватися СЦ при використаннСЦ будь-яких СЦнших систем СЦ методСЦв аутентифСЦкацСЦСЧ. ДодатковСЦ ж витрати незначнСЦ. ДосвСЦд впровадження системи Kerberos показав, що час вСЦдгуку при встановленСЦй системСЦ Kerberos СЦстотно не вСЦдрСЦзняСФться вСЦд часу вСЦдгуку без неСЧ - навСЦть в дуже великих мережах з десятками тисяч вузлСЦв. Така ефективнСЦсть робить систему Kerberos вельми перспективною.

Серед вразливих мСЦiь системи Kerberos можна назвати централСЦзоване зберСЦгання всСЦх секретних ключСЦв системи. УспСЦшна атака на Kerberos-сервер, в якому зосереджена вся СЦнформацСЦя, критична для системи безпеки, приводить до краху СЦнформацСЦйного захисту всСЦСФСЧ мережСЦ. Альтернативним рСЦшенням могла б бути система, побудована на використаннСЦ алгоритмСЦв шифрування з парними ключами, для яких характерний розподСЦлене зберСЦгання секретних ключСЦв.

Ще однСЦСФю слабкСЦстю системи Kerberos СФ те, що початковСЦ коди тих застосувань, доступ до яких здСЦйснюСФться через Kerberos, мають бути вСЦдповСЦдним чином модифСЦкованСЦ. Така модифСЦкацСЦя називаСФться "керберизацией» додатку. ДеякСЦ постачальники продають "керберизированные» версСЦСЧ своСЧх застосувань. Але якщо немаСФ такоСЧ версСЦСЧ СЦ немаСФ початкового тексту, то Kerberos не може забезпечити доступ до такого застосування.


4.2 Настройка мережевих служб для здСЦйснення авторизацСЦСЧ доступу до мережСЦ РЖнтернет


Класичним вирСЦшенням стандарта пСЦдприСФмства для органСЦзацСЦСЧ РЖнтернет-сервСЦсСЦв СФ сервер пСЦд управлСЦнням UNIX. Практично завжди для Web СЦ FTP трафСЦку використовують кеширующий сервер SQUID, який також СФ стандартом de facto.

Стандартним способом надання доступу до SQUID-серверу СФ доступ на основСЦ специалицированных спискСЦв доступу (Access Lists або ACL). У свою чергу списки доступу зазвичай будуються на основСЦ IP-сетей, яким дозволений доступ до SQUID. Наприклад, визначимо ACL, яка описуСФ мережу 10.128.0.0/16 (або з маскою 255.255.0.0). СЦ ACL, яка описуСФ взагалСЦ все адресаsquid.conf:


acl net10128 src 10.128.0.0/16

acl all src 0.0.0.0/0


а зараз дозволимо СЧй доступ до РЖнтернет ресурсам


http_access allow net10128


а всСЦм останнСЦм - заборонимо:


http_access deny all


ПСЦсля цього, тСЦльки комп'ютерам СЦз заданоСЧ мережСЦ дозволений доступ до РЖнтернет. При використаннСЦ Internet-ресурсов, в балку-файл squid записуСФться СЦнформацСЦя про конкретну адресу, що запитала конкретний РЖнтернет-ресурс: acess.log:        

1032862411.262 96 10.128.15.4 TCP_MEM_HIT/200 2581 GET

ссылка на сайт удаленаeng/images/ssilki.jpg board/sag NONE/- image/jpeg


Тут присутсвует дата, розмСЦр ресурсу, IP-адрес станцСЦСЧ, зпросившей ресурс, СЦ сам ресурс. З такого роду записСЦв можна пСЦдрахувати трафСЦк як по станцСЦСЧ, так СЦ по пСЦдмережСЦ.

Проте приведена вище технологСЦя дозволяСФ контролювати трафСЦк по IP-адресу РЖнтернет-користувача. В бСЦльшостСЦ випадкСЦв цей спосСЦб цСЦлком пСЦдходить, проте при цьому необхСЦдно, щоб за конретним комп'ютером завжди працювала конкретна людина.

Ця умова виконуСФться не завжди СЦ тодСЦ облСЦк трафСЦку порушуСФться. Ось типовСЦ умови, при яких потрСЦбна СЦнша схема авторизацСЦСЧ в РЖнтернетСЦ:

РСЦзнСЦ користувачСЦ працюють на одному СЦ тому ж робочому мСЦiСЦ (наприклад, позмСЦнно).

КористувачСЦ взагалСЦ не прив'язанСЦ до конкретних комп'ютерСЦв.

КористувачСЦ працюють в термСЦнальних сесСЦях термСЦнального сервера. ТодСЦ взагалСЦ весь РЖнтернет-трафСЦк йде з IP-адреса сервера.

Тому часто встаСФ проблема облСЦку трафСЦку не на основСЦ IP, а на основСЦ СЦншоСЧ СЦнформацСЦСЧ.


4.2.1 АвторизацСЦя на основСЦ логСЦна СЦ пароля

ЛогСЦчним вирСЦшенням проблеми авторизацСЦя на основСЦ логСЦна СЦ пароля СФ авторизацСЦя в SQUID по логСЦну СЦ раолю. Така можливСЦсть в SQUID, естесвенно передбачена. У SQUID для цього розроблена можливСЦсть авторизувати через зовнСЦшню програму, яка просто "говорить" "та чи нСЦ" на визначеного користувача СЦ пароль. Т.ч. Можна проводити авторизацСЦю по облСЦковому запису умСЦСФ проводити авторизацСЦю через облСЦковСЦ записи UNIX, через текстовСЦ файли СЦ тому подСЦбне

Наприклад, для того, щоб користувач авторизувався через файл /usr/local/squid/passwd формату Веб-сервера-авторизацСЦСЧ (формат Apache), потрСЦбно скомпСЦлювати squid разом з цим модулем (--enable-auth="ncsa; докладнСЦше за див. документацСЦю до SQUID). РЖ в конфиг SQUID додати ACL вирСЦшуюче правило:

Дозволити доступ користувачам dima petya vasya, паролСЦ яких будуть перевСЦренСЦ через файл /usr/local/squid/passwd


acl MYUSERS proxy_auth dima petya vasya

http_access allow MYUSERS

http_access deny all

authenticate_program /usr/local/squid/bin/ncsa_auth /usr/local/squid/etc/passwd *

(*для версии 2.4).


При цьому, це вирСЦшуСФ поставленСЦ в "ВведеннСЦ" проблеми, проте додаСФ деякСЦ незручностСЦ користувачам СЦ адмСЦнСЦстраторовСЦ:

При первинному входСЦ в РЖнтернет користувачевСЦ потрСЦбно набратьв броузере логСЦн\пароль для доступу до SQUID. РЖ кожному користувачевСЦ необхСЦдно пам'ятати своСЧ параметри.

АдмСЦнСЦстраторовСЦ необхСЦдно вести базу логСЦнСЦв СЦ паролСЦв у файлСЦ.


4.2.2 АвторизацСЦя через облСЦковСЦ записи Windows

При роботСЦ в Windows-мережах кожен користувач при входСЦ в мережу проходить авторизацСЦю в NT(2000) -домене. Було б здорове використовувати цСЦ данСЦ для авторизацСЦСЧ SQUID. ТодСЦ вирСЦшуються проблеми ведення в SQUID окремоСЧ бази даних користувачСЦв СЦ, як виявилось, можна вирСЦшити проблему запиту логСЦна\пароля в броузере при входСЦ в РЖнтернет.

Головна проблема при вирСЦшеннСЦ авторизацСЦСЧ через Windows-домен - знайти СЦ набудувати програму для авторизацСЦСЧ заданого користувача в Windows-домене. Команда SQUID рекомендуСФ користуватися програмою winbindd, яка СФ частиною проекту SAMBA (реалСЦзацСЦя Windows сервера СЦ клСЦСФнта пСЦд UNIX), SQUID, починаючи з версСЦСЧ 2.5 пСЦдтримуСФ рСЦзнСЦ схеми авторизацСЦСЧ по логСЦну\паролю, включаючи basic СЦ NTLM (NT Lan Manager). Basic-схема призначена для авторизацСЦСЧ через введення логСЦна\пароля в броузере, а NTLM-схема призначена для автоматичного прийому броузером логСЦна, пароля СЦ домена, пСЦд якими користувач реСФструвався в Windows-домене. Т.ч. за допомогою NTLM-авторизации можна автоматично реСФструватися в SQUID без ручного пСЦдтвердження логСЦна СЦ пароля.


4.3.3 Практичне вирСЦшення побудови системи авторизацСЦСЧ через Windows домен

Практичне вирСЦшення проблеми було знайдене досвСЦдченим шляхом СЦ може бути не найвитонченСЦшим СЦ правильнСЦшим. Але краса його в тому, що воно дороблене та кСЦнця СЦ працюСФ.

ПочатковСЦ данСЦ:

1. Комп'ютер, пСЦдключений до РЖнтернет зСЦ встановленою ОС: FREEBSD 4.4 (версСЦя СЦ сама ОС не мають принципового значення).

2. Мережа, що мСЦстить близько 200 Windows-станций, включаючи термСЦнальнСЦ сервери СЦ клСЦСФнти.

3. Близько 250 аккаунтов в доменСЦ пСЦд управлСЦнням Windows 2000 Advanced сервер (домен WORK СЦ 4 довСЦрителях домена).

Завдання:

Забезпечити авторизацСЦю користувачСЦв на SQUID через облСЦковСЦ записи Windows найбСЦльш зручним способом.

План дСЦй:

1.Установка СЦ конфСЦгурацСЦя SAMBA.

Отже перше, що треба зробити - встановити SAMBA для того, щоб умСЦти авторизуватися в Windows-домене. Я встановив версСЦю 2.2.6pre2. Причому, важливо скомпСЦлювати SAMBA з пСЦдтримкою winbind, тобто з параметрами:

-with-winbind

-with-winbind-auth-challenge


ПримСЦтка:

У FREEBSD SAMBA була зСЦбрана з портСЦв (ports) СЦ виявилось, що з поточною версСЦСФю не збираСФться бСЦблСЦотека CUPS. Тому SAMBA була зСЦбрана без неСЧ (--without_cups).

ПСЦсля установки, SAMBA потрСЦбно набудувати на домен Windows мережСЦ СЦ на використання winbind:


[global]

workgroup = WORK - РЖм'я нашого Windows-домена

netbios name = vGATE - РЖм'я сервера (необов'язково)

server string = vGate

hosts allow = 10.128. 127. - Для безпеки.

winbind separator = +

winbind use default domain = yes

winbind uid = 10000-20000

winbind gid = 10000-20000

winbind enum users = yes

winbind enum groups = yes

template homedir = /home/winnt/%D/%U

template shell = /bin/bash

max log size = 50

security = domain

password server = Primary Exch - сервери паролСЦв (PDC, BDC)

encrypt passwords = yes


СлСЦд звернути увагу на 2 речСЦ:

1. Спочатку в параметрСЦ password server був вказаний тСЦльки PDC (Primary) СЦ winbind не змСЦг знайти контроллер домена. Все запрацювало коли був доданий BDC (Exch).

2. Обидва СЦмена - це NETBIOS СЦмена СЦ для того, щоб вони равильно СЦнтерпретувалися в IP я прописав СЧх в /usr/local/etc/lmhosts


10.128.1.40 Primary

10.128.1.34 Exch


ПСЦсля цього необхСЦдне заригестрировать SAMBA в доменСЦ Windows. Для цього нужэно набрати команду:


/usr/local/sbin/smbpass -j WORK (наш домен) -r Primary(наш PDC) -UAdministrator


ПСЦсля цього, слСЦд ввести пароль адмСЦнСЦстратора домена.

СпостерСЦгалися проблеми з samba 2.2.4 СЦ реСФстрацСЦСФю в нашому домене - саме тому була поставлена версСЦя 2.2.6 з портСЦв.

ДалСЦ можна запустити nmbd (/usr/local/sbin/nmbd -D) краще з включеним дебагом (-d9) СЦ подивитися в балку-файл, що мережа нормально видно.

ДалСЦ можна смСЦливо пускати winbindd (/usr/local/sbin/winbindd -d9) - теж з дебагом СЦ подивитися як вСЦн себе "вСЦдчуваСФ" в нашСЦй мережСЦ. ОпСЦсля зразково секунд 10, можна перевСЦрити а чи запустився winbind СЦ чи функцСЦонуСФ вСЦн.

Для взаСФмодСЦСЧ з winbind служить команда wbinfo. ПеревСЦрити чи "бачить" вона winbindd взагалСЦ можна командою wbinfio -p. Якщо вона вСЦдповСЦсть: 'ping' to winbindd succeeded, то означаСФ все гаразд. РЖнакше треба дивитися в балку-файл winbindd СЦ розумСЦти чому вСЦн не запустився. (НасправдСЦ запускаСФться вСЦн завжди, та ось на запити вСЦдповСЦдаСФ тСЦльки якщо правильно бачить мережа). ДалСЦ можна спробувати перевСЦрити а чи бачить winbindd сервер з паролями користувачСЦв (wbinfo -t). Сервер повинен сказати "Secret is good". РЖ, нарештСЦ, можна спробувати авторизуватися з UNIX в Wondows домен:


wbinfo -a пользователеь_домена%пароль.

Якщо користувач авторизувався, буде видано:

plaintext password authentication succeeded

error code was NT_STATUS_OK (0x0)

challenge/response password authentication succeeded

error code was NT_STATUS_OK (0x0)


Якщо неправильний пароль, то:


error code was NT_STATUS_WRONG_PASSWORD (0xc000006a)

Could not authenticate user dmn%doct with plaintext password

challenge/response password authentication faile

error code was NT_STATUS_WRONG_PASSWORD (0xc000006a)

Could not authenticate user dmn with challenge/response


Все це означаСФ, що модуль wbinfo нарештСЦ настроСФний СЦ правильно функцСЦонуСФ. Можна приступати до налаштування SQUID.


Тепер потрСЦбно набудувати SQUID.

Спершу, потрСЦбно вСЦдзначити, що NTLM схему пСЦдтримуСФ SQUID, починаючи з версСЦСЧ 2.5. Тому я викачав версСЦю 2.5.PRE13.

ДалСЦ, SQUID потрСЦбно скомпСЦлювати з пСЦдтримкою схем авторизацСЦСЧ СЦ модулем:

winbind../configure -enable-auth="ntlm,basic" \

--enable-basic-auth-helpers="winbind"\

--enable-ntlm-auth-helpers="winbind"


Тепер можна перевСЦрити а чи розумСЦСФ SQUID-овский авторизатор winbind. Для цього потрСЦбно запустити:


/usr/local/squid/libexec/wb_auth -d

РЖ ввести уручну СЦм'я пароль (через пропуск).


Якщо все працюСФ коректно, то програма видасть:


/wb_auth[91945](wb_basic_auth.c:129): Got 'Dmn XXXXX' from squid (length: 10).

/wb_auth[91945](wb_basic_auth.c:55): winbindd result: 0

/wb_auth[91945](wb_basic_auth.c:58): sending 'OK' to squid


ПСЦсля цього, потрСЦбно набудувати squid, щоб вСЦн коректно працював на основСЦ IP-авторизацСЦСЧ.

Тепер залишилося пСЦдключити авторизацСЦю до SQUID. Для цього в конфиге SQUID потрСЦбно описати в схеми авторизацСЦСЧ через winbind:


auth_param ntlm program /usr/local/squid/libexec/wb_ntlmauth

auth_param ntlm children 5

auth_param ntlm max_challenge_reuses 0

auth_param ntlm max_challenge_lifetime 2 minutesauth_param basic program /usr/local/squid/libexec/wb_auth

auth_param basic children 5

auth_param basic realm Squid proxy-caching web server

auth_param basic credentialsttl 2 hours

Причому важливо щоб NTLM авторизацСЦя йшла першою, СЦнакше застосовуватиметься авторизацСЦя basic СЦ IE питатиме пароль.

ДалСЦ потрСЦбно зробити соответсвующую ACL СЦ параметр доступу. Важливо, щоб це йшло пСЦсля опису авторизацСЦй.


acl myusers proxy_auth REQUIRED

http_access allow myusers

http_access deny all


Тепер залишаСФться запустити SQUID СЦ все перевСЦрити.

Що маСФ бути:

Якщо користувач авторизувався в доменСЦ, то IE не запитаСФ пароль, а пойдетт вСЦдразу в РЖнтернет. Причому, в лог-файле SQUID буде безцСЦнна СЦнформацСЦя, а хто це був:


1032943720.839 180 10.128.36.5 TCP_CLIENT_REFRESH_MISS/200 1280 GET ссылка на сайт удаленаeng/images/demos.jpg work\dmn DIRECT/194.87.0.50 image/jpeg


Тобто Це був користувач dmn з домена work.

Якщо користувач не авторизувався в доменСЦ - його запитають логСЦн СЦ пароль. Якщо вСЦн введе логСЦн\пароль такСЦй же, як при входСЦ в домен, то його пустять в РЖнтернет.

Якщо користувач користуСФться не IE (наприклад, Mozilla, Netscape, Opera), вСЦн буде повинен набрати свСЦй логСЦн СЦ пароль для авторизацСЦСЧ в Windows.

Якщо аккаунт в Windows-домене закритий, то СЦ доступ в РЖнтернет буде закритий.


4.3 ПрактичнСЦ рекомендацСЦСЧ щодо забезпечення доступу до каналСЦв комптАЩютерноСЧ мережСЦ пСЦдприСФмства


СукупнСЦсть засобСЦв СЦ правил обмСЦну СЦнформацСЦСФю утворюють СЦнформацСЦйну систему (РЖС) пСЦдприСФмства. Забезпечення доступу спСЦвробСЦтникСЦв пСЦдприСФмства до ресурсСЦв СЦнформацСЦйноСЧ системи СФ СЦнформацСЦйною пСЦдтримкою СЧх дСЦяльностСЦ. КерСЦвництво будь-якого пСЦдприСФмства прагнути забезпечити безперервнСЦсть СЦнформацСЦйноСЧ пСЦдтримки своСФСЧ дСЦяльностСЦ а, отже, постСЦйно ставить СЦ вирСЦшуСФ завдання захисту "асноСЧ СЦнформацСЦйноСЧ системи.

Засобом забезпечення СЦнформацСЦйноСЧ пСЦдтримки пСЦдприСФмства в переважнСЦй бСЦльшостСЦ випадкСЦв СФ його комп'ютерна мережа. ТакСЦ засоби, як голосова телефонСЦя СЦ радСЦозв'язок, факс СЦ традицСЦйна пошта не розглядаються нами окремо вСЦд комп'ютерних мереж, оскСЦльки можливостСЦ зловмисника, що використовуСФ тСЦльки цСЦ засоби без залучення комп'ютерних технологСЦй, сильно обмеженСЦ. КрСЦм того, захист голосовоСЧ СЦнформацСЦСЧ, факсних СЦ поштових вСЦдправлень, забезпечуСФться СЦнженерно-технСЦчними засобами СЦ органСЦзацСЦйними заходами. Застосування тСЦльки цих засобСЦв СЦ мерСЦв для захисту комп'ютерних мереж явно недостатньо у зв'язку з особливостями побудови мереж цього класу. ДалСЦ ми розглянемо особливостСЦ побудови комп'ютерних мереж як засоби СЦнформацСЦйноСЧ пСЦдтримки пСЦдприСФмства, деякСЦ, вСЦдомСЦ уразливостСЦ комп'ютерних мереж СЦ рекомендацСЦСЧ по СЧх усуненню.

ОсобливостСЦ архСЦтектури комп'ютерних мереж описанСЦ семирСЦвневою моделлю взаСФмодСЦСЧ вСЦдкритих систем (Open Systems Interconnection, OSI), розроблена МСЦжнародним комСЦтетом СЦз стандартизацСЦСЧ ISO (найчастСЦше використовуСФться скорочене найменування тАФ "модель ISO/OSI» або просто "модель OSI»). ВСЦдповСЦдно до концептуальних положень цСЦСФСЧ моделСЦ процес СЦнформацСЦйного обмСЦну в комп'ютерних мережах можна роздСЦлити на сСЦм етапСЦв залежно вСЦд того, яким чином, СЦ мСЦж якими об'СФктами вСЦдбуваСФться СЦнформацСЦйний обмСЦн. ЦСЦ етапи називаються рСЦвнями моделСЦ взаСФмодСЦСЧ вСЦдкритих систем. ТермСЦн "вСЦдкрита система» означаСФ, те, що при побудовСЦ цСЦСФСЧ системи були використанСЦ доступнСЦ СЦ вСЦдкрито опублСЦкованСЦ стандарти СЦ специфСЦкацСЦСЧ. Кожному рСЦвню моделСЦ вСЦдповСЦдаСФ певна група стандартСЦв СЦ специфСЦкацСЦй.

ДалСЦ ми розглянемо послСЦдовно особливостСЦ обробки СЦнформацСЦСЧ на фСЦзичному, канальному, мережевому СЦ транспортному рСЦвнях. По кожному рСЦвню будуть представленСЦ вСЦдомостСЦ про уязвимостях механСЦзмСЦв СЦнформацСЦйноСЧ взаСФмодСЦСЧ, характерних для даного рСЦвня СЦ рекомендацСЦСЧ по усуненню цих уязвимостей.


4.3.1 АвторизацСЦя доступу на фСЦзчному рСЦвнСЦ органСЦзацСЦСЧ комптАЩютерних мереж

Найнижчий рСЦвень моделСЦ взаСФмодСЦСЧ вСЦдкритих систем описуСФ процеси, що вСЦдбуваються на фСЦзичному рСЦвнСЦ або рСЦвнСЦ середовища передачСЦ. РЖнформацСЦя, що обробляСФться в комп'ютерних мережах, представлена дискретними сигналами СЦ при передачСЦ залежно вСЦд характеристик середовища представляСФться кодуванням або модуляцСЦСФю. Стандарти фСЦзичного рСЦвня встановлюють вимоги до складових середовища: кабельнСЦй системСЦ, роз'СФмам, модулям сполучення з середовищем, формату сигналСЦв при кодуваннСЦ СЦ модуляцСЦСЧ.

Забезпечити безпеку СЦнформацСЦйного обмСЦну на фСЦзичному рСЦвнСЦ моделСЦ можна за рахунок структуризацСЦСЧ фСЦзичних зв'язкСЦв мСЦж вузлами комп'ютерноСЧ мережСЦ. Захищене фСЦзичне середовище передачСЦ даних СФ першим рубежем для зловмисника або перешкодою для дСЦСЧ руйнСЦвних чинникСЦв оточення.

ДалСЦ приведенСЦ класифСЦкацСЦя СЦ характеристики середовищ передачСЦ, використовуваних при побудовСЦ комп'ютерних мереж:

1. Середовище передачСЦ тАФ коаксСЦальний екранований мСЦдний кабель. Використання для передачСЦ такого типу середовища припускаСФ наявнСЦсть топологСЦСЧ фСЦзичних зв'язкСЦв "загальна шина». Тобто один кабельний сегмент використовуСФться для пСЦдключення всСЦх вузлСЦв мережСЦ. Порушення цСЦлСЦсностСЦ кабельного сегменту приводить до вСЦдмови мережСЦ. ВсСЦ вузли мережСЦ такоСЧ топологСЦСЧ (зокрема вузол зловмисника) мають можливСЦсть управляти процесом передачСЦ СЦнформацСЦСЧ. Комп'ютернСЦ мережСЦ, побудованСЦ на цьому принципСЦ, уразливСЦ найбСЦльшою мСЦрою. Зловмисник використовуСФ механСЦзми роздСЦлення середовища передачСЦ в мережах цього типу для прослуховування трафСЦку всСЦх вузлСЦв СЦ органСЦзацСЦСЧ атак вСЦдмови в доступСЦ до окремих вузлСЦв або всСЦСФСЧ мережСЦ в цСЦлому.

2. Середовище передачСЦ, утворене мСЦдною витою парою.ТопологСЦя фСЦзичних зв'язкСЦв "зСЦрка». КСЦлькСЦсть кабельних сегментСЦв в данСЦй мережСЦ вСЦдповСЦдаСФ кСЦлькостСЦ вузлСЦв. Порушення цСЦлСЦсностСЦ середовища одного кабельного сегменту не впливаСФ на працездатнСЦсть всСЦСФСЧ мережСЦ. НайуразливСЦшим елементом мережСЦ СФ центральний комунСЦкацСЦйний пристрСЦй (концентратор або комутатор). Фактично пристроСЧ цього класу СФ засобом роздСЦлення середовища передачСЦ.

Концентратор утворюСФ СФдине середовище передачСЦ, доступне всСЦм вузлам мережСЦ. Комп'ютернСЦ мережСЦ, побудованСЦ на цих пристроях, по специфСЦцСЦ роздСЦлення фСЦзичного середовища передачСЦ вСЦдповСЦдають мережам топологСЦСЧ "загальна шина». Середовище передачСЦ, утворене концентратором, дозволяСФ зловмисниковСЦ реалСЦзувати прослуховування трафСЦку СЦ атаку вСЦдмови в доступСЦ, засновану на широкомовнСЦй розсилцСЦ повСЦдомлень. При цьому зловмисник може не мати безпосереднього фСЦзичного доступу до самого концентратора.

Комутатори використовуються для здСЦйснення поперемСЦнного доступу вузлСЦв до середовища передачСЦ. РоздСЦлення фСЦзичного середовища передачСЦ мСЦж вузлами в часСЦ утрудняСФ прослуховування мережСЦ зловмисником СЦ створюСФ додаткову перешкоду для здСЦйснення атак вСЦдмови в доступСЦ, заснованих на широкомовнСЦй розсилцСЦ повСЦдомлень в мережСЦ.

Використання тих СЦ СЦнших пристроСЧв як засобСЦв утворення середовища передачСЦ дозволяСФ зловмисниковСЦ викликати вСЦдмову всСЦСФСЧ мережСЦ у нього фСЦзичного доступу до них або до системи СЧх енергопостачання.

КрСЦм того, для всСЦх рСЦзновидСЦв мСЦдних кабельних систем, використовуваних як середовище передачСЦ даних, маСФ мСЦiе наявнСЦсть побСЦчного електромагнСЦтного випромСЦнювання СЦ наведень (ПЕМРЖН). Не дивлячись на свою вториннСЦсть, ПЕМРЖН СФ СЦнформативним для зловмисника СЦ дозволяСФ йому аналСЦзувати списи мережевоСЧ активностСЦ, а за наявностСЦ аналСЦзатора спектру електромагнСЦтного випромСЦнювання, здСЦйснити перехоплення передаваних середовищем передачСЦ повСЦдомлень.

3. Середовище передачСЦ, утворене оптоволоконним кабелем. Як правило, використовуСФться при побудовСЦ магСЦстральних каналСЦв зв'язку. Типова топологСЦя фСЦзичних зв'язкСЦв для такого типу середовища передачСЦ тАФ "крапка-крапка» СЦ "кСЦльце». Проте, останнСЦм часом, у зв'язку СЦз здешевленням засобСЦв комутацСЦСЧ, оснащених СЦнтерфейсами для пСЦдключення оптоволокна, все частСЦше зустрСЦчаСФться використання цього рСЦзновиду кабелю при побудовСЦ локальних мереж зСЦркоподСЦбноСЧ топологСЦСЧ. РЖстотною перевагою оптоволоконноСЧ кабельноСЧ системи перед мСЦдною СФ вСЦдсутнСЦсть ПЕМРЖН, що сильно утрудняСФ перехоплення передаваних середовищем повСЦдомлень. Уразливою ланкою топологСЦСЧ "зСЦрка» для оптоволоконного середовища передачСЦ також СФ концентратори або комутатори.

Важливим чинником при забезпеченнСЦ надСЦйностСЦ роботи комп'ютерноСЧ мережСЦ СЦ, як наслСЦдок, безперервностСЦ СЦнформацСЦйноСЧ пСЦдтримки пСЦдприСФмства СФ наявнСЦсть резервних зв'язкСЦв. НайбСЦльш вСЦдповСЦдальнСЦ сегменти мережСЦ, використовуванСЦ для зв'язку з критично важливими вузлами комп'ютерноСЧ мережСЦ необхСЦдно дублювати. При цьому рСЦшення задачСЦ "гарячого резервування» кабельноСЧ системи покладаСФться на канальний СЦ мережевий рСЦвнСЦ взаСФмодСЦСЧ. Наприклад, у разСЦ порушення цСЦлСЦсностСЦ основного кабельного сегменту тАФ комутатор, оснащений функцСЦСФю гарячого резервування портСЦв, здСЦйснюСФ трансляцСЦю кадрСЦв канального рСЦвня на резервний порт. При цьому пСЦдключений до комутатора вузол, у зв'язку з недоступнСЦстю середовища передачСЦ на основному мережевому СЦнтерфейсСЦ починаСФ прийом СЦ передачу через резервний мережевий СЦнтерфейс. Використання мережевих СЦнтерфейсСЦв вузлом заздалегСЦдь визначене прСЦоритетами його таблицСЦ маршрутизацСЦСЧ.

Додатковий захист мережСЦ можна забезпечити за рахунок обмеження фСЦзичного доступу зловмисника до кабельноСЧ системи пСЦдприСФмства. Наприклад, використання прихованоСЧ проводки СФ перешкодою зловмисниковСЦ, що здСЦйснюСФ спроби монСЦторингу мережевоСЧ активностСЦ СЦ перехоплення повСЦдомлень з використанням засобСЦв аналСЦзу ПЕМРЖН.

ГнучкСЦсть системи управлСЦння доступом до середовища передачСЦ даних забезпечуСФться за рахунок перспективного будСЦвництва структурованоСЧ кабельноСЧ системи (СКС) пСЦдприСФмства. При проектуваннСЦ СЦ будСЦвництвСЦ СКС необхСЦдно передбачити СЦндивСЦдуальнСЦ лСЦнСЦСЧ зв'язку для всСЦх вузлСЦв комп'ютерноСЧ мережСЦ. УправлСЦння конфСЦгурацСЦСФю фСЦзичних зв'язкСЦв повинне здСЦйснюватися центарлизовано.

Нижче приведенСЦ основнСЦ рекомендацСЦСЧ, що дозволяють понизити вСЦрогСЦднСЦсть експлуатацСЦСЧ кабельноСЧ системи комп'ютерноСЧ мережСЦ пСЦдприСФмства зловмисником.

1. КонфСЦгурацСЦя фСЦзичних зв'язкСЦв, що рекомендуСФться, в комп'ютернСЦй мережСЦ пСЦдприСФмства тАФ "зСЦрка», при цьому для пСЦдключення кожного вузла видСЦлений окремий кабельний сегмент. Як середовище передачСЦ використовуСФться восьмижильний мСЦдний кабель типу "витаючи пара» або оптоволокно.

2. Для пСЦдключення критично важливих для пСЦдприСФмства серверСЦв використовують два кабельнСЦ сегменти тАФ основний СЦ резервний.

3. Прокладка мережевого кабелю здСЦйснюСФться в прихованСЦй проводцСЦ, або в кабель-каналах, що закриваються, з можливСЦстю опечатання не зриваними наклейками тАФ "стикерами».

4. КабельнСЦ сегменти, використовуванСЦ для пСЦдключення всСЦх вузлСЦв комп'ютерноСЧ мережСЦ, мають бути сконцентрованСЦ на однСЦй комутацСЦйнСЦй панелСЦ.

5. У початковСЦй конфСЦгурацСЦСЧ топологСЦСЧ фСЦзичних зв'язкСЦв маСФ бути виключене сумСЦсне використання середовища передачСЦ будь-якою парою вузлСЦв мережСЦ. Виняток становить зв'язок з "вузол-комутатор».

6. УправлСЦння конфСЦгурацСЦСФю фСЦзичних зв'язкСЦв мСЦж вузлами здСЦйснюСФться тСЦльки на комутацСЦйнСЦй панелСЦ.

7. КомутацСЦйна панель змонтована в комутацСЦйнСЦй шафСЦ, що замикаСФться. Доступ в примСЦщення комутацСЦйноСЧ шафи строго обмежений СЦ контролюСФться службою безпецСЦ пСЦдприСФмства.

На рис. 4.2 приведенСЦ рекомендацСЦСЧ по побудовСЦ комп'ютерноСЧ мережСЦ на фСЦзичному рСЦвнСЦ.


Рис. 4.2. РекомендацСЦСЧ по побудовСЦ комп'ютерноСЧ мережСЦ на фСЦзичному рСЦвнСЦ.


Особливий клас середовищ передачСЦ складаСФ безпровСЦдне середовище передачСЦ або радСЦочастотний ресурс. При побудовСЦ комп'ютерних мереж пСЦдприСФмств в даний час широко застосовуСФться технологСЦя RadioEthernet. ТопологСЦя фСЦзичних зв'язкСЦв мереж, побудованих за цим принципом, тАФ або "крапка-крапка», або "зСЦрка». ОсобливСЦсть органСЦзацСЦСЧ безпровСЦдних мереж передачСЦ даних, побудованих з використанням технологСЦСЧ RadioEthernet, припускаСФ наявнСЦсть у зловмисника повного доступу до середовища передачСЦ. Зловмисник, що володСЦСФ радСЦомережевим адаптером в змозСЦ без зусиль органСЦзувати прослуховування радСЦомережСЦ передачСЦ даних. ПаралСЦзувати роботу такоСЧ мережСЦ можна за умови наявностСЦ у зловмисника випромСЦнювача, працюючого 2ГГц-овом в дСЦапазонСЦ частот СЦ що володСЦСФ вищими в порСЦвняннСЦ з випромСЦнювачами радСЦомережСЦ, що атакуСФться, потужностними характеристиками.

РекомендацСЦСЧ по захисту радСЦомереж передачСЦ даних.

1. Служба безпецСЦ повинна забезпечити строге обмеження фСЦзичного доступу персоналу пСЦдприСФмства СЦ повне виключення доступу стороннСЦх на майданчики монтажу приймального СЦ випромСЦнюючого устаткування радСЦомереж передачСЦ даних. Доступ на майданчики повинен контролюватися службою безпецСЦ пСЦдприСФмства.

2. Прокладка високочастотного кабелю маСФ бути виконана прихованим способом або в коробах з подальшим опечатанням коробСЦв "стикерами».

3. Довжина високочастотного кабельного сегменту маСФ бути мСЦнСЦмальною.

4. Доступ в примСЦщення з радСЦомодемами, радСЦомостами СЦ станцСЦями, оснащеними радСЦомережевими адаптерами повинен строго контролюватися службою безпецСЦ пСЦдприСФмства.

5. АдмСЦнСЦстратор мережСЦ повинен детально документувати процедури налаштування радСЦомодемСЦв, радСЦомостСЦв СЦ станцСЦй, оснащених радСЦомережевими адаптерами.

6. АдмСЦнСЦстратор мережСЦ повинен регулярно мСЦняти реквСЦзити авторизацСЦСЧ для видаленого управлСЦння цими пристроями.

7. АдмСЦнСЦстратор мережСЦ повинен видСЦлити окремий адресний пул для адмСЦнСЦстрування цих пристроСЧв по мережСЦ.

8. АдмСЦнСЦстратор мережСЦ повинен вСЦдключити невживанСЦ функцСЦСЧ радСЦомодемСЦв, радСЦомостСЦв СЦ станцСЦй, оснащених радСЦомережевими адаптерами.

9. АдмСЦнСЦстратор повинен активувати функцСЦСЧ радСЦомодему або радСЦомоста забезпечуючСЦ "тунелирование» СЦ криптографСЦчний захист передаваних повСЦдомлень, що приймаються.

10. АдмСЦнСЦстратор повинен контролювати доступ до радСЦомодемСЦв, радСЦомостСЦв СЦ станцСЦй, оснащених радСЦоадаптерами з боку вузлСЦв комп'ютерноСЧ мережСЦ пСЦдприСФмства. ОдСЦн з можливих способСЦв контролю тАФ використання мСЦжмережевого екрану.


4.3.2 АвторизацСЦя доступу на канальному рСЦвнСЦ органСЦзацСЦСЧ комптАЩютерних мереж

Забезпечення безпеки роздСЦлення середовища передачСЦ комунСЦкацСЦйними засобами канального рСЦвня. Протоколи СЦ стандарти цього рСЦвня описують процедури перевСЦрки доступностСЦ середовища передачСЦ СЦ коректностСЦ передачСЦ даних. ЗдСЦйснення контролю доступностСЦ середовища необхСЦдне оскСЦльки специфСЦкацСЦСЧ фСЦзичного рСЦвня не враховують те, що в деяких мережах лСЦнСЦСЧ зв'язку можуть роздСЦляСФться мСЦж декСЦлькома взаСФмодСЦючими вузлами СЦ фСЦзичне середовище передачСЦ може бути зайнята. Переважна бСЦльшСЦсть комп'ютерних мереж побудована на основСЦ технологСЦй Ethernet, Fast Ethernet СЦ Gigabit Ethernet. Алгоритм визначення доступностСЦ середовища для всСЦх технологСЦй однаковий СЦ заснований на постСЦйному прослуховуваннСЦ середовища передачСЦ всСЦма пСЦдключеними до неСЧ вузлами. Ця особливСЦсть використовуСФться зловмисниками для органСЦзацСЦСЧ рСЦзних видСЦв атак на комп'ютернСЦ мережСЦ. НавСЦть за умови дотримання рекомендацСЦй щодо виключення роздСЦлення середовища передачСЦ зловмисник може здСЦйснити прослуховування трафСЦку мСЦж довСЦльно вибраною парою вузлСЦв комп'ютерноСЧ мережСЦ. Причому використання простих комутаторСЦв не СФ серйозною перешкодою для зловмисника. Твердження про повну захищенСЦсть мереж, побудованих на основСЦ топологСЦСЧ фСЦзичних зв'язкСЦв "зСЦрка» СЦ оснащених простими комутаторами, СФ серйозною помилкою. ДалСЦ ми розглянемо недолСЦки застосування простих комутаторСЦв як засоби забезпечення СЦнформацСЦйного обмСЦну в комп'ютерних мережах на канальному рСЦвнСЦ.

Процес передачСЦ СЦнформацСЦСЧ вСЦд одного вузла (А) до СЦншого (Б) через простСЦй комутатор вСЦдбуваСФться поетапно СЦ данСЦ передаються блоками. РозмСЦр блокСЦв визначений стандартом канального рСЦвня. Блок даних, яким оперуСФ протокол канального рСЦвня, називаСФться кадром. Припустимо, що передавальний вузол (А) визначив доступнСЦсть середовища СЦ початкСЦв передачу. У першому передаваному кадрСЦ буде широкомовний запит до всСЦх вузлСЦв мережСЦ про пошук вузла з необхСЦдним мережевою адресою. Цей запит мСЦстить апаратна адреса вузла вСЦдправника (А) СЦ його мережева адреса (в даному випадку мова йде про IP як протоколСЦ мережевого рСЦвня). ВСЦдмСЦтимо, що комутатор вСЦдповСЦдно до вимог специфСЦкацСЦй канального рСЦвня зобов'язаний передати цей широкомовний запит всСЦм пСЦдключеним до його портСЦв вузлам. Звернемо увагу також на те, що в нашСЦй комп'ютернСЦй мережСЦ виконана вимога про виключення роздСЦлення середовища передачСЦ мСЦж двома вузлами, СЦ кожен вузол пСЦдключений безпосередньо до свого порту комутатора. Проте, незважаючи, на виконання даноСЧ рекомендацСЦСЧ, зловмисник отримаСФ широкомовний запит вузла (А), оскСЦльки вузол його (зловмисника може) опинитися шуканим. Таким чином, зловмисник отримуватиме нарСЦвнСЦ зСЦ всСЦма останнСЦми широкомовнСЦ запити на дозвСЦл мережевих адрес. Накопичуючи вСЦдомостСЦ з широкомовних запитСЦв, зловмисник матиме уявлення про мережеву активнСЦсть всСЦх вузлСЦв. Тобто про те - хто, СЦ в який час СЦ з ким намагався почати СЦнформацСЦйний обмСЦн. За допомогою цСЦСФСЧ нескладноСЧ технСЦки зловмисник може визначити апаратнСЦ СЦ мережевСЦ адреси вузлСЦв що СФ серверами або маршрутизаторами. КСЦлькСЦсть запитСЦв на дозвСЦл мережевоСЧ адреси сервера або маршрутизатора буде на декСЦлька порядкСЦв вище, нСЦж звичайнСЦй робочСЦй станцСЦСЧ. Сформувавши таким чином вСЦдомСЦсть мережевоСЧ активностСЦ СЦ карту мережСЦ з адресами передбачуваних серверСЦв СЦ маршрутизаторСЦв, зловмисник може вСЦдразу приступити до реалСЦзацСЦСЧ атак вСЦдмови в доступСЦ до цих вузлСЦв. ВСЦдмСЦтимо при цьому, що в процесСЦ збору широкомовних пакетСЦв зловмисник не проявляв нСЦякоСЧ мережевоСЧ активностСЦ, тобто залишався невидимим для всСЦх вузлСЦв мережСЦ окрСЦм простого комутатора, до порту якого вСЦн пСЦдключений.

Розглянемо, що вСЦдбуваСФться пСЦсля того, як вузол призначення (Б) отримав кадр СЦз запитом на дозвСЦл своСФСЧ мережевоСЧ адреси. ЗгСЦдно вимог специфСЦкацСЦй канального рСЦвня, вузол, що отримав широкомовний кадр, що мСЦстить запит на дозвСЦл своСФСЧ мережевоСЧ адреси, зобов'язаний передати вСЦдправниковСЦ цього кадру вСЦдповСЦдь, що мСЦстить "аснСЦ мережеву СЦ апаратну адреси. ВСЦдповСЦдь вузла (Б) буде вже не широкомовною, а адресованою вузлу (А). Комутатор, зобов'язаний транслювати вСЦдповСЦдь вузла (Б) тСЦльки на той порт, до якого пСЦдключений вузол (А). Таким чином, кадр канального рСЦвня, що мСЦстить вСЦдповСЦдь вузла (Б) вже нСЦяк не потрапить до зловмисника. Це пояснюСФться тим, що середовище передачСЦ, використовуване для пСЦдключення зловмисника до комутатора, буде вСЦльне у момент передачСЦ вСЦдповСЦдСЦ. ПСЦсля отримання кадру з вСЦдповСЦддю, вузол (А) дСЦзнаСФться апаратна (MAC) адреса вузла (Б) СЦ зможе почати передачу пакетСЦв мережевого рСЦвня на аресу вузла (Б). ПодальшСЦ аспекти взаСФмодСЦСЧ вузлСЦв знаходяться поза компетенцСЦСФю протоколСЦв канального рСЦвня. Завдання протоколу канального рСЦвня вважаСФться за виконане, якщо що обмСЦнюються даними вузли знають апаратнСЦ адреси один одного СЦ можуть СЦнкапсулювати мережевСЦ пакети в кадри канального рСЦвня, що СЦдентифСЦкуються комутатором по MAC-адресам вузлСЦв.

УразливСЦсть системи дозволу мережевих адрес, описаноСЧ вище (у IP-сетях ця система називаСФться ARP тАФ Address Resolution Protocol) полягаСФ в тому, що вузол (А) довСЦряСФ вмСЦсту кадру з вСЦдповСЦддю. Тобто данСЦ, переданСЦ у вСЦдповСЦдь на запит про дозвСЦл мережевоСЧ адреси, нСЦяк не перевСЦряються СЦ нСЦчим не пСЦдтверджуються. ЦСЦСФю уразливСЦстю СЦ скористаСФться зловмисник, охочий пСЦдмСЦнити собою вузол (Б) або прослуховувати потСЦк кадрСЦв, передаваних мСЦж будь-якими двома вузлами мережСЦ. ВСЦдбуваСФться це таким чином. Зловмисник, вузол якого далСЦ позначимо лСЦтерою (Х), завчасно визначаСФ апаратну СЦ мережеву адреси вузлСЦв, що атакуються. ПотСЦм починаСФ безперервно вСЦдправляти на аресу вузла (А) помилковСЦ вСЦдповСЦдСЦ з вказСЦвкою мережевоСЧ адреси вузла (Б) СЦ апаратноСЧ адреси свого вузла (Х). Отримуючи помилковСЦ вСЦдповСЦдСЦ вузол (А) перебудовуСФ свою таблицю дозволу мережевих адрес СЦ з цСЦСФСЧ митСЦ всСЦ кадри, що вСЦдправляються СЧм на аресу вузла (Б) матимуть в заголовку апаратну адресу вузла зловмисника. ОскСЦльки простий комутатор ухвалюСФ рСЦшення про трансляцСЦю кадру на той або СЦнший порт тСЦльки на пСЦдставСЦ апаратноСЧ адреси, вказаноСЧ в заголовку цього кадру, зловмисник отримуватиме всСЦ повСЦдомлення, адресованСЦ вузлу (Б). Якщо зловмисниковСЦ необхСЦдно органСЦзувати прослуховування трафСЦку мСЦж вузлами (А) СЦ (Б) вСЦн здСЦйснюСФ помилкову розсилку вСЦдповСЦдей на аресу обох вузлСЦв СЦ отриманСЦ в свою адресу кадри пСЦсля перегляду СЦ аналСЦзу транслюСФ вузлу, якому вони призначалися.

Описана вище технСЦка пСЦдмСЦни апаратних адрес (у народСЦ вСЦдома пСЦд англомовною назвою ARP spoofing) не СФ новою, рСЦзнСЦ варСЦанти СЧСЧ реалСЦзацСЦСЧ доступнСЦ користувачам мережСЦ РЖнтернет у виглядСЦ готових програм з докладним керСЦвництвом користувача. Проте, практика показуСФ, що в комп'ютерних мережах пСЦдприСФмств продовжуСФться використання дешевих простих комутаторСЦв на вСЦдповСЦдальних дСЦлянках при пСЦдключеннСЦ критично важливих для пСЦдприСФмства вузлСЦв (серверСЦв, маршрутизаторСЦв СЦ так далСЦ). Комп'ютернСЦ мережСЦ, оснащенСЦ багатофункцСЦональними керованими комутаторами, часто також залишаються уразливими до подСЦбного роду атакам. У багатьох випадках функцСЦСЧ захисту СЦ розмежування доступу до середовища передачСЦ, реалСЦзованСЦ в цих виробах, залишаються незатребуваними у зв'язку з недолСЦком квалСЦфСЦкацСЦСЧ або недбалСЦстю системних адмСЦнСЦстраторСЦв. КрСЦм того, ефективне розмежування доступу засобами канального рСЦвня можливо тСЦльки за умови повноСЧ СЦнвентаризацСЦСЧ вузлСЦв мережСЦ СЦ формалСЦзацСЦСЧ правил взаСФмодСЦСЧ мСЦж ними. На практицСЦ керСЦвництво пСЦдприСФмства неохоче видСЦляСФ кошти на проведення подСЦбних робСЦт, не розумСЦючи СЧх важливостСЦ для забезпечення захисту комп'ютерноСЧ мережСЦ.

Нижче приведенСЦ рекомендацСЦСЧ, проходження яким дозволяСФ додатково захистити комп'ютерну мережу пСЦдприСФмства засобами канального рСЦвня.

1. АдмСЦнСЦстратор служби безпецСЦ повинен вести СЦнвентаризацСЦйну вСЦдомСЦсть вСЦдповСЦдностСЦ апаратних СЦ мережевих адрес всСЦх вузлСЦв мережСЦ пСЦдприСФмства.

2. Службою безпецСЦ, спСЦльно з вСЦддСЦлом СЦнформацСЦйних технологСЦй, маСФ бути розроблена полСЦтика захисту комп'ютерноСЧ мережСЦ засобами канального рСЦвня, що визначаСФ допустимСЦ маршрути передачСЦ кадрСЦв канального рСЦвня. Розроблена полСЦтика повинна забороняти зв'язки типу "один-ко-многим», не обгрунтованСЦ вимогами СЦнформацСЦйноСЧ пСЦдтримки дСЦяльностСЦ пСЦдприСФмства. ПолСЦтикою також мають бути визначенСЦ робочСЦ мСЦiя, з яких дозволена конфСЦгурацСЦя засобСЦв комутацСЦСЧ канального рСЦвня.

3. Засоби комутацСЦСЧ канального рСЦвня, використовуванСЦ в комп'ютернСЦй мережСЦ пСЦдприСФмства, мають бути такими, що настроюються СЦ забезпечувати розмежування доступу мСЦж вузлами мережСЦ вСЦдповСЦдно до розробленоСЧ полСЦтики. Як правило, такСЦ засоби пСЦдтримують технологСЦю VLAN, що дозволяСФ в рамках одного комутатора видСЦлити групи апаратних адрес СЦ сформувати для них правила трансляцСЦСЧ кадрСЦв.

4. АдмСЦнСЦстратор мережСЦ повинен виконати налаштування пСЦдсистеми управлСЦння VLAN комутатора, СЦ СЦнших пСЦдсистем, необхСЦдних для реалСЦзацСЦСЧ розробленоСЧ полСЦтики захисту. У обов'язку адмСЦнСЦстратора входить також вСЦдключення невживаних пСЦдсистем комутатора.

5. АдмСЦнСЦстратор мережСЦ повинен регулярно контролювати вСЦдповСЦднСЦсть конфСЦгурацСЦй комутаторСЦв розробленСЦй полСЦтицСЦ захисту.

6. АдмСЦнСЦстратор мережСЦ повинен вести монСЦторинг мережевоСЧ активностСЦ користувачСЦв з метою виявлення джерел аномально високоСЧ кСЦлькостСЦ широкомовних запитСЦв.

7. Служба безпецСЦ повинна контролювати регулярнСЦсть змСЦни реквСЦзитСЦв авторизацСЦСЧ адмСЦнСЦстратора в пСЦдсистемах управлСЦння комутаторами.

8. Служба безпецСЦ повинна контролювати регулярнСЦсть виконання адмСЦнСЦстратором заходСЦв, пов'язаних з монСЦторингом мережСЦ, здСЦйсненням профСЦлактичних робСЦт по налаштуванню комутаторСЦв, а також створенням резервних копСЦй конфСЦгурацСЦй комутаторСЦв.

9. Служба безпецСЦ повинна забезпечити строгий контроль доступу в примСЦщення, в яких розташованСЦ комутатори СЦ робочСЦ станцСЦСЧ, з яких дозволено управлСЦння комутаторами. На рис. 4.3 приведений приклад формалСЦзованоСЧ полСЦтики захисту комп'ютерноСЧ мережСЦ засобами канального рСЦвня.


Рис. 4.3. Приклад формалСЦзованого запису полСЦтики захисту комп'ютерноСЧ мережСЦ засобами канального рСЦвня.


В центрСЦ схеми знаходиться керований комутатор, що забезпечуСФ реалСЦзацСЦю правил полСЦтики безпеки. Атрибути комутатора перерахованСЦ у верхнСЦй частинСЦ блоку, а його операцСЦСЧ (функцСЦСЧ) в нижней. Вузли мережСЦ згрупованСЦ за функцСЦональною ознакою. Приклад запису правил фСЦльтрацСЦСЧ трафСЦку керованим комутатором приведений з права у вСЦдповСЦднСЦй нотацСЦСЧ.

4.3.3 АвторизацСЦя доступу на мережевому рСЦвнСЦ органСЦзацСЦСЧ комптАЩютерних мереж

Використання в комп'ютернСЦй мережСЦ протоколСЦв мережевого рСЦвня СФ необхСЦдною умовою для забезпечення взаСФмодСЦСЧ мСЦж вузлами мереж з рСЦзними канальними протоколами. МережевСЦ протоколи дозволяють подолати обмеження, що накладаються специфСЦкацСЦями канального рСЦвня. Наприклад, дозволяють об'СФднати комп'ютерну мережу пСЦдприСФмства з мережею СЦнтернет-провайдера з використанням телефонних мереж загального користування. Зробити це тСЦльки засобами канальних протоколСЦв досить складно. КрСЦм того, об'СФднання двох рСЦзних за призначенням мереж з використанням мостСЦв украй негативно позначаСФться на рСЦвнСЦ захищеностСЦ об'СФднуваних мереж. В бСЦльшостСЦ випадкСЦв адмСЦнСЦстратор СЦ служба безпецСЦ пСЦдприСФмства не можуть повнСЦстю проинвентаризировать вузли мережСЦ, що пСЦдключаСФться, СЦ, отже, формалСЦзувати правила обмСЦну кадрами канального рСЦвня.

Другий важливий аспект використання протоколСЦв мережевого рСЦвня тАФ це розмежування доступу до ресурсСЦв усерединСЦ мережСЦ пСЦдприСФмства, що використовуСФ тСЦльки один стандарт канального рСЦвня. Використання для цСЦСФСЧ мети протоколСЦв мережевого рСЦвня вельми ефективно навСЦть для мереж, побудованих з використанням тСЦльки одного стандарту канального рСЦвня. Проблема сумСЦсностСЦ в таких мережах не актуальна, СЦ тому кориснСЦ "астивостСЦ мережевих протоколСЦв можна використовувати для захисту вСЦд дСЦСЧ на мережу зловмисника. ОднСЦСФю з таких "астивостей СФ використання протоколами мережевого рСЦвня роздСЦльноСЧ схеми адресацСЦСЧ мережСЦ (тобто групи комп'ютерСЦв) СЦ окремо узятого вузла цСЦСФСЧ групи. Зокрема адреса протоколу мережевого рСЦвня IP складаСФться з двох частин тАФ номера мережСЦ, СЦ номера вузла. При цьому максимально можлива кСЦлькСЦсть вузлСЦв в мережСЦ або СЧСЧ адресний простСЦр визначаСФться значенням мережевоСЧ маски або (ранСЦше, до введення безкласовоСЧ маршрутизацСЦСЧ CIDR) класом мережСЦ.

Дану особливСЦсть адресацСЦСЧ можуть використовувати як адмСЦнСЦстратор мережСЦ, так СЦ зловмисник. Одним СЦз завдань адмСЦнСЦстратора мережСЦ СЦ спСЦвробСЦтникСЦв служби безпецСЦ СФ захист адресного простору мережСЦ вСЦд можливостСЦ його використання зловмисником. Частково цю функцСЦю виконують механСЦзми маршрутизацСЦСЧ, реалСЦзованСЦ модулями протоколу мережевого рСЦвня. Тобто здСЦйснення обмСЦну мСЦж вузлами мереж з рСЦзними номерами неможливе без попереднього налаштування локальних таблиць маршрутизацСЦСЧ вузлСЦв цих мереж, або без внесення змСЦн до конфСЦгурацСЦСЧ маршрутизатора, що здСЦйснюСФ обмСЦн пакетами (пакетом називаСФться блок даних, з яким працюСФ протокол мережевого рСЦвня).

Проте майже завжди в адресному просторСЦ мережСЦ залишаСФться частина адрес, не зайнятих зараз СЦ тому доступних для експлуатацСЦСЧ зловмисником. Це пояснюСФться форматом представлення номера мережСЦ СЦ номера вузла IP-протокола. КСЦлькСЦсть вузлСЦв в мережСЦ тАФ це завжди 2n, тобто 4,8,16,32,64 СЦ так далСЦ Реальна ж кСЦлькСЦсть вузлСЦв не буваСФ такою. КрСЦм того, адмСЦнСЦстратор завжди прагне зарезервувати адресний простСЦр для нових вузлСЦв. Саме цей резерв може СЦ буде використаний зловмисником для здСЦйснення атак на функцСЦонуючСЦ вузли комп'ютерноСЧ мережСЦ.

ВирСЦшення проблеми очевидне тАФ потрСЦбно використовувати весь адресний простСЦр СЦ не дати зловмисниковСЦ можливостСЦ захопити адреси невживаних вузлСЦв. Одним СЦз способСЦв СФ застосування служби монСЦторингу мережСЦ СЦ пСЦдтримки вСЦртуальних вузлСЦв в резервному дСЦапазонСЦ адрес. Дана служба постСЦйно використовуСФ вСЦльний адресний простСЦр мережСЦ, створюючи "аснСЦ вСЦртуальнСЦ хосты (новСЦ вСЦртуальнСЦ хосты створюються вСЦдразу пСЦсля вСЦдключення вСЦд мережСЦ реально функцСЦонуючих довСЦрених вузлСЦв). Таким чином, служба пСЦдмСЦняСФ собою вСЦдсутнСЦ зараз робочСЦ станцСЦСЧ, сервери, маршрутизатори СЦ так далСЦ


4.3.4 АвторизацСЦя доступу на транспортному рСЦвнСЦ органСЦзацСЦСЧ комптАЩютерних мереж

Використання "астивостей транспортних протоколСЦв створюСФ найбСЦльш ефективну перешкоду дСЦяльностСЦ зловмисника. Тут для захисту використовуються ознаки, що мСЦстяться в заголовках сегментСЦв (сегмент тАФ блок даних з якими працюСФ транспортний протокол) транспортного протоколу. Цими ознаками СФ тип транспортного протоколу, номер порту СЦ прапор синхронСЦзацСЦСЧ з'СФднання.

Якщо засобами канального рСЦвня можна захистити апаратуру комп'ютерноСЧ мережСЦ, а протоколи мережевого рСЦвня дозволяють розмежувати доступ до окремих хостам СЦ пСЦдмереж, то транспортний протокол використовуСФться як засСЦб комунСЦкацСЦСЧ мережевих застосувань, що функцСЦонують на платформСЦ окремих вузлСЦв (хостов). Будь-яке мережеве застосування використовуСФ транспортний протокол для доставки оброблюваних даних. Причому у кожного класу додаткСЦв СФ специфСЦчний номер транспортного порту. Ця "астивСЦсть може бути використане зловмисником для атаки на конкретний мережевий сервСЦс або службу, або адмСЦнСЦстратором мережСЦ для захисту мережевих сервСЦсСЦв СЦ служб.

АдмСЦнСЦстратор формуСФ полСЦтику захисту мережСЦ засобами транспортного рСЦвня у виглядСЦ вСЦдомостСЦ вСЦдповСЦдностСЦ хостов, використовуваних ними мережевих адрес СЦ довСЦрених застосувань, що функцСЦонують на платформах цих хостов. ФормалСЦзований запис цСЦСФСЧ вСЦдомостСЦ СФ табличною структурою, що мСЦстить:

тАФ перелСЦк вузлСЦв (хостов), СЧх символьнСЦ СЦмена;

тАФ вСЦдповСЦднСЦ цим вузлам (хостам) мережевСЦ адреси;

тАФ перелСЦк використовуваних кожним вузлом (хостом) транспортних протоколСЦв;

тАФ перелСЦк мережевих застосувань, що функцСЦонують в кожному вузлСЦ СЦ вСЦдповСЦднСЦ цим застосуванням порти транспортного протоколу;

тАФ по кожному мережевому застосуванню необхСЦдно встановити, чи СФ воно споживачем або постачальником ресурсу, тобто чи дозволено йому СЦнСЦцСЦювати витСЦкаючСЦ з'СФднання або приймати що входять.

РеалСЦзацСЦя полСЦтики захисту засобами транспортного рСЦвня здСЦйснюСФться за допомогою мСЦжмережевих екранСЦв (firewall). МСЦжмережевий екран тАФ це спецСЦалСЦзоване програмне забезпечення, що реалСЦзовуСФ фСЦльтрацСЦю трафСЦку вСЦдповСЦдно до правил полСЦтики захисту мережСЦ засобами транспортного рСЦвня. Як правило, дане програмне забезпечення функцСЦонуСФ на платформСЦ маршрутизатора, керСЦвника СЦнформацСЦйними потоками вузлСЦв рСЦзних мереж.


4.4 Висновок


Таким чином, авторизацСЦя проводиться з метою розмежування прав доступу до мережевих СЦ комп'ютерних ресурсСЦв СЦ СФ процедурою засобу захисту СЦнформацСЦСЧ вСЦд несанкцСЦонованого доступу. Для централСЦзованого вирСЦшення завдань авторизацСЦСЧ в крупних мережах предназначена мережева служба Kerberos. Вона може працювати в середовищСЦ багатьох популярних операцСЦйних систем.


Висновки


Головним результатом даноСЧ роботи СФ дослСЦдження засобСЦв здСЦйснення авторСЦзацСЦСЧ доступу до каналСЦв комптАЩютерних мереж.

До основних результатСЦв дипломноСЧ роботи вСЦдносяться:

1. АналСЦз фСЦзичноСЧ сутностСЦ та порядка використання каналСЦв передачСЦ даних в комптАЩютерних мережах показав, що:

використання каналСЦв передачСЦ даних при побудовСЦ комптАЩютерних мережах вСЦдбуваСФться в рамках структурованоСЧ кабельноСЧ системи;

типова СЦСФрархСЦчна структура структурованоСЧ кабельноСЧ системи включаСФ: горизонтальнСЦ пСЦдсистеми; вертикальнСЦ пСЦдсистеми; пСЦдсистему кампусу;

використання структурованоСЧ кабельноСЧ системи даСФ багато переваг: унСЦверсальнСЦсть, збСЦльшення термСЦну служби, зменшення вартостСЦ добавлення нових користувачСЦв СЦ змСЦни мСЦiь СЧх розташування, можливСЦсть легкого розширення мережСЦ, забезпечення ефективнСЦшого обслуговування, надСЦйнСЦсть;

при виборСЦ типу кабелю приймають до уваги такСЦ характеристики: пропускна спроможнСЦсть, вСЦдстань, фСЦзична захищенСЦсть, електромагнСЦтна перешкодозахищенСЦсть, вартСЦсть;

найбСЦльш поширеними СФ такСЦ типи кабелю: кручена пара (екранована СЦ неекранована), коаксСЦальний кабель, оптоволоконний кабель (одно- СЦ багатомодовий);

для горизонтальноСЧ пСЦдсистеми найбСЦльш прийнятним варСЦантом СФ неекранована кручена пара, для вертикальноСЧ пСЦдсистеми СЦ пСЦдсистеми кампусу - оптоволоконний кабель або коаксСЦал;

2. АналСЦз методСЦв доступу до загального подСЦлюваного середовища передачСЦ даних показав, що випадковСЦ методи доступу передбачають можливСЦсть захвату загального подСЦлюваного середовища передачСЦ даних будь-яким вузлом мережСЦ у довСЦльний випадковий момент часу, якщо в даний момент вСЦн вважаСФ середовище вСЦльним. ДетермСЦнованСЦ методи, навпаки, передбачають можливСЦсть надання загального середовища в розпорядження вузла мережСЦ за суворо визначеним (детермСЦнованим) порядком.

3. Практична настройка мережевих служб для авторизацСЦСЧ доступу до мережСЦ РЖнтернет та рекомендацСЦСЧ щодо забезпечення доступу до каналСЦв комптАЩютерноСЧ мережСЦ пСЦдприСФмства.

Страницы: Назад 1 Вперед