Межсетевое взаимодействие в компании. Основы компьютерных сетей. Применение пакетной коммутации

Межсетевое взаимодействие необходимо для абонентов ISDN с целью связи с абонентами других сетей, как показано на рис. 2.21. Некоторое время проблема организации межсетевого взаимодействия между ISDN и другими сетями была сложной.

Несмотря на использование ISDN в различных государственных структурах, услуги и атрибуты услуг могут отличаться.

Типичные функции межсетевого взаимодействия включают:

  • преобразование между различными системами нумерации;
  • адаптацию электрических характеристик различных сетей;
  • преобразование между различными системами сигнализации, обычно называемое отображением;
  • преобразование между различной техникой модуляции.

2.8.1. Взаимодействие с PSTN

Основные проблемы взаимодействия, возникающие при связи между ISDN и телефонной сетью общего пользования (PSTN), обусловлены несовместимостью систем сигнализации и методов передачи.

В ISDN детальная информация о запрашиваемой услуге и совместимости терминалов может передаваться вне канала через сеть от терминала к терминалу. Это является характеристикой систем сигнализации, применяемых в ISDN. "Вне канала" означает, что информация сигнализации и пользовательская информация передаются по отдельным путям. Системы сигнализации, используемые в PSTN, не имеют такой способности. Через PSTN в ISDN может быть передана только ограниченная информация о запрашиваемой услуге.

Кроме того, цифровые данные со скоростью 64 кбит/с или со скоростью, адаптированной к 64 кбит/с, передаются через ISDN со скоростью 64 кбит/с. Но в PSTN цифровые данные должны быть преобразованы в аналоговые посредством модема и переведены через PSTN как 3,1 кГц аудио – информация (рис. 2.22).

Рис. 2.22. Преобразование цифровых данных в аналоговые сигналы звуковой частоты

Прежде, чем передать сигналы в ISDN, аудио – информация 3,1 кГц должна быть преобразована в ИКМ – сигналы. В связи с использованием различной техники передачи возникает ситуация несовместимости. В настоящее время этой несовместимостью можно управлять (рис. 2.23).

Преобразование цифровых данных в ИКМ – кодированные аналоговые данные выполняется у потребителя с помощью модема. Аудио–информация 3,1 кГц переносится от ISDN-абонента через ISDN и PSTN к абоненту PSTN.

2.8.2. Взаимодействие с PSPDN

Трафик между ISDN и сетью передачи данных с коммутацией пакетов общего пользования (PSPDN) может быть представлен двумя способами, определенными CCITT как случай А и случай В.

В случае А терминалы, передающие пакеты в ISDN, соединяются с помощью информационных каналов с сетью коммутации пакетов. Пакетная коммутация используется в PSPDN даже для вызовов между двумя терминалами, передающими пакеты в ISDN.

В случае В используются средства пакетной коммутации в пределах ISDN. Функция "циклового манипулятора" на местной станции ISDN направляет и концентрирует пакетные данные, полученные по D – каналу, к Вd – каналам. Вd – канал является В – каналом, который содержит пакетные данные из 4 D – каналов. Содержимое Вd – каналов направляется через ISDN в "пакетный манипулятор", который соединяется с PSPDN, как показано на рис. 2.24.

2.8.3. Взаимодействие с СSPDN

Взаимодействие с сетью передачи данных с коммутацией каналов общего пользования также возможно. Коммутация может быть внедрена в CSPDN или внутри ISDN, как показано на рис. 2.25.

Другая возможность – это доступ к CSPDN через PSPDN.


Рис. 1.1.

LAN -интерфейсы (G0/0, G0/1, F0/0, F0/1) используются для связи с узлами (компьютерами, серверами), напрямую или через коммутаторы; WAN -интерфейсы (S1/1, S1/2) необходимы, чтобы связываться с другими маршрутизаторами и всемирной сетью Интернет . Интерфейсы могут подключаться к разным видам передающей среды, в которых могут использоваться различные технологии канального и физического уровней.

Когда адресат назначения находится в другой сети, то конечный узел пересылает пакет на шлюз по умолчанию , роль которого выполняет интерфейс маршрутизатора, через который все пакеты из локальной сети пересылаются в удаленные сети. Например, для сети 192.168.10.0/24 ( рис. 1.1) шлюзом по умолчанию является интерфейс F0/0 маршрутизатора А с адресом 192.168.10.1, а интерфейс F0/1 маршрутизатора В выполняет роль шлюза по умолчанию для сети 192.168.9.0/24. Через шлюз по умолчанию пакеты из удаленных сетей поступают в локальную сеть назначения.

При пересылке пакетов адресату назначения маршрутизатор реализует две основные функции:

  • выбирает наилучший (оптимальный) путь к адресату назначения, анализируя логический адрес назначения передаваемого пакета данных;
  • производит коммутацию принятого пакета с входного интерфейса на выходной для пересылки адресату.

Процесс выбора наилучшего пути получил название маршрутизация . Маршрутизаторы принимают решения, базируясь на сетевых логических адресах (IP-адресах ), находящихся в заголовке пакета. Для определения наилучшего пути передачи данных через связываемые сети, маршрутизаторы строят таблицы маршрутизации и обмениваются сетевой маршрутной информацией с другими сетевыми устройствами.

Ниже приведен пример конфигурирования основных параметров интерфейсов маршрутизатора R-A ( рис. 1.1). Интерфейсам маршрутизатора нужно задать IP- адрес и включить их (активировать ), т.к. все интерфейсы маршрутизаторов Cisco в исходном состоянии выключены.

R-A(config)#int f0/0 R-A(config-if)#ip add 192.168.10.1 255.255.255.0 R-A(config-if)#no shutdown R-A(config-if)# int g0/1 R-A(config-if)#ip add 192.168.20.1 255.255.255.0 R-A(config-if)#no shutdown R-A(config-if)# int s1/1 R-A(config-if)#ip add 210.5.5.1 255.255.255.0 R-A(config-if)#clock rate 64000 R-A(config-if)#no shutdown R-A(config-if)# int s1/2 R-A(config-if)#ip add 210.8.8.1 255.255.255.0 R-A(config-if)#clock rate 64000 R-A(config-if)#no shutdown

Команда clock rate переводит серийный интерфейс из исходного режима терминального устройства DTE в режим канального управляющего устройства DCE . При последовательном соединении маршрутизаторов один из двух соединяемых интерфейсов должен быть управляющим, т.е. DCE .

Остальные маршрутизаторы сети ( рис. 1.1) конфигурируются аналогичным образом.

После конфигурирования интерфейсов в таблице маршрутизации отображаются прямо присоединенные сети , что позволяет направлять пакеты, адресованные узлам в этих сетях. Кроме того, в рассматриваемом примере на всех маршрутизаторах сконфигурирована динамическая маршрутизация с использованием протокола RIP , о котором пойдет речь в "Динамическая маршрутизация" настоящего курса. Результатом конфигурирования устройств сети ( рис. 1.1) является приведенная ниже таблица маршрутизации сетевого элемента R-A:

R-A>show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set R 192.168.9.0/24 via 192.168.20.2, 00:00:09, GigabitEthernet0/1 C 192.168.10.0/24 is directly connected, FastEthernet0/0 C 192.168.20.0/24 is directly connected, GigabitEthernet0/1 R 200.30.30.0/24 via 192.168.20.2, 00:00:09, GigabitEthernet0/1 R 200.40.40.0/24 via 192.168.20.2, 00:00:09, GigabitEthernet0/1 C 210.5.5.0/24 is directly connected, Serial1/1 R 210.6.6.0/24 via 210.5.5.2, 00:00:18, Serial1/1 R 210.7.7.0/24 via 210.5.5.2, 00:00:18, Serial1/1 C 210.8.8.0/24 is directly connected, Serial1/2

В таблице символом С помечены четыре сети непосредственно присоединенные (connected) к определенным интерфейсам маршрутизатора. Сеть 192.168.10.0/24 присоединена к интерфейсу FastEthernet 0/0 (или F0/0), сеть 192.168.20.0/24 - к интерфейсу GigabitEthernet 0/1(или G0/1), сеть 210.5.5.0/24 - к интерфейсу Serial 1/1 (или S1/1), сеть 210.8.8.0/24 - к S1/2. Когда узел направляет кадр другому узлу из той же прямо присоединенной сети, то в такой пересылке шлюз по умолчанию ( интерфейс маршрутизатора) участие не принимает. Передача кадра сообщения производится непосредственно адресату с использованием МАС-адресов источника и назначения.

Маршруты могут создаваться вручную администратором (статическая маршрутизация ). Статические маршруты в таблице маршрутизации помечаются символом S (такие маршруты в приведенном примере отсутствуют). Таблица маршрутизации может также создаваться, обновляться и поддерживаться динамически (автоматически) с помощью протоколов маршрутизации.

В вышеприведенном примере маршруты к удаленным сетям помечены символом R , который указывает, что источником создания маршрутов к удаленным сетям является протокол RIP . Символом O помечаются маршруты, созданные протоколом OSPF , а символом D - протоколом EIGRP .

Перечень поддерживаемых протоколов маршрутизации можно посмотреть по команде Router(config)#router ? .

Вторая колонка (столбец) таблицы маршрутизации показывает адреса сетей, к которым проложен путь . Например, в первой строке указан маршрут к сети 192.168.9.0/24, который лежит через адрес следующего перехода ( next hop ) 192.168.20.2 и свой выходной интерфейс GigabitEthernet0/1. Таким образом, поступивший на один из интерфейсов маршрутизатора пакет, адресованный узлу в Сети 9, должен быть скоммутирован на выходной интерфейс G0/1. При адресации узлов, находящихся в других сетях, например в сети 210.6.6.0/24 или 210.7.7.0/24, в качестве выходного используется интерфейс Serial1/1.

В строке таблицы также указано значение таймера, например 00:00:09.

Кроме того, в квадратных скобках строк таблицы маршрутизации указаны, например: административное расстояние - 120 и метрика - 1. Административное расстояние (AD ) показывает степень достоверности (доверия) источника маршрута. Чем меньше AD , тем выше достоверность . Маршруты, созданные администратором вручную (статические маршруты), характеризуются значением AD = 1.

Источники (протоколы) маршрутизации имеют различные заданные по умолчанию административные расстояния (табл. 1.1).

Таблица 1.1. Административные расстояния по умолчанию
Источник (Протокол) Административное расстояние Источник (Протокол) Административное расстояние
Connected 0 OSPF 110
Static 1 IS-IS 115
eBGP 20 RIP 120
EIGRP 90 EIGRP (External) 170

Если на маршрутизаторе функционирует несколько протоколов, то в таблицу маршрутизации устанавливается маршрут , проложенный протоколом с наименьшим значением административного расстояния. В последней строке таблицы указано, что административное расстояниеEIGRP увеличено до 170, когда маршрут получен от внешнего (стороннего) маршрутизатора. Такой маршрут в таблице маршрутизации помечается символом D*EX .

Определение наилучшего (оптимального) пути любым протоколом маршрутизации производится на основе определенного критерия - метрики . Значение метрики используется при оценке возможных путей к адресату назначения. Метрика может включать разные параметры, например: количество переходов (количество маршрутизаторов) на пути к адресату, полосу пропускания канала, задержку, надежность , загрузку, обобщенную стоимость и другие параметры сетевого соединения. В вышеприведенной распечатке команды show ip route для маршрутов, созданных протоколом RIP , значение метрики равно 1. Это означает, что расстояние до маршрутизатора, к которому присоединена сеть назначения, составляет один переход. Наименьшая метрика означает наилучший маршрут. Метрика статического маршрута всегда равна 0.

Каждый интерфейс маршрутизатора подключен к сети (подсети), имеющей свой логический IP- адрес . Широковещательные сообщения передаются только в пределах сети или, по-другому, в пределах широковещательного домена. Поэтому говорят, что маршрутизаторы делят сеть на широковещательные домены . Маршрутизаторы блокируют широковещательные сообщения и не пропускают их в другие сети. Деление сети на широковещательные домены повышает безопасность , поскольку широковещательный шторм может распространяться только в пределах домена (в пределах одной сети).

Когда на один из интерфейсов маршрутизатора (входной интерфейс ) поступает пакет, адресованный узлу из другой присоединенной сети, он продвигается на выходной интерфейс , к которому присоединена сеть назначения.

Получив кадр на входной интерфейс, маршрутизатор:

  1. Декапсулирует пакет из кадра.
  2. Из заголовка пакета считывает IP-адрес узла назначения.
  3. С помощью маски вычисляет адрес сети назначения.
  4. Обращается к таблице маршрутизации, чтобы определить, на какой выходной интерфейс, ведущий к сети назначения, произвести коммутацию пакета.
  5. На выходном интерфейсе инкапсулирует пакет в новый кадр и отправляет его в направлении адресата назначения.

Подобная последовательность действий, выполняемая центральным процессором (ЦП) маршрутизатора, получила название программной коммутации . Она выполняется с каждым пакетом, поступившим на

  • SWOT-анализ деятельности предприятия ООО «Кока-Кола»: выявление альтернативных стратегических задач
  • V. Органы управления территориальным фондом и организация деятельности
  • V1: Формы взаимодействия продавца и покупателя на потребительском рынке
  • VI: Организация и управление торгово-посреднической деятельностью на рынке товаров
  • Актуальные этико-правовые проблемы взаимодействия человека и общества.

    • На предприятии используется глобальная компьютерная сеть, которая охватывает большие территории и включающая в себя большое число компьютеров.

    Глобальная компьютерная сеть служит для объединения разрозненных сетей так, чтобы пользователи и компьютеры, где бы они ни находились, могли взаимодействовать со всеми остальными участниками глобальной сети. На каждом компьютере есть выход в интернет, но с ограниченным доступом к социальным сетям.

    Компьютерные сети – это системы компьютеров, объединенных каналами передачи данных, обеспечивающие эффективное предоставление различных информационно-вычислительных услуг пользователям посредством реализации удобного и надежного доступа к ресурсам сети.

    Информационные системы, использующие возможности компьютерных сетей, обеспечивают выполнение следующих задач:

    1. Хранение и обработка данных

    2. Организация доступа пользователей к данным

    3. Передача данных и результатов обработки пользователям

    Эффективность решения перечисленных задач обеспечивается:

    1. Дистанционным доступом пользователей к аппаратным, программным и информационным ресурсам

    2. Высокой надежностью системы

    3. Возможностью оперативного перераспределения нагрузки

    4. Специализацией отдельных узлов сети для решения определенного класса задач

    5. Решением сложных задач совместными усилиями нескольких узлов сети

    6. Возможностью осуществления оперативного контроля всех узлов сети

    Виды компьютерных сетей:

    1. Локальные (ЛВС, LAN-Local Area Network)

    2. Региональные (РВС, MAN – Metropolitan Area Network)

    3. Глобальные (ГВС, WAN – Wide Area Network)

    В локальной сети абоненты находятся на небольшом (до 10-15 км) расстоянии.

    Глобальные сети соединяют абонентов, удаленных друг от друга на значительное расстояние, расположенных в разных странах, или разных континентах.

    По признакам организации передачи данныхкомпьютерные сети можно разделить на две группы:

    1. последовательные;

    2. широковещательные.

    В последовательных сетях передача данных осуществляется после­довательно от одного узла к другому. Каждый узел ретранслирует при­нятые данные дальше. Практически все виды сетей относятся к этому типу. В широковещательных сетях в конкретный момент времени пе­редачу может вести только один узел, остальные узлы могут только принимать информацию.

    Топология представляет физическое расположение сетевых компо­нентов (компьютеров, кабелей и др.). Выбором топологии опреде­ляется состав сетевого оборудования, возможности расширения сети, способ управления сетью.

    Существуют следующие топологии компьютерных сетей:

    1. шинные (линейные, bus);

    2. кольцевые (петлевые, ring);

    3. радиальные (звездообразные, star);

    4. смешанные (гибридные).

    Практически все сети строятся на основе трех базовых топологий:топологии «шина», «звезда» и «кольцо». Базовые топологии достаточно просты, однако на практике часто встречаются довольно сложные комбинации, сочетающие, свойства и характеристики нескольких топологий.

    В топологии «шина», или «линейная шина» (linear bus), используется один кабель, именуемый магистралью или сегментом, к которомуподключены все компьютеры сети. Эта топология является наиболее простой и распространенной реализацией сети.

    Так как данные в сеть передаются лишь одним компьютером, про­изводительность сети зависит от количества компьютеров, подключенных к шине. Чем больше компьютеров, тем медленнее сеть.

    Зависимость пропускной способности сети от количества компьютеров в ней не является прямой, так как, кроме числа компьютеров, на быстродействие сети влияет множество других факторов: тип аппаратного обеспечения, частота передачи данных, тип сетевых приложений, тип сетевого кабеля, расстояние между компьютерами в сети.

    «Шина» является пассивной топологией - компьютеры только«слушают» передаваемые по сети, данные, но не передают их от отправителя к получателю. Выход из строя какого-либо компьютера не оказывает влияния на работу всей сети. В активных топологиях компьютеры регенерируют сигналы с последующей передачей их по сети.

    Основой последовательной сети с радиальной топологией (топологией «звезда») является специальный компьютер - сервер, к которому подключаются рабочие станции, каждая по своей линии связи.

    Всяинформация передается через сервер, в задачи которого входит ретрансляция, переключение и маршрутизация информационных потоков в сети. Такая сеть является аналогом системы телеобработки, в которой все абонентские пункты содержат в своем составе компьютер.

    Недостатками такой сети являются:

    · высокие требования к вычислительным ресурсам центральной аппаратуры,

    · потеря работоспособности сети при отказе центральной аппаратуры,

    · большая протяженность линий связи,

    · отсутствие гибкости в выборе пути передачи информации если выйдет из строя рабочая станция (или кабель, соединяющий ее сконцентратором), то лишь эта станция не сможет передавать или принимать данные по сети. На остальные рабочие станции в сети этот сбой не повлияет.

    При использовании топологии «кольцо» компьютеры подключаются к кабелю, замкнутому в кольцо. Сигналы передаются в одном направлении и проходят через каждый компьютер. Каждый компьютер является повторителем, усиливая сигналы и передавая их следующему компьютеру. Если выйдет из строя один компьютер, прекращает функционировать вся сеть.

    Способ передачи данных по кольцевой сети называется передачей маркера. Маркер последовательно, от компьютера к компьютеру, пе­редается до тех пор, пока его не получит тот компьютер, который дол­жен передать данные. Передающий компьютер добавляет к маркеру данные и адрес получателя и отправляет его дальше по кольцу.

    Данные передаются через каждый компьютер, пока не окажутся у того, чей адрес совпадает с адресом получателя. Далее принимающий компьютер посылает передающему сообщение - подтверждение о приеме данных. Получив сообщение - подтверждение, передающий компьютер создает новый маркер и возвращает его в сеть.

    На предприятие используется топология типа общая шина, которая представляет собой общий кабель (называемый шина или магистраль), к которому подсоединены все рабочие станции. На концах кабеля находятся терминаторы, для предотвращения отражения сигнала.

    Отправляемое какой-либо рабочей станцией сообщение распространяется на все компьютеры сети. Каждая машина проверяет, кому адресовано сообщение - если сообщение адресовано ей, то обрабатывает его. Принимаются специальные меры для того, чтобы при работе с общим кабелем компьютеры не мешали друг другу передавать и принимать данные. Для того чтобы исключить одновременную посылку данных, применяется либо «несущий» сигнал, либо один из компьютеров является главным и «даёт слово» «МАРКЕР» остальным компьютерам такой сети.

    Достоинства:

    1. Небольшое время установки сети;

    2. Дешевизна (требуется кабель меньшей длины и меньше сетевых устройств);

    3. Простота настройки;

    4. Выход из строя одной рабочей станции не отражается на работе всей сети.

    Недостатки:

    2. Неполадки в сети, такие как обрыв кабеля или выход из строя терминатора, полностью блокируют работу всей сети;

    3. Затрудненность выявления неисправностей;

    4. С добавлением новых рабочих станций падает общая производительность сети.

    Обмен данными между сотрудниками на предприятии происходит с помощью Viber.

    Viber - новое уникальное приложение, доступное каждому пользователю смартфона или компьютера. Viber –звонки, и возможность отправлять голосовые сообщения и видеофайлы, и многое другое.


    | | 3 | |

    Межсетевое взаимодействие — это практика объединения нескольких компьютерных сетей вместе для формирования более крупных сетей. Различные типы сетей могут быть подключены к промежуточным устройствам, известным как шлюзы, и после их соединения они действуют как одна большая сеть. Межсетевое взаимодействие было разработано как ответ на несколько проблем, возникших в первые дни персональных компьютеров и составляющих основу современного Интернета.
    Многие люди каждый день используют разные типы сетей, даже не осознавая этого. Бизнесмен, который использует смартфон для проверки электронной почты, использует сотовую сеть, а домашний пользователь может передавать музыку на ноутбук через беспроводную сеть. Сельские пользователи могут получить доступ к сети к своему интернет-провайдеру через коммутируемое соединение. В корпоративном мире большие проводные сети являются нормой. Межсетевое взаимодействие позволяет всем этим сетям соединяться друг с другом, несмотря на их технологические различия.

    Ключом к переходу на различные типы сетей является концепция пакетов — крошечных отдельных единиц данных. Пакеты являются основой для современных компьютерных сетей, но не ограничиваются какой-либо одной сетевой технологией. Вместо этого пакеты могут быть вставлены в так называемые фреймы, которые предназначены для определенных сетевых технологий. Эта компоновка позволяет использовать пакеты из любого типа сети в любой другой сети. Специальные устройства, поддерживающие более чем одну сетевую технологию, называемую шлюзами или маршрутизаторами, могут передавать пакеты между этими различными сетями.

    Межсетевое взаимодействие постепенно развивалось как ответ на несколько проблем. Самые ранние соединения между несколькими компьютерами были «немыми» терминалами с небольшой вычислительной мощностью, которые могли бы подключаться к мощным мощным мейнфреймам. Поскольку персональные компьютеры (ПК) начали заменять терминалы, ПК были сгруппированы в локальные сети (ЛВС). Хотя это имело много преимуществ, локальные сети были изолированы и не могли подключаться к другим ЛВС, что ограничивало производительность. Файловые серверы, принтеры и другие ресурсы не могут быть разделены между местоположениями, а организации с несколькими местоположениями не могут легко обмениваться информацией.

    В начале 1970-х годов американские исследователи, работающие в сети оборонного ведомства, известной как сеть агентств по продвижению исследовательских проектов (ARPANET), начали исследовать возможность связывания своей сети с другими ранними сетями. Эти исследования показали, что ранние сетевые протоколы не очень хорошо подходят для межсетевого взаимодействия, и началась разработка протокола управления передачей и протокола Интернета (TCP / IP). К концу 1970-х годов ARPANET была связана с двумя другими сетями, использующими TCP / IP, и была написана важная страница в истории Интернета.

    Новые сети продолжали подключаться к ARPANET в 1980-х годах, и все большее число локальных сетей были подключены друг к другу через ARPANET. В 1989 году сеть, созданная Национальным научным фондом (NSF), заменила ARPANET. Оттуда региональные сети были подключены к сети NSF с использованием TCP / IP и связанных протоколов, и появилась большая «сеть сетей» — Интернет.

    Межсетевые взаимодействия (internetworks ) являются коммуникационными структурами, работа которых заключается в объединении локальных и глобальных сетей. Их основная задача состоит в эффективном перемещении информации куда угодно быстро, согласно запросу, и в полной целостности.

    Подразделение межсетевого взаимодействия должно предоставлять пользователям:

    • увеличенную пропускную способность
    • полосу пропускания по запросу
    • низкие задержки
    • данные, звуковые и видео возможности в одной среде

    для реализации своих целей, межсетевое взаимодействие должно быть способно объединить различные сети воедино для обслуживания зависящих от них организаций. И эта связываемость должна происходить вне зависимости от типов вовлеченных физических сред.

    Межсетевой экран или сетевой экран - комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

    Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача - не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

    Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов - динамическую замену внутрисетевых (серых) адресов или портов на внешние, используемые за пределами ЛВС.

    Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:

    • обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;
    • на уровне каких сетевых протоколов происходит контроль потока данных;
    • отслеживаются ли состояния активных соединений или нет.

    В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:

    • традиционный сетевой (или межсетевой ) экран - программа (или неотъемлемая часть операционной системы) на шлюзе (сервере, передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.
    • персональный сетевой экран - программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

    Сетевой шлюз (англ. gateway ) - аппаратный маршрутизатор или программное обеспечение для сопряжения компьютерных сетей, использующих разные протоколы (например, локальной и глобальной).

    Шлюз по умолчанию (англ. Default gateway ), шлюз последней надежды (англ. Last hope gateway ) - в маршрутизируемых протоколах - адрес маршрутизатора, на который отправляется трафик, для которого невозможно определить маршрут исходя из таблиц маршрутизации. Применяется в сетях с хорошо выраженными центральными маршрутизаторами, в малых сетях, в клиентских сегментах сетей. Шлюз по умолчанию задаётся записью в таблице маршрутизации вида "сеть 0.0.0.0 с маской сети 0.0.0.0".

    Интернет-шлюз , как правило, это программное обеспечение, призванное организовать передачу трафика между разными сетями. Программа является рабочим инструментомсистемного администратора, позволяя ему контролировать трафик и действия сотрудников.

    Трансляция сетевых адресов (NAT) это технология которая позволяет отображать IP адреса (номера портов) из одной группы в другую, прозрачно для конеченого пользователя. NAT может использоваться для достижения двух основных целей:

    1. Использование единственного IP-адреса для доступа в Интернет с нескольких компьютеров;

    2. Сокрытие внутренней структуры корпоративной сети.

    Принципы организации сети Интернет требуют, чтобы каждый узел сети имел уникальный IP-адрес. Однако из-за все возрастающего дефецита свободных IP-адресов получение индивидуального IP-адреса для каждого компьютера в организации может быть не всегда оправдано.

    Также, для сетей на базе протокола IP, не требующих непосредственного подключения к Интернет выделено три диапазона IP-адресов (IP-сетей):

     10.0.0.0 - 10.255.255.255;

     172.16.0.0 - 172.31.255.255;

     192.168.0.0 - 192.168.255.255;

    Данные адреса также иногда называют частными или "серыми" IP-адресами. Таким образом любая организация может назначать узлам внутри своей локальной сети IP-адреса из указанных диапазонов. Однако, непосредственный доступ в Интернет из таких сетей невозможен. Данное ограничение можно обойти за счет технологии NAT.

    Достаточно иметь единственный узел с доступом в Интернет и имеющим уникальный ("белый") IP-адрес, выданный провайдером. Такой узел будет назваетсяваться шлюзом. Шлюз должен иметь, как минимум два сетевых, адаптера (сетевых карты, модемов и т.д.), один из которых обеспечивает доступ в Интернет. Этому внешнему адаптеру присвоен "белый" IP-адрес. Остальным, внутренним адаптерам могут быть присвоены как "белые", так и "серые" IP-адреса. При прохождении сетевых пакетов через шлюз, с внутреннего адаптера на внешний происходит трансляция сетевых адресов (NAT).

    В общем виде, существует довольно много схем трансляции сетевых адресов. Большинство из них описаны в RFC-1631, RFC-2663, RFC-2766, RFC-3022. В Lan2net NAT Firewall используется схема NAPT в терминах RFC-2663. Данная схема является разновидностью Traditional NAT, детального описанного в RFC-3022. В Linux подобная схема NAT называется "Masquarading".

    В Lan2net NAT Firewall NAT выполняется для протоколов TCP, UDP и ICMP.

    Трансляция сетевых адресов выполняется в процессе контроля транзитных соединений. Когда пакет IP-соединения с "серым" адресом источника передается драйвером TCP/IP к драйверу внешнего сетевого адаптера, драйвер Lan2net NAT Firewall перехватывает пакет и модифицирует в нем IP-адрес источника и номер порта источника для протоколов UDP и TCP. Для пакетов протокола ICMP модифицируется идентификатор запроса. После модификации пакета он передается драйверу внешнего сетевого адаптера и далее отсылается целевому узлу в Интернет. Для принятых ответных пакетов данного соединения происходит обратная модификация указанных параметров.

    В процессе модификации, "серый" IP-адрес источника заменяется на "белый" IP-адрес, назначенный внешнему сетевому адаптеру. При дальнейшей передаче пакет выглядит, как будь-то, он отправлен с "белого" IP-адреса. Тем самым обеспечивается уникальность IP-адреса источника соединения в рамках всей сети Интернет.

    Модификация номеров TCP- и UDP- портов источника и идентификатора ICMP-запроса осуществляется таким образом, чтобы значения данных параметров оставались уникальными в рамках всех транзитных и исходящих IP-соединений для данного сетевого адаптера. В Lan2net NAT Firewall уникальные номера портов источника и идентификаторов запроса назначаются из диапазона 30000-43000.

    Получив ответные пакеты, драйвер внешнего сетевого адаптера передает их драйверу TCP/IP. В этот момент пакеты перехватываются драйвером Lan2net NAT Firewall. Драйвер Lan2net NAT Firewall опеределяет принадлежность пакетов исходному IP-соединению. Так как при модификации номеров TCP- или UDP-портов или идентификатора ICMP-запроса в исходящих пакетах им были присвоены уникальные значения, то теперь на основе этих значений драйвер может восстановить оригинальный ("серый") IP-адрес источника запроса. Таким образом, в ответных пакетах значение IP-адрес назначения заменяется на IP-адрес источника запроса, а номера TCP- или UDP-портов или идентификатора ICMP-запроса также восстанавливают свои оригинальные значения. После этого ответные пакеты передаются драйверу TCP/IP и далее через внутренний адаптер к узлу, сделавшему запрос.

    Как видно, описаный механизм обеспечивает прозрачный доступ в Интернет с узлов с "серыми" IP-адресами. Кроме того, все соединения после шлюза выглядят как, если бы они были установлены с единственного "белого" IP-адреса. Тем самым обеспечивается сокрытие внутренней структуры корпоративной или домашней сети.

    Виртуальные сети VLAN и VPN

    VPN (англ. Virtual Private Network - виртуальная частная сеть) - обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет). Несмотря на то, что коммуникации осуществляются по сетям с меньшим неизвестным уровнем доверия (например, по публичным сетям), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений).

    В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть.

    Уровни реализации

    Обычно VPN развёртывают на уровнях не выше сетевого, так как применение криптографии на этих уровнях позволяет использовать в неизменном виде транспортные протоколы (такие как TCP, UDP).

    Чаще всего для создания виртуальной сети используется инкапсуляция протокола PPP в какой-нибудь другой протокол - IP (такой способ использует реализация PPTP - Point-to-Point Tunneling Protocol) или Ethernet (PPPoE) (хотя и они имеют различия). Технология VPN в последнее время используется не только для создания собственно частных сетей, но и некоторыми провайдерами «последней мили» на постсоветском пространстве для предоставления выхода в Интернет.

    При должном уровне реализации и использовании специального программного обеспечения сеть VPN может обеспечить высокий уровень шифрования передаваемой информации. При правильной настройке всех компонентов технология VPN обеспечивает анонимность в Сети.

    Структура VPN

    VPN состоит из двух частей: «внутренняя» (подконтрольная) сеть, которых может быть несколько, и «внешняя» сеть, по которой проходит инкапсулированное соединение (обычно используется Интернет). Возможно также подключение к виртуальной сети отдельного компьютера. Подключение удалённого пользователя к VPN производится посредством сервера доступа, который подключён как к внутренней, так и к внешней (общедоступной) сети. При подключении удалённого пользователя (либо при установке соединения с другой защищённой сетью) сервер доступа требует прохождения процесса идентификации, а затем процесса аутентификации. После успешного прохождения обоих процессов, удалённый пользователь (удаленная сеть) наделяется полномочиями для работы в сети, то есть происходит процесс авторизации.

    Классификация VPN

    Классифицировать VPN решения можно по нескольким основным параметрам.



    СХОЖИЕ СТАТЬИ