Технические средства защиты ЛВС

Методы доступа к среде:

- опрос;

- передача маркера;

- соперничество;

- сегментированная передача;

- вставка регистра;

- резервирование времени;

- радиочастотная модуляция.

Связь между компьютерами ЛВС физически осуществляется на основе одной из двух схем: обнаружения коллизий (полное название CSMA/CD - множественный доступ с проверкой несущей частоты и обнаружением коллизий) и передачи маркера. Метод обнаружения коллизий используется стандартами Ethernet, Fast Ethernet и Gigabit Ethernet, а передачи маркера стандартом Token Ring и FDDI. Институт инженеров по электротехнике и электронике IEEE определил и опубли-ковал в качестве стандарта наборы физических характеристик, которым должны удовлетворять ЛВС с обнаружением коллизий и ЛВС с переда-чей маркера. Эти документы называются стандартами IEEE 802.3 (Ethernet) и IEEE 802.5 (Token Ring).

Метод обнаружения коллизий

В сетях, работающих по принципу обнаружения коллизий, все адаптеры непрерывно находятся в состоянии прослушивания сети. Для передачи данных сервер или рабочая станция должны дождаться освобождения ЛВС и только после этого приступить к передаче. Однако не исключено, что передача может начаться несколькими узлами одного сегмента сети одновременно, что приведет к коллизии. В случае возникновения коллизии узлы должны повторить свои сообщения. Повторная передача производится адаптером самостоятельно без вмешательства процессора компьютера. Время, затрачиваемое на преодоление коллизии, обычно не превышает одной микросекунды. Передача сообщений в сетях Ethernet производится пакетами со скоростью 10, 100 и 1000 Мбит/с. Естественно, реальная загрузка сети меньше, поскольку требуется время на подготовку пакетов. Все узлы сегмента сети принимают сообщение, передаваемое компьютером этого сегмента, но только тот узел, которому оно адресовано, посылает подтверждение о приеме. Основными поставщиками оборудования для сетей Ethernet являются фирмы ЗCom, CISCO, Bay Networks (недавно компания Nortel купила Bay Networks), CNet.

Метод передачи маркера сообщения

В ЛВС с передачей маркера сообщения передаются последовательно от одного узла к другому вне зависимости от того, какую топологию имеет сеть - кольцевую или звездообразную. Каждый узел сети получает пакет от соседнего. Если данный узел не является адресатом, то он передает тот же самый пакет следующему узлу. Передаваемый пакет может содержать либо данные, направляемые от одного узла другому, либо маркер. Маркер - это короткое сообщение, являющееся признаком незанятости сети. В том случае, когда рабочей станции необходимо передать сообщение, ее сетевой адаптер дожидается поступления маркера, а затем формирует пакет, содержащий данные, и передает этот пакет в сеть. Пакет распространяется по ЛВС от одного сетевого адаптера к другому до тех пор, пока не дойдет до компьютера-адресата, который произведет в нем стандартные изменения. Эти изменения являются подтверждением того, что данные достигли адресата. После этого пакет продолжает движение дальше по ЛВС, пока не возвратится в тот узел, который его сформировал. Узел-источник убеждается в правильности передачи пакета и возвращает в сеть маркер. Важно отметить, что в ЛВС с передачей маркера функционирование сети организовано так, что коллизии возникнуть не могут.

На физическом уровне организации ЛВС с передачей маркера представляет из себя кольцо. Даже если сеть соединена кабелями в виде звезды, пакет в ней передается от узла к узлу по кольцу до тех пор, пока не вернется в точку, где был порожден. Для этого рабочая станция передает пакет к устройству MSAU (Multistation Access Unit - Устройство для доступа к множеству станций), которое осуществляет маршрутизацию пакета к следующему узлу.

Пропускная способность сетей Token Ring равна 16 Мбит/с. Оборудование для сетей Token Ring производит IBM, ЗCom и некоторые другие фирмы. FDDI является гораздо более современным протоколом, чем Ethernet и Token Ring. Протокол FDDI (Fiber Distribution Data Interface - оптоволоконный интерфейс распределения данных) работает по схеме передачи маркера в логическом кольце с оптоволоконными кабелями и имеет производительность 100 Mb в секунду. Этот протокол задумывался таким образом, чтобы максимально соответствовать стандарту IEEE 802.5 Token Ring.

КОМПОНЕНТЫ ЛОКАЛЬНЫХ СЕТЕЙ
Адаптер

Адаптер (network adapter) - устройство, соединяющее компьютер (терминал) с сегментом сети. Сетевые адаптеры, как правило, принадлежат к одному из двух типов - с обнаружением коллизий или с передачей маркера. Адаптеры имеют достаточный набор аппаратных средств для определения возможности передачи пакета в физическую среду или приема адресованного к нему сообщения. Оба типа адаптеров при поддержке программных средств производят семь основных опе-раций при приеме или передаче сообщений.

Сетевые адаптеры вместе с соответствующим программным обеспечением способны распознавать и обрабатывать ошибки, которые могут возникнуть из-за электрических помех, коллизий или плохой работы оборудования. Большинство сетевых адаптеров занимают один из слотов материнской платы ПК.

Последовательность операций при передаче данных

При передаче данных соблюдается следующая последовательность:

- Буферизация. Использование буфера необходимо для согласования между собой скоростей обработки информации различными компонентами ЛВС. Буфер должен иметь объем, достаточный для размещения целого пакета данных.

- Формирование пакета. Данные разделяются на пакеты, добавляется заголовок и окончание.

- Доступ к кабелю. Адаптер убеждается, что линия не занята или ждет поступления маркера.

- Преобразование данных из последовательной/параллельной формы.

- Кодирование/декодирование данных.

- Передача/прием импульсов.

Типы сетевых адаптеров

Различные типы сетевых адаптеров отличаются не только ме-тодами доступа к среде, но и следующими параметрами:

- поддерживаемым протоколом;

- скоростью передачи;

- объемом буфера для пакета;

- типом шины (8 бит, 16 бит, МСА);

- быстродействием шины;

- совместимостью с различными микропроцессорами;

- использованием прямого доступа к памяти (DMA);

- адресацией портов ввода/вывода и запросов прерывания;

- интеллектуальностью;

- конструкцией разъема.

МОСТ

Мост (bridge) - устройство, соединяющее локальные или удаленные сегменты сети. Мосты функционируют на канальном уровне (втором в модели OSI) и прозрачны для протоколов более высоких уровней, т.е. принимают решения о передаче кадра из одного сегмента в другой только на основании информации из заголовка канального уровня, в частности, физического адреса станции-получателя. В отличие от повторителей мост анализирует целостность кадров и испорченные фильтрует. 

Классификация мостов

Мосты можно классифицировать по типу и принципу передачи пакетов.

Типы мостов:

- Sourse Routing (маршрутизация источника). Требуют, чтобы узел-отправитель пакета размещал в нем информацию о пути его маршрутизации, т.е. каждая станция должна иметь встроенные функции по маршрутизации пакетов.

- Transparent Bridges (прозрачные мосты). Обеспечивают прозрачную связь станций, расположенных в разных ЛВС, и все функции по маршрутизации выполняют сами мосты. Прозрачный мост хранит таблицы с адресами станций, находящимися по разные стороны от него. Мост передает кадр в другой сегмент в том случае, если адрес получателя отсутствует в таблице, относящейся к сегменту отправителя.

В сегментах, соединяемых мостом, могут применяться как одинаковые, так и разные канальные протоколы. В последнем случае мост конвертирует кадр из одного формата в другой.

Когда на один из портов моста приходит пакет данных, мост должен или переправить его на тот порт, к которому подключен узел назначения пакета, или отфильтровать его, если узел назначения находится на том же самом порту, с которого пришел пакет.

По принципу передачи пакетов мосты разделяются на:

- Encapsulating Bridges, пакеты физического уровня одной ЛВС целиком переносятся в пакеты физического уровня другой ЛВС. Такие мосты позволяют связать, например, FDDI-магистралью две ЛВС Ethernet, однако FDDI будет использоваться только как среда передачи, и станции, подключенные к сетям Ethernet, не будут видеть станций, подключенных к FDDI;

- Translational Bridges, выполняют преобразование из одного протокола физического уровня в другой. Они удаляют заголовок и служебную информацию одного протокола и переносят данные в другой протокол, т.е. в данном случае FDDI можно использовать не только как среду передачи, но и для непосредственного подключения сетевого оборудования, полностью видимого станциями, подключенными к се-тям Ethernet.

Интеллектуальные мосты, кроме того, обладают рядом дополнительных возможностей, которые реализуются с помощью систем централизованного управления сетью (протокол SNMP) и позволяют:

- производить набор статистики и анализ трафика;

- устанавливать дополнительные фильтры на порты по номерам ЛВС или по физическим адресам сетевых устройств;

- оперативно получать сообщения о всех возникающих проблемах в сети;

- проводить диагностику модулей;

- просматривать в графическом виде изображение передних панелей модулей;

- просматривать системный журнал, в котором записана информация о всех проблемах с сетью и других важных событиях.

Алгоритм работы моста проверяет:

1)     занесен ли в его внутреннюю таблицу адрес узла отправителя пакета. Если нет, то мост заносит его в свою таблицу адресов и связы-вает с ним номер порта, на который поступил пакет;

2) занесен ли в таблицу адрес узла назначения. Если нет, то мост передает принятый пакет во все сети, подключенные ко всем остальным его портам. Если адрес есть, мост проверяет, подключена ли ЛВС узла назначения к тому же самому порту, откуда пришел пакет. Если да, то пакет отфильтровывается, если нет, передается адресату.

Главные параметры моста:

- размер внутренней адресной таблицы (типовое значение 500 - 2000 адресов);

- скорость фильтрации;

- скорость маршрутизации.

Достоинства мостов:

- очень просты в установке;

- их присутствие прозрачно для пользователя;

- автоматически адаптируются к изменению конфигурации сети;

- могут соединять сети, работающие с разными протоколами сетевого уровня;

- образуют логически единую сеть, т.е. все соединенные сегменты имеют один и тот же сетевой адрес. По этой причине перемещение компьютера из одного сегмента сети в другой не требует изменения его сетевого адреса;

- обеспечивают высокую производительность при относительно низкой цене.

Недостатки мостов:

- не могут использовать альтернативные пути в сети, распределяя по ним нагрузку. Из возможных путей всегда выбирают один;

- могут способствовать значительным всплескам трафика в сети (пакет, чей адрес еще не содержится в таблице, передается во все сегменты);

- не могут предотвращать "штормы широковещательных сообщений", вызываемые некоторыми протоколами;

- не представляют средств для изоляции ошибочно функционирующих сегментов.

МАРШРУТИЗАТОР

Маршрутизатор (router) - многофункциональное устройство, предназначенное для ограничения широковещательного трафика посредством разбиения сети на сегменты, обеспечения защиты информации, управления и организации резервных путей между областями широковещания.

Маршрутизатор действует на сетевом уровне (третьем в модели OSI) и обладает следующими особенностями: 1. Учитывает специфику протоколов, используя маршрутную информацию сетевого уровня. 2. Может обмениваться с другими маршрутизаторами информацией для сбора данных о топологии и состоянии сети. На основе анализа информации выбирается наилучший путь для передачи пакета. 3. Определяет логические границы между группами сетевых сегментов.

Маршрутизаторы прозрачны для протоколов физического уровня и используются, как правило, для соединения разнородных сетей, каждая из которых может быть административно независимой. Маршрутизаторы отвечают за создание и поддержку для каждого протокола сетевого уровня маршрутных таблиц, которые могут быть статическими или динамическими. Кроме того, они идентифицируют протокол в заголовке каждого пакета, находят адрес получателя сетевого уровня и выбирают путь передачи данных, содержащийся в маршрутной таблице соответствующего протокола.

Достоинства маршрутизаторов:

- обеспечивают большую гибкость, чем мосты;

- выбирают наилучший путь передачи на основе адреса, скорости, стоимости, загрузки линии;

- используют альтернативные пути, равномерно распределяя нагрузку;

- создают защитный барьер между подсетями;

- защищают информацию с помощью фильтров пакетов;

- могут разбивать длинные сообщения на несколько коротких, позволяя соединять сети, в которых используются пакеты различной длины;

- облегчают поддержку больших интерсетей.

Недостатки маршрутизаторов:

- более сложны в установке и конфигурировании, чем мосты;

- при перемещении компьютера из одной подсети в другую требуется сменить его сетевой адрес.

Методы маршрутизации

Статическая маршрутизация

Статическая маршрутизация применяется в небольших, медленно изменяющихся сетях. Данные передаются по предопределенному пути и задерживаются, если путь блокирован.

Динамическая маршрутизация

Динамическая маршрутизация позволяет автоматически изменить маршрут при отказах или перегрузки конкретных линий. Для ав-томатического построения маршрутных таблиц используются различ-ные протоколы внутренней (RIP, OSPF, IS-IS, ES-IS) и внешней (EGP и BGP) маршрутизации.