Учебное пособие Ч. 8
advertisement
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ
ГОУ ВПО
УФИМСКАЯ ГОСУДАРСТВЕННАЯ АКАДЕМИЯ
ЭКОНОМИКИ И СЕРВИСА
ХАСАНОВ В.Х., БИКМУХАМЕТОВ И.Х., КОЛГАНОВ Е.А.
ИНФОРМАТИКА
КОМПЬЮТЕРНЫЕ СЕТИ
Учебное пособие
Рекомендовано учебно-методическим советом УГАЭС
УФА-2008
УДК 681.3
ББК 65.39
Х 24
Рецензенты:
Хамидуллин Я.Н. д-р физ.-мат. наук, профессор
зав. кафедрой «Информатика и математика» Уфимского института Российского
государственного торгово-экономического университета,
Мискактин Н.И. канд. техн. наук, доцент Российского государственного
торгово-экономического университета
Исхаков З.Ф. канд. техн. наук, начальник научно-исследовательского сектора
Уфимской государственной академии экономики и сервиса
Хасанов В.Х., Бикмухаметов И.Х., Колганов Е.А.
Х 24 Компьютерные сети: Учебное пособие / В.Х. Хасанов,
И.Х. Бикмухаметов, Е.А. Колганов – Уфа: Уфимск. гос. академия экономики и
сервиса, 2008. – 249 с.
ISBN 978-5-88469-375-3
В учебном пособии «Информатика. Компьютерные сети» рассматриваются
основные вопросы из курса «Информатика», предусмотренные Федеральным
государственным образовательным стандартом. Это – компьютерные сети, их
классификация, беспроводные компьютерные сети.
Рассматриваются вопросы организации сетевых архитектур, типы,
топология, методы доступа, среда передачи, аппаратные компоненты
компьютерных сетей, а также методы пакетной передачи данных. Описываются
локальные сети.
Особое
внимание
уделено
современным
информационным
и
коммуникационным технологиям. Достаточно подробно рассмотрена технология
Wi-Fi. Излагается вопрос о безопасности компьютерных сетей. Раскрываются
важные понятия и термины, а также даются ответы на актуальные вопросы.
Учебный материал включает содержательные схемы и рисунки,
способствующие
систематизированному
восприятию,
пониманию
и
запоминанию. Учебное пособие изложено простым и ясным языком,
позволяющим эффективно усваивать сложный раздел курса и максимально
облегчающим подготовку к экзамену.
Пособие предназначено для студентов всех форм обучения изучающих
курс «Информатика» и преподавателей, ведущих данный курс.
© Хасанов В.Х., Бикмухаметов И.Х.,
Колганов Е.А., 2008
© Уфимская государственная академия
экономики и сервиса, 2008
ISBN 978-5-88469-375-3
2
ОГЛАВЛЕНИЕ
Введение ……………………………………………………………………..
ГЛАВА 1. КОМПЬЮТЕРНЫЕ СЕТИ, ИХ КЛАССИФИКАЦИЯ ……….
1.1. Основные определения и термины. Классификация сетей и их
архитектура …………………………………………………………...
1.2. Семиуровневая модель OSI …………………………………………
1.3. Топология вычислительной сети и методы доступа ………………
1.4. ЛВС и компоненты ЛВС …………………………………………….
1.5. Физическая среда передачи данных ………………………………..
1.6. Структура сетевой операционной системы ………………………...
1.7. Семейство сетевых ОС Windows NT ……………………………….
1.8. Сетевое оборудование ……………………………………………….
ГЛАВА 2. БЕСПРОВОДНЫЕ КОМПЬЮТЕРНЫЕ СЕТИ.
ТЕХНОЛОГИЯ WI-FI ……………………………………………………….
2.1. Технология Wi-Fi …………………………………………………….
2.2. Сигналы для передачи информации ………………………………..
2.3. Передача данных ……………………………………………………..
2.4. Методы доступа к среде в беспроводных сетях …………………...
2.5. Кодирование и защита от ошибок …………………………………..
2.6. Режимы и особенности организации технологии Wi-Fi …………..
2.7. Организация и планирование беспроводных сетей ………………..
2.8. Беспроводная технология WiMAX …………………………………
2.9. Угрозы и риски безопасности беспроводных сетей ……………….
2.10. Протоколы безопасности беспроводных сетей …………………….
2.11. Аутентификация в беспроводных сетях ……………………………
2.12. Технологии целостности и конфиденциальности передаваемых
данных ………………………………………………………………...
2.13. Антенны ………………………………………………………………
2.14. Отношение «сигнал-шум» в цифровых системах связи …………..
Заключение …………………………………………………………………..
Список литературы………………………………………………………...
Глоссарий …………………………………………………………………….
3
4
7
7
14
39
48
53
60
67
82
95
96
99
102
107
114
118
134
142
151
162
172
198
207
216
229
232
234
ВВЕДЕНИЕ
Сегодня мир переживает новую информационную революцию,
способную принципиально изменить жизнь людей - их работу, досуг, способы
объединения в сообщества и даже отношение к самим себе. В отличие от
предыдущих технологических революций, основанных на материи и энергии,
это фундаментальное изменение затрагивает наше понимание времени,
пространства, расстояния и знания. В основе информационной революции
лежит взрывное развитие информационных технологий, разнообразие и
возможность применения которых лимитированы лишь изобретательностью
самого человека.
В последние десятилетия существенно возросло общественное и
экономическое значение информации и информационных технологий. Как
считают многие исследователи, в настоящее время формируется и развивается
информационное общество. Информационное общество характеризуется тем,
что каждый гражданин может получить любую информацию в любое время и
в любом месте. Если определенные слои граждан, в силу тех или иных причин,
не будут иметь широкого доступа к информации и средствам коммуникации,
то неизбежно возникнут категории «информационно богатых» и
«информационно бедных».
Возможностями доступа и обработки информации, которые
предоставляет современная электронная техника, могут пользоваться лишь те,
кто в состоянии получить высшее образование и оплачивать необходимые
расходы. В подавляющем большинстве это представители хорошо
обеспеченных слоев общества, получающие ряд экономических, политических
и моральных преимуществ перед остальными членами общества.
Информатизация порождает новое расслоение членов общества, связанное с
возможностями доступа к информации.
В связи с этим представляется весьма важным обучение сетевым
информационным технологиям в учебных заведениях всех форм и уровней
подготовки, начиная с простейших навыков компьютерной грамотности.
Концепция вычислительных сетей является логическим результатом
эволюции компьютерной технологии. Первые компьютеры 50-х годов –
большие, громоздкие и дорогие – предназначались для очень небольшого
числа избранных пользователей. Часто эти монстры занимали целые здания.
Такие компьютеры не были предназначены для интерактивной работы
пользователя, а использовались в режиме пакетной обработки.
В начале 60-х годов, при удешевлении процессоров, появились новые
способы организации вычислительного процесса, которые позволили учесть
интересы
пользователей.
Начали
развиваться
интерактивные
многотерминальные системы разделения времени. В них компьютер отдавался
в распоряжение сразу нескольким пользователям. Каждый пользователь
получал в свое распоряжение терминал, с помощью которого он мог вести
диалог с компьютером. Причем время реакции вычислительной системы было
4
мало для того, чтобы пользователю была не заметна параллельная работа с
компьютером и других пользователей.
Терминалы смогли выйти за пределы вычислительного центра и
рассредоточились по всему предприятию. При этом вычислительная мощность
оставалась полностью централизованной, а некоторые функции – такие как
ввод и вывод данных – стали распределенными. Такие многотерминальные
централизованные системы становились очень похожи на локальные
вычислительные сети.
Таким образом, многотерминальные системы, работающие в режиме
разделения времени, стали первым шагом на пути создания локальных
вычислительных сетей. Но до появления локальных сетей нужно было пройти
еще большой путь, так как многотерминальные системы, хотя и имели
внешние черты распределенных систем, все еще сохраняли централизованный
характер обработки данных.
Тем не менее потребность в соединении компьютеров, находящихся на
большом расстоянии друг от друга назрела. Началось все с решения более
простой задачи - доступа к компьютеру с терминалов, удаленных от него на
многие сотни, а то и тысячи километров. Терминалы соединялись с
компьютерами через телефонные сети с помощью модемов позволяя
многочисленным пользователям получать удаленный доступ к ресурсам
нескольких компьютеров. Компьютеры получили возможность обмениваться
данными в автоматическом режиме, что и является базовым механизмом
любой вычислительной сети. Используя этот механизм, в первых сетях были
реализованы службы обмена файлами, синхронизации баз данных,
электронной почты и другие, ставшие теперь традиционными сетевые службы.
Таким
образом,
сначала
первыми
появились
глобальные
вычислительные сети. Именно при построении глобальных сетей были
впервые предложены и отработаны многие основные идеи и концепции
современных вычислительных сетей.
В начале 70-х годов появились большие интегральные схемы. Их
невысокая стоимость и высокие функциональные возможности привели к
созданию мини-компьютеров, которые стали реальными конкурентами
мэйнфреймов. Стоимость миникомпьютерной системы была меньше.
Небольшие предприятия получили возможность покупать для себя
компьютеры.
Мини-компьютеры
выполняли
задачи
управления
технологическим оборудованием, складом и другие задачи уровня
подразделения
предприятия.
Появилась
концепция
распределения
компьютерных ресурсов по всему предприятию. Однако при этом все
компьютеры продолжали работать автономно.
Потребности пользователей вычислительной техники росли, появилась
потребность получить возможность обмена данными с другими
компьютерами. В ответ на эту потребность предприятия и организации стали
соединять свои мини-компьютеры вместе и разрабатывать программное
обеспечение, необходимое для их взаимодействия. В результате появились
5
первые локальные вычислительные. Они во многом отличались от
современных локальных сетей, в первую очередь – своими устройствами
сопряжения. В начале для соединения компьютеров друг с другом
использовались нестандартные устройства со своим способом представления
данных на линиях связи, своими типами кабелей и т.п. Такие устройства могли
соединять только те типы компьютеров, для которых были разработаны, например компьютеры «Наири» с компьютерами «Днепр».
Изучение трафика (потоков данных) в развивающихся сетях показало
смещение акцентов с распределенных вычислений на обмен информацией —
доступ к удаленным базам данных, обмен сообщениями по электронной почте
и пр. Вырисовываются, таким образом, информационные сети.
Наконец, в 80-90-е годы широко распространяется технология TCP/IP,
обеспечивая рост и развитие «сети сетей» — Internet, которая представляет
собой глобальную информационно-вычислительную сеть.
Настоящее учебное пособие посвящается проблемам коммуникационных
сетей и технологий доступа к распределенным информационным ресурсам.
В этой книге подробно и последовательно изложены основные
концепции, определяющие современное состояние и тенденции развития
компьютерных сетей.
Компьютерные сети, как и вся вычислительная техника, есть сплав
«железа» (оборудования) и «софта» (программного обеспечения). В учебном
пособии основное внимание уделяется оборудованию, то есть материальной
базе сетевых технологий. Эта база в основном и определяет главные
характеристики сети: производительность, надежность, срок службы и
стоимость (первоначальные и эксплуатационные затраты).
Настоящее учебное пособие не претендует на полное и исчерпывающее
изложение всех материалов данной предметной области. Целью авторов
являлось, скорее, охватить как можно более широкий круг вопросов,
связанных с компьютерными сетями, включая использование сетей для
доступа к мировым информационным ресурсам.
Продумывая структуру настоящего пособия, мы исходили из того, что
сети не должны рассматриваться как самоцель, а только в контексте всех
инфраструктур кооперативного использования информационных ресурсов.
Авторы подробнейшим образом объясняют устройство и принципы
работы аппаратного и программного обеспечения, рассматривают все аспекты
и уровни организации сетей, от физического до уровня прикладных программ.
Изложение теоретических принципов дополняется яркими, показательными
примерами функционирования Интернета, сетей ATM и беспроводных сетей.
В учебном пособии использованы материалы, накопленные авторами в
процессе практической, а также преподавательской деятельности. Авторы
выражают благодарность рецензентам, принявшим участие в обсуждении
материала: Я.Н. Хамидуллину, Т.А. Акрамову (УИ(ф)РГЭУ), З.Ф. Исхакову
(УГАЭС) и предоставленные дополнительные материалы.
6
ГЛАВА 1. КОМПЬЮТЕРНЫЕ СЕТИ, ИХ КЛАССИФИКАЦИЯ
1.1. Основные определения и термины.
Классификация сетей и их архитектура
Основные определения и термины. Сеть – это совокупность объектов,
образуемых устройствами передачи и обработки данных. Международная
организация по стандартизации определила вычислительную сеть как
последовательную бит-ориентированную передачу информации между
связанными друг с другом независимыми устройствами. Сети по
территориальному признаку разделяются на:
Локальные вычислительные сети (ЛВС) или Local Area Network
(LAN), расположенные в одном или нескольких близко расположенных
зданиях. ЛВС обычно размещаются в рамках какой-либо организации
(корпорации, учреждения), поэтому их называют корпоративными.
Распределенные компьютерные сети, глобальные или Wide Area
Network (WAN), расположенные в разных зданиях, городах и странах, которые
бывают территориальными, смешанными и глобальными. Глобальные сети
бывают четырех основных видов: городские, региональные, национальные и
транснациональные, мировыми. В качестве примеров распределенных сетей
очень большого масштаба можно назвать: Internet, EUNET, Relcom, FIDO.
В состав сети в общем случае включается следующие элементы:
сетевые компьютеры (оснащенные сетевым адаптером);
каналы связи (кабельные, спутниковые, телефонные, цифровые,
волоконно-оптические, радиоканалы и др.);
преобразователи сигналов;
сетевое оборудование.
Различают два вида сетей: коммуникационная сеть и информационная
сеть. Коммуникационная сеть предназначена для передачи данных. Она также
решает задачи, связанные с преобразованием данных. Коммуникационные
сети различаются по типу используемых физических средств соединения.
Информационная сеть предназначена для хранения информации и
состоит из информационных систем. На базе коммуникационной сети может
быть построена группа информационных сетей. Под информационной
системой понимается объект, способный осуществлять хранение, обработку и
передачу информация. В состав информационной системы входят:
компьютеры,
программы,
пользователи
и
другие
составляющие,
предназначенные для процесса обработки и передачи данных.
Информационная система, предназначенная для решения задач пользователя
называется рабочей станцией (client). Рабочая станция в сети отличается от
обычного персонального компьютера (ПК) наличием сетевой карты (сетевого
адаптера), канала для передачи данных, сетевого и профессионального
программного обеспечения.
7
Под каналом связи следует понимать путь или средство, по которому
передаются сигналы. Средство передачи сигналов называют абонентским, или
физическим, каналом. Каналы связи (data link) создаются по линиям связи при
помощи сетевого оборудования и физических средств связи. Физические
средства связи построены на основе витых пар, коаксиальных кабелей,
оптических
каналов
или
эфира.
Между
взаимодействующими
информационными системами через физические каналы коммуникационной
сети и узлы коммутации устанавливаются логические каналы.
Логический канал – это путь для передачи данных от одной системы к
другой. Логический канал прокладывается по маршруту в одном или
нескольких физических каналах. Логический канал можно охарактеризовать,
как маршрут, проложенный через физические каналы и узлы коммутации.
Информация в сети передается блоками данных по процедурам обмена
между объектами. Эти процедуры называют протоколами передачи данных.
Протокол – это совокупность правил, устанавливающих формат и
процедуры обмена информацией между двумя или несколькими устройствами.
Загрузка сети характеризуется параметром, называемым трафиком.
Трафик (traffic) – это поток сообщений в сети передачи данных. Под ним
понимают количественное измерение в выбранных точках сети числа
проходящих блоков данных и их длины, выраженное в битах в секунду.
Существенное влияние на характеристику сети оказывает метод доступа.
Метод доступа – это способ определения того, какая из рабочих станций
сможет следующей использовать канал связи и как управлять доступом к
каналу связи.
В сети все рабочие станции физически соединены между собою
каналами связи по определенной структуре, называемой топологией.
Топология – это описание физических соединений в сети, указывающее какие
рабочие станции могут связываться между собой. Тип топологии определяет
производительность, работоспособность и надежность эксплуатации рабочих
станций, а также время обращения к файловому серверу. В зависимости от
топологии сети используется тот или иной метод доступа.
Состав основных элементов в сети зависит от ее архитектуры.
Архитектура – это концепция, определяющая взаимосвязь, структуру и
функции взаимодействия рабочих станций в сети. Она предусматривает
логическую, функциональную и физическую организацию технических и
программных средств сети. Архитектура определяет принципы построения и
функционирования аппаратного и программного обеспечения элементов сети.
В основном выделяют три вида архитектур: архитектура терминал главный компьютер, архитектура клиент - сервер и одноранговая архитектура.
Современные сети можно классифицировать по различным признакам:
по
удаленности
компьютеров,
топологии,
назначению,
перечню
предоставляемых услуг, принципам управления (централизованные и
децентрализованные), методам коммутации, методам доступа, видам среды
передачи, скоростям передачи данных и т. д.
8
Преимущества использования сетей. Компьютерные сети представляют
собой вариант сотрудничества людей и компьютеров, обеспечивающий
ускорение обработки
и доставки информации. Соединенные в сеть
компьютеры обмениваются информацией и совместно используют:
периферийное оборудование; устройства хранения информации; ресурсы друг
друга и т.д. Она позволяет работать с многопользовательскими программами,
обеспечивающими одновременный доступ пользователей к общим базам
данных с блокировкой файлов и записей, обеспечивающей целостность
данных.
Совместное использование ресурсов обеспечит экономию средств и
времени. Например, можно коллективно использовать один лазерный принтер
вместо покупки принтера каждому сотруднику. Можно использовать ЛВС как
почтовую службу и рассылать служебные записки, доклады и сообщения
другим пользователям.
Архитектура сетей. Архитектура сети определяет основные элементы
сети, характеризует ее общую логическую организацию, техническое
обеспечение, программное обеспечение, описывает методы кодирования.
Архитектура также определяет принципы функционирования и интерфейс
пользователя. Рассмотрим следующие три вида архитектур:
архитектура терминал - главный компьютер;
одноранговая архитектура;
архитектура клиент - сервер.
Архитектура терминал - главный компьютер. Архитектура терминал –
главный компьютер (terminal – host computer architecture) – это концепция
информационной сети, в которой вся обработка данных осуществляется одним
или группой главных компьютеров. Рассматриваемая архитектура
предполагает два типа оборудования:
Главный компьютер, где осуществляется управление сетью, хранение
и обработка данных.
Терминалы, предназначенные для передачи главному компьютеру
команд на организацию сеансов и выполнения заданий, ввода данных для
выполнения заданий и получения результатов.
Главный компьютер через мультиплексоры передачи данных (МПД)
взаимодействуют с терминалами, как представлено на рис. 1.1.
9
Рис. 1.1. Архитектура терминал – главный компьютер
Классический пример архитектуры сети с главными компьютерами –
системная сетевая архитектура (System Network Architecture – SNA).
Одноранговая архитектура. Одноранговая архитектура (peer-to-peer
architecture) - это концепция информационной сети, в которой ее ресурсы
рассредоточены по всем системам. Данная архитектура характеризуется тем,
что в ней все системы равноправны. К одноранговым сетям относятся малые
сети, где любая рабочая станция может выполнять одновременно функции
файлового сервера и рабочей станции. В одноранговых ЛВС дисковое
пространство и файлы на любом компьютере могут быть общими. Чтобы
ресурс стал общим, его необходимо отдать в общее пользование, используя
службы удаленного доступа сетевых одноранговых операционных систем. В
зависимости от того, как будет установлена защита данных, другие
пользователи смогут пользоваться файлами сразу же после их создания. ЛВС
достаточно хороши только для небольших рабочих групп. Одноранговые ЛВС
являются наиболее легким и дешевым типом сетей для установки. При
соединении компьютеров, пользователи могут предоставлять ресурсы и
информацию в совместное пользование. Они имеют следующие
преимущества:
простота установки и настройки;
ПК не зависят от выделенного сервера;
возможность пользователей контролировать свои ресурсы;
10
Рис. 1.2. Одноранговая архитектура
малая стоимость и простота эксплуатации;
минимум оборудования и программного обеспечения;
нет необходимости в администраторе;
хорошо подходят для сетей с количеством пользователей, не
превышающим десяти.
Проблемой одноранговой архитектуры является ситуация, когда
компьютеры отключаются от сети. В этих случаях из сети исчезают виды
сервиса, которые они предоставляли. Сетевую безопасность одновременно
можно применить только к одному ресурсу, и пользователь должен помнить
столько паролей, сколько сетевых ресурсов. При получении доступа к
разделяемому ресурсу происходит падение производительности компьютера.
Существенным недостатком одноранговых сетей является отсутствие
централизованного
администрирования.
Использование
одноранговой
архитектуры не исключает применения в той же сети также архитектуры
«терминал - главный компьютер» или архитектуры «клиент - сервер».
Архитектура клиент - сервер (client-server architecture) - это концепция
информационной сети, в которой основная часть ее ресурсов сосредоточена в
серверах, обслуживающих своих клиентов (рис. 1.3). Рассматриваемая
архитектура определяет два типа компонентов: серверы и клиенты.
Сервер - это компьютер, предоставляющий сервис другим компьютерам
сети по их запросам. Сервис - это процесс обслуживания клиентов.
11
Рис. 1.3. Архитектура клиент – сервер
Сервер работает по заданиям клиентов и управляет выполнением их
заданий. После выполнения задания сервер посылает полученные результаты
клиенту. Сервисная функция в архитектуре клиент - сервер обеспечивается
комплексом прикладных программ сетевого обслуживания клиентов. На рис.
1.4 приведен перечень сервисов в архитектуре клиент сервер. Клиенты - это
рабочие станции или места, использующие ресурсы сервера и
предоставляющие
удобные
интерфейсы
пользователя.
Интерфейсы
пользователя это процедуры взаимодействия пользователя с системой или
сетью. Клиент является инициатором и использует сервисы сервера. Он
запрашивает вид обслуживания, устанавливает сеанс, получает нужные ему
результаты и сообщает об окончании работы. На сервере устанавливается
сетевая серверная операционная система. Наиболее распространенными
сетевыми серверными операционными системами на сегодняшний день
являются:
Microsoft Windows NT Server;
Microsoft Windows 2003 Server;
UNIX фирмы AT&T;
Linux.
12
Рис. 1.4. Сервисы архитектуры клиент сервер
Помимо сетевой операционной системы необходимы сетевые
прикладные программы, реализующие преимущества, предоставляемые сетью.
Сети на базе серверов имеют лучшие характеристики и повышенную
надежность. Сервер владеет главными ресурсами сети, к которым обращаются
остальные рабочие станции. Сети клиент - серверной архитектуры имеют
следующие преимущества:
организация сетей с большим количеством рабочих станций;
централизованное управление учетными записями пользователей;
администрирование доступа пользователей к сети путем назначения
паролей;
эффективное управление сетевыми информационными ресурсами и т.д.
Наряду с преимуществами сети клиент - серверной архитектуры имеют и
ряд недостатков:
неисправность сервера может сделать сеть неработоспособной, как
минимум потерю сетевых ресурсов;
требуют квалифицированного персонала для администрирования;
имеют более высокую стоимость сетей и сетевого оборудования.
Выбор архитектуры сети. Выбор архитектуры сети зависит от
назначения сети, количества необходимых рабочих станций. Одноранговую
организацию сети следует выбирать, если:
количество пользователей не превышает десяти;
небольшие финансовые возможности;
нет необходимости в специализированном сервере: сервере баз данных;
в файл-сервере; в Web-сервере; в почтовом сервере и т.д.;
нет необходимости в централизованном администрировании доступа.
Клиент серверная организация сети необходима, если:
13
количество пользователей превышает десяти;
требуется
централизованное
управление
безопасностью
информационных ресурсов;
совместное использование периферийного оборудования экономически
выгодно;
требуется управление доступом к глобальной сети Internet (рис. 1.5);
необходимо разделение ресурсов сети на уровне пользователей.
Рис. 1.5. Управление доступом к глобальной сети Internet
1.2. Семиуровневая модель OSI
Для единого представления данных в сетях с неоднородными
устройствами и программным обеспечением международная организация по
стандартам ISO (International Standardization Organization) разработала базовую
модель связи открытых систем OSI (Open System Interconnection). Эта модель
описывает правила и процедуры передачи данных в различных сетевых средах
при организации сеанса связи. Основными элементами модели являются
уровни, прикладные процессы и физические средства соединения. На рис. 1.6
представлена структура базовой модели. Каждый уровень модели OSI
выполняет определенную задачу в процессе передачи данных по сети. Базовая
модель является основой для разработки сетевых протоколов. OSI разделяет
коммуникационные функции в сети на семь уровней, каждый из которых
обслуживает различные части процесса области взаимодействия открытых
систем.
14
Рис. 1.6. Модель OSI
Модель OSI описывает только системные средства взаимодействия, не
касаясь приложений конечных пользователей. Приложения реализуют свои
собственные протоколы взаимодействия, обращаясь к системным средствам.
Если приложение может взять на себя функции некоторых верхних уровней
модели OSI, то для обмена данными оно обращается напрямую к системным
средствам, выполняющим функции оставшихся нижних уровней модели OSI.
Взаимодействие уровней модели OSI. Модель OSI, как показано на рис.
1.7, можно разделить на две составляющие:
горизонтальную модель на базе протоколов, обеспечивающую
механизм взаимодействия программ и процессов на различных машинах;
вертикальную модель на основе услуг, обеспечиваемых соседними
уровнями друг другу на одной машине.
15
Рис. 1.7. Разновидности модели OSI
Каждый уровень компьютера-отправителя взаимодействует с таким же
уровнем компьютера-получателя, как будто он связан напрямую. Такая связь
называется логической или виртуальной связью. В действительности
взаимодействие осуществляется между смежными уровнями одного
компьютера. Итак, информация на компьютере-отправителе должна пройти
через все уровни. Затем она передается по физической среде до компьютераполучателя и опять проходит сквозь все слои, пока не доходит до того же
уровня, с которого она была послана на компьютере-отправителе. В
горизонтальной модели двум программам требуется общий протокол для
обмена данными. В вертикальной модели соседние уровни обмениваются
данными с использованием интерфейсов прикладных программ API
(Application Programming Interface). Перед подачей в сеть данные разбиваются
на пакеты. Пакет (packet) - это единица информации, передаваемая между
станциями сети. При отправке данных пакет проходит последовательно через
все уровни программного обеспечения. На каждом уровне к пакету
добавляется управляющая информация данного уровня (заголовок), которая
необходима для успешной передачи данных по сети, как это показано на рис.
1.8, где «Заг» - заголовок пакета, «Кон» - конец пакета. На принимающей
стороне пакет проходит через все уровни в обратном порядке. Протокол
каждого уровня читает информацию пакета, затем удаляет информацию,
добавленную к пакету на этом же уровне отправляющей стороной, и передает
пакет следующему уровню. Когда пакет дойдет до прикладного уровня, вся
16
управляющая информация будет удалена из пакета, и данные примут свой
первоначальный вид.
Рис. 1.8. Формирование пакета каждого уровня семиуровневой модели
Каждый уровень модели выполняет свою функцию. Чем выше уровень,
тем более сложную задачу он решает. Уровни модели OSI удобно
рассматривать как группы программ, предназначенных для выполнения
конкретных функций. Один уровень, к примеру, отвечает за обеспечение
преобразования данных из ASCII в EBCDIC и содержит программы
необходимые для выполнения этой задачи. Предыдущий уровень обеспечивает
сервис для вышестоящего уровня, запрашивая сервис у нижестоящего уровня.
Верхние уровни запрашивают сервис почти одинаково. Это требование
маршрутизации данных из одной сети в другую. Практическая реализация
принципов адресации данных возложена на нижние уровни.
Рассматриваемая модель определяет взаимодействие открытых систем
разных производителей в одной сети. Поэтому она выполняет для них
согласующие действия по:
взаимодействию прикладных процессов;
формам представления данных;
единообразному хранению данных;
управлению сетевыми ресурсами;
безопасности данных и защите информации;
диагностике программ и технических средств.
Описание функций всех уровней приведено на рис. 1.9.
17
Рис. 1.9. Функции уровней
Прикладной уровень (Application layer). Прикладной уровень
обеспечивает прикладным процессам средства доступа к области
взаимодействия, является верхним (седьмым) уровнем и непосредственно
примыкает к прикладным процессам. В действительности прикладной уровень
- это набор разнообразных протоколов, с помощью которых пользователи сети
получают доступ к разделяемым ресурсам, таким как файлы, принтеры или
гипертекстовые Web-страницы, а также организуют свою совместную работу,
например с помощью протокола электронной почты. Специальные элементы
прикладного сервиса обеспечивают сервис для конкретных прикладных
программ, таких как программы пересылки файлов и эмуляции терминалов.
Если, например программе необходимо переслать файлы, то обязательно будет
использован протокол передачи, доступа и управления файлами FTAM (File
Transfer, Access, and Management). В модели OSI прикладная программа,
которой нужно выполнить конкретную задачу (например, обновить базу
данных на компьютере), посылает конкретные данные в виде дейтаграммы на
прикладной уровень. Одна из основных задач этого уровня - определить, как
следует обрабатывать запрос прикладной программы, другими словами, какой
18
вид должен принять данный запрос. Единица данных, которой оперирует
прикладной уровень, обычно называется сообщением (message).
Прикладной уровень выполняет следующие функции:
1. Описание форм и методов взаимодействия прикладных процессов.
2. Выполнение следующих видов работ:
передача файлов;
управление заданиями;
управление системой и т.д.
3. Идентификация пользователей по их паролям, адресам, электронным
подписям.
4. Определение функционирующих абонентов и возможности доступа к
новым прикладным процессам.
5. Определение достаточности имеющихся ресурсов.
6. Организация запросов на соединение с другими прикладными
процессами.
7. Передача заявок представительскому уровню на необходимые
методы описания информации.
8. Выбор процедур планируемого диалога процессов.
9. Управление данными, которыми обмениваются прикладные процессы
и синхронизация взаимодействия прикладных процессов.
10. Определение качества обслуживания (время доставки блоков данных,
допустимой частоты ошибок).
11. Соглашение об исправлении ошибок и определении достоверности
данных.
12. Согласование ограничений, накладываемых на синтаксис (наборы
символов, структура данных).
Указанные функции определяют виды сервиса, которые прикладной
уровень предоставляет прикладным процессам. Кроме этого, прикладной
уровень передает прикладным процессам сервис, предоставляемый
физическим,
канальным,
сетевым,
транспортным,
сеансовым
и
представительским уровнями. На прикладном уровне необходимо
предоставить в распоряжение пользователей уже переработанную
информацию. С этим может справиться системное и пользовательское
программное обеспечение. Прикладной уровень отвечает за доступ
приложений в сеть. Задачами этого уровня является перенос файлов, обмен
почтовыми сообщениями и управление сетью. Наиболее распространенными
протоколами верхних трех уровней являются:
FTP (File Transfer Protocol) протокол передачи файлов;
TFTP (Trivial File Transfer Protocol) простейший протокол пересылки
файлов;
X.400 электронная почта;
Telnet работа с удаленным терминалом;
19
SMTP (Simple Mail Transfer Protocol) простой протокол почтового
обмена;
CMIP (Common Management Information Protocol) общий протокол
управления информацией;
SLIP (Serial Line IP) IP для последовательных линий. Протокол
последовательной посимвольной передачи данных;
SNMP (Simple Network Management Protocol) простой протокол
сетевого управления;
FTAM (File Transfer, Access, and Management) протокол передачи,
доступа и управления файлами.
Уровень представления данных (Presentation layer). Уровень
представления данных или представительский уровень представляет данные,
передаваемые между прикладными процессами, в нужной форме данные. Этот
уровень обеспечивает то, что информация, передаваемая прикладным уровнем,
будет понятна прикладному уровню в другой системе. В случае
необходимости уровень представления в момент передачи информации
выполняет преобразование форматов данных в некоторый общий формат
представления, а в момент приема, соответственно, выполняет обратное
преобразование. Таким образом, прикладные уровни могут преодолеть,
например, синтаксические различия в представлении данных. Такая ситуация
может возникнуть в ЛВС с неоднотипными компьютерами (IBM PC и
Macintosh), которым необходимо обмениваться данными. Так, в полях баз
данных информация должна быть представлена в виде букв и цифр, а зачастую
и в виде графического изображения. Обрабатывать же эти данные нужно,
например, как числа с плавающей запятой.
В основу общего представления данных положена единая для всех
уровней модели система ASN.1. Эта система служит для описания структуры
файлов, а также позволяет решить проблему шифрования данных. На этом
уровне может выполняться шифрование и дешифрование данных, благодаря
которым секретность обмена данными обеспечивается сразу для всех
прикладных сервисов. Примером такого протокола является протокол Secure
Socket Layer (SSL), который обеспечивает секретный обмен сообщениями для
протоколов прикладного уровня стека TCP/IP. Этот уровень обеспечивает
преобразование данных (кодирование, компрессия и т.п.) прикладного уровня
в поток информации для транспортного уровня. Представительный уровень
выполняет следующие основные функции:
Генерация запросов на установление сеансов взаимодействия
прикладных процессов.
Согласование представления данных между прикладными процессами.
Реализация форм представления данных.
Представление графического материала (чертежей, рисунков, схем).
Засекречивание данных.
Передача запросов на прекращение сеансов.
20
Протоколы уровня представления данных обычно являются составной
частью протоколов трех верхних уровней модели.
Сеансовый уровень (Session layer). Сеансовый уровень - это уровень,
определяющий процедуру проведения сеансов между пользователями или
прикладными процессами. Сеансовый уровень обеспечивает управление
диалогом для того, чтобы фиксировать, какая из сторон является активной в
настоящий момент, а также предоставляет средства синхронизации. Последние
позволяют вставлять контрольные точки в длинные передачи, чтобы в случае
отказа можно было вернуться назад к последней контрольной точке, вместо
того чтобы начинать все сначала. На практике немногие приложения
используют сеансовый уровень, и он редко реализуется. Сеансовый уровень
управляет передачей информации между прикладными процессами,
координирует прием, передачу и выдачу одного сеанса связи. Кроме того,
сеансовый уровень дополнительно содержит функции управления паролями,
управления диалогом, синхронизации и отмены связи в сеансе передачи после
сбоя вследствие ошибок в нижерасположенных уровнях. Функции этого
уровня состоят в координации связи между двумя прикладными программами,
работающими на разных рабочих станциях. Это происходит в виде хорошо
структурированного диалога. В число этих функций входит создание сеанса,
управление передачей и приемом пакетов сообщений во время сеанса и
завершение сеанса. На сеансовом уровне определяется, какой будет передача
между двумя прикладными процессами:
полудуплексной (процессы будут передавать и принимать данные по
очереди);
дуплексной (процессы будут передавать данные, и принимать их
одновременно).
В полудуплексном режиме сеансовый уровень выдает маркер данных
тому процессу, который начинает передачу. Сеансовый уровень разрешает
передачу только той стороне, которая обладает маркером данных. Этот
уровень обеспечивает выполнение следующих функций:
Установление и завершение на сеансовом уровне соединения между
взаимодействующими системами.
Выполнение нормального и срочного обмена данными между
прикладными процессами.
Управление взаимодействием прикладных процессов.
Синхронизация сеансовых соединений.
Извещение прикладных процессов об исключительных ситуациях.
Установление в прикладном процессе меток, позволяющих после
отказа или ошибки восстановить его выполнение от ближайшей метки.
Прерывание в случае необходимости прикладного процесса и его
корректное возобновление.
Прекращение сеанса без потери данных.
Передача особых сообщений о ходе проведения сеанса.
21
Сеансовый уровень отвечает за организацию сеансов обмена данными
между оконечными машинами. Протоколы сеансового уровня обычно
являются составной частью протоколов трех верхних уровней модели.
Транспортный уровень (Transport Layer). Транспортный уровень
предназначен для передачи пакетов через коммуникационную сеть. На
транспортном уровне пакеты разбиваются на блоки. На пути от отправителя к
получателю пакеты могут быть искажены или утеряны. Работа транспортного
уровня заключается в том, чтобы обеспечить приложениям или верхним
уровням модели передачу данных с требуемой степенью надежности. Модель
OSI определяет пять классов сервиса, предоставляемых транспортным
уровнем. Эти виды сервиса отличаются качеством предоставляемых услуг:
срочностью, возможностью восстановления прерванной связи, наличием
средств мультиплексирования нескольких соединений между различными
прикладными протоколами через общий транспортный протокол, а главное
способностью к обнаружению и исправлению ошибок передачи, таких как
искажение, потеря и дублирование пакетов. Транспортный уровень определяет
адресацию физических устройств (систем, их частей) в сети. Этот уровень
гарантирует доставку блоков информации адресатам и управляет этой
доставкой. Его главной задачей является обеспечение эффективных, удобных
и надежных форм передачи информации между системами. Когда в процессе
обработки находится более одного пакета, транспортный уровень
контролирует очередность прохождения пакетов. Если проходит дубликат
принятого ранее сообщения, то данный уровень опознает это и игнорирует
сообщение. В функции транспортного уровня входят:
Управление передачей по сети и обеспечение целостности блоков
данных.
Обнаружение ошибок, частичная их ликвидация и сообщение о
неисправленных ошибках.
Восстановление передачи после отказов и неисправностей.
Укрупнение или разделение блоков данных.
Предоставление приоритетов при передаче блоков (нормальная или
срочная).
Подтверждение передачи.
Ликвидация блоков при тупиковых ситуациях в сети.
Начиная с транспортного уровня, все вышележащие протоколы
реализуются программными средствами, обычно включаемыми в состав
сетевой операционной системы. Наиболее распространенные протоколы
транспортного уровня включают в себя:
TCP (Transmission Control Protocol) протокол управления передачей
стека TCP/IP;
UDP (User Datagram Protocol) пользовательский протокол дейтаграмм
стека TCP/IP;
NCP (NetWare Core Protocol) базовый протокол сетей NetWare;
22
SPX (Sequenced Packet eXchange) упорядоченный обмен пакетами
стека Novell;
TP4 (Transmission Protocol) – протокол передачи класса 4.
Сетевой уровень (Network Layer). Сетевой уровень обеспечивает
прокладку каналов, соединяющих абонентские и административные системы
через коммуникационную сеть, выбор маршрута наиболее быстрого и
надежного пути. Сетевой уровень устанавливает связь в вычислительной сети
между двумя системами и обеспечивает прокладку виртуальных каналов
между ними. Виртуальный или логический канал - это такое
функционирование компонентов сети, которое создает взаимодействующим
компонентам иллюзию прокладки между ними нужного тракта. Кроме этого,
сетевой уровень сообщает транспортному уровню о появляющихся ошибках.
Сообщения сетевого уровня принято называть пакетами (packet). В них
помещаются фрагменты данных. Сетевой уровень отвечает за их адресацию и
доставку.
Прокладка наилучшего пути для передачи данных называется
маршрутизацией, и ее решение является главной задачей сетевого уровня. Эта
проблема осложняется тем, что самый короткий путь не всегда самый лучший.
Часто критерием при выборе маршрута является время передачи данных по
этому маршруту; оно зависит от пропускной способности каналов связи и
интенсивности трафика, которая может изменяться с течением времени.
Некоторые алгоритмы маршрутизации пытаются приспособиться к изменению
нагрузки, в то время как другие принимают решения на основе средних
показателей за длительное время. Выбор маршрута может осуществляться и по
другим критериям, например, надежности передачи. Протокол канального
уровня обеспечивает доставку данных между любыми узлами только в сети с
соответствующей типовой топологией. Это очень жесткое ограничение,
которое не позволяет строить сети с развитой структурой, например, сети,
объединяющие несколько сетей предприятия в единую сеть, или
высоконадежные сети, в которых существуют избыточные связи между
узлами.
Таким образом, внутри сети доставка данных регулируется канальным
уровнем, а вот доставкой данных между сетями занимается сетевой уровень.
При организации доставки пакетов на сетевом уровне используется понятие
номер сети. В этом случае адрес получателя состоит из номера сети и номера
компьютера в этой сети.
Сети соединяются между собой специальными устройствами,
называемыми маршрутизаторами. Маршрутизатор это устройство, которое
собирает информацию о топологии межсетевых соединений и на ее основании
пересылает пакеты сетевого уровня в сеть назначения. Для того чтобы
передать сообщение от отправителя, находящегося в одной сети, получателю,
находящемуся в другой сети, нужно совершить некоторое количество
транзитных передач (hops) между сетями, каждый раз, выбирая подходящий
маршрут. Таким образом, маршрут представляет собой последовательность
23
маршрутизаторов, по которым проходит пакет. Сетевой уровень отвечает за
деление пользователей на группы и маршрутизацию пакетов на основе
преобразования MAC-адресов в сетевые адреса. Сетевой уровень обеспечивает
также прозрачную передачу пакетов на транспортный уровень. Этот уровень
выполняет следующие функции:
Создание сетевых соединений и идентификация их портов.
Обнаружение и исправление ошибок при передаче через
коммуникационную сеть.
Управление потоками пакетов.
Организация и упорядочение последовательностей пакетов.
Маршрутизация и коммутация.
Сегментирование и объединение пакетов.
На сетевом уровне определяется два вида протоколов. Первый вид
относится к определению правил передачи пакетов с данными конечных узлов
от узла к маршрутизатору и между маршрутизаторами. Именно эти протоколы
обычно имеют в виду, когда говорят о протоколах сетевого уровня. Однако
часто к сетевому уровню относят и другой вид протоколов, называемых
протоколами обмена маршрутной информацией. С помощью этих протоколов
маршрутизаторы собирают информацию о топологии межсетевых соединений.
Протоколы сетевого уровня реализуются программными модулями
операционной системы, а также программными и аппаратными средствами
маршрутизаторов. Наиболее часто на сетевом уровне используются
протоколы:
IP (Internet Protocol) протокол Internet, сетевой протокол стека TCP/IP,
который предоставляет адресную и маршрутную информацию;
IPX (Internetwork Packet Exchange) протокол межсетевого обмена
пакетами, предназначенный для адресации и маршрутизации пакетов в сетях
Novell;
X.25 международный стандарт для глобальных коммуникаций с
коммутацией пакетов (частично этот протокол реализован на уровне 2);
CLNP (Connection Less Network Protocol) сетевой протокол без
организации соединений.
Канальный уровень (Data Link). Единицей информации канального
уровня являются кадры (frame). Кадры - это логически организованная
структура, в которую можно помещать данные. Задача канального уровня
передавать кадры от сетевого уровня к физическому уровню. На физическом
уровне просто пересылаются биты. При этом не учитывается, что в некоторых
сетях, в которых линии связи используются попеременно несколькими парами
взаимодействующих компьютеров, физическая среда передачи может быть
занята. Поэтому одной из задач канального уровня является проверка
доступности среды передачи. Другой задачей канального уровня является
реализация механизмов обнаружения и коррекции ошибок.
24
Канальный уровень обеспечивает корректность передачи каждого кадра,
помещая специальную последовательность бит, в начало и конец каждого
кадра, чтобы отметить его, а также вычисляет контрольную сумму, суммируя
все байты кадра определенным способом и добавляя контрольную сумму к
кадру. Когда кадр приходит, получатель снова вычисляет контрольную сумму
полученных данных и сравнивает результат с контрольной суммой из кадра.
Если они совпадают, кадр считается правильным и принимается. Если же
контрольные суммы не совпадают, то фиксируется ошибка.
Задача канального уровня - брать пакеты, поступающие с сетевого
уровня и готовить их к передаче, укладывая в кадр соответствующего размера.
Этот уровень обязан определить, где начинается и где заканчивается блок, а
также обнаруживать ошибки передачи. На этом же уровне определяются
правила использования физического уровня узлами сети. Электрическое
представление данных в ЛВС (биты данных, методы кодирования данных и
маркеры) распознаются не только на этом уровне. Здесь обнаруживаются и
исправляются путем требований повторной передачи данных ошибки,
возникшие в процессе передачи данных.
Канальный уровень обеспечивает создание, передачу и прием кадров
данных. Этот уровень обслуживает запросы сетевого уровня и для
приема/передачи пакетов использует сервис физического уровня.
Спецификации IEEE 802.Х делят канальный уровень на два подуровня:
LLC (Logical Link Control) управление логическим каналом
осуществляет логический контроль связи. Подуровень LLC обеспечивает
обслуживание сетевого уровня и связан с передачей и приемом
пользовательских сообщений.
MAC (Media Assess Control) контроль доступа к среде. Подуровень MAC
регулирует доступ к разделяемой физической среде (передача маркера или
обнаружение коллизий или столкновений) и управляет доступом к каналу
связи. Подуровень LLC находится выше подуровня МАC. Канальный уровень
определяет доступ к среде и управление передачей посредством процедуры
передачи данных по каналу. При больших размерах передаваемых блоков
данных канальный уровень делит их на кадры и передает кадры в виде
последовательностей. При получении кадров уровень формирует из них
переданные блоки данных. Размер блока данных зависит от способа передачи,
качества канала, по которому он передается.
В локальных сетях протоколы канального уровня используются
компьютерами, мостами, коммутаторами и маршрутизаторами. В компьютерах
функции канального уровня реализуются совместными усилиями сетевых
адаптеров и их драйверов.
Канальный уровень может выполнять следующие виды функций:
Организация (установление, управление, расторжение) канальных
соединений и идентификация их портов.
Организация и передача кадров.
Обнаружение и исправление ошибок.
25
Управление потоками данных.
Обеспечение прозрачности логических каналов (передачи по ним
данных, закодированных любым способом).
Наиболее часто используемые протоколы на канальном уровне
включают:
HDLC (High Level Data Link Control) протокол управления каналом
передачи данных высокого уровня, для последовательных соединений;
IEEE 802.2 LLC (тип I и тип II) обеспечивают MAC для сред 802.x;
Ethernet сетевая технология по стандарту IEEE 802.3 для сетей,
использующая шинную топологию и коллективный доступ с прослушиванием
несущей и обнаружением конфликтов;
Token ring сетевая технология по стандарту IEEE 802.5, использующая
кольцевую топологию и метод доступа к кольцу с передачей маркера;
FDDI (Fiber Distributed Date Interface Station) сетевая технология по
стандарту IEEE 802.6, использующая оптоволоконный носитель;
X.25 международный стандарт для глобальных коммуникаций с
коммутацией пакетов;
Frame relay сеть, организованная из технологий Х25 и ISDN.
Физический уровень (Physical Layer). Физический уровень предназначен
для сопряжения с физическими средствами соединения. Физические средства
соединения – это совокупность физической среды, аппаратных и программных
средств, обеспечивающая передачу сигналов между системами. Физическая
среда – это материальная субстанция, через которую осуществляется передача
сигналов. Физическая среда является основой, на которой строятся физические
средства соединения. В качестве физической среды широко используются
эфир, металлы, оптическое стекло и кварц. Физический уровень состоит из
подуровня стыковки со средой и подуровня преобразования передачи. Первый
из них обеспечивает сопряжение потока данных с используемым физическим
каналом связи. Второй осуществляет преобразования, связанные с
применяемыми протоколами. Физический уровень обеспечивает физический
интерфейс с каналом передачи данных, а также описывает процедуры
передачи сигналов в канал и получения их из канала. На этом уровне
определяются электрические, механические, функциональные и процедурные
параметры для физической связи в системах. Физический уровень получает
пакеты данных от вышележащего канального уровня и преобразует их в
оптические или электрические сигналы, соответствующие 0 и 1 бинарного
потока. Эти сигналы посылаются через среду передачи на приемный узел.
Механические и электрические/оптические свойства среды передачи
определяются на физическом уровне и включают:
тип кабелей и разъемов;
разводку контактов в разъемах;
схему кодирования сигналов для значений 0 и 1.
Физический уровень выполняет следующие функции:
26
Установление и разъединение физических соединений.
Передача сигналов в последовательном коде и прием.
Прослушивание, в нужных случаях, каналов.
Идентификация каналов.
Оповещение о появлении неисправностей и отказов.
Оповещение о появлении неисправностей и отказов связано с тем, что на
физическом уровне происходит обнаружение определенного класса событий,
мешающих нормальной работе сети (столкновение кадров, посланных сразу
несколькими системами, обрыв канала, отключение питания, потеря
механического контакта и т. д.). Виды сервиса, предоставляемого канальному
уровню, определяются протоколами физического уровня. Прослушивание
канала необходимо в тех случаях, когда к одному каналу подключается группа
систем, но одновременно передавать сигналы разрешается только одной из
них. Поэтому прослушивание канала позволяет определить, свободен ли он
для передачи. В ряде случаев для более четкого определения структуры
физический уровень разбивается на несколько подуровней. Например,
физический уровень беспроводной сети делится на три подуровня рис. 1.10.
Рис. 1.10. Физический уровень беспроводной локальной сети
Функции физического уровня реализуются во всех устройствах,
подключенных к сети. Со стороны компьютера функции физического уровня
выполняются сетевым адаптером. Повторители являются единственным типом
оборудования, которое работает только на физическом уровне. Выполняется
преобразование данных, поступающих от более высокого уровня, в сигналы,
передающие по кабелю. В глобальных сетях на этом уровне могут
использоваться модемы и интерфейс RS-232C. В локальных сетях для
преобразования данных применяют сетевые адаптеры, обеспечивающие
скоростную передачу данных в цифровой форме. Пример протокола
физического уровня - это широко известный интерфейс RS-232C / CCITT V.2,
который является наиболее широко распространенной стандартной
последовательной связью между компьютерами и периферийными
устройствами. Можно считать этот уровень, отвечающим за аппаратное
обеспечение.
27
Физический уровень может обеспечивать как асинхронную
(последовательную) так и синхронную (параллельную) передачу, которая
применяется для некоторых мэйнфреймов и мини-компьютеров. На
физическом уровне должна быть определена схема кодирования для
представления двоичных значений с целью их передачи по каналу связи. Во
многих локальных сетях используется манчестерское кодирование.
Примером протокола физического уровня может служить спецификация
10Base-T технологии Ethernet, которая определяет в качестве используемого
кабеля неэкранированную витую пару категории 3 с волновым
сопротивлением 100 Ом, разъем RJ-45, максимальную длину физического
сегмента 100 метров, манчестерский код для представления данных на кабеле,
и другие характеристики среды и электрических сигналов. К числу наиболее
распространенных спецификаций физического уровня относятся:
EIA-RS-232-C, CCITT V.24/V.28 - механические/электрические
характеристики несбалансированного последовательного интерфейса;
EIA-RS-422/449, CCITT V.10 - механические, электрические и
оптические
характеристики
сбалансированного
последовательного
интерфейса;
Ethernet - сетевая технология по стандарту IEEE 802.3 для сетей,
использующая шинную топологию и коллективный доступ с прослушиванием
несущей и обнаружением конфликтов;
Token ring - сетевая технология по стандарту IEEE 802.5,
использующая кольцевую топологию и метод доступа к кольцу с передачей
маркера.
Сетезависимые протоколы. Функции всех уровней модели OSI могут
быть отнесены к одной из двух групп: либо к функциям, зависящим от
конкретной технической реализации сети, либо к функциям, ориентированным
на работу с приложениями. Три нижних уровня физический, канальный и
сетевой являются сетезависимыми. Протоколы этих уровней тесно связаны с
технической реализацией сети, с используемым коммуникационным
оборудованием. Например, переход на оборудование FDDI означает смену
протоколов физического и канального уровня во всех узлах сети. Три верхних
уровня сеансовый, уровень представления и прикладной ориентированы на
приложения и мало зависят от технических особенностей построения сети. На
протоколы этих уровней не влияют никакие изменения в топологии сети,
замена оборудования или переход на другую сетевую технологию. Так,
переход от Ethernet на высокоскоростную технологию 100VG-AnyLAN не
потребует никаких изменений в программных средствах, реализующих
функции прикладного, представительного и сеансового уровней.
Транспортный уровень является промежуточным, он скрывает все
детали функционирования нижних уровней от верхних уровней. Это позволяет
разрабатывать приложения, не зависящие от технических средств,
непосредственно занимающихся транспортировкой сообщений.
28
Одна рабочая станция взаимодействует с другой рабочей станцией
посредством протоколов всех семи уровней. Это взаимодействие станции
осуществляют
через
различные
коммуникационные
устройства:
концентраторы,
модемы,
мосты,
коммутаторы,
маршрутизаторы,
мультиплексоры. В зависимости от типа коммуникационное устройство может
работать:
либо только на физическом уровне (повторитель);
либо на физическом и канальном уровнях (мост);
либо на физическом, канальном и сетевом уровнях, иногда захватывая
и транспортный уровень (маршрутизатор).
Модель OSI представляет собой хотя и очень важную, но только одну из
многих моделей коммуникаций. Эти модели и связанные с ними стеки
протоколов могут отличаться количеством уровней, их функциями, форматами
сообщений, сервисами, предоставляемыми на верхних уровнях, и прочими
параметрами.
Стеки коммуникационных протоколов. Иерархически организованная
совокупность протоколов, решающих задачу взаимодействия узлов сети,
называется стеком коммуникационных протоколов. Протоколы соседних
уровней, находящихся в одном узле, взаимодействуют друг с другом также в
соответствии с четко определенными правилами и с помощью
стандартизованных форматов сообщений. Эти правила принято называть
интерфейсом. Интерфейс определяет набор услуг, которые нижележащий
уровень предоставляет вышележащему уровню.
Стандарты и стеки протоколов. Спецификации Institute of Electrical and
Electronics Engineers IEEE802 определяют стандарты для физических
компонентов сети. Эти компоненты - сетевая карта (Network Interface Card –
NIC) и сетевой носитель (network media), которые относятся к физическому и
канальному уровням модели OSI. Спецификации IEEE802 определяют
механизм доступа адаптера к каналу связи и механизм передачи данных.
Стандарты IEEE802 подразделяют канальный уровень на подуровни:
Logical Link Control (LLC) – подуровень управления логической
связью;
Media Access Control (MAC) – подуровень управления доступом к
устройствам.
Спецификации IEEE 802 делятся на двенадцать стандартов:
Стандарт 802.1 (Internetworking – объединение сетей) задает
механизмы управления сетью на MAC уровне. В разделе 802.1 приводятся
основные понятия и определения, общие характеристики и требования к
локальным сетям, а также поведение маршрутизации на канальном уровне, где
логические адреса должны быть преобразованы в их физические адреса и
наоборот.
Стандарт 802.2 (Logical Link Control – управление логической связью)
определяет функционирование подуровня LLC на канальном уровне модели
29
OSI. LLC обеспечивает интерфейс между методами доступа к среде и сетевым
уровнем.
Стандарт 802.3 (Ethernet Carrier Sense Multiple Access with Collision
Detection – CSMA/CD LANs Ethernet – множественный доступ к сетям Ethernet
с проверкой несущей и обнаружением конфликтов) описывает физический
уровень и подуровень MAC для сетей, использующих шинную топологию и
коллективный доступ с прослушиванием несущей и обнаружением
конфликтов. Прототипом этого метода является метод доступа стандарта
Ethernet (10BaseT, 10Base2, 10Base5). Метод доступа CSMA/CD. 802.3 также
включает технологии Fast Ethernet (100BaseTx, 100BaseFx, 100BaseFl).
100Base-Tx – двухпарная витая пара. Использует метод MLT-3 для передачи
сигналов 5-битовых порций кода 4В/5B по витой паре, а также имеется
функция автопереговоров (Auto-negotiation) для выбора режима работы порта.
100Base-T4 – четырехпарная витая пара. Вместо кодирования 4B/5В в этом
методе используется кодирование 8B/6T. 100BaseFx – многомодовое
оптоволокно. Эта спецификация определяет работу протокола Fast Ethernet по
многомодовому оптоволокну в полудуплексном и полнодуплексном режимах
на основе хорошо проверенной схемы кодирования и передачи оптических
сигналов, использующейся уже на протяжении ряда лет в стандарте FDDI. Как
и в стандарте FDDI, каждый узел соединяется с сетью двумя оптическими
волокнами, идущими от приемника (Rx) и от передатчика (Tx). Этот метод
доступа используется в сетях с общей шиной (к которым относятся и
радиосети, породившие этот метод). Все компьютеры такой сети имеют
непосредственный доступ к общей шине, поэтому она может быть
использована для передачи данных между любыми двумя узлами сети.
Простота схемы подключения - это один из факторов, определивших успех
стандарта Ethernet. Говорят, что кабель, к которому подключены все станции,
работает в режиме коллективного доступа (multiply access – MA). Метод
доступа CSMA/CD определяет основные временные и логические
соотношения, гарантирующие корректную работу всех станций в сети. Все
данные, передаваемые по сети, помещаются в кадры определенной структуры
и снабжаются уникальным адресом станции назначения. Затем кадр
передается по кабелю. Все станции, подключенные к кабелю, могут
распознать факт передачи кадра, и та станция, которая узнает собственный
адрес в заголовках кадра, записывает его содержимое в свой внутренний
буфер, обрабатывает полученные данные и посылает по кабелю кадр-ответ.
Адрес станции–источника также включен в исходный кадр, поэтому станцияполучатель знает, кому нужно послать ответ.
Стандарт 802.4 (Token Bus LAN – локальные сети Token Bus)
определяет метод доступа к шине с передачей маркера, прототип – ArcNet.
При подключении устройств в ArcNet применяют топологию «шина» или
«звезда». Адаптеры ArcNet поддерживают метод доступа Token Bus
(маркерная шина) и обеспечивают производительность 2,5 Мбит/с. Этот метод
предусматривает следующие правила:
30
все устройства, подключённые к сети, могут передавать данные,
только получив разрешение на передачу (маркер);
в любой момент времени только одна станция в сети обладает таким
правом;
кадр, передаваемый одной станцией, одновременно анализируется
всеми остальными станциями сети.
В сетях ArcNet используется асинхронный метод передачи данных (в
сетях Ethernet и Token Ring применяется синхронный метод), т. е. передача
каждого байта в ArcNet выполняется посылкой ISU (Information Symbol Unit –
единица передачи информации), состоящей из трёх служебных старт/стоповых
битов и восьми битов данных.
Стандарт 802.5 (Token Ring LAN – локальные сети Token Ring)
описывает метод доступа к кольцу с передачей маркера, прототип – Token
Ring. Сети стандарта Token Ring, так же как и сети Ethernet, используют
разделяемую среду передачи данных, которая состоит из отрезков кабеля,
соединяющих все станции сети в кольцо. Кольцо рассматривается как общий
разделяемый ресурс, и для доступа к нему используется не случайный
алгоритм, как в сетях Ethernet, а детерминированный, основанный на передаче
станциями права на использование кольца в определенном порядке. Право на
использование кольца передается с помощью кадра специального формата,
называемого маркером, или токеном.
Стандарт 802.6 (Metropolitan Area Network – городские сети)
описывает рекомендации для региональных сетей.
Стандарт 802.7 (Broadband Technical Advisory Group – техническая
консультационная группа по широковещательной передаче) описывает
рекомендации по широкополосным сетевым технологиям, носителям,
интерфейсу и оборудованию.
Стандарт 802.8 (Fiber Technical Advisory Group – техническая
консультационная группа по оптоволоконным сетям) содержит обсуждение
использования оптических кабелей в сетях 802.3 – 802.6, а также
рекомендации по оптоволоконным сетевым технологиям, носителям,
интерфейсу и оборудованию, прототип – сеть FDDI (Fiber Distributed Data
Interface). Стандарт FDDI использует оптоволоконный кабель и доступ с
применением маркера. Сеть FDDI строится на основе двух оптоволоконных
колец, которые образуют основной и резервный пути передачи данных между
узлами сети. Использование двух колец – это основной способ повышения
отказоустойчивости в сети FDDI, и узлы, которые хотят им воспользоваться,
должны быть подключены к обоим кольцам. Скорость сети до 100 Мб/с.
Данная технология позволяет включать до 500 узлов на расстоянии 100 км.
Стандарт 802.9 (Integrated Voice and Data Network – интегрированные
сети передачи голоса и данных) задает архитектуру и интерфейсы устройств
одновременной передачи данных и голоса по одной линии, а также содержит
рекомендации по гибридным сетям, в которых объединяют голосовой трафик
и трафик данных в одной и той же сетевой среде.
31
В стандарте 802.10 (Network Security – сетевая безопасность)
рассмотрены вопросы обмена данными, шифрования, управления сетями и
безопасности в сетевых архитектурах, совместимых с моделью OSI.
Стандарт 802.11 (Wireless Network – беспроводные сети) описывает
рекомендации по использованию беспроводных сетей.
Стандарт 802.12 описывает рекомендации по использованию сетей
100VG - AnyLAN со скоростью100Мб/с и методом доступа по очереди
запросов и по приоритету (Demand Priority Queuing - DPQ, Demand Priority
Access – DPA). Технология 100VG – это комбинация Ethernet и Token-Ring со
скоростью передачи 100 Мбит/c, работающая на неэкранированных витых
парах. В проекте 100Base-VG усовершенствован метод доступа с учетом
потребности мультимедийных приложений. В спецификации 100VG
предусматривается поддержка волоконно-оптических кабельных систем.
Технология 100VG использует метод доступа - обработка запросов по
приоритету (demand priority access). В этом случае узлам сети предоставляется
право равного доступа. Концентратор опрашивает каждый порт и проверяет
наличие запроса на передачу, а затем разрешает этот запрос в соответствии с
приоритетом. Имеется два уровня приоритетов - высокий и низкий.
Протоколы и стеки протоколов. Согласованный набор протоколов
разных уровней, достаточный для организации межсетевого взаимодействия,
называется стеком протоколов. Для каждого уровня определяется набор
функций - запросов для взаимодействия с выше лежащим уровнем, который
называется интерфейсом. Правила взаимодействия двух машин могут быть
описаны в виде набора процедур для каждого из уровней, которые называются
протоколами. Существует достаточно много стеков протоколов, широко
применяемых в сетях. Это и стеки, являющиеся международными и
национальными
стандартами,
и
фирменные
стеки,
получившие
распространение благодаря распространенности оборудования той или иной
фирмы. Примерами популярных стеков протоколов могут служить стек
IPX/SPX фирмы Novell, стек TCP/IP, используемый в сети Internet и во многих
сетях на основе операционной системы UNIX, стек OSI международной
организации по стандартизации, стек DECnet корпорации Digital Equipment и
некоторые другие. Стеки протоколов разбиваются на три уровня:
сетевые;
транспортные;
прикладные.
Сетевые протоколы. Сетевые протоколы предоставляют следующие
услуги: адресацию и маршрутизацию информации, проверку на наличие
ошибок, запрос повторной передачи и установление правил взаимодействия в
конкретной сетевой среде. Ниже приведены наиболее популярные сетевые
протоколы:
DDP (Datagram Delivery Protocol - Протокол доставки дейтаграмм).
Протокол передачи данных Apple, используемый в Apple Talk.
32
IP (Internet Protocol - Internet протокол).
Протокол стека TCP/IP, обеспечивающий адресную информацию и
информацию о маршрутизации.
IPX (Internetwork Packet eXchange – Межсетевой обмен пакетами) в
NWLink. Протокол Novel NetWare, используемый для маршрутизации и
направления пакетов.
NetBEUI (NetBIOS Extended User Interface – расширенный
пользовательский интерфейс базовой сетевой системы ввода вывода).
Разработанный совместно IBM и Microsoft, этот протокол обеспечивает
транспортные услуги для NetBIOS.
Транспортные протоколы. Транспортные протоколы предоставляют
услуги надежной транспортировки данных между компьютерами. Они
следующие:
ATP (Apple Talk Protocol – Транзакционный протокол Apple Talk) и
NBP (Name Binding Protocol – Протокол связывания имен). Сеансовый и
транспортный протоколы Apple Talk.
NetBIOS (Базовая сетевая система ввода вывода). NetBIOS
устанавливает соединение между компьютерами, а NetBEUI предоставляет
услуги передачи данных для этого соединения.
SPX (Sequenced Packet eXchange – Последовательный обмен пакетами)
в NWLink. Протокол Novel NetWare, используемый для обеспечения доставки
данных.
TCP (Transmission Control Protocol – Протокол управления передачей).
Протокол стека TCP/IP, отвечающий за надежную доставку данных.
Прикладные протоколы. Прикладные протоколы отвечают за
взаимодействие приложений. Наиболее известные:
AFP (Apple Talk File Protocol – Файловый протокол Apple Talk).
Протокол удаленного управления файлами Macintosh.
FTP (File Transfer Protocol – Протокол передачи файлов). Протокол
стека TCP/IP, используемый для обеспечения услуг по передачи файлов.
NCP (NetWare Core Protocol – Базовый протокол NetWare). Оболочка и
редиректоры клиента Novel NetWare.
SNMP (Simple Network Management Protocol – Простой протокол
управления сетью). Протокол стека TCP/IP, используемый для управления и
наблюдения за сетевыми устройствами.
HTTP (Hyper Text Transfer Protocol) – протокол передачи гипертекстаю
Стек OSI. Следует различать стек протоколов OSI и модель OSI рис.1.11.
Стек OSI - это набор вполне конкретных спецификаций протоколов,
образующих согласованный стек протоколов. Этот стек протоколов
поддерживает правительство США в своей программе GOSIP. Стек OSI в
отличие от других стандартных стеков полностью соответствует модели
взаимодействия OSI и включает спецификации для всех семи уровней модели
взаимодействия открытых систем
33
Рис. 1.11. Стек OSI
На физическом и канальном уровнях стек OSI поддерживает
спецификации Ethernet, Token Ring, FDDI, а также протоколы LLC, X.25 и
ISDN.
На сетевом уровне реализованы протоколы, как без установления
соединений, так и с установлением соединений. Транспортный протокол стека
OSI скрывает различия между сетевыми сервисами с установлением
соединения и без установления соединения, так что пользователи получают
нужное качество обслуживания независимо от нижележащего сетевого уровня.
Чтобы обеспечить это, транспортный уровень требует, чтобы пользователь
задал нужное качество обслуживания. Определены 5 классов транспортного
сервиса, от низшего класса 0 до высшего класса 4, которые отличаются
степенью устойчивости к ошибкам и требованиями к восстановлению данных
после ошибок.
Сервисы прикладного уровня включают передачу файлов, эмуляцию
терминала, службу каталогов и почту. Из них наиболее перспективными
являются служба каталогов (стандарт Х.500), электронная почта (Х.400),
протокол виртуального терминала (VT), протокол передачи, доступа и
управления файлами (FTAM), протокол пересылки и управления работами
(JTM). В последнее время ISO сконцентрировала свои усилия именно на
сервисах верхнего уровня.
Архитектура стека протоколов Microsoft TCP/IP. Набор многоуровневых
протоколов, или как называют стек TCP/IP, предназначен для использования в
различных вариантах сетевого окружения. Стек TCP/IP с точки зрения
системной архитектуры соответствует эталонной модели OSI (Open Systems
Interconnection - взаимодействие открытых систем) и позволяет обмениваться
данными по сети приложениям и службам, работающим практически на любой
платформе, включая Unix, Windows, Macintosh и другие.
34
Рис. 1.12. Соответствие семиуровневой модели OSI и четырехуровневой модели
TCP/IP
Реализация TCP/IP фирмы Microsoft соответствует четырехуровневой
модели вместо семиуровневой модели, как показано на рис.1.12. Модель
TCP/IP включает большее число функций на один уровень, что приводит к
уменьшению числа уровней. В модели используются следующие уровни:
уровень приложения модели TCP/IP соответствует уровням
приложения, представления и сеанса модели OSI;
уровень транспорта модели TCP/IP соответствует аналогичному
уровню транспорта модели OSI;
межсетевой уровень модели TCP/IP выполняет те же функции, что и
уровень сети модели OSI;
уровень сетевого интерфейса модели TCP/IP соответствует
канальному и физическому уровням модели OSI.
Уровень приложения. Через уровень приложения модели TCP/IP
приложения и службы получают доступ к сети. Доступ к протоколам TCP/IP
осуществляется посредством двух программных интерфейсов (API Application Programming Interface):
Сокеты Windows;
NetBIOS.
Интерфейс сокетов Windows, или как его называют WinSock, является
сетевым программным интерфейсом, предназначенным для облегчения
взаимодействия между различными TCP/IP – приложениями и семействами
протоколов.
Интерфейс NetBIOS используется для связи между процессами (IPC –
Interposes Communications) служб и приложений ОС Windows. NetBIOS
выполняет три основных функции:
определение имен NetBIOS;
служба дейтаграмм NetBIOS;
35
служба сеанса NetBIOS.
В таблице 1.1 приведено семейство протоколов TCP/IP.
Таблица 1.1
Название
протокола
WinSock
NetBIOS
TDI
TCP
UDP
ARP
RARP
IP
ICMP
IGMP
NDIS
FTP
TFTP
Описание протокола
Сетевой программный интерфейс
Связь с приложениями ОС Windows
Интерфейс
транспортного
драйвера
(Transport
Driver Interface) позволяет
создавать компоненты сеансового уровня.
Протокол
управления
передачей
(Transmission Control Protocol)
Протокол пользовательских дейтаграмм
(User Datagram Protocol)
Протокол разрешения адресов (Address
Resolution Protocol)
Протокол обратного разрешения адресов
(Reverse Address Resolution Protocol)
Протокол Internet(Internet Protocol)
Протокол управляющих сообщений Internet
(Internet Control Message Protocol)
Протокол управления группами Интернета
(Internet Group Management Protocol),
Интерфейс
взаимодействия
между
драйверами транспортных протоколов
Протокол пересылки файлов (File Transfer
Protocol)
Простой протокол пересылки файлов (Trivial
File Transfer Protocol)
Уровень транспорта TCP/IP отвечает за установления и поддержания
соединения между двумя узлами. Основные функции уровня:
подтверждение получения информации;
управление потоком данных;
упорядочение и ретрансляция пакетов.
В зависимости от типа службы могут быть использованы два протокола:
TCP (Transmission Control Protocol - протокол управления передачей);
UDP (User Datagram Protocol - пользовательский протокол дейтаграмм).
TCP обычно используют в тех случаях, когда приложению требуется
передать большой объем информации и убедиться, что данные своевременно
получены адресатом. Приложения и службы, отправляющие небольшие
36
объемы данных и не нуждающиеся в получении подтверждения, используют
протокол UDP, который является протоколом без установления соединения.
Протокол управления передачей (TCP). Протокол TCP отвечает за
надежную передачу данных от одного узла сети к другому. Он создает сеанс с
установлением соединения, иначе говоря, виртуальный канал между
машинами. Установление соединения происходит в три шага:
Клиент, запрашивающий соединение, отправляет серверу пакет,
указывающий номер порта, который клиент желает использовать, а также код
(определенное число) ISN (Initial Sequence number).
Сервер отвечает пакетом, содержащий ISN сервера, а также ISN
клиента, увеличенный на 1.
Клиент должен подтвердить установление соединения, вернув ISN
сервера, увеличенный на 1.
Трехступенчатое открытие соединения устанавливает номер порта, а
также ISN клиента и сервера. Каждый, отправляемый TCP - пакет содержит
номера TCP - портов отправителя и получателя, номер фрагмента для
сообщений, разбитых на меньшие части, а также контрольную сумму,
позволяющую убедиться, что при передачи не произошло ошибок.
Пользовательский протокол дейтаграмм (UDP). В отличие от TCP UDP
не устанавливает соединения. Протокол UDP предназначен для отправки
небольших объемов данных без установки соединения и используется
приложениями, которые не нуждаются в подтверждении адресатом их
получения. UDP также использует номера портов для определения
конкретного процесса по указанному IP адресу. Однако UDP порты
отличаются от TCP портов и, следовательно, могут использовать те же номера
портов, что и TCP, без конфликта между службами.
Межсетевой уровень. Межсетевой уровень отвечает за маршрутизацию
данных внутри сети и между различными сетями. На этом уровне работают
маршрутизаторы, которые зависят от используемого протокола и
используются для отправки пакетов из одной сети (или ее сегмента) в другую
(или другой сегмент сети). В стеке TCP/IP на этом уровне используется
протокол IP.
Протокол Интернета IP. Протокол IP обеспечивает обмен
дейтаграммами между узлами сети и является протоколом, не
устанавливающим соединения и использующим дейтаграммы для отправки
данных из одной сети в другую. Данный протокол не ожидает получение
подтверждения (ASK, Acknowledgment) отправленных пакетов от узла
адресата. Подтверждения, а также повторные отправки пакетов
осуществляется протоколами и процессами, работающими на верхних уровнях
модели. К его функциям относится фрагментация дейтаграмм и межсетевая
адресация. Протокол IP предоставляет управляющую информацию для сборки
фрагментированных дейтаграмм. Главной функцией протокола является
межсетевая и глобальная адресация. В зависимости от размера сети, по
37
которой будет маршрутизироваться дейтаграмма или пакет, применяется одна
из трех схем адресации.
Адресация в IP-сетях. Каждый компьютер в сетях TCP/IP имеет адреса
трех уровней: физический (MAC-адрес), сетевой (IP-адрес) и символьный
(DNS-имя). Физический, или локальный адрес узла, определяемый
технологией, с помощью которой построена сеть, в которую входит узел. Для
узлов, входящих в локальные сети - это МАС-адрес сетевого адаптера или
порта маршрутизатора, например, 11-А0-17-3D-BC-01. Эти адреса
назначаются производителями оборудования и являются уникальными
адресами, так как управляются централизовано. Для всех существующих
технологий локальных сетей МАС - адрес имеет формат 6 байтов: старшие 3
байта - идентификатор фирмы производителя, а младшие 3 байта назначаются
уникальным образом самим производителем.
Сетевой, или IP-адрес, состоящий из 4 байт, например, 109.26.17.100.
Этот адрес используется на сетевом уровне. Он назначается администратором
во время конфигурирования компьютеров и маршрутизаторов. IP-адрес
состоит из двух частей: номера сети и номера узла. Номер сети может быть
выбран администратором произвольно, либо назначен по рекомендации
специального подразделения Internet (Network Information Center, NIC), если
сеть должна работать как составная часть Internet. Обычно провайдеры услуг
Internet получают диапазоны адресов у подразделений NIC, а затем
распределяют их между своими абонентами. Номер узла в протоколе IP
назначается независимо от локального адреса узла. Деление IP-адреса на поле
номера сети и номера узла - гибкое, и граница между этими полями может
устанавливаться произвольно. Узел может входить в несколько IP-сетей. В
этом случае узел должен иметь несколько IP-адресов, по числу сетевых связей.
IP-адрес характеризует не отдельный компьютер или маршрутизатор, а одно
сетевое соединение.
Символьный адрес, или DNS-имя, например, SERV1.IBM.COM. Этот
адрес назначается администратором и состоит из нескольких частей,
например, имени машины, имени организации, имени домена. Такой адрес
используется на прикладном уровне, например, в протоколах FTP или telnet.
Протоколы сопоставления адреса ARP и RARP. Для определения
локального адреса по IP-адресу используется протокол разрешения адреса
Address Resolution Protocol (ARP). ARP работает различным образом в
зависимости от того, какой протокол канального уровня работает в данной
сети -протокол локальной сети (Ethernet, Token Ring, FDDI) с возможностью
широковещательного доступа одновременно ко всем узлам сети, или же
протокол глобальной сети (X.25, frame relay), как правило, не
поддерживающий широковещательный доступ. Существует также протокол,
решающий обратную задачу - нахождение IP-адреса по известному
локальному адресу. Он называется реверсивный ARP - RARP (Reverse Address
Resolution Protocol) и используется при старте бездисковых станций, не
38
знающих в начальный момент своего IP-адреса, но знающих адрес своего
сетевого адаптера.
В локальных сетях ARP использует широковещательные кадры
протокола канального уровня для поиска в сети узла с заданным IP-адресом.
Узел, которому нужно выполнить отображение IP-адреса на локальный
адрес, формирует ARP-запрос, вкладывает его в кадр протокола канального
уровня, указывая в нем известный IP-адрес, и рассылает запрос
широковещательно. Все узлы локальной сети получают ARP-запрос и
сравнивают указанный IP-адрес с собственным адресом. В случае их
совпадения узел формирует ARP-ответ, в котором указывает свой IP-адрес и
свой локальный адрес и отправляет его уже направленно, так как в ARPзапросе отправитель указывает свой локальный адрес. ARP-запросы и ответы
используют один и тот же формат пакета.
Протокол ICMP. Протокол управления сообщениями Интернета (ICMP –
Internet Control Message Protocol) используется IP и другими протоколами
высокого уровня для отправки и получения отчетов о состоянии переданной
информации. Этот протокол используется для контроля скорости передачи
информации между двумя системами. Если маршрутизатор, соединяющий две
системы, перегружен трафиком, он может отправить специальное сообщение
ICMP - ошибку для уменьшения скорости отправления сообщений.
Протокол IGMP. Узлы локальной сети используют протокол управления
группами Интернета (IGMP – Internet Group Management Protocol), чтобы
зарегистрировать себя в группе. Информация о группах содержится на
маршрутизаторах локальной сети. Маршрутизаторы используют эту
информацию для передачи групповых сообщений. Групповое сообщение, как
и широковещательное, используется для отправки данных сразу нескольким
узлам.
NDIS. Network Device Interface Specification - спецификация интерфейса
сетевого
устройства,
программный
интерфейс,
обеспечивающий
взаимодействие
между
драйверами
транспортных
протоколов,
и
соответствующими драйверами сетевых интерфейсов. Позволяет использовать
несколько протоколов, даже если установлена только одна сетевая карта.
Уровень сетевого интерфейса. Этот уровень модели TCP/IP отвечает за
распределение IP-дейтаграмм. Он работает с ARP для определения
информации, которая должна быть помещена в заголовок каждого кадра.
Затем на этом уровне создается кадр, подходящий для используемого типа
сети, такого как Ethernet, Token Ring или ATM, затем IP-дейтаграмма
помещается в область данных этого кадра, и он отправляется в сеть.
1.3. Топология вычислительной сети и методы доступа
Топология (конфигурация) – это способ соединения компьютеров в сеть.
Тип топологии определяет стоимость, защищенность, производительность и
39
надежность эксплуатации рабочих станций, для которых имеет значение время
обращения к файловому серверу.
Понятие топологии широко используется при создании сетей. Одним из
подходов к классификации топологий ЛВС является выделение двух основных
классов топологий: широковещательные и последовательные.
В широковещательных топологиях ПК передает сигналы, которые могут
быть восприняты остальными ПК. К таким топологиям относятся топологии:
общая шина, дерево, звезда.
В последовательных топологиях информация передается только одному
ПК. Примерами таких топологий являются: произвольная (произвольное
соединение ПК), кольцо, цепочка. При выборе оптимальной топологии
преследуются три основных цели:
обеспечение альтернативной маршрутизации и максимальной
надежности передачи данных;
выбор оптимального маршрута передачи блоков данных;
предоставление приемлемого времени ответа и нужной пропускной
способности.
При выборе конкретного типа сети важно учитывать ее топологию.
Основными сетевыми топологиями являются: шинная (линейная) топология,
звездообразная, кольцевая и древовидная. Например, в конфигурации сети
ArcNet используется одновременно и линейная, и звездообразная топология.
Сети Token Ring физически выглядят как звезда, но логически их пакеты
передаются по кольцу. Передача данных в сети Ethernet происходит по
линейной шине, так что все станции видят сигнал одновременно.
Виды топологий. Существуют пять основных топологий (рис. 4.1):
общая шина (Bus);
кольцо (Ring);
звезда (Star);
древовидная (Tree);
ячеистая (Mesh).
40
Рис. 1.13. Типы топологий
Общая шина. Общая шина это тип сетевой топологии, в которой рабочие
станции расположены вдоль одного участка кабеля, называемого сегментом.
Рис. 1.14. Топология общая шина
Топология общая шина (рис. 1.14) предполагает использование одного
кабеля, к которому подключаются все компьютеры сети. В случае топологии
общая шина кабель используется всеми станциями по очереди. Принимаются
специальные меры для того, чтобы при работе с общим кабелем компьютеры
не мешали друг другу передавать и принимать данные. Все сообщения,
посылаемые отдельными компьютерами, принимаются и прослушиваются
всеми остальными компьютерами, подключенными к сети. Рабочая станция
отбирает адресованные ей сообщения, пользуясь адресной информацией.
Надежность здесь выше, так как выход из строя отдельных компьютеров не
нарушит работоспособность сети в целом. Поиск неисправности в сети
затруднен. Кроме того, так как используется только один кабель, в случае
обрыва нарушается работа всей сети. Шинная топология - это наиболее
простая и наиболее распространенная топология сети.
Примерами использования топологии общая шина является сеть 10Base–
5 (соединение ПК толстым коаксиальным кабелем) и 10Base–2 (соединение
ПК тонким коаксиальным кабелем).
41
Кольцо.
Рис. 1.15. Топология кольцо
Кольцо – это топология ЛВС, в которой каждая станция соединена с
двумя другими станциями, образуя кольцо (рис.1.15). Данные передаются от
одной рабочей станции к другой в одном направлении (по кольцу). Каждый
ПК работает как повторитель, ретранслируя сообщения к следующему ПК, т.е.
данные, передаются от одного компьютера к другому как бы по эстафете. Если
компьютер получает данные, предназначенные для другого компьютера, он
передает их дальше по кольцу, в ином случае они дальше не передаются.
Очень просто делается запрос на все станции одновременно. Основная
проблема при кольцевой топологии заключается в том, что каждая рабочая
станция должна активно участвовать в пересылке информации, и в случае
выхода из строя хотя бы одной из них, вся сеть парализуется. Подключение
новой рабочей станции требует краткосрочного выключения сети, т.к. во
время установки кольцо должно быть разомкнуто. Топология кольцо имеет
хорошо предсказуемое время отклика, определяемое числом рабочих станций.
Чистая кольцевая топология используется редко. Вместо этого кольцевая
топология играет транспортную роль в схеме метода доступа. Кольцо
описывает логический маршрут, а пакет передается от одной станции к
другой, совершая в итоге полный круг. В сетях Token Ring кабельная ветвь из
центрального концентратора называется MAU (Multiple Access Unit). MAU
имеет внутреннее кольцо, соединяющее все подключенные к нему станции, и
используется как альтернативный путь, когда оборван или отсоединен кабель
одной рабочей станции. Когда кабель рабочей станции подсоединен к MAU,
он просто образует расширение кольца: сигналы поступают к рабочей
станции, а затем возвращаются обратно во внутреннее кольцо
Звезда. Звезда – это топология ЛВС (рис.1.16), в которой все рабочие
станции присоединены к центральному узлу (например, к концентратору),
который устанавливает, поддерживает и разрывает связи между рабочими
станциями. Преимуществом такой топологии является возможность простого
исключения неисправного узла. Однако, если неисправен центральный узел,
вся сеть выходит из строя. В этом случае каждый компьютер через
специальный сетевой адаптер подключается отдельным кабелем к
объединяющему устройству. При необходимости можно объединять вместе
несколько сетей с топологией звезда, при этом получаются разветвленные
42
конфигурации сети. В каждой точке ветвления необходимо использовать
специальные соединители (распределители, повторители или устройства
доступа).
Рис. 1.16. Топология звезда
Примером звездообразной топологии является топология Ethernet с
кабелем типа витая пара 10BASE-T, центром звезды обычно является Hub.
Звездообразная топология обеспечивает защиту от разрыва кабеля. Если
кабель рабочей станции будет поврежден, это не приведет к выходу из строя
всего сегмента сети. Она позволяет также легко диагностировать проблемы
подключения, так как каждая рабочая станция имеет свой собственный
кабельный сегмент, подключенный к концентратору. Для диагностики
достаточно найти разрыв кабеля, который ведет к неработающей станции.
Остальная часть сети продолжает нормально работать.
Однако звездообразная топология имеет и недостатки. Во-первых, она
требует много кабеля. Во-вторых, концентраторы довольно дороги. В-третьих,
кабельные концентраторы при большом количестве кабеля трудно
обслуживать. Однако в большинстве случаев в такой топологии используется
недорогой кабель типа витая пара. В некоторых случаях можно даже
использовать существующие телефонные кабели. Кроме того, для диагностики
и тестирования выгодно собирать все кабельные концы в одном месте. По
сравнению с концентраторами ArcNet концентраторы Ethernet и MAU Token
Ring достаточно дороги. Новые подобные концентраторы включают в себя
средства тестирования и диагностики, что делает их еще более дорогими.
Методы доступа. Метод доступа - это способ определения того, какая из
рабочих станций сможет следующей использовать ЛВС. То, как сеть
управляет доступом к каналу связи (кабелю), существенно влияет на ее
характеристики. Примерами методов доступа являются:
множественный доступ с прослушиванием несущей и разрешением
коллизий (Carrier Sense Multiple Access with Collision Detection – CSMA/CD);
множественный доступ с передачей полномочия (Token Passing Multiple
Access – TPMA) или метод с передачей маркера;
множественный доступ с разделением во времени (Time Division
Multiple Access – TDMA);
43
множественный доступ с разделением частоты (Frequency Division
Multiple Access – FDMA) или множественный доступ с разделением длины
волны (Wavelength Division Multiple Access – WDMA).
CSMA/CD
Алгоритм множественного доступа с прослушиванием несущей и
разрешением коллизий приведен на рис. 1.17.
Рис. 1.17. Алгоритм CSMA/CD
Метод множественного доступа с прослушиванием несущей и
разрешением коллизий (CSMA/CD) устанавливает следующий порядок: если
рабочая станция хочет воспользоваться сетью для передачи данных, она
сначала должна проверить состояние канала: начинать передачу станция
может, если канал свободен. В процессе передачи станция продолжает
прослушивание сети для обнаружения возможных конфликтов. Если
возникает конфликт из-за того, что два узла попытаются занять канал, то
обнаружившая конфликт интерфейсная плата, выдает в сеть специальный
сигнал, и обе станции одновременно прекращают передачу. Принимающая
станция отбрасывает частично принятое сообщение, а все рабочие станции,
желающие передать сообщение, в течение некоторого, случайно выбранного
промежутка времени выжидают, прежде чем начать сообщение.
44
Все сетевые интерфейсные платы запрограммированы на разные
псевдослучайные промежутки времени. Если конфликт возникнет во время
повторной передачи сообщения, этот промежуток времени будет увеличен.
Стандарт типа Ethernet определяет сеть с конкуренцией, в которой несколько
рабочих станций должны конкурировать друг с другом за право доступа к
сети.
TPMA. Алгоритм множественного доступа с передачей полномочия, или
маркера, приведен на рис. 1.18.
Рис. 1.18. Алгоритм TPMA
Метод с передачей маркера – это метод доступа к среде, в котором от
рабочей станции к рабочей станции передается маркер, дающий разрешение на
передачу сообщения. При получении маркера рабочая станция может
передавать сообщение, присоединяя его к маркеру, который переносит это
сообщение по сети. Каждая станция между передающей станцией и
принимающей видит это сообщение, но только станция – адресат принимает
его. При этом она создает новый маркер. Маркер (token), или полномочие, –
уникальная комбинация битов, позволяющая начать передачу данных.
Каждый узел принимает пакет от предыдущего, восстанавливает уровни
сигналов до номинального уровня и передает дальше. Передаваемый пакет
45
может содержать данные или являться маркером. Когда рабочей станции
необходимо передать пакет, ее адаптер дожидается поступления маркера, а
затем преобразует его в пакет, содержащий данные, отформатированные по
протоколу соответствующего уровня, и передает результат далее по ЛВС.
Пакет распространяется по ЛВС от адаптера к адаптеру, пока не найдет
своего адресата, который установит в нем определенные биты для
подтверждения того, что данные достигли адресата, и ретранслирует его вновь
в ЛВС. После чего пакет возвращается в узел из которого был отправлен.
Здесь после проверки безошибочной передачи пакета, узел освобождает ЛВС,
выпуская новый маркер. Таким образом, в ЛВС с передачей маркера
невозможны коллизии (конфликты). Метод с передачей маркера в основном
используется в кольцевой топологии.
Данный метод характеризуется следующими достоинствами:
гарантирует определенное время доставки блоков данных в сети;
дает возможность предоставления различных приоритетов передачи
данных.
Вместе с тем он имеет существенные недостатки:
в сети возможны потеря маркера, а также появление нескольких
маркеров, при этом сеть прекращает работу;
включение новой рабочей станции и отключение связаны с изменением
адресов всей системы.
TDMA Множественный доступ с разделением во времени основан на
распределении времени работы канала между системами (рис.1.19).
Доступ TDMA основан на использовании специального устройства,
называемого тактовым генератором. Этот генератор делит время канала на
повторяющиеся циклы. Каждый из циклов начинается сигналом
разграничителем. Цикл включает n пронумерованных временных интервалов,
называемых ячейками. Интервалы предоставляются для загрузки в них блоков
данных.
Рис. 1.19. Структура множественного доступа с разделением во времени
Данный способ позволяет организовать передачу данных с коммутацией
пакетов и с коммутацией каналов. Первый (простейший) вариант
использования интервалов заключается в том, что их число (n) делается
46
равным количеству абонентских систем, подключенных к рассматриваемому
каналу. Тогда во время цикла каждой системе предоставляется один интервал,
в течение которого она может передавать данные. При использовании
рассмотренного метода доступа часто оказывается, что в одном и том же цикле
одним системам нечего передавать, а другим не хватает выделенного времени.
В результате – неэффективное использование пропускной способности канала.
Второй, более сложный, но высокоэкономичный вариант заключается в том,
что система получает интервал только тогда, когда у нее возникает
необходимость в передаче данных, например при асинхронном способе
передачи. Для передачи данных система может в каждом цикле получать
интервал с одним и тем же номером. В этом случае передаваемые системой
блоки данных появляются через одинаковые промежутки времени и приходят
с одним и тем же временем запаздывания. Это режим передачи данных с
имитацией коммутации каналов. Способ особенно удобен при передаче речи.
FDMA. Доступ FDMA основан на разделении полосы пропускания
канала на группу полос частот (рис. 1.20), образующих логические каналы.
Широкая полоса пропускания канала делится на ряд узких полос,
разделенных защитными полосами. Размеры узких полос могут быть
различными. При использовании FDMA, именуемого также множественным
доступом с разделением волны WDMA, широкая полоса пропускания канала
делится на ряд узких полос, разделенных защитными полосами. В каждой
узкой полосе создается логический канал. Размеры узких полос могут быть
различными. Передаваемые по логическим каналам сигналы накладываются
на разные несущие и поэтому в частотной области не должны пересекаться.
Вместе с этим, иногда, несмотря на наличие защитных полос, спектральные
составляющие сигнала могут выходить за границы логического канала и
вызывать шум в соседнем логическом канале.
Рис. 1.20. Схема выделения логических каналов
В оптических каналах разделение частоты осуществляется направлением
в каждый из них лучей света с различными частотами. Благодаря этому
пропускная способность физического канала увеличивается в несколько раз.
При осуществлении этого мультиплексирования в один световод излучает свет
большое число лазеров (на различных частотах). Через световод излучение
47
каждого из них проходит независимо от другого. На приемном конце
разделение частот сигналов, прошедших физический канал, осуществляется
путем фильтрации выходных сигналов.
Метод доступа FDMA относительно прост, но для его реализации
необходимы передатчики и приемники, работающие на различных частотах.
1.4. ЛВС и компоненты ЛВС
Компьютерная сеть состоит из трех основных аппаратных компонент и
двух программных, которые должны работать согласованно. Для корректной
работы устройств в сети их нужно правильно инсталлировать и установить
рабочие параметры.
Основные компоненты. Основными аппаратными компонентами сети
являются:
1. Абонентские системы:
компьютеры (рабочие станции или клиенты и серверы);
принтеры;
сканеры и др.
2. Сетевое оборудование:
сетевые адаптеры;
концентраторы (хабы);
мосты;
маршрутизаторы и др.
3. Коммуникационные каналы:
кабели;
разъемы;
устройства передачи и приема данных в беспроводных технологиях.
1. Сетевые операционные системы, где наиболее известные из них это:
Основными программными компонентами сети служат:
Windows NT Server;
Windows 2000/2003 Server
LANtastic;
NetWare;
Unix;
Linux и т.д.
2. Сетевое программное обеспечение (Сетевые службы):
клиент сети;
сетевая карта;
протокол;
служба удаленного доступа.
ЛВС - это совокупность компьютеров, каналов связи, сетевых адаптеров,
работающих под управлением сетевой операционной системы и сетевого
программного обеспечения. В ЛВС каждый ПК называется рабочей станцией,
за исключением одного или нескольких компьютеров, которые предназначены
48
для выполнения функций файл-серверов. Каждая рабочая станция и файлсервер имеют сетевые карты (адаптеры), которые посредством физических
каналов соединяются между собой. В дополнение к локальной операционной
системе на каждой рабочей станции активизируется сетевое программное
обеспечение, позволяющее станции взаимодействовать с файловым сервером.
Компьютеры, входящие в ЛВС клиент - серверной архитектуры, делятся на два
типа: рабочие станции, или клиенты, предназначенные для пользователей, и
файловые серверы, которые, как правило, недоступны для обычных
пользователей и предназначены для управления ресурсами сети. Аналогично
на файловом сервере запускается сетевое программное обеспечение, которое
позволяет ему взаимодействовать с рабочей станцией и обеспечить доступ к
своим файлам.
Рабочие станции. Рабочая станция (workstation) - это абонентская
система, специализированная для решения определенных задач и
использующая сетевые ресурсы. К сетевому программному обеспечению
рабочей станции относятся следующие службы:
клиент для сетей;
служба доступа к файлам и принтерам;
сетевые протоколы для данного типа сетей;
сетевая плата;
контроллер удаленного доступа.
Рабочая станция отличается от обычного автономного персонального
компьютера следующим:
наличием сетевой карты (сетевого адаптера) и канала связи;
на экране во время загрузки ОС появляются дополнительные
сообщения, которые информируют о том, что загружается сетевая
операционная система;
перед началом работы необходимо сообщить сетевому программному
обеспечению имя пользователя и пароль. Это называется процедурой входа в
сеть;
после подключения к ЛВС появляются дополнительные сетевые
дисковые накопители;
появляется возможность использования сетевого оборудования,
которое может находиться далеко от рабочего места.
Сетевые адаптеры. Для подключения ПК к сети требуется устройство
сопряжения, которое называют сетевым адаптером, интерфейсом, модулем,
или картой. Оно вставляется в гнездо материнской платы. Карты сетевых
адаптеров устанавливаются на каждой рабочей станции и на файловом
сервере. Рабочая станция отправляет запрос через сетевой адаптер к
файловому серверу и получает ответ через сетевой адаптер, когда файловый
сервер готов.
Сетевые адаптеры вместе с сетевым программным обеспечением
способны распознавать и обрабатывать ошибки, которые могут возникнуть изза электрических помех, коллизий или плохой работы оборудования.
49
Последние типы сетевых адаптеров поддерживают технологию Plug and
Play (вставляй и работай). Если сетевую карту установить в компьютер, то при
первой загрузке система определит тип адаптера и запросит для него
драйверы.
Различные типы сетевых адаптеров отличаются не только методами
доступа к каналу связи и протоколами, но еще и следующими параметрами:
скорость передачи;
объем буфера для пакета;
тип шины;
быстродействие шины;
совместимость с различными микропроцессорами;
использованием прямого доступа к памяти (DMA);
адресация портов ввода/вывода и запросов прерывания;
конструкция разъема.
Файловые серверы. Сервер - это компьютер, предоставляющий свои
ресурсы (диски, принтеры, каталоги, файлы и т.п.) другим пользователям сети.
Файловый сервер обслуживает рабочие станции. В настоящее время это
обычно быстродействующий ПК на базе процессоров Pentium. В малых ЛВС
файл-сервер используется еще и в качестве рабочей станции. На файловом
сервере должна стоять сетевая операционная система, а также сетевое
программное обеспечение. К сетевому программному обеспечению сервера
относятся сетевые службы и протоколы, а также средства администрирования
сервера. Файловые серверы могут контролировать доступ пользователей к
различным частям файловой системы. Это обычно осуществляется
разрешением пользователю присоединить некоторую файловую систему (или
каталог) к рабочей станции пользователя для дальнейшего использования как
локального диска. По мере усложнения возлагаемых на серверы функций и
увеличения числа обслуживаемых ими клиентов происходит все большая
специализация серверов. Существует множество типов серверов.
Первичный контроллер домена, сервер, на котором хранится база
бюджетов пользователей и поддерживается политика защиты.
Вторичный контроллер домена, сервер, на котором хранится резервная
копия базы бюджетов пользователей и политики защиты. Универсальный
сервер, предназначенный для выполнения несложного набора различных задач
обработки данных в локальной сети. Сервер базы данных, выполняющий
обработку запросов, направляемых базе данных. Proxy сервер, подключающий
локальную сеть к сети Internet. Web–сервер, предназначенный для работы с
web-информацией. Файловый сервер, обеспечивающий функционирование
распределенных ресурсов, включая файлы, программное обеспечение.
Сервер приложений, предназначенный для выполнения прикладных
процессов. С одной стороны, взаимодействует с клиентами, получая задания, а
с другой стороны, работает с базами данных, подбирая данные, необходимые
для обработки. Сервер удаленного доступа, обеспечивающий сотрудникам,
50
работающим дома торговым агентам, служащим филиалов, лицам,
находящимся в командировках, возможность работы с данными сети.
Телефонный сервер, предназначенный для организации в локальной сети
службы телефонии. Этот сервер выполняет функции речевой почты,
автоматического распределения вызовов, учет стоимости телефонных
разговоров, интерфейса с внешней телефонной сетью. Наряду с телефонией
сервер может также передавать изображения и сообщения факсимильной
связи. Почтовый сервер, предоставляющий сервис в ответ на запросы,
присланные по электронной почте. Сервер доступа, дающий возможность
коллективного использования ресурсов пользователями, оказавшимися вне
своих сетей (например, пользователями, которые находятся в командировках и
хотят работать со своими сетями). Для этого пользователи через
коммуникационные сети соединяются с сервером доступа и последний
предоставляет нужные ресурсы, имеющиеся в сети. Терминальный сервер,
объединяющий группу терминалов, упрощающий переключения при их
перемещении.
Коммуникационный сервер, выполняющий функции терминального
сервера, но осуществляющий также маршрутизацию данных. Видеосервер,
который в наибольшей степени приспособлен к обработке изображений,
снабжает пользователей видеоматериалами, обучающими программами,
видеоиграми, обеспечивает электронный маркетинг. Имеет высокую
производительность и большую память. Факс-сервер, обеспечивающий
передачу и прием сообщений в стандартах факсимильной связи. Сервер
защиты данных, оснащенный широким набором средств обеспечения
безопасности данных и, в первую очередь, идентификации паролей.
Сетевые операционные системы. Сетевые операционные системы
(Network Operating System – NOS) - это комплекс программ, обеспечивающих
в сети обработку, хранение и передачу данных. Для организации сети кроме
аппаратных средств, необходима также сетевая операционная система.
Операционные системы сами по себе не могут поддерживать сеть. Для
дополнения какой-нибудь ОС сетевыми средствами необходима процедура
инсталляции сети. Сетевая операционная система необходима для управления
потоками сообщений между рабочими станциями и файловым сервером. Она
является прикладной платформой, предоставляет разнообразные виды сетевых
служб и поддерживает работу прикладных процессов, реализуемых в сетях.
NOS используют архитектуру клиент-сервер или одноранговую архитектуру.
NOS определяет группу протоколов, обеспечивающих основные функции
сети. К ним относятся:
адресация объектов сети;
функционирование сетевых служб;
обеспечение безопасности данных;
управление сетью.
Клиент для сетей обеспечивает связь с другими компьютерами и
серверами, а также доступ к файлам и принтерам.
51
Сетевая карта является устройством, физически соединяющим
компьютер с сетью. Для каждой сетевой карты устанавливаются свои
драйверы, значение IRQ (требования к прерыванию) и адреса ввода/вывода.
Протоколы используются для установления правил обмена информацией
в сетях. Служба удаленного доступа позволяет делать файлы и принтеры
доступными для компьютеров в сети. Применение многопользовательских
версий прикладных программ резко увеличивают производительность. Многие
системы управления базами данных позволяют нескольким рабочим станциям
работать с общей базой данных. Большинство деловых прикладных программ
также являются многопользовательскими.
Защита данных. Защита данных от несанкционированного доступа при
работе в ЛВС необходима по следующим причинам:
1. Необходимость обеспечения гарантии от разрушений. При работе в
сети неопытных пользователей возможно уничтожение файлов и каталогов.
2. Необходимость защиты конфиденциальности. Далеко не всегда есть
желание, чтобы частная информация была доступна всем.
3. Необходимость защиты от мошенничества. Некоторые расчетные
ведомости несут в себе большие денежные суммы, и бывает, пользователи
поддаются искушению выписать чек на свое имя.
4. Необходимость защиты от преднамеренных разрушений. В
некоторых случаях раздосадованный работник может испортить какую-нибудь
информацию.
Использование паролей и ограничение доступа. Первый шаг к
безопасности – это введение пароля. Каждому пользователю ЛВС
присваивается пароль – секретное слово, известное только этому
пользователю. При вводе пароля высвечиваются звездочки. Сетевая
операционная система хранит информацию по всем именам и паролям (в
закодированной форме), а также о правах доступа к директориям и другие
атрибуты пользователей.
Еще одна возможность защиты данных заключается в ограничении
доступа к определенным директориям или определенным серверам. Доступ к
дискам рабочих станций выбирается посредством вкладки «Управление
доступом» в программе «Сетевое окружение». Доступ между серверами
организуется посредством установки доверительных отношений между
серверами.
Типовой
состав
оборудования
локальной
сети.
Фрагмент
вычислительной сети включает основные типы коммуникационного
оборудования, применяемого сегодня для образования локальных сетей и
соединения их через глобальные связи друг с другом. Для построения
локальных связей между компьютерами используются различные виды
кабельных систем, сетевые адаптеры, концентраторы, повторители. Для связей
между сегментами локальной вычислительной сети используются
концентраторы, мосты, коммутаторы, маршрутизаторы и шлюзы. Для
подключения локальных сетей к глобальным связям используются:
52
1. специальные выходы (WAN–порты) мостов и маршрутизаторов;
2. аппаратура передачи данных по длинным линиям – модемы (при
работе по аналоговым линиям);
3. устройства подключения к цифровым каналам (TA – терминальные
адаптеры сетей ISDN, устройства обслуживания цифровых выделенных
каналов типа CSU/DSU и т.п.).
На рис. 1.21 приведен фрагмент вычислительной сети.
Рис. 1.21. Фрагмент сети
1.5. Физическая среда передачи данных
Физическая среда является основой, на которой строятся физические
средства соединения. Сопряжение с физическими средствами соединения
посредством физической среды обеспечивает «Физический уровень». В
качестве физической среды широко используются эфир, металлы, оптическое
стекло и кварц. На физическом уровне находится носитель, по которому
передаются данные. Среда передачи данных может включать как кабельные,
так и беспроводные технологии. Хотя физические кабели являются наиболее
распространенными носителями для сетевых коммуникаций, беспроводные
технологии все более внедряются благодаря их способности связывать
глобальные сети. На физическом уровне для физических кабелей
определяются механические и электрические (оптические) свойства среды
передачи, которые включают:
тип кабелей и разъемов;
53
разводку контактов в разъемах;
схему кодирования сигналов для значений 0 и 1.
Канальный уровень определяет доступ к среде и управление передачей
посредством процедуры передачи данных по каналу. В локальных сетях
протоколы канального уровня используются компьютерами, мостами,
коммутаторами и маршрутизаторами. В компьютерах функции канального
уровня реализуются совместными усилиями сетевых адаптеров и их
драйверов.
Кабели связи, линии связи, каналы связи. Для организации связи в сетях
используются следующие понятия:
кабели связи;
линии связи;
каналы связи.
Кабель связи – это длинномерное изделие электротехнической
промышленности. Из кабелей связи и других элементов (монтаж, крепеж,
кожухи и т.д.) строят линии связи. Прокладка линии внутри здания задача
достаточно серьезная. Длина линий связи колеблется от десятков метров до
десятков тысяч километров. По уже построенным линиям организуют каналы
связи. Причем если линию, как правило, строят и сдают сразу всю, то каналы
связи вводят постепенно. Уже по линии можно дать связь, но такое
использование крайне дорогостоящих сооружений очень неэффективно.
Поэтому применяют аппаратуру каналообразования (или, как раньше
говорили, уплотнение линии). По каждой электрической цепи, состоящей из
двух проводов, обеспечивают связь не одной паре абонентов (или
компьютеров), а сотням или тысячам: по одной коаксиальной паре в
междугородном кабеле может быть образовано до 10 800 каналов тональной
частоты (0,3-3,4 КГц) или почти столько же цифровых, с пропускной
способностью 64 Кбит/с. При наличии кабелей связи создаются линии связи, а
уже по линиям связи создаются каналы связи. Линии связи и каналы связи
заводятся на узлы связи. Линии, каналы и узлы образуют первичные сети
связи.
Типы кабелей и структурированные кабельные системы. В качестве
среды передачи данных используются различные виды кабелей: коаксиальный
кабель, кабель на основе экранированной и неэкранированной витой пары и
оптоволоконный кабель. Наиболее популярным видом среды передачи данных
на небольшие расстояния (до 100 м) становится неэкранированная витая пара,
которая включена практически во все современные стандарты и технологии
локальных сетей и обеспечивает пропускную способность до 100 Мб/с (на
кабелях категории 5). Оптоволоконный кабель широко применяется как для
построения локальных связей, так и для образования магистралей глобальных
сетей. Оптоволоконный кабель может обеспечить очень высокую пропускную
способность канала (до нескольких Гб/с) и передачу на значительные
расстояния (до нескольких десятков километров без промежуточного усиления
сигнала). В качестве среды передачи данных в вычислительных сетях
54
используются также электромагнитные волны различных частот - КВ, УКВ,
СВЧ. Однако пока в локальных сетях радиосвязь используется только в тех
случаях, когда оказывается невозможной прокладка кабеля, например, в
зданиях. Это объясняется недостаточной надежностью сетевых технологий,
построенных на использовании электромагнитного излучения. Для построения
глобальных каналов этот вид среды передачи данных используется шире – на
нем построены спутниковые каналы связи и наземные радиорелейные каналы,
работающие в зонах прямой видимости в СВЧ диапазонах.
Очень важно правильно построить фундамент сети – кабельную систему.
В последнее время в качестве такой надежной основы все чаще используется
структурированная кабельная система.
Структурированная кабельная система (Structured Cabling System – SCS)
– это набор коммутационных элементов (кабелей, разъемов, коннекторов,
кроссовых панелей и шкафов), а также методика их совместного
использования, которая позволяет создавать регулярные, легко расширяемые
структуры связей в вычислительных сетях.
Преимущества структурированной кабельной системы.
Универсальность.
Структурированная
кабельная
система
при
продуманной организации может стать единой средой для передачи
компьютерных данных в локальной вычислительной сети.
Увеличение срока службы. Срок старения хорошо структурированной
кабельной системы может составлять 8-10 лет.
Уменьшение стоимости добавления новых пользователей и изменения
их мест размещения. Стоимость кабельной системы в основном определяется
не стоимостью кабеля, а стоимостью работ по его прокладке.
Возможность легкого расширения сети. Структурированная кабельная
система является модульной, поэтому ее легко наращивать, позволяя легко и
ценой малых затрат переходить на более совершенное оборудование,
удовлетворяющее растущим требованиям к системам коммуникаций.
Обеспечение более эффективного обслуживания. Структурированная
кабельная система облегчает обслуживание и поиск неисправностей.
Надежность. Структурированная кабельная система имеет повышенную
надежность, поскольку обычно производство всех ее компонентов и
техническое сопровождение осуществляется одной фирмой-производителем.
Кабельные системы. Выделяют два больших класса кабелей:
электрические и оптические, которые принципиально различаются по способу
передачи по ним сигнала. Отличительная особенность оптоволоконных систем
– высокая стоимость как самого кабеля (по сравнению с медным), так и
специализированных
установочных
элементов
(розеток,
разъемов,
соединителей и т. п.). Правда, главный вклад в стоимость сети вносит цена
активного сетевого оборудования для оптоволоконных сетей.
Оптоволоконные
сети
применяются
для
горизонтальных
высокоскоростных каналов, а также все чаще стали применяться для
вертикальных каналов связи (межэтажных соединений).
55
Оптоволоконные кабели в будущем смогут составить реальную
конкуренцию медным высокочастотным, поскольку стоимость производства
медных кабелей снижаться не будет, ведь для него нужна очень чистая медь,
запасов которой на земле гораздо меньше, чем кварцевого песка, из которого
производят оптоволокно. Основные поставщики оптоволоконного кабеля для
России – Mohawk/CDT, Lucent Technologies и AMP.
Типы кабелей. Существует несколько различных типов кабелей,
используемых в современных сетях. Ниже приведены наиболее часто
используемые типы кабелей. Множество разновидностей медных кабелей
составляют класс электрических кабелей, используемых как для прокладки
телефонных сетей, так и для инсталляции ЛВС. По внутреннему строению
различают кабели на витой паре и коаксиальные кабели.
Кабель типа «витая пара» (twisted pair). Витой парой называется кабель, в
котором изолированная пара проводников скручена с небольшим числом витков
на единицу длины. Скручивание проводов уменьшает электрические помехи
извне при распространении сигналов по кабелю, а экранированные витые пары
еще более увеличивают степень помехозащищенности сигналов.
Кабель типа «витая пара» используется во многих сетевых технологиях,
включая Ethernet, ARCNet и IBM Token Ring. Кабели на витой паре
подразделяются на: неэкранированные (UTP – Unshielded Twisted Pair) и
экранированные медные кабели. Последние подразделяются на две
разновидности: с экранированием каждой пары и общим экраном (STP – Shielded
Twisted Pair) и с одним только общим экраном (FTP – Foiled Twisted Pair).
Наличие или отсутствие экрана у кабеля вовсе не означает наличия или
отсутствия защиты передаваемых данных, а говорит лишь о различных подходах
к подавлению помех. Отсутствие экрана делает неэкранированные кабели более
гибкими и устойчивыми к изломам. Кроме того, они не требуют дорогостоящего
контура заземления для эксплуатации в нормальном режиме, как
экранированные. Неэкранированные кабели идеально подходят для прокладки в
помещениях внутри офисов, а экранированные лучше использовать для
установки в местах с особыми условиями эксплуатации, например, рядом с очень
сильными источниками электромагнитных излучений, которых в офисах обычно
нет. Кабели классифицируются по категории, указанной в таблице 1.2.
Основанием для отнесения кабеля к одной из категорий служит максимальная
частота передаваемого по нему сигнала.
Таблица 1.2
Категория
3
4
5
5+
6
7
Частота передаваемого
сигнала, (МГц)
16
20
100
300
200
600
56
Коаксиальные кабели. Коаксиальные кабели используются в радио и
телевизионной аппаратуре. Коаксиальные кабели могут передавать данные со
скоростью 10 Мбит/с на максимальное расстояние от 185 до 500 метров. Они
разделяются на толстые и тонкие в зависимости от толщины. Типы
коаксиальных кабелей приведены в таблице 1.3.
Таблица 1.3
Тип
RG-8 и RG-11
RG-58/U
RG-58 А/U
RG-59
RG-59 /U
RG-62
Название, значение сопротивления
Thicknet, 50 Ом
Thinnet, 50 Ом, сплошной центральный
медный проводник
Thinnet, 50 Ом, центральный многожильный
проводник
Broadband/Cable television
(широковещательное и кабельное
телевидение), 75 Ом
Broadband/Cable television
(широковещательное и кабельное
телевидение), 50 Ом
ARCNet, 93 Ом
Кабель Thinnet, известный как кабель RG-58, является наиболее широко
используемым физическим носителем данных. Сети при этом не требуют
дополнительного оборудования и являются простыми и недорогими. Хотя
тонкий коаксиальный кабель (Thin Ethernet) позволяет передачу на меньшее
расстояние, чем толстый, но для соединений с тонким кабелем применяются
стандартные байонетные разъемы BNC типа СР-50 и ввиду его небольшой
стоимости он становится фактически стандартным для офисных ЛВС.
Используется в технологии Ethernet 10Base2, описанной ниже.
Толстый коаксиальный кабель (Thick Ethernet) имеет большую степень
помехозащищенности, большую механическую прочность, но требует
специального приспособления для прокалывания кабеля, чтобы создать
ответвления для подключения к ЛВС. Он более дорогой и менее гибкий, чем
тонкий. Используется в технологии Ethernet 10Base5, описанной ниже. Сети
ARCNet с посылкой маркера обычно используют кабель RG-62 А/U.
Оптоволоконный кабель. Оптоволоконный кабель (Fiber Optic Cable)
обеспечивает высокую скорость передачи данных на большом расстоянии.
Они также невосприимчивы к интерференции и подслушиванию. В
оптоволоконном кабеле для передачи сигналов используется свет. Волокно,
применяемое в качестве световода, позволяет передачу сигналов на большие
расстояния с огромной скоростью, но оно дорого, и с ним трудно работать.
57
Для установки разъемов, создания ответвлений, поиска неисправностей
в оптоволоконном кабеле необходимы специальные приспособления и
высокая квалификация. Оптоволоконный кабель состоит из центральной
стеклянной нити толщиной в несколько микрон, покрытой сплошной
стеклянной оболочкой. Все это, в свою очередь, спрятано во внешнюю
защитную оболочку.
Оптоволоконные линии очень чувствительны к плохим соединениям в
разъемах. В качестве источника света в таких кабелях применяются
светодиоды (LED - Light Emitting Diode), а информация кодируется путем
изменения интенсивности света. На приемном конце кабеля детектор
преобразует световые импульсы в электрические сигналы.
Существуют два типа оптоволоконных кабелей - одномодовые и
многомодовые. Одномодовые кабели имеют меньший диаметр, большую
стоимость и позволяют передачу информации на большие расстояния.
Поскольку световые импульсы могут двигаться в одном направлении, системы
на базе оптоволоконных кабелей должны иметь входящий кабель и исходящий
кабель для каждого сегмента. Оптоволоконный кабель требует специальных
коннекторов и высококвалифицированной установки.
Кабельные системы Ethernet. 10Base-T, 100Base-TX
Неэкранированная витая пара (Unshielded Twisted Pair – UTP) – это
кабель из скрученных пар проводов. Характеристики кабеля:
диаметр проводников 0.4 – 0.6 мм (22~26 AWG), 4 скрученных пары (8
проводников, из которых для 10Base-T и 100Base-TX используются только 4).
Кабель должен иметь категорию 3 или 5 и качество data grade или выше;
максимальная длина сегмента 100 м;
разъемы восьми контактные RJ-45.
Рис. 1.22. Восьми контактные RJ-45
В таблице 1.4 приведены сигналы, соответствующие номерам контактов
разъема RJ-45.
58
Таблица 1.4
Каскадирование
RD+ (прием)
RD- (прием)
TD+ (передача)
Не используется
Не используется
TD- (передача)
Не используется
Не используется
Нормальный режим
TD+ (передача)
TD- (передача)
RD+ (прием)
Не используется
Не используется
RD- (прием)
Не используется
Не используется
Тонкий коаксиальный кабель. Характеристики кабеля:
диаметр 0.2 дюйма, RG-58A/U 50 Ом;
Приемлемые разъемы – BNC;
Максимальная длина сегмента – 185 м;
Минимальное расстояние между узлами – 0.5 м;
Максимальное число узлов в сегменте – 30.
Толстый коаксиальный кабель.
Волновое сопротивление – 50 Ом;
Максимальная длина сегмента – 500 метров;
Минимальное расстояние между узлами –: 2.5 м;
Максимальное число узлов в сегменте – 100.
Беспроводные технологии. Методы беспроводной технологии передачи
данных (Radio Waves) являются удобным, а иногда незаменимым средством
связи. Беспроводные технологии различаются по типам сигнала, частоте
(большая частота означает большую скорость передачи) и расстоянию
передачи. Большое значение имеют помехи и стоимость. Можно выделить три
основных типа беспроводной технологии:
радиосвязь;
связь в микроволновом диапазоне;
инфракрасная связь.
Радиосвязь. Технологии радиосвязи пересылают данные на
радиочастотах и практически не имеют ограничений по дальности. Она
используется для соединения локальных сетей на больших географических
расстояниях. Радиопередача в целом имеет высокую стоимость и
чувствительна к электронному и атмосферному наложению, а также
подвержена перехватам, поэтому требует шифрования для обеспечения уровня
безопасности.
Связь в микроволновом диапазоне. Передача данных в микроволновом
диапазоне (Microwaves) использует высокие частоты и применяется как на
59
коротких, так и на больших расстояниях. Главное ограничение заключается в
том, чтобы передатчик и приемник были в зоне прямой видимости.
Используется в местах, где использование физического носителя затруднено.
Передача данных в микроволновом диапазоне при использовании спутников
может быть очень дорогой.
Инфракрасная связь. Инфракрасные технологии (Infrared transmission),
функционируют на очень высоких частотах, приближающихся к частотам
видимого света. Они могут быть использованы для установления
двусторонней или широковещательной передачи на близких расстояниях. При
инфракрасной связи обычно используют светодиоды (LED – Light Emitting
Diode) для передачи инфракрасных волн приемнику. Инфракрасная передача
ограничена малым расстоянием в прямой зоне видимости и может быть
использована в офисных зданиях.
1.6. Структура сетевой операционной системы
Сетевая
операционная
система
составляет
основу
любой
вычислительной сети. Каждый компьютер в сети автономен, поэтому под
сетевой операционной системой в широком смысле понимается совокупность
операционных систем отдельных компьютеров, взаимодействующих с целью
обмена сообщениями и разделения ресурсов по единым правилам –
протоколам. В узком смысле сетевая ОС – это операционная система
отдельного компьютера, обеспечивающая ему возможность работать в сети.
Рис. 1.23. Структура сетевой ОС
В соответствии со структурой, приведенной на рис. 1.23. в сетевой
операционной системе отдельной машины можно выделить несколько частей.
Средства управления локальными ресурсами компьютера: функции
распределения оперативной памяти между процессами, планирования и
диспетчеризации процессов, управления процессорами, управления
60
периферийными устройствами и другие функции управления ресурсами
локальных ОС.
Средства предоставления собственных ресурсов и услуг в общее
пользование - серверная часть ОС (сервер). Эти средства обеспечивают,
например, блокировку файлов и записей, ведение справочников имен сетевых
ресурсов; обработку запросов удаленного доступа к собственной файловой
системе и базе данных; управление очередями запросов удаленных
пользователей к своим периферийным устройствам.
Средства запроса доступа к удаленным ресурсам и услугам - клиентская
часть ОС (редиректор). Эта часть выполняет распознавание и перенаправление
в сеть запросов к удаленным ресурсам от приложений и пользователей.
Клиентская часть также осуществляет прием ответов от серверов и
преобразование их в локальный формат, так что для приложения выполнение
локальных и удаленных запросов неразличимо.
Коммуникационные средства ОС, с помощью которых происходит
обмен сообщениями в сети. Эта часть обеспечивает адресацию и буферизацию
сообщений, выбор маршрута передачи сообщения по сети, надежность
передачи и т.п., т. е. является средством транспортировки сообщений.
Клиентское программное обеспечение. Для работы с сетью на
клиентских рабочих станциях должно быть установлено клиентское
программное обеспечение. Это программное обеспечение обеспечивает доступ
к ресурсам, расположенным на сетевом сервере. Тремя наиболее важными
компонентами клиентского программного обеспечения являются редиректоры
(redirector), распределители (designator) и имена UNC (UNC pathnames).
Редиректоры. Редиректор – сетевое программное обеспечение, которое
принимает запросы ввода/вывода для удаленных файлов, именованных
каналов или почтовых слотов и затем переназначает их сетевым сервисам
другого компьютера. Редиректор перехватывает все запросы, поступающие от
приложений, и анализирует их. Фактически существуют два типа
редиректоров, используемых в сети:
клиентский редиректор (client redirector)
серверный редиректор (server redirector).
Оба редиректора функционируют на представительском уровне модели
OSI. Когда клиент делает запрос к сетевому приложению или службе,
редиректор перехватывает этот запрос и проверяет, является ли ресурс
локальным (находящимся на запрашивающем компьютере) или удаленным (в
сети). Если редиректор определяет, что это локальный запрос, он направляет
запрос центральному процессору для немедленной обработки. Если запрос
предназначен для сети, редиректор направляет запрос по сети к
соответствующему серверу. По существу, редиректоры скрывают от
пользователя сложность доступа к сети. После того как сетевой ресурс
определен, пользователи могут получить к нему доступ без знания его точного
расположения.
61
Распределители. Распределитель (designator) представляет собой часть
программного обеспечения, управляющую присвоением букв накопителя
(drive letter) как локальным, так и удаленным сетевым ресурсам или
разделяемым дисководам, что помогает во взаимодействии с сетевыми
ресурсами. Когда между сетевым ресурсом и буквой локального накопителя
создана ассоциация, известная также как отображение дисковода (mapping a
drive), распределитель отслеживает присвоение такой буквы дисковода
сетевому ресурсу. Затем, когда пользователь или приложение получат доступ к
диску, распределитель заменит букву дисковода на сетевой адрес ресурса,
прежде чем запрос будет послан редиректору.
Имена UNC. Редиректор и распределитель являются не единственными
методами, используемыми для доступа к сетевым ресурсам. Большинство
современных сетевых операционных систем, так же как и Windows 95, 98, NT,
распознают имена UNC (Universal Naming Convention — Универсальное
соглашение по наименованию). UNC представляют собой стандартный способ
именования
сетевых
ресурсов.
Эти
имена
имеют
форму
\\Имя_сервера\имя_ресурса. Способные работать с UNC приложения и
утилиты командной строки используют имена UNC вместо отображения
сетевых дисков.
Серверное программное обеспечение. Для того чтобы компьютер мог
выступать в роли сетевого сервера необходимо установить серверную часть
сетевой операционной системы, которая позволяет поддерживать ресурсы и
распространять их среди сетевых клиентов. Важным вопросом для сетевых
серверов является возможность ограничить доступ к сетевым ресурсам. Это
называется сетевой защитой (network security). Она предоставляет средства
управления над тем, к каким ресурсам могут получить доступ пользователи,
степень этого доступа, а также, сколько пользователей смогут получить такой
доступ одновременно. Этот контроль обеспечивает конфиденциальность и
защиту и поддерживает эффективную сетевую среду.
В дополнение к обеспечению контроля над сетевыми ресурсами сервер
выполняет следующие функции:
предоставляет проверку регистрационных имен (logon identification)
для пользователей;
управляет пользователями и группами;
хранит инструменты сетевого администрирования для управления,
контроля и аудита;
обеспечивает отказоустойчивость для защиты целостности сети.
Клиентское и серверное программное обеспечение. Некоторые из
сетевых операционных систем, в том числе Windows NT, имеют программные
компоненты, обеспечивающие компьютеру как клиентские, так и серверные
возможности. Это позволяет компьютерам поддерживать и использовать
сетевые ресурсы и преобладает в одноранговых сетях. В общем, этот тип
сетевых операционных систем не так мощен и надежен, как законченные
сетевые операционные системы. Главное преимущество комбинированной
62
клиентско-серверной сетевой операционной системы заключается в том, что
важные ресурсы, расположенные на отдельной рабочей станции, могут быть
разделены с остальной частью сети. Недостаток состоит в том, что если
рабочая станция поддерживает много активно используемых ресурсов, она
испытывает серьезное падение производительности. Если такое происходит,
то необходимо перенести эти ресурсы на сервер для увеличения общей
производительности.
В зависимости от функций, возлагаемых на конкретный компьютер, в
его операционной системе может отсутствовать либо клиентская, либо
серверная части. На рис. 1.24. компьютер 1 выполняет функции клиента, а
компьютер 2 – функции сервера, соответственно на первой машине
отсутствует серверная часть, а на второй - клиентская.
Рис. 1.24. Взаимодействие компонентов NOS
Если выдан запрос к ресурсу данного компьютера, то он
переадресовывается локальной операционной системе. Если же это запрос к
удаленному ресурсу, то он переправляется в клиентскую часть, где
преобразуется из локальной формы в сетевой формат, и передается
коммуникационным средствам. Серверная часть ОС компьютера 2 принимает
запрос, преобразует его в локальную форму и передает для выполнения своей
локальной ОС. После того, как результат получен, сервер обращается к
транспортной подсистеме и направляет ответ клиенту, выдавшему запрос.
Клиентская часть преобразует результат в соответствующий формат и
адресует его тому приложению, которое выдало запрос.
Выбор сетевой операционной системы. При выборе сетевой
операционной системы необходимо учитывать:
совместимость оборудования;
тип сетевого носителя;
размер сети;
сетевую топологию;
63
требования к серверу;
операционные системы на клиентах и серверах;
сетевая файловая система;
соглашения об именах в сети;
организация сетевых устройств хранения.
Одноранговые NOS и NOS с выделенными серверами. В зависимости от
того как распределены функции между компьютерами сети, сетевые
операционные системы, а следовательно, и сети делятся на два класса:
одноранговые и сети с выделенными серверами. Если компьютер
предоставляет свои ресурсы другим пользователям сети, то он играет роль
сервера. При этом компьютер, обращающийся к ресурсам другой машины,
является клиентом. Компьютер, работающий в сети, может выполнять
функции либо клиента, либо сервера, либо совмещать обе эти функции.
Рис. 1.25. Одноранговая сеть
Если выполнение каких-либо серверных функций является основным
назначением компьютера, то такой компьютер называется выделенным
сервером. В зависимости от того, какой ресурс сервера является разделяемым,
он называется файл-сервером, факс-сервером, принт-сервером, сервером
приложений, сервером БД, Web-сервером и т. д. На выделенных серверах
устанавливается ОС для выполнения тех или иных серверных функций.
Выделенный сервер не принято использовать в качестве компьютера для
выполнения текущих задач, не связанных с его основным назначением, так как
это может уменьшить производительность его работы как сервера.
В одноранговых сетях все компьютеры равны в правах доступа к
ресурсам друг друга. Каждый пользователь может по своему желанию
объявить какой-либо ресурс своего компьютера разделяемым, после чего
другие пользователи могут его эксплуатировать. В таких сетях на всех
компьютерах устанавливается одна и та же ОС, которая предоставляет всем
компьютерам в сети потенциально равные возможности. Одноранговые сети
могут быть построены, например, на базе ОС LANtastic, Personal Ware,
Windows for Workgroup, Windows NT Workstation. Одноранговые сети проще в
64
организации и эксплуатации. Но они применяются в основном для
объединения небольших групп пользователей, не предъявляющих больших
требований к объемам хранимой информации, ее защищенности от
несанкционированного доступа и к скорости доступа. При повышенных
требованиях к этим характеристикам более подходящими являются сети с
выделенными серверами, где сервер лучше решает задачу обслуживания
пользователей своими ресурсами, так как его аппаратура и сетевая
операционная система специально спроектированы для этой цели.
Рис. 1.26. Клиент серверная сеть
В сетях с выделенными серверами чаще всего используются сетевые
операционные системы, в состав которых входит нескольких вариантов ОС,
отличающихся возможностями серверных частей. Например, сетевая
операционная система Novell NetWare имеет серверный вариант,
оптимизированный для работы в качестве файл-сервера, а также варианты
оболочек для рабочих станций с различными локальными ОС, причем эти
оболочки выполняют исключительно функции клиента. Другим примером ОС,
ориентированной на построение сети с выделенным сервером, является
операционная система Windows NT. В отличие от NetWare, оба варианта
данной сетевой ОС – Windows NT Server (для выделенного сервера) и Windows
NT Workstation (для рабочей станции) - могут поддерживать функции и
клиента и сервера. Но серверный вариант Windows NT имеет больше
65
возможностей для предоставления ресурсов своего компьютера другим
пользователям сети, так как может выполнять более широкий набор функций,
поддерживает большее количество одновременных соединений с клиентами,
реализует централизованное управление сетью, имеет более развитые средства
защиты.
NOS для сетей масштаба предприятия. Сетевые операционные системы
имеют разные свойства в зависимости от того, предназначены они для сетей
масштаба рабочей группы (отдела), для сетей масштаба кампуса или для сетей
масштаба предприятия.
Сети отделов используются небольшой группой сотрудников,
решающих общие задачи. Главной целью сети отдела является разделение
локальных ресурсов, таких как приложения, данные, лазерные принтеры и
модемы. Сети отделов обычно не разделяются на подсети.
Сети кампусов соединяют несколько сетей отделов внутри отдельного
здания или одной территории предприятия. Эти сети являются все еще
локальными сетями, хотя и могут покрывать территорию в несколько
квадратных километров. Сервисы такой сети обеспечивают взаимодействие
между сетями отделов, доступ к базам данных предприятия, доступ к факс–
серверам, высокоскоростным модемам и высокоскоростным принтерам.
Сети предприятия (корпоративные сети) объединяют все компьютеры
всех территорий отдельного предприятия. Они могут покрывать город, регион
или даже континент. В таких сетях пользователям предоставляется доступ к
информации и приложениям, находящимся в других рабочих группах, отделах,
подразделениях и штаб-квартирах корпорации.
Сети отделов. Главной задачей операционной системы, используемой в
сети масштаба отдела, является организация разделения ресурсов, таких как
приложения, данные, лазерные принтеры и, возможно, низкоскоростные
модемы. Обычно сети отделов имеют один или два файловых сервера и не
более чем 30 пользователей. Задачи управления на уровне отдела
относительно просты. В задачи администратора входит добавление новых
пользователей, устранение простых отказов, инсталляция новых узлов и
установка новых версий программного обеспечения. Операционные системы
сетей отделов хорошо отработаны и разнообразны, так же, как и сами сети
отделов, уже давно применяющиеся и достаточно отлаженные. Такая сеть
обычно использует одну или максимум две сетевые ОС
Корпоративные сети. Корпоративная сеть соединяет сети всех
подразделений предприятия даже находящихся на значительных расстояниях.
Корпоративные сети используют глобальные связи (WAN links) для
соединения локальных сетей или отдельных компьютеров. Пользователям
корпоративных сетей требуются все те приложения и услуги, которые
имеются в сетях отделов и кампусов, плюс некоторые дополнительные
приложения и услуги, например доступ к приложениям мейнфреймов и
миникомпьютеров и к глобальным связям. Наряду с базовыми сервисами,
связанными с разделением файлов и принтеров, сетевая ОС, которая
66
разрабатывается для корпораций, должна поддерживать более широкий набор
сервисов, в который обычно входят почтовая служба, средства коллективной
работы, поддержка удаленных пользователей, факс-сервис, обработка
голосовых сообщений, организация видеоконференций и др.
К признакам корпоративных ОС могут быть отнесены также следующие
особенности.
Поддержка приложений. В корпоративных сетях выполняются сложные
приложения, требующие для выполнения большой вычислительной мощности.
Приложения будут выполняться более эффективно, если их наиболее сложные
в вычислительном отношении части перенести на специально
предназначенный для этого мощный компьютер - сервер приложений.
Справочная служба. Корпоративная ОС должна хранить информацию
обо всех пользователях и ресурсах. Например, в Windows NT имеется по
крайней мере пять различных типов справочных баз данных. Главный
справочник домена (NT Domain Directory Service) хранит информацию о
пользователях, которая используется при организации их логического входа в
сеть. Данные о тех же пользователях могут содержаться и в другом
справочнике, используемом электронной почтой Microsoft Mail. Еще три базы
данных поддерживают разрешение низкоуровневых адресов: WINS
устанавливает соответствие Netbios-имен IP-адресам, справочник DNS –
сервер имен домена – оказывается полезным при подключении NT-сети к
Internet, и, наконец, справочник протокола DHCP используется для
автоматического назначения IP-адресов компьютерам сети. Наличие единой
справочной службы для сетевой операционной системы – один из важнейших
признаков ее корпоративности.
Безопасность. Особую важность для ОС корпоративной сети
приобретают вопросы безопасности данных. Для защиты данных в
корпоративных сетях наряду с различными аппаратными средствами
используется средства защиты, предоставляемые операционной системой:
избирательные или мандатные права доступа, сложные процедуры
аутентификации пользователей, программная шифрация.
1.7. Семейство сетевых ОС Windows NT
В июле 1993 г. появились первые ОС семейства NT – Windows NT 3.1 и
Windows NT Advanced Server 3.1. Выход версии 3.5, заметно снизившей
требования, предъявляемые к технике, и включавшей ряд полезных функций,
положил начало стремительному росту популярности ОС Windows NT.
Сегодня она широко применяется самыми разными организациями, в том
числе банками, заводами и индивидуальными пользователями. Операционная
система Windows NT Server сертифицирована на соответствие уровню
безопасности C-2. А также имеет встроенный криптографический интерфейс,
позволяющий приложениям стандартным образом обращаться к системам
криптозащиты разных производителей.
67
Структура Windows NT. Структурно Windows NT может быть
представлена в виде двух частей: часть операционной системы, работающая в
режиме пользователя, и часть операционной системы, работающая в режиме
ядра (рис. 1.27). Windows NT Server может выступать как:
файл-сервер;
сервер печати;
сервер приложений;
контроллер домена;
сервер удаленного доступа;
сервер Internet;
сервер обеспечения безопасности данных;
сервер резервирования данных;
сервер связи сетей;
сервер вспомогательных служб.
Рис. 1.27. Структура ОС на базе микроядра
Средства сетевого взаимодействия Windows NT направлены на
реализацию взаимодействия с существующими типами сетей, обеспечение
возможности загрузки и выгрузки сетевого программного обеспечения, а
также на поддержку распределенных приложений. Windows NT с точки зрения
реализации сетевых средств имеет следующие особенности:
встроенность на уровне драйверов, обеспечивает быстродействие;
открытость, предполагает легкость динамической загрузки/выгрузки и
мультиплексируемость протоколов;
наличие сервиса вызова удаленных процедур (RPC – Remote Procedure
Call), именованных конвейеров и почтовых ящиков для поддержки
распределенных приложений;
68
наличие дополнительных сетевых средств, позволяющих строить сети
в масштабах корпорации: дополнительные средства безопасности,
централизованное
администрирование,
отказоустойчивость
(источник
бесперебойного питания, зеркальные диски).
Windows NT представляет из себя модульную операционную систему.
Основными модулями являются:
Уровень аппаратных абстракций (Hardware Abstraction Layer – HAL);
Ядро (Kernel);
Исполняющая система (Windows NT executive);
Защитные подсистемы (Protected subsystems);
Подсистемы среды (Environment subsystems).
Рис. 1.28. Структура Windows NT
Улучшенное автораспознавание аппаратуры, возможность ручного
выбора и конфигурирования сетевых адаптеров, если автоматическое
распознавание не дает положительного результата.
Встроенная совместимость с NetWare. Возможность выполнения роли
шлюза к сетям NetWare, так что Windows NT-компьютеры могут получать
доступ к файлам, принтерам и серверам приложений NetWare.
Встроенная поддержка TCP/IP. Новая высокопроизводительная
реализация протоколов TCP/IP, которая обеспечивает простое, мощное
решение для межсетевого взаимодействия. Помимо этого, имеются базовые
утилиты, такие как ftp, tftp, telnet, команды rarp, arp, route и finger.
69
Значительные, включающие поддержку IPX/SPX и TCP/IP,
использование стандартов Point to Point Protocol (PPP) и Serial Line IP (SLIP).
Сервер RAS может теперь поддерживать до 256 соединений (вместо 64 в
версии 3.1).
Полная поддержка хранения встроенных объектов OLE 2.x и поиска
составных документов. К этим возможностям относятся связывание,
встраивание, связывание со встроенными объектами, технологии "drag-anddrop" и OLE-Automation.
Надежность. Приложения, разработанные для MS Windows 3.x и MSDOS, выполняются более надежно, так как каждое приложение теперь
работает в своем адресном пространстве.
Поддержка различных ОС. Клиентами в сети с Windows NT Server могут
являться компьютеры с различными операционными системами. Стандартно
поддерживаются: MS-DOS, OS/2, Windows for Workgroups, UNIX, Macintosh,
Windows NT Workstation. Программное обеспечение возможных клиентов
включается в стандартную поставку Windows NT Server.
Взаимодействие с UNIX в Windows NT обеспечивается посредством
поддержки общих стандартных сетевых протоколов (включая TCP/IP),
стандартных способов распределенной обработки, стандартных файловых
систем и совместного использования данных, а также благодаря простоте
переноса приложений. Несмотря на то, что система Windows NT была
разработана для поддержки работы по схеме клиент-сервер, для
совместимости с UNIX-хостами встроена эмуляция терминалов.
SNMP. В Windows NT имеется ряд средств для интеграции в системы,
использующие протокол SNMP (Simple Network Management Protocol), что
позволяет выполнять удаленное администрирование Windows NT с помощью,
например, SUN Net Manager и HP Open View. Обеспечивается поддержка
графических и текстовых терминалов.
Области использования Windows NT. Сетевая операционная система
Windows NT Workstation может использоваться как клиент в сетях Windows
NT Server, а также в сетях NetWare, UNIX. Она может быть рабочей станцией
и в одноранговых сетях, выполняя одновременно функции и клиента, и
сервера. А также Windows NT Workstation может применяться в качестве ОС
автономного компьютера при необходимости обеспечения повышенной
производительности, секретности, а также при реализации сложных
графических приложений, например в системах автоматизированного
проектирования.
Сетевая операционная система Windows NT Server может быть
использована, прежде всего, как сервер в корпоративной сети. Здесь весьма
полезной оказывается его возможность выполнять функции контроллера
доменов,
позволяя
структурировать
сеть
и
упрощать
задачи
администрирования и управления. Он используется также в качестве файлсервера, принт-сервера, сервера приложений, сервера удаленного доступа и
сервера связи (шлюза). Кроме того, Windows NT Server может быть
70
использован как платформа для сложных сетевых приложений, особенно тех,
которые построены с использованием технологии клиент-сервер.
Семейство ОС UNIX. Операционная система UNIX с самого своего
возникновения была по своей сути сетевой операционной системой. С
появлением многоуровневых сетевых протоколов TCP/IP компания AT&T
реализовала механизм потоков (Streams), обеспечивающий гибкие и
модульные возможности для реализации драйверов устройств и
коммуникационных протоколов. Streams представляют собой связанный набор
средств общего назначения, включающий системные вызовы и подпрограммы,
а также ресурсы ядра. В совокупности эти средства обеспечивают стандартный
интерфейс символьного ввода/вывода внутри ядра, а также между ядром и
соответствующими драйверами устройств, предоставляя гибкие и развитые
возможности разработки и реализации коммуникационных сервисов.
Большая часть коммуникационных средств ОС UNIX основывается на
использовании протоколов стека TCP/IP. В UNIX System V Release 4 протокол
TCP/IP реализован как набор потоковых модулей плюс дополнительный
компонент TLI (Transport Level Interface - Интерфейс транспортного уровня).
TLI является интерфейсом между прикладной программой и транспортным
механизмом. Приложение, пользующееся интерфейсом TLI, получает
возможность использовать TCP/IP.
Простейшая форма организации потокового интерфейса показана на
рисунке
Рис. 1.29. Простая форма потокового интерфейса
Одним из достоинств ОС UNIX является то, что система базируется на
небольшом числе интуитивно ясных понятий.
С самого начала ОС UNIX замышлялась как интерактивная система.
Другими словами, операционная система UNIX предназначена для
71
терминальной работы. Чтобы начать работать, человек должен "войти" в
систему, введя со свободного терминала свое учетное имя (account name) и,
возможно, пароль (password). Человек, зарегистрированный в учетных файлах
системы и, следовательно, имеющий
учетное имя, называется
зарегистрированным
пользователем
системы.
Регистрацию
новых
пользователей обычно выполняет администратор системы. Пользователь не
может изменить свое учетное имя, но может установить и/или изменить свой
пароль.
ОС UNIX одновременно является операционной средой использования
существующих прикладных программ и средой разработки новых
приложений. Новые программы могут писаться на разных языках (Фортран,
Паскаль, Модула, Ада и др.). Однако стандартным языком программирования
в среде ОС UNIX является язык Си++. Это объясняется тем, что, во-первых,
сама система UNIX написана на языке Си, а, во-вторых, язык Си является
одним из наиболее качественно стандартизованных языков.
Как и в любой другой многопользовательской операционной системе,
обеспечивающей защиту пользователей друг от друга и защиту системных
данных от любого непривилегированного пользователя, в ОС UNIX имеется
защищенное ядро, которое управляет ресурсами компьютера и предоставляет
пользователям базовый набор услуг. К основным функциям ядра ОС UNIX
принято относить следующие.
Инициализация системы - функция запуска и раскрутки. Ядро системы
обеспечивает средство раскрутки (bootstrap), которое обеспечивает загрузку
полного ядра в память компьютера и запускает ядро.
Управление процессами и нитями – функция создания, завершения и
отслеживания существующих процессов и нитей (процессов, выполняемых на
общей
виртуальной
памяти).
Поскольку
ОС
UNIX
является
мультипроцессорной операционной системой, ядро обеспечивает разделение
между запущенными процессами времени процессора (или процессоров в
мультипроцессорных системах) и других ресурсов компьютера для создания
внешнего ощущения того, что процессы реально выполняются в параллель.
Управление
памятью
функция
отображения
практически
неограниченной виртуальной памяти процессов в физическую оперативную
память компьютера, которая имеет ограниченные размеры. Соответствующий
компонент ядра обеспечивает разделяемое использование одних и тех же
областей оперативной памяти несколькими процессами с использованием
внешней памяти.
Управление файлами - функция, реализующая абстракцию файловой
системы, иерархии каталогов и файлов. Файловые системы ОС UNIX
поддерживают несколько типов файлов. Некоторые файлы могут содержать
данные в формате ASCII, другие будут соответствовать внешним устройствам.
В файловой системе хранятся объектные файлы, выполняемые файлы и т.д.
Файлы обычно хранятся на устройствах внешней памяти; доступ к ним
обеспечивается средствами ядра. В мире UNIX существует несколько типов
72
организации файловых систем. Современные варианты ОС UNIX
одновременно поддерживают большинство типов файловых систем.
Коммуникационные средства - функция, обеспечивающая возможности
обмена данными между процессами, выполняющимися внутри одного
компьютера (IPC - Inter-Process Communications), между процессами,
выполняющимися в разных узлах локальной или глобальной сети передачи
данных, а также между процессами и драйверами внешних устройств.
Программный интерфейс – функция, обеспечивающая доступ к
возможностям ядра со стороны пользовательских процессов на основе
механизма системных вызовов, оформленных в виде библиотеки функций.
Понятие файла является одним из наиболее важных для ОС UNIX. Все
файлы, с которыми могут манипулировать пользователи, располагаются в
файловой системе, представляющей собой дерево, промежуточные вершины
которого соответствуют каталогам, а листья - файлам и пустым каталогам.
Реально на каждом логическом диске (разделе физического дискового пакета)
располагается отдельная иерархия каталогов и файлов.
Каждый каталог и файл файловой системы имеет уникальное полное имя
(в ОС UNIX это имя принято называть full pathname – имя, задающее полный
путь, поскольку оно действительно задает полный путь от корня файловой
системы через цепочку каталогов к соответствующему каталогу или файлу; мы
будем использовать термин "полное имя", поскольку для pathname отсутствует
благозвучный русский аналог). Каталог, являющийся корнем файловой
системы (корневой каталог), в любой файловой системе имеет
предопределенное имя "/" (слэш).
Поскольку ОС UNIX с самого своего зарождения задумывалась как
многопользовательская операционная система, в ней всегда была актуальна
проблема авторизации доступа различных пользователей к файлам файловой
системы. Под авторизацией доступа мы понимаем действия системы, которые
допускают или не допускают доступ данного пользователя к данному файлу в
зависимости от прав доступа пользователя и ограничений доступа,
установленных для файла. Схема авторизации доступа, примененная в ОС
UNIX, настолько проста и удобна и одновременно настолько мощна, что стала
фактическим стандартом современных операционных систем (не
претендующих на качества систем с многоуровневой защитой).
При входе пользователя в систему программа login проверяет, что
пользователь зарегистрирован в системе и знает правильный пароль (если он
установлен), образует новый процесс и запускает в нем требуемый для
данного пользователя shell. Но перед этим login устанавливает для вновь
созданного процесса идентификаторы пользователя и группы, используя для
этого информацию, хранящуюся в файлах /etc/passwd и /etc/group. После того,
как с процессом связаны идентификаторы пользователя и группы, для этого
процесса начинают действовать ограничения для доступа к файлам. Процесс
может получить доступ к файлу или выполнить его (если файл содержит
выполняемую программу) только в том случае, если хранящиеся при файле
73
ограничения доступа позволяют это сделать. Связанные с процессом
идентификаторы передаются создаваемым им процессам, распространяя на
них те же ограничения. Однако в некоторых случаях процесс может изменить
свои права с помощью системных вызовов setuid и setgid, а иногда система
может изменить права доступа процесса автоматически.
Как и принято, в многопользовательской операционной системе, в UNIX
поддерживается единообразный механизм контроля доступа к файлам и
справочникам файловой системы. Любой процесс может получить доступ к
некоторому файлу в том и только в том случае, если права доступа, описанные
при файле, соответствуют возможностям данного процесса.
Защита файлов от несанкционированного доступа в ОС UNIX
основывается на трех фактах. Во-первых, с любым процессом, создающим
файл (или справочник), ассоциирован некоторый уникальный в системе
идентификатор пользователя (UID - User Identifier), который в дальнейшем
можно трактовать как идентификатор владельца вновь созданного файла. Вовторых, с каждый процессом, пытающимся получить некоторый доступ к
файлу, связана пара идентификаторов - текущие идентификаторы
пользователя и его группы. В-третьих, каждому файлу однозначно
соответствует его описатель - i-узел.
Обзор Системы Linux. Любая UNIX-подобная операционная система
состоит из ядра и некоторых системных программ. Также существуют
некоторые прикладные программы для выполнения какой-либо задачи.
Ядро является сердцем операционной системы. Оно размещает файлы на
диске, запускает программы и переключает процессор и другое оборудование
между ними для обеспечения мультизадачности, распределяет память и другие
ресурсы между процессами, обеспечивает обмен пакетами в сети и т.п. Ядро
само по себе выполняет только маленькую часть общей работы, но оно
предоставляет средства, обеспечивающие выполнение основных функций. Оно
также предотвращает возможность прямого доступа к аппаратным средствам,
предоставляя специальные средства для обращения к периферии. Таким
образом, ядро позволяет контролировать использование аппаратных средств
различными процессами и обеспечивать некоторую защиту пользователей
друг от друга.
Системные программы используют средства, предоставляемые ядром
для обеспечения выполнения различных функций операционной системы.
Системные и все остальные программы выполняются на поверхности ядра, в
так называемом пользовательском режиме. Существует некоторая разница
между системными и прикладными программами. Прикладные программы
предназначены для выполнения какой-либо определенной задачи, в то время
как системные программы используются для поддержания работы системы.
Текстовый процессор является прикладной программой, а программа telnet –
системной, хотя зачастую граница между ними довольно смутная.
Довольно часто операционная система содержит компиляторы и
соответствующие им библиотеки, хотя не обязательно все языки
74
программирования должны быть частью операционной системы.
Документация, а иногда даже игры, могут являться ее частью. Обычно состав
операционной системы определяется содержимым установочного диска или
ленты, хотя дело обстоит несколько сложнее, так как различные части
операционной системы разбросаны по разным FTP серверам во всем мире.
Как в системе UNIX, так и в Linux, пользовательский интерфейс не
встраивается в ядро системы. Вместо этого он представляется программами
пользовательского уровня. Это применяется как к текстовым, так и к
графическим оболочкам. Такой стандарт делает систему более гибкой, хотя и
имеет свои недостатки. Например, позволяет создавать новые интерфейсы для
программ. Первоначально используемой с системой Linux графической
оболочкой была система X Window System (сокращенно X). Она не реализует
пользовательский интерфейс, а только оконную систему, т. е. средства, с
помощью которых может быть реализован графический интерфейс. Три
наиболее популярных версии графических интерфейсов на основе X – это
Athena, Motif и Open Look.
Подключение к системе через сеть работает несколько иначе, чем
обычное подключение. Существуют отдельные физические последовательные
линии для каждого терминала, через которые и происходит подключение. Для
каждого пользователя, подключающегося к системе, существует отдельное
виртуальное сетевое соединение, и их может быть любое количество. Однако
не представляется возможным запустить отдельный процесс для каждого
возможного виртуального соединения. Существуют также и другие способы
подключения к системе посредством сети. Например, telnet и rlogin – основные
службы в TCP/IP сетях.
Одна из наиболее полезных функций, которая может быть реализована с
помощью сети, это разделение файлов через сетевую файловую систему.
Обычно используется система, называемая Network File System или NFS,
которая разработана корпорацией Sun. При работе с сетевой файловой
системой любые операции над файлами, производимыми на локальном
компьютере, передаются через сеть на удаленную машину. При работе сетевой
файловой системы программа считает, что все файлы на удаленном
компьютере находятся на компьютере, где она запущена. Таким образом,
разделение информации посредством такой системы не требует внесения
каких-либо изменений в программу.
Электронная почта является самым важным средством связи между
компьютерами. Электронные письма хранятся в одном файле в специальном
формате. Для чтения и отправления писем применяются специальные
программы. У каждого пользователя имеется отдельный почтовый ящик, файл,
где информация хранится в специальном формате, в котором хранится
приходящая почта. Если на компьютер приходит письмо, то программа
обработки почты находит файл почтового ящика соответствующего
пользователя и добавляет туда полученное письмо. Если же почтовый ящик
75
пользователя находится на другом компьютере, то письмо перенаправляется
на этот компьютер, где проходит его последующая обработка.
Почтовая система состоит из множества различных программ. Доставка
писем к локальным или удаленным почтовым ящикам производится одной
программой (например, sendmail или smail), в то время как для обычной
отправки или просмотра писем применяется большое количество различных
программ (например, Pine или elm).Файлы почтовых ящиков обычно хранятся
в каталоге /var/spool/mail.
Требования, предъявляемые к сетям. При организации и эксплуатации
сети важными требованиями при работе являются следующие:
производительность;
надежность и безопасность;
расширяемость и масштабируемость;
прозрачность;
поддержка разных видов трафика;
управляемость;
совместимость.
Производительность. Производительность – это характеристика сети,
позволяющая оценить, насколько быстро информация передающей рабочей
станции достигнет до приемной рабочей станции.
На производительность сети влияют следующие характеристики сети:
конфигурация;
скорость передачи данных;
метод доступа к каналу;
топология сети;
технология.
Если производительность сети перестает отвечать предъявляемым к ней
требованиям, то администратор сети может прибегнуть к различным приемам:
изменить конфигурацию сети таким образом, чтобы структура сети
более соответствовала структуре информационных потоков;
перейти к другой модели построения распределенных приложений,
которая позволила бы уменьшить сетевой трафик;
заменить мосты более скоростными коммутаторами.
Но самым радикальным решением в такой ситуации является переход на
более скоростную технологию. Если в сети используются традиционные
технологии Ethernet или Token Ring, то переход на Fast Ethernet, FDDI или
100VG-AnyLAN позволит сразу в 10 раз увеличить пропускную способность
каналов.
С ростом масштаба сетей возникла необходимость в повышении их
производительности. Одним из способов достижения этого стала их
микросегментация. Она позволяет уменьшить число пользователей на один
сегмент и снизить объем широковещательного трафика, а значит, повысить
производительность
сети.
Первоначально
для
микросегментации
использовались маршрутизаторы, которые, вообще говоря, не очень
76
приспособлены для этой цели. Решения на их основе были достаточно
дорогостоящими и отличались большой временной задержкой и невысокой
пропускной способностью. Более подходящими устройствами для
микросегментации сетей стали коммутаторы. Благодаря относительно низкой
стоимости, высокой производительности и простоте в использовании они
быстро завоевали популярность. Таким образом, сети стали строить на базе
коммутаторов и маршрутизаторов. Первые обеспечивают высокоскоростную
пересылку трафика между сегментами, входящими в одну подсеть, а вторые
передают данные между подсетями, ограничивали распространение
широковещательного трафика, решали задачи безопасности и т. д.
Виртуальные ЛВС (VLAN) обеспечивают возможность создания
логических групп пользователей в масштабе корпоративной сети.
Виртуальные сети позволяют организовать работу в сети более эффективно.
Надежность
и
безопасность.
Важнейшей
характеристикой
вычислительных сетей является надежность. Повышение надежности
основано на принципе предотвращения неисправностей путем снижения
интенсивности отказов и сбоев за счет применения электронных схем и
компонентов с высокой и сверхвысокой степенью интеграции, снижения
уровня помех, облегченных режимов работы схем, обеспечение тепловых
режимов их работы, а также за счет совершенствования методов сборки
аппаратуры.
Отказоустойчивость – это такое свойство вычислительной системы,
которое обеспечивает ей как логической машине возможность продолжения
действий, заданных программой, после возникновения неисправностей.
Введение отказоустойчивости требует избыточного аппаратного и
программного обеспечения. Направления, связанные с предотвращением
неисправностей и отказоустойчивостью, основные в проблеме надежности. На
параллельных вычислительных системах достигается как наиболее высокая
производительность, так и, во многих случаях, очень высокая надежность.
Имеющиеся ресурсы избыточности в параллельных системах могут гибко
использоваться как для повышения производительности, так и для повышения
надежности. Следует помнить, что понятие надежности включает не только
аппаратные средства, но и программное обеспечение. Главной целью
повышения надежности систем является целостность хранимых в них данных.
Безопасность - одна из основных задач, решаемых любой нормальной
компьютерной сетью. Проблему безопасности можно рассматривать с разных
сторон – злонамеренная порча данных, конфиденциальность информации,
несанкционированный доступ, хищения и т.п.
77
Рис. 1.30. Задачи обеспечения безопасности данных
Обеспечить защиту информации в условиях локальной сети всегда легче,
чем при наличии на фирме десятка автономно работающих компьютеров.
Практически в вашем распоряжении один инструмент - резервное
копирование (backup). Для простоты давайте называть этот процесс
резервированием. Суть его состоит в создании в безопасном месте полной
копии данных, обновляемой регулярно и как можно чаще. Для персонального
компьютера более или менее безопасным носителем служат дискеты.
Возможно использование стримера, но это уже дополнительные затраты на
аппаратуру. Легче всего обеспечить защиту данных от самых разных
неприятностей в случае сети с выделенным файловым сервером. На сервере
сосредоточены все наиболее важные файлы, а уберечь одну машину куда
проще, чем десять. Концентрированность данных облегчает и резервирование,
так как не требуется их собирать по всей сети.
Экранированные линии позволяют повысить безопасность и надежность
сети. Экранированные системы гораздо более устойчивы к внешним
радиочастотным полям.
Прозрачность - это такое состояние сети, когда пользователь, работая в
сети, не видит ее.
Коммуникационная сеть является прозрачной относительно проходящей
сквозь нее информации, если выходной поток битов, в точности повторяет
входной поток. Но сеть может быть непрозрачной во времени, если из-за
меняющихся размеров очередей блоков данных изменяется и время
прохождения различных блоков через узлы коммутации. Прозрачность сети по
скорости передачи данных указывает, что данные можно передавать с любой
нужной скоростью. Если в сети по одним и тем же маршрутам передаются
информационные и управляющие (синхронизирующие) сигналы, то говорят,
что сеть прозрачна по отношению к типам сигналов.
78
Если передаваемая информация может кодироваться любым способом,
то это означает, что сеть прозрачна для любых методов кодировок.
Прозрачная сеть является простым решением, в котором для
взаимодействия локальных сетей, расположенных на значительном расстоянии
друг от друга, используется принцип Plug-and-play (подключись и работай).
Прозрачное соединение. Служба прозрачных локальных сетей
обеспечивает сквозное (end-to-end) соединение, связывающее между собой
удаленные локальные сети. Привлекательность данного решения состоит в
том, что эта служба объединяет удаленные друг от друга на значительное
расстояние узлы как части локальной сети. Поэтому не нужно вкладывать
средства в изучение новых технологий и создание территориально
распределенных сетей (Wide-Area Network – WAN). Пользователям требуется
только поддерживать локальное соединение, а провайдер службы прозрачных
сетей обеспечит беспрепятственное взаимодействие узлов через сеть масштаба
города (Metropolitan-Area Network – MAN) или сеть WAN. Службы
Прозрачной локальной сети имеют много преимуществ. Например,
пользователь может быстро и безопасно передавать большие объемы данных
на значительные расстояния, не обременяя себя сложностями, связанными с
работой в сетях WAN.
Трафик в сети складывается случайным образом, однако в нем отражены
и некоторые закономерности. Как правило, некоторые пользователи,
работающие над общей задачей, (например, сотрудники одного отдела), чаще
всего обращаются с запросами либо друг к другу, либо к общему серверу, и
только иногда они испытывают необходимость доступа к ресурсам
компьютеров другого отдела. Желательно, чтобы структура сети
соответствовала структуре информационных потоков. В зависимости от
сетевого трафика компьютеры в сети могут быть разделены на группы
(сегменты сети). Компьютеры объединяются в группу, если большая часть
порождаемых ими сообщений, адресована компьютерам этой же группы.
Для разделения сети на сегменты используются мосты и коммутаторы.
Они экранируют локальный трафик внутри сегмента, не передавая за его
пределы никаких кадров, кроме тех, которые адресованы компьютерам,
находящимся в других сегментах. Таким образом, сеть распадается на
отдельные подсети. Это позволяет более рационально выбирать пропускную
способность имеющихся линий связи, учитывая интенсивность трафика
внутри каждой группы, а также активность обмена данными между группами.
Однако локализация трафика средствами мостов и коммутаторов имеет
существенные ограничения. С другой стороны, использование механизма
виртуальных сегментов, реализованного в коммутаторах локальных сетей,
приводит к полной локализации трафика; такие сегменты полностью
изолированы друг от друга, даже в отношении широковещательных кадров.
Поэтому в сетях, построенных только на мостах и коммутаторах, компьютеры,
принадлежащие разным виртуальным сегментам, не образуют единой сети.
Для того чтобы эффективно консолидировать различные виды трафика в сети
79
АТМ, требуется специальная предварительная подготовка (адаптация) данных,
имеющих различный характер: кадры – для цифровых данных, сигналы
импульсно-кодовой модуляции – для голоса, потоки битов – для видео.
Эффективная консолидация трафика требует также учета и использования
статистических вариаций интенсивности различных типов трафика.
ISO внесла большой вклад в стандартизацию сетей. Модель управления
сети является основным средством для понимания главных функций систем
управления сети. Эта модель состоит из 5 концептуальных областей:
управление эффективностью;
управление конфигурацией;
управление учетом использования ресурсов;
управление неисправностями;
управление защитой данных.
Цель управления эффективностью – измерение и обеспечение различных
аспектов эффективности сети для того, чтобы межсетевая эффективность
могла поддерживаться на приемлемом уровне. Примерами переменных
эффективности, которые могли бы быть обеспечены, являются пропускная
способность сети, время реакции пользователей и коэффициент использования
линии. Управление эффективностью включает несколько этапов:
сбор информации об эффективности по тем переменным, которые
представляют интерес для администраторов сети;
анализ информации для определения нормальных (базовая строка)
уровней;
определение соответствующих порогов эффективности для каждой
важной переменной таким образом, что превышение этих порогов указывает
на наличие проблемы в сети, достойной внимания.
Цель управления конфигурацией – контролирование информации о
сетевой и системной конфигурации для того, чтобы можно было отслеживать
и управлять воздействием на работу сети различных версий аппаратных и
программных элементов. Т.к. все аппаратные и программные элементы имеют
эксплуатационные отклонения, погрешности (или то и другое вместе), которые
могут влиять на работу сети, такая информация важна для поддержания
гладкой работы сети.
Каждое устройство сети располагает разнообразной информацией о
версиях, ассоциируемых с ним. Чтобы обеспечить легкий доступ, подсистемы
управления конфигурацией хранят эту информацию в базе данных. Когда
возникает какая-нибудь проблема, в этой базе данных может быть проведен
поиск ключей, которые могли бы помочь решить эту проблему.
Цель управления учетом использования ресурсов – измерение
параметров использования сети, чтобы можно было соответствующим образом
регулировать ее использование индивидуальными или групповыми
пользователями. Такое регулирование минимизирует число проблем в сети
(т.к. ресурсы сети могут быть поделены исходя из возможностей источника) и
максимизирует равнодоступность к сети для всех пользователей.
80
Цель управления неисправностями - выявить, зафиксировать, уведомить
пользователей и (в пределах возможного) автоматически устранить проблемы
в сети, с тем, чтобы эффективно поддерживать работу сети. Так как
неисправности могут привести к простоям или недопустимой деградации сети,
управление неисправностями, по всей вероятности, является наиболее широко
используемым элементом модели управления сети ISO.
Управление неисправностями включает в себя несколько шагов:
определение симптомов проблемы;
изолирование проблемы;
устранение проблемы;
проверка устранения неисправности на всех важных подсистемах;
регистрация обнаружения проблемы и ее решения.
Цель управления защитой данных – контроль доступа к сетевым
ресурсам в соответствии с местными руководящими принципами, чтобы
сделать невозможными саботаж сети и доступ к чувствительной информации
лицам, не имеющим соответствующего разрешения. Например, одна из
подсистем управления защитой данных может контролировать регистрацию
пользователей ресурса сети, отказывая в доступе тем, кто вводит коды
доступа, не соответствующие установленным. Подсистемы управления
защитой
данных
работают
путем
разделения
источников
на
санкционированные и несанкционированные области. Для некоторых
пользователей доступ к любому источнику сети является несоответствующим.
Подсистемы управления защитой данных выполняют следующие функции:
идентифицируют чувствительные ресурсы сети (включая системы,
файлы и другие объекты);
определяют отображения в виде карт между чувствительными
источниками сети и набором пользователей;
контролируют точки доступа к чувствительным ресурсам сети;
регистрируют несоответствующий доступ к чувствительным ресурсам
сети.
Концепция программной совместимости впервые в широких масштабах
была применена разработчиками системы IBM/360. Основная задача при
проектировании всего ряда моделей этой системы заключалась в создании
такой архитектуры, которая была бы одинаковой с точки зрения пользователя
для всех моделей системы независимо от цены и производительности каждой
из них. Огромные преимущества такого подхода, позволяющего сохранять
существующий задел программного обеспечения при переходе на новые (как
правило, более производительные) модели, были быстро оценены как
производителями компьютеров, так и пользователями, и начиная с этого
времени практически все фирмы-поставщики компьютерного оборудования
взяли на вооружение эти принципы, поставляя серии совместимых
компьютеров. Следует заметить, что со временем даже самая передовая
архитектура неизбежно устаревает и возникает потребность внесения
81
радикальных изменений в архитектуру и способы организации
вычислительных систем.
В настоящее время одним из наиболее важных факторов, определяющих
современные тенденции в развитии информационных технологий, является
ориентация компаний-поставщиков компьютерного оборудования на рынок
прикладных программных средств. Этот переход выдвинул ряд новых
требований. Прежде всего, такая вычислительная среда должна позволять
гибко менять количество и состав аппаратных средств и программного
обеспечения в соответствии с меняющимися требованиями решаемых задач.
Во-вторых, она должна обеспечивать возможность запуска одних и тех же
программных систем на различных аппаратных платформах, т.е. обеспечивать
мобильность программного обеспечения. В-третьих, эта среда должна
гарантировать возможность применения одних и тех же человеко-машинных
интерфейсов на всех компьютерах, входящих в неоднородную сеть. В
условиях жесткой конкуренции производителей аппаратных платформ и
программного обеспечения сформировалась концепция открытых систем,
представляющая собой совокупность стандартов на различные компоненты
вычислительной среды, предназначенных для обеспечения мобильности
программных
средств
в
рамках
неоднородной,
распределенной
вычислительной системы.
1.8. Сетевое оборудование
Сетевые адаптеры – это сетевое оборудование, обеспечивающее
функционирование сети на физическом и канальном уровнях.
Сетевой адаптер относится к периферийному устройству компьютера,
непосредственно взаимодействующему со средой передачи данных, которая
прямо или через другое коммуникационное оборудование связывает его с
другими компьютерами. Это устройство решает задачи надежного обмена
двоичными
данными,
представленными
соответствующими
электромагнитными сигналами, по внешним линиям связи. Как и любой
контроллер компьютера, сетевой адаптер работает под управлением драйвера
операционной системы, и распределение функций между сетевым адаптером и
драйвером может изменяться от реализации к реализации.
Компьютер, будь то сервер или рабочая станция, подключается к сети с
помощью внутренней платы – сетевого адаптера (хотя бывают и внешние
сетевые адаптеры, подключаемые к компьютеру через параллельный порт).
Сетевой адаптер вставляется в гнездо материнской платы. Карты сетевых
адаптеров устанавливаются на каждой рабочей станции и на файловом
сервере. Рабочая станция отправляет запрос к файловому серверу и получает
ответ через сетевой адаптер, когда файловый сервер готов. Сетевые адаптеры
преобразуют параллельные коды, используемые внутри компьютера и
представленные маломощными сигналами, в последовательный поток мощных
сигналов для передачи данных по внешней сети. Сетевые адаптеры должны
82
быть совместимы с кабельной системой сети, внутренней информационной
шиной ПК и сетевой операционной системой.
Для работы ПК в сети надо правильно установить и настроить сетевой
адаптер. Для адаптеров, отвечающих стандарту PnP, настройка производится
автоматически. В ином случае необходимо настроить линию запроса на
прерывание IRQ (Interrupt Request Line) и адрес ввода/вывода (Input/Output
address). Адрес ввода/вывода - это трехзначное шестнадцатеричное число,
которое идентифицирует коммуникационный канал между аппаратными
устройствами и центральным процессором. Чтобы сетевой адаптер
функционировал правильно, должны быть настроены линия IRQ и адрес
ввода/вывода. Запросы на прерывание IRQ и адреса ввода/вывода для
основных устройств приведены в таблице 1.5.
Обычно сетевая карта работает с конфликтами, если двум устройствам
назначен один и тот же ресурс (запроса на прерывание или адрес
ввода/вывода). Сетевые карты поддерживают различные типы сетевых
соединений. Физический интерфейс между самой сетевой картой и сетью
называют трансивером (transceiver) – это устройство, которое как получает,
так и посылает данные. Трансиверы на сетевых картах могут получать и
посылать цифровые и аналоговые сигналы. Тип интерфейса, который
использует сетевая карта, часто может быть физически определен на сетевой
карте. Перемычки, или джамперы (маленькие перемычки, соединяющие два
контакта), могут быть настроены для указания типа трансивера, который
должна использовать сетевая карта в соответствии со схемой сети. Например,
перемычка в одном положении может включить разъем RJ-45 для поддержки
сети типа витая пара, в другом – поддержку внешнего трансивера.
Таблица 1.5
Стандартное применение
Системный таймер
Запрос на
прерывание
IRQ0
Клавиатура
IRQ1
Вторичный контроллер IRQ или
видеокарта
Прерывание от асинхронного
последовательного порта СОМ2 и СОМ4
Прерывание от асинхронного
последовательного порта СОМ1 и СОМ3
Обычно свободен (может быть занят
параллельным портом LPT2)
Контроллер флоппи-диска
IRQ2
83
Диапазон
ввода/вывода
IRQ3
От 2F0 до 2FF
IRQ4
От 3F0 до 3FF
IRQ5
IRQ6
Окончание табл. 1.5
Прерывание от параллельного
принтерного порта LPT1
Аппаратный таймер
IRQ7
Обычно свободен
Обычно свободен (может быть занят
первичным контроллером SCSI)
Обычно свободен (может быть занят
вторичным контроллером SCSI)
Мышь PS/2
Прерывание от сопроцессора
Прерывание от первичного контроллера
жесткого диска
Обычно свободен (может быть занят
вторичным контроллером жесткого диска
IDE)
IRQ9
IRQ10
От 370 до 37F
IRQ11
IRQ11
IRQ12
IRQ13
IRQ14
IRQ12
IRQ13
IRQ14
IRQ15
IRQ15
IRQ8
Сетевые адаптеры производят семь основных операций при приеме или
передачи сообщения:
Гальваническая развязка с коаксиальным кабелем или витой парой.
Для этой цели используются импульсные трансформаторы. Иногда для
развязки используются оптроны.
Прием (передача) данных. Данные передаются из ОЗУ ПК в адаптер
или из адаптера в память ПК через программируемый канал ввода/вывода,
канал прямого доступа или разделяемую память.
Буферизация. Для согласования скоростей пересылки данных в
адаптер или из него со скоростью обмена по сети используются буфера. Во
время обработки в сетевом адаптере, данные хранятся в буфере. Буфер
позволяет адаптеру осуществлять доступ ко всему пакету информации.
Использование буферов необходимо для согласования между собой скоростей
обработки информации различными компонентами ЛВС.
Формирование пакета. Сетевой адаптер должен разделить данные на
блоки в режиме передачи (или соединить их в режиме приема) данных и
оформить в виде кадра определенного формата. Кадр включает несколько
служебных полей, среди которых имеется адрес компьютера назначения и
контрольная сумма кадра, по которой сетевой адаптер станции назначения
делает вывод о корректности доставленной по сети информации.
Доступ к каналу связи. Набор правил, обеспечивающих доступ к среде
передачи. Выявление конфликтных ситуаций и контроль состояния сети.
Идентификация своего адреса в принимаемом пакете. Физический
адрес адаптера может определяться установкой переключателей, храниться в
специальном регистре или прошиваться в ППЗУ.
84
Преобразование параллельного кода в последовательный код при
передаче данных, и из последовательного кода в параллельный при приеме. В
режиме передачи данные передаются по каналу связи в последовательном
коде.
Кодирование и декодирование данных. На этом этапе должны быть
сформированы электрические сигналы, используемые для представления
данных. Большинство сетевых адаптеров для этой цели используют
манчестерское
кодирование.
Этот
метод
не
требует
передачи
синхронизирующих сигналов для распознавания единиц и нулей по уровням
сигналов, а вместо этого для представления 1 и 0 используется перемена
полярности сигнала.
Передача или прием импульсов. В режиме передачи, закодированные
электрические импульсы данных передаются в кабель (при приеме импульсы
направляются на декодирование).
Сетевые адаптеры вместе с сетевым программным обеспечением
способны распознавать и обрабатывать ошибки, которые могут возникнуть изза электрических помех, коллизий или плохой работы оборудования.
Последние типы сетевых адаптеров поддерживают технологию Plug and
Play (вставляй и работай). Если сетевую карту установить в компьютер, то при
первой загрузке система определит тип адаптера и запросит для него
драйверы. Внешний вид адаптера показан на рис. 9.1.
Рис. 1.31. Беспроводный адаптер
Некоторые сетевые адаптеры имеют возможность использовать
оперативную память ПК в качестве буфера для хранения входящих и
исходящих пакетов данных. Базовый адрес (Base Memory Address)
представляет собой шестнадцатеричное число, которое указывает на адрес в
оперативной памяти, где находится этот буфер. Важно выбрать базовый адрес
без конфликтов с другими устройствами.
Сетевые адаптеры различаются по типу и разрядности используемой в
компьютере внутренней шины данных - ISA, EISA, PCI, MCA.
Сетевые адаптеры различаются также по типу принятой в сети сетевой
технологии - Ethernet, Token Ring, FDDI и т.п. Как правило, конкретная модель
сетевого адаптера работает по определенной сетевой технологии (например,
Ethernet). В связи с тем, что для каждой технологии сейчас имеется
возможность использования различных сред передачи данных (тот же Ethernet
поддерживает коаксиальный кабель, неэкранированную витую пару и
85
оптоволоконный кабель), сетевой адаптер может поддерживать как одну, так и
одновременно несколько сред. В случае, когда сетевой адаптер поддерживает
только одну среду передачи данных, а необходимо использовать другую,
применяются трансиверы и конверторы.
Различные типы сетевых адаптеров отличаются не только методами
доступа к среде и протоколами, но еще и следующими параметрами:
скорость передачи;
объем буфера для пакета;
тип шины;
быстродействие шины;
совместимость с различными микропроцессорами;
использование прямого доступа к памяти (DMA);
адресация портов ввода/вывода и запросов прерывания;
конструкция разъема.
Наиболее известны следующие типы адаптеров:
Адаптеры Ethernet представляют собой плату, которая вставляется в
свободный слот материнской (системной) платы компьютера. Чаще всего
адаптеры Ethernet имеют для связи с сетью два внешних разъема: для
коаксиального кабеля (разъем BNC) и для кабеля на витой паре. Для выбора
типа кабеля применяются перемычки или переключатели, которые
устанавливаются перед подключением адаптера к сети.
Адаптеры Fast Ethernet производятся изготовителями с учетом
определенного типа среды передачи. Сетевой кабель при этом подключается
непосредственно к адаптеру (без трансивера). Эти адаптеры позволяют
отказаться от внешних преобразователей среды и от микротрансиверов. При
установке этих адаптеров возможна реализация полнодуплексного режима
обмена информацией. Для повышения универсальности в оптических
адаптерах сохраняется возможность соединения по витой паре с разъемом RJ45.
Для спецификации 100BASE-FX соединение концентратора и адаптера
по оптоволокну осуществляется с использованием оптических соединителей
типа SC или ST. Выбор типа оптического соединителя (SC или ST) зависит от
того, новая или старая это инсталляция. Для этой спецификации выпускаются
сетевые адаптеры, совместимые с шиной PCI. Адаптеры способны
поддерживать как полудуплексный, так и полнодуплексный режим работы.
Для облегчения настройки и эксплуатации на переднюю панель адаптера
вынесено несколько индикаторов состояния. Кроме того, существуют модели
адаптеров, способные работать как по одномодовому, так и по многомодовому
оптоволоконному кабелю. Сетевые адаптеры для технологии Gigabit Ethernet
предназначены для установки в сервера и мощные рабочие станции. Для
повышения
эффективности
работы
они
способны
поддерживать
полнодуплексный режим обмена информацией.
Адаптеры FDRI могут использоваться на разнообразных рабочих
станциях и в устройствах межсетевого взаимодействия - мостах и
86
маршрутизаторах. Существуют адаптеры FDDI, предназначенные для работы
со всеми распространенными шинами: ISA, EISA, VESA Local Bus (VLB) и т.
д. В сети FDDI такие устройства, как рабочие станции или мосты и
подсоединяются к кольцу через адаптеры одного из двух типов: с двойным
(DAS) или одиночным (SAS) подключением. Адаптеры DAS осуществляют
физическое соединение устройств как с первичным, так и со вторичным
кольцом, что повышает отказоустойчивость сети. Такой адаптер имеет два
разъема (розетки) оптического интерфейса. Адаптеры SAS подключают
рабочие станции к концентратору FDDI через одиночную оптоволоконную
линию в звездообразной топологии. Эти адаптеры представляют собой плату,
на которой наряду с электронными компонентами установлен оптический
трансивер с разъемом (розеткой) оптического интерфейса.
Основная функция повторителя (repeater), как это следует из его
названия, – повторение сигналов, поступающих на его порт. Повторитель
улучшает электрические характеристики сигналов и их синхронность, и за
счет этого появляется возможность увеличивать общую длину кабеля между
самыми удаленными в сети узлами. Многопортовый повторитель часто
называют концентратором (concentrator) или хабом (hub), что отражает тот
факт, что данное устройство реализует не только функцию повторения
сигналов, но и концентрирует в одном центральном устройстве функции
объединения компьютеров в сеть. Практически во всех современных сетевых
стандартах концентратор является необходимым элементом сети,
соединяющим отдельные компьютеры в сеть.
Концентратор или Hub представляет собой сетевое устройство,
действующее на физическом уровне сетевой модели OSI.
Отрезки кабеля, соединяющие два компьютера или какие либо два
других сетевых устройства, называются физическими сегментам, поэтому
концентраторы и повторители, которые используются для добавления новых
физических сегментов, являются средством физической структуризации сети.
Концентратор – устройство, у которого суммарная пропускная
способность входных каналов выше пропускной способности выходного
канала. Так как потоки входных данных в концентраторе больше выходного
потока, то главной его задачей является концентрация данных. При этом
возможны ситуации, когда число блоков данных, поступающее на входы
концентратора, превышает его возможности. Тогда концентратор ликвидирует
часть этих блоков.
Ядром концентратора является процессор. Для объединения входной
информации чаще всего используется множественный доступ с разделением
времени. Функции, выполняемые концентратором, близки к задачам,
возложенным на мультиплексор. Наращиваемые (модульные) концентраторы
позволяют выбирать их компоненты, не думая о совместимости с уже
используемыми. Современные концентраторы имеют порты для подключения
к разнообразным локальным сетям. Концентратор является активным
оборудованием. Концентратор служит центром (шиной) звездообразной
87
конфигурации сети и обеспечивает подключение сетевых устройств. В
концентраторе для каждого узла (ПК, принтеры, серверы доступа, телефоны и
пр.) должен быть предусмотрен отдельный порт.
Наращиваемые концентраторы представляют собой отдельные модули,
которые объединяются при помощи быстродействующей системы связи. Такие
концентраторы предоставляют удобный способ поэтапного расширения
возможностей и мощности ЛВС. Концентратор осуществляет электрическую
развязку отрезков кабеля до каждого узла, поэтому короткое замыкание на
одном из отрезков не выведет из строя всю ЛВС.
Рис. 1.32. Логический сегмент, построенный с использованием концентраторов
Концентраторы образуют из отдельных физических отрезков кабеля
общую среду передачи данных - логический сегмент. Логический сегмент
также называют доменом коллизий, поскольку при попытке одновременной
передачи данных любых двух компьютеров этого сегмента, хотя бы и
принадлежащих разным физическим сегментам, возникает блокировка
передающей среды. Следует особо подчеркнуть, что, какую бы сложную
структуру ни образовывали концентраторы, например путем иерархического
соединения, все компьютеры, подключенные к ним, образуют единый
логический сегмент, в котором любая пара взаимодействующих компьютеров
полностью блокирует возможность обмена данными для других компьютеров.
Концентраторы поддерживают технологию plug and play и не требуют какойлибо установки параметров. Необходимо просто спланировать свою сеть и
вставить разъемы в порты хаба и компьютеров.
При выборе места для установки концентратора примите во внимание
следующие аспекты:
местоположение;
расстояния;
питание.
Выбор места установки концентратора является наиболее важным
этапом планирования небольшой сети. Хаб разумно расположить вблизи
геометрического центра сети (на одинаковом расстоянии от всех
компьютеров). Такое расположение позволит минимизировать расход кабеля.
Длина кабеля от концентратора до любого из подключаемых к сети
компьютеров или периферийных устройств не должна превышать 100 м.
88
Концентратор можно поставить на стол или закрепить его на стене с
помощью входящих в комплект хаба скоб. Установка хаба на стене позволяет
упростить подключение кабелей, если они уже проложены в офисе.
При
планировании
сети
есть
возможность
наращивания
(каскадирования) хабов. Концентраторы имеют много преимуществ. Вопервых, в сети используется топология звезда, при которой соединения с
компьютерами образуют лучи, а хаб является центром звезды. Такая
топология упрощает установку и управление сети. Любые перемещения
компьютеров или добавление в сеть новых узлов при такой топологии весьма
несложно выполнить. Кроме того, эта топология значительно надежнее,
поскольку при любом повреждении кабельной системы сеть сохраняет
работоспособность (перестает работать лишь поврежденный луч).
Светодиодные индикаторы хаба позволяют контролировать состояние сети и
легко обнаруживать неполадки.
Различные производители концентраторов реализуют в своих
устройствах различные наборы вспомогательных функций, но наиболее часто
встречаются следующие:
объединение сегментов с различными физическими средами
(например, коаксиал, витая пара и оптоволокно) в единый логический сегмент;
автосегментация портов – автоматическое отключение порта при его
некорректном поведении (повреждение кабеля, интенсивная генерация
пакетов ошибочной длины и т. п.);
поддержка между концентраторами резервных связей, которые
используются при отказе основных;
защита передаваемых по сети данных от несанкционированного
доступа (например, путем искажения поля данных в кадрах, повторяемых на
портах, не содержащих компьютера с адресом назначения);
поддержка средств управления сетями – протокола SNMP, баз
управляющей информации MIB.
Мост (bridge) – ретрансляционная система, соединяющая каналы
передачи данных.
89
Рис. 1.33. Структура моста
В соответствии с базовой эталонной моделью взаимодействия открытых
систем мост описывается протоколами физического и канального уровней, над
которыми располагаются канальные процессы. Мост опирается на пару
связываемых им физических средств соединения, которые в этой модели
представляют физические каналы. Мост преобразует физический (1A, 1B) и
канальный (2A, 2B) уровни различных типов (рис. 1.33). Что касается
канального процесса, то он объединяет разнотипные каналы передачи данных
в один общий.
Мост (bridge), а также его быстродействующий аналог – коммутатор
(switching hub), делят общую среду передачи данных на логические сегменты.
Логический сегмент образуется путем объединения нескольких физических
сегментов (отрезков кабеля) с помощью одного или нескольких
концентраторов. Каждый логический сегмент подключается к отдельному
порту моста/коммутатора. При поступлении кадра на какой-либо из портов
мост/коммутатор повторяет этот кадр, но не на всех портах, как это делает
концентратор, а только на том порту, к которому подключен сегмент,
содержащий компьютер-адресат.
Мосты могут соединять сегменты, использующие разные типы
носителей, например 10BaseT (витая пара) и 10Base2 (тонкий коаксиальный
кабель). Они могут соединять сети с разными методами доступа к каналу,
например сети Ethernet (метод доступа CSMA/CD) и Token Ring (метод
доступа TPMA).
Разница между мостом и коммутатором состоит в том, что мост в
каждый момент времени может осуществлять передачу кадров только между
одной парой портов, а коммутатор одновременно поддерживает потоки
данных между всеми своими портами. Другими словами, мост передает кадры
последовательно, а коммутатор параллельно. Мосты используются только для
связи локальных сетей с глобальными, то есть как средства удаленного
90
доступа, поскольку в этом случае необходимость в параллельной передаче
между несколькими парами портов просто не возникает.
Рис. 1.34. Соединение двух сетей при помощи двух каналов
Когда появились первые устройства, позволяющие разъединять сеть на
несколько доменов коллизий (по сути фрагменты ЛВС, построенные на hubах), они были двух портовыми и получили название мостов (bridge-ей). По
мере развития данного типа оборудования, они стали многопортовыми и
получили название коммутаторов (switch-ей). Некоторое время оба понятия
существовали одновременно, а позднее вместо термина «мост» стали
применять «коммутатор». Далее в этой теме будет использоваться термин
«коммутатор» для обозначения этих обеих разновидностей устройств,
поскольку все сказанное ниже в равной степени относится и к мостам, и к
коммутаторам. Следует отметить, что в последнее время локальные мосты
полностью вытеснены коммутаторами. Нередки случаи, когда необходимо
соединить локальные сети, в которых различаются лишь протоколы
физического и канального уровней. Протоколы остальных уровней в этих
сетях приняты одинаковыми. Такие сети могут быть соединены мостом. Часто
мосты наделяются дополнительными функциями. Такие мосты обладают
определенным интеллектом (интеллектом в сетях называют действия,
выполняемые устройствами) и фильтруют сквозь себя блоки данных,
адресованные абонентским системам, расположенным в той же сети. Для этого
в памяти каждого моста имеются адреса систем, включенных в каждую из
сетей. Блоки, проходящие через интеллектуальный мост, дважды проверяются,
на входе и выходе. Это позволяет предотвращать появление ошибок внутри
моста.
Мосты не имеют механизмов управления потоками блоков данных.
Поэтому может оказаться, что входной поток блоков окажется большим, чем
выходной. В этом случае мост не справится с обработкой входного потока, и
его буферы могут переполняться. Чтобы этого не произошло, избыточные
блоки выбрасываются. Специфические функции выполняет мост в радиосети.
Здесь он обеспечивает взаимодействие двух радиоканалов, работающих на
разных частотах. Его именуют ретранслятором.
91
Мосты (bridges) оперируют данными на высоком уровне и имеют
совершенно определенное назначение. Во-первых, они предназначены для
соединения сетевых сегментов, имеющих различные физические среды,
например для соединения сегмента с оптоволоконным кабелем и сегмента с
коаксиальным кабелем. Мосты также могут быть использованы для связи
сегментов, имеющих различные протоколы низкого уровня (физического и
канального).
Коммутатор (switch) – устройство, осуществляющее выбор одного из
возможных вариантов направления передачи данных.
В коммуникационной сети коммутатор является ретрансляционной
системой (система, предназначенная для передачи данных или преобразования
протоколов), обладающей свойством прозрачности (т.е. коммутация
осуществляется здесь без какой-либо обработки данных). Коммутатор не
имеет буферов и не может накапливать данные. Поэтому при использовании
коммутатора скорости передачи сигналов в соединяемых каналах передачи
данных должны быть одинаковыми. Канальные процессы, реализуемые
коммутатором, выполняются специальными интегральными схемами. В
отличие от других видов ретрансляционных систем, здесь, как правило, не
используется
программное
обеспечение.
Вначале
коммутаторы
использовались лишь в территориальных сетях. Затем они появились и в
локальных сетях, например, частные учрежденческие коммутаторы. Позже
появились коммутируемые локальные сети. Их ядром стали коммутаторы
локальных сетей.
Коммутатор (Switch) может соединять серверы в кластер и служить
основой для объединения нескольких рабочих групп. Он направляет пакеты
данных между узлами ЛВС. Каждый коммутируемый сегмент получает доступ
к каналу передачи данных без конкуренции и видит только тот трафик,
который направляется в его сегмент. Коммутатор должен предоставлять
каждому порту возможность соединения с максимальной скоростью без
конкуренции со стороны других портов (в отличие от совместно
используемого концентратора). Обычно в коммутаторах имеются один или два
высокоскоростных порта, а также хорошие инструментальные средства
управления. Коммутатором можно заменить маршрутизатор, дополнить им
наращиваемый маршрутизатор
Рис. 1.35. Беспроводный маршрутизатор
92
или использовать коммутатор в качестве основы для соединения
нескольких концентраторов. Коммутатор может служить отличным
устройством для направления трафика между концентраторами ЛВС рабочей
группы и загруженными файл-серверами.
Коммутатор локальной сети (local-area network switch) – устройство,
обеспечивающее взаимодействие сегментов одной либо группы локальных
сетей. Коммутатор локальной сети, как и обычный коммутатор, обеспечивает
взаимодействие подключенных к нему локальных сетей. Но в дополнение к
этому он осуществляет преобразование интерфейсов, если соединяются
различные типы сегментов локальной сети. Чаще всего это сети Ethernet,
кольцевые сети IBM, сети с оптоволоконным распределенным интерфейсом
данных. В перечень функций, выполняемых коммутатором локальной сети,
входят:
обеспечение сквозной коммутации;
наличие средств маршрутизации;
поддержка простого протокола управления сетью;
имитация моста либо маршрутизатора;
организация виртуальных сетей;
скоростная ретрансляция блоков данных.
Маршрутизатор (router) – ретрансляционная система, соединяющая две
коммуникационные сети либо их части. Каждый маршрутизатор реализует
протоколы физического, канального и сетевого уровней. Специальные сетевые
процессы соединяют части коммутатора в единое целое. Физический,
канальный и сетевой протоколы в разных сетях различны. Поэтому
соединение
пар
коммуникационных
сетей
осуществляется
через
маршрутизаторы, которые осуществляют необходимое преобразование
указанных протоколов. Сетевые процессы выполняют взаимодействие
соединяемых сетей. Маршрутизатор работает с несколькими каналами,
направляя в какой-нибудь из них очередной блок данных.
Маршрутизаторы обмениваются информацией об изменениях структуры
сетей, трафике и их состоянии. Благодаря этому, выбирается оптимальный
маршрут следования блока данных в разных сетях от абонентской системыотправителя к системе-получателю. Маршрутизаторы обеспечивают также
соединение административно независимых коммуникационных сетей.
Архитектура маршрутизатора также используется при создании узла
коммутации пакетов. Различие между маршрутизаторами и мостами.
Маршрутизаторы превосходят мосты своей способностью фильтровать и
направлять пакеты данных на сети. Так как маршрутизаторы работают на
сетевом уровне, они могут соединять сети, использующие разную сетевую
архитектуру, методы доступа к каналам связи и протоколы.
Маршрутизаторы не обладают такой способностью к анализу сообщений
как мосты, но зато могут принимать решение о выборе оптимального пути для
данных между двумя сетевыми сегментами.
93
Мосты принимают решение по поводу адресации каждого из
поступивших пакетов данных, переправлять его через мост или нет в
зависимости от адреса назначения. Маршрутизаторы же выбирают из таблицы
маршрутов наилучший для данного пакета.
В поле зрения маршрутизаторов находятся только пакеты, адресованные
к ним предыдущими маршрутизаторами, в то время как мосты должны
обрабатывать все пакеты сообщений в сегменте сети, к которому они
подключены. Тип топологии или протокола уровня доступа к сети не имеет
значения для маршрутизаторов, так как они работают на уровень выше, чем
мосты (сетевой уровень модели OSI). Маршрутизаторы часто используются
для связи между сегментами с одинаковыми протоколами высокого уровня.
Наиболее распространенным транспортным протоколом, который используют
маршрутизаторы, является IPX фирмы Novell или TCP фирмы Microsoft.
Необходимо запомнить, что для работы маршрутизаторов требуется
один и тот же протокол во всех сегментах, с которыми он связан. При
связывании сетей с различными протоколами лучше использовать мосты. Для
управления загруженностью трафика сегмента сети также можно использовать
мосты.
Шлюз (gateway) – ретрансляционная система, обеспечивающая
взаимодействие информационных сетей. Шлюз является наиболее сложной
ретрансляционной системой, обеспечивающей взаимодействие сетей с
различными наборами протоколов всех семи уровней. В свою очередь, наборы
протоколов могут опираться на различные типы физических средств
соединения. В тех случаях, когда соединяются информационные сети, то в них
часть уровней может иметь одни и те же протоколы. Тогда сети соединяются
не при помощи шлюза, а на основе более простых ретрансляционных систем,
именуемых маршрутизаторами и мостами.
Шлюзы оперируют на верхних уровнях модели OSI (сеансовом,
представительском и прикладном) и представляют наиболее развитый метод
подсоединения сетевых сегментов и компьютерных сетей. Необходимость в
сетевых шлюзах возникает при объединении двух систем, имеющих
различную архитектуру. Например, шлюз приходится использовать для
соединения сети с протоколом TCP/IP и большой ЭВМ со стандартом SNA.
Эти две архитектуры не имеют ничего общего, и потому требуется полностью
переводить весь поток данных, проходящих между двумя системами.
В качестве шлюза обычно используется выделенный компьютер, на
котором запущено программное обеспечение шлюза и производятся
преобразования, позволяющие взаимодействовать нескольким системам в
сети. Другой функцией шлюзов является преобразование протоколов. При
получении сообщения IPX/SPX для клиента TCP/IP шлюз преобразует
сообщения в протокол TCP/IP. Шлюзы сложны в установке и настройке. Они
работают медленнее, чем маршрутизаторы.
94
ГЛАВА 2. БЕСПРОВОДНЫЕ КОМПЬЮТЕРНЫЕ СЕТИ.
ТЕХНОЛОГИЯ WI-FI
История беспроводных технологий передачи информации началась в
конце XIX века с передачей первого радиосигнала и появлением в 20-х годах
ХХ века первых радиоприемников с амплитудной модуляцией. В 1930-е годы
появилось радио с частотной модуляцией и телевидение. В 1970-е годы были
созданы первые беспроводные телефонные системы. Сначала это были
аналоговые сети, в начале 1980-х появился стандарт GSM, ознаменовавший
начало перехода на цифровые стандарты как обеспечивающие лучшее
распределение спектра, лучшее качество сигнала и большую безопасность. С
90-x годов ХХ века происходит укрепление позиций беспроводных сетей.
Беспроводные технологии прочно входят в нашу жизнь. Развиваясь с
огромной скоростью, они стимулируют создание новых устройств и услуг.
Обилие новых беспроводных технологий, таких как CDMA (Code
Division Multiple Access - технология с кодовым разделением каналов), GSM
(Global System for Mobile Communications - глобальная система для мобильных
коммуникаций), TDMA (Time Division Multiple Access - множественный
доступ с разделением во времени), 802.11, WAP (Wireless Application Protocol протокол беспроводных технологий), 3G (третье поколение), GPRS (General
Packet Radio Service - услуга пакетной передачи данных), Bluetooth ("голубой
зуб", по имени Харальда Голубого Зуба - предводителя викингов, жившего в Х
веке), EDGE (Enhanced Data Rates for GSM Evolution - увеличенная скорость
передачи данных для GSM), i-mode, говорит о том, что в этой области грядет
революция.
Весьма перспективно и развитие беспроводных локальных сетей
(WLAN), Bluetooth (сети средних и коротких расстояний). Беспроводные сети
развертываются в аэропортах, университетах, отелях, ресторанах, на
предприятиях. Точкой отсчета в области разработки стандартов беспроводных
сетей является образование всемирной организацией IEEE (Институт
инженеров по электричеству и электронике) комитета 802.11 в 1990 году.
Значительный импульс развитию беспроводных технологий дала Всемирная
Паутина и идея работы в Сети при помощи беспроводных устройств. В конце
90-х годов пользователям была предложена WAP-услуга, сначала не
вызвавшая большого интереса. Это были основные информационные услуги новости, погода, всевозможные расписания и т. п. Также поначалу не
пользовались спросом и Bluetooth, и WLAN - в основном из-за высокой
стоимости этих средств связи. Однако по мере снижения цен рос и интерес
населения. К середине первого десятилетия XXI века счет пользователей
беспроводного Internet-сервиса пошел на десятки миллионов. С появлением
беспроводной Internet-связи на первый план вышли вопросы обеспечения
безопасности. Основные угрозы при использовании беспроводных сетей - это
перехват сообщений спецслужб, коммерческих предприятий и частных лиц,
перехват номеров кредитных карточек, кража оплаченного времени
95
соединения, вмешательство в работу коммуникационных центров. Эти
проблемы решаются по мере совершенствования стандартов связи.
Существенной для развития беспроводных технологий является и
возможность их применения домашними пользователями. Чем больше
устройств в домашней сети, тем сильнее загромождают дом соединяющие их
провода. А это уже повод для перехода на беспроводные технологии.
Повышение степени комфортности современного дома, объединение в одно
целое всех его структур и объектов (компьютера, телевизора, цифровой
фотокамеры, домашнего развлекательного центра, системы охраны,
климатической системы, бытовой техники и т. д.) - основа идеи создания
интеллектуального цифрового дома, которая также реализуется с помощью
беспроводных устройств.
Хотя существует множество индивидуальных пользователей, наиболее
быстрорастущим сегментом сообщества потребителей беспроводных
технологий является корпоративный. Беспроводная передача данных
представляет собой важное стратегическое средство; она обеспечивает рост
производительности (сотрудники получают постоянный и своевременный
доступ к корпоративной информации, быстрее узнают новости), повышает
качество обслуживания клиентов (можно мгновенно принимать жалобы и
пожелания и реагировать на них) и создает конкурентные преимущества
(повышение скорости обмена информацией и, следовательно, скорости
принятия решений). В будущем нас ждет беспроводной мир.
2.1. Технология Wi-Fi
WI-FI – это современная беспроводная технология соединения
компьютеров в локальную сеть и подключения их к Internet. Именно благодаря
этой технологии Internet становится мобильным и дает пользователю свободу
перемещения не то что в пределах комнаты, но и по всему миру. Представьте
себе такую картину: вы пользуетесь своим компьютером так же, как сейчас мобильным телефоном; вам не нужны провода, вы можете взять свой ноутбук
в любую точку Москвы и войти в Internet практически отовсюду. Это –
ближайшее будущее. Под аббревиатурой "Wi-Fi" (от английского
словосочетания "Wireless Fidelity", которое можно дословно перевести как
"высокая точность беспроводной передачи данных") в настоящее время
развивается целое семейство стандартов передачи цифровых потоков данных
по радиоканалам.
С увеличением числа мобильных пользователей возникает острая
необходимость в оперативном создании коммуникаций между ними, в обмене
данными, в быстром получении информации. Поэтому естественным образом
происходит интенсивное развитие технологий беспроводных коммуникаций.
Особенно это актуально в отношении беспроводных сетей, или так
называемых WLAN-сетей (Wireless Local Area Network). Сети Wireless LAN это беспроводные сети (вместо обычных проводов в них используются
96
радиоволны). Установка таких сетей рекомендуется там, где развертывание
кабельной системы невозможно или экономически нецелесообразно.
Беспроводные сети особенно эффективны на предприятиях, где
сотрудники активно перемещаются по территории во время рабочего дня с
целью обслуживания клиентов или сбора информации (крупные склады,
агентства, офисы продаж, учреждения здравоохранения и др.).
Благодаря функции роуминга между точками доступа пользователи
могут перемещаться по территории покрытия сети Wi-Fi без разрыва
соединения.
WLAN-сети имеют ряд преимуществ перед обычными кабельными
сетями:
WLAN-сеть можно очень быстро развернуть, что очень удобно при
проведении презентаций или в условиях работы вне офиса;
пользователи мобильных устройств при подключении к локальным
беспроводным сетям могут легко перемещаться в рамках действующих зон
сети;
скорость современных сетей довольно высока (до 108 Мб/с), что
позволяет использовать их для решения очень широкого спектра задач;
WLAN-сеть может оказаться единственным выходом, если невозможна
прокладка кабеля для обычной сети.
Вместе с тем необходимо помнить об ограничениях беспроводных сетей.
Это, как правило, все-таки меньшая скорость, подверженность влиянию помех
и более сложная схема обеспечения безопасности передаваемой информации.
Сегмент Wi-Fi сети может использоваться как самостоятельная сеть, либо в
составе более сложной сети, содержащей как беспроводные, так и обычные
проводные сегменты. Wi-Fi сеть может использоваться:
для беспроводного подключения пользователей к сети;
для объединения пространственно разнесенных подсетей в одну
общую сеть там, где кабельное соединение подсетей невозможно или
нежелательно;
для подключения к сетям провайдера Internet-услуги вместо
использования выделенной проводной линии или обычного модемного
соединения.
Основные элементы сети. Для построения беспроводной сети
используются Wi-Fi адаптеры и точки доступа. Адаптер (рис. 2.1.)
представляет собой устройство, которое подключается через слот расширения
PCI, PCMCI, CompactFlash. Существуют также адаптеры с подключением
через порт USB 2.0. Wi-Fi адаптер выполняет ту же функцию, что и сетевая
карта в проводной сети. Он служит для подключения компьютера
пользователя к беспроводной сети. Благодаря платформе Centrino все
современные ноутбуки имеют встроенные адаптеры Wi-Fi, совместимые со
многими современными стандартами. Wi-Fi адаптерами, как правило,
снабжены и КПК (карманные персональные компьютеры), что также
97
позволяет подключать их к беспроводным сетям. Для доступа к беспроводной
сети адаптер может устанавливать связь непосредственно с другими
адаптерами. Такая сеть называется беспроводной одноранговой сетью или Ad
Hoc ("к случаю"). Адаптер также может устанавливать связь через
специальное устройство - точку доступа. Такой режим называется
инфраструктурой.
Для выбора способа подключения адаптер должен быть настроен на
использование либо Ad Hoc, либо инфраструктурного режима.
Точка доступа (рис. 2.1.) представляет собой автономный модуль со
встроенным микрокомпьютером и приемно-передающим устройством.
Рис. 2.1. Адаптеры
Через точку доступа осуществляется взаимодействие и обмен
информацией между беспроводными адаптерами, а также связь с проводным
сегментом сети. Таким образом, точка доступа играет роль коммутатора.
Рис. 2.2. Точка доступа
Точка доступа имеет сетевой интерфейс (uplink port), при помощи
которого она может быть подключена к обычной проводной сети. Через этот
же интерфейс может осуществляться и настройка точки. Точка доступа может
использоваться как для подключения к ней клиентов (базовый режим точки
доступа), так и для взаимодействия с другими точками доступа с целью
построения распределенной сети (Wireless Distributed System - WDS). Это
режимы беспроводного моста "точка-точка" и "точка - много точек",
беспроводный клиент и повторитель.
98
Доступ к сети обеспечивается путем передачи широковещательных
сигналов через эфир. Принимающая станция может получать сигналы в
диапазоне работы нескольких передающих станций. Станция-приемник
использует идентификатор зоны обслуживания (Service Set IDentifier - SSID)
для фильтрации получаемых сигналов и выделения того, который ей нужен.
Зоной обслуживания (Service Set - SS) называются логически
сгруппированные устройства, обеспечивающие подключение к беспроводной
сети. Базовая зона обслуживания (Basic Service Set - BSS) - это группа станций,
которые связываются друг с другом по беспроводной связи. Технология BSS
предполагает наличие особой станции, которая называется точкой доступа
(access point). Для более полного понимания работы беспроводных устройств
обратимся к следующему разделу.
2.2. Сигналы для передачи информации
Если рассматривать сигнал как функцию времени, то он может быть
либо аналоговым, либо цифровым. Аналоговым называется сигнал,
интенсивность которого во времени изменяется постепенно. Другими словами,
в сигнале не бывает пауз или разрывов. Цифровым называется сигнал,
интенсивность которого в течение некоторого периода поддерживается на
постоянном уровне, а затем также изменяется на постоянную величину (это
определение идеализировано). На рис. 2.3 приведены примеры сигналов обоих
типов. Аналоговый сигнал может представлять речь, а цифровой – набор
двоичных единиц и нулей.
Простейшим типом сигнала является периодический сигнал, в котором
некоторая структура периодически повторяется во времени. На рис.2.4
приведен пример периодического аналогового сигнала (синусоида) и
периодического цифрового сигнала (прямоугольный сигнал, или меандр).
Математическое определение: сигнал s(t) является периодическим тогда и
только тогда, когда
s(t T ) s(t ), при, t ,
где постоянная T является периодом сигнала (T- наименьшая величина,
удовлетворяющая этому уравнению). Фундаментальным аналоговым сигналом
является синусоида. В общем случае такой сигнал можно определить тремя
параметрами: максимальной амплитудой А, частотой f фазой .
Максимальной амплитудой называется максимальное значение или
интенсивность сигнала во времени; измеряется максимальная амплитуда, как
правило, в вольтах. Частотой называется темп повторения сигналов (в
периодах за секунду, или герцах). Эквивалентным параметром является
период сигнала Т, представляющий собой время, за которое происходит
повторение сигнала; следовательно, T 1 / f . Фаза является мерой
относительного сдвига по времени в пределах отдельного периода сигнала
(данный термин будет проиллюстрирован ниже).
99
Рис. 2.3. Аналоговый и цифровой сигналы
В общем случае синусоидальный сигнал можно представить в
следующем виде:
s(t ) A sin( 2ft )
Существует соотношение между двумя синусоидальными сигналами,
один из которых изменяется во времени, а другой - в пространстве. Определим
длину волны сигнала как расстояние, занимаемое одним периодом или,
иными словами, как расстояние между двумя точками равных фаз двух
последовательных циклов. Предположим, что сигнал распространяется со
скоростью v. Тогда длина волны связана с периодом следующим
соотношением: vT , что равносильно f v . Особое значение для нашего
изложения имеет случай v c , где c – скорость света в вакууме,
приблизительно равная 3 x10 8 m / c .
100
Рис. 2.4. Периодические сигналы
Применив анализ Фурье, т.е. сложив вместе достаточное количество
синусоидальных сигналов с соответствующими амплитудами, частотами и
фазами, можно получить электромагнитный сигнал любой формы.
Аналогично, любой электромагнитный сигнал рассматривается как
совокупность периодических аналоговых (синусоидальных) сигналов с
разными амплитудами, частотами и фазами. Спектром сигнала называется
область частот, составляющих данный сигнал. Цифровой сигнал можно
выразить следующим образом:
s(t ) A * (4 / ) *
sin( 2kft)
k
k 1, 3, 5,..
Этот сигнал содержит бесконечное число частотных составляющих и,
следовательно, имеет бесконечную ширину полосы. Таким образом, мы можем
сделать следующие выводы. В общем случае любой цифровой сигнал имеет
бесконечную ширину полосы. Если мы попытаемся передать этот сигнал через
какую-то среду, передающая система наложит ограничения на ширину
полосы, которую можно передать. Более того, для каждой конкретной среды
справедливо следующее: чем больше передаваемая полоса, тем больше
стоимость передачи. Поэтому, с одной стороны, по экономическим и
практическим
соображениям
следует
аппроксимировать
цифровую
информацию сигналом с ограниченной шириной полосы. С другой стороны,
при ограничении ширины полосы возникают искажения, затрудняющие
интерпретацию принимаемого сигнала. Чем больше ограничена полоса, тем
101
сильнее искажение сигнала и тем больше потенциальная возможность
возникновения ошибок при приеме.
2.3. Передача данных
Определим данные как объекты, передающие смысл, или информацию.
Сигналы – это электромагнитное представление данных. Передача - процесс
перемещения данных путем распространения сигналов по передающей среде и
их обработки.
Аналоговые и цифровые данные. Понятия "аналоговые данные" и
"цифровые данные" достаточно просты. Аналоговые данные принимают
непрерывные значения из некоторого диапазона. Например, звуковые сигналы
и видеосигналы представляют собой непрерывно изменяющиеся величины.
Цифровые данные, напротив, принимают только дискретные значения;
примеры - текст и целые числа.
Аналоговые и цифровые сигналы. В системе связи информация
распространяется от одной точки к другой посредством электрических
сигналов. Аналоговый сигнал представляет собой непрерывно изменяющуюся
электромагнитную волну, которая может распространяться через множество
сред, в зависимости от частоты; в качестве примеров таких сред можно назвать
проводные линии, такие как витая пара и коаксиальный кабель, оптоволокно;
этот сигнал также может распространяться через атмосферу или космическое
пространство. Цифровой сигнал представляет собой последовательность
импульсов напряжения, которые могут передаваться по проводной линии; при
этом постоянный положительный уровень напряжения может использоваться
для представления двоичного нуля, а постоянный отрицательный уровень - для
представления двоичной единицы. В беспроводной технологии используются
цифровые данные и аналоговые сигналы, так как цифровые сигналы затухают
сильнее, чем аналоговые.
Модуляция сигналов. Исторически модуляция начала применяться для
аналоговой информации, и только потом - для дискретной.
Необходимость в модуляции аналоговой информации возникает, когда
нужно передать низкочастотный (например, голосовой) аналоговый сигнал
через канал, находящийся в высокочастотной области спектра.
Для решения этой проблемы амплитуду высокочастотного несущего
сигнала изменяют (модулируют) в соответствии с изменением
низкочастотного сигнала. В беспроводной технологии в процессе
модулирования задействованы одна или несколько характеристик несущего
сигнала: амплитуда, частота и фаза. Соответственно, существуют три
основные технологии кодирования или модуляции, выполняющие
преобразование цифровых данных в аналоговый сигнал (рис. 2.5.):
амплитудная модуляция (Amplitude-Shift Keying - ASK);
частотная модуляция (Frequency-Shift Keying - FSK);
фазовая модуляция (Phase-Shift Keying - PSK).
102
Отметим, что во всех перечисленных случаях результирующий сигнал
центрирован на несущей частоте.
Рис. 2.5. Модуляция цифровых данных аналоговыми сигналами
Амплитудная модуляция. При амплитудной модуляции два двоичных
значения представляются сигналами несущей частоты с двумя
различными амплитудами. Одна из амплитуд, как правило, выбирается
равной нулю; т.е. одно двоичное число представляется наличием несущей
частоты при постоянной амплитуде, а другое - ее отсутствием (рис. 2.5а).
При амплитудной модуляции результирующий сигнал равен:
A cos( 2f c t )
s (t )
0
(2.1)
Здесь A cos( 2f c t ) - несущий сигнал.
Частотная модуляция. Наиболее распространенной формой
частотной модуляции является бинарная (Binary FSK - BFSK), в которой
два двоичных числа представляются сигналами двух различных частот,
расположенных около несущей (рис. 2.5б). Результирующий сигнал равен
A cos( 2f1t ) двоичная1
s(t )
,
A cos( 2f 2t ) двоичная0
(2.2)
где f1 и f 2 - частоты, смещенные от несущей частоты f c на величины, равные
по модулю, но противоположные по знаку. Бинарная частотная модуляция
менее восприимчива к ошибкам, чем амплитудная модуляция.
103
Более эффективной, но и более подверженной ошибкам, является схема
многочастотной модуляции (Multiple FSK - MFSK), в которой используется
более двух частот. В этом случае каждая сигнальная посылка представляет
более одного бита. Переданный сигнал MFSK (для одного периода передачи
сигнальной посылки) можно определить следующим образом:
si A cos(2f i t ),1 i M
(2.3)
Здесь f i f c (2i 1 M ) f d , где f c - несущая частота; f d - разностная
частота; M- число различных сигнальных посылок 2 L ; L- количество битов на
одну сигнальную посылку. На рис. 2.6 представлен пример схемы MFSK с
М=4. Входной поток битов кодируется по два бита, после чего передается одна
из четырех возможных двухбитовых комбинаций. Для уменьшения
занимаемой полосы частот в модуляторах сигналов с фазовой модуляцией
применяют сглаживающие фильтры. Применение сглаживающих фильтров
приводит к увеличению эффективности использования полосы, но в то же
время из-за сглаживания уменьшается расстояние между соседними
сигналами, что приводит к снижению помехоустойчивости.
Рис. 2.6. Использование частоты схемой MFSK (M = 4)
Фазовая модуляция. При фазовой модуляции для представления
данных выполняется смещение несущего сигнала. Самой простой фазовой
модуляцией является двухуровневая модуляция (Binary PSK, BPSK), где для
представления двух двоичных цифр используются две фазы (рис. 2.5в).
Получающийся сигнал имеет следующий вид (для одного периода передачи
бита):
A cos( 2f c t )
A cos( 2f c t ) двоичная1
s(t )
(2.4)
A cos( 2f c t ) A cos( 2f c t ) двоичный0
Альтернативной
формой
двухуровневой
PSK
является
дифференциальная PSK (DPSK), пример которой приведен на рис. 2.7. В
данной системе двоичный 0 представляется сигнальным пакетом, фаза
104
которого совпадает с фазой предыдущего посланного пакета, а двоичная 1
представляется сигнальным пакетом с фазой, противоположной фазе
предыдущего пакета. Такая схема называется дифференциальной, поскольку
сдвиг фаз выполняется относительно предыдущего переданного бита, а не
относительно какого-то эталонного сигнала. При дифференциальном
кодировании передаваемая информация представляется не сигнальными
посылками, а изменениями между последовательными сигнальными
посылками. Схема DPSK делает излишним строгое согласование фазы
местного гетеродина приемника и передатчика. До тех пор пока предыдущая
полученная фаза точна, точен и фазовый эталон.
Рис. 2.7. Дифференциальная фазовая модуляция (DPSK)
Если каждой сигнальной посылкой представить более одного бита, это
позволит эффективнее использовать полосу сигнала. Например, в
распространенной кодировке, известной как квадратурная фазовая модуляция
(Quadrature Phase-Shift Keying - QPSK), вместо сдвига фазы на 180 0 , как в
кодировке BPSK, используются сдвиги фаз, кратные / 2 .
При квадратурной фазовой модуляции:
A cos( 2f c t / 4) 11
A cos( 2f t (3 / 4)) 10
c
s (t )
A cos( 2f c t (5 / 4)) 00 (2.5)
a cos( 2f c t (7 / 4)) 01
Таким образом, каждая сигнальная посылка представляет не один бит, а
два.
Описанную схему можно расширить: передавать, например, по три бита
в каждый момент времени, используя для этого восемь различных углов
сдвига фаз. Более того, при каждом угле можно использовать несколько
105
амплитуд. Такая модуляция называется многоуровневой фазовой модуляцией
(Multiple FSK - MFSK).
Квадратурная амплитудная модуляция. Квадратурная амплитудная
модуляция (Quadrature Amplitude Modulation - QAM) является популярным
методом аналоговой передачи сигналов, используемым в некоторых
беспроводных стандартах. Данная схема модуляции совмещает в себе
амплитудную и фазовую модуляции. В методе QAM использованы
преимущества одновременной передачи двух различных сигналов на одной
несущей частоте, но при этом задействованы две копии несущей
частоты, сдвинутые относительно друг друга на 90°. При квадратурной
амплитудной
модуляции обе несущие
являются
амплитудномодулированными. Итак, два независимых сигнала одновременно
передаются через одну среду. В приемнике эти сигналы демодулируются, а
результаты объединяются с целью восстановления исходного двоичного
сигнала.
При использовании двухуровневой амплитудной модуляции (2QAM)
каждый из двух потоков может находиться в одном из двух состояний, а
объединенный поток - в одном из 2*2=4 состояний. При использовании
четырехуровневой модуляции (т.е. четырех различных уровней амплитуды,
4QAM) объединенный поток будет находиться в одном из 4*4=16 состояний.
Уже реализованы системы, имеющие 64 или даже 256 состояний. Чем больше
число состояний, тем выше скорость передачи данных, возможная при
определенной ширине полосы. Разумеется, как указывалось ранее, чем больше
число состояний, тем выше потенциальная частота возникновения ошибок
вследствие помех или поглощения.
Пропускная способность канала. Существует множество факторов,
способных исказить или повредить сигнал. Наиболее распространенные из
них - помехи или шумы, представляющие собой любой нежелательный
сигнал, который смешивается с сигналом, предназначенным для передачи
или приема, и искажает его. Для цифровых данных возникает вопрос:
насколько эти искажения ограничивают возможную скорость передачи
данных? Максимально возможная при определенных условиях скорость,
при которой информация может передаваться по конкретному тракту
связи, или каналу, называется пропускной способностью канала.
Существует четыре понятия, которые мы попытаемся связать воедино.
Скорость передачи данных - скорость в битах в секунду (бит/с), с
которой могут передаваться данные;
Ширина полосы - ширина полосы передаваемого сигнала,
ограничиваемая передатчиком и природой передающей среды. Выражается в
периодах в секунду, или герцах (Гц);
Шум. Средний уровень шума в канале связи;
Уровень ошибок - частота появления ошибок. Ошибкой считается
прием 1 при переданном 0 и наоборот.
106
Проблема заключается в следующем: средства связи недешевы и, в
общем случае, чем шире их полоса, тем дороже они стоят. Более того, все
каналы передачи, представляющие практический интерес, имеют
ограниченную ширину полосы. Ограничения обусловлены физическими
свойствами передающей среды или преднамеренными ограничениями ширины
полосы в самом передатчике, сделанными для предотвращения интерференции
с другими источниками. Естественно, нам хотелось бы максимально
эффективно использовать имеющуюся полосу. Для цифровых данных это
означает, что для определенной полосы желательно получить максимально
возможную при существующем уровне ошибок скорость передачи данных.
Главным ограничением при достижении такой эффективности являются
помехи.
2.4. Методы доступа к среде в беспроводных сетях
Одна из основных проблем построения беспроводных систем - это
решение задачи доступа многих пользователей к ограниченному ресурсу
среды передачи. Существует несколько базовых методов доступа (их еще
называют методами уплотнения или мультиплексирования), основанных на
разделении между станциями таких параметров, как пространство, время,
частота и код. Задача уплотнения - выделить каждому каналу связи
пространство, время, частоту и/или код с минимумом взаимных помех и
максимальным использованием характеристик передающей среды.
Уплотнение с пространственным разделением. Основано на
разделении сигналов в пространстве, когда передатчик посылает сигнал,
используя код c, время t и частоту f области s i . Каждое беспроводное
устройство может вести передачу данных только в границах
определенной территории, на которой любому другому устройству
запрещено передавать свои сообщения. К примеру, если радиостанция
вещает на строго определенной частоте на закрепленной за ней
территории, а какая-либо другая станция в этой же местности также
начнет вещать на той же частоте, слушатели радиопередач не смогут
получить "чистый" сигнал ни от одной из этих станций. Другое дело,
если радиостанции работают на одной частоте в разных городах.
Искажений сигналов каждой радиостанции не будет в связи с
ограниченной дальностью распространения сигналов этих станций, что
исключает их наложение друг на друга. Характерный пример - системы
сотовой телефонной связи.
Уплотнение с частотным разделением (Frequency Division
Multiplexing - FDM). Каждое устройство работает на определенной
частоте, благодаря чему несколько устройств могут вести передачу
данных на одной территории (рис. 2.8.). Это один из наиболее известных
107
методов, так или иначе используемый в самых современных системах
беспроводной связи.
Рис. 2.8. Принцип частотного разделения каналов
Наглядная
иллюстрация
схемы
частотного
уплотнения
функционирование в одном городе нескольких радиостанций, работающих на
разных частотах. Для надежной отстройки друг от друга их рабочие частоты
должны быть разделены защитным частотным интервалом, который позволяет
исключить взаимные помехи. Эта схема, хотя и позволяет использовать
множество устройств на определенной территории, сама по себе приводит к
неоправданному расточительству обычно скудных частотных ресурсов,
поскольку требует выделения своей частоты для каждого беспроводного
устройства.
Уплотнение с временным разделением (Time Division Multiplexing TDM).
В данной схеме распределение каналов идет по времени, т. е. каждый
передатчик транслирует сигнал на одной и той же частоте f бласти s, но в
различные промежутки времени t i (как правило, циклически повторяющиеся)
при строгих требованиях к синхронизации процесса передачи (рис. 2.9).
Подобная схема достаточно удобна, так как временные интервалы могут
динамично перераспределяться между устройствами сети. Устройствам с
большим трафиком назначаются более длительные интервалы, чем
устройствам с меньшим объемом трафика.
Основной недостаток систем с временным уплотнением - это мгновенная
потеря информации при срыве синхронизации в канале, например из-за
сильных помех, случайных или преднамеренных. Однако успешный опыт
эксплуатации таких знаменитых TDM-систем, как сотовые телефонные сети
стандарта GSM, свидетельствует о достаточной надежности механизма
временного уплотнения.
108
Рис. 2.9. Принцип временного разделения каналов
Уплотнение с кодовым разделением (Code Division Multiplexing CDM).
В данной схеме все передатчики транслируют сигналы на одной и той же
частоте f, в области s и во время t, но с разными кодами ci .
Именем основанного на CDM механизме разделения каналов (CDMA CDM Access) даже назван стандарт сотовой телефонной связи IS-95a, а также
ряд стандартов третьего поколения сотовых систем связи (cdma2000, WCDMA
и др.). В схеме CDM каждый передатчик заменяет каждый бит исходного
потока данных на CDM-символ - кодовую последовательность длиной в 11, 16,
32, 64 и т. п. бит (их называют чипами). Кодовая последовательность
уникальна для каждого передатчика. Как правило, если для замены "1" в
исходном потоке данных используют некий CDM-код, то для замены "0"
применяют тот же код, но инвертированный. Приемник знает CDM-код
передатчика, сигналы которого должен воспринимать. Он постоянно
принимает все сигналы и оцифровывает их. Затем в специальном устройстве
(корреляторе) производится операция свертки (умножения с накоплением)
входного оцифрованного сигнала с известным ему CDM-кодом и его
инверсией. В несколько упрощенном виде это выглядит как операция
скалярного произведения вектора входного сигнала и вектора с CDM-кодом.
Если сигнал на выходе коррелятора превышает некий установленный
пороговый уровень, приемник считает, что принял 1 или 0. Для увеличения
вероятности приема передатчик может повторять посылку каждого бита
несколько раз. При этом сигналы других передатчиков с другими CDMкодами приемник воспринимает как аддитивный шум. Более того, благодаря
большой избыточности (каждый бит заменяется десятками чипов), мощность
принимаемого сигнала может быть сопоставима с интегральной мощностью
109
шума. Сходства CDM-сигналов со случайным (гауссовым) шумом добиваются,
используя CDM-коды, порожденные генератором псевдослучайных
последовательностей. Поэтому данный метод еще называют методом
расширения спектра сигнала посредством прямой последовательности (DSSS Direct Sequence Spread Spectrum). Наиболее сильная сторона данного
уплотнения заключается в повышенной защищенности и скрытности передачи
данных: не зная кода, невозможно получить сигнал, а в ряде случаев - и
обнаружить его присутствие. Кроме того, кодовое пространство несравненно
более значительно по сравнению с частотной схемой уплотнения, что
позволяет без особых проблем присваивать каждому передатчику свой
индивидуальный код. Основной же проблемой кодового уплотнения до
недавнего времени являлась сложность технической реализации приемников и
необходимость обеспечения точной синхронизации передатчика и приемника
для гарантированного получения пакета.
Механизм мультиплексирования посредством ортогональных
несущих частот (Orthogonal Frequency Division Multiplexing - OFDM).
Суть этого механизма: весь доступный частотный диапазон разбивается
на достаточно много поднесущих (от нескольких сот до тысяч). Одному
каналу связи (приемнику и передатчику) назначают для передачи несколько
таких несущих, выбранных из множества по определенному закону. Передача
ведется одновременно по всем поднесущим, т. е. в каждом передатчике
исходящий поток данных разбивается на N субпотоков, где N - число
поднесущих, назначенных данному передатчику. Распределение поднесущих в
ходе работы может динамически изменяться, что делает данный механизм не
менее гибким, чем метод временного уплотнения. Схема OFDM имеет
несколько преимуществ. Во-первых, селективному замиранию будут
подвержены только некоторые подканалы, а не весь сигнал. Если поток
данных защищен кодом прямого исправления ошибок, то с этим замиранием
легко бороться. Во-вторых, что более важно, OFDM позволяет подавить
межсимвольную интерференцию. Межсимвольная интерференция оказывает
значительное влияние при высоких скоростях передачи данных, так как
расстояние между битами (или символами) мало. В схеме OFDM скорость
передачи данных уменьшается в N раз, что позволяет увеличить время
передачи символа в N раз. Таким образом, если время передачи символа для
исходного потока составляет Ts , то период сигнала OFDM будет равен NTs Это
позволяет существенно снизить влияние межсимвольных помех. При
проектировании системы N выбирается таким образом, чтобы величина NTs
значительно превышала среднеквадратичный разброс задержек канала.
Технология
расширенного
спектра.
Изначально
метод
расширенного спектра создавался для разведывательных и военных
целей. Основная идея метода состоит в том, чтобы распределить
информационный сигнал по широкой полосе радиодиапазона, что в итоге
позволит значительно усложнить подавление или перехват сигнала.
110
Первая разработанная схема расширенного спектра известна как метод
перестройки частоты. Более современной схемой расширенного спектра
является метод прямого последовательного расширения. Оба метода
используются в различных стандартах и продуктах беспроводной связи.
Расширение спектра скачкообразной перестройкой частоты
(Frequency Hopping Spread Spectrum - FHSS). Для того чтобы радиообмен
нельзя было перехватить или подавить узкополосным шумом, было
предложено вести передачу с постоянной сменой несущей в пределах
широкого диапазона частот. В результате мощность сигнала
распределялась по всему диапазону, и прослушивание какой-то
определенной
частоты
давало
только
небольшой
шум.
Последовательность несущих частот была псевдослучайной, известной
только передатчику и приемнику. Попытка подавления сигнала в какомто узком диапазоне также не слишком ухудшала сигнал, так как
подавлялась только небольшая часть информации. Идею этого метода
иллюстрирует рис. 2.10. В течение фиксированного интервала времени
передача ведется на неизменной несущей частоте. На каждой несущей
частоте для передачи дискретной информации применяются
стандартные методы модуляции, такие как FSK или PSK. Для того
чтобы приемник синхронизировался с передатчиком, для обозначения
начала каждого периода передачи в течение некоторого времени
передаются синхробиты. Так что полезная скорость этого метода
кодирования оказывается меньше из-за постоянных накладных расходов
на синхронизацию.
Рис. 2.10. Расширение спектра скачкообразной перестройкой частоты
Несущая частота меняется в соответствии с номерами частотных
подканалов,
вырабатываемых
алгоритмом
псевдослучайных
чисел.
Псевдослучайная последовательность зависит от некоторого параметра,
111
который называют начальным числом. Если приемнику и передатчику
известны алгоритм и значение начального числа, то они меняют частоты в
одинаковой
последовательности,
называемой
последовательностью
псевдослучайной перестройки частоты. Если частота смены подканалов ниже,
чем скорость передачи данных в канале, то такой режим называют медленным
расширением спектра (рис. 2.11а); в противном случае мы имеем дело с
быстрым расширением спектра (рис. 2.11б). Метод быстрого расширения
спектра более устойчив к помехам, поскольку узкополосная помеха, которая
подавляет сигнал в определенном подканале, не приводит к потере бита, так
как его значение повторяется несколько раз в различных частотных
подканалах. В этом режиме не проявляется эффект межсимвольной
интерференции, потому что ко времени прихода задержанного вдоль одного из
путей сигнала система успевает перейти на другую частоту.
Метод медленного расширения спектра таким свойством не обладает, но
зато он проще в реализации и сопряжен с меньшими накладными расходами.
Рис. 2.11. Соотношение между скоростью передачи данных
и частотой смены подканалов
112
Методы FHSS используются в беспроводных технологиях IEEE 802.11 и
Bluetooth. В FHSS подход к использованию частотного диапазона не такой, как
в других методах кодирования - вместо экономного расходования узкой
полосы делается попытка занять весь доступный диапазон. На первый взгляд
это кажется не очень эффективным - ведь в каждый момент времени в
диапазоне работает только один канал. Однако последнее утверждение не
всегда справедливо - коды расширенного спектра можно использовать и для
мультиплексирования нескольких каналов в широком диапазоне. В частности,
методы FHSS позволяют организовать одновременную работу нескольких
каналов путем выбора для каждого канала таких псевдослучайных
последовательностей, чтобы в каждый момент времени каждый канал работал
на своей частоте (конечно, это можно сделать, только если число каналов не
превышает числа частотных подканалов).
Прямое последовательное расширение спектра (Direct Sequence
Spread Spectrum - DSSS). В методе прямого последовательного расширения
спектра также используется весь частотный диапазон, выделенный для
одной беспроводной линии связи. В отличие от метода FHSS, весь
частотный диапазон занимается не за счет постоянных переключений с
частоты на частоту, а за счет того, что каждый бит информации
заменяется N-битами, так что тактовая скорость передачи сигналов
увеличивается в N раз. А это, в свою очередь, означает, что спектр
сигнала также расширяется в N раз. Достаточно соответствующим
образом выбрать скорость передачи данных и значение N, чтобы спектр
сигнала заполнил весь диапазон.
Цель кодирования методом DSSS та же, что и методом FHSS, повышение устойчивости к помехам. Узкополосная помеха будет искажать
только определенные частоты спектра сигнала, так что приемник с большой
степенью вероятности сможет правильно распознать передаваемую
информацию. Код, которым заменяется двоичная единица исходной
информации, называется расширяющей последовательностью, а каждый бит
такой последовательности - чипом.
Соответственно, скорость передачи результирующего кода называют
чиповой скоростью. Двоичный нуль кодируется инверсным значением
расширяющей последовательности. Приемники должны знать расширяющую
последовательность, которую использует передатчик, чтобы понять
передаваемую информацию.
Количество битов в расширяющей последовательности определяет
коэффициент расширения исходного кода. Как и в случае FHSS, для
кодирования битов результирующего кода может использоваться любой вид
модуляции, например BFSK.
Чем больше коэффициент расширения, тем шире спектр
результирующего сигнала и выше степень подавления помех. Но при этом
растет занимаемый каналом диапазон спектра. Обычно коэффициент
расширения имеет значение от 10 до 100.
113
Метод DSSS в меньшей степени защищен от помех, чем метод быстрого
расширения спектра, так как мощная узкополосная помеха влияет на часть
спектра, а значит, и на результат распознавания единиц или нулей.
Рис. 2.12. Каналы, используемые в технологии DSSS
Беспроводные локальные сети DSSS используют каналы шириной 22
МГц, благодаря чему многие WLAN могут работать в одной и той же зоне
покрытия. В Северной Америке и большей части Европы, в том числе и в
России, каналы шириной 22 МГц позволяют создать в диапазоне 2,4- 2,473
ГГц три неперекрывающихся канала передачи. Эти каналы показаны на
рис. 2.12.
2.5. Кодирование и защита от ошибок
Существует три наиболее распространенных орудия борьбы с ошибками
в процессе передачи данных:
коды обнаружения ошибок;
коды с коррекцией ошибок, называемые также схемами прямой
коррекции ошибок (Forward Error Correction - FEC);
протоколы с автоматическим запросом повторной передачи (Automatic
Repeat Request - ARQ).
Код обнаружения ошибок позволяет довольно легко установить наличие
ошибки. Как правило, подобные коды используются совместно с
определенными протоколами канального или транспортного уровней,
имеющими схему ARQ. В схеме ARQ приемник попросту отклоняет блок
данных, в котором была обнаружена ошибка, после чего передатчик передает
этот блок повторно. Коды с прямой коррекцией ошибок позволяют не только
обнаружить ошибки, но и исправить их, не прибегая к повторной передаче.
Схемы FEC часто используются в беспроводной передаче, где повторная
передача крайне неэффективна, а уровень ошибок довольно высок.
114
Методы обнаружения ошибок. Методы обнаружения ошибок
основаны на передаче в составе блока данных избыточной служебной
информации, по которой можно судить с некоторой степенью
вероятности о достоверности принятых данных. Избыточную
служебную информацию принято называть контрольной суммой, или
контрольной последовательностью кадра (Frame Check Sequence, FCS).
Контрольная сумма вычисляется как функция от основной информации,
причем не обязательно путем суммирования. Принимающая сторона
повторно вычисляет контрольную сумму кадра по известному алгоритму
и в случае ее совпадения с контрольной суммой, вычисленной передающей
стороной, делает вывод о том, что данные были переданы через сеть
корректно. Рассмотрим несколько распространенных алгоритмов
вычисления контрольной суммы, отличающихся вычислительной
сложностью и способностью обнаруживать ошибки в данных. Контроль
по паритету представляет собой наиболее простой метод контроля
данных. В то же время это наименее мощный алгоритм контроля, так
как с его помощью можно обнаружить только одиночные ошибки в
проверяемых данных. Метод заключается в суммировании по модулю 2
всех битов контролируемой информации. Нетрудно заметить, что для
информации, состоящей из нечетного числа единиц, контрольная сумма
всегда равна 1, а при четном числе единиц – 0. Например, для данных
100101011 результатом контрольного суммирования будет значение 1.
Результат
суммирования
также
представляет
собой
один
дополнительный бит данных, который пересылается вместе с
контролируемой информацией. При искажении в процессе пересылки
любого бита исходных данных (или контрольного разряда) результат
суммирования будет отличаться от принятого контрольного разряда,
что говорит об ошибке. Однако двойная ошибка, например 110101010,
будет неверно принята за корректные данные. Поэтому контроль по
паритету применяется к небольшим порциям данных, как правило, к
каждому байту, что дает коэффициент избыточности для этого метода
1/8. Метод редко применяется в компьютерных сетях из-за значительной
избыточности и невысоких диагностических способностей.
Вертикальный и горизонтальный контроль по паритету представляет
собой модификацию описанного выше метода. Его отличие состоит в том, что
исходные данные рассматриваются в виде матрицы, строки которой
составляют байты данных. Контрольный разряд подсчитывается отдельно для
каждой строки и для каждого столбца матрицы. Этот метод обнаруживает
значительную часть двойных ошибок, однако обладает еще большей
избыточностью. Он сейчас также почти не применяется при передаче
информации по сети.
Циклический избыточный контроль (Cyclic Redundancy Check - CRC)
является в настоящее время наиболее популярным методом контроля в
вычислительных сетях (и не только в сетях; в частности, этот метод широко
115
применяется при записи данных на гибкие и жесткие диски). Метод основан на
рассмотрении исходных данных в виде одного многоразрядного двоичного
числа. Например, кадр стандарта Ethernet, состоящий из 1024 байт, будет
рассматриваться как одно число, состоящее из 8192 бит. Контрольной
информацией считается остаток от деления этого числа на известный делитель
R. Обычно в качестве делителя выбирается семнадцати- или
тридцатитрехразрядное число, чтобы остаток от деления имел длину 16
разрядов (2 байт) или 32 разряда (4 байт). При получении кадра данных снова
вычисляется остаток от деления на тот же делитель R, но при этом к данным
кадра добавляется и содержащаяся в нем контрольная сумма. Если остаток от
деления на R равен нулю, то делается вывод об отсутствии ошибок в
полученном кадре, в противном случае кадр считается искаженным.
Этот метод обладает более высокой вычислительной сложностью, но его
диагностические возможности гораздо шире, чем у методов контроля по
паритету. Метод CRC обнаруживает все одиночные ошибки, двойные ошибки
и ошибки в нечетном числе битов. Метод также обладает невысокой степенью
избыточности. Например, для кадра Ethernet размером 1024 байта контрольная
информация длиной 4 байта составляет только 0,4 %.
Методы коррекции ошибок. Техника кодирования, которая
позволяет приемнику не только понять, что присланные данные
содержат ошибки, но и исправить их, называется прямой коррекцией
ошибок (Forward Error Correction - FEC). Коды, обеспечивающие прямую
коррекцию ошибок, требуют введения большей избыточности в
передаваемые данные, чем коды, которые только обнаруживают ошибки.
При применении любого избыточного кода не все комбинации кодов
являются разрешенными. Например, контроль по паритету делает
разрешенными только половину кодов. Если мы контролируем три
информационных бита, то разрешенными 4-битными кодами с дополнением
до нечетного количества единиц будут:
000 1, 001 0, 010 0, 011 1, 100 0, 101 1, 110 1, 111 0, то есть всего 8 кодов
из 16 возможных. Для того чтобы оценить количество дополнительных битов,
необходимых для исправления ошибок, нужно знать так называемое
расстояние Хемминга между разрешенными комбинациями кода. Расстоянием
Хемминга называется минимальное число битовых разрядов, в которых
отличается любая пара разрешенных кодов. Для схем контроля по паритету
расстояние Хемминга равно 2.
Можно доказать, что если мы сконструировали избыточный код с
расстоянием Хемминга, равным n, такой код будет в состоянии распознавать
(n-1)-кратные ошибки и исправлять (n-1)/2-кратные ошибки. Так как коды с
контролем по паритету имеют расстояние Хемминга, равное 2, они могут
только обнаруживать однократные ошибки и не могут исправлять ошибки.
Коды
Хемминга
эффективно
обнаруживают
и
исправляют
изолированные ошибки, то есть отдельные искаженные биты, которые
разделены большим количеством корректных битов. Однако при появлении
116
длинной последовательности искаженных битов (пульсации ошибок) коды
Хемминга не работают.
Наиболее часто в современных системах связи применяется тип
кодирования,
реализуемый
сверточным
кодирующим
устройством
(Сonvolutional coder), потому что такое кодирование несложно реализовать
аппаратно с использованием линий задержки (delay) и сумматоров. В отличие
от рассмотренного выше кода, который относится к блочным кодам без
памяти, сверточный код относится к кодам с конечной памятью (Finite memory
code); это означает, что выходная последовательность кодера является
функцией не только текущего входного сигнала, но также нескольких из числа
последних предшествующих битов. Длина кодового ограничения (Constraint
length of a code) показывает, как много выходных элементов выходит из
системы в пересчете на один входной. Коды часто характеризуются их
эффективной степенью (или коэффициентом) кодирования (Code rate). Вам
может встретиться сверточный код с коэффициентом кодирования 1/2. Этот
коэффициент указывает, что на каждый входной бит, приходится два
выходных. При сравнении кодов обращайте внимание на то, что, хотя коды с
более высокой эффективной степенью кодирования позволяют передавать
данные с более высокой скоростью, они, соответственно, более чувствительны
к шуму.
В беспроводных системах с блочными кодами широко используется
метод чередования блоков. Преимущество чередования состоит в том, что
приемник
распределяет
пакет
ошибок,
исказивший
некоторую
последовательность битов, по большому числу блоков, благодаря чему
становится возможным исправление ошибок. Чередование выполняется с
помощью чтения и записи данных в различном порядке. Если во время
передачи пакет помех воздействует на некоторую последовательность битов,
то все эти биты оказываются разнесенными по различным блокам.
Следовательно, от любой контрольной последовательности требуется
возможность исправить лишь небольшую часть от общего количества
инвертированных битов.
Методы автоматического запроса повторной передачи. В
простейшем случае защита от ошибок заключается только в их
обнаружении. Система должна предупредить передатчик об обнаружении
ошибки и необходимости повторной передачи. Такие процедуры защиты
от ошибок известны как методы автоматического запроса повторной
передачи (Automatic Repeat Request - ARQ). В беспроводных локальных
сетях применяется процедура "запрос ARQ с остановками" (stop-and-wait
ARQ).
117
Рис. 2.13. Процедура запрос ARQ с остановками
В этом случае источник, пославший кадр, ожидает получения
подтверждения (Acknowledgement - ACK), или, как еще его называют,
квитанции, от приемника и только после этого посылает следующий кадр.
Если же подтверждение не приходит в течение тайм-аута, то кадр (или
подтверждение) считается утерянным и его передача повторяется. На рис.2.13
видно, что в этом случае производительность обмена данными ниже
потенциально возможной; хотя передатчик и мог бы послать следующий кадр
сразу же после отправки предыдущего, он обязан ждать прихода
подтверждения.
2.6. Режимы и особенности организации технологии Wi-Fi
Беспроводные сети Wi-Fi поддерживают несколько различных режимов
работы, реализуемых для конкретных целей. Каждый режим сопровождается
пояснительным рисунком для лучшего представления взаимодействия
элементов сети. Большим плюсом является подробное описание настройки
подключения, используя как встроенные в Windows службы, так и утилиту DLink AirPlus XtremeG Wreless Utility, которая идет в комплекте с
оборудованием D-Link. Очень интересно будет ознакомиться с режимами
WDS и WDS WITH AP, которые образуют мостовое соединение.
Режим Ad Hoc
В режиме Ad Hoc (рис. 2.14) клиенты устанавливают связь
непосредственно
друг
с
другом.
Устанавливается
одноранговое
взаимодействие по типу "точка-точка", и компьютеры взаимодействуют
напрямую без применения точек доступа. При этом создается только одна зона
обслуживания, не имеющая интерфейса для подключения к проводной
локальной сети. Основное достоинство данного режима - простота
организации: он не требует дополнительного оборудования (точки доступа).
Режим может применяться для создания временных сетей для передачи
данных. Однако необходимо иметь в виду, что режим Ad Hoc позволяет
устанавливать соединение на скорости не более 11 Мбит/с, независимо от
используемого оборудования. Реальная скорость обмена данными будет ниже
и составит не более 11/N Мбит/с, где N - число устройств в сети. Дальность
118
связи составляет не более ста метров, а скорость передачи данных быстро
падает с увеличением расстояния.
Рис. 2.14. Ad Hoc
Для организации долговременных беспроводных сетей следует
использовать инфраструктурный режим.
Пример 2.1. На клиентской стороне будем использовать беспроводной
USB-адаптер. Все настройки для других типов адаптеров (PCI, PCMCI,
ExpressCard и т. д.) проводятся аналогичным образом. При подключении
адаптера необходимо установить драйвер, который идет в комплекте со всем
беспроводным оборудованием. В окне Сетевые подключения должен
появиться значок Беспроводное сетевое соединение (рис. 2.15). Беспроводную
сеть в режиме Ad Hoc сначала будем строить из компьютера 1 и ноутбука 1
(рис. 2.14), а затем можно будет подключить и остальные компьютеры. Это
можно сделать двумя способами: с помощью встроенной службы Windows XP
или Windows Vista и программой D-Link AirPlus XtremeG Wreless Utility,
которая идет в комплекте с оборудованием D-Link.
119
Рис. 2.15.
1. Настройка подключения с помощью встроенной службы Windows.
При установке интерфейса, при наличии встроенной утилиты Windows,
дополнительные программы не требуются. Но для этого необходимо
установить галочку Использовать Windows для настройки сети на вкладке
Беспроводные сети в свойствах беспроводного соединения (рис. 2.16.).
Перед установкой соединения необходимо настроить статические IPадреса. Они настраиваются в свойствах беспроводного соединения, на вкладке
Общие, в свойствах Протокол Интернета (TCP/IP) (рис. 2.17.).
Первый компьютер (Компьютер 1) пусть будет иметь IP-адрес
192.168.0.1, а второй (Ноутбук 1) - 192.168.0.2, а маска подсети 255.255.255.0.
120
Рис. 2.16.
121
Рис. 2.17.
Теперь для организации сети в режиме Ad Hoc двойным щелчком левой
кнопки мыши по беспроводному интерфейсу (рис. 2.15.) запустим службу
Wndows. Здесь на одном из компьютеров запустим. Установить
беспроводную сеть (рис. 2.18.). В появившемся мастере надо ввести SSID
(например, AdHocNet) и ключ доступа. На этом конфигурирование одного
компьютера заканчивается.
122
Рис. 2.18.
На другом компьютере тоже запускаем службу Windows (рис. 2.16.), и в
основном окне выбираем появившуюся сеть (AdHocNet). При совпадении
ключей доступа этот компьютер подключается к первому, и таким образом
создается беспроводная сеть Ad Hoc. Если нужно подключить еще
компьютеры, выполняются те же действия, что и со вторым. В этом случае
сеть уже будет состоять из нескольких компьютеров
Настройка подключения с помощью программы D-Link AirPlus
XtremeG Wireless Utility.
В этом случае надо установить эту программу и убрать галочку
Использовать Windows для настройки сети, показанную на (рис.2.15.).
Чтобы организовать беспроводную связь Ad Hoc, запустите эту
программу на первом компьютере и перейдите на вкладку Настройка (рис.
2.19.).
123
Рис. 2.19.
Затем введите SSID создаваемой сети (например, AdHocNet), выберите
режим Ad Hoc и установите IP-адрес с маской беспроводного интерфейса.
Аутентификацию и шифрование пока оставим открытыми. Если требуются
дополнительные настройки, их можно произвести на вкладке Расширенные
настройки. На других компьютерах также запускаем эту программу и
открываем вкладку Обзор сетей (рис. 2.20.).
124
Рис. 2.20.
В появившемся окне следует выбрать сеть и для настройки IP-адреса
второго компьютера нажать кнопку Конфигурация. Затем нужно нажать
кнопку Подключить, и при совпадении ключей доступа беспроводной адаптер
подключится к первому компьютеру. Остальные компьютеры подключаются
аналогичным образом. Обновление доступных сетей производится нажатием
кнопки Обновить.
Инфраструктурный режим
В этом режиме точки доступа обеспечивают связь клиентских
компьютеров (рис. 2.21.). Точку доступа можно рассматривать как
беспроводной
коммутатор.
Клиентские
станции
не
связываются
непосредственно одна с другой, а связываются с точкой доступа, и она уже
направляет пакеты адресатам.
125
Рис. 2.21.
Точка доступа имеет порт Ethernet, через который базовая зона
обслуживания подключается к проводной или смешанной сети - к сетевой
инфраструктуре.
Пример
2.2.
Настроим
беспроводную
точку
доступа
в
инфраструктурном режиме.Настройка производится через проводной
интерфейс, т.е. используя Ethernet-соединение. Хотя можно это делать и через
беспроводной интерфейс, но мы этого не рекомендуем, т.к. при достаточно
большом количестве точек доступа может возникнуть путаница в настройках.
1.
В окне Сетевые подключения отключите сетевые и бессетевые
адаптеры(рис. 2.15). В контекстном меню необходимо выбрать "Отключить"
для каждого адаптера. В результате все компьютеры будут изолированы друг
от друга, сетевых подключений нет.
2.
Настраиваем сетевые адаптеры для связи с точкой доступа.
Подключения по локальной сети Свойства Протокол TCP/IP Свойства.
Использовать следующий IP-адрес: Укажите адрес 192.168.0.ххх, где ххх номер вашего компьютера (1, 2, 3 и т.д). Укажите маску 255.255.255.0
Включите кабельное соединение.
126
3.
Подключаемся к точке доступа. Соединяем точку доступа сетевым
кабелем с сетевым адаптером, подаем питание. Сбрасываем настройки точки.
Для этого в течение пяти секунд нажимаем и удерживаем кнопку reset. Не
отключайте питание при нажатой reset! Время загрузки точки - около 20
секунд. По окончании загрузки на точке загораются индикаторы Power и LAN.
В браузере Internet Explorer наберите http://192.168.0.50. Появится
приглашение на ввод имени и пароля (рис. 2.22).
1.
Начинаем настройку.
Введите в качестве имени пользователя "admin" с пустым паролем.
Настроим сначала IP-адрес точки. Это нужно лишь в том случае, когда у вас
много точек доступа. На вкладке Home нажимаем кнопку Lan (слева).
Выставляем адрес 192.168.0.xxх, где xxх - уникальный номер точки.
Маска 255.255.255.0
Default Gateway 192.168.0.50
По завершении настройки следует нажать "Apply", чтобы перезагрузить
точку с новыми настройками.
2.
Включение режима точки доступа.
Рис. 2.22.
127
Дождитесь загрузки точки и введите в браузере новый адрес
http://192.168.0.xxx. На вкладке Home нажмите кнопку Wireless
(слева)
Устанавливаем (рис. 2.23):
Mode (режим) - Access Point
SSID - Network
SSID Broadcast - Enable
Channel - 6
Authentication - Open System
Encryption - Disable
Заметьте, что выбранные нами установки не обеспечивают безопасность
беспроводного подключения и используются только с целью обучения.
Если нужно сделать более тонкие настройки, перейдите на вкладку
Advanced. Настоятельно рекомендуем перед настройкой точки доступа
прочитать документацию по настройке; краткое описание всех параметров
есть на вкладке Help. По завершении настройки нужно нажать "Apply", чтобы
перезагрузить точку с новыми настройками.
Рис. 2.23.
128
Отключите точку от сетевого интерфейса. Теперь ваша точка настроена
на подключение беспроводных клиентов. В простейшем случае, чтобы
предоставить клиентам Internet, нужно к точке подключить широкополосный
канал или ADSL-модем. Клиентские компьютеры подключаются аналогичным
образом, как это было описано в предыдущем примере.
Режимы WDS и WDS WITH AP
Термин WDS (Wireless Distribution System) расшифровывается как
"распределенная беспроводная система". В этом режиме точки доступа
соединяются только между собой, образуя мостовое соединение. При этом
каждая точка может соединяться с несколькими другими точками. Все точки в
этом режиме должны использовать один и тот же канал, поэтому количество
точек, участвующих в образовании моста, не должно быть чрезмерно
большим. Подключение клиентов осуществляется только по проводной сети
через uplink-порты точек (рис.2.24).
Рис. 2.24.
Режим беспроводного моста, аналогично проводным мостам, служит для
объединения подсетей в общую сеть. С помощью беспроводных мостов можно
объединять проводные LAN, находящиеся как в соседних зданиях, так и на
расстоянии до нескольких километров. Это позволяет объединить в сеть
филиалы и центральный офис, а также подключать клиентов к сети
провайдера Internet (рис. 2.25.).
129
Рис. 2.25. Мостовой режим между зданиями
Беспроводной мост может использоваться там, где прокладка кабеля
между зданиями нежелательна или невозможна. Данное решение позволяет
достичь значительной экономии средств и обеспечивает простоту настройки и
гибкость конфигурации при перемещении офисов. К точке доступа,
работающей в режиме моста, подключение беспроводных клиентов
невозможно. Беспроводная связь осуществляется только между парой точек,
реализующих мост. Термин WDS with АР (WDS with Access Point) означает
"распределенная беспроводная система, включающая точку доступа", т.е. с
помощью этого режима можно не только организовать мостовую связь между
точками доступа, но и одновременно подключить клиентские компьютеры
(рис. 2.26.). Это позволяет достичь существенной экономии оборудования и
упростить топологию сети. Данная технология поддерживается большинством
современных точек доступа.
130
Рис. 2.26. Режим WDS with AP
Тем не менее необходимо помнить, что все устройства в составе одной
WDS with AP работают на одной частоте и создают взаимные помехи, что
ограничивает количество клиентов до 15-20 узлов. Для увеличения количества
подключаемых клиентов можно использовать несколько WDS-сетей,
настроенных на разные неперекрывающиеся каналы и соединенные проводами
через uplink-порты. Топология организации беспроводных сетей в режиме
WDS аналогична обычным проводным топологиям.
Топология типа "шина"
Топология типа "шина" самой своей структурой предполагает
идентичность сетевого оборудования компьютеров, а также равноправие всех
абонентов (рис. 2.27.).
Рис. 2.27. Топология типа "шина"
131
Здесь отсутствует центральный абонент, через которого передается вся
информация, что увеличивает ее надежность (ведь при отказе любого центра
перестает функционировать вся управляемая этим центром система). Добавить
новых абонентов в шину довольно просто. Надо ввести параметры новой
точки доступа, что приведет только к кратковременной перезагрузке
последней точки. Шине не страшны отказы отдельных точек, так как все
остальные компьютеры сети могут нормально продолжать обмен между собой,
но при этом оставшаяся часть компьютеров не сможет получить доступ в
Internet.
Топология типа "кольцо"
"Кольцо" - это топология, в которой каждая точка доступа соединена
только с двумя другими (рис. 2.28.). Четко выделенного центра в данном
случае нет, все точки могут быть одинаковыми. Подключение новых
абонентов в "кольцо" обычно осуществить очень просто, хотя это и требует
обязательной остановки работы двух крайних точек от новой точки доступа.
В то же время основное преимущество кольца состоит в том, что
ретрансляция сигналов каждым абонентом позволяет существенно увеличить
размеры всей сети в целом (порой до нескольких десятков километров).
Кольцо в этом отношении существенно превосходит любые другие топологии.
Топология связей между точками в этом режиме представляет собой
ациклический граф типа "дерево", то есть данные из Internet от точки 4 к точке
2 проходят по двум направлениям - через точку 1 и 3 (рис. 2.28). Для
устранения лишних связей, способных приводить к появлению циклов в графе,
реализуется алгоритм Spanning tree. Его использование позволяет выявить и
блокировать лишние связи. При изменении топологии сети - например, из-за
отключения некоторых точек или невозможности работы каналов - алгоритм
Spanning tree запускается заново, и прежде заблокированные лишние связи
могут использоваться вместо вышедших из строя.
132
Рис. 2.28. Топология типа "кольцо"
Режим повторителя
Может возникнуть ситуация, когда оказывается невозможно (неудобно)
соединить точку доступа с проводной инфраструктурой или какое-либо
препятствие затрудняет осуществление связи точки доступа с местом
расположения беспроводных станций клиентов напрямую. В такой ситуации
можно использовать точку в режиме повторителя (Repeater) (рис. 2.21).
Рис. 2.29. Режим повторителя
133
Аналогично проводному повторителю, беспроводной повторитель
просто ретранслирует все пакеты, поступившие на его беспроводной
интерфейс. Эта ретрансляция осуществляется через тот же канал, через
который они были получены. При применении точки доступа в режиме
повторителя следует помнить, что наложение широковещательных доменов
может привести к сокращению пропускной способности канала вдвое, потому
что начальная точка доступа также "слышит" ретранслированный сигнал.
Режим повторителя не включен в стандарт 802.11, поэтому для его реализации
рекомендуется использовать однотипное оборудование (вплоть до версии
прошивки) и от одного производителя. С появлением WDS данный режим
потерял свою актуальность, потому что WDS заменяет его. Однако его можно
встретить в старых версиях прошивок и в устаревшем оборудовании.
Режим клиента
При переходе от проводной архитектуры к беспроводной иногда можно
обнаружить, что имеющиеся сетевые устройства поддерживают проводную
сеть Ethernet, но не имеют интерфейсных разъемов для беспроводных сетевых
адаптеров. Для подключения таких устройств к беспроводной сети можно
использовать точку доступа "клиент" (рис. 2.30.).
Рис. 2.30. Режим клиента
При помощи точки доступа, функционирующей в режиме клиента, к
беспроводной сети подключается только одно устройство. Этот режим не
включен в стандарт 802.11 и поддерживается не всеми производителями.
2.7. Организация и планирование беспроводных сетей
При планировании беспроводной сети необходимо учитывать множество
факторов для обеспечения наилучших параметров соединения. Пожалуй,
самым главным принципом являются грамотное расположение точек доступа с
134
учетом множества параметров. При организации беспроводной локальной сети
необходимо учитывать некоторые особенности окружающей среды. На
качество и дальность работы связи влияет множество физических факторов:
число стен, перекрытий и других объектов, через которые должен пройти
сигнал. Обычно расстояние зависит от типа материалов и радиочастотного
шума от других электроприборов в помещении. Для улучшения качества связи
надо следовать базовым принципам:
1. Сократить число стен и перекрытий между абонентами беспроводной
сети - каждая стена и перекрытие отнимает от максимального радиуса от 1 м
до 25 м. Расположить точки доступа и абонентов сети так, чтобы количество
преград между ними было минимальным.
2. Проверить угол между точками доступа и абонентами сети. Стена
толщиной 0,5 м при угле в 30 градусов для радиоволны становится стеной
толщиной 1 м. При угле в 2 градуса стена становится преградой толщиной в 12
м! Надо стараться расположить абонентов сети так, чтобы сигнал проходил
под углом в 90 градусов к перекрытиям или стенам.
3. Строительные материалы влияют на прохождение сигнала по-разному
- целиком металлические двери или алюминиевая облицовка негативно
сказываются на передаче радиоволн. Желательно, чтобы между абонентами
сети не было металлических или железобетонных препятствий.
4. С помощью программного обеспечения проверки мощности сигнала
надо позиционировать антенну на лучший прием.
5. Удалить от абонентов беспроводных сетей, по крайней мере, на 1-2
метра электроприборы, генерирующие радиопомехи, микроволновые печи,
мониторы, электромоторы, ИБП. Для уменьшения помех эти приборы должны
быть надежно заземлены.
6. Если используются беспроводные телефоны стандарта 2,4 ГГц или
оборудование X-10 (например, системы сигнализации), качество беспроводной
связи может заметно ухудшиться или прерваться. Для типичного жилья
расстояние связи не представляет особой проблемы. Если обнаружена
неуверенная связь в пределах дома, то надо расположить точку доступа между
комнатами, которые следует связать беспроводной сетью. Для обнаружения
точек доступа, попадающих в зону действия беспроводной сети, и
определения каналов, на которых они работают, можно использовать
программу Network Stumbler (http://www.stumbler.net/). С ее помощью также
можно оценить соотношение "сигнал-шум" на выбранных каналах.
Офисная сеть
Простая беспроводная сеть для небольшого офиса или домашнего
использования (Small Office / Home Office - SOHO) может быть построена на
основе одной точки доступа (рис. 2.31). Для организации сети адаптеры
переводятся в режим инфраструктуры, а точка доступа - в режим точки
доступа. При этом создается одна зона обслуживания, в которой находятся все
пользователи сети.
135
Рис. 2.31. Офисная сеть
При размещении точки доступа при развертывании малой сети следует
обеспечить достаточное качество связи на всех рабочих местах, а также
удобство в размещении самой точки. Типовое решение - закрепить точку
доступа непосредственно на фальш-потолке, при этом провода электропитания
и проводной сети будут проходить над фальш-потолком либо в коробах.
Необходимо иметь в виду, что при расширении сети и увеличении количества
пользователей скорость связи будет падать (пропорционально числу
пользователей). Наибольшее разумное количество пользователей обычно
составляет 16-20. Помимо этого скорость и качество связи зависят и от
расстояния между клиентом и точкой. Эти соображения могут потребовать
расширения базовой сети. Для расширения сети можно использовать uplinkпорт точки доступа. Он может использоваться как для объединения базовых
зон обслуживания в сеть, так и для интеграции в имеющуюся проводную или
беспроводную инфраструктуру, например для обеспечения пользователей
доступом к разделяемым ресурсам других подразделений или для
подключения к Internet. При расширении сети необходимо следить чтобы
частоты соседних точек доступа не перекрывались во избежание взаимных
помех и снижения скорости передачи. Это достигается настройкой соседних
точек на неперекрывающиеся по частоте каналы 1, 6 и 11. Чередуя каналы
таким образом, что соседние точки с каналами 1, 6 и 11 окажутся в вершинах
136
равностороннего треугольника, можно охватить беспроводной связью сколь
угодно большую площадь без перекрытия частот (рис. 2.32.).
Рис. 2.32. Расширение беспроводной сети
На развертывание беспроводных сетей используемые приложения
оказывают влияние по-разному. Наиболее важные факторы - это:
Расчетная скорость в пересчете на одного клиента;
Типы используемых приложений;
Задержки в передаче данных.
Расчетная скорость каждого клиента уменьшается с вводом в зону
обслуживания новых клиентов. Следовательно, если дома или в офисе
используются требовательные к скорости приложения (например, программа
Internet-телефонии Skype), необходимо увеличить количество точек доступа на
единицу площади (рис. 2.33.).
Рис. 2.33. Расширение беспроводной сети с максимальной скоростью
137
Для определения границы действия точек доступа используется ноутбук
с установленной программой Network Stumbler. Она показывает, на какой
скорости будет работать адаптер в зависимости от расстояния от точки
доступа. По мере удаления скорость автоматически падает, и при достижении
порогового уровня необходимо ставить новую точку.
Объединение всех точек доступа в офисе в локальную сеть можно
осуществить несколькими способами. Самым простым и распространенным
методом организации является объединение через проводную инфраструктуру
(рис. 2.34.).
Рис. 2.34. Объединение точек доступа через проводную инфраструктуру
В таком случае устанавливается коммутатор, к которому подключаются
точки доступа посредством витой пары через uplink-порт. Также к этому
коммутатору можно подвести широкополосный Internet. Преимуществом
такого подключения является простота настройки зоны действия точек
доступа на разные каналы, недостатком - прокладка проводов от точек доступа
к коммутатору. Второй способ - подключение с использованием расширенного
режима WDS (рис. 2.35).
138
Рис. 2.35. Объединение точек доступа
с использованием расширенного режима WDS
Одна точка доступа, которая имеет подключение к Internet, переводится
в мостовой режим WDS, остальные точки настраиваются на тот же канал, что
и первая, и устанавливается режим WDS with AP. Использование такого
способа нежелательно, т.к. все точки работают на одном канале, и при
достаточно большом их количестве резко уменьшается скорость.
Рекомендуется устанавливать не более 2-3 точек.
Третий
способ
подключения
аналогичен
предыдущему
но
дополнительно к каждой точке доступа через проводной интерфейс
подключена еще одна точка, работающая на другом канале, для организации
связи в одной комнате (рис. 2.36.). Здесь переводятся те точки доступа в режим
WDS, которые будут связаны с первой, а остальные через проводные
интерфейсы подключаются к ним. Они должны работать в режиме точки
доступа и на других каналах, чтобы не было коллизий. Преимуществом такого
способа подключения является полное отсутствие проводной инфраструктуры
(за исключением связи между соседними точками), недостатком - высокая
стоимость, в связи с большим количеством точек доступа, и использование
одного канала для связи с базовой точкой.
139
Рис. 2.36. Объединение точек доступа с дополнительными точками
Чтобы пользователь мог передвигаться от одной точки доступа к другой
без потери доступа к сетевым службам и разрыва соединения, во всем
оборудовании компании D-Link предусмотрена функция роуминга.
Роуминг - это возможность радиоустройства перемещаться за пределы
действия базовой станции и, находясь в зоне действия "гостевой" станции,
иметь доступ к "домашней" сети (рис. 2.37.).
Рис. 2.37. Роуминг
При организации роуминга все точки доступа, обеспечивающие
роуминг, конфигурируются на использование одинакового идентификатора
140
зоны обслуживания (SSID). Все точки доступа относятся к одному
широковещательному домену, или одному домену роуминга. Механизм
определения момента времени, когда необходимо начать процесс роуминга, не
определен в стандарте 802.11, и, таким образом, оставлен на усмотрение
поставщиков оборудования. Наиболее простой широко распространенный
алгоритм переключения заключается в том, что адаптер взаимодействует с
одной точкой вплоть до того момента, когда уровень сигнала не упадет ниже
допустимого предела. После этого осуществляется поиск точки доступа с
одинаковым SSID и максимальным уровнем сигнала, и переподключение к
ней. Роуминг включает значительно больше процессов, чем необходимо для
поиска точки доступа, с которой можно связаться. Опишем некоторые из
задач, которые должны решаться в ходе роуминга на канальном уровне:
Предыдущая точка доступа должна определить, что клиент уходит из ее
области действия.
Предыдущая точка доступа должна буферизовать данные,
предназначенные для клиента, осуществляющего роуминг.
Новая точка доступа должна показать предыдущей, что клиент успешно
переместился в ее зону.
Предыдущая точка доступа должна послать буферизованные данные
новой точке доступа.
Предыдущая точка доступа должна определить, что клиент покинул ее
зону действия.
Точка доступа должна обновить таблицы МАС-адресов на
коммутаторах
инфраструктуры,
чтобы
избежать
потери
данных
перемещающегося клиента.
Сеть между несколькими офисами
Беспроводная связь может использоваться для объединения подсетей
отдельных зданий, например центрального офиса и филиалов, там, где
прокладка кабеля между зданиями нежелательна или невозможна (рис.2.38.).
Для организации связи между зданиями могут использоваться внешние
беспроводные точки, работающие в режиме моста. Через uplink-порт внешняя
точка подключается к обычному коммутатору и через него обеспечивает связь
со всеми компьютерами подсети.
141
Рис. 2.38. Сеть между несколькими офисами
Внешние
беспроводные
точки
имеют
водонепроницаемый
термостатированный корпус, систему грозовой защиты, систему питания
Power-over-Ethernet. Благодаря сменной антенне можно обеспечивать
устойчивую радиосвязь на расстоянии до нескольких километров на
специализированные узконаправленные антенны. При организации внешней
беспроводной связи особое внимание следует обратить на обеспечение
безопасности передачи данных, в связи с ее большей уязвимостью как при
прослушивании, так и в случае прямого физического воздействия. Поэтому
рекомендуется использовать точки доступа, специально предназначенные для
наружного применения и позволяющие задействовать аутентификацию,
контроль доступа и шифрование передаваемых данных.
Необходимо также обратить внимание на то, что для внешних точек
предусмотрена более сложная процедура получения разрешений на
использование частот. Правила применения радиочастотного спектра в России
приведены
2.8. Беспроводная технология WiMAX
WiMAX – очень перспективное направление в развитии беспроводных
технологий. Характеристики технологии WiMAX во многом превосходят
стандарт IEEE 802.11. Довольно интересно будет ознакомиться с архитектурой
работы системы WiMAX. Несомненно, существует несколько режимов работы
142
стандарта IEEE 802.16. Как ни странно, у новой технологии есть несколько
сдерживающих факторов, ограничивающих ее быстрое распространение.
Цели и задачи WiMAX
При всем богатстве выбора сетевых подключений сложно одновременно
соблюсти три основных требования к сетевым соединениям: высокая
пропускная способность, надежность и мобильность. Решить подобную задачу
может следующее поколение беспроводных технологий WiMAX (Worldwide
Interoperability for Microwave Access), стандарт IEEE 802.16. Для продвижения
и развития технологии WiMAX был сформирован WiMAX-форум:
http://www.wimaxforum.org на базе рабочей группы IEEE 802.16, созданной в
1999 году. В форум вошли такие фирмы, как Nokia, Harris Corporation,
Ensemble, Crosspan и Aperto. К маю 2005 года форум объединял уже более 230
участников. В том же году Всемирный съезд по вопросам информационного
сообщества (World Summit on Information Society - WSIS) сформулировал
следующие задачи, которые были возложены на технологию WiMAX:
1. Обеспечить при помощи WiMAX доступ к услугам информационных
и коммуникационных технологий для небольших поселений, удаленных
регионов, изолированных объектов, учитывая при этом, что в развивающихся
странах 1,5 миллиона поселений с числом жителей более 100 человек не
подключены к телефонным сетям и не имеют кабельного сообщения с
крупными городами.
2. Обеспечить при помощи WiMAX доступ к услугам информационных
и коммуникационных технологий более половины населения планеты в
пределах досягаемости, учитывая при этом, что общее число пользователей
Internet в 2005 году составляло приблизительно 960 млн человек, или около
14,5 % всего населения Земли.
Цель технологии WiMAX заключается в том, чтобы предоставить
универсальный беспроводной доступ для широкого спектра устройств
(рабочих станций, бытовой техники "умного дома", портативных устройств и
мобильных телефонов) и их логического объединения - локальных сетей. Надо
отметить, что данная технология имеет ряд преимуществ:
1. По сравнению с проводными (xDSL или широкополосным),
беспроводными или спутниковыми системами сети WiMAX должны
позволить операторам и сервис-провайдерам экономически эффективно
охватить не только новых потенциальных пользователей, но и расширить
спектр информационных и коммуникационных технологий для пользователей,
уже имеющих фиксированный (стационарный) доступ
2. Стандарт объединяет технологии уровня оператора связи (для
объединения многих подсетей и предоставления им доступа к Internet), а также
технологии "последней мили" (конечного отрезка от точки входа в сеть
провайдера до компьютера пользователя), что создает универсальность и, как
следствие, повышает надежность системы.
3. Беспроводные технологии более гибки и, как следствие, проще в
развертывании, так как по мере необходимости могут масштабироваться.
143
4. Простота установки как фактор уменьшения затрат на развертывание
сетей в развивающихся странах, малонаселенных или удаленных районах.
5. Дальность охвата является существенным показателем системы
радиосвязи. На данный момент большинство беспроводных технологий
широкополосной передачи данных требуют наличия прямой видимости между
объектами сети. WiMAX благодаря использованию технологии OFDM создает
зоны покрытия в условиях отсутствия прямой видимости от клиентского
оборудования до базовой станции, при этом расстояния исчисляются
километрами.
6. Технология WiMAX изначально содержит протокол IP, что позволяет
легко и прозрачно интегрировать ее в локальные сети.
7. Технология WiMAX подходит для фиксированных, перемещаемых и
подвижных объектов сетей на единой инфраструктуре.
Принципы работы
Система WiMAX состоит из двух основных частей:
1. Базовая станция WiMAX, может размещаться на высотном объекте здании или вышке.
2. Приемник WiMAX: антенна с приемником (рис. 2.39.).
Соединение между базовой станцией и клиентским приемником
производится в СВЧ диапазоне 2-11 ГГц. Данное соединение в идеальных
условиях позволяет передавать данные со скоростью до 20 Мбит/с и не
требует, чтобы станция находилась на расстоянии прямой видимости от
пользователя. Этот режим работы базовой станции WiMAX близок широко
используемому стандарту 802.11 (Wi-Fi), что допускает совместимость уже
выпущенных клиентских устройств и WiMAX.
Рис. 2.39. Архитектура WiMAX
144
Следует помнить, что технология WiMAX применяется как на
"последней миле" - конечном участке между провайдером и пользователем, так и для предоставления доступа региональным сетям: офисным, районным.
Между соседними базовыми станциями устанавливается постоянное
соединение с использованием сверхвысокой частоты 10-66 ГГц радиосвязи
прямой видимости. Данное соединение в идеальных условиях позволяет
передавать данные со скоростью до 120 Мбит/с. Ограничение по условию
прямой видимости, разумеется, не является преимуществом, однако оно
накладывается только на базовые станции, участвующие в цельном покрытии
района, что вполне возможно реализовать при размещении оборудования.
Как минимум одна из базовых станций может быть постоянно связана с
сетью провайдера через широкополосное скоростное соединение. Фактически,
чем больше станций имеют доступ к сети провайдера, тем выше скорость и
надежность передачи данных. Однако даже при небольшом количестве точек
система способна корректно распределить нагрузку за счет сотовой топологии.
На базе сотового принципа разрабатываются также пути построения
оптимальной сети, огибающей крупные объекты (например, горные массивы),
когда серия последовательных станций передает данные по эстафетному
принципу. Подобные разработки планируется включить в следующую версию
стандарта. Ожидается, что эти изменения позволят существенно поднять
скорость (рис. 2.40.).
145
Рис. 2.40. Покрытие WiMAX
По структуре сети стандарта IEEE 802.16 очень похожи на
традиционные сети мобильной связи: здесь тоже имеются базовые станции,
которые действуют в радиусе до 50 км, при этом их также необязательно
устанавливать на вышках. Для них вполне подходят крыши домов, требуется
лишь соблюдение условия прямой видимости между станциями. Для
соединения базовой станции с пользователем необходимо наличие
абонентского оборудования. Далее сигнал может поступать по стандартному
Ethernet-кабелю, как непосредственно на конкретный компьютер, так и на
точку доступа стандарта 802.11 Wi-Fi или в локальную проводную сеть
стандарта Ethernet. Это позволяет сохранить существующую инфраструктуру
районных или офисных локальных сетей при переходе с кабельного доступа
на WiMAX. Кроме того, это дает возможность максимально упростить
развертывание сетей, используя знакомые технологии для подключения
компьютеров.
Режимы работы
Стандарт 802.16e-2005 вобрал в себя все ранее выходившие версии и на
данный момент предоставляет следующие режимы:
146
1. Fixed WiMAX - фиксированный доступ.
2. Nomadic WiMAX - сеансовый доступ.
3. Portable WiMAX - доступ в режиме перемещения.
4. Mobile WiMAX - мобильный доступ.
Fixed WiMAX
Фиксированный
доступ
представляет
собой
альтернативу
широкополосным проводным технологиям (xDSL, T1 и т. п.). Стандарт
использует диапазон частот 10-66 ГГц. Этот частотный диапазон из-за
сильного затухания коротких волн требует прямой видимости между
передатчиком и приемником сигнала (рис. 2.41). С другой стороны, данный
частотный диапазон позволяет избежать одной из главных проблем радиосвязи
- многолучевого распространения сигнала. При этом ширина каналов связи в
этом частотном диапазоне довольно велика (типичное значение - 25 или 28
МГц), что позволяет достигать скоростей передачи до 120 Мбит/с.
Фиксированный режим включался в версию стандарта 802.16d-2004 и уже
используется в ряде стран. Однако большинство компаний, предлагающих
услуги Fixed WiMAX, ожидают скорого перехода на портативный и в
дальнейшем на мобильный WiMAX.
Nomadic WiMAX
Сеансовый (кочующий) доступ добавил понятие сессий к уже
существующему Fixed WiMAX. Наличие сессий позволяет свободно
перемещать клиентское оборудование между сессиями и восстанавливать
соединение уже с помощью других вышек WiMAX, нежели те, что
использовались во время предыдущей сессии. Такой режим разработан в
основном для портативных устройств, таких как ноутбуки, КПК. Введение
сессий позволяет также уменьшить расход энергии клиентского устройства,
что тоже немаловажно для портативных устройств.
147
Рис. 2.41. Прямая видимость между передатчиком и приемником сигнала
Portable WiMAX
Для режима Portable WiMAX добавлена возможность автоматического
переключения клиента от одной базовой станции WiMAX к другой без потери
соединения. Однако для данного режима все еще ограничена скорость
передвижения клиентского оборудования - 40 км/ч. Впрочем, уже в таком виде
можно использовать клиентские устройства в дороге (в автомобиле при
движении по жилым районам города, где скорость ограничена, на велосипеде,
двигаясь пешком и т. д.). Введение данного режима сделало целесообразным
использование технологии WiMAX для смартфонов и КПК (рис. 2.42). В 2006
году начат выпуск устройств, работающих в портативном режиме WiMAX.
Считается, что до 2008 года внедрение и продвижение на рынок именно этого
режима будет приоритетным.
148
Рис. 2.42. Использование технологии WiMax для смартфонов и КПК
Mobile WiMAX
Этот режим был разработан в стандарте 802.16e-2005 и позволил
увеличить скорость перемещения клиентского оборудования до 120 км/ч.
Основные достижения этого режима:
1. Устойчивость к многолучевому распространению сигнала и
собственным помехам.
2. Масштабируемая пропускная способность канала.
3. Технология Time Division Duplex (TDD), которая позволяет
эффективно обрабатывать асимметричный трафик и упрощает управление
сложными системами антенн за счет эстафетной передачи сессии между
каналами.
4. Технология Hybrid-Automatic Repeat Request (H-ARQ), которая
позволяет сохранять устойчивое соединение при резкой смене направления
движения клиентского оборудования.
5. Распределение выделяемых частот и использование субканалов при
высокой загрузке позволяет оптимизировать передачу данных с учетом силы
сигнала клиентского оборудования.
6. Управление энергосбережением позволяет оптимизировать затраты
энергии на поддержание связи портативных устройств в режиме ожидания или
простоя.
7. Технология Network-Optimized Hard Handoff (HHO), которая
позволяет до 50 миллисекунд и менее сократить время на переключение
клиента между каналами.
149
8. Технология Multicast and Broadcast Service (MBS), которая объединяет
функции DVB-H, MediaFLO и 3GPP E-UTRA для:
достижения высокой скорости передачи данных с использованием
одночастотной сети;
гибкого распределения радиочастот;
низкого потребления энергии портативными устройствами;
быстрого переключения между каналами.
9. Технология Smart Antenna, поддерживающая субканалы и эстафетную
передачу сессии между каналами, что позволяет использовать сложные
системы антенн, включая формирование диаграммы направленности,
пространственно-временное
маркирование,
пространственное
мультиплексирование (уплотнение).
10. Технология Fractional Frequency Reuse, которая позволяет
контролировать
наложение/пересечение
каналов
для
повторного
использования частот с минимальными потерями.
11. Размер фрейма в 5 миллисекунд обеспечивает компромисс между
надежностью передачи данных за счет использования малых пакетов и
накладными расходами за счет увеличения числа пакетов (и, как следствие,
заголовков).
Стандарт WiMAX сегодня находится на стадии тестирования.
Единственная конкурентоспособная версия стандарта, для которой существует
лицензия на оборудование, - это Fixed WiMAX. Однако провайдеры не спешат
заменять дорогостоящее, но уже работающее оборудование новым, ибо это
требует
существенных
вложений
без
возможности
поднять
производительность (и, соответственно, цену на услуги) и вернуть вложенные
средства быстро. При развертывании WiMAX-сетей там, где доступа к Internet
раньше не было, приходится сталкиваться с проблемой наличия в
малонаселенных или удаленных регионах достаточного числа потенциальных
пользователей, обладающих необходимым оборудованием или денежными
средствами на его приобретение. То же касается и перехода на Mobile WiMAX
после его лицензирования, так как, помимо затрат провайдеров на
модернизацию операторского оборудования, следует учитывать затраты
пользователей на модернизацию клиентского оборудования: приобретение
WiMAX-карт и обновление портативных устройств.
Вторым сдерживающим фактором является позиция многих
специалистов, которые считают недопустимым использование сверхвысоких
частот радиосвязи прямой видимости, вредных для здоровья человека.
Наличие вышек на расстоянии десятков метров от жилых объектов (а базовые
станции рекомендуется устанавливать на крышах домов) может пагубно
сказаться на здоровье жителей, особенно детей. Однако результатов
медицинских экспериментов, подтверждающих наличие или высокую
вероятность вреда, пока не опубликовано.
Третьим фактором является, как ни странно, быстрое развитие
стандарта. Появление новых, принципиально различных версий стандарта
150
WiMAX, приводит к вопросу о неизбежной смене оборудования через
несколько лет. Так, станции, сейчас работающие в режиме Fixed WiMAX, не
смогут поддерживать Mobile WiMAX. При переходе на следующий стандарт
потребуется обновление части оборудования, что отпугивает крупных
провайдеров. На данный момент внедрение и использование Fixed WiMAX на
коммерческой основе могут позволить себе только небольшие компании,
которые не планируют значительного расширения (в том числе
территориального) и используют новые технологии для привлечения клиентов.
И, наконец, четвертым фактором является наличие конкурентного
стандарта широкополосной связи, использующего близкие диапазоны
радиочастот - WBro. Этот стандарт тоже до конца не лицензирован, однако он
уже получил определенную известность. А потому всегда существует
вероятность, что через несколько лет предпочтительным окажется не WiMAX,
а WBro. И компании, вложившие средства в разработку и внедрение WiMAXсистем, серьезно пострадают. Впрочем, из-за схожести стандартов существует
также вероятность слияния и в дальнейшем использования оборудования,
поддерживающего оба стандарта одновременно.
Таким образом, при видимых преимуществах стандарта еще рано
говорить о тотальном внедрении технологии или даже о возможности
перехода на нее и отказа от существующих сетевых решений. Необходимо
сначала получить первое лицензированное оборудование стандарта Mobile
WiMAX, а также результаты полевых испытаний. Затем можно ожидать
утверждения стандартов версии 802.16f (Full Mobile WiMAX) и 802.16m.
Первый из них включает в себя алгоритмы обхода препятствий и
оптимизацию сотовой топологии покрытия между базовыми станциями.
Второй стандарт должен поднять скорость передачи данных со стационарным
клиентским оборудованием до 1 Гбит/с и с мобильным клиентским
оборудованием - до 100 Мбит/с. Эти стандарты планируется утвердить в 20082009 годах соответственно. Далее можно ожидать лицензирования
оборудования с поддержкой новых стандартов, конкуренции на рынке
производства оборудования и услуг доступа через WiMAX. И только тогда
можно будет говорить о действительных преимуществах и недостатках этой
технологии по сравнению с ныне существующими.
2.9. Угрозы и риски безопасности беспроводных сетей
Безопасность – один из ключевых факторов проектирования любых
систем. Современные беспроводные технологии предлагают не очень
эффективные методы по защите информации. Традиционно различают
несколько видов атак на беспроводные сети, различающихся методами,
целями и степенью угрозы.
Главное отличие проводных сетей от беспроводных связано с абсолютно
неконтролируемой областью между конечными точками сети. В достаточно
широком пространстве сетей беспроводная среда никак не контролируется.
151
Современные беспроводные технологии предлагают ограниченный набор
средств управления всей областью развертывания сети. Это позволяет
атакующим, находящимся в непосредственной близости от беспроводных
структур, производить целый ряд нападений, которые были невозможны в
проводной сети. Обсудим характерные только для беспроводного окружения
угрозы безопасности, оборудование, которое используется при атаках,
проблемы, возникающие при роуминге от одной точки доступа к другой,
укрытия для беспроводных каналов и криптографическую защиту открытых
коммуникаций.
Подслушивание
Наиболее распространенная проблема в таких открытых и
неуправляемых средах, как беспроводные сети, - возможность анонимных
атак. Анонимные вредители могут перехватывать радиосигнал и
расшифровывать передаваемые данные, как показано на рис. 2.43.
Оборудование, используемое для подслушивания в сети, может быть не
сложнее того, которое используется для обычного доступа к этой сети. Чтобы
перехватить передачу, злоумышленник должен находиться вблизи от
передатчика.
Перехваты
такого
типа
практически
невозможно
зарегистрировать, и еще труднее помешать им. Использование антенн и
усилителей дает злоумышленнику возможность находиться на значительном
растоянии от цели в процессе перехвата. Подслушивание позволяет собрать
информацию в сети, которую впоследствии предполагается атаковать.
Первичная цель злоумышленника - понять, кто использует сеть, какие данные
в ней доступны, каковы возможности сетевого оборудования, в какие моменты
его эксплуатируют наиболее и наименее интенсивно и какова территория
развертывания сети. Все это пригодится для того, чтобы организовать атаку на
сеть. Многие общедоступные сетевые протоколы передают такую важную
информацию, как имя пользователя и пароль, открытым текстом. Перехватчик
может использовать добытые данные для того, чтобы получить доступ к
сетевым ресурсам. Даже если передаваемая информация зашифрована, в руках
злоумышленника оказывается текст, который можно запомнить, а потом уже
раскодировать.
152
Рис. 2.43. Атака "подслушивание"
Другой способ подслушивания - подключение к беспроводной сети.
Активное подслушивание в локальной беспроводной сети обычно основано на
неправильном использовании протокола Address Resolution Protocol (ARP).
Изначально эта технология была создана для "прослушивания" сети. В
действительности мы имеем дело с атакой типа MITM (Man In The Middle "человек посередине") на уровне связи данных. Они могут принимать
различные формы и используются для разрушения конфиденциальности и
целостности сеанса связи. Атаки MITM более сложны, чем большинство
других атак: для их проведения требуется подробная информация о сети.
Злоумышленник обычно подменяет идентификацию одного из сетевых
ресурсов. Когда жертва атаки инициирует соединение, мошенник
перехватывает его и затем завершает соединение с требуемым ресурсом, а
потом пропускает все соединения с этим ресурсом через свою станцию. При
этом атакующий может посылать и изменять информацию или подслушивать
все переговоры и потом расшифровывать их.
Атакующий посылает ARP-ответы, на которые не было запроса, к
целевой станции локальной сети, которая отправляет ему весь проходящий
через нее трафик. Затем злоумышленник будет отсылать пакеты указанным
адресатам.
Таким образом, беспроводная станция может перехватывать трафик
другого беспроводного клиента (или проводного клиента в локальной сети).
Отказ в обслуживании (Denial of Service - DOS)
Полную парализацию сети может вызвать атака типа DOS. Во всей сети,
включая базовые станции и клиентские терминалы, возникает такая сильная
интерференция, что станции не могут связываться друг с другом (рис. 2.44).
Эта атака выключает все коммуникации в определенном районе. Если она
153
проводится в достаточно широкой области, то может потребовать
значительных мощностей. Атаку DOS на беспроводные сети трудно
предотвратить или остановить. Большинство беспроводных сетевых
технологий использует нелицензированные частоты - следовательно,
допустима интерференция от целого ряда электронных устройств.
Рис. 2.44. Атака "отказ в обслуживании" в беспроводных коммуникациях
Глушение клиентской станции
Глушение в сетях происходит тогда, когда преднамеренная или
непреднамеренная интерференция превышает возможности отправителя или
получателя в канале связи, и канал выходит из строя. Атакующий может
использовать различные способы глушения. Глушение клиентской станции
дает мошеннику возможность подставить себя на место заглушенного клиента,
как показано на рис. 2.45. Также глушение может использоваться для отказа в
обслуживании клиента, чтобы ему не удавалось реализовать соединение.
Более изощренные атаки прерывают соединение с базовой станцией, чтобы
затем она была присоединена к станции злоумышленника.
Глушение базовой станции
Глушение базовой станции предоставляет возможность подменить ее
атакующей станцией, как показано на рис. 2.46. Такое глушение лишает
пользователей доступа к услугам.
Рис. 2.45. Атака глушения клиента для перехвата соединения
154
Рис.2. 46. Атака глушения базовой станции для перехвата соединения
Как отмечалось выше, большинство беспроводных сетевых технологий
использует нелицензированные частоты. Поэтому многие устройства, такие
как радиотелефоны, системы слежения и микроволновые печи, могут влиять
на работу беспроводных сетей и глушить беспроводное соединение. Чтобы
предотвратить такие случаи непреднамеренного глушения, прежде чем
покупать дорогостоящее беспроводное оборудование, надо тщательно
проанализировать место его установки. Такой анализ поможет убедиться в
том, что другие устройства не помешают коммуникациям.
Угрозы криптозащиты
В беспроводных сетях применяются криптографические средства для
обеспечения целостности и конфиденциальности информации. Однако
оплошности приводят к нарушению коммуникаций и использованию
информации злоумышленниками. WEP - это криптографический механизм,
созданный для обеспечения безопасности сетей стандарта 802.11. Этот
механизм разработан с единственным статическим ключом, который
применяется всеми пользователями. Управляющий доступ к ключам, частое их
изменение и обнаружение нарушений практически невозможны. Исследование
WEP-шифрования выявило уязвимые места, из-за которых атакующий может
полностью восстановить ключ после захвата минимального сетевого трафика.
В Internet есть средства, которые позволяют злоумышленнику восстановить
ключ в течение нескольких часов. Поэтому на WEP нельзя полагаться как на
средство аутентификации и конфиденциальности в беспроводной сети.
Использовать описанные криптографические механизмы лучше, чем не
использовать никаких, но, с учетом известной уязвимости, необходимы другие
методы защиты от атак. Все беспроводные коммуникационные сети
подвержены атакам прослушивания в период контакта (установки соединения,
сессии связи и прекращения соединения). Сама природа беспроводного
соединения не позволяет его контролировать, и потому оно требует защиты.
Управление ключом, как правило, вызывает дополнительные проблемы, когда
применяется при роуминге и в случае общего пользования открытой средой.
Далее мы более внимательно рассмотрим проблемы криптографии и их
решения.
Анонимность атак
Беспроводной доступ обеспечивает полную анонимность атаки. Без
соответствующего оборудования в сети, позволяющего определять
155
местоположение, атакующий может легко сохранять анонимность и прятаться
где угодно на территории действия беспроводной сети. В таком случае
злоумышленника трудно поймать и еще сложнее передать дело в суд.
В недалеком будущем прогнозируется ухудшение распознаваемости атак
в Internet из-за широкого распространения анонимных входов через
небезопасные точки доступа. Уже существует много сайтов, где публикуются
списки таких точек, которые можно использовать с целью вторжения. Важно
отметить, что многие мошенники изучают сети не для атак на их внутренние
ресурсы, а для получения бесплатного анонимного доступа в Internet,
прикрываясь которым, они атакуют другие сети. Если операторы связи не
принимают мер предосторожности против таких нападений, они должны нести
ответственность за вред, причиняемый другим сетям при использовании их
доступа к Internet.
Физическая защита
Устройства беспроводного доступа к сети должны быть маленькими и
переносимыми (КПК, ноутбуки), как и точки доступа. Кража таких устройств
во многом приводит к тому, что злоумышленник может попасть в сеть, не
предпринимая сложных атак, т. к. основные механизмы аутентификации в
стандарте 802.11 рассчитаны на регистрацию именно физического
аппаратного устройства, а не учетной записи пользователя. Так что потеря
одного сетевого интерфейса и несвоевременное извещение администратора
может привести к тому, что злоумышленник получит доступ к сети без особых
хлопот.
Основы криптографии
Термины и их определения.
Аутентификация: определение источника информации, то есть
конечного пользователя или устройства (центрального компьютера, сервера,
коммутатора, маршрутизатора и т. д.).
Целостность данных: обеспечение неизменности данных в ходе их
передачи.
Конфиденциальность данных: обеспечение просмотра данных в
приемлемом формате только для лиц, имеющих право на доступ к этим
данным.
Шифрование: метод изменения информации таким образом, что
прочитать ее не может никто, кроме адресата, который должен ее
расшифровать.
Расшифровка: метод восстановления измененной информации и
приведения ее в читаемый вид.
Ключ: цифровой код, который может использоваться для шифрования и
расшифровки информации, а также для ее подписи.
Общий
ключ:
цифровой
код,
используемый
для
шифрования/расшифровки информации и проверки цифровых подписей; этот
ключ может быть широко распространен; общий ключ используется с
соответствующим частным ключом.
156
Частный
ключ:
цифровой
код,
используемый
для
шифрования/расшифровки информации и проверки цифровых подписей;
владелец этого ключа должен держать его в секрете; частный ключ
используется с соответствующим общим ключом.
Секретный ключ: цифровой код, совместно используемый двумя
сторонами для шифрования и расшифровки данных.
Хэш-функция: математический расчет, результатом которого является
последовательность битов (цифровой код). Имея этот результат, невозможно
восстановить исходные данные, использовавшиеся для расчета.
Хэш: последовательность битов, полученная в результате расчета хэшфункции.
Результат обработки сообщения (Message digest): величина,
выдаваемая хэш-функцией (то же, что и "хэш").
Шифр: любой метод шифрования данных.
Цифровая подпись: последовательность битов, прилагаемая к
сообщению (зашифрованный хэш), которая обеспечивает аутентификацию и
целостность данных.
AAA
(Authentication,
Authorization,
Accounting):
архитектура
аутентификации, авторизации и учета. VPN (Virtual Private Networks):
виртуальные частные сети.
IDS (Intrusion Detection System): системы обнаружения вторжений.
Криптография
Криптографией называется наука о составлении и расшифровке
закодированных сообщений. Криптография является важным элементом для
механизмов аутентификации, целостности и конфиденциальности.
Аутентификация
служит
средством
подтверждения
личности
отправителя или получателя информации. Целостность означает, что данные
не были изменены, а конфиденциальность обеспечивает ситуацию, при
которой данные не может понять никто, кроме их отправителя и получателя.
Обычно криптографические механизмы существуют в виде алгоритма
(математической функции) и секретной величины (ключа). Аутентификация,
целостность данных и конфиденциальность данных поддерживаются тремя
типами криптографических функций: симметричным шифрованием,
асимметричным шифрованием и хэш-функциями.
Симметричное шифрование
Симметричное шифрование, которое часто называют шифрованием с
помощью секретных ключей, в основном используется для обеспечения
конфиденциальности данных. Для того чтобы обеспечить конфиденциальность
данных, абоненты должны совместно выбрать единый математический
алгоритм, который будет использоваться для шифрования и расшифровки
данных. Кроме того, им нужно выбрать общий ключ (секретный ключ),
который
будет
использоваться
с
принятым
ими
алгоритмом
шифрования/расшифровки.
Пример симметричного шифрования показан на рис. 2.47.
157
Рис. 2.47. Симметричное шифрование
Сегодня широко используются такие алгоритмы секретных ключей, как
Data Encryption Standard (DES), 3DES (или "тройной DES") и International Data
Encryption Algorithm (IDEA). Эти алгоритмы шифруют сообщения блоками по
64 бита. Если объем сообщения превышает 64 бита (как это обычно и бывает),
необходимо разбить его на блоки по 64 бита в каждом, а затем каким-то
образом свести их воедино. Такое объединение, как правило, осуществляется
одним из четырех методов:
электронной кодовой книги (Electronic Code Book - ECB);
цепочки зашифрованных блоков (Cipher Block Changing - CBC);
x-битовой зашифрованной обратной связи (Cipher FeedBack - CFB-x);
выходной обратной связи (Output FeedBack - OFB).
Шифрование с помощью секретного ключа чаще всего используется для
поддержки конфиденциальности данных и очень эффективно реализуется с
помощью неизменяемых "вшитых" программ (firmware). Этот метод можно
использовать для аутентификации и поддержания целостности данных, но
метод цифровой подписи является более эффективным. С методом секретных
ключей связаны следующие проблемы:
Необходимо часто менять секретные ключи, поскольку всегда
существует риск их случайного раскрытия.
Трудно обеспечить безопасную генерацию и распространение
секретных ключей.Асимметричное шифрование
Асимметричное шифрование часто называют шифрованием с помощью
общего ключа, при котором используются разные, но взаимно дополняющие
друг друга ключи и алгоритмы шифрования и расшифровки. Для того чтобы
установить связь с использованием шифрования через общий ключ, обеим
сторонам нужно получить два ключа: общий и частный (рис. 2.6.). Для
шифрования и расшифровки данных стороны будут пользоваться разными
ключами.
Рис. 2.48. Асимметричное шифрование
158
Вот некоторые наиболее типичные цели использования алгоритмов
общих ключей:
обеспечение конфиденциальности данных;
аутентификация отправителя;
безопасное получение общих ключей для совместного использования.
Механизмы генерирования пар общих/частных ключей являются
достаточно сложными, но в результате получаются пары очень больших
случайных чисел, одно из которых становится общим ключом, а другое частным. Генерация таких чисел требует больших процессорных мощностей,
поскольку эти числа, а также их произведения, должны отвечать строгим
математическим критериям. Однако этот процесс абсолютно необходим для
обеспечения уникальности каждой пары общих/частных ключей. Алгоритмы
шифрования с помощью общих ключей редко используются для поддержки
конфиденциальности данных из-за ограничений производительности. Вместо
этого их часто используют в приложениях, где аутентификация проводится с
помощью цифровой подписи и управления ключами. Из наиболее известных
алгоритмов общих ключей можно назвать RSA (Rivest-Shamir-Adleman,
Ривест-Шамир-Адельман) и ElGamal (Эль-Гамал).
Безопасная хэш-функция
Безопасной хэш-функцией называется та функция, которую легко
рассчитать, но обратное восстановление практически невозможно, так как
требует непропорционально больших усилий. Входящее сообщение
пропускается через математическую функцию (хэш-функцию), и в результате
на выходе мы получаем некую последовательность битов (рис. 2.49). Эта
последовательность называется "хэш" (или "результат обработки сообщения").
Хэш-функция принимает сообщение любой длины и выдает на выходе хэш
фиксированной длины.
Рис. 2.49. Вычисление хэш-функции
Обычные хэш-функции включают:
алгоритм Message Digest 4 (MD4);
алгоритм Message Digest 5 (MD5);
алгоритм безопасного хэша (Secure Hash Algorithm - SHA).
159
Цифровая подпись
Цифровая подпись представляет собой зашифрованный хэш, который
добавляется к документу. Принцип шифрования с цифровой подписью
поясняет рисунок 2.50.
Рис. 2.50. Проверка подлинности сообщения с цифровой подписью
Она может использоваться для аутентификации отправителя и
целостности документа. Цифровые подписи можно создавать с помощью
сочетания хэш-функций и криптографии общих ключей.
Цифровой сертификат
Цифровым сертификатом называется сообщение с цифровой подписью,
которое в настоящее время обычно используется для подтверждения
действительности общего ключа. Общий формат широко распространенного
сертификата X.509 включает следующие элементы:
1. версии;
2. серийный номер сертификата;
3. эмитент информации об алгоритме;
4. эмитент сертификата;
5. даты начала и окончания действия сертификата;
6. информацию об алгоритме общего ключа субъекта сертификата;
7. подпись эмитирующей организации.
Эмитирующая организация, выдающая сертификат, или центр
сертификации (Certification Authority - CA), является надежной третьей
стороной, которой вы полностью доверяете. Передача общего ключа
происходит следующим образом (рис. 2.51.):
1. отправитель создает сертификат, в который включает общий ключ;
2. получатель запрашивает у центра сертификации сертификат
отправителя;
3. центр сертификации подписывает сертификат отправителя;
4. центр сертификации посылает подписанный сертификат получателю;
5. получатель проверяет подпись центра сертификации и извлекает
общий ключ отправителя.
160
Рис. 2.51. Передача ключа с цифровым сертификатом
Для реализации этой схемы необходима надежная система
распространения общего ключа CA среди пользователей. Для этого создана
инфраструктура открытых ключей PKI (Public Key Infrastructure).
Использование PKI позволяет упростить управление безопасностью путем
автоматизации, усилить режим безопасности благодаря значительной
сложности компрометации цифровых сертификатов, усовершенствовать и
интегрировать управление защитой, усилить контроль защищенного доступа к
бизнес-ресурсам. PKI представляет собой иерархическую архитектуру
управления атрибутами безопасности пользователей, участвующих в
защищенном обмене информацией. Помимо людей в PKI также могут
участвовать элементы инфраструктуры сети - межсетевые экраны,
концентраторы виртуальных частных сетей, маршрутизаторы, защищенные
серверы приложений и другие программно-аппаратные комплексы,
нуждающиеся в проверке подлинности и шифровании. Каждый субъект PKI
имеет цифровой сертификат, эмитируемый, отзываемый и подписанный
органом сертификации. Сертификат представляет собой упорядоченную
структуру данных, связывающую общий ключ с его обладателем, и содержит
набор элементов, используемых субъектами при установлении защищенных
соединений.
161
2.10. Протоколы безопасности беспроводных сетей
Продолжая рассматривать тему безопасности беспроводных сетей,
остановимся более подробно на механизмах шифрования. Основное внимание
уделено механизму шифрования WEP: его особенностям и уязвимостям.
Подробно описываются принципы активных и пассивных сетевых атак,
потоковое и блочное шифрования. Существует множество технологий
безопасности, и все они предлагают решения для важнейших компонентов
политики в области защиты данных: аутентификации, поддержания
целостности данных и активной проверки. Мы определяем аутентификацию
как аутентификацию пользователя или конечного устройства (клиента,
сервера, коммутатора, маршрутизатора, межсетевого экрана и т. д.) и его
местоположения с последующей авторизацией пользователей и конечных
устройств. Целостность данных включает такие области, как безопасность
сетевой инфраструктуры, безопасность периметра и конфиденциальность
данных. Активная проверка помогает удостовериться в том, что установленная
политика в области безопасности соблюдается, и отследить все аномальные
случаи и попытки несанкционированного доступа.
Механизм шифрования WEP
Шифрование WEP (Wired Equivalent Privacy - секретность на уровне
проводной связи) основано на алгоритме RC4 (Rivest's Cipher v.4 - код
Ривеста), который представляет собой симметричное потоковое шифрование.
Как было отмечено ранее, для нормального обмена пользовательскими
данными ключи шифрования у абонента и точки радиодоступа должны быть
идентичными. Ядро алгоритма состоит из функции генерации ключевого
потока. Эта функция генерирует последовательность битов, которая затем
объединяется с открытым текстом посредством суммирования по модулю два.
Дешифрация состоит из регенерации этого ключевого потока и суммирования
его с шифрограммой по модулю два для восстановления исходного текста.
Другая главная часть алгоритма - функция инициализации, которая использует
ключ переменной длины для создания начального состояния генератора
ключевого потока. RC4 - фактически класс алгоритмов, определяемых
размером его блока. Этот параметр n является размером слова для алгоритма.
Обычно, n = 8, но в целях анализа можно уменьшить его. Однако для
повышения уровня безопасности необходимо задать большее значение этой
величины. Внутреннее состояние RC4 состоит из массива размером 2n слов и
двух счетчиков, каждый размером в одно слово. Массив известен как S-бокс, и
далее он будет обозначаться как S. Он всегда содержит перестановку 2n
возможных значений слова. Два счетчика обозначены через i и j. Алгоритм
инициализации RC4 приведен ниже.
Этот алгоритм использует ключ, сохраненный в Key и имеющий длину l
байт. Инициализация начинается с заполнения массива S, далее этот массив
перемешивается путем перестановок, определяемых ключом. Так как над S
162
выполняется только одно действие, должно выполняться утверждение, что S
всегда содержит все значения кодового слова. Начальное заполнение массива:
for i = 0 to 2n – 1
{
S[i] = i
j=0
}
Скрэмблирование:
for i = 0 to 2n – 1
{
j = j + S[i] + Key[i mod l]
Перестановка (S[i], S[j])
}
Генератор ключевого потока RC4 переставляет значения, хранящиеся в
S, и каждый раз выбирает новое значение из S в качестве результата. В одном
цикле RC4 определяется одно n-битное слово K из ключевого потока, которое
в дальнейшем суммируется с исходным текстом для получения
зашифрованного текста.
Инициализация:
i=0
j=0
Цикл генерации:
i=i+1
j = j + S[i]
Перестановка (S[i], S[j])
Результат: K = S[S[i] + S[j]].
Особенности WEP-протокола следующие:
Достаточно устойчив к атакам, связанным с простым перебором
ключей шифрования, что обеспечивается необходимой длиной ключа и
частотой смены ключей и инициализирующего вектора;
Самосинхронизация для каждого сообщения. Это свойство является
ключевым для протоколов уровня доступа к среде передачи, где велико число
искаженных и потерянных пакетов;
Эффективность: WEP легко реализовать;
Открытость;
Использование WEP-шифрования не является обязательным в сетях
стандарта IEEE 802.11.
Для непрерывного шифрования потока данных используется потоковое
и блочное шифрование.
Потоковое шифрование
При потоковом шифровании выполняется побитовое сложение по
модулю
2
(функция
"исключающее
ИЛИ",
XOR)
ключевой
последовательности, генерируемой алгоритмом шифрования на основе заранее
163
заданного ключа, и исходного сообщения. Ключевая последовательность
имеет длину, соответствующую длине исходного сообщения, подлежащего
шифрованию (рис. 2.52).
Рис. 2.52. Потоковое шифрование
Блочное шифрование
Блочное шифрование работает с блоками заранее определенной длины,
не меняющейся в процессе шифрования. Исходное сообщение
фрагментируется на блоки, и функция XOR вычисляется над ключевой
последовательностью и каждым блоком. Размер блока фиксирован, а
последний фрагмент исходного сообщения дополняется пустыми символами
до длины нормального блока (рис. 2.53). Например, при блочном шифровании
с 16-байтовыми блоками исходное сообщение длиной в 38 байтов
фрагментируется на два блока длиной по 16 байтов и 1 блок длиной 6 байтов,
который затем дополняется 10 байтами пустых символов до длины
нормального блока.
Потоковое шифрование и блочное шифрование используют метод
электронной кодовой книги (ECB). Метод ECB характеризуется тем, что одно
и то же исходное сообщение на входе всегда порождает одно и то же
зашифрованное сообщение на выходе. Это потенциальная брешь в системе
безопасности, ибо сторонний наблюдатель, обнаружив повторяющиеся
последовательности в зашифрованном сообщении, в состоянии сделать
обоснованные предположения относительно идентичности содержания
исходного сообщения.
Рис. 2.53. Блочное шифрование
Для устранения указанной проблемы используют:
Векторы инициализации (Initialization Vectors - IVs).
164
Обратную связь (feedback modes).
До начала процесса шифрования 40- или 104-битный секретный ключ
распределяется между всеми станциями, входящими в беспроводную сеть. К
секретному ключу добавляется вектор инициализации (IV).
Вектор инициализации (Initialization Vector - IV)
Вектор инициализации используется для модификации ключевой
последовательности. При использовании вектора инициализации ключевая
последовательность генерируется алгоритмом шифрования, на вход которого
подается секретный ключ, совмещенный с IV. При изменении вектора
инициализации ключевая последовательность также меняется. На рис. 2.54
исходное сообщение шифруется с использованием новой ключевой
последовательности, сгенерированной алгоритмом шифрования после подачи
на его вход комбинации из секретного ключа и вектора инициализации, что
порождает на выходе шифрованное сообщение. Стандарт IEEE 802.11
рекомендует использовать новое значение вектора инициализации для
каждого нового фрейма, передаваемого в радиоканал.
Рис. 2.54. Алгоритм шифрования WEP
Таким образом, один и тот же нешифрованный фрейм, передаваемый
многократно, каждый раз будет порождать уникальный шифрованный фрейм.
Вектор инициализации имеет длину 24 бита и совмещается с 40- или 104битовым базовым ключом шифрования WEP таким образом, что на вход
алгоритма шифрования подается 64- или 128-битовый ключ. Вектор
инициализации присутствует в нешифрованном виде в заголовке фрейма в
радиоканале, с тем чтобы принимающая сторона могла успешно декодировать
этот фрейм. Несмотря на то, что обычно говорят об использовании
шифрования WEP с ключами длиной 64 или 128 битов, эффективная длина
ключа составляет лишь 40 или 104 бита по причине передачи вектора
инициализации в нешифрованном виде. При настройках шифрования в
оборудовании при 40-битном эффективном ключе вводятся 5 байтовых ASCIIсимволов (
) или 10 шестнадцатеричных чисел (
), и при
104-битном эффективном ключе вводятся 13 байтовых ASCII-символов
(
) или 26 шестнадцатеричных чисел (
). Некоторое
оборудование может работать со 128-битным ключом.
165
Обратная связь
Обратная связь модифицирует процесс шифрования и предотвращает
порождение одним и тем же исходным сообщением одного и того же
шифрованного сообщения. Обратная связь обычно используется при блочном
шифровании. Чаще всего встречается тип обратной связи, известный как
цепочка шифрованных блоков (CBC).
В основе использования цепочки шифрованных блоков лежит идея
вычисления двоичной функции XOR между блоком исходного сообщения и
предшествовавшим ему блоком шифрованного сообщения. Поскольку самый
первый блок не имеет предшественника, для модификации ключевой
последовательности используют вектор инициализации. Работу цепочки
шифрованных блоков иллюстрирует рис.2.55.
Уязвимость шифрования WEP
Атаки на зашифрованные данные с помощью технологии WEP можно
подразделить на два метода: пассивные и активные. Пассивные сетевые атаки.
В августе 2001 года криптоаналитики Флурер С, Мантин И. и Шамир А.
(Fluhrer S., Mantin I., Shamir A.) установили, что секретный ключ шифрования
WEP может быть вычислен с использованием определенных фреймов,
пассивно собранных в беспроводной локальной сети. Причиной уязвимости
послужила реализация в WEP метода планирования ключей (Key Scheduling
Algorithm - KSA) алгоритма потокового шифрования RC4. Некоторые векторы
инициализации (так называемые "слабые" векторы) дают возможность
установить побайтовый состав секретного ключа, применяя статистический
анализ.
166
Рис. 2.55. Шифрование с обратной связью
Исследователями из AT&T/Rice University и авторами программы
AirSnort была продемонстрирована возможность определения секретного
ключа длиной 40 и 104 битов после анализа всего лишь 4 миллионов фреймов.
Для загруженной беспроводной локальной сети это эквивалентно
приблизительно 4 часам работы, после чего ключ шифрования станет известен
пассивному наблюдателю. Подобная уязвимость делает шифрование с
использованием WEP неэффективным. Использование динамических
секретных ключей шифрования WEP решает проблему лишь частично, для
полного устранения уязвимости требуется усиление самого ключа.
Активные сетевые атаки. Индуктивное вычисление секретного
ключа шифрования WEP представляет собой процесс воздействия на
беспроводную локальную сеть для получения определенной информации и
относится к классу активных сетевых атак. Как было сказано ранее, при
потоковом шифровании выполняется двоичное сложение по модулю 2
(XOR) исходного сообщения с ключевой последовательностью с целью
получения шифрованного сообщения. Этот факт лег в основу данной
атаки. Высокая эффективность атаки индуктивного вычисления ключа,
предпринимаемой в беспроводной локальной сети IEEE 802.11,
объясняется отсутствием действенных средств контроля целостности
сообщений (Message Intgrity Check, MIC). Принимающая сторона не в
состоянии распознать факт модификации содержимого фрейма в
167
процессе передачи по общедоступному радиоканалу. Более того, значение
ICV (Integrity Check Value), предусмотренное стандартом для контроля
целостности сообщений, вычисляется с помощью функции CRC32 (32-bit
Cyclical Redundancy Check, контроль с помощью циклического 32-битного
избыточного кода), которая подвержена атакам с манипуляцией битами.
Таким образом, в отсутствии механизмов контроля целостности
сообщений беспроводные локальные сети подвержены активным атакам:
повторному использованию вектора инициализации (IV Replay) и
манипуляции битами (Bit-Flipping).
Повторное использование вектора инициализации (Initialization Vector
Replay Attacks), представляет собой разработанную теоретически и
реализованную практически активную сетевую атаку в беспроводной
локальной сети, существующую в нескольких разновидностях, одна из
которых описана ниже и проиллюстрирована рис. 2.56.
1. Хакер многократно отправляет абоненту беспроводной локальной
сети по проводной сети сообщение известного содержания (например, IPпакет, письмо по электронной почте и т. п.).
2. Хакер пассивно прослушивает радиоканал связи абонента с точкой
радиодоступа и собирает фреймы, предположительно содержащие
шифрованное сообщение.
3. Хакер вычисляет ключевую последовательность, применяя функцию
XOR к предполагаемому шифрованному и известному нешифрованному
сообщениям.
4. Хакер "выращивает" ключевую последовательность для пары вектора
инициализации
и
секретного
ключа,
породившей
ключевую
последовательность, вычисленную на предыдущем шаге.
Атакующий знает, что пара вектора инициализации и секретного ключа
шифрования, а значит и порождаемая ими ключевая последовательность,
может быть повторно использована для воссоздания ключевой
последовательности достаточной длины для нарушения конфиденциальности в
беспроводной локальной сети в условиях использования шифрования WEP.
168
Рис. 2.56. Повторное использование вектора инициализации
После того, как ключевая последовательность вычислена для фреймов
некоторой длины, ее можно "вырастить" до любого размера, как описано ниже
и показано на рис. 2.57.
1. Хакер создает фрейм на один байт длиннее, чем длина уже известной
ключевой последовательности. Пакеты ICMP (Internet Control Message Protocol
- протокол управляющих сообщений Internet), посылаемые командой ping,
идеальны для этих целей, ибо точка радиодоступа вынуждена на них отвечать.
2. Хакер увеличивает длину ключевой последовательности на один байт.
3. Значение дополнительного байта выбирается случайным образом из
256 возможных ASCII-символов.
169
Рис. 2.57. "Выращивание" ключевой последовательности
4. Если предполагаемое значение дополнительного байта ключевой
последовательности верно, то будет получен ожидаемый ответ от точки
радиодоступа, в данном примере это ICMP
5. Процесс повторяется до тех пор, пока не будет подобрана ключевая
последовательность нужной длины.
Манипуляция битами (Bit-Flipping Attacks)
Манипуляция битами преследует ту же цель, что и повторное
использование вектора инициализации, и опирается на уязвимость вектора
контроля целостности фрейма ICV Пользовательские данные могут
различаться от фрейма к фрейму, в то же время многие служебные поля и их
положение внутри фрейма остаются неизменными.
Хакер манипулирует битами пользовательских данных внутри фрейма 2го (канального) уровня модели OSI (Open Systems Interconnection) с целью
искажения 3-го (сетевого) уровня пакета. Процесс манипуляции показан на
рис. 2.58.
1. Хакер пассивно наблюдает фреймы беспроводной локальной сети с
помощью средств анализа трафика протокола 802.11.
2. Хакер захватывает фрейм и произвольно изменяет биты в поле данных
протокола 3-го уровня.
3. Хакер модифицирует значение вектора контроля целостности фрейма
ICV (как именно, будет описано ниже).
4. Хакер передает модифицированный фрейм в беспроводную
локальную сеть.
5. Принимающая сторона (абонент либо точка радиодоступа) вычисляет
значение вектора контроля целостности фрейма ICV для полученного
модифицированного фрейма.
170
6. Принимающая сторона сравнивает вычисленное значение вектора ICV
с имеющимся в полученном модифицированном фрейме.
7. Значения векторов совпадают, фрейм считается неискаженным и не
отбрасывается.
8. Принимающая сторона деинкапсулирует содержимое фрейма и
обрабатывает пакет сетевого уровня.
9. Поскольку манипуляция битами происходила на канальном уровне,
контрольная сумма пакета сетевого уровня оказывается неверной.
10. Стек протокола сетевого уровня на принимающей стороне
генерирует предсказуемое сообщение об ошибке.
11. Хакер наблюдает за беспроводной локальной сетью в ожидании
зашифрованного фрейма с сообщением об ошибке.
12. Хакер захватывает фрейм, содержащий зашифрованное сообщение
об ошибке, и вычисляет ключевую последовательность, как было описано
ранее для атаки с повторным использованием вектора инициализации.
Рис. 2.58. Атака с манипуляцией битами
Вектор ICV находится в шифрованной части фрейма. С помощью
следующей процедуры хакер манипулирует битами шифрованного вектора
ICV и таким образом обеспечивает корректность самого вектора для нового,
модифицированного фрейма (рис. 2.59):
1. Исходный фрейм F1 имеет вектор C1.
2. Создается фрейм F2 такой же длины, что и F1, служащий маской для
модификации битов фрейма F1.
3. Создается фрейм F3 путем выполнения двоичной функции XOR над
фреймами F1 и F2.
4. Вычисляется промежуточный вектор С2 для фрейма F3.
171
5. Вектор C3 для фрейма F3 вычисляется путем выполнения двоичной
функции XOR над C1 и C2.
6.
Рис. 2.59. Вычисление поля контроля целостности сообщений
Проблемы управления статическими WEP-ключами
Стандартом IEEE 802.11 не предусмотрены какие-либо механизмы
управления ключами шифрования. По определению, алгоритм WEP
поддерживает лишь статические ключи, которые заранее распространяются
тем или иным способом между абонентами и точками радиодоступа
беспроводной локальной сети. Поскольку IEEE 802.11 аутентифицирует
физическое устройство, а не его пользователя, утрата абонентского адаптера,
точки радиодоступа или собственно секретного ключа представляют
опасность для системы безопасности беспроводной локальной сети. В
результате при каждом подобном инциденте администратор сети будет
вынужден вручную произвести смену ключей у всех абонентов и в точках
доступа. Для этого во всем оборудовании D-Link отведено четыре поля для
ввода ключей. И при смене всех ключей необходимо только поменять номер
используемого ключа. Эти административные действия годятся для
небольшой беспроводной локальной сети, но совершенно неприемлемы для
сетей, в которых абоненты исчисляются сотнями и тысячами и/или
распределены территориально. В условиях отсутствия механизмов генерации
и распространения ключей администратор вынужден тщательно охранять
абонентские адаптеры и оборудование инфраструктуры сети.
2.11. Аутентификация в беспроводных сетях
Основных стандартов аутентификации в беспроводных сетях несколько.
Каждый из них имеет свои преимущества и недостатки. У каждого есть свой,
довольно сложный, принцип работы. Характерно большое количество
вспомогательных схем, скриншотов утилиты D-Link AirPlus XtremeG Wreless
172
Utility с необходимыми настройками. Не бывает абсолютно защищенных
стандартов, и поэтому уделено внимание вопросам уязвимости каждого
механизма аутентификации. Очень интересная лекция, помогает читателю
более глубоко понять алгоритмы работы тех или иных стандартов, избежать
проблем несанкционированного доступа в будущем.
Основными стандартами аутентификации в беспроводных сетях
являются стандарты IEEЕ 802.11, WPA, WPA2 и 802.1x. Рассмотрим основы
этих стандартов.
Стандарт IEEE 802.11 сети с традиционной безопасностью
Стандарт IEEE 802.11 с традиционной безопасностью (Tradition Security
Network - TSN) предусматривает два механизма аутентификации
беспроводных абонентов: открытую аутентификацию (Open Authentication)
и аутентификацию с общим ключом (Shared Key Authentication). В
аутентификации в беспроводных сетях также широко используются два
других механизма, выходящих за рамки стандарта 802.11, а именно назначение
идентификатора беспроводной локальной сети (Service Set Identifier - SSID) и
аутентификация абонента по его MAC-адресу (MAC Address Authentication).
Идентификатор беспроводной локальной сети (SSID) представляет собой
атрибут беспроводной сети, позволяющий логически отличать сети друг от
друга. В общем случае абонент беспроводной сети должен задать у себя
соответствующий SSID для того, чтобы получить доступ к требуемой
беспроводной локальной сети. SSID ни в коей мере не обеспечивает
конфиденциальность данных, равно как и не аутентифицирует абонента по
отношению к точке радиодоступа беспроводной локальной сети. Существуют
точки доступа, позволяющие разделить абонентов, подключаемых к точке на
несколько сегментов, - это достигается тем, что точка доступа может иметь не
один, а несколько SSID.
Принцип аутентификации абонента в IEEE 802.11
Аутентификация в стандарте IEEE 802.11 ориентирована на
аутентификацию абонентского устройства радиодоступа, а не конкретного
абонента как пользователя сетевых ресурсов. Процесс аутентификации
абонента беспроводной локальной сети IEEE 802.11 состоит из следующих
этапов (рис. 2.60):
1. Абонент (Client) посылает фрейм Probe Request во все радиоканалы.
2. Каждая точка радиодоступа (Access Point - AP), в зоне
радиовидимости которой находится абонент, посылает в ответ фрейм Probe
Response.
3. Абонент выбирает предпочтительную для него точку радиодоступа
и посылает в обслуживаемый ею радиоканал запрос на аутентификацию
(Authentication Request).
4. Точка радиодоступа посылает подтверждение аутентификации
(Authentication Reply).
5. В случае успешной аутентификации абонент посылает точке
радиодоступа фрейм ассоциации (Association Request).
173
6. Точка радиодоступа посылает в ответ фрейм подтверждения
ассоциации (Association Response).
7. Абонент может теперь осуществлять обмен пользовательским
трафиком с точкой радиодоступа и проводной сетью.
Рис. 2.60. Аутентификация по стандарту 802.11
При активизации беспроводный абонент начинает поиск точек
радиодоступа в своей зоне радиовидимости с помощью управляющих фреймов
Probe Request. Фреймы Probe Request посылаются в каждый из радиоканалов,
поддерживаемых абонентским радиоинтерфейсом, чтобы найти все точки
радиодоступа с необходимыми клиенту идентификатором SSID и
поддерживаемыми скоростями радиообмена. Каждая точка радиодоступа из
находящихся в зоне радиовидимости абонента, удовлетворяющая
запрашиваемым во фрейме Probe Request параметрам, отвечает фреймом Probe
Response, содержащим синхронизирующую информацию и данные о текущей
загрузке точки радиодоступа. Абонент определяет, с какой точкой
радиодоступа он будет работать, путем сопоставления поддерживаемых ими
скоростей радиообмена и загрузки. После того как предпочтительная точка
радиодоступа определена, абонент переходит в фазу аутентификации.
Открытая аутентификация
Открытая аутентификация по сути не является алгоритмом
аутентификации в привычном понимании. Точка радиодоступа удовлетворит
любой запрос открытой аутентификации. На первый взгляд использование
этого алгоритма может показаться бессмысленным, однако следует учитывать,
что разработанные в 1997 году методы аутентификации IEEE 802.11
ориентированы на быстрое логическое подключение к беспроводной
локальной сети. Вдобавок к этому многие IEEE 802.11-совместимые
устройства представляют собой портативные блоки сбора информации
(сканеры штрих-кодов и т. п.), не имеющие достаточной процессорной
мощности,
необходимой
для
реализации
сложных
алгоритмов
аутентификации. В процессе открытой аутентификации происходит обмен
сообщениями двух типов:
запрос аутентификации (Authentication Request);
подтверждение аутентификации (Authentication Response).
174
Таким образом, при открытой аутентификации возможен доступ любого
абонента к беспроводной локальной сети. Если в беспроводной сети
шифрование не используется, любой абонент, знающий идентификатор SSID
точки радиодоступа, получит доступ к сети. При использовании точками
радиодоступа шифрования WEP сами ключи шифрования становятся
средством контроля доступа. Если абонент не располагает корректным WEPключом, то даже в случае успешной аутентификации он не сможет ни
передавать данные через точку радиодоступа, ни расшифровывать данные,
переданные точкой радиодоступа (рис. 2.61).
Рис. 2.61. Открытая аутентификация
Аутентификация с общим ключом
Аутентификация с общим ключом является вторым методом
аутентификации стандарта IEEE 802.11. Аутентификация с общим ключом
требует настройки у абонента статического ключа шифрования WEP. Процесс
аутентификации иллюстрирует рис. 2.62:
1. Абонент посылает точке радиодоступа запрос аутентификации,
указывая при этом необходимость использования режима аутентификации с
общим ключом.
2. Точка радиодоступа посылает подтверждение аутентификации,
содержащее Challenge Text.
3. Абонент шифрует Challenge Text своим статическим WEP-ключом и
посылает точке радиодоступа запрос аутентификации.
4. Если точка радиодоступа в состоянии успешно расшифровать запрос
аутентификации и содержащийся в нем Challenge Text, она посылает абоненту
подтверждение аутентификации, таким образом предоставляя доступ к сети.
175
Рис. 2.62. Аутентификация с общим ключом
Аутентификация по MAC-адресу
Аутентификация абонента по его MAC-адресу не предусмотрена
стандартом IEEE 802.11, однако поддерживается многими производителями
оборудования для беспроводных сетей, в том числе D-Link. При
аутентификации по MAC-адресу происходит сравнение MAC-адреса абонента
либо с хранящимся локально списком разрешенных адресов легитимных
абонентов, либо с помощью внешнего сервера аутентификации (рис.2.63).
Аутентификация по MAC-адресу используется в дополнение к открытой
аутентификации и аутентификации с общим ключом стандарта IEEE 802.11
для уменьшения вероятности доступа посторонних абонентов.
Рис. 2.63. Аутентификация с помощью внешнего сервера
Пример 2.3. Настроим точку доступа на WEP-шифрование.
1. Подключаемся к точке доступа, вводим режим, SSID. Далее в поле
Authentication (Аутентификация) ставим Shared Key (с общим ключом) (рис.
2.64).
2. Так как аутентификация с общим ключом предполагает еще и
шифрование данных по WEP, то в поле Encryption (Шифрование) активно
будет только Enable.
3. Выбираем тип ключа (Key Type) и размер ключа (Key Size).
176
4. Вводим несколько ключей, последовательно выбирая в поле Valid Key
(Действующий ключ). При 64-битном ключе с типом ключа ASCII нужно
ввести пятизначную последовательность, например passl.
Теперь, после применения настроек, на клиентской стороне надо
выставить те же самые параметры и подключиться к ней.
Проблемы идентификатора беспроводной ЛВС
Идентификатор SSID регулярно передается точками радиодоступа в
специальных фреймах Beacon. Несмотря на то, что эти фреймы играют чисто
информационную роль в радиосети, т. е. совершенно "прозрачны" для
абонента, сторонний наблюдатель в состоянии с легкостью определить SSID с
помощью анализатора трафика протокола 802.11, например Sniffer Pro
Wireless. Некоторые точки радиодоступа, в том числе D-Link, позволяют
административно запретить широковещательную передачу SSID внутри
фреймов Beacon. Однако и в этом случае SSID можно легко определить путем
захвата фреймов Probe Response, посылаемых точками радиодоступа.
Рис. 2.64.
Идентификатор SSID не разрабатывался для использования в качестве
механизма обеспечения безопасности. Вдобавок к этому отключение
широковещательной передачи SSID точками радиодоступа может отразиться
177
на
совместимости
оборудования
беспроводных
сетей
различных
производителей при использовании в одной радиосети.
Уязвимость открытой аутентификации
Открытая аутентификация не позволяет точке радиодоступа определить,
является абонент легитимным или нет. Это становится заметной брешью в
системе безопасности в том случае, если в беспроводной локальной сети не
используется шифрование WEP. D-Link не рекомендует эксплуатацию
беспроводных сетей без шифрования WEP В тех случаях, когда использование
шифрования WEP не требуется или невозможно (например, в беспроводных
локальных сетях публичного доступа), методы аутентификации более
высокого уровня могут быть реализованы посредством Internet-шлюзов.
Уязвимость аутентификации с общим ключом
Аутентификация с общим ключом требует настройки у абонента
статического WEP-ключа для шифрования Challenge Text, отправленного
точкой радиодоступа. Точка радиодоступа аутентифицирует абонента
посредством дешифрации его ответа на Challenge и сравнения его с
отправленным оригиналом. Обмен фреймами, содержащими Challenge Text,
происходит по открытому радиоканалу, а значит, подвержен атакам со
стороны наблюдателя (Man in the middle Attack). Наблюдатель может принять
как нешифрованный Challenge Text, так и тот же Challenge Text, но уже в
шифрованном виде (рис. 2.65). Шифрование WEP производится путем
выполнения побитовой операции XOR над текстом сообщения и ключевой
последовательностью, в результате чего получается зашифрованное
сообщение (Cipher-Text). Важно понимать, что в результате выполнения
побитовой операции XOR над зашифрованным сообщением и ключевой
последовательностью мы имеем текст исходного сообщения. Таким образом,
наблюдатель может легко вычислить сегмент ключевой последовательности
путем анализа фреймов в процессе аутентификации абонента.
Уязвимость аутентификации по МАС-адресу
Стандарт IEEE 802.11 требует передачи MAC-адресов абонента и точки
радиодоступа в открытом виде. В результате в беспроводной сети,
использующей аутентификацию по MAC-адресу, злоумышленник может
обмануть метод аутентификации путем подмены своего MAC-адреса
легитимным. Подмена MAC-адреса возможна в беспроводных адаптерах,
допускающих использование локально администрируемых MAC-адресов.
Злоумышленник может воспользоваться анализатором трафика протокола
IEEE 802.11 для выявления MAC-адресов легитимных абонентов.
178
Рис. 2.65. Уязвимость аутентификации с общим ключом
Спецификация WPA
До мая 2001 г. стандартизация средств информационной безопасности
для беспроводных сетей 802.11 относилась к ведению рабочей группы IEEE
802.11e, но затем эта проблематика была выделена в самостоятельное
подразделение. Разработанный стандарт 802.11i призван расширить
возможности протокола 802.11, предусмотрев средства шифрования
передаваемых данных, а также централизованной аутентификации
пользователей и рабочих станций. Основные производители Wi-Fi
оборудования в лице организации WECA (Wireless Ethernet Compatibility
Alliance), иначе именуемой Wi-Fi Alliance, устав ждать ратификации стандарта
IEEE 802.11i, совместно с IEEE в ноябре 2002 г. анонсировали спецификацию
Wi-Fi Protected Access (WPA), соответствие которой обеспечивает
совместимость оборудования различных производителей.
Новый стандарт безопасности WPA обеспечивает уровень безопасности
куда больший, чем может предложить WEP Он перебрасывает мостик между
стандартами WEP и 802.11i и имеет немаловажное преимущество, которое
заключается в том, что микропрограммное обеспечение более старого
оборудования может быть заменено без внесения аппаратных изменений.
IEEE предложила временный протокол целостности ключа (Temporal
Key Integrity Protocol, TKIP). Основные усовершенствования, внесенные
протоколом TKIP:
Пофреймовое изменение ключей шифрования. WEP-ключ быстро
изменяется, и для каждого фрейма он другой;
179
Контроль целостности сообщения. Обеспечивается эффективный
контроль целостности фреймов данных с целью предотвращения скрытых
манипуляций с фреймами и воспроизведения фреймов;
Усовершенствованный механизм управления ключами.
Пофреймовое изменение ключей шифрования
Атаки, применяемые в WEP, использующие уязвимость слабых IV
(Initialization Vectors), таких, которые применяются в приложении AirSnort,
основаны на накоплении нескольких фреймов данных, содержащих
информацию, зашифрованную с использованием слабых IV. Простейшим
способом сдерживания таких атак является изменение WEP-ключа,
используемого при обмене фреймами между клиентом и точкой доступа, до
того как атакующий успеет накопить фреймы в количестве, достаточном для
вывода битов ключа. IEEE адаптировала схему, известную как пофреймовое
изменение ключа (per-frame keying). Основной принцип, на котором основано
пофреймовое изменение ключа, состоит в том, что IV, MAC-адрес передатчика
и WEP-ключ обрабатываются вместе с помощью двухступенчатой функции
перемешивания. Результат применения этой функции соответствует
стандартному 104-разрядному WEP-ключу и 24-разрядному IV.
IEEE предложила также увеличить 24-разрядный вектор инициализации
до 48-разрядного IV. На рис. 2.66 представлен образец 48-разрядного IV и
показано, как он разбивается на части для использования при пофреймовом
изменении ключа.
Рис. 2.66. Разбиение 48-разрядного IV
Процесс пофреймового изменения ключа можно разбить на следующие
этапы (рис. 2.67):
1. Базовый WEP-ключ перемешивается со старшими 32 разрядами 48разрядного IV (32-разрядные числа могут принимать значения 0-4 294 967 295)
и MAC-адресом передатчика. Результат этого действия называется ключ 1-й
фазы. Этот процесс позволяет занести ключ 1-й фазы в кэш и также напрямую
поместить в ключ.
2. Ключ 1-й фазы снова перемешивается с IV и MAC-адресом
передатчика для выработки значения пофреймового ключа.
3. Вектор инициализации (IV), используемый для передачи фрейма,
имеет размер только 16 бит (16-разрядные числа могут принимать значения 065 535). Оставшиеся 8 бит (в стандартном 24-битовом IV) представляют собой
фиксированное значение, используемое как заполнитель.
180
4. Пофреймовый ключ применяется для WEP-шифрования фрейма
данных.
5. Когда 16-битовое пространство IV оказывается исчерпанным, ключ 1й фазы отбрасывается и 32 старших разряда увеличиваются на 1.
6. Значение пофреймового ключа вычисляется заново, как на этапе 2.
Рис. 2.67. Процесс создания шифрованного сообщения в WPA
Процесс пофреймового изменения ключа можно разбить на следующие
этапы:
1. Устройство инициализирует IV, присваивая ему значение 0. В
двоичном
представлении
это
будет
значение
000000000000000000000000000000 000000000000000000.
2. Первые 32 разряда IV (в рассматриваемом случае - первые 32 нуля)
перемешиваются с WEP-ключом (например, имеющим 128-разрядное
значение) и MAC-адресом передатчика (имеющим 48-разрядное значение) для
получения значения ключа 1-й фазы (80-разрядное значение).
3. Ключ 1-й фазы вновь перемешивается с первыми (старшими) 32
разрядами IV и MAC-адресом передатчика, чтобы получить 128-разрядный
пофреймовый ключ, первые 16 разрядов которого представляют собой
значение IV (16 нулей).
4. Вектор инициализации пофреймового ключа увеличивается на 1.
После того как пофреймовые возможности IV будут исчерпаны, IV 1-й фазы
(32 бита) увеличивается на 1 (он теперь будет состоять из 31 нуля и одной
единицы, 00000000000000000000000000000001) и т. д.
181
5. Этот алгоритм усиливает WEP до такой степени, что почти все
известные сейчас возможности атак устраняются без замены существующего
оборудования. Следует отметить, что этот алгоритм (и TKIP в целом)
разработан с целью устранить уязвимые места в системе аутентификации WEP
и стандарта 802.11. Он жертвует слабыми алгоритмами, вместо того чтобы
заменять оборудование.
Контроль целостности сообщения
Для усиления малоэффективного механизма, основанного на
использовании контрольного признака целостности (ICV) стандарта 802.11,
будет применяться контроль целостности сообщения (MIC). Благодаря MIC
могут быть ликвидированы слабые места защиты, способствующие
проведению атак с использованием поддельных фреймов и манипуляции
битами. IEEE предложила специальный алгоритм, получивший название
Michael (Майкл), чтобы усилить роль ICV в шифровании фреймов данных
стандарта 802.11. MIC имеет уникальный ключ, который отличается от ключа,
используемого для шифрования фреймов данных. Этот уникальный ключ
перемешивается с назначенным MAC-адресом и исходным MAC-адресом
фрейма, а также со всей незашифрованной частью фрейма. На рис. 2.68
показана работа алгоритма Michael MIC.
Рис. 2.68. Работа алгоритма Michael MIC
Механизм шифрования TKIP в целом осуществляется следующим
образом:
1. С помощью алгоритма пофреймового назначения ключей
генерируется пофреймовый ключ (рис. 2.69.).
2. Алгоритм MIC генерирует MIC для фрейма в целом.
182
3. Фрейм фрагментируется в соответствии с установками MAC
относительно фрагментации.
4. Фрагменты фрейма шифруются с помощью пофреймового ключа.
5. Осуществляется передача зашифрованных фрагментов.
Аналогично процессу шифрования по алгоритму TKIP, процесс
дешифрования по этому алгоритму выполняется следующим образом (рис.
2.70):
1. Предварительно вычисляется ключ 1-й фазы.
2. На основании IV, полученного из входящего фрагмента фрейма WEP,
вычисляется пофреймовый ключ 2-й фазы.
3. Если полученный IV не тот, какой нужно, фрейм отбрасывается.
4. Фрагмент фрейма расшифровывается, и осуществляется проверка
Рис.
2.69.
Механизм шифрования TKIP
признака целостности (ICV).
5. Если контроль признака целостности дает отрицательный результат,
такой фрейм отбрасывается.
6. Расшифрованные фрагменты фрейма собираются, чтобы получить
исходный фрейм данных.
7. Приемник вычисляет значение MIC и сравнивает его со значением,
находящимся в поле MIC фрейма.
8. Если эти значения совпадают, фрейм обрабатывается приемником.
9. Если эти значения не совпадают, значит, фрейм имеет ошибку MIC, и
приемник принимает меры противодействия MIC.
Меры противодействия MIC состоят в выполнении приемником
следующих задач:
183
1. Приемник удаляет существующий ключ на ассоциирование.
2. Приемник регистрирует проблему как относящуюся к безопасности
сети.
3. Ассоциированный клиент, от которого был получен ложный фрейм,
не может быть ассоциирован и аутентифицирован в течение 60 секунд, чтобы
замедлить атаку.
4. Клиент запрашивает новый ключ.
Рис. 2.70. Механизм дешифровки TKIP
WPA может работать в двух режимах: Enterprise (корпоративный) и PreShared Key (персональный). В первом случае хранение базы данных и
проверка аутентичности по стандарту 802.1x в больших сетях обычно
осуществляются специальным сервером, чаще всего RADIUS (Remote
Authentication Dial-In User Service). Enterprise-режим мы рассмотрим далее.
Во втором случае подразумевается применение WPA всеми категориями
пользователей беспроводных сетей, т.е. имеет место упрощенный режим, не
требующий сложных механизмов. Этот режим называется WPA-PSK и
предполагает введение одного пароля на каждый узел беспроводной сети
(точку доступа, беспроводной маршрутизатор, клиентский адаптер, мост). До
тех пор, пока пароли совпадают, клиенту будет разрешен доступ в сеть.
Можно заметить, что подход с использованием пароля делает WPA-PSK
уязвимым для атаки методом подбора, однако этот режим избавляет от
путаницы с ключами WEP, заменяя их целостной и четкой системой на основе
цифро-буквенного пароля. Таким образом, WPA/TKIP - это решение,
предоставляющее больший по сравнению с WEP уровень безопасности,
направленное на устранение слабостей предшественника и обеспечивающее
совместимость с более старым оборудованием сетей 802.11 без внесения
аппаратных изменений в устройства. Рассмотрение пофреймового назначения
184
ключей и MIC касалось в основном ключа шифрования и ключа MIC. Но
ничего не было сказано о том, как ключи генерируются и пересылаются от
клиента к точке доступа и наоборот. В разделе, посвященном Enterpriseрежиму мы рассмотрим предлагаемый стандартом 802.11i механизм
управления ключами.
Стандарт сети 802.11i с повышенной безопасностью (WPA2)
В июне 2004 г. IEEE ратифицировал давно ожидаемый стандарт
обеспечения безопасности в беспроводных локальных сетях - 802.11i.
Действительно,
WPA
достоин
восхищения
как
шедевр
ретроинжиниринга. Созданный с учетом слабых мест WEP, он представляет
собой очень надежную систему безопасности и, как правило, обратно
совместим с существующим Wi-Fi-оборудованием. WPA - практическое
решение, обеспечивающее достаточный уровень безопасности для
беспроводных сетей. Однако WPA - компромиссное решение. Оно все еще
основано на алгоритме шифрования RC4 и протоколе TKIP Вероятность
выявления каких-либо слабых мест хотя и мала, но все же существует.
Абсолютно новая система безопасности, лишенная недостатков WEP,
представляет собой лучшее долгосрочное и к тому же расширяемое решение
для безопасности беспроводных сетей. С этой целью комитет по стандартам
принял решение разработать систему безопасности с нуля. Это новый стандарт
802.11i, также известный как WPA2 и выпущенный тем же Wi-Fi Alliance.
Стандарт 802.11i использует концепцию повышенной безопасности
(Robust Security Network - RSN), предусматривающую, что беспроводные
устройства должны обеспечивать дополнительные возможности. Это
потребует изменений в аппаратной части и программном обеспечении, т.е.
сеть, полностью соответствующая RSN, станет несовместимой с
существующим оборудованием WEP. В переходный период будет
поддерживаться как оборудование RSN, так и WEP (на самом деле WPA/TKIP
было решением, направленным на сохранение инвестиций в оборудование), но
в дальнейшем устройства WEP начнут отмирать.
802.11i приложим к различным сетевым реализациям и может
задействовать TKIP, но по умолчанию RSN использует AES (Advanced
Encryption Standard) и CCMP (Counter Mode CBC MAC Protocol) и, таким
образом, является более мощным расширяемым решением.
В концепции RSN применяется AES в качестве системы шифрования,
подобно тому, как алгоритм RC4 задействован в WPA. Однако механизм
шифрования куда более сложен и не страдает от проблем, свойственных WEP
AES - блочный шифр, оперирующий блоками данных по 128 бит. CCMP, в
свою очередь, - протокол безопасности, используемый AES. Он является
эквивалентом TKIP в WPA. CCMP вычисляет MIC, прибегая к хорошо
известному и проверенному методу Cipher Block Chaining Message
Authentication Code (CBC-MAC). Изменение даже одного бита в сообщении
приводит к совершенно другому результату.
185
Одной из слабых сторон WEP было управление секретными ключами.
Многие администраторы больших сетей находили его неудобным. Ключи
WEP не менялись длительное время (или никогда), что облегчало задачу
злоумышленникам. RSN определяет иерархию ключей с ограниченным сроком
действия, сходную с TKIP В AES/CCMP, чтобы вместить все ключи, требуется
512 бит - меньше, чем в TKIP В обоих случаях мастер-ключи используются не
прямо, а для вывода других ключей. К счастью, администратор должен
обеспечить единственный мастер-ключ. Сообщения составляются из 128битного блока данных, зашифрованного секретным ключом такой же длины
(128 бит). Хотя процесс шифрования сложен, администратор опять-таки не
должен вникать в нюансы вычислений. Конечным результатом является шифр,
который гораздо сложнее, чем даже WPA.
802.11i (WPA2) - это наиболее устойчивое, расширяемое и безопасное
решение, предназначенное в первую очередь для крупных предприятий, где
управление ключами и администрирование доставляет множество хлопот.
Стандарт 802.11i разработан на базе проверенных технологий.
Механизмы безопасности были спроектированы с нуля в тесном
сотрудничестве с лучшими специалистами по криптографии и имеют все
шансы стать тем решением, которое необходимо беспроводным сетям. Хотя
ни одна система безопасности от взлома не застрахована, 802.11i - это
решение, на которое можно полагаться, в нем нет недостатков предыдущих
систем. И, конечно, WPA пригоден для адаптации уже существующего
оборудования, и только когда его ресурсы будут окончательно исчерпаны, вы
сможете заменить его новым, полностью соответствующим концепции RSN.
Производительность канала связи, как свидетельствуют результаты
тестирования оборудования различных производителей, падает на 5-20% при
включении как WEP, так и WPA. Однако испытания того оборудования, в
котором включено шифрование AES вместо TKIP, не показали сколько-нибудь
заметного падения скорости. Это позволяет надеяться, что WPA2-совместимое
оборудование предоставит нам долгожданный надежно защищенный канал без
потерь в производительности. WPA2, как и WPA, может работать в двух
режимах: Enterprise (корпоративный) и Pre-Shared Key (персональный).
Пример 2.4. Настроим точку доступа с применением персональной
спецификации WPA2-PSK.
1. Для этого подключаемся к точке доступа по проводному интерфейсу,
вводим режим, SSID, канал, как было описано в примере 1.4. Далее в поле
Authentication (Аутентификация) ставим WPA2-PSK (рис. 2.71).
2. Выбираем тип шифрования (Cipher Type). Возможные варианты:
AUTO, TKIP, AES. Если выставлено AUTO, точка доступа будет подстраивать
тип шифрования под первого подключившегося клиента.
3. Выставляем интервал обновления группового ключа (Group Key
Update Interval), который задается в секундах.
4. Вводим в поле PassPhrase ключ любой длины, но не менее 8 символов,
например secretpass.
186
Рис. 2.71.
Теперь, после применения настроек, на клиентской стороне надо
выставить те же самые параметры и подключиться к ней.
Стандарт 802.1х/ЕАР (Enterprise-режим)
Проблемы, с которыми столкнулись разработчики и пользователи сетей
на основе стандарта 802.11, вынудили искать новые решения защиты
беспроводных сетей. Были выявлены компоненты, влияющие на системы
безопасности беспроводной локальной сети:
1. Архитектура аутентификации.
2. Механизм аутентификации.
3. Механизм обеспечения конфиденциальности и целостности данных.
Архитектура аутентификации IEEE 802.1x - стандарт IEEE 802.1x
описывает единую архитектуру контроля доступа к портам с использованием
разнообразных методов аутентификации абонентов.
Алгоритм аутентификации Extensible Authentication Protocol или EAP
(расширяемый протокол идентификации) поддерживает централизованную
аутентификацию элементов инфраструктуры беспроводной сети и ее
пользователей с возможностью динамической генерации ключей шифрования.
187
Архитектура IEEE 802.1x
Архитектура IEEE 802.1x включает в себя следующие обязательные
логические элементы (рис. 2.72):
Клиент (Supplicant) - находится в операционной системе абонента;
Аутентификатор (Authenticator) - находится в программном
обеспечении точки радиодоступа;
Сервер аутентификации (Authentication Server) - находится на
RADIUS-сервере.
IEEE 802.1x предоставляет абоненту беспроводной локальной сети лишь
средства передачи атрибутов серверу аутентификации и допускает
использование различных методов и алгоритмов аутентификации. Задачей
сервера аутентификации является поддержка разрешенных политикой сетевой
безопасности методов аутентификации.
Аутентификатор, находясь в точке радиодоступа, создает логический
порт для каждого клиента на основе его идентификатора ассоциирования.
Логический порт имеет два канала для обмена данными. Неконтролируемый
канал беспрепятственно пропускает трафик из беспроводного сегмента в
проводной и обратно, в то время как контролируемый канал требует успешной
аутентификации для прохождения фреймов. Таким образом, в терминологии
стандарта 802.1x точка доступа играет роль коммутатора в проводных сетях
Ethernet. Очевидно, что проводной сегмент сети, к которому подключена точка
доступа, нуждается в сервере аутентификации. Его функции обычно
выполняет RADIUS-сервер, интегрированный с той или иной базой данных
пользователей, в качестве которой может выступать стандартный RADIUS,
LDAP, NDS или Windows Active Directory. Коммерческие беспроводные
шлюзы высокого класса могут реализовывать как функции сервера
аутентификации, так и аутентификатора.
Клиент активизируется и ассоциируется с точкой радиодоступа (или
физически подключается к сегменту в случае проводной локальной сети).
Аутентификатор распознает факт подключения и активизирует логический
порт для клиента, сразу переводя его в состояние "неавторизован". В
результате через клиентский порт возможен лишь обмен трафиком протокола
IEEE 802.1x, для всего остального трафика порт заблокирован. Клиент также
может (но не обязан) отправить сообщение EAP Start (начало аутентификации
EAP) (рис. 2.73) для запуска процесса аутентификации.
188
Рис. 2.72. Архитектура IEEE 802.1x
Аутентификатор отправляет сообщение EAP Request Identity (запрос
имени EAP) и ожидает от клиента его имя (Identity). Ответное сообщение
клиента EAP Response (ответ EAP), содержащее атрибуты, перенаправляется
серверу аутентификации.
После завершения аутентификации сервер отправляет сообщение
RADIUS-ACCEPT (принять) или RADIUS-REJECT (отклонить) аутентификатору. При получении сообщения RADIUS-ACCEPT аутентификатор
переводит порт клиента в состояние "авторизован", и начинается передача
всего трафика абонента.
189
Рис. 2.73. Обмен сообщениями в 802.1x/EAP
Механизм аутентификации
Первоначально стандарт 802.1x задумывался для того, чтобы обеспечить
аутентификацию пользователей на канальном уровне в коммутируемых
проводных сетях. Алгоритмы аутентификации стандарта 802.11 могут
обеспечить клиента динамическими, ориентированными на пользователя
ключами. Но тот ключ, который создается в процессе аутентификации, не
является ключом, используемым для шифрования фреймов или проверки
целостности сообщений. В стандарте WPA для получения всех ключей
используется так называемый мастер-ключ (Master Key). На рис. 2.74
представлена иерархия ключей с учетом последовательности их создания.
Механизм генерации ключей шифрования осуществляется в четыре этапа:
1. Клиент и точка доступа устанавливают динамический ключ (он
называется парный мастер-ключ, или PMK, от англ. Pairwise Master Key),
полученный в процессе аутентификации по стандарту 802.1x.
2. Точка доступа посылает клиенту секретное случайное число, которое
называется временный аутентификатор (Authenticator Nonce - ANonce),
используя для этого сообщение EAPoL-Key стандарта 802.1x.
3. Этот клиент локально генерирует секретное случайное число,
называемое временный проситель (Supplicant Nonce - SNonce).
4. Клиент генерирует парный переходный ключ (Pairwise Transient Key PTK) путем комбинирования PMK, SNonce, ANonce, MAC-адреса клиента,
190
MAC-адреса точки доступа и строки инициализации. MAC-адреса
упорядочены, MAC-адреса низшего порядка предшествуют MAC-адресам
высшего порядка. Благодаря этому гарантируется, что клиент и точка доступа
"выстроят" MAC-адреса одинаковым образом (рис. 2.75).
5. Это комбинированное значение пропускается через псевдослучайную
функцию (Pseudo Random Function - PRF), чтобы получить 512-разрядный
PTK.
6. Клиент посылает число SNonce, сгенерированное им на этапе 3, точке
доступа с помощью сообщения EAPoL-Key стандарта 802.1x, защищенного
ключом EAPoL-Key MIC.
7. Точка доступа использует число SNonce для вычисления PTK таким
же образом, как это сделал клиент.
8. Точка доступа использует выведенный ключ EAPoL-Key MIC для
проверки целостности сообщения клиента.
9. Точка доступа посылает сообщение EAPoL-Key, показывающее, что
клиент может установить PTK и его ANonce, защищенные ключом EAPoL-Key
MIC. Данный этап позволяет клиенту удостовериться в том, что число ANonce,
полученное на этапе 2, действительно.
10. Клиент посылает сообщение EAPoL-Key, защищенное ключом
EAPoL-Key MIC, указывающее, что ключи установлены.
191
Рис. 2.74. Создание ключей
Рис. 2.75. Генерация парного переходного ключа
192
Парный мастер-ключ (PMK) и парный переходный ключ (PTK) являются
одноадресными. Они только шифруют и дешифруют одноадресные фреймы, и
предназначены для единственного пользователя. Широковещательные фреймы
требуют отдельной иерархии ключей, потому что использование с этой целью
одноадресных ключей приведет к резкому возрастанию трафика сети. Точке
доступа (единственному объекту BSS, имеющему право на рассылку
широковещательных или многоадресных сообщений) пришлось бы посылать
один и тот же широковещательный или многоадресный фрейм,
зашифрованный соответствующими пофрей-мовыми ключами, каждому
пользователю. Широковещательные или многоадресные фреймы используют
иерархию групповых ключей. Групповой мастер-ключ (Group Master Key GMK) находится на вершине этой иерархии и выводится в точке доступа.
Вывод GMK основан на применении PRF, в результате чего получается 256разрядный GMK. Входными данными для PRF-256 являются шифровальное
секретное случайное число (или Nonce), текстовая строка, MAC-адрес точки
доступа и значение времени в формате синхронизирующего сетевого
протокола (NTP). На рис. 2.76 представлена иерархия групповых ключей.
Рис. 2.76. Иерархия групповых ключей
Групповой мастер-ключ, текстовая строка, MAC-адрес точки доступа и
GNonce (значение, которое берется из счетчика ключа точки доступа)
объединяются и обрабатываются с помощью PRF, в результате чего
получается 256-разрядный групповой переходный ключ (Group Transient Key GTK).
GTK
делится
на
128-разрядный
ключ
шифрования
широковещательных/многоадресных фреймов, 64-разрядный ключ передачи
MIC (transmit MIC key) и 64-разрядный ключ приема MIC (MIC receive key).
С помощью этих ключей широковещательные и многоадресные фреймы
шифруются и дешифруются точно так же, как с помощью одноадресных
ключей, полученных на основе парного мастер-ключа (PMK).
193
Клиент обновляется с помощью групповых ключей шифрования через
сообщения EAPoL-Key. Точка доступа посылает такому клиенту сообщение
EAPoL, зашифрованное с помощью одноадресного ключа шифрования.
Групповые ключи удаляются и регенерируются каждый раз, когда какаянибудь станция диссоциируется или деаутентифицируется в BSS. Если
происходит ошибка MIC, одной из мер противодействия также является
удаление всех ключей с имеющей отношение к ошибке приемной станции,
включая групповые ключи.
В домашних сетях или сетях, предназначенных для малых офисов,
развертывание RADIUS-сервера с базой данных конечных пользователей
маловероятно. В таком случае для генерирования сеансовых ключей
используется только предварительно разделенный РМК (вводится вручную).
Это аналогично тому, что делается в оригинальном протоколе WEP.
Поскольку в локальных сетях 802.11 нет физических портов, ассоциация
между беспроводным клиентским устройством и точкой доступа считается
сетевым портом доступа. Беспроводный клиент рассматривается как
претендент, а точка доступа - как аутентификатор.
В стандарте 802.1x аутентификация пользователей на канальном уровне
выполняется по протоколу EAP, который был разработан Группой по
проблемам проектирования Internet (IETF). Протокол EAP - это замена
протокола CHAP (Challenge Handshake Authentication Protocol - протокол
взаимной аутентификации), который применяется в РРР (Point to Point Protocol
- протокол соединения "точка-точка"), он предназначен для использования в
локальных сетях. Спецификация EAPOL определяет, как фреймы ЕАР
инкапсулируются во фреймы 802.3, 802.5 и 802.11. Обмен фреймами между
объектами, определенными в стандарте 802.1x, схематично изображен на рис.
2.77.
EAP является "обобщенным" протоколом в системе аутентификации,
авторизации и учета (Authentication, Authorization, and Accounting - AAA),
обеспечивающим работу разнообразных методов аутентификации. AAAклиент (сервер доступа в терминологии AAA, в беспроводной сети
представлен точкой радиодоступа), поддерживающий EAP, может не
понимать конкретных методов, используемых абонентом и сетью в процессе
аутентификации. Сервер доступа туннелирует сообщения протокола
аутентификации,
циркулирующие
между
абонентом
и
сервером
аутентификации. Сервер доступа интересует лишь факт начала и окончания
процесса аутентификации.
194
Рис. 2.77. Механизм аутентификации в 802.1x/EAP
Есть несколько вариантов ЕАР, спроектированных с участием
различных
компаний-производителей.
Такое
разнообразие
вносит
дополнительные проблемы совместимости, так что выбор подходящего
оборудования и программного обеспечения для беспроводной сети становится
нетривиальной задачей. При конфигурировании способа аутентификации
пользователей в беспроводной сети вам, вероятно, придется столкнуться со
следующими вариантами ЕАР:
EAP-MD5 - это обязательный уровень ЕАР, который должен
присутствовать во всех реализациях стандарта 802.1x, именно он был
разработан первым. С точки зрения работы он дублирует протокол CHAP. Мы
не рекомендуем пользоваться протоколом EAP-MD5 по трем причинам. Вопервых, он не поддерживает динамическое распределение ключей. Во-вторых,
он уязвим для атаки "человек посередине" с применением фальшивой точки
доступа и для атаки на сервер аутентификации, так как аутентифицируются
только клиенты. И наконец, в ходе аутентификации противник может
подслушать запрос и зашифрованный ответ, после чего предпринять атаку с
известным открытым или шифрованным текстом;
EAP-TLS (EAP-Transport Layer Security - протокол защиты
транспортного уровня) поддерживает взаимную аутентификацию на базе
сертификатов. EAP-TLS основан на протоколе SSLv3 и требует наличия
удостоверяющего центра. Протоколы TLS и SSL используют ряд элементов
инфраструктуры PKI (Public Key Infrastructure): Абонент должен иметь
действующий сертификат для аутентификации по отношению к сети. AAAсервер должен иметь действующий сертификат для аутентификации по
отношению к абоненту. Орган сертификации с сопутствующей
инфраструктурой управляет сертификатами субъектов PKI. Клиент и RADIUSсервер должны поддерживать метод аутентификации EAP-TLS. Точка
радиодоступа должна поддерживать процесс аутентификации в рамках
802.1x/EAP, хотя может и не знать деталей конкретного метода
аутентификации. Общий вид EAP-TLS выглядит примерно так (рис. 2.78):
195
Рис. 2.78. Процесс аутентификации EAP-TLS
EAP-LEAP (Lightweight ЕАР, облегченный EAP) - это запатентованный
компанией Cisco вариант ЕАР, реализованный в точках доступа и
беспроводных клиентских картах Cisco. LEAP был первой (и на протяжении
длительного времени единственной) схемой аутентификации в стандарте
802.1x, основанной на паролях. Поэтому LEAP приобрел огромную
популярность и даже поддержан в сервере Free-RADIUS, несмотря на то, что
это запатентованное решение. Сервер аутентификации посылает клиенту
запрос, а тот должен вернуть пароль, предварительно выполнив его свертку со
строкой запроса. Основанный на применении паролей, EAP-LEAP
аутентифицирует пользователя, а не устройство. В то же время очевидна
уязвимость этого варианта для атак методом полного перебора и по словарю,
нехарактерная для методов аутентификации с применением сертификатов.
PEAP (Protected ЕАР - защищенный EAP) и EAP-TTLS (Tunneled
Transport Layer Security ЕАР, протокол защиты транспортного уровня EAP),
разработанный компанией Certicom and Funk Software. Эти варианты также
достаточно развиты, и поддерживаются производителями, в частности D-link.
Для работы EAP-TTLS требуется, чтобы был сертифицирован только сервер
аутентификации, а у претендента сертификата может и не быть, так что
процедура развертывания упрощается. EAP-TTLS поддерживает также ряд
устаревших методов аутентификации, в том числе PAP, CHAP, MS-CHAP,
MS-CHAPv2 и даже EAP-MD5. Чтобы обеспечить безопасность при
196
использовании этих методов, EAP-TTLS создает зашифрованный по
протоколу TLS туннель, внутри которого эти протоколы и работают.
Примером практической реализации EAP-TTLS может служить программное
обеспечение для управления доступом в беспроводную сеть Odyssey от
компании Funk Software. Протокол РЕАР очень похож на EAP-TTLS, только
он не поддерживает устаревших методов аутентификации типа РАР и CHAP.
Вместо них поддерживаются протоколы PEAP-MS-CHAPv2 и PEAP-EAP-TLS,
работающие внутри безопасного туннеля. Поддержка РЕАР реализована в
пакете программ точек доступа D-link и успешно реализована в Windows XP,
начиная с Service Pack 2. В общем виде схема обмена РЕАР выглядит
следующим образом (рис. 2.79):
Рис. 2.79. Процесс аутентификации PEAP
Еще два варианта ЕАР - это EAP-SIM и ЕАР-АКА для
аутентификации на базе SIM и USIM. В настоящий момент оба имеют статус
предварительных документов IETF и в основном предназначены для
аутентификации в сетях GSM, а не в беспроводных сетях 802.11. Тем не менее
протокол EAP-SIM поддержан в точках доступа и клиентских устройствах
некоторых производителей.
Наглядно уровни архитектуры 802.1x показаны на рис. 2.80. Здесь в
качестве механизма обеспечения конфиденциальности и целостности данных
выступают стандарты шифрования WPA и WPA2.
197
Рис. 2.80.
2.12.Технологии целостности и конфиденциальности
передаваемых данных
Наиболее современные методы позволяют организовывать так
называемые VPN, т.е. пользоваться общедоступной телекоммуникационной
инфраструктурой для предоставления удаленным офисам или отдельным
пользователям безопасного доступа к сети организации. Выбор туннельного
протокола VPN – важная задача на этапе проектирования виртуальной частной
сети. Системы обнаружения вторжений очень сложны и включают множество
элементов.
Развертывание беспроводных виртуальных сетей
Виртуальная частная сеть (Virtual Private Network - VPN) - это метод,
позволяющий воспользоваться общедоступной телекоммуникационной
инфраструктурой, например Internet, для предоставления удаленным офисам
или отдельным пользователям безопасного доступа к сети организации.
Поскольку беспроводные сети 802.11 работают в нелицензируе-мом диапазоне
частот и доступны для прослушивания, именно в них развертывание и
обслуживание VPN приобретает особую важность, если необходимо
обеспечить высокий уровень защиты информации.
Защищать нужно как соединения между хостами в беспроводной
локальной сети, так и двухточечные каналы между беспроводными мостами.
Для обеспечения безопасности особо секретных данных нельзя полагаться на
какой-то один механизм или на защиту лишь одного уровня сети. В случае
двухточечных каналов проще и экономичнее развернуть VPN, покрывающую
две сети, чем реализовывать защиту на базе стандарта 802.11i, включающую
RADIUS-сервер и базу данных о пользователях. Пользоваться же реализацией
стандарта на базе предварительно разделенных ключей (PSK) и протокола
802.1x при наличии высокоскоростного канала между сетями - не самый
безопасный метод. VPN - это полная противоположность дорогостоящей
системе собственных или арендованных линий, которые могут использоваться
только одной организацией. Задача VPN - предоставить организации те же
198
возможности, но за гораздо меньшие деньги. Сравните это с обеспечением
связи за счет двухточечных беспроводных каналов с мостами вместо дорогих
выделенных линий. VPN и беспроводные технологии не конкурируют, а
дополняют друг друга. VPN работает поверх разделяемых сетей общего
пользования, обеспечивая в то же время конфиденциальность за счет
специальных мер безопасности и применения туннельных протоколов, таких
как туннельный протокол на канальном уровне (Layer Two Tunneling Protocol L2TP). Смысл их в том, что, осуществляя шифрование данных на
отправляющем конце и дешифрирование на принимающем, протокол
организует "туннель", в который не могут проникнуть данные, не
зашифрованные должным образом. Дополнительную безопасность может
обеспечить шифрование не только самих данных, но и сетевых адресов
отправителя и получателя. Беспроводную локальную сеть можно сравнить с
разделяемой сетью общего пользования, а в некоторых случаях (хот-споты,
узлы, принадлежащие сообществам) она таковой и является. VPN отвечает
трем условиям: конфиденциальность, целостность и доступность. Следует
отметить, что никакая VPN не является устойчивой к DoS- или DDoS-атакам и
не может гарантировать доступность на физическом уровне просто в силу
своей виртуальной природы и зависимости от нижележащих протоколов.
Две наиболее важные особенности VPN, особенно в беспроводных
средах, где имеется лишь ограниченный контроль над распространением
сигнала, - это целостность и, что еще более существенно, конфиденциальность
данных. Возьмем жизненную ситуацию, когда злоумышленнику удалось
преодолеть шифрование по протоколу WEP и присоединиться к беспроводной
локальной сети. Если VPN отсутствует, то он сможет прослушивать данные и
вмешиваться в работу сети. Но если пакеты аутенти-фицированы, атака
"человек посередине" становится практически невозможной, хотя перехватить
данные по-прежнему легко. Включение в VPN элемента шифрования
уменьшает негативные последствия перехвата данных. VPN обеспечивает не
столько полную изоляцию всех сетевых взаимодействий, сколько
осуществление таких взаимодействий в более контролируемых условиях с
четко определенными группами допущенных участников.
Есть много способов классификации VPN, но основные три вида - это
"сеть-сеть", "хост-сеть" и "хост-хост".
Топология "сеть-сеть"
Этим термином иногда описывают VPN-туннель между двумя
географически разнесенными частными сетями (рис. 2.81).
199
Рис. 2.81. Топология "сеть-сеть"
VPN такого типа обычно применяются, когда нужно объединить
локальные сети с помощью сети общего пользования так, как будто они
находятся внутри одного здания.
Основное достоинство такой конфигурации состоит в том, что сети
выглядят как смежные, а работа VPN-шлюзов прозрачна для пользователей. В
этом случае также важно туннелирование, поскольку в частных сетях обычно
используются описанные в RFC 1918 зарезервированные адреса, которые не
могут маршрутизироваться через Internet. Поэтому для успешного
взаимодействия трафик необходимо инкапсулировать в туннель.
Типичным примером такой сети может быть соединение двух филиалов
одной организации по двухточечному беспроводному каналу. Хотя трафик и
не выходит за пределы внутренней инфраструктуры организации, к ее
беспроводной части нужно относиться так же внимательно, как если бы
трафик маршрутизировался через сеть общего пользования. Вы уже видели,
что протокол WEP можно легко преодолеть и даже TKIP иногда уязвим,
поэтому мы настоятельно рекомендуем всюду, где возможно, реализовывать
дополнительное шифрование.
Топология "хост-сеть"
При такой конфигурации удаленные пользователи подключаются к
корпоративной сети через Internet. Сначала мобильный клиент устанавливает
соединение с Internet, а затем инициирует запрос на организацию
зашифрованного туннеля с корпоративным VPN-шлюзом. После успешной
аутентификации создается туннель поверх сети общего пользования, и клиент
становится просто еще одной машиной во внутренней сети. Все более широкое
200
распространение надомной работы стимулирует интерес к такому применению
VPN. В отличие от VPN типа "сеть-сеть", где число участников невелико и
более или менее предсказуемо, VPN типа "хост-сеть" легко может вырасти до
необъятных размеров. Поэтому системный администратор должен заранее
продумать масштабируемый механизм аутентификации клиентов и
управления ключами.
Топология "хост-хост"
Такая топология, по-видимому, встречается реже всего. Речь идет о двух
хостах, обменивающихся друг с другом шифрованными и нешифрованными
данными. В такой конфигурации туннель организуется между двумя хостами и
весь трафик между ними инкапсулируется внутри VPN. У таких сетей не
много практических применений, но в качестве примера можно назвать
географически удаленный сервер резервного хранения. Оба хоста подключены
к Internet, и данные с центрального сервера зеркально копируются на
резервный. Например, простые сети VPN типа "хост-хост" можно
использовать для защиты одноранговых (Ad Hoc) сетей.
Распространенные туннельные протоколы
Протокол IPSec. IPSec - это наиболее широко признанный,
поддерживаемый и стандартизованный из всех протоколов VPN. Для
обеспечения совместной работы он подходит лучше остальных. IPSec
лежит в основе открытых стандартов, в которых описан целый набор
безопасных протоколов, работающих поверх существующего стека IP. Он
предоставляет службы аутентификации и шифрования данных на
сетевом уровне (уровень 3) модели OSI и может быть реализован на
любом устройстве, которое работает по протоколу IP. В отличие от
многих других схем шифрования, которые защищают конкретный
протокол верхнего уровня, IPSec, работающий на нижнем уровне, может
защитить весь IP-трафик. Он применяется также в сочетании с
туннельными протоколами на канальном уровне (уровень 2) для
шифрования и аутентификации трафика, передаваемого по протоколам,
отличным от IP.
Протокол IPSec состоит из трех основных частей:
заголовка аутентификации (Authentication Header - АН);
безопасно инкапсулированной полезной нагрузки (Encapsulating
Security Payload - ESP);
схемы обмена ключами через Internet (Internet Key Exchange - IKE).
Заголовок АН добавляется после заголовка IP и обеспечивает
аутентификацию на уровне пакета и целостность данных. Иными словами,
гарантируется, что пакет не был изменен на пути следования и поступил из
ожидаемого
источника.
ESP
обеспечивает
конфиденциальность,
аутентификацию источника данных, целостность, опциональную защиту от
атаки повторного сеанса и до некоторой степени скрытность механизма
управления потоком. Наконец, IKE обеспечивает согласование настроек служб
безопасности между сторонами-участниками.
201
Протокол РРТР. Двухточечный туннельный протокол (Point-to-Point
Tunneling Protocol - РРТР) - это запатентованная разработка компании
Microsoft, он предназначен для организации взаимодействия по типу VPN.
РРТР обеспечивает аутентификацию пользователей с помощью таких
протоколов, как MS-CHAP, CHAP, SPAP и РАР Этому протоколу
недостает гибкости, присущей другим решениям, он не слишком хорошо
приспособлен для совместной работы с другими протоколами VPN, зато
прост и широко распространен во всем мире. Протокол определяет
следующие типы коммуникаций:
РРТР-соединение, по которому клиент организует РРР-канал с
провайдером;
Управляющее РРТР-соединение, которое клиент организует с
VPN-сервером и по которому согласует характеристики туннеля;
РРТР-туннель, по которому клиент и сервер обмениваются
зашифрованными данными.
Протокол РРТР обычно применяется для создания безопасных каналов
связи между многими Windows-машинами в сети Intranet.
Протокол L2TP. Этот протокол, совместно разработанный
компаниями Cisco, Microsoft и 3Com, обещает заменить РРТР в качестве
основного туннельного протокола. По существу L2TP (Layer Two
Tunneling Protocol, протокол туннелирования канального уровня)
представляет собой комбинацию РРТР и созданного Cisco протокола
Layer Two Forwarding (L2F). Протокол L2TP применяется для
туннелирования РРР-трафика поверх IP-сети общего пользования. Для
установления соединения по коммутируемой линии в нем используется
РРР с аутентификацией по протоколу РАР или CHAP, но, в отличие от
РРТР, L2TP определяет собственный туннельный протокол.
Поскольку L2TP работает на канальном уровне (уровень 2), через
туннель можно пропускать и не-IP трафик. Вместе с тем L2TP совместим с
любым канальным протоколом, например ATM, Frame Relay или 802.11. Сам
по себе протокол не содержит средств шифрования, но может быть
использован в сочетании с другими протоколами или механизмами
шифрования на прикладном уровне.
Системы обнаружения вторжения в беспроводные сети
Системы обнаружения вторжения (Intrusion Detection System - IDS) - это
устройства, с помощью которых можно выявлять и своевременно
предотвращать вторжения в вычислительные сети. Они делятся на два вида: на
базе сети и на базе хоста. Сетевые системы (Network Intrusion Detection
Systems - NIDS) анализируют трафик с целью обнаружения известных атак на
основании имеющихся у них наборов правил (экспертные системы).
Исключение с точки зрения принципов анализа составляют системы на базе
нейросе-тей и искусственного интеллекта. Подмножеством сетевых систем
обнаружения вторжений являются системы для наблюдения только за одним
узлом сети (Network Node IDS).
202
Другой вид систем обнаружения вторжений представляют системы на
базе хоста (Host Intrusion Detection Systems - HIDS). Они устанавливаются
непосредственно на узлах и осуществляют наблюдение за целостностью
файловой системы, системных журналов и т. д. NIDS делятся в свою очередь
на две большие категории: на основе сигнатур и на основе базы знаний.
Сигнатурные IDS наиболее распространены и проще реализуются, но их легко
обойти и они не способны распознавать новые атаки. В таких системах
события, происходящие в сети, сравниваются с признаками известных атак,
которые и называются сигнатурами. Если инструмент взлома модифицировать
с целью изменения какой-либо части сигнатуры атаки, то скорее всего атака
останется незамеченной. Кроме того, базы данных, содержащие сигнатуры,
необходимо надежно защищать и часто обновлять. IDS на основе базы знаний
следят за сетью, собирают статистику о ее поведении в нормальных условиях,
обнаруживают различные особенности и помечают их как подозрительные.
Поэтому такие IDS еще называют основанными на поведении или
статистическими. Простейшая архитектура IDS представлена на рис. 2.82.
Рис. 2.82. Основные элементы архитектуры систем обнаружения вторжений
Для эффективной работы статистической IDS необходимо иметь
надежную информацию о том, как ведет себя сеть в нормальных условиях, точку отсчета. Хотя такую IDS обмануть сложнее, но и у нее есть свои слабые
места - ложные срабатывания и трудности при обнаружении некоторых видов
коммуникаций по скрытому каналу. Ложные срабатывания особенно вероятны
в беспроводных сетях из-за нестабильности передающей среды. Кроме того,
атаки, проведенные на ранних стадиях периода фиксации точки отсчета, могут
исказить процедуру обучения статистической IDS, поэтому ее развертывание в
промышленной сети - занятие рискованное. Как быть, если нормальное
поведение сети уже изменено взломщиком в момент развертывания?
203
Хорошая IDS для беспроводной сети должна быть одновременно
сигнатурной и статистической. Некоторые инструменты для проведения атак
на беспроводные сети имеют четко выраженные сигнатуры. Если они
обнаруживаются в базе данных, то можно поднимать тревогу. С другой
стороны, у многих атак очевидных сигнатур нет, зато они вызывают
отклонения от нормальной работы сети на нижних уровнях стека протоколов.
Отклонение может быть малозаметным, например несколько пришедших не по
порядку фреймов, или бросающимся в глаза, скажем, выросшая в несколько
раз нагрузка. Обнаружение таких аномалий - непростая задача, поскольку не
существует двух одинаковых беспроводных сетей. То же относится и к
проводным локальным сетям, но там хотя бы нет радиопомех, отражения,
рефракции и рассеивания сигнала. Поэтому эффективное применение IDS в
беспроводных сетях возможно только после длительного периода детального
исследования сети. При развертывании системы необходимо четко понимать,
что, как и зачем мы хотим анализировать, и постараться ответить на эти
вопросы, чтобы сконструировать нужную нам систему IDS (рис. 2.83).
Рис. 2.83. Характеристики систем обнаружения вторжений
Только собрав значительный объем статистических данных о работе
конкретной сети, можно решить, что является аномальным поведением, а что нет, и идентифицировать проблемы со связью, ошибки пользователей и атаки.
Многократные запросы на аутентификацию по протоколу 802.1x/LEAP могут
свидетельствовать о попытке атаки методом полного перебора. Но это может
объясняться и тем, что пользователь забыл свой пароль, или работой плохо
написанного клиентского приложения, которое продолжает предпринимать
попытки войти в сеть, пока не будет введен правильный пароль. Увеличение
числа фреймов-маяков может быть признаком DoS-атаки или присутствия в
сети фальшивой точки доступа, но не исключено, что все дело в неисправной
или неправильно сконфигурированной законной точке доступа. События,
фиксируемые IDS на верхних уровнях стека протоколов, например большое
число фрагменти-рованных пакетов или запросов TCP SYN, может указывать
204
на сканирование портов или DoS-атаку, но, возможно, это просто результат
плохой связи на физическом уровне (уровень 1).
1. События на физическом уровне:
наличие дополнительных передатчиков в зоне действия сети;
использование каналов, которые не должны быть задействованы в
защищаемой сети;
перекрывающиеся каналы;
внезапное изменение рабочего канала одним или несколькими
устройствами, за которыми ведется наблюдение;
ухудшение качества сигнала, высокий уровень шума или низкое
значение отношения "сигнал-шум".
Эти события могут свидетельствовать о наличии проблем со связью или
с сетью, об ошибках, допущенных при конфигурировании сети, о появлении
мошеннических устройств, о преднамеренном глушении либо об атаках
"человек посередине" на уровень 1 или 2.
2. События, связанные с административными или управляющими
фреймами:
повышенная частота появления некоторых типов фреймов;
фреймы необычного размера;
фреймы неизвестных типов;
неполные, испорченные или неправильно сформированные фреймы;
поток фреймов с запросами на отсоединение и прекращение сеанса;
частое появление фреймов с запросом на повторное присоединение в
сетях, где не включен роуминг;
фреймы с неправильными порядковыми номерами;
частое появление пробных фреймов;
фреймы, в которых SSID отличается от SSID данной сети;
фреймы с широковещательным SSID;
фреймы с часто изменяющимися или случайными SSID;
фреймы со значениями в поле SSID или других полях, типичными для
некоторых инструментов вторжения;
фреймы с МАС-адресами, отсутствующими в списке контроля
доступа;
фреймы с дублирующимися МАС-адресами;
фреймы с часто изменяющимися или случайными МАС-адресами.
Эти события могут указывать на неправильную конфигурацию сети,
проблемы со связью, сильные помехи, попытки применения инструментов
активного сканирования сети, подделку МАС-адресов, присутствие в сети
посторонних клиентов, попытки угадать или подобрать методом полного
перебора закрытый SSID или на более изощренные атаки "человек
посередине" на уровень 2, связанные с манипуляцией управляющими или
административными фреймами.
3. События, связанные с фреймами протоколов 802.1x/ЕАР:
205
неполные, испорченные или неправильно сформированные фреймы
протокола 802.1x;
фреймы с такими типами протокола ЕАР, которые не реализованы в
данной беспроводной сети;
многократные фреймы запроса и ответа процедуры аутентификации
ЕАР;
многократные фреймы с извещением о неудачной аутентификации
ЕАР;
затопление фреймами начала и завершения сеанса ЕАР;
фреймы ЕАР аномального размера;
фреймы ЕАР с некорректным значением длины;
фреймы ЕАР с неправильными "верительными грамотами";
фреймы ЕАР, приходящие от неизвестных аутентификаторов
(фальшивая точка доступа);
незавершенная процедура аутентификации по протоколу 802.1x/ЕАР.
Эти события могут указывать на попытки прорваться через процедуру
аутентификации, описанную в протоколе 802.1x, в том числе и путем
размещения фальшивого устройства и проникновения в сеть с помощью атаки
методом полного перебора или проведения изощренной DoS-атаки,
направленной на вывод из строя механизмов аутентификации. Разумеется,
неправильно сформированные фреймы могут возникать и в результате
сильных радиопомех или других проблем на уровне 1.
4. События, связанные с протоколом WEP:
наличие незашифрованного беспроводного трафика;
наличие трафика, зашифрованного неизвестными WEP-ключами;
наличие трафика, зашифрованного WEP-ключами разной длины;
фреймы со слабыми IV;
идущие подряд фреймы с повторяющимися IV;
не изменяющиеся IV;
откат к WEP от более безопасного протокола, например TKIP;
ошибки при ротировании WEP-ключей.
Эти события могут указывать на серьезные ошибки при
конфигурировании сети, на применение небезопасного устаревшего
оборудования или на использование инструментов внедрения трафика
опытным взломщиком.
5. События, связанные с общими проблемами связи:
потеря связи;
внезапный всплеск нагрузки на сеть;
внезапное уменьшение пропускной способности сети;
внезапное увеличение задержек в двухточечном канале;
повышенный уровень фрагментации пакетов;
частые повторные передачи.
206
Эти события заслуживают более пристального изучения для выявления
истинной причины ошибок. Механизм построения выводов, встроенный в IDS,
должен уметь связывать события с различными возможными причинами, тем
самым упрощая расследование.
6. Прочие события:
присоединившиеся, но не аутентифицированные хосты;
атаки на верхние уровни стека протоколов, вызывающие срабатывание
"традиционной" IDS;
посторонний административный трафик, адресованный точке доступа;
постоянное дублирование или повтор пакетов с данными;
пакеты с данными, в которых испорчены контрольные суммы или MIC,
формируемые на канальном уровне;
затопление многократными попытками одновременного присоединения
к сети.
Эти события могут свидетельствовать об успешной или неудачной атаке,
о наличии хоста с неправильными настройками безопасности, о попытках
получить контроль над точкой доступа и изменить ее конфигурацию, о
применении инструментов для внедрения трафика, о DoS-атаке против хостов
с включенным протоколом 802.11i или о попытках переполнить буферы точки
доступа большим числом запросов на соединение со стороны проводной или
беспроводной части сети. Но, как и раньше, искажение фрейма или пакета
может быть обусловлено проблемами на физическом уровне, например
наличием помех или слабым уровнем сигнала.
Коммерческие системы IDS для беспроводных сетей.
Из коммерческих решений хорошо известны программы AirDefense Guard и
Isomair Wireless Sentry. Они основаны на размещении сенсоров на территории.
2.13. Антенны
Правильная установка и настройка антенн требует определенных знаний.
Необходимо иметь представление о диаграммах направленности и
поляризации антенн. Правильный расчет коэффициента усиления на
начальном этапе поможет избежать ошибок и неправильной работы антенн
при эксплуатации. Необходимо также учитывать различного рода искажения
при передаче сигнала, которые оказывают крайне негативные воздействие на
него. В целом, лекция будет полезна для понимания сути работы антенн.
Определение антенны
Антенну можно определить как проводник, используемый для излучения
или улавливания электромагнитной энергии из пространства. Для передачи
сигнала радиочастотные электрические импульсы передатчика с помощью
антенны преобразуются в электромагнитную энергию, которая излучается в
окружающее пространство. При получении сигнала энергия электромагнитных
207
волн, поступающих на антенну, преобразуется в радиочастотные
электрические импульсы, после чего подается на приемник.
Как правило, при двусторонней связи одна и та же антенна используется
как для приема, так и для передачи сигнала. Такой подход возможен, потому
что любая антенна с равной эффективностью поставляет энергию из
окружающей среды к принимающим терминалам и от передающих
терминалов в окружающую среду. Для правильной настройки антенн разберем
некоторые ее характеристики.
Диаграмма направленности
Антенны излучают энергию во всех направлениях. Однако в
большинстве случаев эффективность передачи сигнала для различных
направлений
неодинакова.
Наиболее
распространенным
способом
определения эффективности антенны является диаграмма направленности,
которая представляет собой зависимость излучающих свойств антенны от
пространственных
координат.
Диаграммы
направленности
антенн
представляются как двухмерное поперечное сечение трехмерной диаграммы.
Один из наиболее простых типов диаграммы направленности
соответствует идеальному случаю так называемой изотропной антенны. Под
изотропной антенной понимают точку в пространстве, которая излучает
энергию одинаково во всех направлениях. Диаграмма направленности для
изотропной антенны представляет собой сферу, центр которой совпадает с
положением антенны (рис. 2.84а). Расстояние от антенны до любой точки
диаграммы направленности прямо пропорционально энергии, которая была
излучена антенной в данном направлении. На рис. 2.84б представлен еще один
идеализированный случай - направленная антенна с одним выделенным
направлением излучения (вдоль горизонтальной оси).
Рис. 2.84. Диаграммы направленности
208
Размер диаграммы направленности может быть произвольным. Важно
лишь, чтобы в каждом направлении были соблюдены пропорции. Чтобы на
основе относительного расстояния определить приведенную мощность в
заданном направлении, от точки размещения антенны до пересечения с
диаграммой направленности проводят прямую линию под соответствующим
углом наклона. На рис. 2.84б для двух антенн сравниваются два угла передачи
сигнала (А и Б). Изотропной антенне соответствует ненаправленная круговая
диаграмма; векторы А и Б равны по величине.
Поляризация антенн
Важной характеристикой антенны является ее поляризация. В системах
радиодоступа используют антенны с вертикальной, горизонтальной и круговой
(с правым и левым вращением) поляризациями (рис. 2.85.).
Учет поляризации позволяет получить дополнительные энергетические
преимущества при решении задач электромагнитной совместимости,
планировании зон обслуживания и т. д. При заполнении определенного
пространства точками доступа до предельного уровня, после которого
взаимные радиопомехи начинают мешать нормальной работе сетей,
достаточно изменить поляризацию антенн, после чего можно продолжать
наращивать радиосеть.
В плоской электромагнитной волне векторы вертикального
электрического
и магнитного
полей в каждый момент времени
ориентированы в пространстве определенным образом. Поляризация
электромагнитной
волны
является
ее
пространственно-временной
характеристикой и определяется видом траектории, описываемой концом
вектора электрического поля в фиксированной точке пространства. На
антеннах с поляризацией на задней стороне есть указатель в виде стрелки,
который и определяет необходимую поляризацию.
Рис. 2.85. Вертикальная (а) и горизонтальная (б) поляризации
При круговой или циклической поляризации электромагнитное поле
вращается вокруг оси с определенным циклом, или шагом, так, что в разных
точках пространства принимает или вертикальную, или горизонтальную
поляризацию. Такой вид поляризации применяется сравнительно редко.
209
Коэффициенты усиления антенн
Коэффициент усиления является мерой направленности антенны.
Данный параметр определяется как отношение мощности сигнала,
излученного в определенном направлении, к мощности сигнала, излучаемого
идеальной ненаправленной антенной в любом направлении.
Коэффициент усиления антенны по отношению к дипольной антенне
обычно дается в
, а по отношению к изотропной - в
.
Впервые использованная для измерений интенсивности сигнала единица
измерения децибел была названа так в честь Александра Грэма Бэлла.
Значения в децибелах вычисляются по логарифмической шкале, что позволяет
обеспечить спецификацию характеристик в широком диапазоне напряжений
или мощностей (см. (11.1) и (11.2)).
(2.1)
(2.2)
где P1 - измеренная мощность (Вт); P2 - эталонная мощность (Вт); V1 измеренное напряжение (В); V2 - эталонное напряжение (В).
Пример 2.5. Если на входе линии передачи уровень мощности сигнала
составляет 100 мВт, а на некотором расстоянии 50 мВт, то ослабление
сигнала можно выразить следующим образом:
В децибелах выражается относительное, а не абсолютное отличие
сигналов. Ослабление сигнала с 10 Вт на 5 Вт также является ослаблением на
3 дБ.
Пример 2.6. Использование децибелов полезно при определении
усиления или снижения мощности, происходящего на последовательности
передающих элементов. Рассмотрим, например, последовательность
элементов, на вход которой подается мощность 4 мВт, первый элемент
является кабельной сборкой с затуханием 12 дБ, второй элемент - это
усилитель с усилением 35 дБ, а третий - еще одна кабельная сборка с
затуханием 10 дБ. Суммарное усиление тракта равно (-12 + 35 - 10) = 13
дБ. Вычисляем мощность на выходе:
Значения в децибелах связаны с относительными амплитудами или
изменениями амплитуд, но никак не с абсолютными уровнями. Было бы
удобно представить абсолютный уровень мощности также в децибелах, чтобы
можно было легко вычислять усиление или снижение мощности по
отношению к исходному сигналу. Поэтому в качестве эталонного уровня
выбрана величина 1 Вт, а абсолютный уровень мощности - в
или
(децибел-ватт). Он определяется следующим образом:
210
Широко используется и другая производная единица (
)
(децибел-милливат). В этом случае за эталонный уровень мощности
принимается 1 мВт.
Увеличение мощности сигнала в одном направлении возможно лишь за
счет остальных направлений распространения. Другими словами, увеличение
мощности сигнала в одном направлении влечет за собой уменьшение
мощности в других направлениях. Необходимо отметить, что коэффициент
усиления характеризует направленность сигнала, а не увеличение выходной
мощности по отношению к входной (как может показаться из названия),
поэтому данный параметр часто еще называют коэффициентом направленного
действия.
Распространение сигнала
При распространении сигнал, излученный антенной, может огибать
поверхность Земли, отражаться от верхних слоев атмосферы либо
распространяться вдоль линии прямой видимости.
Дифракция электромагнитных волн
При огибании поверхности Земли (рис. 2.86) путь распространения
сигнала в той или иной степени повторяет контур планеты. Передача может
производиться на значительные расстояния, намного превышающие пределы
прямой видимости. Данный эффект имеет место для частот до 2 МГц. На
способность сигналов, принадлежащих данной полосе частот, повторять
кривизну земной поверхности влияет фактор дифракции электромагнитных
волн. Данное явление связано с поведением электромагнитных волн при
наличии препятствий. Рассеяние электромагнитных волн указанного
диапазона в атмосфере происходит таким образом, что в верхние атмосферные
слои эти волны не попадают.
Распространение волн вдоль линии прямой видимости
Если частота радиосигнала превышает 30 МГц, то огибание им земной
поверхности и отражение от верхних слоев атмосферы становятся
невозможными. В этом случае связь должна осуществляться в пределах
прямой видимости (рис. 2.87).
211
Рис. 2.86. Распространение околоземных волн (частота до 2 МГц)
Рис. 2.87. Распространение сигнала вдоль линии видимости
(частота свыше 30 МГц)
При связи через спутник сигнал с частотой свыше 30 МГц не будет
отражаться ионосферой. Такой сигнал может передаваться от наземной
станции к спутнику и обратно при условии, что спутник не находится за
пределами горизонта. При наземной связи передающая и принимающая
антенны должны находиться в пределах эффективной линии прямой
видимости. Использование термина "эффективный" связано с тем, что волны
сверхвысокой частоты искривляются и преломляются атмосферой. Степень и
направление искривления зависят от различных факторов. Однако, как
правило, искривления сверхвысокочастотных волн повторяют кривизну
поверхности Земли. Поэтому такие волны распространяются на расстояние,
превышающее оптическую линию прямой видимости. Так как связь между
212
точками доступа, работающими в стандартах 802.11a, 802.11b и 802.11g
обычно рассчитывается на линию прямой видимости, то в следующей главе
рассмотрим, как влияет окружающая среда на полезный сигнал.
Передача сигнала в пределах линии прямой видимости
Для любой системы связи справедливо утверждение, что принимаемый
сигнал отличается от переданного. Данный эффект является следствием
различных искажений в процессе передачи. При передаче аналогового сигнала
искажения приводят к его случайному изменению, что проявляется в
ухудшении качества связи. Если же передаются цифровые данные, искажения
приводят к появлению двоичных ошибок - двоичная единица может
преобразоваться в нуль и наоборот. Рассмотрим различные типы искажений, а
также их влияние на пропускную способность каналов связи в пределах
прямой видимости. Наиболее важными являются следующие типы искажений:
затухание или амплитудное искажение сигнала;
потери в свободном пространстве;
шум;
атмосферное поглощение;
Затухание
При передаче сигнала в любой среде его интенсивность уменьшается с
расстоянием. Такое ослабление, или затухание, в общем случае
логарифмически зависит от расстояния. Как правило, затухание можно
выразить как постоянную потерю интенсивности (в децибелах) на единицу
длины. При рассмотрении затухания важны три фактора.
1. Полученный сигнал должен обладать мощностью, достаточной для
его обнаружения и интерпретации приемником.
2. Чтобы при получении отсутствовали ошибки, мощность сигнала
должна поддерживаться на уровне, в достаточной мере превышающем шум.
3. При повышении частоты сигнала затухание возрастает, что приводит
к искажению.
Первые два фактора связаны с затуханием интенсивности сигнала и
использованием усилителей или ретрансляторов. Для двухточечного канала
связи мощность сигнала передатчика должна быть достаточной для четкого
приема. В то же время интенсивность сигнала не должна быть слишком
большой, так как в этом случае контуры передатчика или приемника могут
оказаться перегруженными, что также приведет к искажению сигнала. Если
расстояние между приемником и передатчиком превышает определенную
постоянную, свыше которой затухание становится неприемлемо высоким, для
усиления сигнала в заданных точках пространства располагаются
ретрансляторы или усилители. Задача усиления сигнала значительно
усложняется, если существует множество приемников, особенно если
расстояние между ними и передающей станцией непостоянно. Третий фактор
списка известен как амплитудное искажение. Вследствие того, что затухание
является функцией частоты, полученный сигнал искажается по сравнению с
переданным, что снижает четкость приема. Для устранения этой проблемы
213
используются методы выравнивания искажения в определенной полосе частот.
Одним из возможных подходов может быть использование устройств,
усиливающих высокие частоты в большей мере, чем низкие.
Потери в свободном пространстве
Для любого типа беспроводной связи передаваемый сигнал рассеивается
по мере его распространения в пространстве. Следовательно, мощность
сигнала, принимаемого антенной, будет уменьшаться по мере удаления от
передающей антенны. Для спутниковой связи упомянутый эффект является
основной причиной снижения интенсивности сигнала. Даже если
предположить, что все прочие причины затухания и ослабления отсутствуют,
переданный сигнал будет затухать по мере распространения в пространстве.
Причина этого - распространение сигнала по все большей площади. Данный
тип затухания называют потерями в свободном пространстве и вычисляют
через отношение мощности излученного сигнала к мощности полученного
сигнала. Для вычисления того же значения в децибелах следует взять
десятичный логарифм от указанного отношения, после чего умножить
полученный результат на 10.
,
(2.3)
где Pt - мощность сигнала передающей антенны; Pr - мощность сигнала,
поступающего на антенну приемника; λ - длина волны несущей; d расстояние, пройденное сигналом между двумя антеннами; Gt - коэффициент
усиления передающей антенны; Gr - коэффициент усиления антенны
приемника. Следовательно, если длина волны несущей и их разнесение в
пространстве остаются неизменными, увеличение коэффициентов усиления
передающей и приемной антенн приводит к уменьшению потерь в свободном
пространстве.
Шум
Для любой передачи данных справедливо утверждение, что полученный
сигнал состоит из переданного сигнала, модифицированного различными
искажениями, которые вносятся самой системой передачи, а также из
дополнительных нежелательных сигналов, взаимодействующих с исходной
волной во время ее распространения от точки передачи к точке приема. Эти
нежелательные сигналы принято называть шумом. Шум является основным
фактором, ограничивающим производительность систем связи. Шумы можно
разделить на четыре категории:
тепловой шум;
интермодуляционные шумы;
перекрестные помехи;
импульсные помехи.
Тепловой шум является результатом теплового движения электронов.
Данный тип помех оказывает влияние на все электрические приборы, а также
на среду передачи электромагнитных сигналов. Если сигналы разной частоты
214
передаются в одной среде, может иметь место интермодуляционный шум.
Интермодуляционным шумом являются помехи, возникающие на частотах,
которые представляют собой сумму, разность или произведение частот двух
исходных сигналов. Например, смешивание двух сигналов, передаваемых на
частотах f1 и f2 соответственно, может привести к передаче энергии на частоте
f1 + f2. При этом данный паразитный сигнал может интерферировать с
сигналом связи, передаваемым на частоте f1 + f2.
С перекрестными помехами сталкивался каждый, кто во время
использования телефона переменно слышал разговор посторонних людей.
Данный тип помех возникает вследствие нежелательного объединения трактов
передачи сигналов. Такое объединение может быть вызвано сцеплением
близко расположенных витых пар, по которым передаются множественные
сигналы. Перекрестные помехи могут возникать во время приема посторонних
сигналов антеннами. Несмотря на то, что для указанного типа связи
используют высокоточные направленные антенны, потерь мощности сигнала
во время распространения избежать все же невозможно. Как правило,
мощность перекрестных помех равна по порядку (или ниже) мощности
теплового шума. Все указанные выше типы помех являются предсказуемыми и
характеризуются относительно постоянным уровнем мощности. Таким
образом, вполне возможно спроектировать систему передачи сигнала, которая
была
бы
устойчивой
к
указанным
помехам.
Однако
кроме
вышеперечисленных типов помех существуют так называемые импульсные
помехи, которые по своей природе являются прерывистыми и состоят из
нерегулярных импульсов или кратковременных шумовых пакетов с
относительно высокой амплитудой. Причин возникновения импульсных помех
может быть множество, в том числе внешние электромагнитные воздействия
(например, молнии) или дефекты (поломки) самой системы связи.
Атмосферное поглощение
Причиной дополнительных потерь мощности сигнала между
передающей и принимающей антеннами является атмосферное поглощение,
при этом основной вклад в ослабление сигнала вносят водные пары и
кислород. Дождь и туман (капли воды, находящиеся во взвешенном состоянии
в воздухе) приводят к рассеиванию радиоволн и в конечном счете к
ослаблению сигнала. Указанные факторы могут быть основной причиной
потерь мощности сигнала. Следовательно, в областях, для которых характерно
значительное выпадение осадков, необходимо либо сокращать расстояние
между приемником и передатчиком, либо использовать для связи более низкие
частоты.
215
2.14. Отношение «сигнал-шум» в цифровых системах связи.
Построение антенно-фидерных трактов и радиосистем
с внешними антеннами
Довольно сложная для изучения. Характерно множество формул,
математических расчетов и примеров. Уделено внимание расчету дальности
работы беспроводного канала связи, зависимости чувствительности от
скорости передачи данных, проводится расчет зон Френеля. Очень хорошо и
доступно описано построение антенно-фидерных трактов и радиосистем с
внешними антеннами.
Отношение "сигнал-шум" в цифровых системах связи
Очень важной характеристикой производительности цифровых систем
связи является отношение "сигнал-шум". Отношение "сигнал-шум" - это
отношение энергии сигнала на 1 бит к плотности мощности шумов на 1 герц
(
). Рассмотрим сигнал, содержащий двоичные цифровые данные,
передаваемые с определенной скоростью - R бит/с. Напомним, что 1 Вт = 1
Дж/с, и вычислим удельную энергию одного бита сигнала: Eb = STb (где S мощность сигнала; Tb - время передачи одного бита). Скорость передачи
данных R можно выразить в виде
. Учитывая, что тепловой шум,
присутствующий в полосе шириной 1 Гц, для любого устройства или
проводника составляет
(2.4)
где N0 - плотность мощности шумов в ваттах на 1 Гц полосы; k постоянная Больцмана,
; T - температура в
Кельвинах (абсолютная температура), то, следовательно,
(2.5)
Отношение
имеет большое практическое значение, поскольку
скорость появления ошибочных битов является (убывающей) функцией
данного отношения. При известном значении
, необходимом для
получения желаемого уровня ошибок, можно выбирать все прочие параметры
в приведенном уравнении. Следует отметить, что для сохранения требуемого
значения
при повышении скорости передачи данных R придется
увеличивать мощность передаваемого сигнала по отношению к шуму.
Довольно часто уровень мощности шума достаточен для изменения
значения одного из битов данных. Если же увеличить скорость передачи
данных вдвое, биты будут "упакованы" в два раза плотнее, и тот же
посторонний сигнал приведет к потере двух битов информации.
Следовательно, при неизменной мощности сигнала и шума увеличение
скорости передачи данных влечет за собой возрастание уровня возникновения
ошибок.
216
Пример 2.7. Рассмотрим метод кодирования сигнала, для которого
необходимо, чтобы отношение
равнялось 8,4 дБ при частоте
-4
возникновения ошибок 10 (ошибочным является 1 бит из каждых 10000).
Если эффективная температура теплового шума равна 290 К, а скорость
передачи данных - 1 Мбит/с, какой должна быть мощность сигнала, чтобы
преодолеть тепловой шум?
Решение:
По формуле (12.2) находим S:
Для упрощения расчетов переведем это выражение в логарифмы:
Так как 1 Мбит = 1048576 бит, то
или
Следовательно, для того чтобы преодолеть тепловой шум, необходима
мощность 35,37 дБВт.
Расчет зоны действия сигнала
Расчет дальности работы беспроводного канала связи. Без вывода
приведем формулу расчета дальности. Она берется из инженерной
формулы расчета потерь в свободном пространстве:
FSL (Free Space Loss) - потери в свободном пространстве (дБ); Fцентральная частота канала, на котором работает система связи (МГц); D расстояние между двумя точками (км). FSL определяется суммарным
усилением системы. Оно считается следующим образом:
(2.6)
где
- мощность передатчика;
- коэффициент усиления
передающей антенны;
- коэффициент усиления приемной антенны;
- чувствительность приемника на данной скорости;
- потери
сигнала в коаксиальном кабеле и разъемах передающего тракта;
- потери
сигнала в коаксиальном кабеле и разъемах приемного тракта.
217
Таблица 2
Зависимость чувствительности от скорости передачи
Скорость Чувствительность
54 Мбит/с -66 дБмВт
48 Мбит/с -71 дБмВт
36 Мбит/с -76 дБмВт
24 Мбит/с -80 дБмВт
18 Мбит/с -83 дБмВт
12 Мбит/с -85 дБмВт
9 Мбит/с -86 дБмВт
6 Мбит/с -87 дБмВт
Для каждой скорости приемник имеет определенную чувствительность.
Для небольших скоростей (например, 1-2 Мегабита) чувствительность
наименьшая: от -90 дБмВт до -94 дБмВт. Для высоких скоростей
чувствительность намного выше. В качестве примера в таблице приведены
несколько характеристик обычных точек доступа 802.11a,b,g.
В зависимости от марки радиомодулей максимальная чувствительность
может немного варьироваться. Ясно, что для разных скоростей максимальная
дальность будет разной. FSL вычисляется по формуле
(2.7)
где SOM(System Operating Margin) - запас в энергетике радиосвязи (дБ).
Учитывает возможные факторы, отрицательно влияющие на дальность связи,
такие как:
температурный дрейф чувствительности приемника и выходной
мощности передатчика;
всевозможные атмосферные явления: туман, снег, дождь;
рассогласование антенны, приемника, передатчика с антеннофидерным трактом.
Параметр SOM обычно берется равным 10 дБ. Считается, что 10децибельный запас по усилению достаточен для инженерного расчета.
Центральная частота канала F берется из следующей таблицы:
Таблица 3
Вычисление центральной частоты
Канал
Центральная частота
1
2412
2
2417
3
2422
218
Окончание табл. 3
4
5
6
7
8
9
10
11
12
13
14
2427
2432
2437
2442
2447
2452
2457
2462
2467
2472
2484
В итоге получим формулу дальность связи:
(2.8)
Пример 2.8. Найти расстояние, на котором будет стабильно работать
связь на скоростях 56 Мбит/с и 6 Мбит/с для точки доступа DWL-2100AP и
беспроводного адаптера DWL-G132. Их паспортные характеристики:
Мощность передатчиков DWL-2100AP и DWL-G132: 16 дБмВт;
Чувствительность DWL-2100AP на скорости 54 Мбит/с: -66 дБмВт;
Чувствительность DWL-2100AP на скорости 6 Мбит/с: -88 дБмВт;
Чувствительность DWL-G132 на скорости 54 Мбит/с: -66 дБмВт;
Чувствительность DWL-G132 на скорости 6 Мбит/с: -87 дБмВт;
Коэффициент усиления штатной антенны DWL-2100AP: 2 дБи.
Коэффициент усиления штатной антенны DWL-G132: 0 дБи.
Потерь в антенно-фидерном тракте, т.е. между беспроводными точками
и их антеннами, нет.
Решение:
1) Найдем расстояние на скорости 54 Мбит/с. Параметр FSL равен
Находим дальность работы беспроводного оборудования на данной
скорости (в качестве примера возьмем шестой канал):
Найдем расстояние на скорости 6 Мбит/с. FSL равен
Определим дальность работы беспроводного оборудования на данной
скорости:
219
Расчет зоны Френеля
Радиоволна в процессе распространения в пространстве занимает объем
в виде эллипсоида вращения с максимальным радиусом в середине пролета,
который называют зоной Френеля (рис. 2.88.). Естественные (земля, холмы,
деревья) и искусственные (здания, столбы) преграды, попадающие в это
пространство, ослабляют сигнал.
Рис. 2.88. Зона Френеля
Радиус первой зоны Френеля над предполагаемой преградой может быть
рассчитан с помощью формулы
(2.9)
где R - радиус зоны Френеля (м); S, D - расстояние от антенн до самой
высшей точки предполагаемого препятствия (км); f - частота (ГГц).
Замечания: Обычно блокирование 20% зоны Френеля вносит
незначительное затухание в канал. При блокировании свыше 40% затухание
сигнала будет уже значительным, следует избегать попадания препятствий на
пути распространения.
Этот расчет сделан в предположении, что земля плоская. Он не
учитывает кривизну земной поверхности. Для протяженных каналов следует
проводить совокупный расчет, учитывающий рельеф местности и
естественные преграды на пути распространения. В случае больших
расстояний между антеннами следует стараться увеличивать высоту подвеса
антенн, принимая во внимание кривизну земной поверхности.
Построение антенно-фидерных трактов и радиосистем с внешними
антеннами. Задачи по подключению к беспроводному оборудованию
дополнительных антенн, усилению мощности передатчика, включению в
систему дополнительных фильтров довольно часто встречаются в практике
построения беспроводных сетей. И, как правило, на эту тему возникает много
220
вопросов, самыми распространенными из которых являются вопросы о
соответствии разъемов на используемом оборудовании и дополнительных
кабелях, а также вопросы по расчету полученных систем. Сразу необходимо
отметить, что вынос антенны - дело неблагодарное, так как возникающие при
этом негативные факторы, такие как затухание сигнала на кабельных сборках
и увеличение уровня паразитных шумов, значительно ухудшают
характеристики исходной радиосистемы. Вместе с тем подключенные антенны
(особенно с большими коэффициентами усиления) во многом компенсируют
все эти негативные факторы, но, несмотря на это, при проектировании все же
стараются максимально сократить расстояние от порта активного
оборудования точек доступа до вынесенной антенны и по возможности
подключить антенну напрямую к точке доступа.
Очень часто бывают случаи, когда необходимо увеличить зону охвата
внутри помещений, для этого используют антенны во внутреннем (indoor)
исполнении. Для связи между домами или районами используют более
дорогое оборудование во внешнем (outdoor) исполнении.
Антенно-фидерный тракт с усилителем
На рис. 2.89. показана беспроводная система с антенно-фидерным
трактом, в который включено множество элементов. Их может быть
значительно больше, но здесь показаны наиболее часто используемые. Далее
поясним, для чего используется тот или иной элемент, как он называется, и
какие нюансы необходимо учесть при его использовании.
Рис. 2.89. Антенно-фидерный тракт с усилителем
1. Точка доступа со съемной антенной. Почти все беспроводное
оборудование D-Link комплектуется съемными штатными антеннами 2-5 дБи
(например, DWL-2100AP, DWL-3200AP, DWL-8200AP, DWL-2700AP, DWL7700AP, DWL-G520 и т. д.) - это означает, что штатную антенну можно легко
снять и подключить вместо нее более мощную антенну с необходимым
коэффициентом усиления и диаграммой направленности. В технических
характеристиках беспроводного оборудования всегда сказано, каким типом
антенн оно комплектуется по умолчанию.
2. Кроме поддерживаемых технологий и скоростных характеристик
точка доступа имеет несколько важных физических характеристик, которые
221
являются исходными данными для расчета антенно-фидерного тракта и
энергетических характеристик системы. К таким характеристикам относятся:
мощность передатчика, которая измеряется или в милливаттах (мВт)
или в децибел-милливаттах (дБмВт).
чувствительность приемника для определенной скорости - чем она
выше, тем выше скорость.
3. Полосовой фильтр. Он показан пунктиром, поскольку его довольно
редко включают в систему, но тем не менее он присутствует в системах
профессионального уровня. Принято думать, что кабель вносит только потери,
связанные с длиной кабеля, и достаточно выбрать кабель с малым затуханием
или поставить усилитель, и все проблемы будут решены. Однако это не совсем
так. В первую очередь, длинный кабель собирает помехи во всем диапазоне
частот, поэтому работе будут мешать все радиоустройства, способные создать
на входе приемника карты достаточно сильную помеху. Поэтому часто
случается, что в городской среде, в которой присутствует сильное
зашумление, связь между точками доступа в системах с вынесенной на
большое расстояние антенной крайне нестабильна, и поэтому в кабель
необходимо включать дополнительный полосовой фильтр непосредственно
перед входным разъемом точки доступа, который внесет еще потери не менее
1,5 дБ.
4. Полосовые фильтры бывают настраиваемыми и с фиксированной
центральной частотой, которая настраивается в процессе производства,
например как у фильтров серии NCS F24XXX, поэтому желательно заранее
определиться с требованиями по настройке и указать их при заказе. Фильтры
различаются шириной полосы пропускания, определяющей диапазон частот,
которые не ослабляются.
5. Кабельная сборка SMA-RP-plug ↔ N-type-male Часто ее еще называют
pigtale - это небольшой переходник с антенного вывода indoor точки доступа,
который называется SMA-RP (реверс SMA), на широко используемый в
антенно-фидерном оборудовании высокочастотный разъем N-type (рис. 2.90.).
Рис. 2.90. Кабельная сборка pigtale
Pigtale - кабель входит в комплект поставки всех внешних (outdoor) антенн DLink, антенны для внутреннего использования также комплектуются
необходимыми кабелями. Вносит дополнительное затухание около 0,5 дБ.
222
6. Инжектор питания.
Включается в тракт между активным
оборудованием и входным портом усилителя (вносит затухание не более 0,5
дБ) и подключается к блоку питания, который подключается к розетке 220В.
Инжектор имеет 2 порта - оба N-type-female. Инжектор питания и блок питания
входят в комплект поставки усилителей.
7. Переходник TLK-N-type-MM. Переходник N-Type Male-Male (рис.2.91)
служит для изменения конфигурации порта с female на male, здесь мы его
используем, чтобы подключить к инжектору следующую за ним кабельную
сборку (стандартные кабельные сборки обычно имеют разъемы N-type-male ↔
N-type-female).
Рис. 2.91. Переходник TLK-N-type-MM
Общепринятым является, что коаксиальный разъем, устанавливаемый
стационарно, например входы или выходы усилителей, фильтров, генераторов
сигналов, разъемы для подключения, устанавливаемые на антеннах, имеют
конфигурацию "гнездо" (female), а разъемы на подключаемых к ним кабелях
имеют конфигурацию "штекер" (male).
Однако данное правило не всегда соблюдается, поэтому иногда
возникают проблемы при сборке тракта на элементах от различных
производителей.
Решить эту проблему позволяет использование переходника N-type-male
↔ N-type-male.
8.
Кабельная сборка (например, HQNf-Nm15). Это 15-метровая
кабельная сборка N-type (female) ↔ N-type (male) (рис. 2.92.).
223
Рис. 2.92. Кабельная сборка N-type (female) ↔ N-type (male)
Можно также использовать кабельные сборки большой длины,
например, последовательно объединив две 15-метровые сборки (или другие
длины), важно только чтобы:
уровень сигнала на входном порту усилителя попадал в допустимый
диапазон, который указан в характеристиках усилителя;
уровень сигнала, принятого от удаленной точки доступа и усиленного в
усилителе, имел достаточную интенсивность для восприятия приемником
точки после прохождения кабельной сборки.
9. Усилитель 2,4 ГГц (например, NCS24XX). Двунаправленный
магистральный усилитель (рис. 2.93) предназначен для увеличения мощности
передаваемого сигнала и повышения чувствительности канала приема в
беспроводных сетях передачи данных, а также компенсации потерь в канале
между радиомодемом и антенной.
Рис. 2.93. Усилитель 2,4 ГГц
Усилитель имеет внешнее исполнение и может быть установлен
непосредственно на антенном посту. Использование усилителя позволяет
организовать связь даже при самых неблагоприятных условиях соединения.
При включении усилителя в радиосистему в значительной степени
увеличивается зона ее покрытия. При использовании усилителей необходимо
224
учитывать следующие моменты: если мощность передатчика точки доступа
слишком велика и не попадает в диапазон допустимой интенсивности сигнала
на входном порту усилителя, то использовать ее с усилителем все-таки можно,
но требуется включить в тракт между усилителем и точкой доступа кабельную
сборку или какой-либо специальный элемент, затухание на котором обеспечит
необходимое ослабление сигнала, с тем чтобы его интенсивность попала в
допустимый диапазон. Ослабляя переданный сигнал, следует также помнить,
что одновременно ослабляется и принятый сигнал, поэтому не стоит
увлекаться.
Пример 2.9. Подключим к точке доступа с мощностью передатчика 200
мВт усилитель NCS2405, на входе которого должно быть 10-100 мВт,
выходная мощность - 500 мВт. Для этого необходимо ослабить исходный
сигнал на 100 мВт, т. е. в два раза или на 3 дБ; для этого включаем в схему
десятиметровую кабельную сборку на основе кабеля с затуханием 0,3 дБ/м на
частоте 2,4 ГГц. Максимальное расстояние, на которое можно вынести
усилитель от порта радиомодема, зависит от затухания на используемых
элементах тракта; при этом необходимо, чтобы уровень сигнала на входном
порту усилителя попадал в допустимый диапазон, который указан в
характеристиках усилителя, а также чтобы уровень принятого от удаленного
передатчика сигнала и усиленного в усилителе, имел достаточную
интенсивность для восприятия приемником после прохождения данной
кабельной сборки.
Пример 2.10. Посчитаем максимальное расстояние от активного порта
indoor точки доступа (мощность 16 дБмВт) до входного порта усилителя
NCS240. Погонное затухание на кабеле на частоте 2,4 ГГц возьмем по 0,3 дБ/м.
Решение:
Найдем суммарное затухание тракта до порта усилителя (считаем схему
без фильтра): Y = 0,5 дБ (pigtale) + 0,5 дБ (инжектор) + 6
дБ (15-метровая кабельная сборка (затухание на кабеле
0,3 дБ/м) + 3 разъема по 0,75 дБ) = 7,75 дБ. Следовательно,
мощность, которая попадет на вход усилителя, будет равняться 16 - 7,75
= 8,25 дБмВт. Для усилителя NCS2401 нижняя граница допустимой
интенсивности сигнала на входном порту равняется 4 мВт (6 дБмВт).
Следовательно, можно еще увеличить длину кабельной сборки:
8,25 - 6=2,25 дБмВт; 2,25/0,3 = 7,5 м, т.е. еще примерно
на 7,5 метров. Следовательно, максимальное расстояние кабельной сборки
будет 22,5 метра. Теперь посмотрим, что происходит с принятым сигналом.
Предположим, что от удаленного передатчика на усилитель поступает сигнал
мощностью -98 дБмВпг; в режиме приема коэффициент усиления усилителя
равен 30 дБ. Затухание тракта до порта радиомодема равно 10 дБ (7,75 дБ +
2,25 дБ). Найдем интенсивность сигнала, поступившего на приемник точки
доступа: -98 + 30 - 10 = (-78 дБмВпг). В таблице ниже смотрим
чувствительность приемника и находим скорость, на которой он может
225
работать: (-78 дБмВт) < (-76 дБмВт), следовательно, при такой
длине кабельной сборки точка доступа может работать на скорости 24 Мбит/с.
Если нужна большая скорость, необходимо либо уменьшить длину кабельной
сборки, либо взять усилитель с большим коэффициентом усиления.
В таблице ниже приведены все величины затухания от среды
распространения сигнала.
Таблица 4
Затухание от среды распространения сигнала
Ед.
Наименование
Значение
изм.
Окно в кирпичной стене
дБ
2
Стекло в металлической раме
дБ
6
Офисная стена
дБ
6
Железная дверь в офисной стене
дБ
7
Железная дверь в кирпичной
дБ
12,4
стене
Стекловолокно
дБ
0,5-1
Стекло
дБ
3-20
дБ
Дождь и туман
дБ/км 0,02-0,05
Деревья
дБ/м
0,35
Кабельная сборка pigtale
дБ
0,5
Полосовой фильтр NCS F24XXX
дБ
1,5
Коаксиальный кабель
дБ/м
0,3
Разъем N-type
дБ
0,75
Инжектор питания
дБ
0,5
10. Кабельная сборка (например, HQNf-Nml,5)
11. HQNf-Nml,5 - кабель (переходник) N-type(female) ↔ N-type(male)
длинной 1,5 м.
12. Модуль грозовой защиты
13. В оборудовании D-Link идет со всеми внешними антеннами.
Имеет разъемы N-type(female) ↔ N-type(male).
14. Внешняя направленная (например, ANT24-2100)
15. Антенна с коэффициентом усиления 21 дБи. Антенны имеют
разъем N-type-female
226
Простой антенно-фидерный тракт
На рис. 2.94. представлена простая беспроводная система, в которой
отсутствует усилитель, и антенно-фидерный тракт состоит только из
пассивных элементов.
Рис. 2.94. Простой антенно-фидерный тракт
На рис. 2.94. показаны:
1. точка доступа DWL-2100AP;
2. pigtale (в комплекте с антенной);
3. кабельная сборка;
4. модуль грозовой защиты (в комплекте с антенной);
5. антенна ANT24-1400.
Расстояние, на которое можно вынести антенну в данном случае,
ограничивается мощностью передатчика точки доступа и затуханием,
вносимым пассивными элементами. При выносе антенны на большое
расстояние как принятый, так переданный сигнал может полностью
поглотиться кабельными сборками и переходниками.
При использовании даже самой короткой кабельной сборки к антенне
подводится мощность, значительно меньшая исходной, что незамедлительно
отразится на дальности действия радиосистемы. Поэтому мы рекомендуем
использовать в таких схемах кабельные сборки не длиннее 6 метров и, по
возможности, антенны с максимальным коэффициентом усиления.
Точка доступа, подключенная напрямую к антенне
Если подключить точку доступа напрямую к антенне, как показано на
рис. 2.95. исключив промежуточную кабельную сборку, будет достигнута
максимальная возможная для данного комплекта оборудования дальность
связи.
227
Рис. 2.95. Точка доступа, подключенная напрямую к антенне
На рис. 2.95. показаны:
1. точка доступа DWL-2100AP;
2. pigtale (в комплекте с антенной);
3. модуль грозовой защиты (в комплекте с антенной);
4. антенна ANT24-1400.
В принципе, ради дальности иногда можно пожертвовать и модулем
грозовой защиты, чтобы исключить вносимое им затухание, но лучше этого не
делать. Такая схема довольно широко используется - это позволяет установить
indoor точку доступа в непосредственной близости от антенного поста и
минимизировать потери мощности сигнала.
228
ЗАКЛЮЧЕНИЕ
Прогресс не стоит на месте. Рассматривая жизнь компьютерной
индустрии за последние несколько лет, можно легко заметить высокие темпы
совершенствования технологий. В среднем, каждые 18 месяцев удваивается
производительность процессоров. Емкость дисковой памяти удваивается еще
быстрее – каждые 9 месяцев. И совсем фантастическими темпами
увеличивается пропускная способность линий связи – в два раза каждые 4-6
месяцев.
Сегодня вычислительные сети продолжают развиваться, причем
достаточно быстро. Разрыв между локальными и глобальными сетями
постоянно сокращается во многом из-за появления высокоскоростных
территориальных каналов связи, не уступающих по качеству кабельным
системам локальных сетей. В глобальных сетях появляются службы доступа к
ресурсам, такие же удобные и прозрачные, как и службы локальных сетей. В
качестве примера может служить самая популярная глобальная сеть – Internet.
Начинают изменяться и локальные сети. Вместо соединяющего
пассивного кабеля в них появилось разнообразное коммуникационное
оборудование – коммутаторы, маршрутизаторы, шлюзы. Благодаря чему
появилась возможность построения больших корпоративных сетей,
насчитывающих тысячи компьютеров и имеющих сложную структуру. Вновь
появился интерес к крупным компьютерам – выяснилось, что системы,
состоящие из сотен серверов, обслуживать сложнее, чем несколько больших
компьютеров. Поэтому мэйнфреймы стали возвращаться в корпоративные
вычислительные системы, но уже как полноправные сетевые узлы,
поддерживающие Ethernet или Token Ring, а также стек протоколов TCP/IP,
ставший благодаря Internet сетевым стандартом.
В локальных и глобальных сетях стала обрабатываться несвойственная
ранее вычислительным сетям информация – голос, видеоизображение,
рисунки. Это потребовало внесения изменений в работу протоколов, сетевых
операционных систем и коммуникационного оборудования. Сложность
передачи такой мультимедийной информации по сети связана с ее
чувствительностью к задержкам при передаче пакетов данных – задержки
обычно приводят к искажению такой информации в конечных узлах сети. Так
как традиционные службы вычислительных сетей, такие как передача файлов
или электронная почта, создают малочувствительный к задержкам трафик и
все элементы сетей разрабатывались в расчете на него, то появление трафика
реального времени привело к большим проблемам.
Что касается корпоративных информационных систем, то сейчас
основная, господствующая технология их построения – клиент-серверная, в
которой
традиционные
клиенты
–
персональные
компьютеры,
взаимодействуют через локальную или глобальную сеть с различными
приложениями, работающими на серверах. Однако в ближайшем будущем эту
229
традиционную технологию взаимодействия элементов системы заменит новая,
когда доступ к корпоративной информации можно будет получать через
Интернет практически с любого подручного устройства. Технически
чрезвычайно легко можно будет организовывать подключение к
корпоративной системе новых офисов, производств, да и просто сотрудников,
находящихся в командировке. Это даст колоссальные экономические и
управленческие выгоды для корпораций.
В дальнейшем Сеть станет основой вычислительных мощностей
будущего. Подключение к Сети будет подобно подключению к электрической
или телефонной сетям, сети телевизионных каналов и мобильных телефонов.
Независимо от места нахождения, можно будет получить доступ к Сети. Точно
так же, как в проекте здания учитывается размещение электрических розеток,
завтра в каждом помещении будут розетки для подключения к Интернет.
Бизнес ИТ-компаний будет основан не на поставках систем и тем более
приложений, а на предоставлении доступа к ресурсам: центрам данных,
системам дисковой памяти, приложениям. Получить прибыль при поставке
систем уже сейчас достаточно сложно: очень высока конкуренция, к тому же
сделать это можно всего несколько раз. А доступ к ресурсам Сети нужен
пользователям постоянно.
К Сети будет подключено все, что можно подключить: клиентские
терминалы, принтеры, диски, телефоны, бытовая электроника. Сеть –
колоссальный источник всевозможной информации и уникальный способ
связать в единую систему совершенно различные устройства, которые при
подключении к Сети станут намного более функциональным и удобным в
использовании. Управление такими устройствами можно будет вести
дистанционно.
Основная плата клиентов будет осуществляться за доступ, а не за
средство доступа. Оплачиваться будет только тот сервис, которым
действительно пользовались: зачем покупать себе персональный самолет, если
можно просто купить билет и полететь в нужное место на самолете любой
авиакомпании.
Доступ к Сети будет важнее владения компьютером. Совсем не
обязательно иметь компьютер для получения доступа к Интернет. Намного
важнее иметь возможность подключить к Сети те самые бытовые устройства,
о которых говорилось выше.
Суперкомпьютер на столе – это неперспективно. Устройства
персонального доступа позволят где угодно "быть как дома" (или как на своем
рабочем месте).
Исчезнет грань между Интернет и Интранет. Хотя и сегодня мало кто
может провести более-менее четкую границу между этими понятиями,
частные LAN-сети исчезнут или трансформируются во фрагменты Сети.
Приложения будут находиться в Сети, а не в компьютерах на столах
пользователей. Не надо превращать свой персональный компьютер в
хранилище программных продуктов, многие из которых бывают востребованы
230
несколько раз в году. Не надо покупать программы, которые можно бесплатно
или за символическую плату запустить прямо из Сети.
Приложения будут написаны для Сети, а не для конкретной платформы.
Поскольку неизвестно, с какого именно устройства предстоит запустить
необходимое приложение, для того чтобы можно было осуществить эту
операцию на любом устройстве, приложение должно быть совместимо со
всеми устройствами, т.е. написано для Сети. Стоимость приложений
становится выше стоимости системы. Неперспективно собирать все
приложения на своем компьютере.
Значительная часть бизнес-операций будет выполняться через Сеть.
Сетевая экономика – это то, что ждет нас в ближайшем будущем. Какие
возможности дает Интернет бизнесу? Это самый быстрый поиск нужных
товаров, производителей, лучших цен, наиболее выгодных предложений,
самый простой способ заказать, купить, продать любой товар, любую услугу.
Даже если компании находятся на разных краях света, они могут получить
информацию друг о друге и начать взаимодействовать через Сеть. Без
Интернета они никогда даже не узнали бы о существовании друг друга.
Важнейшей проблемой работы Сети будет непредсказуемость нагрузки.
Количество пользователей, которые могут попытаться получить доступ к
одному ресурсу Сети в каждый конкретный момент времени может быть
довольно значительным и если оно будет превышать возможности ресурса по
обработке запросов, то большинство пользователей получат сообщение о том,
что этот ресурс недоступен. Нет ничего хуже для любого, даже самого
интересного проекта в Сети, если хоть малейшее время он недоступен для
пользователей. Конкуренция в сети становится все более острой. Существует
огромный выбор всевозможных предложений и сервисов, и скорее всего,
пользователь, который не смог хотя бы один раз получить доступ к какомулибо ресурсу, уже никогда к нему не вернется.
Ресурсы Сети должны будут наращиваться простыми и надежными
способами. Если вам нужно нарастить возможности какого-либо ресурса в
Сети, вы должны иметь возможность сделать это не задумываясь о проблемах
совместимости программного и аппаратного обеспечения.
В Интернете изменятся виды услуг: Интернет сервис-провайдеры,
сетевые сервис-провайдеры и провайдеры приложений будут замещены так
называемыми Full service providers. Уже сегодня мы наблюдаем какими
высокими темпами идет слияние компаний, сервис-провайдеров с
разработчиками программного обеспечения (AOL - Netscape), а компанииразработчики открывают подразделения, предлагающие услуги доступа в
Интернет (Microsoft - MSN). Пройдет совсем немного времени, когда в мире
информационных технологий будут доминировать несколько крупных сервиспровайдеров, обеспечивающих доступ к Сети, информации и приложениям.
231
СПИСОК ЛИТЕРАТУРЫ
1. Величко В.В. Телекоммуникационные системы и сети: Учебное
пособие. В 3-х тт.: Т.3 Мультисервисные сети / В.В. Величко, Е.А. Субботин,
В.П. Шувалов и др. - М., Горячая линия-Телеком, 2005. - 592 с.
2. Вершинская О.Н. Информационно-коммуникационные технологии и
общество / О. Н. Вершинская. - РАН. – М., Наука, 2007. - 203 с.
3. Девянин П.Н. Модели безопасности компьютерных систем / Учебное
пособие / П.Н. Девянин - М., Академия, 2005. - 144 с.
4. Девянин П.Н. Теоретические основы компьютерной безопасности.
Учебное пособие / П.Н. Девянин, О.О. Михальский, Д.И. Правиков и др.- М.,
Радио и связь, 2000. - 192с.
5. Днепров А.Г. Google. Секреты эффективного поиска и дополнительные
сервисы: Популярный самоучитель / А.Г. Днепров.- СПб., Питер, 2007. - 160 с.
6. Жаров А."Железо" IBM 2004 или все о современном компьютере .-11-е
изд. испр. и доп./ А. Жаров " - М., МикроАрт, 2004. - 336с.
7. Запечников С.В. Основы построения виртуальных частных сетей.
Учебное пособие / С.В. Запечников. - М., Горячая линия -Телеком, 2003. - 249
с.
8. Иртегов Д. Введение в сетевые технологии. Учебн. пос./ Д. Иртегов.СПб., БХВ- Петербург, 2004.-560 с.
9. Макаров С.Б. Телекоммуникационные технологии: введение в
технологии GSM. Учебное пособие / С.Б. Макаров, Н.В. Певцов, Е.А. Попов и
др. – М., Академия, 2006.-256C.
10. Максимов Н.В. Компьютерные сети: учебное пособие / Н.В.
Максимов, И.И. Попов. – 2-е изд., испр. и доп. – М., ФОРУМ: ИНФРА-М,
2007. – 448 с.
11. Малюк А.А. Введение в защиту информации в автоматизированных
системах: Учебное пособие / А.А Малюк.- 3-е изд., стер. - М., Горячая линия Телеком, 2005. - 147с.
12. Новиков А.А. Уязвимость и информационная безопасность
телекоммуникационных технологий: Учебное пособие; Под ред. Г.Н.
Устинова. - М., Радио и связь, 2003. - 296с.
13. Новиков А.А. Уязвимость и информационная безопасность
телекоммуникационных технологий / А.А. Новиков. - Учебное пособие; Под
ред. Г.Н. Устинова. - М., Радио и связь, 2003. - 296с.
14. Олифер В. Г. Компьютерные сети. Принципы, технологии,
протоколы / В. Г. Олифер, Н.А.Олифер. - СПб., Питер, 2000. 672 с.
15. Пескова С.А. Сети и телекоммуникации: Учебное пособие / С.А.
Пескова. - М., Академия, 2006. - 352с.
16. Попов И. И. Введение в сетевые информационные ресурсы и
технологии: учеб. пособие / И. И. Попов, И. В. Максимов, П.Б. Храмцов М., РГГУ, 2001. 203 с.
232
17. Телекоммуникационные системы и сети: Учебное пособие. В 3-х тт.:
Т. 3 Мультисервисные сети / В.В. Величко, Е.А. Субботин, В.П. Шувалов и др.
- М., Горячая линия-Телеком, 2005. - 592 с.
18. Основы построения телекоммуникационных систем и сетей: Учебное
пособие / И.М. Тепляков. - М., Радио и связь, 2004. - 328с.
19. Эрглис К.Э. Интерфейсы открытых систем / К.Э. Эрглис. - Учебный
курс. - М., Горячая линия -Телеком, 2000. - 256 с.
20. Craig Hunt. TCP/IP Network Administration. O'Reilly & Associates, Inc.
1994.
21. Kumar S., Newman D. High-Speed LAN Analyzers. Taking off the
Blinders. Data Communications on the Web. 1996.
233
ГЛОССАРИЙ
Account (счет) - cчет, который присваивается пользователю провайдером, для
доступа в Internet
Address (адрес) – cекретный код, по которому Internet идентифицирует вас,
как пользователя, чтобы другие пользователи могли отсылать вам почту.
Обычно он выглядит как usernmame@hostname, где username — ваше имя
пользователя, регистрационное имя либо номер счета, a hostname — Internetимя компьютера или провайдера услуг Internet, которых вы используете.
Hostname может состоять из нескольких слов, разделенных точками
Alt – тип группы новостей, в которой обсуждаются альтернативные темы. Altгруппы не являются официальными группами новостей, но их все равно
читают многие пользователи
America Online (AOL) – национальный провайдер Internet. Если вы
зарегистрированы в AOL, вашим адресом Internet будет username@aol.com, где
usemame — ваше регистрационное имя
Аnonymous FTP (анонимный FTP) – метод использования программы FTP
для подключения к другому компьютеру, чтобы копировать файлы, даже если
вы не зарегистрированы на этом компьютере. Когда вы подключаетесь к нему
и входите в его систему, вы вводите anonymous в качестве имени
пользователя и свой электронный адрес в качестве пароля, после чего
получаете доступ к файлам
AAA
(Authentication,
Authorization,
Accounting)
архитектура
аутентификации, авторизации и учета
Archie – система, которая помогает находить файлы в Internet. После того как
Archie найдет файл, используйте FTP, чтобы получить его. Archie является и
программой, и системой серверов (компьютеров, содержащих списки файлов)
ARPAnet – компьютерная сеть, появившаяся в 1969 году (прародительница
Internet) и основанная Департаментом обороны США. Была расформирована
несколько лет назад
Аrticle (статья) – отправление в группу новостей, т.е. сообщение, которое ктолибо отсылает в группу новостей, чтобы его мог прочитать каждый, кто
просматривает эту группу новостей
ASCII (American Standard Code for Information Interchange —
американский стандартный код для информационного обмена) – код,
который используют компьютеры для представления букв, цифр и
специальных символов
AUP (Acceptable use policy — политика приемлемого использования) –
набор правил, описывающих разрешенную в сети деятельность. Наиболее
строгой AUP была политика NSFNET, которая запрещала почти все
коммерческое и неакадемическое использование. NSFNET AUP уже нигде не
действует, хотя многие ошибочно полагают, что она существует
234
Аutomatic mailing list (автоматический список рассылки) – список
рассылки, создаваемый компьютерной программой, обычно LISTSERV или
Majordomo
Baud (бод) – количество символов, пересылаемых модемом по телефонной
линии за одну секунду. Например, модем со скоростью 54000 бит/с передает
9000 бод, так как каждый символ модема представляет 6 бит
BBS (Buulletin-board system — электронная доска объявлений) – система,
позволяющая пользователям читать старые и отправлять новые сообщения.
Система групп новостей UseNet, по существу, является крупнейшей в мире
распределенной BBS
Binary file (двоичный файл) – двоичный файл, содержащий не только
текстовую информацию, а так же архив, изображение, звук, электронную
таблицу либо документ текстового процессора (в котором, кроме символов,
есть еще и коды форматирования)
Bit (бит) – cсамая маленькая единица измерения компьютерных данных, для
представления различных видов информации. Восемь битов образуют байт.
Байты образуют слова. Кроме того, bit — это тип группы новостей, которая
является замаскированным списком рассылки BITNET
BITNET – cсеть больших машин IBM, которая осуществляет подключение к
Internet
ВITFTР – широкодоступный сервер "FTP —почтой"
Biz – тип группы новостей UseNet, в которой обсуждаются деловые и
коммерческие темы. Большинство типов групп новостей, как предполагается,
стоит в стороне от коммерческих сообщений
Bps (bit per second — бит в секунду) – единица измерения, используемая для
описания скорости передачи данных. Обычно используется для описания
скорости модема (это не то же самое, что baud (бод))
Broadband network (широкополосная сеть) – сеть, которая может
одновременно обрабатывать много отдельных сигналов. Широкополосные
сети используют различные каналы для передачи разных видов информации,
таких как данные, звук и видео
Browser (браузер) – программа, которая позволяет читать информацию в
World Wide Web. Самыми известными программами являются Netscape
Navigator и Internet Explorer
Bulletin-board system (система досок объявлений) – система электронных
сообщений, позволяющая читать и отправлять сообщения
Byte (байт) – единица измерения объема информации. Набор битов
конкретной длины (обычно — восемь битов)
CERFnet – одна из региональных сетей в Калифорнии, первоначально
созданная для работы с NSFNET
Сhat – вести беседу с другими пользователями сети во всех частях света в
режиме On-line
235
CIX (The Commercial Internet Exchange — коммерческий обмен в Internet)
– ассоциация провайдеров услуг Internet, договорившихся осуществлять обмен
информацией без ограничений
ClariNet – группа новостей UseNet, содержащая различные категории
новостей, в том числе и новости от телеграфного агентства АР,
распространяемые за плату
Сlient (клиент) – компьютер, который пользуется услугами другого
компьютера (как то UseNet, Gopher, FTP, Arcie или World Wide Web)
Сlient/server model (технология клиент/сервер) – разделение труда между
компьютерами. Компьютеры, поставляющие услуги, которые могут
использоваться другими компьютерами, называются серверами. Серверы
поставляют такие услуги, как FTP
Сom – буквы, появляющиеся в последней части адреса (например
nintemet@dummues.com), обозначают, что узловой компьютер обслуживается
компанией, как правило коммерческой. Это может означать также, что узловой
компьютер находится в США
CompuServe – провайдер, открывающий доступ к Internet. Он поставляет
множество форумов, аналогичных группам новостей, включая и те, которые
обеспечивают замечательную техническую поддержку программного
обеспечения для PC и Маc. Если ваш регистрационный номер в CompuServe —
7123,456, то вашим адресом Internet является 7123.456@compuserve.com
Country code (код страны) – последняя часть географического адреса,
которая показывает, в какой стране находится узловой компьютер. Например,
адрес, заканчивающийся на .са, является канадским, а тот, что заканчивается
на .us, — американским
Domain (домен) – официальное название компьютера в Internet. Это часть
адреса Internet, которая следует за @. Например, адресом Internet For Dummies
Central является nintemet@dummies.com, а ее доменным именем —
dummies.com
Domain name server (DNS — сервер доменных имен, или просто сервер
имен) – компьютер в Internet, осуществляющий преобразование между
доменными именами и численными адресами Internet
Dynamic routine (маршрутизация) – метод адресации информации в Internet
(не только почтовых сообщений, но и всей информации), при котором, если
один из путей блокирован или разрушен, информация может пройти по
альтернативному пути
Edu – если эти буквы появляются в конце адреса (например, info@mit.edu),
значит, узловой компьютер обслуживается образовательной организацией
Е-mail (electronic mail) – электронная почта, называемая также e-mail или
просто mail (почта), — сообщения, отсылаемые через Internet конкретному
лицу
Ethernet – кабель, соединяющий части локальной сети в единую структуру
FAX modem (факс-модем) – модемы, позволяющие отправлять и получать
факсы в дополнение к обычным компьютерным данным. Факс — это
236
сокращение от факсимиле (или exact copy — точная копия). При этом
используются обычные телефонные линии для пересылки копий печатных
материалов с места на место
FIDONET – всемирная сеть систем досок объявлений (BBS). Каждая
отдельная BBS называется узлом FIDONET и имеет цифровой адрес.
File (файл) – информация (например, данные или программа), обрабатываемая
компьютером как единое целое
File-transfer protocol (протокол передачи файлов) – метод передачи одного
или больше файлов с одного компьютера на другой по сети или по телефонной
линии. Принцип работы состоит в том, что отсылающая и принимающая
программы могут проверить, правильно ли была принята информация
Folder (папка) – структура файлов, используемая для группировки
однородной информации. Программы электронной почты также позволяют
хранить почту в папках, упрощая тем самым ее выборку
Freenet (бесплатная сеть) – бесплатная сетевая система. Первая такая
система, созданная в Кливлендском университете, называется Cleveland
Freenet, предоставляющая информацию местным пользователям и
ограниченный доступ к Internet. Существуют другие системы, с которыми
можно связаться по telnet.
FTP (File-transfer protocol — протокол передачи файлов) – программа,
использующая протокол передачи файлов по Internet
FTP server (сервер FTP) – узловой компьютер Internet, хранящий файлы,
которые могут быть получены через FTP. Серверы FTP также допускают
запись файлов в самих себя
FTP-by-mail (FTP — почтой) – метод, которым можно отправить на сервер
почтовые сообщения с просьбой прислать файл по электронной почте. Это
надежный, но медленный способ получения файлов из Internet
Gateway (шлюз) – компьютер, соединяющий две сети, использующие
различные протоколы. Компьютер UUNET, например, соединяет сеть UUCP с
Internet, обеспечивая прохождение сообщений между ними
Gopher – система, позволяющая находить информацию с помощью многих
меню. Чтобы использовать Gopher, необходимо связаться по telnet с сервером
Gopher и просматривать меню
Gov – эти буквы появляются в последней части адреса (например cu.nih.gov), и
означают, что узловой компьютер обслуживается какой-либо государственной
структурой
Hardware – аппаратное обеспечение, реальный физический компьютер и его
внешние устройства, такие как принтер, дисковод и модем. Для работы
необходимо программное обеспечение
Home page (начальная страница) – начальная страница Web для
индивидуального пользователя, программного приложения или организации.
Начальные страницы связывают посетителей с другими страницами,
имеющими отношение к данному узлу
237
Host (узел) – компьютер в Internet, к которому можно подключаться через
telnet, получать с него файлы с помощью FTP
HTML (Hypertext markup language — язык ссылок гипертекста) –
используется при создании страниц для World Wide Web. Позволяет включать
в текст коды, определяющие шрифты и стили, графику и гипертекстовые
ссылки
HTTP (Hypertext transfer protocol — протокол передачи гипертекста) –
способ передачи страниц World Wide Web no Internet
Hypertext (гипертекст) – система записи и отображения текста, которая
позволяет связывать текст разными способами, допускать несколько уровней
детализации и содержать ссылки на родственные документы. Гипермедиа
также может содержать рисунки, звуки и видео (hypermedia – гипермедиа).
World Wide Web использует гипертекст
Icon (пиктограмма) – маленькая картинка, пытающаяся представить вариант
действия или объект
IDS (Intrusion Detection System) - системы обнаружения вторжений
InfoSeek. – служба, которая осуществляет в World Wide Web поиск страниц,
содержащих указанное слово или фразу
Internet Explorer – браузер Web фирмы Microsoft
Internet Relay Chat (IRC — трансляция переговоров в Internet) – система,
которая позволяет пользователям Internet беседовать друг с другом в реальном
времени
Internet Society (Общество Internet) – организация, призванная поддерживать
рост и развитие Internet
Internet – это компьютерная сеть, объединяющая сети всего мира
InterNIC
(Internet
Network
Information
Center
—
сетевой
информационный центр Internet) – ххранилище информации об Internet. Он
разделен на две части: Directory Services (Служба каталогов), обслуживаемая
AT&T в Нью-Джерси, и Registration Services (Регистрационная служба),
управляемая Network Solution в Виржинии. Он частично финансируется
National Science Foundation (Национальный научный фонд) и за счет средств,
получаемых за регистрацию в доменах Internet
IP (Internet Protocol — протокол Internet) – схема, которая позволяет
информации переадресовываться из одной сети в другую
JAVA — объектно-ориентированный язык, разработанный в Sun
МMicrosystems для создания распределенных прикладных Web-систем. В
настоящее время широко используется в WWW для создания интересных
графических и текстовых эффектов
Jughead – программа, которая помогает находить информацию в Gopher путем
просмотра каталогов Gopher
Link (связь) – соединение. Два компьютера могут быть связаны вместе.
Может также относиться к файлу, существующему в другом месте. Например,
вместо того чтобы иметь копии конкретного файла во многих местах,
некоторые файловые системы (в UNIX, например) позволяют указывать на
238
другой файл. И, наконец, связь может относиться к гипертекстовой ссылке
внутри страницы Web, связывающей одну страницу с другой
Link-lever protocol (протокол уровня связи) – один из семи уровней
протоколов, определенных ISO. Иногда на него ссылаются как на уровень
связи данных
List server (сервер списков) – программа, которая автоматически управляет
списками рассылки. (См. также LISTSERV)
LISTSERV – семейство программ, которые автоматически управляют
списками рассылки, распределением отправленных в списки сообщений,
добавлением и удалением членов и т.д., не утомляя кого-либо выполнением
этого вручную. Имена списков рассылки, созданных LISTSERV, обычно
заканчиваются на -l (это буква эль, а не единица)
Lynx – программа-клиент World Wide Web, работающая с простыми
терминалами. Это означает, что она в основном используется при работе в
режиме shell
Mail (почта) – лист бумаги, помещенный в конверт со штампами снаружи.
Этот старый тип почты известен среди приверженцев Internet как тихоходная
почта. Другие типы почты включают голосовую почту и e-mail (или
электронную почту), которая является мощной услугой, предоставляемой
Internet
Mail server (почтовый сервер) – компьютер в Internet, предоставляющий
почтовые услуги
Mailing list (список рассылки) – специальный адрес электронной почты,
который пересылает любую выходящую почту подписчикам списка рассылки
Mainframe – большой компьютер, обычно продаваемый в комплекте со всей
своей периферией. В основном так называют большие машины IBM
Majordomo – как и LISTSERV, это программа, обрабатывающая списки
рассылки
MERIT – региональная сеть в Мичигане
Message (сообщение) – фрагмент электронной почты или отправления в
группу новостей
Microsoft Network (MSN) – коммерческая диалоговая служба,
предоставляемая Microsoft и применяемая только в том случае, если есть
Windows
Mil – буквы, появляющиеся в последней части адреса означают узловой
компьютер, принадлежащий военному ведомству США
MIME (Multipurpose Internet mail extension — многоцелевое почтовое
расширение Internet) – используется для отправления электронной почтой
любой информации, отличной от обычного текста
Мicrosoft Network – коммерческая интерактивная информационная служба в
мировой сети компьютеров
Mirror (зеркало) – сервер FTP, который содержит копии файлов, имеющихся
и на другом сервере
239
Modem (модем) – приспособление, которое позволяет компьютеру
организовать связь по телефону. Модем может быть внутренним (платой,
устанавливаемой внутри компьютера) или внешним (устройством,
подключаемым к последовательному порту компьютера). Для этого необходим
телефонный провод, чтобы подключить модем к телефонной розетке
Mosaic – программа, позволяющая читать информацию в World Wide Web.
Поставляется в Windows, Mac и UNIX-разновидностях. Аналогична Netscape
Netscape – первая компания, создавшая браузер World Wide Web Netscape
Communicator
Network (сеть) – компьютеры, соединенные вместе. Компьютеры, которые
находятся в одном или соседних зданиях, называются локальными сетями, а
компьютеры, расположенные на расстоянии — глобальными сетями
News server (сервер новостей) – компьютер в Internet, который не только
обеспечивает доступ к группам новостей UseNet, но и позволяет читать их
News – тип группы новостей UseNet, в которой обсуждаются сами группы
новостей
Newsreader (программа чтения новостей) - программа, которая позволяет
читать сообщения в группах новостей UseNet и отвечать на них
NIC (Network Information Center — сетевой информационный центр) –NIC
отвечает за координацию сетей и согласованность имен, сетевых номеров и др.
при переходе от одной сети к другой
NIS - первоначально была известна, как <Желтые страницы> (Yellow Pages).
NIS является средством, используемым в некоторых сетях TCP/IP для
управления группой компьютеров (обычно рабочих станций UNIX и PC). NIS
сортирует входящую электронную почту в некоторых системах UNIX
Node (узел) – компьютер в Internet, также называемый главной машиной
(host). FTP, Gopher и компьютеры, поставляющие услуги, также называются
серверами
NSFNET (The National Science Foundation network – сеть Национального
научного общества) - часть Internet, посвященная исследованиям и
образованию и финансировавшаяся правительством. Была вытеснена
коммерческими сетями
Packet (пакет) – массив информации, пересылаемый по сети. Каждый пакет
содержит адрес, по которому он направляется, адрес отправителя, и другую
информацию
Packet driver (драйвер пакета) – маленькая программа, используемая на PC с
DOS и Windows для подключения сетевого программного обеспечения к
сетевой карте конкретного вида.
Page (страница) – документ или массив информации, доступный через World
Wide Web
Pager (постраничный организатор) – возможность в Archie (и других
программах), позволяющая разбивать отображаемые данные на фрагменты
размером в один экран и читать то, что на нем находится, прежде чем оно
исчезнет с экрана
240
Parameter (параметр) – значение, которое должно быть известно программе
для правильной работы
Password (пароль) – cсекретный код состоящий из цифр и букв,
используемый для хранения секретной информации, чтобы пресечь любую
попытку несанкционированного доступа
Password file (файл паролей) – файл, в котором хранятся все пароли системы.
Ping – программа, которая осуществляет проверку связи с другим
компьютером в Internet. Она отсылает короткое сообщение, на которое
автоматически отвечает другой компьютер
POP (Post Office Protocol — почтовый протокол) – система, посредством
которой почтовый сервер в Internet позволяет получить почту и загрузить ее на
свой компьютер
Protocol (протокол) – cсистема согласования для двух компьютеров. Internet
включает множество различных протоколов для различных типов
взаимодействующих компьютеров
Public-service provider (провайдер услуг) – cслужба, использующая режим
разделения времени или SLIP, которая дает возможность пользоваться Internet
на платной основе
RCP (Remote copy — удаленное копирование) – команда UNIX, которая
позволяет копировать файлы с одного компьютера на другой. Подобна FTP
Regex method (метод regex) – критерий для расширенного поиска
Router (маршрутизатор) – это система, соединяющая две или больше сети (в
том числе сети, использующие различные типы кабелей и различные
коммуникационные скорости). При этом необходимо использовать IP (Internet
Protocol). Иначе потребуется шлюз
Sci – тип группы новостей, в которой обсуждаются научные темы
Search engine (поисковое средство) – программное обеспечение,
используемое для поиска материала (в частности, в WAIS и World Wide Web)
Security (безопасность) – средство обеспечения доступа только для тех, кто
его должен иметь. Безопасность предусматривает использование паролей
Serial line (последовательный канал) – соединение между двумя
компьютерами, использующее последовательный протокол.
Serial port (последовательный порт) – место, куда можно подключить
последовательный канал
Serial protocol (последовательный протокол) – простейший способ
пересылки данных по проводу (по одному биту)
Server (сервер) – компьютер, который поставляет услуги другим
компьютерам в сети
Service provider (провайдер услуг) – организация, обеспечивающая доступ к
Internet. Он может быть коммерческим провайдером
SMTP (Simple Май Transfer Protocol — простой протокол передачи
почты) – метод для передачи почты Internet с одного компьютера на другой
Software (программное обеспечение) – компьютерные программы, которые
позволяют работать на компьютере
241
Sprintlink – одна из больших коммерческих сетей в Internet, принадлежащая
телефонной компании Sprint
SprintMail – система электронной почты, поставляемая Sprintnet и
первоначально названная Telemail
String (строка) – последовательность связанных символов
Subdirectory (подкаталог) - каталог внутри каталога
Substring (подстрока) - часть строки
SUP (Serial Line Internet Protocol — межсетевой протокол
последовательного канала) – программная схема для подключения
компьютера к Internet через последовательный канал
SURAnet – одна из региональных сетей, первоначально созданная для работы
с NSFNET
SuriWatch – программа — цензор доступа к Internet
Telnet – программа, которая позволяет подключаться к другим компьютерам в
Internet
Terminal (терминал) – экран с клавиатурой и специальная программа для
работы с компьютером
Text file (текстовый файл) – файл, который содержит только текстовые
символы, без каких-либо форматирующих символов, графической
информации, звуковых клипов, видео или чего-либо еще
Тhreaded newsreader (программы чтения новостей с поддержкой нитей) –
программа чтения новостей, которая позволяет выбирать статьи по нитям
TIA (The Internet Adapter — адаптер Internet) –программное обеспечение,
которое делает соединение похожим на SLIP или РРР
Trumpet – совершенно новая программа чтения новостей, которая запускается
на компьютерах под Windows
UNIX – это мощная операционная система. Пользователи Internet обычно
работают в UNIX, если они используют провайдеров shell-систем в качестве
своего провайдера Internet, либо когда они подсоединяются к UNIXкомпьютерам через telnet
URL (Uniform Resource Locator — унифицированный локатор ресурсов) –
способ именования сетевых ресурсов, первоначально предназначавшийся для
связывания страниц в World Wide Web
URL (Universal Resource Locator) — универсальный указатель ресурсов —
указывает местонахождение документа в Internet является адресом Web-узла.
Адрес выглядит следующим образом: http://www.belti.msk.ru/chorus/index.html,
или в общем виде: протокол://адрес_сервера/имя_каталога/ имя_файла
UseNet – система тысяч распределенных досок объявлений, называемых
группами новостей. Для чтения сообщений, используется программа чтения
новостей
UUCP (UNIX-to-UNIX-copy — копирование с одной UNIX-машины на
другую) – устаревшая почтовая система, все еще применяемая во многих
системах UNIX. Использует почтовые адреса, которые между частями адреса,
242
идущими в обратном порядке, вместо точек содержат восклицательные знаки.
Этот метод еще называют адресацией с восклицательными знаками
UUNET – первоначально — некоммерческая организация, которая, кроме
всего прочего, содержала большой узел Internet, соединяющий почтовую сеть
UUCP с Internet и имевший огромный и полезный FTP-архив
Veronica – программа, которая помогает находить нужную информацию в
пространстве Gopher
Viewer (просмотрщик) – программа, используемая программами —
клиентами Gopher, WAIS и World Wide Web для показа файлов с нетекстовой
информацией. Эта программа может потребоваться как просмотрщик для
отображения графических файлов, проигрывания звуковых файлов или
отображения видеофайлов
Virus (вирус) – программа, которая заражает другие программы и причиняет
вред системе, на которой запускается инфицированная программа
VRML (Virtual Reality Modeling Language) — язык моделирования
виртуальной реальности — то же, что и HTML, но применяется для
трехмерной и подвижной информации
VPN (Virtual Private Networks) - виртуальные частные сети
WAIS (Wide Area Information Servers — глобальные информационные
серверы) – система, позволяющая искать документы, содержащие конкретную
информацию
Web page (страница Web) – структура World Wide Web. Информация,
отображаемая на странице Web, может включать в себя сложную графику,
аудио- и видеоинформацию, образцы современного искусства. Страницы Web
связаны вместе и образуют World Wide Web
Web server (сервер Web) – узловой компьютер Internet, хранящий страницы
Web и отвечающий на запросы о их просмотре. Серверы Web общаются с
браузерами Web с помощью языка HTML.
Web site (узел Web) – место в World Wide Web. Это то же самое, что и
страница Web или сервер Web, в зависимости от того, кого спрашиваете
Web-site (Web-сайт, Web-страницы) — группа НТМL-документов,
объединенных по смыслу и имеющих одинаковое дизайнерское решение
Web-броузер — программное обеспечение навигации и просмотра, выдающее
запросы и отображающее HTML-документы и другие информационные
ресурсы Интернета
Web-броузеры — это программы просмотра HTML-документов
Whois – команда, с помощью которой можно узнать настоящее имя кого-либо
WiMAX – очень перспективное направление в развитии беспроводных
технологий
Windows – операционная система для PC, включающая в себя графический
интерфейс пользователя. Содержит встроенную поддержку TCP/IP
WinGopher – программа для Windows, которая позволяет просматривать
страницы Gopher
243
Workstation
(рабочая
станция)
–
высокопроизводительные
однопользовательские, очень мощные компьютеры. Это машины, в основном
работающие под UNIX
World Wide Web (WWW — всемирная паутина) – гиперсистема, которая
позволяет просматривать информацию
Yahoo – индексный указатель World Wide Web (http:/www.yahoo.com)
Автосегментация портов – автоматическое отключение порта при его
некорректном поведении (повреждение кабеля, интенсивная генерация
пакетов ошибочной длины и т. п.)
Аутентификация - определение источника информации, то есть конечного
пользователя или устройства (центрального компьютера, сервера,
коммутатора, маршрутизатора и т. д.)
Адаптер – специальное устройство сопряжения и обмена для связи процессора
с периферийными устройствами
Архитектура Клиент-сервер – предполагает, что помимо хранения
централизованной базы данных центральная машина (сервер базы данных)
должна обеспечивать выполнение основного объема обработки данных
Архитектура файл-сервер – предполагает выделение одной из машин сети в
качестве центральной (сервер файлов). На такой машине хранится совместно
используемая централизованная БД; все другие машины сети выполняют
функции рабочих станций, с помощью которых поддерживается доступ
пользовательской системы к централизованной базе данных.
Браузер (Browser) – программа, которая позволяет читать информацию в
World Wide Web.
Гипертекст – система записи и отображения текста, позволяющая связывать
этот текст разными способами; допускает несколько уровней детализации.
Гипертекстовые документы, кроме того, содержат ссылки на «родственные»
документы (например, документы, приводимые в подстрочных примечаниях).
Гипермедиа могут также содержат картинки, звуки, видеоизображения и т.п. В
World Wide Web применяется и гипертекст, и гипермедиа.
Домен (Domain) – часть официального адреса Internet, которая следует за
символом @.
Зона – последняя часть имени узла Internet. Если зона состоит из двух букв,
она представляет собой код страны, в которой находится компьютер. Если
зона состоит из трех букв – это код, указывающий тип организации, которой
принадлежит компьютер.
Интернет (Internet) – мировая сеть компьютеров, объединенных общим
стандартом обмена данными и способом назначения имен.
Интерфейс – совокупность правил и средств, обеспечивающих
взаимодействие устройств вычислительной системы и программ (средство,
предоставляемое операционной системой для взаимодействия с ПК).
Информационная система – система, реализующая автоматизированный
сбор, обработку и манипулирование данными и включающая технические
244
средства обработки данных, программное обеспечение и соответствующий
персонал
Ключ - цифровой код, который может использоваться для шифрования и
расшифровки информации, а также для ее подписи
Ключ общий - цифровой код, используемый для шифрования/расшифровки
информации и проверки цифровых подписей; этот ключ может быть широко
распространен; общий ключ используется с соответствующим частным
ключом
Ключ секретный - цифровой код, совместно используемый двумя сторонами
для шифрования и расшифровки данных
Ключ частный - цифровой код, используемый для шифрования/расшифровки
информации и проверки цифровых подписей; владелец этого ключа должен
держать его в секрете; частный ключ используется с соответствующим общим
ключом
Коммутатор (switch) – устройство, осуществляющее выбор одного из
возможных вариантов направления передачи данных, быстродействующий
аналог моста (bridge)
Компьютер (электронно-вычислительная машина) – комплекс технических
средств, предназначенных для автоматической обработки информации в
процессе решения вычислительных и информационных задач.
Контроллер – электронная схема, управляющая работой отдельных устройств
компьютера
Конфиденциальность данных - обеспечение просмотра данных в
приемлемом формате только для лиц, имеющих право на доступ к этим
данным
Конфигурация – совокупность аппаратных средств и соединений между
ними.
Конфигурирование – настройка на конкретный состав оборудования
персонального компьютера
Маршрутизатор (router) – ретрансляционная система, соединяющая две
коммуникационные сети либо их части
Модем – устройство для обмена информацией между компьютерами при
помощи телефонной сети (сочетание двух старых технических терминов –
модулятор (modulator) и демодулятор (demodulator))
Мост (bridge) - ретрансляционная система, соединяющая каналы передачи
данных
Начальная страница (Home page) – страница Web, представляющая
индивидуального пользователя или организацию
Пароль (Password) – секретный код, используемый для обеспечения
конфиденциальности. Выбирая пароль, подумайте над тем, насколько легко
его расшифровать. Лучше всего использовать какие-то два произвольно
выбранных слова, разделенных цифрой или специальным символом.
Общеизвестных слов, а также слов, которые можно подобрать с помощью
словаря, лучше избегать
245
Персональный компьютер (ПК) – малогабаритная ЭВМ, отличающаяся
малой стоимостью, автономностью и простотой эксплуатации, возможностью
применения в различных сферах деятельности, доступностью быстрого
освоения используемого программного обеспечения, высокой надежностью
работы.
Поиск контекстный – поиск по текстам документов (комментариев);
производится при выборе условия поиска «Поиск по тексту».
Почтовые наклейки – вид отчетов, используемый для создания стандартных
почтовых наклеек на конверты при рассылке серийных писем.
Почтовый сервер (Mail server) – компьютер, в Internet, предоставляющий
услуги электронной почты.
Провайдер – фирма, с которой заключается договор о предоставлении адреса
и/или времени в Internet.
Протокол (Protocol) – система согласования работы двух компьютеров. Когда
вы используете протокол передачи файлов, например, то участвующие в
обмене информацией компьютеры (отправитель и получатель) договариваются
о наборе сигналов, которые означают «Начать», «Получил это», «Не получил
этого. Пожалуйста, отправьте еще раз» и «Все выполнено»
Расшифровка - метод восстановления измененной информации и приведения
ее в читаемый вид
Редиректор – сетевое программное обеспечение, которое принимает запросы
ввода/вывода для удаленных файлов, именованных каналов или почтовых
слотов и затем переназначает их сетевым сервисам другого компьютера
Результат обработки сообщения (Message digest) - величина, выдаваемая
хэш-функцией (то же, что и "хэш")
Роуминг - это возможность радиоустройства перемещаться за пределы
действия базовой станции и, находясь в зоне действия "гостевой" станции,
иметь доступ к "домашней" сети
Связь (Link) – ссылка в одном гипертекстовом документе на другой документ
либо в одной части документа на другую часть. В World Wide Web связи
обычно визуализируются в виде выделенного тем или иным способом текста
или с помощью графических изображений. Для того чтобы перейти по связи
на другой документ, необходимо выбрать ее, используя клавиатуру или мышь.
Сервер (Server) – компьютер, который предоставляет услуги другим
компьютерам в сети, называемым клиентами. Сервер Archie, например,
позволяет пользователям Internet работать с программой Archie.
Сетевая модель – модель, организующая данные в виде сетевой структуры
Сетевая структура – структура, порожденный элемент которой имеет более
одного исходного в отношениях между данными.
Сеть (Network) – связанные друг с другом компьютеры. Сети компьютеров,
размещенных в одном и том же или близлежащих зданиях, называются
локальными сетями. Если же компьютеры размещены на значительном
удалении друг от друга, то соответствующие сети называются глобальными.
246
Если же соединить друг с другом множество сетей, разбросанных по всему
миру, то получится Internet!
Сеть Всемирная информационная (World Wide Web «WWW») – система
гипермедиа, которая позволяет просматривать интересную информацию.
Существует мнение, что WWW является крупнейшим репозиторием
информации ХХI века.
Сеть глобальная вычислительная – вычислительная сеть, связывающая
отдельные компьютеры и локальные сети, расположенные на большом
расстоянии друг от друга.
Сеть локальная вычислительная – вычислительная сеть, поддерживающая в
пределах ограниченной территории один или несколько высокоскоростных
каналов передачи цифровой информации, предоставляемых подключаемым
устройствам для кратковременного монопольного использования.
Страница (Page) – документ или массив информации, доступный через World
Wide Web. Каждая страница может содержать текстовые, графические и
звуковые файлы.
Страница Web (Web page) – документ, доступный через World Wide Web.
Структурированные или SQL-запросы – запросы, для определения которых
пользователь должен описать запрос с помощью особого языка запросов,
используя специальные команды и функции.
Узел – компьютер в Internet, который иногда называют host (главной
машиной).
Унифицированный локатор ресурсов (URL «Uniform Resource Locator») –
способ именования сетевых ресурсов, первоначально предназначавшийся для
связывания страниц в World Wide Web.
Файл – совокупность текстовой, графической, звуковой, видео и другого рода
информации.
Факс – сокращенное название аппарата для передачи/приема графических
документов (facsimile — себе подобный).
Факс-модем – устройство, сочетающее возможности модема и средства для
обмена факсимильными изображениями с другими факс-модемами и
обычными телефаксными аппаратами
Хэш - последовательность битов, полученная в результате расчета хэшфункции
Хэш-функция - математический расчет, результатом которого является
последовательность битов (цифровой код). Имея этот результат, невозможно
восстановить исходные данные, использовавшиеся для расчета
Целостность данных - обеспечение неизменности данных в ходе их передачи
Цифровая подпись - последовательность битов, прилагаемая к сообщению
(зашифрованный хэш), которая обеспечивает аутентификацию и целостность
данных
Шифр - любой метод шифрования данных
Шифрование - метод изменения информации таким образом, что прочитать ее
не может никто, кроме адресата, который должен ее расшифровать
247
Шлюз
(gateway)
–
ретрансляционная
система,
обеспечивающая
взаимодействие информационных сетей
Электронная почта – средство связи с любым абонентом через телефонные
линии с помощью компьютерной сети.
Ядро является сердцем операционной системы. Оно размещает файлы на
диске, запускает программы и переключает процессор и другое оборудование
между ними для обеспечения мультизадачности, распределяет память и другие
ресурсы между процессами, обеспечивает обмен пакетами в сети
248
ХАСАНОВ Вахит Хамзинович,
БИКМУХАМЕТОВ Ильдар Хайдарович,
КОЛГАНОВ Евгений Алексеевич
ИНФОРМАТИКА
КОМПЬЮТЕРНЫЕ СЕТИ
Учебное пособие
Технический редактор: Р.С. Юмагулова
Редактор схем и рисунков: Колганова Т.Е.
Подписано в печать 22.10.2008. Формат 60×84 1/16.
Бумага писчая. Гарнитура «Таймс».
Усл. печ. л. 14,47. Уч.-изд. л. 16. Тираж 200 экз.
Цена свободная. Заказ № 95.
Отпечатано с готовых авторских оригиналов
на ризографе в издательском отделе
Уфимской государственной академии экономики и сервиса
450078, г. Уфа, ул. Чернышевского, 145; тел. (347) 241-69-85.
249
250
251
252
