Практические советы. IP-адреса для сетей, которые используют брандмауэры или шлюзы Internet

Помещайте свои частные сети позади прокси-серверов и брандмауэров как из со­ображений безопасности, так и для того, чтобы избежать необходимости аренды большого числа общедоступных адресов Internet. Стоит ли использовать после это­го старую нумерацию для адресов? Конечно же, нет. Существует специальный на­бор сетевых адресов, зарезервированный как раз для такого использования. Эти адреса определены в RFC 1918; применяя такие адреса, вы можете использовать существенно большее адресное пространство, чем при каком-либо другом способе.

Использование этих специальных сетевых адресов также защищает целостность Internet. Были случаи, когда к Internet подсоединялись сети, использующие адреса, которые уже были назначены другим организациям, что приводило к серьезным проблемам. Поскольку эти специальные адреса официально предназначены только для частных сетей, они автоматически фильтруются как маршрутизаторы, защища­ющие Internet. Имеются следующие специальные адреса:

От 10.0.0.0 до 10.255.255.255 (сеть класса А).

От 172.16.0.0 до 172.31.255.255 (16 последовательных сетей класса В).

От 192.168.0.0 до 192.168.255.255 (256 последовательных сетей класса С).

Например, если вам нужно создать тестовую сеть или у вас есть иная причина предполагать, что вы никогда не будете подсоединяться к Internet, но вам нужно использовать TCP/IP для вашего сетевого протокола, используйте адреса из этого специального набора адресов. Используйте также эти адреса для вашей внутреннейсети, если вы подсоединяетесь к Internet только через прокси-сервер или брандма­уэр, который защищает от просмотра ваш фактический IP-адрес. Таким брандмау­эром является Microsoft Internet Security and Acceleration Server. Если вы используе­те брандмауэр или прокси-сервер, то вам требуются «реальные» IP-адреса только для машин, которые находятся вне вашего брандмауэра, то есть видны в Internetцеликом, а это позволяет экономить пространство 1Р-адресов.

Маршрутизация и подсети

Если бы каждому лю­бого другого компьютера в Internet и полный маршрут к каждому компьютеру, то весь Internet давно бы прекратил свою деятельность. Но уже на ранних стадиях стало очевидно, что требуется метод фильтрации и маршрутизации пакетов, чтобы можно было не только выполнять печать на вашем сетевом принтере, но и осуще­ствлять обмен с любым компьютером в Internet без необходимости знания всех де­талей пути к этому компьютеру. Ознакомимся с подсетями, маршрутизаторами и шлюзами.

Что такое подсеть?

Подсеть — это просто часть сети, которая действует как отдельная сеть, не прини­мая во внимание то, что происходит снаружи, и не влияя на остальную часть сети. Подсеть — это обычно физически отдельная часть, которая имеет единственную точку контакта с другими частями сети через маршрутизатор или мост.

Для настройки подсети используется так называемая маска подсети, что позво­ляет компьютерам подсети непосредственно взаимодействовать только с компью­терами той же подсети. Маска подсети — это снова адрес в форме w.x.y.z, который маскирует (блокирует) области вне данной подсети. Маска действует таким обра­зом, чтобы вы могли видеть только те части пространства IP-адресов, которые не маскированы значением 1. (каждый октет — это 8-битное значение. «Маскировать значением 1» означает, что соответствующий бит установлен рав­ным 1.) Например, если у вас адрес класса С 192.168.222.17 с маской подсети 255.255.255.0 (типичная подсеть класса С), как это показано на рисунке, вы сможете видеть только адреса последнего октета (часть «z»)

Поэтому в случае адреса 192.168.222.17 адрес 192.168.223.25 будет скрыт от вас маской 255.255.255.0, и вы сможете отправить пакет на этот адрес, только передав сначала этот пакет шлюзу или маршрутизатору, который «знает» как ваше местопо­ложение, так и местоположение другой сети или способ ее обнаружения. С другой стороны, если вы отправляете пакет на принтер с IP-адресом 192.168.222.129 или на Компьютер с адресом 192.168.222.50, то это не составит никаких проблем. Данная система «видит» этот адрес, и пакет передается непосредственно в точку своего на­значения.

Практические советы. IP-адреса для сетей, которые используют брандмауэры или шлюзы Internet - student2.ru Если вы можете присвоить подсети целый класс адресов, то вам легко опреде­лить, какая у вас маска; но если вы можете присвоить только какую-то часть класса (как в случае аренды IP-адресов Internet при использовании метода CIDR), то вам придется взять двоично-десятичные таблицы преобразования, чтобы точно опреде­лить соответствующую маску подсети. (Напомним, что маска строится в двоичном виде.) Если вы понимаете, как это действует, то можете настроить маску вашей под­сети или определить, что фактически делает эта маска. Настраиваемые маски подсе­ти называются масками подсети переменной длины, и для них часто используется так называемая запись со слэшем, где указывается номер (адрес) сети, после которо­го указывается количество битов, используемых в маске этой подсети. Например, 192.168.1.0/26 имеет маску подсети 255.255.192.0, которая позволяет разбить одну сеть класса С на четыре подсети, содержащие не более 61 хоста на одну подсеть.

Примечание. Используйте маску подсети по умолчанию, соответствующую классу вашей сети, если у вас нет особых причин поступать по иному. Для сети класса А это 255.0.0.0; для сети класса В это 255.255.0.0; и для сети класса С используйте маску 255.255.255.0. Более подробную информацию по маскам подсетей см. в Microsoft Windows Server 2003 Resource Kit (Microsoft Press, 2003).

Все маски в какой-то одной части вашей сети должны быть одинаковыми. Если это не так, то вы можете столкнуться с целым рядом проблем. Например, одна ма­шина сможет отправлять пакеты на другую машину, но та машина не сможет от­правлять пакеты в обратном направлении.

Разрешение имен

12-разрядные десятичные IP-адреса (типа 192.168.101.102) очень удобны для рас­познавания одними компьютерами других компьютеров, но пользователи не в со­стоянии воспринимать информацию в таком виде. Дело не только в том, что им трудно запоминать 12-разрядные числа, — сами числа могут изменяться.

Адреса протокола IP version 6 — это 128 битов, выраженных строками, которые могут содержать до 32 шестнадцатеричных символов, хотя они часто бывают и ко­роче. (На самом деле адреса IP version 6 можно даже записывать 128 единицами и нулями, но это уже явно неудобно.) Очевидно, что легко запоминаемые имена удоб­нее строк чисел или строк из символов и чисел. В этом разделе рассматривается обработка имен в TCP/IP и в среде Internet.

Шлюзы и маршрутиризаторы

Шлюз может иметь различные функции в сети, но в данном случае мы рассмотрим функции, относящиеся к подсетям и маршрутизации. Как мы уже отмечали, в слу­чае маски 255.255.255.0 и вашего IP-адреса с октетом «у», равным 222, вы не можете «видеть» в сети IP-адрес с октетом «у», равным 223.

Но каким образом можно передать пакет по IP-адресу в другую подсеть? Ответ: через шлюз, или маршрутизатор.

Маршрутизатор — это устройство (обычно вне­шний блок, но иногда просто компьютер с несколькими сетевыми адаптерами), которое подсоединено к нескольким физическим сегментам сети и передает пакеты между этими сегментами требуемым образом. Он получает ваши пакеты из подсети 222 и передает их в подсеть 223 для доставки по определенному адресу в этой подсе­ти. Таким образом, он действует как «привратник» между двумя отдельными частя­ми сети, разрешая трафик с адресами 222 только в подсети 222 и разрешая трафик всегмент 223 только с адресами 223.

Маршрутизатор может не знать, куда направить пакет, но он знает, куда обра­титься за советом — к другому маршрутизатору. Он постоянно обновляет свои таб­лицы маршрутизации информацией от других маршрутизаторов о том, как наилуч­шим образом попадать в различные части вашей сети.

Примечание. Хотя «шлюз» и «маршрутизатор» часто используются как вза­имозаменяемые термины, строго говоря, шлюз — это устройство или ком­пьютер, который выполняет преобразование между сетями с различной архитектурой, такими как NetWare и Windows. Маршрутизатор — это уст­ройство или компьютер, который при необходимости отправляет пакеты между двумя или несколькими сегментами сети, используя логические се­тевые адреса (обычно 1Р-алреса).Кроме шлюзов и маршрутизаторов существуют также мосты. Мосты — ли устройства или компьютеры, которые направляют трафик между двумя сегментами сети, основываясь на физических адресах (адресах доступа к среде передачи данных), и они обычно используются, чтобы изолировать две части сети для повышения производительности. Мосты дешевле, но обладают меньшими возможностями, чем маршрутизаторы.

Протоколы маршрутизации

Подробные сведения о работе протоколов маршрутизации и алгоритмах, применя­емых в маршрутизации и разрешении адресов, выходят за рамки этой книги, но вам полезно знать, что представляют собой некоторые протоколы хотя бы по их акро­нимам. Вот наиболее распространенные протоколы TCP/IP, используемые для раз­решения адресов и маршрутизации.

• Address Resolution Protocol (ARP — Протокол разрешения адресов). Ставит в со­ответствие IP-адресу адрес физического оборудования (МАС-адрес — адрес уп­равления доступом к среде), что позволяет отправлять информацию по IP-адре­су, не зная конкретного физического устройства.

• Routing Information Protocol (RIP - Протокол маршрутной информации). Вектор­ный протокол маршрутизации, который в основном используется для обратной совместимости с существующими RIP-сетями. Как и большинство векторных протоколов маршрутизации (которые активно используют широковещательную рассылку для обнаружения близлежащих устройств и маршрутизаторов), RIP заменяется в настоящее время новыми протоколами маршрутизации, которые лучше масштабируются и налагают меньшую дополнительную нагрузку на сете­вой трафик.

• Open Shortest Path First (OSPF — Протокол выбора кратчайшего маршрута). Про­токол маршрутизации по состоянию связи, который подходит для использования в крупных и очень крупных сетях, характерных для больших предприятий. Про­токолы маршрутизации по состоянию связи поддерживают «карту» топологии сети, которую они используют совместно с другими маршрутизаторами. При измене­нии топологии маршрутизаторы обновляют свою базу данных с информацией о состоянии связи и затем информируют соседние маршрутизаторы об этом изме­нении топологии, что приводит к снижению доли использования пропускной спо­собности по сравнению с векторными протоколами маршрутизации.

Система доменных имен (DNS)

Система доменных имен (DNS — Domain Name System) была разработана в начале 80-х гг. и в 1984 г. стала официальным методом отображения IP-адресов на имена. С появлением Windows 2000 DNS стала также методом, который используется кли­ентами для нахождения контроллеров домена с помощью службы Active Directory. (На самом деле для доступа к данным, хранящимся в базе данных Active Directory, клиенты используют протокол LDAP.) Хотя в общую структуру DNS вносились из­менения, конечный результат остался таким же, как и в исходном проекте.

Дополнительная информация. Общее описание DNS см. в документе RFC 1591, а конкретные спецификации — в документах RFC 1034 и RFC 1035. В RFC 2136 содержится спецификация динамических обновлений (динами­ческая DNS), с которой согласуются Windows Server 2003, Windows ХР и Windows 2000.

Пространство доменных имен

Пространство доменных имен описывает древовидную структуру всех доменов, начи­ная с корневого домена («.») и вплоть до листьев этой структуры. Это иерархическая структура, в которой каждый уровень отделен от вышележащего и нижележащего уров­ней символом «точка», что позволяет всегда определять местоположение в этом дереве.

До того, как Internet был переведен в систему DNS, все, кому требовалось пре­образование чисел в имена, должны были получать через FTP один управляющий файл (Hosts.txt). При дополнениях или изменениях требовалось передавать этот файл в каждую систему. Ясно, что это создавало огромную дополнительную нагрузку в Internet, даже когда эта система была еще очень небольшой.

Система DNS позволила устранить ограничения файлов Hosts.txt за счет под­держки распределенной базы данных.

Корневые домены

Корневые домены — это первый уровень дерева под корнем. Они описывают виды сетей внутри их домена двумя или тремя буквами, такими как .СОМ (для коммер­ческих доменов) и .EDU для доменов образовательных систем. Первоначально до­мены были ориентированы на США. Это неудивительно, поскольку создание и ад­министрирование основной части пространства имен первоначально осуществлялось Министерством обороны США.

Но по мере роста Internet этот подход все больше терял смысл, особенно с появ­лением распределенных баз данных, подобных DNS, позволяющих осуществлять локальное администрирование и управление. К функциональным доменам были добавлены географические домены, такие как .it для Италии, и т.д. Информацию по планированию вашего пространства имен и доменов см. в гл. 3.

Как происходит преобразование (разрешение) имен в адреса

Когда вы щелкаете на ссылке http://www.microsoft.com и ваш браузер пытается под­соединиться к этому сайту, что происходит на самом деле? Каким образом он нахо­дит www.microsoft.coml Если ответить коротко, он запрашивает главный сервер DNS, указанный в окне свойств TCP/IP (TCP/IP Properties) на вашей рабочей станции. Но откуда этот сервер DNS знает, где находится данный сайт?

Если вы получили доменное имя через свою компанию веб-хостинга, то это, видимо, было сделано для вас автоматически. Иначе следуйте указаниям вашего регистратора, чтобы ввести адреса двух серверов DNS, содержащих DNS-записи для вашего до­менного имени. Если вы используете услуги компании веб-хостинга, это серверы DNS данной компании. Если вы поддерживаете веб-сайт в своей компании, введи­те адреса двух серверов DNS компании, доступных из Internet, и создайте необхо­димые DNS-записи на ваших серверах DNS.

Протокол LDAP

Протокол LDAP (Lightweight Directory Access Protocol) используется для доступа к данным в базе данных Active Directory. И здесь для поиска контроллеров домена используется DNS, а протокол LDAP — для доступа к данным Active Directory. LDAP действует поверх TCP/IP, и Active Directory поддерживает обе версии LDAP — вер­сии 2 и 3. Любой продукт, поддерживающий LDAP и согласующийся с этими спе­цификациями, можно использовать для доступа к данным Active Directory. Более подробную информацию по Active Directory и протоколу LDAP см. в гл. 2.

Протокол DHCP (Dynamic Host Configuration Protocol)

Одна из проблем, с которыми в настоящее время сталкиваются организации, ис­пользующие TCP/IP, — это принятие решения о том, как управлять внутренними IP-адресами. Этому предмету уделяется особое внимание в компаниях, которые предоставляют адреса, допустимые для Internet. Но даже если ваша компания ис­пользует частную сеть, постоянно выполняемые процедуры управления всеми IP- адресами могут быстро стать настоящим кошмаром для администратора, особенно если вы имеете дело с временно подсоединяемыми компьютерами, такими как лэп­топы и удаленные компьютеры. Протокол DHCP обеспечивает более простой спо­соб управления адресами для компьютеров, которые подсоединяются нерегулярно.

DHCP позволяет администратору назначать имеющиеся IP-адреса, только ког­да это требуется. Мобильный пользователь может подсоединять лэптоп к сети, ког­да это нужно, и ему автоматически присваивается подходящий адрес.

Как действует протокол DHCP

Чтобы получить IP-адрес, клиентский компьютер отправляет широковещательное НСР-сообшение для раскрытия IP-адреса. Это сообщение получает сервер DHCP, который отвечает, предлагая данному клиенту IP-адрес для использования. Клиент отвечает на первое предложение которое он получает и направляет данному серверу DHCP запрос на предложенный IP- адрес. Сервер DHCP отправляет подтверждение, где сообщает клиенту, что он арендовал IP-адрес на период времени, ука­занный этим сервером DHCP.

Использование нескольких серверов DHCP

DHCP использует широковещательные сообщения протокола UDP, поэтому серве­ры DHCP не увидят (и, тем самым, не смогут отправить) запросы клиентов из дру­гой подсети, если между этими двумя подсетями не будет сконфигурирован марш­рутизатор для пересылки широковещательных сообщений. В более крупных организациях это означает, что для каждой подсети нужно использовать отдельные серверы DHCP, поскольку широковещательный трафик создает нежелательную на­грузку на средства маршрутизации. Кроме того, вы можете сконфигурировать для каждой подсети второй сервер DHCP в целях резервирования, чтобы ваша сеть могла предоставлять адреса в случае отказа основного сервера DHCP.

Обычно на каждые 10000 клиентов требуется один сервер Информацию по оценке производительности вашей текущей системы см. в гл. 35.

Служба WINS (Windows Internet Name Service)

что обеспечи­ть доступ приложений к сетевым ресурсам в операционной системе Microsoft MS- DOS. Это фактически был основной сетевой API и метод именования для сетей Microsoft, пока не была выпущена система Windows 2000.

Хост-имена NetBIOS могут содержать до 15 символов, и они являются частью Плоского (неструктурированного) пространства имен, поэтому все эти имена долж­ны быть уникальными в сети. Обычно разрешение хост-имен осуществляется с помощью широковещательных запросов, это уменьшает пропускную способность сети.

Глава 17

Реализация управления дисками

При обычных обстоятельствах это была бы объединенная глава по управлению дис­ками и хранению данных. Однако с появлением Microsoft Windows Server 2003 воп­росы хранения данных на компьютере и в сети усложнились для администратора и в то же время стали проще для пользователя. В системе Windows Server 2003 исполь­зуются как локальные, так и удаленные средства хранения данных, а также съем­ные накопители, и все это совершенно прозрачным образом для пользователя. В конце концов, пользователя на самом деле не слишком интересует, где хранится файл или программа, - на диске, на ленте или где-то еше в интранет, если он имеет к ним необходимый доступ. В этой главе рассматриваются более традиционные за­дачи управления дисками, которые можно выполнять в Microsoft Windows 2000 и Windows Server 2003, и в следующей главе рассматриваются менее традиционные методы хранения, которые можно теперь использовать.

Терминология, связанная с дисками

Прежде чем переходить к деталям управления дисками и средств хранения данных, рассмотрим некоторые определения.

• Физический дисковод (Physical drive). Собственно жесткий диск, включая кор­пус, электронику, «тарелки» диска и т.д. Это не столь уж важно для администра­тора дисков.

• Раздел (Partition). Часть жесткого диска. Во многих случаях это целиком про­странство на жестком диске, но не обязательно.

• Единичный блок (Allocation unit). Минимальная единица управляемого дисково­го пространства на жестком диске или логическом томе. Его называют также кластером.

• Основной раздел (Primary Partition). Часть жесткого диска, которая помечена как

потенциально загрузочный логический диск для операционной системы. MS- DOS может поддерживать только один основной раздел, но Microsoft Windows NT, Windows 2000 и Windows Server 2003 могут поддерживать несколько таких разделов. На любом жестком диске может содержаться не более четырех основ­ных разделов.

• Дополнительный раздел (Extended partition). Незагрузочная часть жесткого дис­ка, которую можно разбить на логические диски. На одном жестком диске мо­жет быть только один дополнительный раздел, но его можно разбить на несколько логических дисков.

• Расширенный том (Extended volume). Понятие, аналогичное составному тому (иногда они рассматриваются как синонимы); это динамический том, который расширен по сравнению с его исходным размером. Если для него используются

части более чем одного физического диска, то его правильнее называть состав­ным томом.

Логический диск (Logical drive). Участок или раздел жесткого диска как отдель­ная единица. Например, дополнительный раздел может быть разбит на несколько логических дисков.

Логический том (Logical volume). Еще одно название логического диска.

Базовый диск (Basic disk). Традиционный дисковый накопитель, разбитый на один или несколько разделов с логическим диском в основном разделе (если он имеется) и одним или несколькими логическими дисками в дополнительном оазделе. Базовые диски не поддерживают наиболее развитые функции Disk Management (Управления дисками), но их можно во многих случаях обновить (преобразовать) до динамических дисков.

Динамический диск (Dynamic disk). Управляемый с помощью Disk Management жесткий диск, который можно использовать для создания различных томов.

Том (Volume). Отдельная единица дискового пространства, состоящая из одного или нескольких участков одного или нескольких динамических томов.

Простой том (Simple volume). Эквивалент раздела для Disk Management. Как ча­сти одного динамического диска ему можно присвоить отдельную букву-обо­значение накопителя или не присваивать это обозначение; его можно присое­динять (монтировать) в нескольких точках монтирования.

RAID (матрица независимых дисковых накопителей с избыточностью — redundant array of independent disks). Комплекты из нескольких жестких дисков в виде мат­рицы, обеспечивающие увеличение размера томов, отказоустойчивость и повы­шенную производительность; поставляются на различных уровнях, таких RAID- 0, RAID-1, RAID-5 и т.д. Увеличение номера не означает более высокой производительности или отказоустойчивости, а просто различные методы вы­полнения работы.

Составной том (Spanned volume). Набор частей жестких дисков, объединенных в один адресуемый блок. Составной том форматируется как один диск, и ему мо­жет быть присвоена буква-обозначение диска, но он охватывает части несколь­ких физических дисков. Составной том, который иногда называют расширен­ным томом, не обеспечивает никакой отказоустойчивости и увеличивает подверженность отказам, но он позволяет более эффективно использовать сво­бодное пространство на жестких дисках.

Том с чередованием (Striped volume). Подобно составному тому, том с чередовани­ем объединяет части нескольких жестких дисков в один блок. Но для тома с чере­дованием используется специальное форматирование для равномерного распре­деления информации по частям с целью увеличения производительности. Том с чередованием не обеспечивает никакой отказоустойчивости и реально увеличи­вает подверженность отказам, но он обеспечивает более высокую скорость, чем составной том или отдельный диск. Набор с чередованием часто называют RAID- 0, и этот нулевой номер соответствует чередованию без избыточности.

Зеркальный том (Mirror volume). Пара динамических томов, содержащих одина­ковые данные и представляемых как одно устройство. Для зеркального отраже­ния могут использоваться два диска на одном контроллере жестких дисков или на отдельных контроллерах, что иногда называют дуплексированием. В случае отказа на одном из дисков второй жесткий диск начинает действовать отдельно, Продолжая обеспечивать полный доступ к данным, хранящимся на этом диске. Что обеспечивает высокий уровень отказоустойчивости. Этот метод называется RAID-1.

Том RAID-5. Подобно тому с чередованием, этот том объединяет части нескольких жестких дисков в один блок с равномерной записью данных во все части. Но он также записывает информацию о четности для каждой части в другую часть что обеспечивает возможность восстановления в случае отказа одного из дисков. Том RAID-5 обеспечивает превосходную производительность для операций чтения, но существенно медленнее, чем другие существующие устройства для операций записи.

Один большой дорогостоящий диск (SLED - single large expensive disk). Эта стратегия теперь используется редко; она противоположна стратегии RAID. Вместо использования нескольких недорогих жестких дисков и обеспечения отказоустойчивости за счет избыточности вы покупаете самый «лучший» жесткий диск. который можете себе позволить, и доверяете ему всю сеть. Если это вас не прельщает, то вы правы. Это действительно не слишком удачная идея.

Обзор возможностей управления дисками (оснастка Disk Management)

Хранение данных на жестком диске является обычным методом долгосрочного хра­нения для современных компьютеров от мэйнфрейма до настольного компьютера, и это вряд ли изменится даже с учетом более развитых средств хранения, включен­ных в Windows Server 2003. В данном разделе дается обзор каждого из этих новых средств.

RAID

RAID (матрица независимых дисковых накопителей с избыточностью) — это тер­мин, используемый для описания метода, который из высокотехнологичного ре­шения, доступного только «посвященным», превратился в обычное средство для большинства серверов. Еще семь-восемь лет назад о RAID знали немногие, хотя первая статья с определением RAID была написана в 1988 г. До недавнего времени в большинстве систем с дорогими высококачественными жесткими дисками при­ходилось часто выполнять резервное копирование. Резервное копирование по-пре­жнему является критически важным средством, но теперь вы можете использовать одну или другую форму RAID, чтобы обеспечить обширную защиту от сбоев жест­ких дисков. Кроме того, эта защита обходится намного дешевле, чем при использо­вании больших дисков для серверов.

Технология RAID может быть реализована на программном или аппаратном уровне. При реализации на аппаратном уровне поставщик оборудования предос­тавляет интерфейс для администрирования матриц и драйверов с целью поддер*101 различных операционных систем, с которыми, возможно, придется работать. СУ' шествуют определенные преимущества в использовании аппаратно поддерживав мых RAID, но это обходится недешево.

В Windows Server 2003 включена превосходная и гибкая программная реализа­ция RAID уровней 0, 1 и 5. Она никоим образом не охватывает все возможности, но вполне достаточна для многих целей.

§ Диски для замены в процессе работы и горячего резервирования, что позволяв практически мгновенно заменять диски в случае отказа.

§ Интегрированный подход к кэшированию дисков для повышения производительности дисков.

§ Отдельная выделенная система, выполняющая всю обработку, что повышает производительность в целом.

§ Повышенная гибкость и дополнительные уровни RAID, такие как RAID-10 (называемые также RAID 0+1), сочетающие чередование (RAID-0) и зеркальное отражение (RAID-1), что обеспечивает более быстрый доступ по чтению и записи с полной избыточностью.

Не все аппаратно поддерживаемые системы RAID обеспечивают в полной мере эти возможности, но все они обладают потенциалом для повышения надежности и производительности в целом для вашей подсистемы жестких дисков. Как таковые они могут предусматриваться как средство для критически важного сервера.

Типы сетевой инфраструктуры:

Ethernet. Протокол локальной сети. Ethernet поддерживает передачу данных со ско­ростью 10 Мбит/с и использует шинную топологию и толстый или тонкий коакси­альный кабель, волоконно-оптический кабель либо витую пару. Более современ­ная версия Ethernet, Fast Ethernet, поддерживает передачу данных со скоростью 100 Мбит/с, а в еще более новой версии, Gigabit Ethernet, — со скоростью 1000 Мбит/с.

В каждом кадре Ethernet указан адрес как отправителя, так и получате­ля. Тем не менее технология Ethernet широковещательная, то есть каж­дая станция видит все передаваемые по соединительному кабелю кад­ры. Предполагается, что «честная» рабочая станция игнорирует кадры, адресованные не ей, но у сетевых адаптеров существует так называе­мый смешанный режим работы (promiscuous mode), когда все принима­емые станцией кадры, в том числе и «чужие», передаются программно­му обеспечению верхнего уровня. Перевести станцию в этот режим могут как законные пользователи (например, для работы анализаторов прото­колов), так и сетевые хакеры.

Обычно в сетях Ethernet используют топологии «шина» или «звезда». Для соединения нескольких шин (или сетей) применяются коммутато­ры и мосты Ethernet. Они пересылают кадры, адресованные рабочим станциям в другой сети. Коммутаторы и мосты уменьшают зоны, в ко­торых возникают коллизии, и позволяют более эффективно использо­вать ресурсы сети для осмысленного трафика (того, что не приводит к коллизиям). Для соединения узлов Ethernet используют кабели различ­ных типов. В таблице перечислены некоторые из них, а также макси­мальные длины сегментов.

Тип кабеля Максимальная длина сегмента, м
lOBaseT
10Base2
10Base5

RDDI

Ethernet работает с данными, реализованными в виде пакетов (фреймов)

Практические советы. IP-адреса для сетей, которые используют брандмауэры или шлюзы Internet - student2.ru

CRC-Контрольная сумма для проверки целостности кадра.

Cmd: ipconfig /all показывает мак адреса всех сетевых адаптеров на вашем компьютере.

Token ring (кольцевая сеть с маркерным доступом). Тип компьютерной сети, в которой компьютеры соединены «по кругу». Маркер (token), то есть специальный набор битов, перемещается по кругу. Когда определенному компьютеру нужна связь с другим компьютером, он «перехватывает» маркер, присоединяет к нему сообще­ние, и маркер продолжает перемещаться по кругу, оставляя это сообщение в ука­занном месте.

TokenRing

Технология передачи маркера (token ring) содержит два основных стан­дарта. Первый — сеть TokenRing от IBM, для компании IBM она остает­ся основной технологией локальных сетей. Второй — стандарт IEEE 802.5, разработанный Институтом инженеров в области электроники и электро­техники (Institute of Electrical and Electronics Engineers, IEEE)

Локальная сеть стандарта IEEE 802.5 основана на топологии «кольцо», а для определения очередности передачи информации используется ко­роткое сообщение — маркер (token). (Кадр в такой сети состоит из маркера и данных, например, пользовательских или управляющих.) Маркер циркулирует по кольцу, и только владеющая им рабочая стан­ция может передавать данные. Рабочая станция, получившая маркер, но не желающая пересылать данные, просто отправляет его дальше. Сравните, сетевой стандарт Ethernet не имеет такого механизма, то есть рабочие станции Ethernet не предотвращают коллизии, а обнаружива­ют их во время передачи. В сети же с передачей маркера коллизий возникнуть не может. «Занятый» маркер (он имеет пометку «занято» и используется для переноса полезной информации) циркулирует до тех пор, пока не достигнет адресата. Затем он следует обратно к передаю­щей рабочей станции, которая удаляет сообщение, снимает пометку и отправляет в кольцо уже «свободный» маркер.

FDDI

Оптоволоконная технология FDDI (Fiber Distributed Data Interface) все чаще применяется в сетях — в основном для магистральных систем, соединяющих несколько локальных сетей. Благодаря скорости переда­чи данных 100 Мбит/с, FDDI также используется для высокоскорост­ной связи между большими и/или быстрыми компьютерами.

Стандарт FDDI, принятый ANSI (American National Standards Institute) и ISO, определяет физический уровень (модели ISO/OSI) с использовани­ем оптоволоконного кабеля в локальной сети топологии «двойное коль­цо». (Стандарты ANSI и ISO полностью совместимы между собой.) Двой­ные кольца обеспечивают отказоустойчивость. Каждая станция FDDI подключена к двум кольцам, так называемым первичному и вторично­му. При одиночном сбое возможно изолировать отказавшую станцию. Несколько сбоев иногда приводят к разбиению кольца на изолирован­ные фрагменты, не способные к взаимодействию друг с другом. Также стандарт FDDI определяет протокол доступа к среде, в котором исполь­зуется механизм передачи маркера. Каждая станция FDDI имеет уни­кальный 6-байтный адрес.

Линии Т1 /ТЗ

Линии Т1/ТЗ традиционно применяют для соединения двух значитель­но удаленных локальных сетей. Данные по Т1 проходят со скоростью 1,544 Мбит/с, а по ТЗ — до 44,763 Мбит/с. Линия Т1 состоит из 24 ка­налов по 64 кбит/с, их можно использовать для разных целей. Напри­мер, по одним передавать голосовую информацию, а по другим какую- ] то еще, в том числе графику и видео. В настоящее время линии Т1 стали использоваться для подключения серверов Интернета к поставщикам услуг, особенно небольшими организациями, содержащими свои собственные Web-узлы.

ISDN

Широко применяемая операторами общественной телефонной связи 1 (telephone carrier), Цифровая сеть интегрированных услуг (Integrated Services Digital Network, ISDN) — это семейство созданных CCITT про­токолов, ориентированных на создание полностью цифровой всемир- J ной сети передачи данных. Линия от подписчика до местной коммута- j ционной станции, магистральные линии между коммутационными стан­циями и местная линия к адресату — цифровые, поэтому ISDN не тре­бует ни одного аналого-цифрового преобразования. Кроме того, сеть | ISDN обеспечивает большую полосу пропускания, чем обычная (анало­говая) телефонная сеть, и позволяет одновременно пересылать голосо-1 вые и другие данные (например, компьютерные, музыкальные или видео). Еще одно преимущество сети ISDN — высокая скорость установления соединения, она в 5 или 6 раз выше, чем для обычных телефонных линий.

Беспроводные соединенияWiFi- Wi-Fi — торговая марка Wi-Fi Alliance для беспроводных сетей на базе стандарта IEEE 802.11

Позволяет осуществлять связь беспроводной сети и сети Ethernet

Обычно схема Wi-Fi сети содержит не менее одной точки доступа и не менее одного клиента. Также возможно подключение двух клиентов в режиме точка-точка (Ad-hoc), когда точка доступа не используется, а клиенты соединяются посредством сетевых адаптеров «напрямую». Точка доступа передаёт свой идентификатор сети (SSID-уникальный идентификатор сети) с помощью специальных сигнальных пакетов на скорости 0,1 Мбит/с каждые 100 мс. Зная SSID сети, клиент может выяснить, возможно ли подключение к данной точке доступа.

Преимущества Wi-Fi

  • Позволяет развернуть сеть без прокладки кабеля, что может уменьшить стоимость развёртывания и/или расширения сети. Места, где нельзя проложить кабель, например, вне помещений и в зданиях, имеющих историческую ценность, могут обслуживаться беспроводными сетями.
  • Позволяет иметь доступ к сети мобильным устройствам.
  • Wi-Fi устройства широко распространены на рынке. Гарантируется совместимость оборудования благодаря обязательной сертификации оборудования с логотипом Wi-Fi.
  • Излучение от Wi-Fi устройств в момент передачи данных на два порядка (в 100 раз) меньше, чем у сотового телефона.

Недостатки Wi-Fi

  • Трудно контролировать физический доступ к беспроводной сети
  • В диапазоне 2.4 GHz работает множество устройств, таких как устройства, поддерживающие Bluetooth, и др, и даже микроволновые печи, что ухудшает электромагнитную совместимость.
  • Реальная скорость передачи данных в Wi-Fi сети всегда ниже максимальной скорости, заявляемой производителями Wi-Fi оборудования. Реальная скорость зависит от многих факторов: наличия между устройствами физических преград (мебель, стены), наличия помех от других беспроводных устройств или электронной аппаратуры, расположения устройств относительно друг друга и т.п
  • Количество одновременно-наблюдаемых Wi-Fi сетей в одной точке не может быть больше количества используемых каналов, то есть 13 каналов/сетей (в России данное ограничение всё чаще ощущается в многоквартирных домах).
  • Стандарт шифрования WEP может быть относительно легко взломан[8] даже при правильной конфигурации (из-за слабой стойкости алгоритма).
  • Новые устройства поддерживают более совершенный протокол шифрования данных WPA и WPA2(WIFI PROTECTED ACCESS) Обе схемы требуют более стойкий пароль, чем те, которые обычно назначаются пользователями,поэтому рекомендуется использовать сложные цифро-буквенные пароли для того, чтобы максимально усложнить задачу подбора пароля.

В публичных сетях типа MCDonald's и домашних сетях используется пароль VPA PSK основанный на ьуханизме аутификации посредством секретного ключа, который вводится на точке доступа и на клиенте.

Метод сокрытия SSID-название сети скрыто и чтобы подключиться к сети нужно ввести не только пароль, но и название сети (SSID-ее идентификатор) Сеть о себе не кричит!

В корпоративных сетях используется механизм VPA Enterprise, основанный на выпуске сертификата для пользователя. Аутентификация осуществляется на основе открытого ключа.

Инфраструктура открытых ключей (англ. PKI - Public Key Infrastructure) - технология аутентификации с помощью открытых ключей. Это комплексная система, которая связывает открытые ключи с личностью пользователя посредством удостоверяющего центра (УЦ).

В основе PKI лежит использование криптографической системы с открытым ключом и несколько основных принципов:

  1. закрытый ключ известен только его владельцу;
  2. удостоверяющий центр создает сертификат открытого ключа, таким образом удостоверяя этот ключ;
  3. никто не доверяет друг другу, но все доверяют удостоверяющему центру;
  4. удостоверяющий центр подтверждает или опровергает принадлежность открытого ключа заданному лицу, которое владеет соответствующим закрытым ключом.

Криптография:

Ключевая пара - это набор, состоящий из двух ключей: закрытого ключа (private key) и открытого ключа (public key). Эти ключи создаются вместе, являются комплементарными по отношению друг к другу (то, что зашифровано с помощью открытого ключа можно расшировать, только имея закрытый ключ, а подпись сделанную с помощью закрытого ключа можно проверить используя открытый ключ).

Создаётся пара ключей либо центром выдачи сертификатов (удостоверяющим центром), по запросу пользователя, или же самим пользователем с помощью специального программного обеспечения. Пользователь делает запрос на сертификат, после чего, после процедуры идентификации пользователя, центр выдаёт ему сертификат со своей подписью. Эта подпись свидетельствует о том, что данный сертификат выдан именно этим центром выдачи сертификатов и никем другим.

Закрытый ключ используется для подписи данных, открытый ключ в свою очередь используется для шифрования данных. Открытый ключ известен всем, а закрытый ключ хранится в тайне. Владелец закрытого ключа всегда хранит его в защищённом хранилище и ни при каких обстоятельствах не должен допустить того, чтобы этот ключ стал известным злоумышленникам или другим пользователям. Если же закрытый ключ всё таки станет известен злоумышленникам, то он считается скомпрометированным и должен быть отозван и заменен. Только владелец закрытого ключа может подписать данные, а также расшифровать данные, которые были зашифрованы открытым ключом, соответствующим закрытому ключу владельца. Подпись на данных или письме гарантирует авторство полученной информации и то, что информация в процессе передачи не подверглась изменениям. Подпись двоичного кода гарантирует, что данное программное обеспечение действительно произведено указанной компанией и не содержит вредоносного кода, если компания это декларирует.

Терминология PKI

Из всего выше сказанного можно выделить некоторые пункты, а также добавить новые, для того чтобы определить основные термины, используемые в PKI. Итак, в PKI используются термины:

сертификат

электронный документ, который содержит электронный ключ пользователя, информацию о пользователе, удостоверяющую подпись центра выдачи сертификатов и информацию о сроке действия сертификата.

закрытый ключ

ключ, хранящийся в безопасном хранилище, созданный с использованием алгоритмов шифрования, имеющий свой уникальный электронный отпечаток и использующийся для получения зашифрованных данных и подписи данных

открытый ключ

ключ, созданный в паре с закрытым ключом, имеющем такой же электронный отпечаток, как и закрытый ключ, которому он соответствует, используется для шифрования данных и проверки подписи

электронный отпечаток (fingerprint)

это информация при помощи которой можно проверить, является ли полученный открытый ключ именно тем, который был отослан отправителем. Электронные отпечатки открытого и закрытого ключа одной пары идентичны, поэтому сверив отпечаток полученного ключа (например, по телефону) с отпечатком закрытого ключа отправителя, можно установить соответствие открытого ключа закрытому.

подписанные данные

данные, подписанные при помощи закрытого ключа пользователя

зашифрованные данные

данные, зашифрованные при помощи открытого ключа пользователя

Терминология PKI

Из всего выше сказанного можно выделить некоторые пункты, а также добавить новые, для того чтобы определить основные термины, используемые в PKI. Итак, в PKI используются термины:

сертификат

электронный документ, который содержит электронный ключ пользователя, информацию о пользователе, удостоверяющую подпись центра выдачи сертификатов и информацию о сроке действия сертификата.

закрытый ключ

ключ, хранящийся в безопасном хранилище, созданный с использованием алгоритмов шифрования, имеющий свой уникальный электронный отпечаток и использующийся для получения зашифрованных данных и подписи данных

открытый ключ

ключ, созданный в паре с закрытым ключом, имеющем такой же электронный отпечаток, как и закрытый ключ, которому он соответствует, используется для шифрования данных и проверки подписи

электронный отпечаток (fingerprint)

это информация при помощи которой можно проверить, является ли полученный открытый ключ именно тем, который был отослан отправителем. Электронные отпечатки открытого и закрытого ключа одной пары идентичны, поэтому сверив отпечаток полученного ключа (например, по телефону) с отпечатком закрытого ключа отправителя, можно установить соответствие открытого ключа закрытому.

подписанные данные

данные, подписанные при помощи закрытого ключа пользователя

зашифрованные данные

данные, зашифрованные при помощи открытого ключа пользователя

Электронно-цифровая подпись (ЭЦП)

Сторона А формирует ЭЦП документа и отправляет документ стороне Б. Сторона Б запрашивает сертификат открытого ключа стороны А у удостоверяющего центра, а также информацию о действительности сертификата. Если сертификат стороны А действителен и проверка ЭЦП прошла успешно, значит документ был подписан стороной А, а не кем-то другим.

Наши рекомендации