Введение
Перефразируя знаменитого классика, можно сказать, что с точки зре- ния системного аналитика все организации весьма похожи друг на друга. В структуру каждой из них, независимо от рода деятельности, входят много- численные подразделения, непосредственно осуществляющие тот или иной вид деятельности компании, а также дирекция, бухгалтерия, канцелярия и т.д. Подразделения компании пронизаны вертикальными и горизонтальными
связями, они обмениваются между собой информацией, а также выполняют отдельные части одной “большой работы”. При этом некоторые из подразде- лений, например, дирекция, финансовые и снабженческие службы взаимо- действуют с внешними партнерами (банк, налоговая инспекция, поставщики и т.д.), а также филиалами самой компании.
Таким образом, любая организация - это совокупность взаимодейст- вующих элементов (подразделений), каждый из которых может иметь свою структуру. Элементы связаны между собой функционально, т.е. они выпол- няют отдельные виды работ в рамках единого бизнес-процесса, а также ин- формационно, обмениваясь документами, факсами, письменными и устными распоряжениями и т.д. Кроме того, эти элементы взаимодействуют с внеш- ними системами, причем их взаимодействие также может быть как информа- ционным, так и функциональным. Причем взаимодействие между всеми эле- ментами организации осуществляется посредством корпоративной сети. И эта ситуация справедлива практически для всех организаций, каким бы ви- дом деятельности они не занимались - для правительственного учреждения, банка, промышленного предприятия, коммерческой фирмы и т.д.
Такой общий взгляд на организацию позволяет сформулировать неко- торые общие принципы построения корпоративных информационных сетей, т.е. информационных сетей в масштабе всей организации. В этой главе будут рассмотрены подходы и представления о том, какой должна быть корпора- тивная информационная сеть крупной организации. Особое внимание будет уделено транспортному уровню сети и протоколам, обеспечивающим пере- дачу данных.
|
§ 3.3.1. Особенности стека TCP/IP
TCP/IP - это аббревиатура термина “Transmission Control Protocol/Internet Protocol” (Протокол управления передачей/Протокол Internet). В терминологии вычислительных сетей протокол - это заранее со- гласованный стандарт, который позволяет двум компьютерам обмениваться
данными. Фактически TCP/IP не один протокол, а несколько. Именно поэто- му вы часто слышите, как его называют набором, или комплектом протоко- лов, среди которых TCP и IP - два основных.
Программное обеспечение для TCP/IP, на вашем компьютере, пред- ставляет собой специфичную для данной платформы реализацию TCP, IP и других членов семейства TCP/IP. Обычно в нем также имеются такие высо- коуровневые прикладные программы, как FTP (File Transfer Protocol - прото- кол передачи файлов), которые дают возможность через командную строку управлять обменом файлами по Сети.
Стек TCP/IP зародился в результате исследований, профинансирован- ных Управлением перспективных научно-исследовательских разработок ARPA (Advanced Research Project Agency) правительства США в 1970-х го- дах. Этот протокол был разработан с тем, чтобы вычислительные сети иссле- довательских центров во всем мире могли быть объединены в форме вирту- альной "сети сетей" (Internetwork). Первоначальная Internet была создана в результате преобразования существующего конгломерата вычислительных сетей, носивших название ARPAnet, с помощью TCP/IP.
|
Причина, по которой TCP/IP столь важен сегодня, заключается в том, что он позволяет самостоятельным сетям подключаться к Internet или объе- диняться для создания частных интрасетей. Вычислительные сети, состав- ляющие интрасеть, физически подключаются через устройства, называемые маршрутизаторами или IP-маршрутизаторами. Маршрутизатор - это компью- тер, который передает пакеты данных из одной сети в другую. В интрасети, работающей на основе TCP/IP, информация передается в виде дискретных блоков, называемых IP-пакетами (IP packets) или IP-дейтаграммами (IP datagrams). Благодаря программному обеспечению TCP/IP все компьютеры, подключенные к вычислительной сети, становятся “близкими родственника- ми”. По существу оно скрывает маршрутизаторы и базовую архитектуру се- тей и делает так, что все это выглядит как одна большая сеть. Точно так же, как подключения к сети Ethernet распознаются по 48-разрядным идентифика-
торам Ethernet, подключения к интрасети идентифицируются 32-разрядными IP-адресами, которые мы выражаем в форме десятичных чисел, разделенных точками (например, 128.10.2.3). Взяв IP-адрес удаленного компьютера, ком- пьютер в интрасети или в Internet может отправить данные на него, как будто они составляют часть одной и той же физической сети.
TCP/IP дает решение проблемы данными между двумя компьютерами, подключенными к одной и той же интрасети, но принадлежащими различ- ным физическим сетям. Решение состоит из нескольких частей, причем каж- дый член семейства протоколов TCP/IP вносит свою лепту в общее дело. IP - самый фундаментальный протокол из комплекта TCP/IP - передает IP- дейтаграммы по интрасети и выполняет важную функцию, называемую мар- шрутизацией, по сути дела это выбор маршрута, по которому дейтаграмма будет следовать из пункта А в пункт B, и использование маршрутизаторов для “прыжков” между сетями.
|
TCP - это протокол более высокого уровня, который позволяет при- кладным программам, запущенным на различных главных компьютерах сети, обмениваться потоками данных. TCP делит потоки данных на цепочки, кото- рые называются TCP-сегментами, и передает их с помощью IP. В большин- стве случаев каждый TCP-сегмент пересылается в одной IP-дейтаграмме. Однако при необходимости TCP будет расщеплять сегменты на несколько IP- дейтаграмм, вмещающихся в физические кадры данных, которые используют для передачи информации между компьютерами в сети. Поскольку IP не га- рантирует, что дейтаграммы будут получены в той же самой последователь- ности, в которой они были посланы, TCP осуществляет повторную “сборку” TCP-сегментов на другом конце маршрута, чтобы образовать непрерывный поток данных. FTP и Telnet - это два примера популярных прикладных про- грамм TCP/IP, которые опираются на использование TCP.
Другой важный член комплекта TCP/IP - UDP (User Datagram Protocol - протокол пользовательских дейтаграмм), который похож на TCP, но более примитивен. TCP – “надежный” протокол, потому что он обеспечивает про-
верку на наличие ошибок и обмен подтверждающими сообщениями, чтобы данные достигали своего места назначения заведомо без искажений. UDP – “ненадежный” протокол, ибо не гарантирует, что дейтаграммы будут прихо- дить в том порядке, в котором были посланы, и даже того, что они придут вообще. Если надежность - желательное условие, для его реализации потре- буется программное обеспечение. Но UDP по-прежнему занимает свое место в мире TCP/IP, и используется во многих программах. Прикладная програм- ма SNMP (Simple Network Management Protocol - простой протокол управле- ния сетями), реализуемый во многих воплощениях TCP/IP, - это один из примеров программ UDP.
Другие TCP/IP протоколы играют менее заметные, но в равной степени важные роли в работе сетей TCP/IP. Например, протокол определения адре- сов ARP (Address Resolution Protocol) преобразует IP-адреса в физические се- тевые адреса, такие, как идентификаторы Ethernet. Родственный протокол - протокол обратного преобразования адресов RARP (Reverse Address Resolution Protocol) - выполняет и обеспечивает обратное действие, преобра- зуя физические сетевые адреса в IP-адреса. Протокол управления сообще- ниями Internet ICMP (Internet Control Message Protocol) представляет собой протокол сопровождения, который использует IP для обмена управляющей информацией и контроля над ошибками, относящимися к передаче пакетов IP. Например, если маршрутизатор не может передать IP-дейтаграмму, он использует ICMP, с тем чтобы информировать отправителя, что возникла проблема.
Стек TCP/IP сегодня представляет собой один из самых распростра- ненных стеков транспортных протоколов вычислительных сетей. Стреми- тельный рост популярности Internet привел и к изменениям в расстановке сил в мире коммуникационных протоколов - протоколы TCP/IP, на которых по- строен Internet, стали быстро теснить бесспорного лидера прошлых лет - стек IPX/SPX компании Novell. Сегодня общемировое количество компьютеров, на которых установлен стек TCP/IP, намного больше общего количества
компьютеров, на которых работает стек IPX/SPX, и это говорит о резком пе- реломе в отношении администраторов локальных сетей к протоколам, ис- пользуемым на настольных компьютерах, так как именно они составляют подавляющее число мирового компьютерного парка и именно на них раньше почти везде работали протоколы компании Novell, необходимые для доступа к файловым серверам NetWare. Процесс становления стека TCP/IP стеком номер один в любых типах сетей продолжается и сейчас любая промышлен- ная операционная система обязательно включает программную реализацию этого стека в своем комплекте поставки.
Хотя протоколы TCP/IP неразрывно связаны с Internet, и каждый из многомиллионной армады компьютеров Internet работает на основе этого стека, однако, существует большое количество локальных, корпоративных и территориальных сетей, непосредственно не являющихся частями Internet, которые также используют протоколы TCP/IP. Чтобы отличать их от Internet, эти сети называют сетями TCP/IP или просто IP-сетями.
Локальные и корпоративные сети все шире используют протоколы TCP/IP для передачи своего внутреннего трафика. До недавнего времени это были в основном сети, построенные на основе операционной системы Unix. Причина заключалась в исторической связи Unix и TCP/IP - впервые прото- колы стека TCP/IP были реализованы в среде UnixBSD в университете Berkeley. Однако сейчас, когда протоколы TCP/IP имеются в каждой сетевой операционной системе, появились локальные сети TCP/IP и на основе других операционных систем, например, Windows NT, Windows 9X, Windows XP, OS/2 Warp или NetWare. Конечно, одной из очевидных причин использова- ния стека TCP/IP в локальных и корпоративных сетях является легкость при- соединения таких сетей к Internet при первой необходимости. Однако, гиб- кость и открытость стека сами по себе являются достаточно вескими причи- нами для использования протоколов TCP/IP в автономных локальных и кор- поративных сетях.
Параллельно с Internet существуют и другие публичные территориаль- ные сети, работающие на основе протоколов TCP/IP. Публичные IP-сети пре- доставляют заказчику более высокий уровень сервиса по сравнению с Internet
- более низкий уровень задержек пакетов, защиту от несанкционированного доступа, высокий коэффициент готовности. С помощью сервисов публичных IP-сетей предприятие может строить транспортную магистраль своей корпо- ративной сети, не подвергая себя риску атак многочисленных хакеров, рабо- тающих и живущих в Internet.
§ 3.3.2. Виртуальные сети
Идеальным вариантом для корпоративной сети было бы создание кана- лов связи только на тех участках, где это необходимо, и передача по ним лю- бых сетевых протоколов, которых требуют работающие приложения. На пер- вый взгляд, это возврат к арендованным линиям связи, однако, существуют технологии построения сетей передачи данных, позволяющие организовать внутри них каналы, возникающие только в нужное время и в нужном месте. Такие каналы называются виртуальными. Систему, объединяющую удален- ные ресурсы с помощью виртуальных каналов, естественно назвать вирту- альной сетью. На сегодня существуют две основных технологии виртуаль- ных сетей - сети с коммутацией каналов и сети с коммутацией пакетов. К первым относятся обычная телефонная сеть, ISDN и ряд других, более экзо- тических технологий. Сети с коммутацией пакетов представлены техноло- гиями X.25, Frame Relay и - в последнее время - ATM. Говорить об исполь- зовании ATM в территориально распределенных сетях пока рано. Остальные типы виртуальных (в различных сочетаниях) сетей широко используются при построении корпоративных информационных систем.
Сети с коммутацией каналов обеспечивают абоненту несколько кана- лов связи с фиксированной пропускной способностью на каждое подключе- ние. Хорошо нам знакомая телефонная сеть дает один канал связи между абонентами. При необходимости увеличить количество одновременно дос-
тупных ресурсов приходится устанавливать дополнительные телефонные номера, что обходится очень недешево. Даже если забыть о низком качестве связи, то ограничение на количество каналов и большое время установления соединения не позволяют использовать телефонную связь в качестве основы корпоративной сети. Для подключения же отдельных удаленных пользовате- лей это достаточно удобный и часто единственный доступный метод. Следу- ет только иметь в виду, что доступ к ISDN в нашей стране пока скорее ис- ключение, чем правило.
Альтернативой сетям с коммутацией каналов являются сети с комму- тацией пакетов. При использовании пакетной коммутации один канал связи используется в режиме разделения времени многими пользователями - при- мерно так же, как и в Internet. Однако, в отличие от сетей типа Internet, где каждый пакет маршрутизируется отдельно, сети пакетной коммутации перед передачей информации требуют установления соединения между конечными ресурсами. После установления соединения сеть "запоминает" маршрут (вир- туальный канал), по которому должна передаваться информация между або- нентами и помнит его, пока не получит сигнала о разрыве связи. Для прило- жений, работающих в сети пакетной коммутации, виртуальные каналы вы- глядят как обычные линии связи - с той только разницей, что их пропускная способность и вносимые задержки меняются в зависимости от загруженности сети.
§ 3.3.3. Сети на основе протокола X.25
Классической технологией коммутации пакетов является протокол X.25. Сейчас принято морщить при этих словах нос и говорить: “это дорого, медленно, устарело и не модно”. Действительно, на сегодня практически не существует сетей X.25, использующих скорости выше 128 Кбит/сек. Прото- кол X.25 включает мощные средства коррекции ошибок, обеспечивая надеж- ную доставку информации даже на плохих линиях и широко используется там, где нет качественных каналов связи. В нашей стране их нет почти по-
всеместно. Естественно, за надежность приходится платить - в данном случае быстродействием оборудования сети и сравнительно большими - но предска- зуемыми - задержками распространения информации. В то же время X.25 - универсальный протокол, позволяющий передавать практически любые типы данных.
Другая стандартная возможность сетей X.25 - связь через обычные асинхронные COM-порты. Образно говоря, сеть X.25 удлиняет кабель, под- ключенный к последовательному порту, донося его разъем до удаленных ре- сурсов. Таким образом, практически любое приложение, допускающее обра- щение к нему через COM-порт, может быть легко интегрировано в сеть X.25. В качестве примеров таких приложений следует упомянуть не только терми- нальный доступ к удаленным хост-компьютерам, но и электронную почту.
Сегодня в мире насчитываются десятки глобальных сетей X.25 общего пользования, их узлы имеются практически во всех крупных деловых, про- мышленных и административных центрах. В России услуги X.25 предлагают Спринт Сеть, Infotel, Роспак, Роснет, Sovam Teleport и ряд других поставщи- ков. Кроме объединения удаленных узлов в сетях X.25 всегда предусмотрены средства доступа для конечных пользователей. Для того, чтобы подключить- ся к любому ресурсу сети X.25 пользователю достаточно иметь компьютер с асинхронным последовательным портом и модем. При этом не возникает проблем с авторизацией доступа в географически удаленных узлах. Таким образом, если ваш ресурс подключен к сети X.25, вы можете получить дос- туп к нему как с узлов вашего поставщика, так и через узлы других сетей - то есть практически из любой точки мира.
С точки зрения безопасности передачи информации, сети X.25 предос- тавляют ряд весьма привлекательных возможностей. Прежде всего, благода- ря самой структуре сети, стоимость перехвата информации в сети X.25 ока- зывается достаточно велика, чтобы уже служить неплохой защитой. Пробле- ма несанкционированного доступа также может достаточно эффективно ре- шаться средствами самой сети.
Недостатком технологии X.25 является наличие ряда принципиальных ограничений по скорости. Первое из них связано именно с развитыми воз- можностями коррекции и восстановления. Эти средства вызывают задержки передачи информации и требуют от аппаратуры X.25 большой вычислитель- ной мощности и производительности, в результате чего она просто “не успе- вает” за быстрыми линиями связи. Хотя существует оборудование, имеющее двухмегабитные порты, реально обеспечиваемая им скорость не превышает
250 - 300 Кбит/с на порт. С другой стороны, для современных скоростных линий связи средства коррекции X.25 оказываются избыточными и при их использовании мощности оборудования часто работают вхолостую.
Вторая особенность, заставляющая рассматривать сети X.25 как мед- ленные, состоит в особенностях инкапсуляции протоколов LAN (в первую очередь IP и IPX). При прочих равных условиях связь локальных сетей по X.25 оказывается, в зависимости от параметров сети, на 15-40 процентов медленнее, чем при использовании HDLC по выделенной линии. Причем, чем хуже линия связи, тем выше потери производительности. Мы снова име- ем дело с очевидной избыточностью: протоколы LAN имеют собственные средства коррекции и восстановления (TCP, SPX), однако при использовании сетей X.25 приходится делать это еще раз, теряя скорость. Именно на этих основаниях сети X.25 объявляются медленными и устаревшими. Но прежде чем говорить о том, что какая-либо технология является устаревшей, следует указать - для каких применений и в каких условиях. На линиях связи невысо- кого качества сети X.25 вполне эффективны и дают значительный выигрыш по цене и возможностям по сравнению с выделенными линиями. С другой стороны, даже если рассчитывать на быстрое улучшение качества связи - не- обходимое условие устаревания X.25 - то и тогда вложения в аппаратуру X.25 не пропадут, поскольку современное оборудование включает возмож- ность перехода к технологии Frame Relay.
§ 3.3.4. Сети Frame Relay
Технология Frame Relay появилась как средство, позволяющее реали- зовать преимущества пакетной коммутации на скоростных линиях связи. Ос- новное отличие сетей Frame Relay от X.25 состоит в том, что в них исключе- на коррекция ошибок между узлами сети. Задачи восстановления потока ин- формации возлагаются на оконечное оборудование и программное обеспече- ние пользователей. Естественно, это требует использования достаточно каче- ственных каналов связи.
Вторым отличием сетей Frame Relay является то, что на сегодня прак- тически во всех них реализован механизм, позволяющий подключатся к пор- ту Frame Relay только после предворительного определения удаленных ре- сурсов, к которым будет доступ. Принцип пакетной коммутации - множество независимых виртуальных соединений в одном канале связи - здесь остается, однако вы не можете выбрать адрес любого абонента сети. Все доступные вам ресурсы определяются при настройке порта. Таким образом, на базе тех- нологии Frame Relay удобно строить замкнутые виртуальные сети, исполь- зуемые для передачи других протоколов, средствами которых осуществляет- ся маршрутизация. “Замкнутость” виртуальной сети означает, что она полно- стью недоступна для других пользователей, работающих в той же сети Frame Relay. Например, в США сети Frame Relay широко применяются в качестве опорных для работы Internet. Однако ваша частная сеть может использовать виртуальные каналы Frame Relay в тех же линиях, что и трафик Inernet - и быть абсолютно от него изолированной.
Отсутствие коррекции ошибок и сложных механизмов коммутации па- кетов, характерных для X.25, позволяют передавать информацию по Frame Relay с минимальными задержками. Дополнительно возможно включение механизма приоретизации, позволяющего пользователю иметь гарантиро- ванную минимальную скорость передачи информации для виртуального ка- нала. Такая возможность позволяет использовать Frame Relay для передачи критичной к задержкам информации, например голоса и видео в реальном времени. Эта сравнительно новая возможность приобретает все большую по-
пулярность и часто является основным аргументом при выборе Frame Relay
как основы корпоративной сети.
Существуют также частные сети Frame Relay, работающие в пределах одного города или использующие междугородние - как правило, спутнико- вые - выделенные каналы. Построение частных сетей на базе Frame Relay по- зволяет сократить количество арендуемых линий и интегрировать передачу голоса и данных.
§ 3.3.5. Структура корпоративной сети
При построении территориально распределенной сети могут использо- ваться все описанные выше технологии. Для подключения удаленных поль- зователей самым простым и доступным вариантом является использование телефонной связи. Там, где это возможно, могут использоваться сети ISDN. Для объединения узлов сети в большинстве случаев используются глобаль- ные сети передачи данных. Даже там, где возможна прокладка выделенных линий (например, в пределах одного города) использование технологий па- кетной коммутации позволяет уменьшить количество необходимых каналов связи и - что немаловажно - обеспечить совместимость системы с сущест- вующими глобальными сетями.
Подключение корпоративной сети к Internet оправдано, если нужен доступ к соответствующим услугам. Использовать Internet как среду переда- чи данных стоит только тогда, когда другие способы недоступны и финансо- вые соображения перевешивают требования надежности и безопасности. Ес- ли необходимо использовать Internet только в качестве источника информа- ции, лучше пользоваться технологией “соединение по запросу” (dial-on- demand). Это резко снижает риск несанкционированного проникновения в сеть извне. Простейший способ обеспечить такое подключение - использо- вать дозвон до узла Internet по телефонной линии или, если возможно, через ISDN. Другой, более надежный способ обеспечить соединение по запросу - использовать выделенную линию и протокол X.25 или - что гораздо предпоч-
тительнее - Frame Relay. В этом случае маршрутизатор должен быть настроен так, чтобы разрывать виртуальное соединение при отсутствии данных в тече- ние определенного времени и вновь устанавливать его только тогда, когда появляются данные. Если необходимо предоставлять свою информацию в Internet - например, установить WWW или FTP сервер, соединение по запро- су оказывается неприменимым. В этом случае следует не только использо- вать ограничение доступа с помощью Firewall, но и максимально изолиро- вать сервер Internet от остальных ресурсов. Хорошим решением является ис- пользование единственной точки подключения к Internet для всей территори- ально распределенной сети, узлы которой связаны друг с другом с помощью виртуальных каналов X.25 или Frame Relay. В этом случае доступ из Internet возможен к единственному узлу, пользователи же в остальных узлах могут попасть в Internet с помощью соединения по запросу.
Для передачи данных внутри корпоративной сети также стоит исполь- зовать виртуальные каналы сетей пакетной коммутации. Основные достоин- ства такого подхода - универсальность, гибкость, безопасность - были под- робно рассмотрены выше. На сегодня затраты при использовании Frame Relay для междугородной связи оказываются в несколько раз выше, чем для сетей X.25. С другой стороны, более высокая скорость передачи информации и возможность одновременно передавать данные и голос могут оказаться решающими аргументами в пользу Frame Relay. Для подключения удален- ных пользователей к корпоративной сети могут использоваться узлы доступа сетей X.25, а также собственные коммуникационные узлы. В последнем слу- чае требуется выделение нужного количества телефонных номеров (или ка- налов ISDN), что может оказаться слишком дорого. Если нужно обеспечить подключение большого количества пользователей одновременно, то более дешевым вариантом может оказаться использование узлов доступа сети X.25, даже внутри одного города.