Метод передачи маркера относится к селективным детерминированным одноранговым методам доступа. Сети с шинной топологией, использующие передачу маркера, называются сетями типа “маркерная шина” (token bus), а кольцевые сети – сетями типа “маркерное кольцо” (token ring).
В сетях типа “маркерная шина” маркер представляет собой кадр, содержащий поле адреса, в которое записывается адрес узла, которой предоставляется право доступа к среде передачи. После передачи кадра данных, передающий узел записывает в маркер адрес следующего узла и выдает маркер в канал.
Сети типа “маркерное кольцо”, являясь сетями с кольцевой топологией, обладают последовательной конфигурацией: каждая пара узлов связана отдельным каналом, а для функционирования сети необходимо функционирование всех узлов. В таких сетях маркер не содержит адреса узла, которому разрешена передача, а содержит только поле занятости, которое может содержать одно из двух значений: “занят” и “свободен”. Когда узел, имеющий данные для передачи, получает свободный маркер, он меняет состояние маркера на “занят”, а затем передает в канал маркер и свой кадр данных. Станция-получатель, распознав свой адрес в кадре данных, считывает предназначенные ей данные, но не меняет состояния маркера. Изменяет состояние маркера на “свободен” (после полного оборота маркера с кадром данных по кольцу) тот узел, который его занял. Кадр данных при этом удаляется из кольца. Узел не может повторно использовать маркер для передачи другого кадра данных, а должен передать свободный маркер дальше по кольцу и дождаться его получения после одного или нескольких оборотов.
Равноранговые приоритетные системы включают приоритетные слотовые системы, системы с контролем несущей без коллизий и системы с передачей маркера с приоритетами.
Приоритетные слотовые системы подобны системам с мультиплексной передачей с временным разделением, но выдача слотов происходит с учетом приоритетов узлов. Критериями для установления приоритетов могут являться: предшествующее владение слотом, время ответа, объем передаваемых данных и др.
Системы с контролем несущей без коллизий (CSMA/CA, Carrier Sense Multiple Access/Collision Avoidance) отличаются от систем с обнаружением коллизий наличием у узлов таймеров, определяющих безопасные моменты передачи. Длительности таймеров устанавливаются в зависимости от приоритетов узлов: станции с более высоким приоритетом имеют меньшую длительность таймера.
Приоритетные системы с передачей маркера определяют приоритеты узлов таким образом, что чем меньше номер узла, тем выше его приоритет. Маркер при этом содержит поле резервирования, в которое узел, собирающийся передавать данные, записывает свое значение приоритета. Если в кольце встретится узел с более высоким приоритетом, который тоже имеет данные для передачи, этот узел запишет свое значение приоритета в поле резервирования, чем перекроет предыдущую заявку (сохранив старое значение поля резервирования в своей памяти). Если маркер, поступивший на узел, содержит в поле резервирования значение приоритета данного узла, данный узел может передавать данные. После оборота маркера по кольцу и его освобождения, передававший узел должен восстановить в маркере значение поля резервирования, сохраненное в памяти.
ОСНОВНЫЕ ТИПЫСЕТЕВЫХ УСТРОЙСТВ
Сетевые адаптеры
Сетевые адаптеры предназначены для сопряжения сетевых устройств со средой передачи в соответствии с принятыми правилами обмена информации. Сетевым устройством может быть компьютер пользователя, сетевой сервер, рабочая станция и т.д. Набор выполняемых сетевым адаптером функций зависит от конкретного сетевого протокола. Ввиду того, что сетевой адаптер в физическом, и в логическом смысле находится между устройством и сетевой средой, его функции можно разделить на функции сопряжения с сетевым устройством и функции обмена с сетью.
Сетевые функции могут перераспределяться между адаптером и компьютером. Чем больше функций выполняет компьютер, тем проще функциональная схема адаптера. К основным сетевым функциям адаптера относят:
- Гальваническая развязка с коаксиальным кабелем или витой парой. Наиболее часто для этих целей применяют импульсные трансформаторы. В сети Ethernet (в связи с тем, что для определения конфликтной ситуации используется анализ постоянной составляющей) эта схема несколько усложнена. Иногда для развязки используются оптроны.
- Кодирование и декодирование сигналов. Наиболее часто применяется самосинхронизирующийся манчестерский код;
- Идентификация своего адреса в принимаемом пакете. Физический адрес адаптера может определяться установкой переключателей, храниться в специальном регистре или прошиваться в ППЗУ.
- Преобразование параллельного кода в последовательный код при передаче и обратное преобразование при приеме. В простейшем случае для этих целей используются сдвиговые регистры с параллельным входом и последовательным выходом. Эта функция может быть реализована и программным способом.
- Промежуточное хранение данных и служебной информации в буфере. Использование буфера позволяет возложить функции контроля за сетью на адаптер. При наличии буфера компьютер может не отслеживать момент передачи данных.
- Выявление конфликтных ситуаций и контроль состояния сети. В наибольшей степени эта функция важна в сетях с топологией «шина» и со случайным методом доступа к среде передачи. Возможные конфликты адаптер должен разрешать самостоятельно.
- Подсчет контрольной суммы. Наиболее распространенным способом определения контрольной суммы является вычисление при помощи сдвигового регистра через сумматор по модулю 2 с обратными связями от некоторых разрядов. Места включения обратных связей определяются выбранным полиномом.
- Согласование скоростей пересылки данных компьютером в адаптер или из него со скоростью обмена по сети. При малой скорости обмена в сети компьютеру придется выжидать момент передачи. При большой скорости он может не успевать отправлять свои данные. Адаптер при помощи буфера справляется с этой задачей.
Концентраторы
Основная функция концентратора – повторение каждого полученного сигнала на всех (для Ethernet) или на некоторых портах. Соответственно, наиболее общее название для такого рода устройств – повторитель (repeater). Для 10BaseT Ethernet с топологией “звезда” традиционно используется термин “хаб” (hub). Все эти термины равноправны и взаимозаменяемы. Концентратор работает на физическом уровне модели OSI (поскольку имеет дело с электрическими сигналами, их уровнями, полярностями и т.д.) и на канальном уровне (повторители Ethernet, например, умеют распознавать коллизии), но не выполняет никакого анализа кадров.
К каждому порту концентратора подключаются либо конечные узлы, либо другие концентраторы или другие сетевые устройства, либо (например, в 10Base2 Ethernet) целые физические сегменты кабеля.
Концентратор используется, прежде всего, для увеличения диаметра сети и количества подключенных узлов. Основные технологии локальных сетей допускают использование несколько концентраторов в одной сети, но при некоторых условиях. Например, между любой парой узлов в сети Ethernet может быть не более четырех повторителей (соответственно, максимальный путь включает пять сегментов, причем узлы могут подключаться только к трем из них – так называемое правило “5-4-3”), задержка распространения сигнала между любой парой узлов не должна превышать 25 мкс.
Сеть, построенная на концентраторах, образует единый домен коллизий. Каждый пакет, выданный любой узлом, должен достичь всех остальных узлов, и в это время никакой другой узел не может передавать данные.
С увеличением количества узлов в сети растет частота коллизий, и полезная пропускная способность быстро уменьшается. Для технологий Ethernet приемлемой оказывается нагрузка в 40-50% от максимальной пропускной способности. То есть, пока общий объем передаваемых данных не превышает 40-50% от 10 Мбит/с (для Ethernet), сеть работает нормально, а при росте нагрузки полезная пропускная способность быстро падает. Приемлемое количество узлов в сети, если передаются не мультимедийные данные, лежит около 30.
Конструктивно концентраторы выпускаются в одном из трех вариантов: автономные (standalone), стековые, модульные, модульно-стековые.
Автономные и стековые концентраторы выполняются в виде отдельного корпуса с фиксированным количеством и типом портов (обычно до 24). Все порты, как правило, поддерживают одну среду передачи. Иногда выделяется порт для подключения к магистрали или каскадирования. Стековый концентратор, кроме того, имеет специальный порт для объединения нескольких таких концентраторов в единое устройство – стек концентраторов. Как правило, в стеке участвует до 8 концентраторов (иногда больше). Модульный концентратор состоит из общего шасси и подключаемых к нему модулей. Разные модули могут иметь разное количество портов и поддерживать разные типы физической среды. Как правило, подключение и отключение модуля не требует выключения концентратора. Обычно модульные концентраторы снабжаются дополнительным модулем SNMP-управления, резервными источниками питания и устройствами вентиляции. Модульно-стековые концентраторы представляют собой модульные концентраторы на небольшое количество модулей с дополнительным портом для соединения их в стек.
Концентраторы могут иметь несколько внутренних шин, образуя несколько разделяемых сегментов. Разные порты концентратора связываются (как правило, не аппаратно, а с помощью программного управления) с разными сегментами. Сами сегменты никак друг с другом не связываются. Такой концентратор называется многосегментным, его способность программно назначать принадлежность портов к сегментам называется конфигурационной коммутацией (configuration switching). Когда необходимо соединить эти сегменты, применяют мосты, коммутаторы или маршрутизаторы. Развитием многосегментных концентраторов стали коммутирующие концентраторы, имеющие внутренний мост, связывающий сегменты.
Для подключения к сети удаленных групп могут быть использованы концентраторы с дополнительным волоконно-оптическим портом. Существует три разновидности реализации такого порта: вставляемые в гнездо расширения slide-in – микротрансивер, встраиваемый в гнездо разъема AUI навесной микротрансивер и постоянный оптический порт. Оптические концентраторы применяются в качестве центрального устройства распределенной сети с большим количеством отдельных удаленных рабочих станций и небольших рабочих групп. Порты такого концентратора выполняют функции усилителей и осуществляют полную регенерацию пакетов. Существуют концентраторы с фиксированным количеством подключаемых сегментов, но некоторые типы концентраторов имеют модульную конструкцию, что позволяет гибко подстраиваться к существующим условиям. Чаще всего концентраторы и репитеры представляют собой автономные блоки, с отдельным питанием.
Мосты
Мостом называется устройство, которое служит для связи между локальными сетями. Мосты передают кадры из одной сети в другую. Мосты имеют гораздо болеешь функциональных возможностей чем концентраторы. Мосты достаточно интеллектуальны, так что не повторяют шумы сети, ошибки или испорченные кадры. Для каждой соединяемой сети мост является абонентом (узлом сети).
Мост принимает кадр, запоминает его в своей буферной памяти, анализирует адрес назначения кадра. Если кадр принадлежит к сети, из которой он получен, мост не должен на этот кадр реагировать. Если кадр нужно переслать в другую сеть, он туда и отправляется. Доступ к среде передачи осуществляется с теми же правилами, что и для обычного узла.
По принадлежности к разным типам сетей различают глобальные и локальные мосты.
По алгоритму работы мосты делятся на мосты с «маршрутизацией от источника» (Source Routing) и на «прозрачные» (transparent) мосты.
Алгоритм «маршрутизации от источника» принадлежит фирме IBM и предназначен для описания прохождения кадров через мосты в сетях Token Ring. В этой сети мосты могут не содержать адресную базу данных. Они вычисляют маршрут прохождения кадра, исходя из информации, хранящейся в полях самого кадра. Узел сети, которому необходима связь с другим узлом, посылаем ему специальный кадр-исследователь (Explorer Frame). Этот кадр содержит специальный идентификатор, предназначенный для мостов, с алгоритмом «маршрутизация от источника». После получения такого кадра, мост записывает информацию о направлении, с которого был получен кадр, и свое собственное имя в специальное поле в кадре, которое называется разделом записи о маршруте (Rout Information Field). После этого мост передает кадр по всем доступным ему направлениям, за исключением того с которого был принят кадр. В результате возникает множество копий одного и того же кадра-исследователя. К узлу, который должен получить пакет, приходят сразу несколько копий кадра – одна на каждый возможный маршрут. При этом каждый полученный кадр-исследователь содержит записи о мостах, через которые он проходил. После получения всех кадров-исследователей узел выбирает один из возможных маршрутов и отправляет ответ узлу-отправителю. Как правило, выбирается тот маршрут, по которому пришел первый кадр-исследователь, так как он, вероятно, является самым быстрым (время прохождения кадра исследователя минимально). В ответе содержится полная информация о маршруте, по которому должны отправляться все остальные кадры. После определения маршрута узел-отправитель использует этот маршрут достаточно длительное время при посылке пакетов получателю.
Термин «прозрачные» мосты объединяет большую группу устройств. Если рассматривать устройства этой группы с точки зрения решаемых ими задач, то ее можно разделить на три основные подгруппы:
- Прозрачные мосты (transparent bridges) объединяют сети с едиными протоколами физического и канального уровней модели OSI.
- Транслирующие мосты (translating bridge) объединяют сети с различными протоколами канального и физического уровней.
- Инкапсулирующие мосты (encapsulating bridge) соединяют сети с едиными протоколами канального и физического уровня через сети с другими протоколами.
Прозрачные мосты наиболее широко распространены. Для этих мостов локальная сеть представляется как набор МАС-адресов устройств, работающих в сети. Мосты просматривают эти адреса для принятия решения о дальнейшей передаче кадра. Для анализа кадр записывается во внутренний буфер моста. Мосты не работают с информацией, относящейся к сетевому уровню. Они ничего не знают о топологии связей сегментов или сетей между собой. Поэтому мосты совершенно прозрачны для протоколов, начиная с сетевого уровня и выше. Мосты позволяют объединить несколько локальных сетей в единую логическую сеть. Соединяемые локальные сети образуют логические сегменты такой сети.
При прохождении кадра через прозрачный мост происходит его регенерация и трансляция с одного порта на другой. Прозрачные мосты учитывают и адрес отправителя, и адрес получателя, которые берутся из получаемых кадров локальных сетей. Адрес отправителя необходим мосту для автоматического построения базы данных адресов устройств. Эта база данных называется так же МАС-таблицей, в ней устанавливается соответствие адреса станции определенному порту моста.
Все порты моста работают в так называемом «неразборчивом режиме» захвата кадров. Этот режим характерен тем, что все поступающие кадры сохраняются в буферной памяти моста. В этом режиме мост следит за всем трафиком, который передается в подключенных к нему сегментах. Мост использует проходящие через него кадры для изучения топологии сети.
Основные принципы работы моста: обучение, фильтрация, передача и широковещание. После получения кадров, мост проверяет их целостность при помощи контрольных сумм. Неправильные кадры при этом отбрасываются. После успешной проверки мост сравнивает адрес отправителя с имеющимися в базе данных адресами. Если адрес отправителя еще не заносился в базу данных, то он добавляется в нее. В результате мост знает адреса устройств в сети и таким образом происходит процесс его обучения. Благодаря способности моста к обучению, в сети могут появляться новые устройства без реконфигурации моста.
Кроме адреса отправителя мост анализирует еще и адрес получателя. Этот анализ необходим для принятия решения о дальнейшем пути передачи кадра. Мост сравнивает адрес получателя кадра с адресами, хранящимися в базе данных. Если адрес получателя принадлежит тому же сегменту, что и адрес отправителя, то мост не пропускает такой кадр в другой сегмент, или, иными словами, «фильтрует» этот кадр. Эта операция помогает предохранить сегменты от ненужного трафика. Если адрес получателя присутствует в базе данных и принадлежит другому сегменту, то мост определяет, какой из его портов связан с данным сегментом. После получения доступа к среде передачи этого сегмента мост передает в него кадр. Такой процесс иногда называют продвижением.
Если запись о каком-либо адресе получателя отсутствует в базе данных или этот адрес является широковещательным, мост передает кадр на все свои порты, за исключением порта, принявшего кадр. Такой процесс называется широковещанием (broadcasting) или затоплением (flooding) сети. Широковещание гарантирует, что кадр будет доставлен во все сегменты сети и, естественно, получателю.
Так как рабочие станции могут переносить из одного сегмента в другой, мосты должны периодически обновлять содержимое своих баз данных. В этой связи все записи в базе данных делятся на два типа - статические и динамические. С каждой динамической записью связан таймер неактивности. При получении кадра с адресом отправителя, который соответствует определенной записи в адресной базе, таймер неактивности сбрасывается в исходное состояние. Если какая-либо станция долгое время не посылает кадры, таймер неактивности, по истечению определенного промежутка времени удаляет этот адрес из базы данных. Определение оптимального времени неактивности может быть достаточно трудной задачей.
Мосты могут поддерживать и дополнительный сервис. Они предоставляют настраиваемые фильтры, улучшенную защиту данных и обработку кадров по классам.
Настраиваемые фильтры позволяют администратору сети производить фильтрацию на основе любого компонента кадра, например, протокола верхнего уровня, адреса отправителя и получателя, тип кадра или даже информационной его части. Настраиваемые фильтры позволяют эффективно разделить сеть, или блокировать электронную почту для определенных адресов. Блокировка на основе адресов является основой защиты сети. Запрещая передачy кадров, для определенных адресов отправителей и получателей системный администратор может ограничить доступ к определенным ресурсам сети. Настраиваемые фильтры могут запретить прохождение пакетов определенных протоколов через некоторые интерфейсы. Применяя оба этих метода одновременно, администратор сети может изолировать отдельные устройства или сегменты сети от кадров определенного типа.
Обработка по классам позволяет администраторам назначать приоритеты прохождения кадров по сети. Администратор может регулировать пропускную способность, направляя кадры в различные очереди обработки. Обслуживание по классам очень эффективно на низкоскоростных линиях и для приложений с неодинаковыми требованиями к уровню задержки.
Мосты, как прозрачные, так и с маршрутизацией от источника, работают на МАС-подуровне канального уровня модели OSI. Необходимо отметить, что маршрутизация от источника означает в общем смысле способ (алгоритм) поиска абонента в сети.
Коммутаторы
Коммутатор (switch) функционально представляет собой высокоскоростной многопортовый мост, способный одновременно связывать несколько узлов на максимальной скорости, обеспечиваемой средой передачи. Часто коммутаторы используются для сегментации – уменьшения размеров доменов коллизий. Фактически, коллизии преобразуются в очереди кадров внутри коммутатора. Предельный случай сегментации – микросегментация – достигается при подключении к каждому порту коммутатора единственного узла, тогда домен коллизий состоит только из узла и порта коммутатора (дуплексный режим позволяет вообще исключить коллизии при микросегментации).
Коммутаторы работают в одном из трех режимов:
1. Коммутация с буферизацией (store-and-forward): каждый кадр целиком замещается в буферной памяти коммутатора, затем проверяется его контрольная сумма, определяется порт назначения, ожидается освобождение порта, и производится передача кадра. Этот способ гарантирует фильтрацию ошибочных и отсеченных коллизией кадров. Основной недостаток – большая задержка передачи, достигающая нескольких миллисекунд на кадр.
2. Коммутация “на лету” (cut-through): кадр передается в порт назначения сразу после приема адреса получателя (в Ethernet – первые 6 байт заголовка кадра). Если в этот момент порт назначения занят, коммутатор обрабатывает пакет в режиме с буферизацией. Коммутация на лету вносит минимально возможную задержку – 11.2 мкс для Ethernet, однако при этом передаются все кадры – в том числе и ошибочные.
3. Бесфрагментная коммутация (fragment-free): коммутатор буферизует первые 64 байта кадра, и, если кадр не длиннее 64 байт, то коммутатор обрабатывает его в режиме с буферизацией. Если кадр длинный, то он передается в порт назначения, как в режиме “на лету”.
Большинство коммутаторов низшего и среднего уровня реализуют только режим коммутации с буферизацией. Коммутация “на лету” характерна для магистральных высокоскоростных коммутаторов, где минимальная задержка передачи гораздо важнее распространения кадров с ошибками. Коммутаторы верхнего уровня иногда используют технологию адаптивной коммутации: сначала все порты работают в режиме “на лету”, затем порты, через которые приходит много кадров с ошибками переводятся в бесфрагментный режим, а если это не помогает отфильтровать ошибочные кадры (в случае длинных пакетов с ошибками), то такие порты переводятся в режим коммутации с буферизацией.
Для достижения высокой производительности (необходимой для одновременного обслуживания всех портов) каждый порт коммутатора, как правило, снабжается отдельным процессором, обычно представляющим собой специализированную микросхему (ASIC), оптимизированную для выполнения функций коммутации. Центральный узел, связывающий процессоры отдельных портов, строится на основе одной из трех схем (применяются и комбинированные варианты):
- коммутационная матрица,
- разделяемая многовходовая память,
- общая шина.
Коммутационная матрица представляет собой комбинационную схему, состоящую, например, из управляемых переключателей, в зависимости от заданного номера порта назначения, соединяющих свой вход с одним из своих выходов. Таким образом, коммутационная матрица физически коммутирует каналы связи между портами, обеспечивая наиболее быстрый способ связи процессоров портов. Основной недостаток коммутационной матрицы – ограниченное число портов в таких коммутаторах (сложность схемы матрицы возрастает пропорционально квадрату числа портов). Кроме того, при использовании коммутационной матрицы необходимо, чтобы каждый порт мог самостоятельно буферизовать входящие кадры, иначе, за время возможного ожидания освобождения выходного порта, кадры могут быть потеряны.
Разделяемая многовходовая память позволяет увеличивать количество портов коммутатора без усложнения его схемы. Процессоры портов для передачи данных друг другу используют общую память. Переключение входа и выхода памяти осуществляет специальный блок управления, который организует по очереди данных для каждого выходного порта. По запросу входного порта блок управления подключает его к входу требуемой очереди, а процессор порта записывает в нее данные кадра. При появлении полных кадров в очередях, блок управления поочередно подключает выходные порты к своим очередям для считывания кадров для передачи.
Процессоры портов в коммутаторах с общей шиной снабжаются, с одной стороны, модулями арбитража доступа к шине, а с другой стороны – фильтрами, отбирающими передающиеся по шине ячейки, предназначенные данному порту. Кадр в таких коммутаторах передается по шине не целиком, а небольшими частями – ячейками, что позволяет (вместе с высокой скоростью передачи данных по шине) реализовать псевдопараллельный режим передачи кадров между портами. Для работы без блокировок пропускная способность общей шины должна быть не меньше половины суммы пропускных способностей всех портов.
Сложные коммутаторы, как правило, комбинируют приведенные архитектуры. Например, для модульных концентраторов свойственно использование общей шины для соединения модулей, в то время, как внутри каждого модуля (обычно не более 12 портов) реализуется наиболее быстрая архитектура – коммутационная матрица.
В зависимости от варианта конструкции, различают:
- автономные (standalone) коммутаторы,
- стековые коммутаторы,
- модульные коммутаторы на основе шасси.
Первые два варианта имеют фиксированное число (обычно 8,16,24, редко до 30) и тип портов, которые не могут быть изменены. Автономные коммутаторы применяются на уровне рабочих групп. Стековые коммутаторы отличаются от автономных наличием дополнительного (стекового) интерфейса, позволяющего объединять несколько таких коммутаторов в систему, работающую, как единый коммутатор – стек коммутаторов. Как правило, количество коммутаторов в стеке не превышает четырех (пропускная способность стекового интерфейса лежит в пределах 200-400 Мбит/с).
Стековые коммутаторы применяются в сетях, где емкости автономного коммутатора уже недостаточно (количество узлов больше 30), а установка значительно более дорогого модульного коммутатора неоправданна. Модульные коммутаторы на основе шасси позволяют подключать необходимое количество разнотипных модулей, часто с возможностью их замены без выключения коммутатора (hot swap). Количество портов в таких коммутаторах может превышать 100. Как правило, модульные коммутаторы используются в качестве магистральных.
В сетях Ethernet/Fast Ethernet часто используется сетевое устройство промежуточного типа – коммутирующий концентратор (switching hub), представляющий собой двухсегментный концентратор (один сегмент – Ethernet, другой – Fast Ethernet), сегменты которого соединены двухпортовым мостом. В результате все Ethernet-станции, подключенные к нему, образуют один домен коллизий, а все Fast Ethernet-станции – второй домен коллизий. Соединения же между станциями разных сегментов обслуживаются мостом. Такие устройства, как правило, дешевле, чем полноценные коммутаторы. Наиболее эффективно они используются при наличии большинства Ethernet-станций и высокоскоростном (Fast Ethernet) подключении одного-двух серверов. Поскольку все высокоскоростные узлы образуют один домен коллизий, то при увеличении их количества производительность сети будет падать.
Брандмауэры
Брандмауэр можно определить как набор аппаратно-программных средств, предназначенных для предотвращения доступа в сеть извне и за контролем над данными, поступающими в сеть и исходящими из нее. Брандмауэры получили всеобще признание с начала 1990-х годов, что связанно, в основном, с быстрым развитием сети Internet. Начиная с этого времени, разработано и используется на практике большое количество продуктов, называемых брандмауэрами. Брандмауэры могут защищать корпоративную сеть от НСД из Internet или из другой корпоративной сети.
Брандмауэр устанавливается на границе защищаемой сети, и фильтрует все входящие и исходящие данные, пропуская только разрешенные пакеты и предотвращая попытки проникновения в сеть. Правильно настроенный брандмауэр пропустит (или не пропустит) конкретный пакет и позволит (или не позволит) организовать конкретный сеанс связи в соответствии с установленными правилами. Для эффективной работы брандмауэров важно соблюдение трех условий:
- весь трафик должен проходить через одну точку;
- брандмауэр должен контролировать и регистрировать весь проходящий трафик;
- сам брандмауэр должен быть неприступен для внешних атак;
Если рассматривать работу брандмауэра по отношению к модели OSI, то их условно можно разделить на следующие категории:
- брандмауэры с фильтрацией пакетов (packet-filtering firewall);
- шлюзы сеансового уровня (circuit-level gateway);
- шлюзы прикладного уровня (application-level gateway);
- брандмауэры экспертного уровня (stateful inspection firewall).
Наибольшее распространение получили брандмауэры с фильтрацией пакетов, реализованные на маршрутизаторах, и сконфигурированные таким образом, чтобы фильтровать входящие и исходящие пакеты.
Фильтры пакетов просматривают поля поступающих IP-пакетов, а затем пропускают или удаляют их в зависимости, например, от IP-адресов отправителя и получателя, номеров портов отправителя и получателя протоколов TCP и UDP и других параметров. Фильтры сравнивают полученную информацию со списком правил фильтрации для принятия решения о разрешении или запрещении передачи пакетов. Список правил фильтрации содержит разрешенные IP-адреса, типы протоколов, номера портов отправителей и номера портов получателей. Фильтр пакетов проверяет только заголовок пакета, но не данные внутри него.
Технология фильтрации пакетов является самым «дешевым» способом реализации брандмауэра. Такой брандмауэр может проверять пакеты различных протоколов, причем с большой скоростью, так как он просто просматривает информацию о пакете (заголовок пакета), что бы принять решение о дальнейшей судьбе. Фильтр анализирует пакеты на сетевом уровне и не зависит от используемого приложения. Именно эта «свобода» обеспечивает хорошую производительность.
К недостаткам такого брандмауэра можно отнести возможность идентификации пакетов при имитации IP-адресов и невозможность слежения за конкретным сетевым адресом.
Имитация означает, что если воспользоваться IP-адресом законного пользователя, то можно беспрепятственно проникнуть в защищаемую сеть и получить доступ к ее ресурсам. Фильтр пакетов пропустит этот пакет в сеть вне зависимости от того, откуда инициирован сеанс и кто скрывается за адресом. Существует усовершенствованная версия фильтрации пакетов, которая называется динамической фильтрацией пакетов. При этом анализируется адрес, с которого производится попытка доступа (возможно, затем она будет признана несанкционированной), и производится ping по этому адресу для его проверки. Как легко понять, если внутренний IP-адрес используется извне, то ping не достигнет отправителя пакета. В этом случае попытка доступа будет отвергнута, и сеанс будет установлен. В настоящее время фильтры пакетов заняли достаточно заметное место в системе безопасности сети. Они мало подходят для защиты внешней сети. Но из-за того, что такие фильтры обеспечивают высокую производительность и имеют низкую цену, они хорошо подходят для обеспечения безопасности внутри сети. Организация с их помощью может разбить сеть на сегменты и установить брандмауэр в каждом из сегментов, отделив, таким образом, например, бухгалтерию от отдела продаж.
СЕТИ TOKEN RING И FDDI
Технология Token Ring
Технология Token Ring (маркерное кольцо) была разработана фирмой IBM в конце 1970-х годов. Спецификации IEEE 802.5 практически повторяют фирменные спецификации, отличаясь лишь в некоторых деталях (например, IEEE 802.5 не оговаривает среду передачи и топологию сети, а фирменный стандарт определяет витую вару в качестве среды и звезду в качестве физической топологии). Сети Token Ring могут работать на одной из двух битовых скоростей: 4 Мбит/с (IEEE 802.5) или 16 Мбит/с (IEEE 802.5r). В одном кольце могут присутствовать только станции, работающие на одной скорости.
Token Ring определяет логическую топологию “кольцо”: каждая станция связана с двумя соседними. Физически же станции соединяются в звездообразную сеть, в центре которой находится устройствомногостанционного доступа(MSAU, Multi-Station Access Unit), по сути представляющее собой повторитель. Как правило, MSAU умеет исключать неработающую станцию из кольца (для этого используется шунтирующее реле). MSAU имеют также отдельные разъемы для объединения нескольких MSAU в одно большое кольцо. Максимальное количество станций в кольце – 250 (IEEE 802.5), 260 (IBM Token Ring, кабель STP) и 72 (IBM Token Ring, кабель UTP).
Максимальная длина кольца Token Ring составляет 4000 м.
В конце 1990-х годов компанией IBM разработан новый вариант технологии Token Ring – High Speed Token Ring (HSTR), поддерживающий скорости в 100 и 155 Мбит/с. Ведутся разработки версии Token Ring со скоростью в 1 Гбит/с.
Маркерный метод доступа
Token Ring – это наиболее распространенная технология локальной сети с передачей маркера. В таких сетях циркулирует (передается станциями друг другу в определенном порядке) специальный блок данных – маркер (token). Станция, принявшая маркер, имеет право передавать свои данные. Для этого она изменяет в маркере один бит (“маркер занят”), добавляет к нему свои данные и передает в сеть (следующей станции). Станции передают такой кадр дальше по кольцу, пока не достигнет получателя, который скопирует из него данные и передаст дальше. Когда отправитель получает свой кадр с данными совершивший полный круг, он его отбрасывает и либо передает новый кадр данных (если не истекло максимальное время владения маркером), либо изменяет бит занятости маркера на “свободен” и передает маркер дальше по кольцу.
В течение всего времени обладания маркером, до и после передачи своего кадра, станция должна выдавать заполняющую последовательность (fill sequence) – произвольную последовательность 0 и 1. Это делается для поддержания синхронизации и контроля за обрывом кольца.
Основной режим работы адаптера – повторение: передатчик побитно выдает данные, поступившие к приемнику. Когда у станции есть кадр для передачи и принят свободный маркер, станция переходит в режим передачи, при этом поступающий через приемник битовый поток анализируется на служебные кадры и либо (если обнаружен служебный кадр) инициируется прерывание (прекращение передачи своего кадра и выдача кадра прерывания), либо принятые данные отбрасываются.
В сетях Token Ring 4 Мбит/c станция освобождала маркер только после возвращения ее кадра данных. Сети Token Ring 16 Мбит/c используют алгоритм раннего освобождения маркера (Early Token Release): маркер передается в кольцо сразу по окончании передачи кадра данных. При этом по кольцу одновременно передается несколько кадров данных, но генерировать их в каждый момент времени может только одна станция – владеющая в этот момент маркером.
За правильной работой сети следит активный монитор (Active Monitor, AM), выбираемый во время инициализации кольца как станция с максимальным MAC-адресом. В случае отказа активного монитора, проводятся выборы нового (все станции в сети, кроме активного монитора, считаются резервными мониторами (Standby monitor)). Основная функция активного монитора – контроль наличия единственного маркера в кольце. Монитор выпускает в кольцо маркер и удаляет кадры, прошедшие больше одного оборота по кольцу. Чтобы сообщить другим станциям о себе, активный монитор периодически передает служебный кадр AMP. Если за некоторое время (достаточное для оборота маркера по кольцу) маркер не вернется к активному монитору, маркер считается утерянным, и активный монитор генерирует новый маркер.
На режим передачи кадров влияют определенные в стандарте максимальные интервалы времени, за соблюдением которых следят специальные таймеры в сетевых адаптерах (приведены значения по умолчанию, администратор сети может их изменять):
- время удержания маркера (Token Holding, THT) – 8,9 мс; по истечении этого интервала станция должна прекратить передачу своих данных (текущий кадр можно передать) и освободить маркер; за время удержания маркера станция может передать несколько (неб