Реферат: Корпоративные сети
Под приложениями мы здесь понимаем как системное программное обеспечение - базы данных, почтовые системы, вычислительные ресурсы, файловый сервис и прочee - так и средства, с которыми работает конечный пользователь. Основными задачами корпоративной сети оказываются взаимодействие системных приложений, расположенных в различных узлах, и доступ к ним удаленных пользователей.
Первая проблема, которую приходится решать при создании корпоративной сети - организация каналов связи. Если в пределах одного города можно рассчитывать на аренду выделенных линий, в том числе высокоскоростных, то при переходе к географически удаленным узлам стоимость аренды каналов становится просто астрономической, а качество и надежность их часто оказывается весьма невысокими. Естественным решением этой проблемы является использование уже существующих глобальных сетей. В этом случае достаточно обеспечить каналы от офисов до ближайших узлов сети. Задачу доставки информации между узлами глобальная сеть при этом возьмет на себя. Даже при создании небольшой сети в пределах одного города следует иметь в виду возможность дальнейшего расширения и использовать технологии, совместимые с существующими глобальными сетями.
Часто первой, а то и единственной такой сетью, мысль о которой приходит в голову, оказывается Internet. Использование Internet в корпоративных сетях В зависимости от решаемых задач Internet можно рассматривать на различных уровнях. Для конечного пользователя это прежде всего всемирная система предоставления информационных и почтовых услуг. Сочетание новых технологий доступа к информации, объединяемых понятием World Wide Web, с дешевой и общедоступной глобальной системой компьютерной связи Internet фактически породило новое средство массовой информации, которое часто называют просто the Net - Сеть. Тот, кто подключается к этой системе, воспринимает ее просто как механизм, дающий доступ к определенным услугам. Реализация же этого механизма оказывается абсолютно несущественной.
При использовании Internet в качестве основы для корпоративной сети предачи данных выясняется очень интересная вещь. Оказывается, Сеть сетью-то как раз и не является. Это именно Internet - междусетие. Если заглянуть внутрь Internet, мы увидим, что информация проходит через множество абсолютно независимых и по большей части некоммерческих узлов, связанных через самые разнородные каналы и сети передачи данных. Бурный рост услуг, предоставляемых в Internet, приводит к перегрузке узлов и каналов связи, что резко снижает скорость и надежность передачи информации. При этом поставщики услуг Internet не несут никакой ответственности за функционирование сети в целом, а каналы связи развиваются крайне неравномерно и в основном там, где государство считает нужным вкладывать в это средства. Соответственно, нет никаких гарантий качества работы сети, скорости передачи данных и даже просто достижимости ваших компьютеров. Для задач, в которых критичными являются надежность и гарантированное время доставки информации, Internet - далеко не лучшее решение. Кроме того, Internet привязывает пользователей к одному протоколу - IP. Это хорошо, когда мы пользуемся стандартными приложениями, работающими с этим протоколом. Использование же с Internet любых других систем оказывается делом непростым и дорогим. Если у вас возникает необходимость обеспечить доступ мобильных пользователей к вашей частной сети - Internet также не самое лучшее решение.
Казалось бы, больших проблем здесь быть не должно - поставщики услуг Internet есть почти везде, возьмите портативный компьютер с модемом, позвоните и работайте. Однако поставщик, скажем, в Новосибирске, не имеет никаких обязательств перед вами, если вы подключились к Internet в Москве. Денег за услуги он от вас не получает и доступа в сеть, естественно, не предоставит. Либо надо заключать с ним соответствующий контракт, что вряд ли разумно, если вы оказались в двухдневной командировке, либо звонить из Новосибирска в Москву.
Еще одна проблема Internet, широко обсуждаемая в последнее время, - безопасность. Если мы говорим о частной сети, вполне естественным представляется защитить передаваемую информацию от чужого взгляда. Непредсказуемость путей информации между множеством независимых узлов Internet не только повышает риск того, что какой-либо не в меру любопытный оператор сети может сложить ваши данные себе на диск (технически это не так сложно), но и делает невозможным определение места утечки информации. Средства шифрования решают проблему лишь частично, поскольку применимы в основном к почте, передаче файлов и т.п. Решения же, позволяющие с приемлемой скоростью шифровать информацию в реальном времени (например, при непосредственной работе с удаленной базой данных или файл-сервером), малодоступны и дороги. Другой аспект проблемы безопасности опять же связан с децентрализованностью Internet - нет никого, кто мог бы ограничить доступ к ресурсам вашей частной сети. Поскольку это открытая система, где все видят всех, то любой желающий может попробовать попасть в вашу офисную сеть и получить доступ к данным или программам. Есть, конечно, средства защиты (для них принято название Firewall - по-русски, точнее по-немецки "брандмауэр" - противопожарная стена). Однако считать их панацеей не стоит - вспомните про вирусы и антивирусные программы. Любую защиту можно сломать, лишь бы это окупало стоимость взлома. Необходимо также отметить, что сделать подключенную к Internet систему неработоспособной можно, и не вторгаясь в вашу сеть. Известны случаи несанкционированного доступа к управлению узлами сети, или просто использования особенностей архитектуры Internet для нарушения доступа к тому или иному серверу. Таким образом, рекомендовать Internet как основу для систем, в которых требуется надежность и закрытость, никак нельзя. Подключение к Internet в рамках корпоративной сети имеет смысл, если вам нужен доступ к тому громадному информационному пространству, которое собственно и называют Сетью.
Корпоративная сеть - это сложная система, включающая тысячи самых разнообразных компонентов: компьютеры разных типов, начиная с настольных и кончая мейнфремами, системное и прикладное программное обеспечение, сетевые адаптеры, концентраторы, коммутаторы и маршрутизаторы, кабельную систему. Основная задача системных интеграторов и администраторов состоит в том, чтобы эта громоздкая и весьма дорогостоящая система как можно лучше справлялась с обработкой потоков информации, циркулирующих между сотрудниками предприятия и позволяла принимать им своевременные и рациональные решения, обеспечивающие выживание предприятяи в жесткой конкурентоной борьбе. А так как жизнь не стоит на месте, то и содержание корпоративной информации, интенсивность ее потоков и способы ее обработки постоянно меняются. Последний пример резкого изменения технологии автоматизированной обработки корпоративной информации у всех на виду - он связан с беспрецедентным ростом популярности Internet в последние 2 - 3 года. Изменения, причиной которых стал Internet, многогранны. Гипертекстовая служба WWW изменила способ представления информации человеку, собрав на своих страницах все популярные ее виды - текст, графику и звук. Транспорт Internet - недорогой и доступный практически всем предприятиям (а через телефонные сети и одиночным пользователям) - существенно облегчил задачу построения территориальной корпоративной сети, одновременно выдвинув на первый план задачу защиты корпоративных данных при передаче их через в высшей степени общедоступную публичную сеть с многомиллионным "населением".
Технологии , применяемые в корпоративных сетях.
Перед тем как излагать основы методологии построения корпоративных сетей, необходимо дать сравнительный анализ технологий, которые могут быть использованы в корпоративных сетях.
Современные технологии передачи данных могут быть классифицированы по методам передачи данных. В общем случае, можно выделить три основных метода передачи данных:
коммутация каналов;
коммутация сообщений;
коммутация пакетов.
Все другие методы взаимодействия являются как бы их эволюционным развитием. Например, если представить технологии передачи данных в виде дерева, то ветвь коммутации пакетов разделится на коммутацию кадров и коммутацию ячеек. Напомним, что технология коммутации пакетов была разработана более 30 лет назад для снижения накладных расходов и повышения производительности существующих систем передачи данных. Первые технологии коммутации пакетов - X.25 и IP были спроектированы с учетом возможности работы с каналами связи плохого качества. При улучшении качества стало возможным использовать для передачи информации такой протокол, как HDLC, который нашел свое место в сетях Frame Relay. Стремление достичь большей производительности и технической гибкости послужило толчком разработки технологии SMDS, возможности которой затем были расширены стандартизацией ATM. Одним из параметров, по которому можно проводить сравнение технологий, является гарантия доставки информации. Так, технологии X.25 и ATM гарантируют надежную доставку пакетов (последняя с помощью протокола SSCOP), а Frame Relay и SMDS работают в режиме, когда доставка не гарантирована. Далее, технология может гарантировать, что данные будут поступать их получателю в последовательности отправления. В противном случае порядок должен восстанавливаться на принимающей стороне. Сети с коммутацией пакетов могут ориентироваться на предварительное установление соединения или просто передавать данные в сеть. В первом случае могут поддерживаться как постоянные, так и коммутируемые виртуальные соединения. Важными параметрами также являются наличие механизмов контроля потока данных, системы управления трафиком, механизмов обнаружения и предотвращения перегрузок и т. д.
Сравнение технологий можно также проводить по таким критериям, как эффективность схемы адресации или методов маршрутизации. Например, используемая адресация может быть ориентирована на географическое расположение (телефонный план нумерации), на использование в распределенных сетях или на аппаратное обеспечение. Так, протокол IP использует логический адрес, состоящий из 32бит, который присваивается сетям и подсетям. Схема адресации E.164 может служить примером схемы, ориентированной на географическое расположение, а MAC-адрес является примером аппаратного адреса. Технология X.25 использует номер логического канала (Logical Channel Number - LCN), а коммутируемое виртуальное соединение в этой технологии применяет схему адресации X.121. В технологии Frame Relay в один канал может "встраиваться" несколько виртуальных каналов, при этом отдельный виртуальный канал определяется идентификатором DLCI (Data-Link Connection Identifier). Этот идентификатор указывается в каждом передаваемом кадре. DLCI имеет только локальное значение; иначе говоря, у отправителя виртуальный канал может идентифицироваться одним номером, а у получателя - совсем другим. Коммутируемые виртуальные соединения в этой технологии опираются на схему нумерации E.164. В заголовки ячеек ATM заносятся уникальные идентификаторы VCI/VPI, которые изменяются при прохождении ячеек через промежуточные коммутирующие системы. Коммутируемые виртуальные соединения в технологии ATM могут использовать схему адресации E.164 или AESA.
Маршрутизация пакетов в сети может выполняться статически или динамически и быть либо стандартизованным механизмом для определенной технологии, либо выступать в качестве технической основы. Примерами стандартизованных решений могут служить протоколы динамической маршрутизации OSPF или RIP для протокола IP. Применительно к технологии ATM Форум ATM определил протокол маршрутизации запросов на установление коммутируемых виртуальных соединений PNNI, отличительной особенностью которого является учет информации о качестве обслуживания.
Идеальным вариантом для частной сети было бы создание каналов связи только на тех участках, где это необходимо, и передача по ним любых сетевых протоколов, которых требуют работающие приложения. На первый взгляд, это возврат к арендованным линиям связи, однако существуют технологии построения сетей передачи данных, позволяющие организовать внутри них каналы, возникающие только в нужное время и в нужном месте. Такие каналы называются виртуальными. Систему, объединяющую удаленные ресурсы с помощью виртуальных каналов, естественно назвать виртуальной сетью. На сегодня существуют две основных технологии виртуальных сетей - сети с коммутацией каналов и сети с коммутацией пакетов. К первым относятся обычная телефонная сеть, ISDN и ряд других, более экзотических технологий. Сети с коммутацией пакетов представлены технологиями X.25, Frame Relay и - в последнее время - ATM. Говорить об использовании ATM в территориально распределенных сетях пока рано. Остальные типы виртуальных (в различных сочетаниях) сетей широко используются при построении корпоративных информационных систем.
Сети с коммутацией каналов обеспечивают абоненту несколько каналов связи с фиксированной пропускной способностью на каждое подключение. Хорошо нам знакомая телефонная сеть дает один канал связи между абонентами. При необходимости увеличить количество одновременно доступных ресурсов приходится устанавливать дополнительные телефонные номера, что обходится очень недешево. Даже если забыть о низком качестве связи, то ограничение на количество каналов и большое время установления соединения не позволяют использовать телефонную связь в качестве основы корпоративной сети. Для подключения же отдельных удаленных пользователей это достаточно удобный и часто единственный доступный метод.
Другим примером виртуальной сети с коммутацией каналов является ISDN (цифровая сеть с интеграцией услуг). ISDN обеспечивает цифровые каналы (64 кбит/сек), по которым могут передаваться как голос, так и данные. Базовое подключение ISDN (Basic Rate Interface) включает два таких канала и дополнительный канал управления со скоростью 16 кбит/с (такая комбинация обозначается как 2B+D). Возможно использование большего числа каналов - до тридцати (Primary Rate Interface, 30B+D), однако это ведет к соответствующему удорожанию аппаратуры и каналов связи. Кроме того, пропорционально увеличиваются и затраты на аренду и использование сети. В целом ограничения на количество одновременно доступных ресурсов, налагаемые ISDN, приводят к тому, что этот тип связи оказывается удобным использовать в основном как альтернативу телефонным сетям. В системах с небольшим количеством узлов ISDN может использоваться также и как основной протокол сети. Следует только иметь в виду, что доступ к ISDN в нашей стране пока скорее исключение, чем правило.
Альтернативой сетям с коммутацией каналов являются сети с коммутацией пакетов. При использовании пакетной коммутации один канал связи используется в режиме разделения времени многими пользователями - примерно так же, как и в Internet. Однако, в отличие от сетей типа Internet, где каждый пакет маршрутизируется отдельно, сети пакетной коммутации перед передачей информации требуют установления соединения между конечными ресурсами. После установления соединения сеть "запоминает" маршрут (виртуальный канал), по которому должна передаваться информация между абонентами и помнит его, пока не получит сигнала о разрыве связи. Для приложений, работающих в сети пакетной коммутации, виртуальные каналы выглядят как обычные линии связи - с той только разницей, что их пропускная способность и вносимые задержки меняются в зависимости от загруженности сети.
Сети X.25
Классической технологией коммутации пакетов является протокол X.25. Сейчас принято морщить при этих словах нос и говорить: "это дорого, медленно, устарело и не модно". Действительно, на сегодня практически не существует сетей X.25, использующих скорости выше 128 кбит/сек. Протокол X.25 включает мощные средства коррекции ошибок, обеспечивая надежную доставку информации даже на плохих линиях и широко используется там, где нет качественных каналов связи. В нашей стране их нет почти повсеместно. Естественно, за надежность приходится платить - в данном случае быстродействием оборудования сети и сравнительно большими - но предсказуемыми - задержками распространения информации. В то же время X.25 - универсальный протокол, позволяющий передавать практически любые типы данных. "Естественным" для сетей X.25 является работа приложений, использующих стек протоколов OSI. К ним относятся системы, использующие стандарты X.400 (электронная почта) и FTAM (обмен файлами), а также некоторые другие. Доступны средства, позволяющие реализовать на базе протоколов OSI взаимодействие Unix- систем. Другая стандартная возможность сетей X.25 - связь через обычные асинхронные COM-порты. Образно говоря, сеть X.25 удлиняет кабель, подключенный к последовательному порту, донося его разъем до удаленных ресурсов. Таким образом, практически любое приложение, допускающее обращение к нему через COM-порт, может быть легко интегрировано в сеть X.25. В качестве примеров таких приложений следует упомянуть не только терминальный доступ к удаленным хост-компьютерам, например Unix-машинам, но и взаимодействие Unix-компьютеров друг с другом (cu, uucp), системы на базе Lotus Notes, электронную почту cc:Mail и MS Mail и т.п. Для объединения LAN в узлах, имеющих подключение к сети X.25, существуют методы упаковки ("инкапсуляции") пакетов информации из локальной сети в пакеты X.25 Часть служебной информации при этом не передается, поскольку может быть однозначно восстановлена на стороне получателя. Стандартным механизмом инкапсуляции считается описанный в документе RFC 1356. Он позволяет передавать различные протоколы локальных сетей (IP, IPX и т.д.) одновременно через одно виртуальный соединение. Этот механизм (или более старая его реализация RFC 877, допускающая только передачу IP) реализован практически во всех современных маршрутизаторах. Существуют также методы передачи по X.25 и других коммуникационных протоколов, в частности SNA, используемого в сетях IBM mainframe, а также ряда частных протоколов различных производителей. Таким образом, сети X.25 предлагают универсальный транспортный механизм для передачи информации между практически любыми приложениями. При этом разные типы трафика передаются по одному каналу связи, ничего "не зная" друг о друге. При объединении LAN через X.25 можно изолировать друг от друга отдельные фрагменты корпоративной сети, даже если они используют одни и те же линии связи. Это облегчает решение проблем безопасности и разграничения доступа, неизбежно возникающих в сложных информационных структурах. Кроме того, во многих случаях отпадает необходимость использовать сложные механизмы маршрутизации, переложив эту задачу на сеть X.25. Сегодня в мире насчитываются десятки глобальных сетей X.25 общего пользования, их узлы имеются практически во всех крупных деловых, промышленных и административных центрах. В России услуги X.25 предлагают Спринт Сеть, Infotel, Роспак, Роснет, Sovam Teleport и ряд других поставщиков. Кроме объединения удаленных узлов в сетях X.25 всегда предусмотрены средства доступа для конечных пользователей. Для того, чтобы подключиться к любому ресурсу сети X.25 пользователю достаточно иметь компьютер с асинхронным последовательным портом и модем. При этом не возникает проблем с авторизацией доступа в географически удаленных узлах - во-первых, сети X.25 достаточно централизованы и заключив договор, например, с компанией Спринт Сеть или ее партнером, вы можете пользоваться услугами любого из узлов Sprintnet - а это тысячи городов по всему миру, в том числе более сотни на территории бывшего СССР. Во-вторых, существует проткол взаимодействия между разными сетями (X.75), учитывающий в том числе и вопросы оплаты. Таким образом, если ваш ресурс подключен к сети X.25, вы можете получить доступ к нему как с узлов вашего поставщика, так и через узлы других сетей - то есть практически из любой точки мира. С точки зрения безопасности передачи информации, сети X.25 предоставляют ряд весьма привлекательных возможностей. Прежде всего, благодаря самой структуре сети, стоимость перехвата информации в сети X.25 оказывается достаточно велика, чтобы уже служить неплохой защитой. Проблема несанкционированного доступа также может достаточно эффективно решаться средствами самой сети. Если же любой - даже сколь угодно малый - риск утечки информации оказывается неприемлемым, тогда, конечно, необходимо использование средств шифрования, в том числе в реальном времени. Сегодня существуют средства шифрования, созданные специально для сетей X.25 и позволяющие работать на достаточно высоких скоростях - до 64 кбит/с. Такое оборудование производят компании Racal, Cylink, Siemens. Есть и отечественные разработки, созданные под эгидой ФАПСИ. Недостатком технологии X.25 является наличие ряда принципиальных ограничений по скорости. Первое из них связано именно с развитыми возможностями коррекции и восстановления. Эти средства вызывают задержки передачи информации и требуют от аппаратуры X.25 большой вычислительной мощности и производительности, в результате чего она просто "не успевает" за быстрыми линиями связи. Хотя существует оборудование, имеющее двухмегабитные порты, реально обеспечиваемая им скорость не превышает 250 - 300 кбит/сек на порт. С другой стороны, для современных скоростных линий связи средства коррекции X.25 оказываются избыточными и при их использовании мощности оборудования часто работают вхолостую. Вторая особенность, заставляющая рассматривать сети X.25 как медленные, состоит в особенностях инкапсуляции протоколов LAN (в первую очередь IP и IPX). При прочих равных условиях связь локальных сетей по X.25 оказывается, в зависимости от параметров сети, на 15-40 процентов медленнее, чем при использовании HDLC по выделенной линии. Причем чем хуже линия связи, тем выше потери производительности. Мы снова имеем дело с очевидной избыточностью: протоколы LAN имеют собственные средства коррекции и восстановления (TCP, SPX), однако при использовании сетей X.25 приходится делать это еще раз, теряя скорость.
