Міжмережева взаємодія у компанії. Основи комп'ютерних мереж. Застосування пакетної комутації

Міжмережева взаємодіянеобхідно для абонентів ISDN з метою зв'язку з абонентами інших мереж, як показано на рис. 2.21. Деякий час проблема організації міжмережевої взаємодії між ISDN та іншими мережами була складною.

Незважаючи на використання ISDN у різних державні структури, послуги та атрибути послуг можуть відрізнятися.

Типові функції міжмережевої взаємодії включають:

  • перетворення між різними системаминумерації;
  • адаптацію електричних характеристик різних мереж;
  • перетворення між різними системами сигналізації, зазвичай називається відображенням;
  • перетворення між різною технікою модуляції.

2.8.1. Взаємодія з PSTN

Основні проблеми взаємодії, що виникають при зв'язку між ISDN та телефонною мережею загального користування(PSTN), обумовлені несумісністю систем сигналізації та методів передачі.

В ISDN Детальна інформаціяпро послугу, що запитується, і сумісність терміналів може передаватися поза каналом через мережу від терміналу до терміналу. Це характеристика систем сигналізації, що застосовуються в ISDN. "Поза каналом" означає, що інформація сигналізації та інформація користувача передаються по окремих шляхах. Системи сигналізації, що використовуються в PSTN, не мають такої здатності. Через PSTN в ISDN може бути передана тільки обмежена інформаціяпро послугу, що запитується.

Крім того, цифрові дані зі швидкістю 64 кбіт/с або зі швидкістю адаптованою до 64 кбіт/с передаються через ISDN зі швидкістю 64 кбіт/с. Але в PSTN цифрові дані мають бути перетворені на аналогові за допомогою модему та переведені через PSTN як 3,1 кГц аудіо – інформація (рис. 2.22).

Мал. 2.22. Перетворення цифрових даних на аналогові сигнализвуковий частоти

Перш, ніж передати сигнали в ISDN, аудіо - інформація 3,1 кГц має бути перетворена на ІКМ - сигнали. У зв'язку з використанням різної техніки передачі виникає ситуація несумісності. Нині цією несумісністю можна управляти (рис. 2.23).

Перетворення цифрових даних на ІКМ – кодовані аналогові дані виконується у споживача за допомогою модему. Аудіо-інформація 3,1 кГц переноситься від ISDN-абонента через ISDN та PSTN до абонента PSTN.

2.8.2. Взаємодія з PSPDN

Трафік між ISDN і мережею передачі з комутацією пакетів загального користування (PSPDN) може бути представлений двома способами, визначеними CCITT як випадок А і випадок.

У разі Атермінали, що передають пакети в ISDN, з'єднуються за допомогою інформаційних каналівз мережею комутації пакетів. Пакетна комутація використовується в PSPDN навіть для викликів між двома терміналами, що передають пакети ISDN.

У разі Ввикористовуються засоби пакетної комутації у межах ISDN. Функція "циклового маніпулятора" на місцевій станції ISDN спрямовує та концентрує пакетні дані, отримані по D – каналу, до Вd – каналів. Вd – канал є – каналом, який містить пакетні дані з 4 D – каналів. Вміст Вd - каналів направляється через ISDN в "пакетний маніпулятор", який з'єднується з PSPDN, як показано на рис. 2.24.

2.8.3. Взаємодія із СSPDN

Взаємодія з мережею передачі даних з комутацією каналів загального користування також можлива. Комутація може бути впроваджена CSPDN або всередині ISDN, як показано на рис. 2.25.

Інша можливість – це доступ до CSPDN через PSPDN.


Мал. 1.1.

LAN-інтерфейси (G0/0, G0/1, F0/0, F0/1) використовуються для зв'язку з вузлами (комп'ютерами, серверами), безпосередньо або через комутатори; WAN-інтерфейси (S1/1, S1/2) необхідні, щоб зв'язуватися з іншими маршрутизаторами та всесвітньою мережеюІнтернет. Інтерфейси можуть підключатися до різним видампередавального середовища, в яких можуть використовуватися різні технології канального та фізичного рівнів.

Коли адресат призначення знаходиться в іншій мережі, то кінцевий вузолпересилає пакет на шлюз за замовчуванням, роль якого виконує інтерфейс маршрутизатора, через який усі пакети з локальної мережіпересилаються у віддалені мережі. Наприклад, для мережі 192.168.10.0/24 (рис. 1.1) шлюзом за замовчуваннямє інтерфейс F0/0 маршрутизатора А з адресою 192.168.10.1, а інтерфейс F0/1 маршрутизатора виконує роль шлюзу за умовчанням для мережі 192.168.9.0/24. Через шлюз за промовчанням пакети з віддалених мереж надходять до локальної мережі призначення.

При надсиланні пакетів адресату призначення маршрутизатор реалізує дві основні функції:

  • обирає найкращий(оптимальний) шляхдо адресата призначення, аналізуючи логічну адресу призначення пакета даних, що передається;
  • виробляє комутацію прийнятого пакетуз вхідного інтерфейсу на вихідний для надсилання адресату.

Процес вибору найкращого шляхуотримав назву маршрутизація. Маршрутизатори приймають рішення, базуючись на мережевих логічних адресах ( IP-адресах), що у заголовку пакета. Для визначення найкращого шляху передачі даних через мережі, що зв'язуються, маршрутизатори будують таблиці маршрутизаціїта обмінюються мережевою маршрутною інформацією з іншими мережевими пристроями.

Нижче наведено приклад конфігурування основних параметрів інтерфейсів маршрутизатора R-A (рис. 1.1). Інтерфейсам маршрутизатора потрібно задати IP-адресата включити їх ( активувати), т.к. усі інтерфейси маршрутизаторів Ciscoв вихідний станвимкнено.

R-A(config)#int f0/0 R-A(config-if)#ip add 192.168.10.1 255.255.255.0 R-A(config-if)#no shutdown R-A(config-if)# int g0/1 R-A(config-if) #ip add 192.168.20.1 255.255.255.0 R-A(config-if)#no shutdown R-A(config-if)# int s1/1 R-A(config-if)#ip add 210.5.5.1 255.255.255.0 #clock rate 64000 R-A(config-if)#no shutdown R-A(config-if)# int s1/2 R-A(config-if)#ip add 210.8.8.1 255.255.255.0 R-A(config-if)#clock rate 64000 R- (config-if)#no shutdown

Команда clock rate переводить серійний інтерфейс з вихідного режиму термінального пристрою DTE режим канального керуючого пристрою DCE . При послідовному з'єднаннімаршрутизаторів одне із двох з'єднуються інтерфейсів може бути управляючим, тобто. DCE.

Інші маршрутизатори мережі (рис. 1.1) конфігуруються аналогічним чином.

Після конфігурування інтерфейсів у таблиці маршрутизації відображаються прямо приєднані мережі, що дозволяє спрямовувати пакети, адресовані вузлам у цих мережах. Крім того, в прикладі, що розглядається, на всіх маршрутизаторах налаштована динамічна маршрутизація з використанням протоколу RIP , про який йтиметься в "Динамічна маршрутизація" цього курсу. Результатом конфігурування пристроїв мережі (рис. 1.1) є наведена нижче таблиця маршрутизації мережевого елемента R-A:

R-A>show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - мобільний, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route; , 00:00:09, GigabitEthernet0/1 C 192.168.10.0/24 є безпосередньо підключеним, FastEthernet0/0 C 192.168.20.0/24 є безпосередньо підключеним, GigabitEthernet0/1 R 200.20.20.2 :00 :09, GigabitEthernet0/1 R 200.40.40.0/24 via 192.168.20.2, 00:00:09, GigabitEthernet0/1 C 210.5.5.0/24 є безпосередньо з'єднаним, Serial1/1 R 220. 00:00:18, Serial1/1 R 210.7.7.0/24 via 210.5.5.2, 00:00:18, Serial1/1 C 210.8.8.0/24 is directly connected, Serial1/2

У таблиці символом Зпозначені чотири мережі безпосередньо приєднані(Connected) до певних інтерфейсів маршрутизатора. Мережа 192.168.10.0/24 приєднана до інтерфейсу FastEthernet 0/0 (або F0/0), мережа 192.168.20.0/24 - до інтерфейсу GigabitEthernet 0/1(або G0/1), мережа 210.5.5.0/24 1/1 (або S1/1), мережа 210.8.8.0/24 - S1/2. Коли вузол направляє кадр іншому вузлу з тієї ж прямо приєднаної мережі, то у такому пересиланні шлюз за замовчуванням (інтерфейс маршрутизатора) не бере участі. Передача кадру повідомлення здійснюється безпосередньо адресату з використанням МАС-адрес джерела та призначення.

Маршрути можуть створюватися вручну адміністратором ( статична маршрутизація). Статичні маршрути у таблиці маршрутизації позначаються символом S(Такі маршрути в наведеному прикладі відсутні). Таблиця маршрутизаціїможе також створюватись, оновлюватись та підтримуватись динамічно (автоматично) за допомогою протоколів маршрутизації.

У наведеному вище прикладі маршрути до віддалених мереж позначені символом R, який вказує на те, що джерелом створення маршрутів до віддалених мереж є протокол RIP. Символом Oпозначаються маршрути, створені протоколом OSPF, а символом D- Протоколом EIGRP.

Перелік протоколів маршрутизації, що підтримуються, можна подивитися за командою Router(config)#router ? .

Друга колонка (стовпець) таблиці маршрутизації показує адреси мереж, яких прокладено шлях . Наприклад, у першому рядку вказаний маршрут до мережі 192.168.9.0/24, який лежить через адресу наступного переходу (next hop) 192.168.20.2 та свій вихідний інтерфейс GigabitEthernet0/1. Таким чином, пакет, адресований вузлу в Мережі 9, що надійшов на один з інтерфейсів маршрутизатора, повинен бути скомутований на вихідний інтерфейс G0/1. При адресації вузлів, що знаходяться в інших мережах, наприклад, у мережі 210.6.6.0/24 або 210.7.7.0/24, як вихідний використовується інтерфейс Serial1/1.

У рядку таблиці також вказано значення таймера, наприклад, 00:00:09.

Крім того, у квадратних дужках рядків таблиці маршрутизації вказані, наприклад: адміністративна відстань- 120 та метрика- 1. Адміністративна відстань ( AD) показує ступінь достовірності (довіри) джерела маршруту. Чим менше AD, тим вища достовірність. Маршрути, створені адміністратором вручну (статичні маршрути), характеризуються значенням AD=1.

Джерела (протоколи) маршрутизації мають різні задані за умовчанням адміністративні відстані (табл. 1.1).

Таблиця 1.1. Адміністративні відстані за замовчуванням
Джерело (Протокол) Адміністративна відстань Джерело (Протокол) Адміністративна відстань
Connected 0 OSPF 110
Static 1 IS-IS 115
eBGP 20 RIP 120
EIGRP 90 EIGRP (External) 170

Якщо маршрутизаторі функціонує кілька протоколів, то таблицю маршрутизації встановлюється маршрут , прокладений протоколом з найменшим значеннямадміністративної відстані. У останньому рядкуВ таблиці зазначено, що адміністративна відстань EIGRP збільшена до 170, коли маршрут отримано від зовнішнього (стороннього) маршрутизатора. Такий маршрут у таблиці маршрутизації позначається символом D*EX.

Визначення найкращого (оптимального) шляху будь-яким протоколом маршрутизації здійснюється на основі певного критерію - метрики. Значення метрики використовується в оцінці можливих шляхівдо адресата призначення. Метрика може включати різні параметринаприклад, кількість переходів (кількість маршрутизаторів) на шляху до адресата, смугу пропускання каналу, затримку, надійність, завантаження, узагальнену вартість та інші параметри мережного з'єднання. У наведеному вище роздруківці команди show ip route для маршрутів, створених протоколом RIPзначення метрики дорівнює 1. Це означає, що відстань до маршрутизатора, до якого приєднана мережа призначення, становить один перехід. Найменша метрика означає найкращий маршрут. Метрика статичного маршрутузавжди дорівнює 0.

Кожен інтерфейс маршрутизатора підключений до мережі (підмережі), що має свою логічну IP-адресу. Широкомовні повідомлення надсилаються лише в межах мережі або, по-іншому, в межах широкомовного домену. Тому кажуть, що маршрутизатори ділять мережу на широкомовні домени. Маршрутизатор блокують широкомовні повідомленняі не пропускають їх до інших мереж. Поділ мережі на широкомовні домени підвищує безпеку, оскільки широкомовний шторм може поширюватися лише в межах домену (в межах однієї мережі).

Коли один з інтерфейсів маршрутизатора ( вхідний інтерфейс) надходить пакет, адресований вузлу з іншої приєднаної мережі, він просувається на вихідний інтерфейс, до якого приєднано мережу призначення.

Отримавши кадр на вхідний інтерфейс, маршрутизатор:

  1. Декапсулює пакет із кадру.
  2. Із заголовка пакета зчитує IP-адресу вузла призначення.
  3. За допомогою маски обчислює адресу мережі призначення.
  4. Звертається до таблиці маршрутизації, щоб визначити, який вихідний інтерфейс, що веде до мережі призначення, зробити комутацію пакета.
  5. На вихідному інтерфейсі інкапсулює пакет у новий кадр і відправляє його у напрямку адресата призначення.

Подібна послідовність дій, що виконується центральним процесором(ЦП) маршрутизатора отримала назву програмної комутації. Вона виконується з кожним пакетом, що надійде на

  • SWOT-аналіз діяльності підприємства ТОВ «Кока-Кола»: виявлення альтернативних стратегічних завдань
  • V. Органи управління територіальним фондом та організація діяльності
  • V1: Форми взаємодії продавця та покупця на споживчому ринку
  • VI: Організація та управління торгово-посередницькою діяльністю на ринку товарів
  • Актуальні етико-правові проблеми взаємодії людини та суспільства.

    • На підприємстві використовується глобальна комп'ютерна мережа, яка охоплює великі території і включає в себе велике числокомп'ютерів.

    Глобальна комп'ютерна мережа служить для об'єднання розрізнених мереж так, щоб користувачі та комп'ютери, де б вони не знаходилися, могли взаємодіяти з іншими учасниками глобальної мережі. На кожному комп'ютері є вихід в інтернет, але з обмеженим доступомдо соціальних мереж.

    Комп'ютерні мережі – це системи комп'ютерів, об'єднаних каналами передачі, що забезпечують ефективне надання різних інформаційно-обчислювальних послуг користувачам у вигляді зручного і надійного доступу до ресурсів мережі.

    Інформаційні системи, що використовують можливості комп'ютерних мереж, Забезпечують виконання наступних завдань:

    1. Зберігання та обробка даних

    2. Організація доступу користувачів до даних

    3. Передача даних та результатів обробки користувачам

    Ефективність вирішення перелічених завдань забезпечується:

    1. Дистанційним доступом користувачів до апаратних, програмних та інформаційним ресурсам

    2. Висока надійність системи

    3. Можливістю оперативного перерозподілунавантаження

    4. Спеціалізацією окремих вузлівмережі для вирішення певного класу завдань

    5. Вирішенням складних завдань спільними зусиллями кількох вузлів мережі

    6. Можливістю здійснення оперативного контролю всіх вузлів мережі

    Види комп'ютерних мереж:

    1. Локальні (ЛВС, LAN-Local Area Network)

    2. Регіональні (РВС, MAN – Metropolitan Area Network)

    3. Глобальні (ГВП, WAN – Wide Area Network)

    У локальній мережі абоненти знаходяться на невеликій (до 10-15 км) відстані.

    Глобальні мережі з'єднують абонентів, віддалених друзіввід друга на значну відстань, розташованих у різних країнах, чи різних континентах.

    За ознаками організації передачі даних комп'ютерні мережі можна поділити на дві групи:

    1. послідовні;

    2. широкомовні.

    У послідовних мережах передачі даних здійснюється послідовно від одного вузла до іншого. Кожен вузол ретранслює прийняті дані далі. Майже всі види мереж відносяться до цього типу. У широкомовних мережах у момент часу передачу може вести лише один вузол, інші вузли можуть лише приймати інформацію.

    Топологія представляє фізичне розташуваннямережевих компонентів (комп'ютерів, кабелів та ін.). Вибором топології визначається склад мережевого обладнання, можливості розширення мережі, спосіб керування мережею.

    Існують такі топології комп'ютерних мереж:

    1. шинні (лінійні, bus);

    2. кільцеві (петльові, ring);

    3. радіальні (зіркоподібні, star);

    4. змішані (гібридні).

    Практично всі мережі будуються на основі трьох базових топологій: топології «шина», «зірка» та «кільце». Базові топології досить прості, проте практично часто зустрічаються досить складні комбінації, що поєднують, властивості та характеристики кількох топологій.

    У топології "шина", або "лінійна шина" (linear bus), використовується один кабель, що називається магістраллю або сегментом, до якого підключені всі комп'ютери мережі. Ця топологія є найпростішою та найпоширенішою реалізацією мережі.

    Оскільки дані в мережу передаються лише одним комп'ютером, продуктивність мережі залежить кількості комп'ютерів, підключених до шини. Чим більше комп'ютерівтим повільніше мережа.

    Залежність пропускної спроможності мережі від кількості комп'ютерів у ній не є прямою, оскільки, окрім числа комп'ютерів, на швидкодію мережі впливає безліч інших факторів: тип апаратного забезпечення, частота передачі даних, тип мережевих програм, тип мережного кабелю, відстань між комп'ютерами в мережі.

    «Шина» є пасивною топологією - комп'ютери лише «слухають» дані, що передаються по мережі, але не передають їх від відправника до одержувача. Вихід з ладу будь-якого комп'ютера не впливає працювати всієї мережі. В активних топологіях комп'ютери регенерують сигнали з подальшою передачею їх через мережу.

    Основою послідовної мережіз радіальною топологією (топологією «зірка») є спеціальний комп'ютер- Сервер, до якого підключаються робочі станції, кожна по своїй лінії зв'язку.

    Вся інформація передається через сервер, завдання якого входить ретрансляція, перемикання і маршрутизація інформаційних потоків у мережі. Така мережа є аналогом системи телеобробки, де всі абонентські пункти містять у своєму складі комп'ютер.

    Недоліками такої мережі є:

    · Високі вимоги до обчислювальних ресурсів центральної апаратури,

    · Втрата працездатності мережі при відмові центральної апаратури,

    · Велика протяжність ліній зв'язку,

    · Відсутність гнучкості у виборі шляху передачі інформації якщо вийде з ладу робоча станція (або кабель, що з'єднує її сконцентратором), то ця станція не зможе передавати або приймати дані по мережі. На решту робочих станцій у мережі цей збій не вплине.

    При використанні топології «кільце» комп'ютери підключаються до кабелю, замкнутого в кільце. Сигнали передаються в одному напрямку та проходять через кожен комп'ютер. Кожен комп'ютер є повторювачем, посилюючи сигнали та передаючи їх наступному комп'ютеру. Якщо вийде з ладу комп'ютер, припиняє функціонувати всю мережу.

    Спосіб передачі даних по кільцевої мережіназивається передачею маркера. Маркер послідовно, від комп'ютера до комп'ютера, передається до того часу, поки не отримає той комп'ютер, який має передати дані. Комп'ютер, що передає, додає до маркера дані та адресу одержувача і відправляє його далі по кільцю.

    Дані передаються через кожен комп'ютер, доки не виявляться у того, чия адреса збігається з адресою одержувача. Далі приймаючий комп'ютер посилає передавальному повідомлення - підтвердження прийому даних. Отримавши повідомлення - підтвердження, комп'ютер створює новий маркер і повертає його в мережу.

    На підприємство використовується топологія типу загальна шина, Що являє собою загальний кабель (званий шина або магістраль), до якого приєднані всі робочі станції. На кінцях кабелю знаходяться термінатори, щоб запобігти відображенню сигналу.

    Повідомлення, що надсилається будь-якою робочою станцією, поширюється на всі комп'ютери мережі. Кожна машина перевіряє, кому адресовано повідомлення - якщо повідомлення адресоване їй, обробляє його. Вживаються спеціальні заходи для того, щоб під час роботи із загальним кабелем комп'ютери не заважали один одному передавати та приймати дані. Щоб виключити одночасну посилку даних, застосовується або «несучий» сигнал, або з комп'ютерів є головним і «дає слово» «МАРКЕР» іншим комп'ютерам такий мережі.

    Переваги:

    1. Невеликий час встановлення мережі;

    2. Дешевизна (потрібний кабель меншої довжини та менше мережевих пристроїв);

    3. Простота налаштування;

    4. Вихід з ладу однієї робочої станціїне відбивається на роботі всієї мережі.

    Недоліки:

    2. Несправності в мережі, такі як обрив кабелю або вихід з ладу термінатора, повністю блокують роботу всієї мережі;

    3. Утрудненість виявлення несправностей;

    4. З додаванням нових робочих станцій знижується загальна продуктивність мережі.

    Обмін даними між співробітниками для підприємства відбувається з допомогою Viber.

    Viber - нова унікальна програма, доступна кожному користувачеві смартфона або комп'ютера. Viber –дзвінки, та можливість відправляти голосові повідомленняі відеофайли, та багато іншого.


    | | 3 | |

    Міжмережева взаємодія - це практика об'єднання кількох комп'ютерних мереж разом для формування більш великих мереж. Різні типи мереж можуть бути підключені до проміжних пристроїв, відомих як шлюзи, і після їх з'єднання вони діють як одна велика мережа. Міжмережева взаємодія була розроблена як відповідь на кілька проблем, що виникли в перші дні персональних комп'ютерів та становлять основу сучасного Інтернету.
    Багато людей щодня використовують різні типимереж, навіть не усвідомлюючи цього. Бізнесмен, який використовує смартфон для перевірки електронної пошти, використовує стільникову мережу, а домашній користувач може передавати музику на ноутбук через бездротову мережу. Сільські користувачі можуть отримати доступ до мережі до свого інтернет-провайдера через комутоване з'єднання. У корпоративному світівеликі провідні мережі є нормою. Міжмережева взаємодія дозволяє всім цим мережам поєднуватися один з одним, незважаючи на їх технологічні відмінності.

    Ключем до переходу на різні типимереж є концепція пакетів — крихітних окремих одиниць даних. Пакети є основою для сучасних комп'ютерних мереж, але не обмежуються якоюсь однією мережевою технологією. Натомість пакети можуть бути вставлені в так звані кадри, які призначені для певних мережевих технологій. Це компонування дозволяє використовувати пакети з будь-якого типу мережі будь-якої іншої мережі. Спеціальні пристрої, що підтримують більш ніж одну мережеву технологію, що називається шлюзами або маршрутизаторами, можуть передавати пакети між цими різними мережами.

    Міжмережева взаємодія поступово розвивалася як відповідь на кілька проблем. Найраніші з'єднання між кількома комп'ютерами були «німими» терміналами з невеликою обчислювальною потужністю, які могли б підключатися до потужних потужних мейнфреймів. Оскільки персональні комп'ютери(ПК) почали замінювати термінали, ПК були згруповані у локальні мережі (ЛВС). Хоча це мало багато переваг, локальні мережі були ізольовані та не могли підключатися до інших ЛОМ, що обмежувало продуктивність. Файлові сервери, принтери та інші ресурси не можуть бути розділені між розташуваннями, а організації з кількома розташуваннями не можуть легко обмінюватися інформацією.

    На початку 1970-х років американські дослідники, які працюють у мережі оборонного відомства, відомої як мережа агентств з просування дослідних проектів(ARPANET) почали досліджувати можливість зв'язування своєї мережі з іншими ранніми мережами. Ці дослідження показали, що ранні мережеві протоколи не дуже добре підходять для міжмережевих взаємодій, і почалася розробка протоколу управління передачею та протоколу Інтернету (TCP/IP). До кінця 1970-х років ARPANET була пов'язана з двома іншими мережами, що використовують TCP/IP, і була написана важлива сторінкаісторія Інтернету.

    Нові мережі продовжували підключатися до ARPANET у 1980-х роках, і всі більша кількістьлокальні мережі були підключені один до одного через ARPANET. 1989 року мережа, створена Національним науковим фондом (NSF), замінила ARPANET. Звідти регіональні мережібули підключені до мережі NSF з використанням TCP/IP та пов'язаних протоколів, і з'явилася велика мережа мереж — Інтернет.

    Міжмережеві взаємодії ( internetworks) є комунікаційними структурами, робота яких полягає в об'єднанні локальних та глобальних мереж. Їхнє основне завдання полягає в ефективному переміщенні інформації куди завгодно швидко, згідно з запитом, і в цілісності.

    Підрозділ міжмережевої взаємодії має надавати користувачам:

    • збільшену пропускну спроможність
    • смугу пропускання на запит
    • низькі затримки
    • дані, звукові та відео можливості в одному середовищі

    для реалізації своїх цілей, міжмережева взаємодія має бути здатною об'єднати різні мережі воєдино для обслуговування залежних від них організацій. І це зв'язуваність має відбуватися незалежно від типів залучених фізичних середовищ.

    Між мережевий екран або мережевий екран- комплекс апаратних або програмних засобів, що здійснює контроль та фільтрацію проходять через нього мережевих пакетіввідповідно до заданих правил.

    Основним завданням мережевого екрана є захист комп'ютерних мереж чи окремих вузлів від несанкціонованого доступу. Також мережні екрани часто називають фільтрами, тому що їх основне завдання – не пропускати (фільтрувати) пакети, які не підходять під критерії, визначені у конфігурації.

    Деякі мережні екрани також дозволяють здійснювати трансляцію адрес - динамічну заміну внутрішньомережевих (сірих) адрес або портів на зовнішні, використовувані за межами ЛОМ.

    Мережеві екрани поділяються на різні типи залежно від таких характеристик:

    • чи забезпечує екран з'єднання між одним вузлом і мережею або між двома чи більше різними мережами;
    • на рівні яких мережевих протоколіввідбувається контроль потоку даних;
    • відстежуються чи стану активних з'єднань чи ні.

    Залежно від охоплення контрольованих потоків даних мережеві екрани поділяються на:

    • традиційний мережевий(або міжмережевий) екран- програма (або невід'ємна частина операційної системи) на шлюзі (сервері, що передає трафік між мережами) або апаратне рішення, що контролюють вхідні та вихідні потоки даних між підключеними мережами.
    • персональний мережевий екран- програма, встановлена ​​на комп'ютері користувача і призначена для захисту від несанкціонованого доступу тільки цього комп'ютера.

    Мережевий шлюз(англ. gateway) - апаратний маршрутизатор або програмне забезпечення для сполучення комп'ютерних мереж, що використовують різні протоколи (наприклад, локальної та глобальної).

    За замовчуванням шлюз(англ. Default gateway), шлюз останньої надії (англ. Last hope gateway) - у протоколах, що маршрутизуються - адреса маршрутизатора, на який відправляється трафік, для якого неможливо визначити маршрут виходячи з таблиць маршрутизації. Застосовується в мережах з добре вираженими центральними маршрутизаторами, малих мережах, клієнтських сегментах мереж. Шлюз за замовчуванням задається записом у таблиці маршрутизації виду "мережа 0.0.0.0 з маскою мережі 0.0.0.0".

    Інтернет-шлюз, як правило, це програмне забезпечення, покликане організувати передачу трафіку між різними мережами. Програма є робочим інструментом системного адміністратора, дозволяючи йому контролювати трафік та дії співробітників.

    Трансляція мережевих адрес(NAT) це технологія, яка дозволяє відображати IP адреси (номери портів) з однієї групи в іншу, прозоро для кінцевого користувача. NAT може використовуватися для досягнення двох основних цілей:

    1. Використання єдиної IP-адреси для доступу до Інтернету з кількох комп'ютерів;

    2. Приховування внутрішньої структури корпоративної мережі.

    Принципи організації мережі Інтернет вимагають, щоб кожен вузол мережі мав унікальну IP-адресу. Однак через дедалі зростаючий дефецит вільних IP-адрес отримання індивідуальної IP-адреси для кожного комп'ютера в організації може бути не завжди виправдано.

    Також, для мереж на базі протоколу IP, що не потребують безпосереднього підключення до Інтернету, виділено три діапазони IP-адрес (IP-мереж):

     10.0.0.0 – 10.255.255.255;

     172.16.0.0 – 172.31.255.255;

     192.168.0.0 – 192.168.255.255;

    Ці адреси також іноді називають приватними або "сірими" IP-адресами. Таким чином будь-яка організація може призначати вузли всередині своєї локальної мережі IP-адреси з вказаних діапазонів. Однак безпосередній доступ до Інтернету з таких мереж неможливий. Це обмеженняможна обійти з допомогою технології NAT.

    Достатньо мати єдиний вузол з доступом в Інтернет і має унікальну ("білу") IP-адресу, видану провайдером. Такий вузол буде називатися шлюзом. Шлюз повинен мати, як мінімум два мережеві, адаптери (мережевих карт, модемів і т.д.), один з яких забезпечує доступ в Інтернет. Цьому зовнішньому адаптеруприсвоєно "білу" IP-адресу. Іншим внутрішнім адаптерам можуть бути присвоєні як "білі", так і "сірі" IP-адреси. При проходженні мережних пакетів через шлюз з внутрішнього адаптера на зовнішній відбувається трансляція мережевих адрес (NAT).

    У загальному вигляді, існує чимало схем трансляції мережевих адрес. Більшість їх описані в RFC-1631, RFC-2663, RFC-2766, RFC-3022. У Lan2net NAT Firewall використовується схема NAPT у термінах RFC-2663. Ця схемає різновидом Traditional NAT, детального описаного RFC-3022. У Linux подібна схема NAT називається "Masquarading".

    У Lan2net NAT Firewall NAT виконується для протоколів TCP, UDP та ICMP.

    Трансляція мережевих адрес виконується в процесі контролю транзитних з'єднань. Коли пакет IP-з'єднання з "сірою" адресою джерела передається драйвером TCP/IP до драйвера зовнішнього мережевого адаптера, драйвер Lan2net NAT Firewall перехоплює пакет і модифікує в ньому IP-адресу джерела та номер порту джерела для протоколів UDPта TCP. Для пакетів ICMP модифікується ідентифікатор запиту. Після модифікації пакета він передається драйверу зовнішнього мережевого адаптера і відсилається далі цільовому вузлу в Інтернет. Для прийнятих пакетів у відповідь даного з'єднаннявідбувається обернена модифікація зазначених параметрів.

    У процесі модифікації "сіра" IP-адреса джерела замінюється на "білу" IP-адресу, призначену зовнішньому мережному адаптеру. При подальшій передачі пакет виглядає, як будь-хто, він відправлений з "білої" IP-адреси. Таким чином, забезпечується унікальність IP-адреси джерела з'єднання в рамках всієї мережі Інтернет.

    Модифікація номерів TCP- та UDP-портів джерела та ідентифікатора ICMP-запиту здійснюється таким чином, щоб значення даних параметрів залишалися унікальними в рамках усіх транзитних та вихідних IP-з'єднань для цього мережного адаптера. У Lan2net NAT Firewall унікальні номерипортів джерела та ідентифікаторів запиту призначаються з діапазону 30000-43000.

    Отримавши пакети у відповідь, драйвер зовнішнього мережевого адаптера передає їх драйверу TCP/IP. У цей момент пакети перехоплюються драйвером Lan2net NAT Firewall. Драйвер Lan2net NAT Firewall визначає приналежність пакетів вихідному IP-з'єднанню. Так як при модифікації номерів TCP- або UDP-портів або ідентифікатора ICMP-запиту у вихідних пакетах їм були надано унікальні значення, то тепер на основі цих значень драйвер може відновити оригінальну ("сірий") IP-адресу джерела запиту. Таким чином, у пакетах у відповідь значення IP-адреса призначення замінюється на IP-адресу джерела запиту, а номери TCP- або UDP-портів або ідентифікатора ICMP-запиту також відновлюють свої оригінальні значення. Після цього пакети у відповідь передаються драйверу TCP/IP і далі через внутрішній адаптердо вузла, який зробив запит.

    Як видно, описаний механізм забезпечує прозорий доступв Інтернет із вузлів із "сірими" IP-адресами. Крім того, всі з'єднання після шлюзу виглядають як, якби вони були встановлені з єдиної "білої" IP-адреси. Тим самим забезпечується приховування внутрішньої структури корпоративної чи домашньої мережі.

    Віртуальні мережі VLANта VPN

    VPN(англ. Virtual Private Network – віртуальна) приватна мережа) - узагальнена назва технологій, що дозволяють забезпечити одне або декілька мережевих з'єднань(логічну мережу) поверх іншої мережі (наприклад, Інтернет). Незважаючи на те, що комунікації здійснюються мережами з меншим невідомим рівнем довіри (наприклад, публічними мережами), рівень довіри до побудованої логічної мережіне залежить від рівня довіри до базових мереж завдяки використанню засобів криптографії (шифрування, автентифікації, інфраструктури) відкритих ключів, засобів для захисту від повторів і змін повідомлень, що передаються по логічній мережі).

    Залежно від протоколів і призначення, що застосовуються, VPN може забезпечувати з'єднання трьох видів: вузол-вузол, вузол-мережа та мережа-мережа.

    Рівні реалізації

    Зазвичай VPN розгортають на рівнях не вище за мережний, оскільки застосування криптографії на цих рівнях дозволяє використовувати в незмінному вигляді транспортні протоколи(Такі як TCP, UDP).

    Найчастіше для створення віртуальної мережівикористовується інкапсуляція протоколу PPPв якийсь інший протокол - IP (такий спосіб використовує реалізація PPTP- Point-to-Point Tunneling Protocol) або Ethernet (PPPoE) (хоча вони мають відмінності). Технологія VPN в Останнім часомвикористовується не лише для створення власне приватних мереж, а й деякими провайдерами «останньої милі» на пострадянському просторі для надання виходу до Інтернету.

    При належному рівні реалізації та використання спеціального програмного забезпечення мережа VPNможе забезпечити високий рівеньшифрування інформації, що передається. При правильному налаштуваннівсіх компонентів технологія VPN забезпечує анонімність у Мережі.

    Структура VPN

    VPN складається з двох частин: «внутрішня» (підконтрольна) мережа, яких може бути кілька, і «зовнішня» мережа, через яку проходить інкапсульоване з'єднання (зазвичай використовується Інтернет). Можливе також підключення до віртуальної мережі окремого комп'ютера. Підключення віддаленого користувача до VPN здійснюється за допомогою сервера доступу, який підключений як до внутрішньої, так і зовнішньої (загальнодоступної) мережі. При підключенні віддаленого користувача (або під час встановлення з'єднання з іншою захищеною мережею) сервер доступу вимагає проходження процесу ідентифікації, а потім процесу аутентифікації. Після успішного проходження обох процесів, віддалений користувач ( віддалена мережа) наділяється повноваженнями до роботи у мережі, тобто відбувається процес авторизації.

    Класифікація VPN

    Класифікувати VPN рішення можна за кількома основними параметрами.



    ПОХОДЖЕННЯ СТАТТІ