Учебник компютърни мрежи

1 СЪДЪРЖАНИЕ 1.

Кратка история на компютърните мрежи

3

2.

Класификация на мрежите 2.1. Класификация според физическия обхват 2.2. Класификация според метода на администриране 2.3. Класификация според мрежовата операционна система Windows-мрежи NetWare-мрежи UNIX-мрежи 2.4. Класификация според мрежовия протокол NetBEUI-мрежи IPX/SPX-мрежи TCP/IP-мрежи 2.5. Класификация на мрежите според топологията им Мрежи с линейна шина Кръгова топология Топология звезда Решетъчна топология Хибридни топологии 2.6. Класификация според мрежовата архитектура Ethernet мрежи Мрежи Token Ring Мрежи AppleTolk Мрежи ARCnet ATM мрежи ADSL мрежи

4 4 6 7 8 8 9 9 9 9 9 10 10 12 12 13 13 14 14 18 18 19 19 19

3.

Мрежови модели 3.1. Комуникация с пакети 3.2. Многослоен процес на комуникация 3.3. Мрежов модел OSI 3.4. Моделът TCP/IP IP адресиране Автоматично разпределение на адреси Разделяне на мрежите на подмрежи Протоколите TCP и UDP Преобразуване на имена IPv6 адресиране

19 20 20 21 24 25 27 29 31 32 34

4.

Мрежов хардуер 4.1. Мрежови интерфейсни карти 4.2. Мрежова преносна среда 4.3. Устройства за изграждане на локални мрежи Конвертори на преносната среда Повторители Хъбове Мостове Маршрутизатори Комутатори

36 37 37 38 38 38 38 39 40 41

5.

Отдалечени комуникационни връзки 5.1. Отдалечени връзки с комутиране на вериги

42 43

2

5.2.

Модеми ISDN адаптери DSL адаптери Т-носещи Отдалечени връзки с комутиране на пакети ATM

43 44 45 46 46 47

6.

Безжични мрежи 6.1. Кратка история 6.2. Стандарти за безжични мрежи Стандарти за безжични LAN мрежи Стандарти за безжични MAN мрежи Стандартът Bluetooth Стандартът ZigBee Клетъчни мрежи 6.3. Защита на данните в безжичните мрежи WEP криптиране WPA криптиране WPA2 криптиране SSID имена

49 49 50 50 56 56 58 60 68 69 69 70 70

7.

Връзки между LAN и MAN 7.1. Транслирани връзки 7.2. Прокси сървъри 7.3 Маршрутизирани връзки

70 70 72 73

8.

Виртуални частни мрежи 8.1. Тунелиране и капсулиране 8.2. Изграждане на VPN системи 8.3. Предимства и недостатъци на VPN

76 77 78 80

9.

Мрежи за тънки клиенти 9.1. Софтуер за комуникация между терминален сървър и тънките клиенти 9.2. Хардуер за тънки клиенти

80 82 84

10. Защита на мрежите 10.1. Видове заплахи 10.2. Мерки за сигурност 10.3. Криптиране на информацията 10.4. Цифрови подписи и сертификати 10.5. Защитни стени 10.6. Защита и възстановяване от сривове

85 85 88 90 92 93 95

11. Мрежово администриране 11.1. Споделяне на мрежови редурси 11.2. Управление на мрежовите акаунти 11.3. Управление на споделяните ресурси

98 99 102 104

Литература

105

3 КОМПЮТЪРНИ МРЕЖИ И КОМУНИКАЦИИ

1. Кратка история на компютърните мрежи В началото на 19-ти век французите създават първата оптична телеграфна мрежа със скорост на предаване 20 знака в секунда. Малко по-късно Самюъл Морз демонстрира своя електрически телеграф, с което се слага началото на телефонните комуникации. В края на 19-ти век започва изграждане на големите телефонни мрежи. Към 1960 г. различните телефонни мрежи биват свързани, образувайки световна комуникационна мрежа. През 60-те години, по време на Студената война, правителството на САЩ взема решение за разработване на компютърна мрежа, която да обслужва комуникационните връзки във военната система на САЩ. Тя се разработва под мониторинга на Министерството на отбраната на САЩ, като в нейното изграждане вземат участие и големи университети, между които Калифорнийският университет и Масачусетския технологичен институт. В резултат, в края на 60-те години възниква първата компютърна мрежа, наречена ARPAnet (Advanced Research Projects Agency network). През 1969 г. мрежата бива отворена за невоенни организации. Първи към нея се свързва Калифорнийския университет. След три години мрежата вече обхваща почти всички университети и научни институции в САЩ, а след още две достига и до Европа. Така възниква първата глобална компютърна мрежа (WAN – Wide Area Network). По-късно, през 80-те години, ARPAnet бива разделена на две мрежи – Defense Data Network (военна мрежа) и NSFNet (мрежа на Националната научна асоциация). За кратко време NSFNet се разраства, образувайки днешната мрежа Интернет. Историята на компютърни мрежи не започва с ARPAnet. Отначало мрежите включваха един мейнфрейм (компютър с големи габаритни размери и с висока за времето си производителност) и множество терминали, свързани към него. Посредством терминалите потребителите осъществяваха колективен достъп до данни и приложения, съхранявани в мейнфрейма. Терминалите са устройства, които не притежават памет и изчислителна способност. Те не са компютри. Изградени са от клавиатура и видеомонитор. Недостатък на този тип мрежи бе високата им цена, а излизането от строя на мейнфрейма водеше до отпадане на цялата мрежа. Появата на персоналните компютри промени коренно нещата. Освен ниската си цена, те осигуриха на организациите и по-висока надеждност (отказоустойчивост) на системите им за обработка на информация. Например, ако един от компютрите излезе от строя, това не нарушава работоспособността на останалите. Нуждата от общо използване на информация и ресурси (принтери, скенери и др.) в едно предприятие наложи свързване на персоналните компютри в мрежа. Така възникнаха първите компютърни мрежи, наричани локални мрежи (LAN – Local Area Network). Те са локални, понеже свързаните компютри са разположени териториално близо един до друг, най-често в една обща стая или сграда. Днес под компютърна мрежа се разбира група от свързани помежду си компютри и други устройства (принтери, скенери и/или др.), които могат да комуникират помежду си и да споделят общи информационни ресурси. Мрежите могат да бъдат малки или големи, свързани постоянно (чрез кабели) или временно (чрез телефонни линии или безжична комуникация). Телефонните мрежи се различават от компютърните по това, че използват технология, известна като комутиране на електрически вериги (circuit switching). Свързването на един телефон с друг (посредством поредица от комутации) води до възникване на електрическа верига, по която се извършва комуникацията. Връзката е постоянна и трае докато комуникацията приключи. Ако връзката бъде прекъсната и след това повторно създадена, най-често възниква друга постоянна връзка (друга електрическа верига), представляваща друг път за комуникация. При компютърните мрежи се използва друга технология, използваща комутиране на пакети (packet switching). Тук данните биват разбивани и изпращани в мрежата под формата на пакети, като всеки един от тях може да пътува по различен път в мрежата и да достигне до крайната точка на комуникация в различно време. След като всички пакети достигнат крайния пункт, те биват подреждани в първоначалния им ред така, че да образуват отново

4 тяхното общо цяло. За разлика от телефонните мрежи тук не се ползва една единствена връзка, оставаща постоянна за цялото времетраене на комуникация. Тук пакетите пътуват по различни пътища. През 90-те години започна масово свързване на LAN-мрежите в по-големи мрежи. В резултат възникна и глобалната Интернет мрежа. Развитието на мрежите доведе до възникване на нови информационни технологии, немислими до преди 20 години.

2. Класификация на мрежите Мрежите биват класифицирани според следните техни основни характеристики:  физически обхват;  метод на администриране;  мрежова операционна система;  мрежови протоколи;  топология;  архитектура. 2.1. Класификация според физическия обхват Под физически обхват следва да се разбира размера на географската област, в която е разположена мрежата, и на второ място броя на компютрите в нея. Според физическия си обхват мрежите биват:  локални мрежи (LAN – Local Area Network);  градски мрежи (MAN - Metropolitan Area Network);  глобални мрежи (WAN – Wide Area Network). LAN-мрежата обхваща ограничена географска област, като например: стая, етаж или сграда. Броят на компютрите в различните LAN би могъл да се различава съществено, като се започне от един два компютъра у дома или в офиса и се достигне до десетки дори стотици компютри, разположени в една сграда или в множество такива, намиращи се в близост една до друга. На фиг.1 е показана една примерна LAN, включваща три работни станции, скенер, принтер и сървър. Работна станция

Работна станция

Работна станция

Хъб

Скенер

Принтер

Сървър

Фиг.1 Терминът работна станция (workstation) означава, че компютърът работи под управление на своя собствена операционна система. Терминът се употребява още и за означаване на високопроизводителен компютър, използван най-често за извършване на сложна графична работа (графична работна станция). Работните станции на фиг.1 изпълняват ролята на клиенти, т. е. на компютри, които използват споделяни в мрежата ресурси, осигурявани най-

5 често от компютър, наричан сървър. Сървър е компютър, който споделя своите ресурси с останалите участници в мрежата, а хъбът ги свързва физически в мрежа. За по-лесното им управление големите LAN биват разбивани на свързани помежду си работни групи (фиг.2). Под работна група следва да се разбира група от персонални компютри (потребители), които споделят общи ресурси като например: файлове, приложения, принтери и/или др. Например компютрите в различните отдели (личен състав, счетоводство, продажби и др.) на едно предприятие могат да бъдат обособявани в отделни работни групи и последните свързани помежду си, образувайки една обща LAN.

Работна станция

Принтер Работна група

Работна станция

Хъб Сървър

Работна станция

Работна станция

Работна група

Работна станция

Фиг.2 Когато в LAN-мрежа се използват протоколите и технологиите на Интернет, мрежата може да бъде определяна още и като интранет. MAN-мрежите биват изграждани от две или повече LAN, разположени в границите на един град (в област с радиус не по-голяма от 50 до 80 км). По обхват те заемат междинно положение между LAN и WAN и често пъти вместо MAN биват квалифицирани като LAN или WAN. Затова определението MAN се среща рядко. WAN обхваща широки географски области (повече градове, държави и дори континенти) и е изградена от свързани помежду си локални мрежи. Най-добрият пример за WAN е глобалната мрежа Интернет. Тя представлява множество от различни по вид и топология компютърни мрежи, които са свързани помежду си и могат да комуникират с помощта на специално разработени интерфейсни протоколи (стандарти), които ги обединяват в една обща неразличима цялост. Но WAN може да бъде и частна мрежа, обхващаща локалните мрежи на офисите на една фирма, чиито филиали са разположени в различни градове или страни. Такива WAN мрежи биват наричани още интернет. За разлика от глобалната Интернет, терминът се записва с

6 малка начална буква. Когато в една частна WAN-мрежа се използват технологиите на Интернет, мрежата бива определяна като екстранет. WAN-мрежите се подразделят на разпределени и централизирани. Разпределените, каквато е Интернет, нямат централна точка на управление, докато централизираните притежават централен сървър (например в главния офис на фирмата), към който са свързани всички останали компютри. WAN-мрежите са маршрутизирани мрежи. Това означава, че пакетите, обменяни между LAN-мрежите, преминават през шлюзове (gateways). Шлюзът представлява специализиран компютър, наричан маршрутизатор (router), който изпълнява маршрутизиращите функции. WAN-мрежите могат да използват частни или обществени среди за комуникация. WANвръзките (връзките между LAN-мрежите) биха могли да бъдат постоянни (по кабел) или временни, които се изграждат по време на комуникацията. Временните връзки са по-често срещани. WAN-връзките са по правило по-бавни от LAN-връзките. 2.2. Класификация според метода на администриране Една мрежа може да бъде организирана по два начина:  като равноправна (peer to peer) работна група, в която всеки компютър може да изпълнява ролята на клиент или на сървър, при което всеки един от потребителите самостоятелно администрира ресурсите на своя компютър;  като сървърно-базирана мрежа, администрирането на която е съсредоточено в един централен компютър, наричан сървър. Равноправните мрежи са подходящи за малки мрежи, включващи не повече от 10 компютъра. Всички компютри в една такава мрежа образуват една обща работна група (workgroup). Това изисква всеки един от компютрите да бъде конфигуриран за работа в работна група. В Windows това се извършва чрез съответна настройка на компютъра за работа в мрежа, като името на работната група трябва да бъде едно и също за всеки един от компютрите. На фиг.3 е показан прозорецът, с чиято помощ в Windows XP се извършва задаване на имената на работната група и на конкретния компютър, участващ в мрежата.

Фиг.3

7 Прозорецът се извежда с помощта на командата Start/System/Control Panel/Computer Name и щракване в последния изведен прозорец на бутона [Change]. Администрирането в равноправните мрежи е децентрализирано. Всеки потребител отговаря за администрирането на своя компютър. Той създава потребителски акаунт и парола за онези потребители от мрежата, които ще ползват негови ресурси, като в акаунта указва кои от ресурсите (файлове и/или папки) могат да бъдат споделяни. В Windows XP за целта се използва помощната програма Network Setup Wizard, повиквана посредством командата Start/Settings/Control Panel/Network Setup Wizard. Равноправната мрежа няма централна база данни, в която да се съхраняват всички използвани в мрежата потребителски акаунти и пароли. Последните следва да бъдат създавани и съхранявани на всяка отделна машина, което е неудобно (трябва да се помнят много пароли) и понижава сигурността в мрежата. Друг недостатък на равноправната мрежа е, че всеки един от потребителите трябва да бъде обучен да може да администрира ресурсите на своя компютър. Недостатъците на равноправните мрежи се избягват в сървърнобазираните мрежи. В сървърно-базираните мрежи, наричани още мрежи клиент/сървър, администрирането на мрежата е централизирано, като същото е съсредоточено в сървъра. Потребителските акаунти се създават и съхраняват в сървъра. За да влезе в мрежата, всеки потребител трябва да притежава валиден потребителски акаунт и парола, създадени на сървъра. Отпада необходимостта от създаване на множество акаунти на различни машини и нуждата от запомняне на много пароли. Цялото администриране на мрежата е съсредоточено в едно лице, наричано мрежов администратор. Упражняването на контрол върху цялата мрежа от едно обучено лице, вместо всеки един от крайните потребители да администрира собствения си компютър, повишава значително сигурността в мрежата и улеснява потребителите. Сървърът, освен това, представлява компютър, който предоставя ресурси (данни, приложения и свързаните към него периферни устройства като принтер, скенер и др.) за ползване от другите компютри (клиентите), което улеснява ползването на споделяни ресурси. В сървърно-базираните мрежи достъпът до ресурсите бива контролиран посредством автентикация (authentication) и разрешения (permissions). За всеки споделян ресурс мрежовият администратор задава разрешения (права на достъп) за всеки отделен потребител или за цяла работна група. Чрез разрешенията се указват нивата на достъп до ресурсите, например дали даден файл може само да бъде прочитан или в него могат да бъдат извършвани и промени (редакция или изтриване). 2.3. Класификация според мрежовата операционна система Съвърите като правило са снабдени с мрежова операционна система (МОС). Последната е предназначена за управление на мрежата. Според типа на МОС мрежите биват:  Windows-мрежа;  NetWare-мрежа;  UNIX-мрежа. Някои от мрежите включват повече на брой сървъри, притежаващи различни МОС. Такива мрежи биват наричани хибридни. Модерните МОС като правило използват директорийна услуга (directory service). Тя служи за съхраняване и осъществяване на достъп до информация, касаеща мрежовите ресурси, акаунти и услуги. Директорийната услуга се състои от два компонента – директория и услуга. Понятието директория е познато от файловите системи. Там тя представлява място за съхранение на файлове, групирани под едно общо име – името на директорията. Когато се говори за МОС, понятието директория придобива друг смисъл. В МОС директорията представлява специална обектно-ориентирана база данни, която организира информацията

8 в логическа структура. В нея, под формата на обекти, се съдържа необходимата информация за обслужване на мрежата. Такива обекти са например потребителските акаунти. Посредством атрибутите си всеки един от обектите съхранява (под формата на стойности): собствените имена на потребителя, потребителското му име, паролата на акаунта и евентуално някаква друга информация. Част от атрибутите на обектите биват задължителни, а други опционални. Вторият компонент – услугата, осъществява записа, актуализацията, търсенето и защитата на информацията, съхранявана в директорията. Нарастващата роля на директорийните услуги в съвременните мрежи доведе до създаване на съответни стандарти за тях. Такива са:  OSI (Open Systems Interconnection) спецификациите X.500;  DAP (Directory Access Protocol);  LDAP (Lightweght Directory Access Protocol). Windows-мрежи Сървърно-базираните Windows-мрежи се състоят от домейни. Домейн е група от компютри, представляващи част от мрежа, която споделя обща директорийна база данни. Домейнът бива администриран с общи правила и процедури и притежава свое уникално име. Директорийната услуга Active Directory (въведена с Windows 2000) е стандартна за Windows-мрежите. Тя поддържа стандарта LDAP и използва, макар и не напълно, конвенциите на X.500 за именуване. Active Directory съхранява информация относно обектите в мрежата, която бива предоставяна за ползване на потребителите и администраторите. Логическата структура на Active Directory се състои от домейни, подредени йерархично в дървета (domain trees) и гори (forests). Самата Active Directory от своя страна представлява също домейн. Active Directory предлага удобен интуитивен поглед върху мрежата и осигурява унифициран logon-процес за достъп до споделяните ресурси. За да може Active Directory да се ползва, поне един сървър в домейна трябва да бъде конфигуриран като домейн контролер, който да изпълнява всички функции по управлението на домейна. С цел постигане на по-голяма отказоустойчивост, домейн контролерът би могъл да бъде дублиран в домейна. Друга йерархична разпределена база данни, използвана в Windows-мрежите, е DNS (Domain Name System). Тя представлява дърво, съставено от поддървета. Както Active Directory и тя от своя страна представлява домейн, но различен от Active Directory. DNS определя конвенциите за именуване на компютрите и услугите. Съдържа DNS-имена, заедно с друг вид информация, като например IP-адреси. DNS-имената се ползват и от Active Directory, тъй като Active Directory е интегрирана с DNS. NetWare-мрежи Друга популярна мрежова операционна система е Novel NetWare. С нейна помощ биват изграждани NetWare-мрежи. Започвайки от версия 4, нейната директорийна услуга се нарича NetWare Directory Services (NDS). В по-старите версии базата данни се наричаше Bindery. Както Active Directory NDS поддържа стандарта LDAP и макар и не напълно, използва конвенциите на X.500 за именуване. NDS представлява йерархична база данни, подобна на Active Directory. Освен с NetWare, NDS би могла да работи и на множество други платформи, като например: Microsoft Windows, Sun Solaris, SCO UNIX и др., а версията Net eDirectory представлява междуплатформено решение. За достъп до директорийната информация NDS може да използва различни протоколи, като: NDAP (Novel Directory Access Protocol), LDAP (Lightweght Directory Access Protocol), HTTP (при Web-сървър), ODBC API (Open Database Connectivity Application Protocol) и ADSI (Active Directory Services Interface). В света на мрежите съществуват и други видове директорийни услуги, но те не са така популярни като Active Directory и NDS и на тях тук не е отделено внимание.

9 UNIX-мрежи UNIX-мрежите използват мрежовата операционна система UNIX, използвана за първи път в ARPAnet. Днес широко разпространение получи Linux, представляваща вариант на UNIX. Linux може да работи както като сървър, така и като настолна операционна система. Както UNIX, така и Linux представляват продукти с отворен код, което позволи на много компании по света да разработят и предложат на пазара свои версии. 2.4. Класификация на мрежите според мрежовия протокол Мрежовите протоколи представляват правилата, използвани от компютрите в мрежата за осъществяване на комуникация между тях. Наричат ги още транспортни протоколи. Трите най-популярни са: NetBEUI, IPX/SPX и TCP/IP. Други известни протоколи са AppleTalk и OSI (Open Systems Interconnection). NetBEUI-мрежи Представляват малки локални мрежи, използващи Windows-операционна система и протокола NetBEUI (NetBIOS Extended User Interface). Протоколът NetBEUI е базиран на протокола NetBIOS (Network Basic Input/Output System), разработен от IBM. Той е прост, бърз и се конфигурира лесно без особени разходи, но е ограничен функционално. Така например чистите NetBEUI-мрежи не могат да бъдат маршрутизирани, тъй като протоколът е лишен от възможността да използва логически адреси за адресиране в мрежовия слой на OSI (т.3.3). NetBEUI може обаче да се използва съвместно с някакъв маршрутизеруем протокол като например TCP/IP, което би позволило на локалната мрежа да извършва комуникация с друга мрежа, използваща TCP/IP. Така например, ако една NetBEUI-мрежа трябва да бъде разбита на подмрежи, за да могат компютрите от дадена подмрежа да комуникират с компютрите от друга такава, необходимо е във всяка една от подмрежите NetBEUI да се комбинира с TCP/IP и връзката между подмрежите да се осъществи посредством маршрутизатор (router). IPX/SPX-мрежи Протоколът IPX/SPX (Internet Package Exchange/Sequenced Packed Exchange) е създаден от Novel за използване в локалните NetWare-мрежи – за своите сървъри и клиенти. Той отговаря на протокола TCP/IP, но предлага по-висока производителност от него и по-просто конфигуриране. IPX/SPX би могъл да се използва в работна група или домейн на Windowsмрежа. Microsoft разработи своя реализация на IPX/SPX, наречена NWlink. За да може един Microsoft-клиент да се свърже към NetWare-сървър, работещ с NetWare версия 4.x или постара (някои NetWare-сървъри от версия 5.х могат да комуникират само чрез TCP/IP), той трябва да разполага с инсталиран в него IPX/SPX или NWlink. TCP/IP-мрежи TCP/IP е най-бавния и най-труден за конфигуриране протокол, но въпреки това е найшироко използван. Популярността му се обуславя от следните фактори: 

използва гъвкава схема за адресиране, подходяща за маршрутизиране както в малките мрежи така и в големите;



почти всички операционни системи и платформи поддържат TCP/IP;



на пазара се предлагат огромен брой помощни програми и инструменти за наблюдение и управление на TCP/IP;



TCP/IP е протоколът на глобалния Интернет.

Повечето корпоративни мрежи използват TCP/IP, поради което е много важно бъдещите мрежови администратори да са запознати с него.

10 2.5. Класификация на мрежите според топологията им Топологията на мрежите може да бъде разглеждана в два аспекта – физически и логически. Физическата топология описва геометричното свързване на компонентите, т.е. начинът по който се разполага кабелът, който ги свързва. Логическата топология описва пътя, по който пътуват сигналите от една точка на мрежата до друга. Мрежата може да има една и съща физическа и логическа топология или те да бъдат различни. Така например в мрежа с топология линейна шина (физическа връзка с кабел, който минава последователно от един компютър към друг) данните пътуват в посока от един компютър към друг, което означава, че физическата и логическа топологии съвпадат. В друг вид мрежа компонентите могат да бъдат свързани помежду си посредством централен хъб (фиг.1). В този случай кабелните сегменти са свързани под формата на звезда и физическата топология ще е от тип звезда. Вътре в хъба връзките могат да са осъществени така, че сигналът да пътува в окръжност от един компонент към друг, което означава, че логическата топология е кръгова. В случая физическата и логическа топологии не съвпадат. Като се абстрахираме от физическия и логически аспект на топологиите, мрежите могат да бъдат класифицирани според топологията, както следва:  линейна шина;  кръг;  звезда;  решетка;  хибридна. Мрежи с линейна шина Шинната топология е проста, евтина и лесна за инсталиране. Подходяща е за малки локални мрежи, например такива в класни стаи. При нея (фиг.4), всички мрежови възли са свързани помежду си с един единствен кабел, преминаващ от един възел към друг (peer-topeer), като не е необходимо непременно шината да е права линия.

Фиг.4 Външна изолация

Вътрешна изолация

Фиг.5

Меден проводник

11 Шинната мрежа може да се реализира с помощта на тънък многожилен коаксиален кабел (фиг.5), наричан thinnet. Той е от тип RG-58 A/U с диаметър приблизително 1/4 инч и електрическо съпротивление 50 ома. Използва се за архитектура Ethernet 10Base2 (т.2.6). Сигналът може да се пренася на разстояние до 185 метра, без влошаване на неговото качество. Връзките между кабела и мрежовите Ethernet интерфейсни карти се осъществяват с помощта на T-образни конектори, наричани BNC T-конектори. Съществуват и цилиндрични BNC-конектори, предназначени за съединение (удължаване) на кабел (фиг.6).

Фиг.6 Двата края на шината трябва да бъдат терминирани с помощта на резистор със съпротивление 50 ома, наричан BNC-терминатор. Той се свързва към неизползвания край на T-конектора на крайните компютри. Ако двата края на кабела не бъдат терминирани, възниква отразен сигнал, който смущава комуникацията, като може дори да я прекъсне изцяло. Единият край на шината (но не и двата) трябва да бъде заземен. Кабелът би могъл да бъде и дебел коаксиален кабел от тип RG-8 или RG-11 с диаметър 1/2 инч, наричан thicknet. Той е в състояние да предава сигнали без затихване до 500 метра. В този случай се използва архитектура Ethernet 10Base5, която изисква използване на външни приемопредаватели или пък Ethernet интерфейсни карти от тип 10Base5 с вградени такива. Когато приемопредавателите са външни, връзката им с мрежовите карти се осъществява с помощта на DIX-конектори и AUI кабел. Връзките между коаксиалния кабел и приемопредавателите се правят със специално устройство, наричано „вампирски зъб”, впиващо се в сърцевината на кабела. Дебелият коаксиален кабел е по-скъп и с него се работи по-трудно (изграждането на електрическите връзки е по-сложно). Thicknet се употребява предимно за създаване на гръбнак (backbone), свързващ мрежови сегменти. Мрежовият сегмент представлява част от локална мрежа, включваща няколко свързани помежду си компютъра. Връзката между гръбнака и мрежовите сегменти се осъществява посредством тънки коаксиални кабели и хъбове от тип 10BaseT. При линейната шинна топология, когато един компютър излъчи съобщение, то достига до всички компютри в мрежата. Мрежовата карта на всеки компютър проверява дали съобщението се отнася за него, като анализира адресната информация, съдържаща се в хедъра на съобщението. Ако не е предназначена за него, картата игнорира съобщението. Недостатък на шинната технология е, че при прекъсване на кабелната връзка (физическо прекъсвате на кабела или откачане на някой от компютрите от мрежата) комуникацията се прекъсва и цялата мрежа престава да работи. Друг нейн недостатък е пасивността по отношение на електрическите сигнали. Тъй като мрежовите карти не регенерират получавания електрически сигнал, с увеличаване на разстоянието, сигналът постепенно затихва. При големи разстояния се налага включване в мрежата на повторители, извършващи регенерация (усилване) на отслабения сигнал, което оскъпява реализацията.

12 Кръгова топология Кръговата топология е евтина и лесна за реализация. При нея всеки компютър е свързан към два съседни такива, образувайки кръг (фиг.6). Кръговата топология бе реализирана за първи път под формата на шина, крайщата на която бяха съединени. Нуждата от терминатори отпадна. За изграждане на мрежата, както и при шинната топология, би могъл да се използва коаксиален кабел. Кръговата топология има обаче един съществен недостатък - при прекъсване на кръга (при отказ на един от персоналните компютри или при прекъсване на кабела) се спира работата на цялата мрежа. Поради тази причина кръговите мрежи не намериха широка употреба. Мрежата Token Ring на IBM премахна този недостатък. В нея връзките от типа peer-to-peer (компютър с компютър) бяха заменени с връзки от тип звезда. Всеки компютър се свързва към централен хъб (концентратор), който реализира кръга вътрешно в себе си. По този начин бе избегната зависимостта на мрежата от отказа на една работна станция, като в същото време пътуването на сигналите по кръг се запази. За реализация на архитектурата Token Ring (т.2.6), с която най-често бива асоциирана кръговата топология, се използва друг вид кабел, отбелязван като STP (STP – shielded twisted-pair) и отговарящ на спецификацията IEEE 802.5. Той представлява екранирана усукана двойка.

Фиг.6 Под външната обвивка на кабела от тип усукана двойка се съдържат взаимно усукани по двойки изолирани медни проводници (фиг.9). Усукването ограничава в известна степен така наречените кръстосани шумове, предизвикани от външни електромагнитни смущения. Единият проводник неутрализира шума възникнал в другия. Колкото по-нагъсто са усукани проводниците, толкова по-добра е степента на защита срещу посочения вид смущения. В кръговата мрежа сигналът пътува в една посока. Всеки компютър приема сигнала от своя предходен съсед, регенерира го и го препредава на следващия такъв. Топология звезда Топологията звезда (star) е една от най-популярните и е доминираща в съвременните LAN мрежи. В нея всеки един от компютрите е свързан към централен хъб (фиг.7), като за целта се използва кабел от тип неекранирана усукана двойка (UTP) и Ethernet архитектура 10BaseT, 100BaseT или 1000BaseT (т.3). Хъбът може да е пасивен, активен или интелигентен. Пасивният не изисква електрическо захранване. Той е просто точка на свързване. Активните хъбове (най-разпространените) усилват сигнала, преди той да бъде предаден към останалите компютри, а интелигентните представляват активни хъбове, снабдени с допълнителни функции (т.4.3).

13 Сигналът, изпратен от даден компютър, преминава през хъба, усилва се и както при шинната технология се изпраща към всички останали компютри в мрежата. По-нататък той се възприема само от онзи компютър, за който е бил предназначен (адресиран). Топологията звезда има две големи предимства пред шинната и кръговата. Тя е поотказоустойчива и се поддава лесно на преконфигуриране. Ако някой от компютрите бъде откачен от мрежата или пък неговият кабел прекъснат, мрежата не излиза от строя. Останалата нейна част продължава да функционира нормално. Що се отнася до преконфигурирането, всяко добавяне или премахване на компютри към съществуващата мрежа се осъществява изключително лесно, единствено чрез включване или изключване на техния кабел в/от хъба.

HUB

Фиг.7 Като единствен недостатък на топологията звезда може да бъде отбелязана по-високата цена на реализация в сравнение с шинната и кръгова топологии, тъй като е нужен хъб и повече кабел. Но следва да се отбележи, че използвания UTP кабел е по-евтин от коаксиалния и няма нужда от терминатори. Решетъчна топология Решетъчната топология се среща рядко. При нея всеки компютър от мрежата има директна връзка с всеки един от останалите такива. Това прави решетката (mesh) изключително отказоустойчива. Ако пропадне един от пътищата, по който даден компютър изпраща съобщение, сигналът преминава по друг път, тъй като са налице много други възможни пътища. Основен недостатък на този вид топология е високата цена и огромното количество кабел. Добавянето на всеки нов компютър в мрежата увеличава бъркотията от връзки. Броят на конекциите нараства експоненциално. Когато огромният брой конекции на решетката бъде намален чрез използване в нея на друг вид топология, възниква хибридна решетка, а мрежата се превръща в хибридна решетъчна мрежа. Хибридни топологии Хибридната топология е комбинация между две или повече от изброените до тук топологии – шинна, кръг и звезда.

14 Когато мрежата се изгражда чрез използване на множество от различни топологии, но без наличие на решетъчни връзки между компютрите, възниква така наречената комбинирана топология. Например мрежата може да включва няколко хъба, към всеки един от които да има компютри, свързани в топология звезда, а хъбовете помежду си да са свързани в топология линейна шина (фиг.8). Комбинираната топология е често използвана. За тази цел в голяма част от хъбовете има предвиден BNC T-конектор за тънък коаксиален кабел заедно с повече RJ-45 портове за UTP връзки. С помощта на коаксиалния кабел бива изграждан гръбнакът (backbone) на мрежата. Един хъб със свързаните към него компютри образуват мрежов сегмент. Повече сегменти, свързани към общ гръбнак, образуват комбинирана мрежа.

Хъб Хъб

Хъб Хъб Гръбнак Сървър

Фиг.8 2.6. Класификация според мрежовата архитектура Мрежовата архитектура е по-общо понятие от мрежовата топология. То включва: топологията, типа на използвания кабел, ограниченията в разстоянията, методите на достъп до преносната среда, размера на пакетите, хедърите и др. Описва се чрез спецификации, наричани протоколи на каналния слой. Към общоприетите LAN архитектури могат да бъдат отнесени: Ethernet, Token Ring, AppleTalk и ARCnet. Сред тях най-голяма популярност и разпространение получи Ethernet. Ethernet мрежи Архитектурата Ethernet е разработена през 60-те години. Води началото си от мрежата ALOHA на Хавайския университет. През 70-те години тя е усъвършенствана от Xerox, Digital и Intel, които създават Ethernet стандарт за предаване на данни със скорост 10 Mbps, означаван като IEEE 802.3. По-късно бяха създадени и разпространени нови форми - Fast Ethernet и Fiber Link Ethernet, които работят със скорост 100 Mbps и Gigabit Ethernet, работеща с 1000 Mbps (1 Gbps). В зависимост от топологията Ethernet мрежите биват от тип линейна шина или звезда. За пренос на данни се използва метод, наречен множествен достъп с разпознаване на носещата (честота) и откриване на колизии (CSMA/CD - Carrier Sence Multipple Access with Collision Detection). В зависимост от типа на използвания кабел Ethernet топологиите биват:  10Base2 (thinnet);  10Base5 (thicknet);

15  10BaseT (UTP);  100BaseT (Fast Ethernet);  100BaseFL (Fiber Link Ethernet);  1000BaseT (Gigabit Ethernet). Числото 10 указва, че скоростта на предаване е 10 Mbps, а 100 и 1000, че тя е съответно 100 Mbps и 1 Gbps. Мрежи Ethernet 10Base2 (thinnet) За реализацията й се използва тънък многожилен коаксиален кабел тип RG-58 A/U с диаметър приблизително 1/4 инч и електрическо съпротивление 50 ома, наричан thinnet. Числото 2 означава, че максималната дължина на един кабелен сегмент е 185 метра (числото 185 е закръглено до 200, след което двете нули са премахнати). Мрежите 10Base2 се реализират физически под формата на линейна шина с използване на BNC-конектори и терминатори. За съжаление мрежата е прекалено бавна за днешния свят. Поради ограниченията в дължината на кабела, тя не е подходяща за изграждане на големи мрежи. Единственото й предимство е, че е евтина. За своята реализация тя не изисква хъбове и външни приемопредаватели. Мрежи Ethernet 10Base5 (thicknet) За реализацията й се използва дебел коаксиален кабел тип RG-8 или RG-11 с диаметър 1/2 инч, наричан thicknet, който е в състояние да предава сигнали без затихване до 500 метра. Числото 5 означава, че максималната дължина на един кабелен сегмент е 500 метра. Мрежите 10Base5 се реализират физически под формата на линейна шина. Топологията изисква използване на външни приемопредаватели или пък Ethernet интерфейсни карти тип 10Base5 с вградени такива. Когато приемопредавателите са външни, връзката им с мрежовите карти се осъществява с помощта на DIX-конектори и AUI кабел. Връзките между коаксиалния кабел и приемопредавателите се правят със специално устройство, наричано „вампирски зъб”, впиващо се в сърцевината на кабела. Дебелият коаксиален кабел е по-скъп и с него се работи по-трудно. Кабелът thicknet се използва предимно за реализация на гръбнак (backbone), свързващ мрежови сегменти. Връзката между гръбнака и мрежовите сегменти се осъществява посредством тънки коаксиални кабели и хъбове от типа 10BaseT. Мрежи Ethernet 10BaseT (UTP) Кабелът от тип UTP днес е най-популярната преносна среда за реализация на LAN. Той е от тип усукана двойка. Буквата T в означението 10BaseT идва от twisted – усукан.

Фиг.9

16 Кабелите от тип усукана двойка се предлагат в две модификации – като неекранирана усукана двойка (UTP – unshielded twisted-pair) и като екранирана такава (STP – shielded twisted-pair). Телефонните комуникации и повечето Ethernet мрежи използват UTP, а мрежите от тип ApppleTalk и Token Ring STP. Екранирането намалява влиянието на външните електромагнитни смущения, но увеличава затихването. Кабелите от тип усукана двойка биват с различен брой двойки проводници (фиг.9) и с различни дебелини. Броят на двойките в снопа може да бъде от 2 до 3000. Кабелите се означават съгласно спецификации, утвърдени от Американския стандарт за проводници AWG. Категориите кабел са показани в следващата таблица [1]. UTP категория

Максимална скорост на предаване

Cat 1

Само за глас

Cat 2

4 Mbps

Cat 3

16 Mbps

Cat 4

20 Mbps

Cat 5

100 Mbps – 1 Gbps

Cat 5 Enhanced (Cat 5e) Cat 6 & 7

155 Mbps 1 Gbps

Характеристики и предназначение Използва се в старите телефонни линии. Не е подходяща за предаване на данни. Използва се за телефонни линии. Найниска категория за предаване на данни. Подходящ за Ethernet 10 Mbps Най-често използван в LAN. Използва се за Fast Ethernet. Използва се за Fast Ethernet и ATM Използва се за Gigabit Ethernet

Съвременните 10BaseT мрежи като правило биват изграждани с използване на кабел Cat 5 или Cat 5e. В много от сградите има положен кабел от тип Cat 3 за нуждите на телефонната комуникация. В краен случай той също би могъл да бъде ползван за изграждане на мрежа, но скоростта на предаване ще падне драстично. Електрическата връзка между мрежовите Ethernet карти и кабелите от тип усукана двойка се осъществява с помощта на популярните RJ-45 конектори (фиг.10). Наричат се RJ (registered jack) защото са регистрирани от Федералната комисия по комуникациите на САЩ.

Фиг.10

17 За телефонните кабели от тип усукана двойка се използват друг вид конектори - RJ-11, които се различават от RJ-45. В мрежите 10BaseT (UTP) с топология звезда всеки компютър бива свързван към централен хъб посредством парче UTP кабел. Мрежите от този тип са сравнително евтини, тъй като UTP кабелът е много по-евтин в сравнение с коаксиалните кабели. Мрежовите карти тип 10BaseT и хъбовете за тях също не са скъпи. Мрежи 100BaseT (Fast Ethernet) Това са мрежи с топология звезда и използване на UTP кабел от типа Cat 5 или Cat 5e, които могат да работят с максимална скорост 100 Mbps. Мрежовите карти и хъбовете трябва да поддържат същата максимална скорост. Много от тях поддържат стандартните скорости 10, 100 и 1000 Mbps. Това позволява различните мрежови сегменти в една по-голяма мрежа (фиг.8) да работят с различни скорости. Мрежите от тип 100BaseT притежават висока производителност, ниска цена и гъвкавост на реализация и разширение. Единствен недостатък е предразположеността им към електромагнитни смущения, което е характерно за всички мрежи, използващи UTP кабел. Мрежи 100BaseFL (Fiber Link Ethernet) Това са мрежи изградени с помощта на оптичен кабел (fiber optic cable). Кабелът бива наричан още влакнесто-оптичен или оптично влакно (FL - Fiber link в означението 100BaseFL се превежда като оптично влакно). Оптичният кабел (фиг.11) прилича на коаксиалния, но вместо мед в него се използват нишки от стъкло или от прозрачна пластмаса, по които сигналът се предава под формата на светлинни импулси. Електрическите импулси, без да бъдат модулирани, биват преобразувани директно в светлинни посредством полупроводников светлинен източник – светлинен диод (LED – Light Emitting Diode) или инжекционен лазерен диод (ILD – Injection Laser Diode).

Фиг.11 Оптичните кабели биха могли да работят в два режима:  Единичен режим (Single mode), при който светлината пътува по оста на кабела. Режимът е по-бърз от описания по-долу множествен режим. Скоростта на предаване достига 10 Gbps. Режимът се използва във WAN мрежите за осъществяване на връзки между централите на телефонните компании.  Множествен режим Multimode), при който светлинните вълни се изпращат в стъкления канал под различни ъгли. По време на пътуването си те се отразяват

18 многократно от стените на стъкления канал, с което техния път се удължава и скоростта на предаване пада. Режимът се използва в LAN мрежите. За разлика от медните кабели при оптичните сигналът не се поддава на електромагнитни смущения. Затихването на сигнала е незначително, което позволява един кабелен сегмент да достига до дължина 2000 метра, което е 4 пъти повече от 10Base5, над 10 пъти повече от 10Base2 и 20 пъти повече от 10BaseT. Оптичният кабел се използва за мрежи, работещи със скорост 100 Mbps, 1 Gbps и повече. Той е сравнително скъпа преносна среда и с него се работи по-трудно. Снаждането на кабела изисква специални умения. Мрежи 1000BaseT (Gigabit Ethernet) Gigabit Ethernet е създаден през 1996 г. и е публикуван като спецификация IEEE 802.3z. Той се използва в LAN мрежи, в които изискванията към пропускателната способност са високи, например за предаване на видео на живо. Скоростта на работа достига 1 Gbps, което е 10 пъти по-бързо от Fast Ethernet и 100 пъти по-бързо от стандартния 10BaseT. Единствен недостатък на мрежата е предразположеността й към електромагнитни смущения - недостатък характерен за всички мрежи, използващи UTP кабел. Мрежи Token Ring Архитектурата Token Ring е създадена през 80-те години от IBM. Тя е разработена с цел да бъде премахната конкуренцията между компютрите за ползване на мрежата, характерна за архитектурата Ethernet. В Token Ring физическите връзки са от тип звезда, а логическата топология е кръгова. Най-често архитектурата бива асоциирана с кръговата топология. Всеки компютър се свързва към специален централен хъб (концентратор), отбелязван като MSAU (Multistation Access Unit). Той реализира логическия кръг вътрешно в себе си. Отказът на една работна станция не води до сриване на мрежата. Пътуването на сигналите се извършва по кръг. Един сигнал, наречен token, играе ролята на маркер. Той обикаля от един компютър към друг, като всеки един от тях го регенерира и препредава на следващия такъв в кръга. В даден момент само един от компютрите разполага с маркера. Един компютър не може да започне да предава данни в мрежата, докато не получи маркера. Това означава, че в даден момент само един от компютрите в мрежата би могъл да предава. По този начин се избягва характерното за Ethernet едновременно изпращане на сигнал в мрежата от повече компютри, предизвикващо колизии на данните. Затова архитектурата Token Ring се счита за високо надеждна. За реализация на Token Ring се използва STP кабел (екранирана усукана двойка), отговарящ на спецификацията IEEE 802.5. Недостатъци на Token Ring са нейната по-висока цена в сравнение с 10BaseT и 100BaseT и нейната по-ниска производителност (максимално до 16 Mbps). Днес тя отстъпи позициите си на Ethernet. Друга технология, използваща принципите на Token Ring е FDDI (Fiber Distributed Data Interface). Тя се появи в средата на 80-те години и бе водеща технология през следващите 10 години. По-късно конкурентните Fast Ethernet и АТМ я изместиха. В нея се използват два противопосочни кръга, а скоростта на работа достига до 100 Mbps. Мрежи AppleTalk Архитектурата AppleTalk е разработена от Apple Computers и е предназначена за изграждане на мрежи с персонални компютри от типа Macintosh. Архитектурата осигурява споделяне на файлове и принтери в работна група. За целта се използва комплект от протоколи на приложно ниво, наричан AppleShare. Основният протокол се нарича LocalTalk Link Access Protocol (LLAP), откъдето произлиза и другото название LocalTalk на мрежите AppleTalk. Мрежите AppleTalk могат да бъдат разделяни на работни групи, наричани зони. Потребителят вижда единствено споделяните ресурси, намиращи се и принадлежащи на неговата зона. За комуникация между зоните се използват маршрутизатори, базирани на протокола ZIP (Zone Information Protocol).

19 Мрежи ARCnet Архитектурата ARCnet (Attached Resource Computer Network) е стара. Предназначена е за изграждане на LAN мрежи. Тя бе изместена изцяло от Ethernet и Token Ring. В нея, подобно на Token Ring, се използва метод на достъп с използване на маркер, но вместо кръг мрежовата топология е шина или звезда. ATM мрежи ATM (Asynchronous Transfer Mode) е модерна цифрова мрежова технология, предназначена за високоскоростни приложения, каквито са например поточните аудио и видео. Тя спада към мрежовите технологии с комутиране на пакети. АТМ може да бъде използвана както за LAN, така и за WAN мрежи. Първата спецификация на АТМ бе разработена и публикувана през 1980 г. от ITU (International Telecommunication Union). През 1991 г. производителите на АТМ-оборудване основаха организация АТМ-форум за координация и изработване на решения. Посредством мултиплексиране АТМ позволява едновременно предаване на глас и видео по мрежата. Стандартните скорости на АТМ са: 25 Mbps, 155.520 Mbps и 622.080 Mbps, като има възможност нестандартно скоростта да достига до 10 Gbps. Технологията е базирана върху широколентова (broadband) ISDN (Integrated Services Digital Network – цифрова мрежа за интегрирани услуги), отбелязвана като B-ISDN. Данните се разделят на парчета с фиксирана дължина 53 байта, наречени клетки. За хедъра, съдържащ адресната информация, се отделят 5 байта, а за същинските данни остават 48 байта. Връзката между две крайни точки се осъществява посредством динамично изграждане на виртуална верига на базата на предварително дефинирани вериги (множество виртуални вериги, които асинхронно биват мултиплексирани върху един и същ цифров канал). Комутацията на клетките е бърза. Тя се осъществява комбинирано чрез комутация на канали (circuit switching) и на пакети (packet switching). Комутацията на канали гарантира нужната пропускателна способност, осигурявайки константно закъснение при предаването на клетките, а комутацията на пакети подобрява ефективността на предаване при нерегулярен трафик. АТМ е скъпа за реализация мрежова технология, понеже изисква използване на скъпо струващ специализиран АТМ хардуер (мрежови карти, хъбове и др.). Независимо от това тя успя да се наложи като популярна технология. ADSL мрежи ADSL (Asymetric DSL) e сравнително нова технология, предлагана от телефонните компании. Тя позволява съществуващите медни кабели на телефонната мрежа да бъдат използвани за Интернет (за WAN-връзки). Сред петте варианта на реализация на DSL (Digital Subscriber Lines), ADSL е най-популярната и сравнително най-евтина реализация. Както и DSL тя представлява технология с комутиране на вериги. За създаване на множество канали използва метода мултиплексиране с разделяне на честотата. Осигурява средни скорости на предаване от 384 Kbps до 6 Mbps, като скоростта на низходящия поток (достъп до електронна поща, интензивно сваляне от Интернет, сърфиране във Web) е по-висока (обикновено 1.5 Mbps) от тази на възходящия поток за качване в Интернет (хостване на Web или FTP). Поради тази асиметрия ADSL е технология, която е по-подходяща за сваляне (download) отколкото за качване (upload) в Интернет. Като недостатък на технологията може да бъде отбелязано ограничението, че разстоянието от телефонната централа до потребителя на ADSL не може да надхвърля 5 км.

3. Мрежови модели Мрежовите модели описват начините, по който се извършва комуникацията в компютърните мрежи. На тяхна база се създават мрежовите стандарти и спецификации, въз основа на които се произвеждат всички мрежови продукти.

20 3.1. Комуникация с пакети В компютърните мрежи се използва технология, използваща комутиране на пакети (packet switching). За да могат компютрите в една мрежа да ползват мрежата едновременно, необходимо е големите файлове да бъдат разбивани и изпращани в мрежата под формата на по-малки информационни единици, наричани пакети, като времето за предаването им се разпределя между компютрите. В противен случай един компютър би монополизирал пропускателната способност на цялата мрежа, докато трае неговата комуникация. По време на комутацията на пакетите на един файл всеки един от тях би могъл да пътува по различен път в мрежата и да достигне до крайната точка на комуникация за време, различно от това на останалите пакети на същия файл. След като всички пакети достигнат крайния пункт, те биват подреждани (сглобявани) в първоначалния им ред така, че да образуват отново файла. Информация за тяхната подредба се съдържа в хедърите (заглавната част) (фиг.12) на пакетите. Ако мрежовата комуникация бъде прекъсната или пък поради някакви други причини бъдат изгубени един или няколко пакета, повторно се предава само загубената информация, но не и целия файл. За разлика от телефонните мрежи, където докато трае комуникацията се ползва винаги една единствена връзка, при комуникацията с пакети, ако даден път се окаже претоварен, следващите пакети биват изпращани автоматично по друг по-ефикасен маршрут. Хедър

Данни

Трейлър

Фиг.12 Хедърът се разполага преди данните. Той се състои от полета, чийто брой и размер зависят от мрежовата архитектура и протоколите. Като правило в хедърните полета се съдържат: адреса на местоназначението, адреса на източника, както и друга информация, зависеща от протокола. Ethernet пакетите биват наричани фреймове (frames, кадри). Един фрейм може да бъде с размер между 64 и 1518 байта. При Token Ring пакетът (фреймът) е с размери 4202 байта. Пакетите включват и завършваща информация, наричана трейлър (trailer). Обикновено той съдържа информация, позволяваща да бъде извършена проверка дали в получените по мрежата данни не се е появила някаква грешка вследствие на електромагнитни смущения. Проверката се нарича циклична проверка с излишък (cyclical redundancy check – CRC). Данните на всеки пакет, преди да напуснат компютъра-източник, биват обработвани чрез образуване на сума по модул 2 (от битовете на данните). Тази сума се записва в трейлъра. Когато пакетът пристигне в местоназначението си, отново се образува сума от същите битове, след което тя се сравнява със сумата от трейлъра. Ако сумите се окажат различни, това означава, че данните са били променени по време на изпращането им и че пакетът следва да бъде повторно изпратен. 3.2. Многослоен процес на комуникация Процесът на мрежова комуникация е сложен. Изпращаната информация трябва да бъде сведена до електрически сигнали, които по кабел или безжично да достигнат до компютъраполучател. Там сигналите трябва да бъдат конвертирани обратно в тяхната първоначална форма. Целият процес на комуникация включва определен брой стъпки, образуващи многослоен процес (от стъпки). Действията на всяка една от стъпките се описва чрез протокол. Множеството от протоколи образува комплект, наричан сюита от протоколи (protocol suit). Всяка такава сюита се описва чрез конкретен мрежов модел. По-долу се разглеждат стандартните модели OSI и TCP/IP. Съществуват и други мрежови модели, реализирани в мрежовите операционни системи на различните производители на операционни системи. Такъв е например мрежовият модел в Windows XP на Microsoft [1].

21 Независимо от различията в названията на слоевете им, те са съвместими с модела стандарт OSI. 3.3. Мрежов модел OSI Моделът OSI (Open System Interconnection) е разработен през 80-те години от ISO (International Standard Organization). Той има за цел да послужи като стандарт за изграждане и описание на мрежови модели. Но той не е първият мрежов модел. През 70-те години, като част от ARPAnet, бе разработен моделът TCP/IP, който впоследствие намери широко приложение и днес се наложи като основен в Интернет.

Приложен слой Представителен слой Сесиен слой Транспортен слой Мрежов слой Канален слой Физически слой Фиг.13

Link хедър

Link хедър

Данни

Pres хедър

Link хедър

Данни

Ses хедър

Pres хедър

Link хедър

Данни

Transp хедър

Ses хедър

Pres хедър

Link хедър

Данни

Net хедър

Transp хедър

Ses хедър

Pres хедър

Link хедър

Данни

Net хедър

Transp хедър

Ses хедър

Pres хедър

Link хедър

Данни

Фиг.14

Link трейлър

22 Моделът OSI е изграден от седем слоя (фиг.13), всеки един от които представлява една стъпка в многослойния процес на мрежовата комуникация. Наричат го понякога OSI-стек. Но това не е данновия стек, познат от програмирането като структура от данни. OSI е протоколен стек. Всеки слой на модела изпълнява конкретна задача. В предаващия компютър всеки слой получава данни от по-горния слой, добавя към тях своя информация (под формата на хедър) и предава данните надолу към следващия такъв (фиг.14). В приемащия компютър процедурата е обратна – информацията се придвижва отдолу нагоре, като всеки един от слоевете премахва част от нея. На фиг.14 липсва изображение за физическия слой, тъй като той не добавя хедър. Неговата функция е да създаде сигнали и да ги пренесе по мрежата. Функциите на отделните слоеве са следните: Приложен слой Слоят осигурява взаимодействието (интерфейса) между потребителското приложение и мрежата. Но това не е онази част на приложението, която създава самото изпращано съобщение, а частта, която изпълнява мрежови функции, изпълнявани в полза на приложението, като: трансфер на файлове, достъп до печат, обмен на съобщения и др. Изброените функции биват изпълнявани в съответствие с определени протоколи. Към протоколите на приложния слой се отнасят: FTP (File Transfer Protocol), Telnet (програма за терминална емулация), SMPT (Simple Mail Transfer Protocol), HTTP (Hypertext Transfer Protocol) и др. Представителен слой В предаващия компютър приложният протокол приема данните от потребителското приложение и ги изпраща надолу в представителния слой. Името на последния подсказва, че става дума за представяне (на данните). В представителния слой се извършва конвертиране на данните от една система на кодиране в друга с цел осъществяване на трансфера им между разнородни платформи или операционни системи, например конвертиране между кодовете ASCII (American Standard Code for Information Interchange) и EBCDIC (Extended Binary Coded Decimal Interchange Code). Представителният слой е в състояние да извършва и функции като криптиране и компресиране на данните. Представителният слой в приемащия компютър извършва обратните функции – декомпресиране, декриптиране и конвертиране на данните. Сесиен слой Протоколите от този слой отговарят за изграждане и поддържане на сесия (комуникационен поток) между предаващия и приемащия компютър. Слоят установява и прекратява диалозите между комуникиращите приложения. Друга функция на сесийния слой е да управлява и контролира начина на предаване – полудуплекс или пълен дуплекс. Пълният дуплекс осигурява двупосочна комуникация, при която двете страни биха могли да приемат/предават едновременно (подобно на телефонен разговор). Полудуплексът е също двупосочен, но в даден момент може да приема/предава само една от страните. Сесийният слой би могъл да изпълнява още и функции, вързани със сигурността на данните, както и преобразуване на имена. Транспортен слой Транспортният слой е важен елемент в мрежовите комуникации. Той управлява потока от пакети. В приемащия компютър той следи за тяхната валидност и ред на следване, като при необходимост пренарежда (сглобява) пакетите така, че да се възстанови целостта на съобщението. В предаващия компютър слоят структурира съобщението под формата на пакети и го изпраща в мрежата като поток от пакети. Друга важна функция на транспортния слой е преобразуването на имена, както и осигуряване на многозадачността на мрежовите

23 приложения. Транспортният слой използва два типа транспортни протоколи – връзковоориентиран и безвръзково-ориентиран. При връзково-ориентираният протокол между предаващата и приемащата страни се създава функционална връзка за потвърждаване и отговор, посредством която приемната страна, след като получи данни ги проверява за наличие на грешка и изпраща на предаващата страна съобщение дали те са пристигнали успешно. Популярният от Интернет протокол TCP (Transmission Control Protocol) представлява връзково-ориентиран протокол. Безвръзково-ориентираният протокол се различава от връзково-ориентираният по това, че описаната по-горе функционална връзка липсва. Приемната страна не извършва проверка на получаваните данни и не изпраща съобщение на предаващата страна дали те са пристигнали успешно. При този вид протокол няма никаква гаранция, че изпратените данни не са се загубили някъде по пътя. Предимството му е в по-високата производителност (по-малко натоварване на мрежата и по-висока скорост на комуникация). Използва се за изпращане на кратки и прости съобщения, които не са критични по отношение на тяхната важност, например такива, които биват изпращани до всички компютри в една подмрежа едновременно. Протоколът UDP (User Datagram Protocol), който е член на комплекта TCP/IP, е безвръзково-ориентиран. Изпращаните с негова помощ съобщения се наричат дейтаграми (datagrams). Преобразуването на имена представлява друга важна задача на транспортния слой. Транспортните протоколи TCP/IP (Transmission Control Protocol/Internet Protocol) и IPX/SPX (Internet Package Exchange/Sequenced Packet Exchange) използват логически имена на компютрите (хостовете), които биват преобразувани в логически мрежови адреси (IPадреси), с чиято помощ се осъществява идентификацията на компютрите в мрежата. Преобразуването се извършва с помощта на мрежовата услуга DNS (Domain Name System). Следваща важна задача на транспортния слой е осигуряването на многозадачността на мрежовите приложения. Последната позволява на потребителя да изпълнява в даден момент повече мрежови приложения едновременно, например да използва браузъра за достъп до някакъв Web сайт и в същото време да сваля e-mail писмата си от електронната поща. Сайтът и пощата пристигат на един и същ мрежов адрес – на IP-адреса на вашия компютър. За да се осъществи тяхното разделяне, протоколите от транспортния слой използват така наречените портове. Сайтът и пощата постъпват на портове с различни номера. За по-добро обяснение на ролята на портовете, тук може да бъде използвана следната аналогия. Ако приемем, че IPадресът указва име на улица плюс номер на сградата, то портовете сочат номерата на апартаментите в сградата. Номерата на портовете са допълнение към мрежовия адрес. Всеки номер представлява 16-битово число (64536 различни порта), съдържащо се в едно от 12-те полета на 20 байтовия IP-хедър на транспортния слой. Мрежов слой Мрежовият слой отговаря за доставяне на пакетите до тяхното местоназначение. Той управлява маршрутизацията (routing). Под маршрутизация следва да разбираме изпращане на пакети от една мрежа (или подмрежа) към друга по най-ефикасния възможен път. С информацията от този слой работят два вида хардуерните устройства - маршрутизаторите (routers) и комутаторите от ниво 3 (switches of Layer 3). Мрежовият слой изпълнява и функциите, свързани с приоритетността на данните. Данни, които изискват по-голяма пропускателна способност, каквото е например видеото, биват маршрутизирани с предимство пред останалите. Канален слой Слоят се състои от два подслоя:  подслой за контрол на достъпа до преносната среда (MAC – Media Access Control);  подслой за контрол на логическите връзки (LLC – Logical Link Control). Контролът на достъпа до преносната среда се извършва с помощта на MAC (Media Access Control) адреси. С тяхна помощ се осъществява физическото адресиране на компютрите в

24 мрежата. MAC адресът представлява уникално шестнадесетично число, физически (хардуерно) постоянно записано в Ethernet или Token Ring мрежова интерфейсна карта (NIC – Network Interface Card). MAC адресите в една Ethernet мрежа, наричани за краткост Ethernet адреси, биват записвани като 12 шестнадесетични цифри, подредени в 6 двойки, като всяка една от тях е отделена от останалите чрез двоеточие, като например 26:C4:2F:53:08:A4. Физически адресът представлява 6-байтово двоично число. Първите 3 байта съдържат кода на производителя (определя се от IEEE), а последните 3 се задават от производителя и служат като идентификатор на конкретната карта. Всяка карта би трябвало да притежава свой уникален адрес, който да не се среща в останалите карти. На практика понякога някои от производителите на карти дублират MAC адресите, поради допускане на грешки или в резултат от повторно използване на 3-байтовите номера (поради тяхното изчерпване). Ако две карти с един и същ MAC адрес се окажат в една и съща мрежа, това би предизвикало проблеми. В LLC подслоя се дефинира логическата топология на мрежата, която, както вече бе споменато (т.2.5), може да не съвпада с физическата. Той осигурява връзката на MAC подслоя със слоевете над и под него. Хардуерните устройства, които действат с информацията от каналния слой, са мостовете (bridges) и комутаторите от ниво 2 ((switches of Layer 2), наричани още комутиращи хъбове. Физически слой Тук данните, заедно с хедърите и трейлъра, получени от мрежовия слой, биват преобразувани в електрически или светлинни сигнали, който се предават в мрежата по кабел или безжично. Тук се взема под внимание физическата топология на мрежата. Мрежовите карти, повторителите и хъбовете (пасивни, активни и интелигентни) са устройствата, който работят във физическия слой. Когато за комуникация се използват телефонни линии, мрежовата карта отсъства. На нейно място се използва модем. Когато два компютъра се намират близо един до друг, те могат да бъдат свързани съвсем просто (без мрежови карти или модеми) през сериийните си портове посредством сериен кабел. Такава връзка бива наричана нулев модем. Мрежовите карти, хъбовете, мостовете, комутаторите и маршрутизаторите, са разгледани в т.4. 3.4. Моделът TCP/IP Както бе споменато (т.3.3) моделът TCP/IP бе разработен през 70-те години, като част от ARPAnet. Впоследствие той намери широко приложение и се наложи като мрежов модел в Интернет и в повечето корпоративни мрежи. TCP/IP се състои от четири слоя, които биха могли да бъдат асоциирани и обяснени с OSI модела. Съответствието между слоевете на двата модела е показано на фиг.15. Функцията на всеки един от слоевете е следната: 

Приложение/процес (Application/Process). Обхваща функциите на трите най-горни слоя на OSI модела – приложен, представителен и сесиен.



Транспорт (Transport –+- Host to Host). Тук функционират TCP, UDP и DNS.



Мрежа Интернет (Network – Internet). Съответства на мрежовия слой на OSI. Извършва маршрутизация, базирана на логически адреси. Протоколът ARP (Address Resolution Protocol) транслира логическите адреси в MAC адреси. Това е необходимо, тъй като най-долният слой е в състояние да обработва единствено MAC адреси.



Мрежов интерфейс (Link – Network Access). Съответства на каналния и физически слоеве на OSI. В този слой работят протоколите Ethernet и Token Ring.

25 Приложен слой Приложение/процес (Application/Process)

Представителен слой Сесиен слой Транспортен слой

Транспорт (Transport – Host to Host)

Мрежов слой

Мрежа Интернет (Network – Internet)

Канален слой

Мрежов интерфейс (Link – Network Access)

Физически слой

Фиг.15 IP адресиране За идентификация на мрежовите устройства (компютри, принтери, маршрутизаторе и др.) протоколите TCP/IP използват IP адреси. Всяко устройство, свързано към мрежата, притежава свой уникален IP адрес. Едно устройство би могло да притежава повече мрежови интерфейса за връзки с повече мрежи, като например маршрутизаторите, които имат минимум два такива интерфейса или пък компютри, снабдени с повече мрежови карти. Всеки един от тези интерфейси притежава свой уникален IP адрес. Устройство, което притежава свой уникален IP адрес, е прието да се нарича хост. IP адресите представляват 32-битови двоични числа. За улеснение на хората те биват представяни в точково-десетичен (doted-decimal) формат. Състои се от четири десетични числа, разделени помежду си с точка. Числата биват наричани октети, защото всяко едно от тях бива представяно двоично с 8 бита. Това означава, че октетите могат да приемат стойности единствено от 0 до 255. Октетите понякога биват представяни в общ вид като w.x.y.z. Например IP адресът 11001001.10101100.01010001.01100111 се представя в точководесетичен формат като 201.172.81.103. Октети: w

x

y

z

201.172.81.103 Общият брой на IP адресите, които могат да бъдат представени с помощта на 32 бита е 232 или 4 294 967 296. Всеки IP адрес се състои от две части подобно на адреса на една сграда, който включва името на улицата и номера на сградата. Първата част на IP адреса идентифицира мрежата, а втората хоста. За компютрите (хостовете) от една и съща мрежа първата част е еднаква, но двете части заедно трябва да образуват уникална комбинация за всеки един от тях. Например в адреса 201.172.81.103 първите три октета - 201.172.81, идентифицират мрежата, а последният – 103, хоста.

26 В TCP/IP мрежите са възприети два начина за IP адресиране – класово адресиране (classful addressing) и безкласово адресиране (classless addressing). В хронологичен ред първо възниква класовото адресиране - адресиране посредством използване на класове. При него множеството от IP адреси се разбива на 4 различни вида подмножества. Видът на всяко едно от подмножествата определя неговия клас, а самите подмножествата биват наричани блокове (netblocks). Всеки блок спада към някой от четирите класа. За различните класове броят на блоковете е различен. Всички блокове от даден клас са с еднакъв размер (притежават еднакъв брой IP адреси). Блоковете биват предоставяни на отделните компании и организации за ползване в мрежите им. Размерът на блока определя големината на мрежата. Мрежите на по-големите предприятия получават по-големи блокове (повече IP адреси) в сравнение с тези на по-малките такива. Блоковете биват предоставяни от предназначената за целта организация IANA (Internet Assigned Numbers Authority). В следващата таблица е показано разпределението по класове, блокове и IP адреси. Адресен клас

Брой мрежи Брой IP адреси в блока (брой блокове в класа) (брой IP адреси в мрежата) A 126 * 16 777 216 B 16 384 65 535 C 2 097 152 254 D (мултикаст) няма няма * Диапазонът от адреси 127.x.x.x е запазен за адреси за обратна връзка, който се използва за тестови и диагностични цели. В клас А има 126 мрежи (блока), всяка една от които разполага с по 16 милиона IP адреса. Мрежите от клас А бяха разпределени между големите корпорации и университети, като: IBM, Hewlett Packard, Xerox, Масачусетския университет и др. Мрежите от клас В са повече на брой, но в замяна на това всяка една от тях разполага с по 65635 IP адреса. Microsoft Corporation получи мрежа от клас В. Мрежите от клас С са над 2 милиона, като всяка една от тях притежава по 254 адреса. Мрежи от клас D няма. Адресите се използват за мултикаст съобщения (съобщения, които се изпращат едновременно до повече получатели). Поради използване на целия блок 127.x.x.x за обратна връзка, бяха загубени 24 милиона IP адреси. Отначало това не бе проблем на фона на 4-те милиарда адреси, оставащи за ползване. С течение на времето обаче всички адреси бяха заети и днес те вече не достигат. Идентифицирането на отделните класове се определя от броя и стойностите на старшите битове на първия октет “w” в съответствие със следната таблица. Адресен клас A B C D (мултикаст)

Старши битове на първия октет “w” 0 10 110 1110

Числени стойности в октета “w” 0 – 127 128 – 191 192 – 223 224 - 239

Брой битове за мрежовия идентификатор 7 14 21 28

IP адресите от клас А се идентифицират от първия бит на октета “w”, чиято стойност е винаги 0. Адресите от клас В се определят от първите два бита на същия октет, които имат фиксирана стойност – 10. Например адресът 182.34.123.5 е от клас В, тъй като октетът “w” съдържа числото 182, попадащо в диапазона 128 – 191. Числото 182, представено в двоична форма, има вида 10110110. Старшите два бита имат стойност 10, което съгласно таблицата означава, че адресът принадлежи на клас В. По аналогичен начин, в съответствие с таблицата, се идентифицират адресите и на останалите два класа. Интерес представлява последната колона на таблицата. Както вече споменахме, всеки IP адрес се състои от две части – идентификатор на мрежата и идентификатор на хоста в

27 нея. За адресите от клас А, като идентификатор на мрежата служи първия октет “w”. Тъй като най-старшият бит в него определя класа, за идентификатора на мрежата остават 7 бита, с помощта на които могат да бъдат представени общо 128 числа - от 0 до 127. Тъй като идентификаторът 127 е резервиран за тестване с обратна връзка, а IP адресът 0.0.0.0 е запазен за представяне на всички IP адреси, общият брой на идентификаторите от клас А ще бъде 126 (виж колона 2 от първата таблица). Впрочем двата адреса 127.х.х.х и 0.0.0.0 касаят и останалите класове, което означана, че и техният общ брой на IP адресите ще бъде по-малък с 2. В клас В за идентификатор на мрежата се използват първите два октета (16 бита). Тъй като в тях двата старши бита на октет “w” служат за определяне на класа, за идентификация на мрежата остават общо 14 бита, с помощта на които могат да бъдат селектирани 2 14 = 16384 мрежи (виж първата таблица). В клас С за идентификатор на мрежата се използват първите три октета (24 бита). Тъй като в тях трите старши бита на октет “w” служат да идентификация на класа, за определяне на мрежата остават общо 21 бита, с помощта на които могат да бъдат идентифицирани 2 21 = 2097152 мрежи (виж първата таблица). В клас D за идентификатор на мрежата се използват четирите октета (32 бита). Тъй като в тях четирите старши бита на октет “w” служат да идентификация на класа, за определяне на мрежата остават общо 28 бита, но както вече е известно адресите на клас D не се използват за селектиране на мрежи, а за мултикаст съобщения. Класовото адресиране не е ефективен начин за адресация. Нека вземем за пример компания, която би желала да свърже с Интернет 1000 компютъра. Една мрежа от клас С няма да може да свърши работа, понеже максималният брой компютри в нея е 254. Следователно трябва да се използва мрежа от клас В с над 65000 адреса, а това означава, че над 64000 адреса биха били загубени. За преодоляване на подобен род проблеми бе възприето безкласовото адресиране. Безкласовото адресиране се базира на безкласовата междудомейнова маршрутизация (CIDR - classless interdomain routing). Вместо адресни класове, CIDR използва допълнително означение, прикрепяно към края на всеки IP адрес, като например 175.234.45.0/20. Суфиксът 20 указва броя на най-левите битове, отредени за идентификатор на мрежата. Останалите 12 бита от IP адреса служат за идентифициране на хостовете. IP адресът се разделя от суфикса посредством наклонена черта, поради което CIDR мрежите биват наричани понякога “slash x” (слаш екс) мрежи. CIDR адрес със суфикс /8 съответства на мрежи от клас А, адрес със суфикс /16 на мрежи от клас В, а със суфикс /24 на мрежи от клас С. CIDR позволява много по-ефективно разпределение на IP адресите, тъй като мрежовият идетификатор може да бъде с дължина, варираща според конкретните нужди, например /5, /12, /21 и т.н. Автоматично разпределяне на адреси IP адресите са логически адреси. Те биват обработвани в мрежовия слой на TCP/IP модела. Идентификаторът на мрежата е един и същ за всички компютри (хостове) от дадена мрежа. Така например хостовете с адреси 196.234.45.12 и 196.234.45.24, принадлежат на една и съща мрежа, чийто мрежов идентификатор е 196.234.45. Съществуват два начина за присвояване на IP адреси:  Ръчно посредством операционната система. Това изисква мрежовият администратор да познава добре TCP/IP адресирането и да умее да подбира правилно адреси от конкретната мрежа. Тук протоколът DHCP не участва. 

Автоматично посредством протокола DHCP. Последният позволява на мрежовите устройства клиенти да получават от DHCP сървър IP адрес и всички останали параметри, необходими за работата им в една TCP/IP мрежа. Протоколът дава възможност на даден компютър от мрежата, при необходимост, да са самоконфигурира като DHCP сървър.

28 Протоколът DHCP (Dynamic Host Configuration Protocol) се появи като стандарт през октомври 1993 г., в резултат от усъвършенстването на по-ранния протокол Bootstrap Protocol (BOOTP). Следващата версия на DHCP бе публикувана през 1997 г. Последната версия на DHCP, означавана като DHCPv6, касае протокола IPv6, възприет с цел премахване недостига от IP адреси и липсата на защита на мрежово ниво, характерни за протокола IP. При наличие в мрежата на компютър, конфигуриран като DHCP сървър, включването в мрежата на един нов клиент се извършва чрез диалог между сървъра и клиента. Процесът на алокиране на адрес за клиента протича в следните 4 стъпки:  Клиентът, чийто TCP/IP свойства са били предварително установени за получаване на адрес от DHCP сървър, изпраща в мрежата (бродкаства) съобщение за разкриване на DHCP диалог.  Ако в мрежата има DHCP сървър, той отговаря чрез съобщение, наричано DHCP предложение. То съдържа IP адреса, предлаган на клиента. DHCP сървърът подържа списък с адреси, които могат да бъдат разпределяни между клиенти. DHCP сървърът резервира временно предложения IP адрес, докато не получи отговор от клиента.  Ако в мрежата има повече DHCP сървъри, клиентът би могъл да получи множество DHCP предложения. След като получи първото предложение, клиентът отговоря, като бродкаства в мрежата съобщение, наричано DHCP заявка (DHCP request). Всички DHCP сървъри в мрежата получават заявката. Онези от тях, които са отправили предложението си по-късно, разбират, че заявката не се отнася за тях и прекратяват диалога.  DHCP сървърът, изпратил първи своето предложение, отбелязва в списъка, че резервираният IP адрес е вече адрес на клиент и изпраща на клиента потвърждение, че полученият по време на стъпка 2 адрес е станал негов IP адрес. DHCP протоколът използва три вида присвояване на адреси. Най-често използвано е динамичното присвояване. По време на последната стъпка DHCP сървърът изпраща на клиента информация и за предварително дефиниран наемен (лизингов) период (DHCP lease). Продължителността на периода може да варира от няколко часа (например за лаптопи в аеропорт) до няколко месеца (например за настолните компютри в една лаборатория). Преди да изтече лизинговия период, клиентът би могъл по всяко време да поиска продължение на лизинга за същия IP адрес, каквото всъщност правят всички нормално работещи клиенти. В противен случай връзката се разпада и клиентът трябва да повтори отново процедурата за получаване на IP адрес. Вторият начин за назначаване на адрес се нарича статично присвояване (DHCP Reservation), при което IP адресът бива присвояван перманентно на клиента. Използва се за компютри, които трябва да имат в мрежата постоянно един и същ адрес, каквито са например сървърите. Третият начин за присвояване на IP адрес изисква участието на потребителя. Нарича се ръчно присвояване. При него потребителят назначава адреса, а DHCP протоколът изпраща съобщение на DHCP сървъра, за да го информира, че за клиента е бил алокиран адрес. DHCP протоколът е платформено независим. Той може да се използва с Windows, UNIX,NetWare и др. Друг начин за автоматично получаване на IP адрес е APIPA адресирането. Ако даден компютър е бил конфигуриран да бъде DHCP клиент и се окаже, че не е в състояние да се свърже с DHCP сървър (такъв липсва в мрежата), той няма да може да получи IP адрес. APIPA адресирането разрешава този проблем. Когато в един компютър е разрешено APIPA адресиране, компютърът, след като не открие DHCP сървър, си самоназначава адрес от предварително заделен за тази цел диапазон от адреси. Щом в мрежата се появи DHCP сървър, клиентът получава нов IP адрес по описаната по-горе DHCP процедура. Освен с IP адрес, чрез DHCP протокола клиентите се снабдяват още и с информация за подразбиращия се шлюз (default gateway) и с подмрежова маска (subnet mask). На практика, при подходяща конфигурация, клиентите биха могли да правят заявки за всякакъв тип конфигурационни параметри от сървъра.

29 Подразбиращият се шлюз представлява възел от мрежата, който служи като точка за достъп до друга мрежа. Всъщност той представлява входно/изходна точка на мрежата. Шлюзът притежава свой IP адрес. В частните (домашните) мрежи ролята на шлюз изпълнява устройството, което ни свързва с Интернет. Това може да бъде например ADSL адаптер, ISDN адаптер или кабелен модем. В корпорациите шлюзът е компютър, който маршрутизира трафика от една работна станция на мрежата към външна мрежа. В тези случаи шлюзът изпълнява ролята на прокси сървър (proxy server) и защитна стена (firewall). Шлюзът изпълнява функциите на маршрутизатор. Като използва хедерите на пакетите и маршрутизиращи таблици, той определи пътя, по който пакетите да бъдат изпратени. Шлюзът би могъл да бъде и комутатор (switch), който също може да определя пътя на пакетите в посока навътре или навън в/от шлюза. Нека припомним, че IP адресите се състоят от две части – идентификатор на мрежата и идентификатор на хоста. Например, ако адресът 150.215.017.009 принадлежи на мрежа от клас В, първите два октета (150.215) представляват идентификатора на мрежата, а последните два (017.009) идентифицират (селектират) конкретен хост от мрежата. Понятието подмрежова маска е тясно свързано с разделянето на мрежите на подмрежи. Ползите от такова разделяне са следните:  Намалява се бродкастния трафик. Подмрежите се свързват помежду си посредством маршрутизатори, които по подразбиране са конфигурирани да не пропускат бродкастни съобщения.  Обособяването на компютрите в подмрежи според териториалното им разположение подобрява тяхното общо управление.  Някои от частите (подмрежите) на една разделена мрежа, могат да бъдат изолирани с цел постигане на по-висока сигурност.  Намалява се броят на „похабените” адреси, което осигурява по-ефективно използване на наличните IP адреси. Разделяне на мрежите на подмрежи Разделянето на една мрежа на подмрежи се състои в разбиването на втората част на IP адреса (идентификатора на хоста) на повече части. Част от идентификатора на хоста се заделя за идентификатор на подмрежата. Нека разгледаме конкретен пример за разбиване на една мрежа от клас В на 6 части. За целта нека вземем мрежа, чиито IP адреси започват от 150.215.017.001. Представен в двоична форма, адресът има вида: 10010110.11010111.00010001.00000001 В него мрежовият идентификатор е 10010110.11010111, а идентификаторът на хоста 00010001.00000001. Мрежата е от клас B, което означава, че в нея могат да участват 65535 хоста. В такава огромна мрежа, включваща такъв голям брой компютри, бродкастният трафик би бил неуправляем. За решение на проблема може да се използва разделяне на мрежата на подмрежи. За да разбием мрежата на 6 подмрежи, ще използваме първите (старшите) 3 бита (000) от идентификатора на хоста. С помощта на 3 бита могат да бъдат образувани 8 двоични комбинации, които да бъдат използвани за идентификатори на подмрежите. Като се има предвид ограничението, че мрежови идентификатори, състоящи само от нули или само от единици, не могат да бъдат използвани, комбинациите 000 и 111 отпадат. Остават на разположение 6 комбинации - 001, 010, 011, 100, 101, 110, т.е. толкова колкото са нужни. Подмрежовата маска се състои от битовете на идентификатора на мрежата плюс битовете, заделени за идентификатор на подмрежата. В случая това ще бъде поредицата хххххххх.хххххххх.ххх. Всички битове в нея трябва да имат стойност 1, тъй като с тях ще се извършва побитова логическа операция AND с IP адреса, с цел от IP адреса да бъде отделена без изменения частта, съответстваща на маската побитово. В разглеждания пример подмрежовата маска ще има вида:

30 255.255.224.000

11111111.11111111.11100000.00000000.

Нека осъществим побитовата операция AND с IP адреса: IP адрес: Подмрежова маска: Подмрежов адрес:

150.215.017.001 255.255.224.000 150.215.000.000

10010110.11010111.00010001.00000001 11111111.11111111.11100000.00000000 10010110.11010111.00000000.00000000

Крайният резултат от операцията е подмрежовия адрес 150.215.000.000. Като се има предвид ограничението, че мрежови идентификатори, състоящи се само от нули или само от единици, не могат да бъдат използвани, комбинациите 000 и 111 отпадат. Остават на разположение следните 6 подмрежови адреса: 10010110.11010111.00100000.00000000 10010110.11010111.01000000.00000000 10010110.11010111.01100000.00000000 10010110.11010111.10000000.00000000 10010110.11010111.10100000.00000000 10010110.11010111.11000000.00000000

150.215.032.000 150.215.064.000 150.215.096.000 150.215.128.000 150.215.160.000 150.215.192.000

Получените IP адреси представляват начални адреси на подмрежите. За идентификаторите на хостовете остават по 13 бита, което означава, че общият теоретичен брой на хостовете в една такава подмрежа ще бъде 213 = 8192. Тук следва да се отчете и допълнителното ограничение, че използването в мрежите на идентификатори на хостове, състоящи се само от нули или само от единици, е също забранено. Следователно на практика всяка една от получените подмрежи ще може да разполага с по 8190 хоста (8192 – 2 = 8190). Като бъде взето под внимание споменатата ограничение, IP адресите на първата подмрежа ще бъдат разположени в диапазона от 10010110.11010111.00100000.00000001 (150.215.032.001) до 10010110.11010111.00111111.11111110 (150.215.063.224). В резултат от разделянето на първоначалната мрежата получаваме следната таблица, в която са отразени IP адресите на 6-те подмрежи: Двоичен идентификатор на подмрежата 001 010 011 100 101 110

Диапазон на IP адресите 150.215.032.001 - 150.215.063.224 150.215.064.001 - 150.215.095.224 150.215.096.001 - 150.215.127.224 150.215.128.001 - 150.215.159.224 150.215.160.001 - 150.215.191.224 150.215.192.001 - 150.215.223.224

В следващата по ред таблица е приведен пример за разпределението на IP адреси в първата подмрежа. Прието е, че в нея има включени 5 компютъра и един маршрутизатор (рутер). Нека приемем, че компютърът с адрес 150.215.032.002 изпраща съобщение на компютъра с адрес 150.215.032.005. Рутерът, използвайки подмрежовата маска 255.255.224.000, извършва побитавата операция AND с двата адреса, при което получава един и същ резултат – 150.215.032.000 (в съкратен запис 150.215.32.0). Това означава, че двата компютъра принадлежат на една и съща подмрежа и че съобщението следва да се изпрати вътрешно в нея посредством използване на бродкастния протокол ARP (Address Resolutio Protocol).

31 Хост Рутер Компютър Компютър Компютър Компютър Компютър

Пълен запис на IP адреса 150.215.032.001 150.215.032.002 150.215.032.003 150.215.032.004 150.215.032.005 150.215.032.006

Съкратен запис на IP адреса 150.215.32.1 150.215.32.2 150.215.32.3 150.215.32.4 150.215.32.5 150.215.32.6

ARP извършва съпоставяне на логическите IP адреси с физическите хардуерни (MAC) адреси, като изгражда и поддържа таблица, наричана ARP кеш. Нека сега приемем, че същият компютър с адрес 150.215.032.002 изпраща съобщение на компютър от третата подмрежа с адрес 150.215.096.021. След побитовата операция AND със същата подмрежова маска ще се получат различни резултати - 150.215.032.000 и 150.215.096.000. В този случай подразбиращият се шлюз (рутерът) ще отправи съобщението навън, към нужното местоназначение. Протоколите TCP и UDP В TCP/IP модела третият слой, наречен транспортен, е отговорен за осигуряване на надеждна директна връзка от точка до точка. Това се постига чрез проверки и потвърждения, гарантиращи, че изпратените данни са достигнали до крайния пункт без изкривяване или загуби. Тук следва да разгледаме понятията порт и сокет. Транспортният слой използва портовете, когато компютърът ползва едновременно повече мрежови приложения – например, докато разглеждаме Web-сайт, в същото време в компютъра постъпва съобщение по електронната поща. Съобщенията са повече, а физическата връзка на компютъра с мрежата е една единствена. Следователно необходим е механизъм, който да разделя съобщенията. Това се извършва от транспортният слой, който за идентифициране и разделяне на съобщенията използва портовете. Портът е логическа точка на свързване. TCP/IP използва двукомпонентни логически адреси, състоящи се от IP адрес и номер на порт. Ако IP адресът може да бъде оприличен с адрес на сграда, състоящ се от име на улица и номер на сградата, номерът на порта може да се разглежда като номер на апартамент вътре в сградата. За номерата на портовете се използват 16 бита, което означава, че общият брой на портовете е 65536. В Интернет някои от широко използваните приложения имат твърдо присвоени номера на портове. Тези портове биват наричани популярни портове (wellknown ports) или още добре познати портове. За тях са резервирани номерата от 0 до 1024. По-долу са приведени номерата само на част от добре познатите портове. Номер на порт 21 23 25 80 110 119 137 396 500

Приложение FTP Telnet SMPT HTTP POP3 NNTP NetBIOS name service NetWare over IP ISAKMP

Протокол TCP/UDP TCP/UDP TCP/UDP TCP TCP/UDP TCP/UDP TCP/UDP TCP/UDP TCP/UDP

При програмирането на мрежови приложения за TCP/IP мрежи програмистите използват софтуерното понятие сокет. Сокетът представлява двукомпонентен логически адрес, състоящ се от IP адрес и номер на порт. Той описва крайна точка на връзка, през която протича комуникация.

32 Съществуват различни типове сокети, в които се използват различни методи на адресиране на крайните точки за комуникация. Описаният по-горе начин на адресиране е най-популярен. В UNIX терминологията се нарича AF_INET. Когато за идентификация на сокети се използват имена на пътища, адресирането се нарича AF_UNIX. Berkely Sockets представлява стандартен API за TCP/IP комуникации. Негова популярна адаптация е Windows Sockets, наричана съкратено Winsok, която работи под Windows и се зарежда под формата на DLL. При разглеждане на TCP/IP модела споменахме, че транспортният слой използва два типа транспортни протоколи – връзково-ориентиран и безвръзково-ориентиран. TCP (Transmission Control Protocol) протоколът е връзково-ориентиран. Между предаващата и приемащата страни се създава функционална връзка за потвърждаване и отговор, посредством която приемната страна, след като получи данни ги проверява за наличие на грешка и изпраща на предаващата страна съобщение дали те са пристигнали успешно. Протоколът UDP (User Datagram Protocol) е безвръзково-ориентиран. Изпращаните с негова помощ съобщения се наричат дейтаграми (datagrams). Различава се от TCP по това, че описаната по-горе функционална връзка липсва. Приемната страна не извършва проверка на получаваните данни и не изпраща съобщение на предаващата страна дали те са пристигнали успешно. При UDP няма никаква гаранция, че съобщението е пристигнало успешно. Предимството му е в по-високата производителност (по-малко натоварване на мрежата и по-висока скорост на комуникация). Използва се за изпращане на кратки и прости съобщения, които не са критични по отношение на тяхната важност, например такива, които биват изпращани до всички компютри в една подмрежа едновременно. Преобразуване на имена Както вече знаем, за идентифициране на мрежи, хостове и специфични приложения TCP/IP използва IP адреси и номера на портове. Цифровото им изражение затруднява работата с тях. Числата се помнят трудно. Повечето хора предпочитат да използват имена, вместо числа. Представете си за момент, че вместо да ползвате имената на хората, трябва да помните и употребявате техните Единни граждански номера! За разлика от нас, компютрите предпочитат да ползват числа. За могат да се ползват едновременно имена (от нас) и числа (от компютрите), необходимо е имената да могат да бъдат конвертирани в числа и обратно - числата в имена. В компютърните мрежи и комуникации се използват различни типове имена. В Интернет имената на хостовете се подреждат в йерархична структура от домейни. Най-високо в йерархията на домейните в САЩ се намират следните домейни:  com – домейн, предназначен за комерсиални организациии;  net – домейн, предназначен за мрежи на Интернет доставчици;  org – домейн, предназначен за организации с идеална цел;  edu – домейн, предназначен за образователни институции;  gov – домейн, предназначен за департаменти на правителството на САЩ;  mil – домейн, предназначен за военни структури на САЩ;  int – домейн, предназначен международни организации. Съществува и друга йерархия на домейни от високо ниво, използвана за означаване на различните държави, като например:  uk – за Обединеното Кралство;  au – за Австралия;  ca – за Канада;  bg – за България;  de – за Германия. Бизнес организациите, компаниите и отделните хора регистрират домейни от второ ниво, като например: ibm.com, vfu.bg, dallas.net и др. Те се записват пред домейните от високо

33 ниво, като за резделител се използва задължително символа точка. Друго такова име с повече нива на йерархия е например името на сървъра на Техническия университет – Варна: tuvarna.acad.bg. В него името на хоста е tu-varna, името на мрежата acad (академичната мрежа на България) и името на държавата bg. За Web сървърите е възприето името www (world wide web – световна мрежа). Така например в www.vfu.bg името на сървъра е www, това на мрежата vfu и това на държавата bg. Транслирането на имената в числа може да се извършва с помощта на:  hosts и lmhosts. Това са текстови файлове, съхранявани на двърдия диск на компютъра (в директорията c:\windows\system32\drivers\etc);  DNS (Domain Name System) или DDNS (Dynamic DNS);  WINS (Windows Internet Name Service). Файловете hosts и lmhost се използваха в ранните дни на Интернет и днес не представляват интерес. WINS е друг метод за преобразуване на имена в IP адреси. NetBIOS-имената, използвани в мрежи на Microsoft, биват съпоставяни с числа в база данни на WINS-сървър. Windows NT, Windows 2000 и по-късните версии на Windows притежават способност да работят като WINS-сървър. Читателят би могъл да намери подробна информация за WINS в Helpпрограмата на Windows. Тук ще се спрем по-подробно на системата DNS. Тя служи за конвертиране на имена на хостове, свързани в Интернет. DNS представлява разпределена база данни, с чиято помощ се осъществява преобразуване на имена на домейни (domain names) в IP-адреси, като например vfu.bg в 213.16.42.226. По този начин на потребителя на Интернет услугата не се налага да помни поредица от числа. Информацията за IP-адресите и съответстващите им имена на домейни се съхранява на DNS-сървъри. DNS е разпределена йерхична дървовидна система от логически обвързани сървъри. В основата на тази структура са сървърите, съхраняващи:  домейни от първо ниво (top-level domains) — например: com, org, edu и т.н.;  множество от домейни на държавно ниво (country-level domains) — bg (за България), fi (за Финландия), fr (за Франция) и т.н. Следващото ниво образуват регистрираните домейни (registered domains) - abv.bg, pirin.com и т.н. Местните домейни (local domains), наричани още поддомейни (subdomains), като tu-varna.acad.bg, сe определят и администрират от собствениците на съответните главни домейни. DNS сървърите поддържат информация за собствените си нива. Ако DNS съвърът, с който вашият компютър се е консултирал, на притежава информация за съответствието между IP адреса и въведеното от вас име на хоста, той предава заявката по-нататък на друг DNS сървър и т.н., докато не бъде получена нужната информация. Организацията, която се занимава с регистрирането и администрацията на домейните от първо ниво, е ICANN (Internet Corporation for Assigned Names and Numbers - Корпорация за запазени имена и номера в Интернет). За откриване на името на хоста на даден IP-адрес се използват помощни lookup-програми. В Windows такава е програмата nslookup, изпълнявана в командния ред на cmd.exe. Програмата изпраща заявка от типа DNS lookup до машината сървър, която връща своя отговор. Например: C:\>nslookup vfu.bg Server: e.home Address: 192.168.1.1 Non-authoritative answer: Name: vfu.bg Address: 213.16.42.226

34 Оказва се, че IP адресът, съответстващ на името vfu.bg е 213.16.42.226. Ако във вашия браузър въведете вместо домейн адреса http://vfu.bg, IP адреса http://213.16.42.226, ще получите същия резултат – Web сайта на Варненския свободен университет „Черноризец Храбър”. Друга полезна помощна програма е ping. Използва се за тестване на връзката. Подава се също от командния ред на програмата cmd.exe: C:\>ping vfu.bg Pinging vfu.bg [213.16.42.226] with 32 bytes of data: Reply from 213.16.42.226: bytes=32 time=140ms TTL=56 Reply from 213.16.42.226: bytes=32 time=114ms TTL=56 Reply from 213.16.42.226: bytes=32 time=134ms TTL=56 Reply from 213.16.42.226: bytes=32 time=134ms TTL=56 Ping statistics for 213.16.42.226: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 114ms, Maximum = 140ms, Average = 130ms Има и други полезни програми, като arp, netstat, nbstat, за които читателятможе да намери обяснения в [1]. IPv6 адресиране С разрастването на Интернет общият брой на 32-битовите IP адреси се оказа недостатъчен. Независимо от предприетите мерки за икономия на IP адреси, като например безкласово IP адресиране (т.3.4), използване на вътрешни (частни) IP адреси и NAT (Network Address Translator) (т.4.3, подточка „Маршрутизатори”), недостигът на адреси продължи да се усилва. Очаква се към 2010 г. IPv4 адресите да бъдат напълно изчерпани. Поради това през 1992 г. бе предприета инициатива за създаване на нов стандарт. През 1996 г. се появи стандартът IPv6. Въвеждането на IPv6 се очаква да се осъществи постепенно, поради което IPv4 и IPv6 ще преживеят период на съвместно съществуване, което ще продължи необозримо дълго. Адресните архитектури на IPv4 и IPv6 не са напълно съвместими, поради което мрежовите устройства от тип IPv4 не могат да комуникират директно с такива от тип IPv6 (IPv6 хедерите на пакетите имат структура, различна от тази на IPv4 хедерите). Необходим е „посредник” - механизъм за преход от IPv4 към IPv6 и обратно. Най-голямото различие на IPv6 спрямо IPv4 е в адресното пространство - IPv6 адресите са 128 битови, докато тези на IPv4 са 32 битови. Адресното пространство на IPv4 съдържа приблизително 4 милиарда адреси, докато това на IPv6 е 3.4 х 1038. IPv6 адресите са с 2128-32 = 296 повече от IPv4 адресите. Типичните IPv6 адреси се състоят от две логически части – 64-битов мрежов префикс (мрежов идентификатор) и 64-битова част за идентифициране на хоста. IPv6 адресите се записват под формата на 8 групи от по 4 шестнайстични цифри, разделени помежду си чрез двоеточие, като например: 2001:0db8:85a3:08d3:1319:8a2e:0370:7334. Ако една група съдържа само нули (0000), тя може да не се изписва, а да се замести с двоеточие. Например адресът 2001:0db8:0000:a244:c666:33ff:1428:57ab може да бъде записан като 2001:0db8::a244:c666:33ff:1428:57ab. Ако се окаже, че адресът съдържа съседни групи с нули, всички те могат да бъдат заместени с едно общо двоеточие. Например адресът 2001:0db8:0000:0000:0000:0000:1428:57ab може да бъде записан като 2001:0db8::1428:57ab. Допуска се водещите нули в групите да не се записват. Показаните по-долу записи са еквивалентни. Те представят един и същ IPv6 адрес:

35 2001:0db8:0000:0000:0000:0000:1428:57ab 2001:0db8:0000:0000:0000::1428:57ab 2001:0db8:0:0:0:0:1428:57ab 2001:0db8:0:0::1428:57ab 2001:0db8::1428:57ab 2001:db8::1428:57ab Не се допуска в записа на един IPv6 адрес да са съдържа повече от едно сдвояване на две точки, тъй като възниква нееднозначност. Например адресът 2001::FFD3::57ab би могъл да означава: 2001:0000:0000:FFD3:0000:0000:0000:57ab 2001:0000:0000:0000:0000:FFD3:0000:57ab 2001:0000:FFD3:0000:0000:0000:0000:57ab Една IPv6 мрежа (или подмрежа) се състои от множество последователни адреси, чийто брой представлява цяла степен на двойката (2n). Началните битове в адресите на мрежата са еднакви. Те образуват идентификаторът на мрежата, наричан, мрежов префикс. Мрежата се описва чрез нейния първи адрес (от поредицата адреси) и суфикс, записван в края на адреса. Последният представлява десетично число, което указава броя на битовете, участващи в мрежовия префикс. За разделител между адреса и суфикса се използва символът наклонена черта (slash). Този начин на запис ни е познат от т.3.4 (подточката „IP адресиране”). Нарича се CIDR. Например нека разполагаме със следната мрежа: Начален адрес: Краен адрес:

2001:0db8:1234:0000:0000:0000:0000:0000 2001:0db8:1234:ffff:ffff:ffff:ffff:ffff

Мрежовият префикс е 2001:0db8:1234, а суфиксът ще бъде 48 (12 х 4), тъй като префиксът съдържа 12 шестнайсетични цифри, всяка една от които се представя чрез 4 бита. Следователно описателят на мрежата ще има вида: 2001:0db8:1234::/48. Адресите на хостовете притежават 128-битови префикси, поради което понякога те биват придружавани от суфикс /128, като например 2001:0db8:1234:0000:0000:0000:0000:0044/128 или в съкратен запис 2001:0db8:1234::44/128. IPv6 адресите биват класифицирани в три групи – unicast, anycast и multicast адреси:  Unicast адреси. Unicast адресът указва един единствен мрежов интерфейс. Пакетите, изпращани на unicast адрес, биват доставяни на този интерфейс. Unicast адресите са предназначени за употреба от доставчици на Интернет услуги. Доставчиците предлагат на техните клиенти уникални unicast адреси. Има и други типове unicast адреси. Те биват присвоявани на мрежови устройства в Интранет мрежа, които се нуждаят от достъп до Интернет.  Anycast адреси. Един anycast адрес бива присвояван на група от интерфейси, принадлежащи на различни възли (устройства) от мрежата. Пакет, изпратен на anycast адрес, се доставя на само на един интерфейс от групата, обикновено на „найблизикия” такъв, съгласно преценката за разстояние, извършвана от маршрутния протокол. Терминът „най-близкия” е заграден в кавички, понеже той не означава разстояние, измерено в метри. Маршрутизаторите използват други мерни единици за разстояние. Един Web сайт може да има повече огледални образи във Web пространството, разположени на различни Web сървъри. Присоявайки anycast адрес (групов адрес) на тези сървъри, заявките за връзка със сайта ще бъдат маршрутизирани автоматично към „най-близкия” до потребителя сървър. Външно anycast адресите не могат да бъдат лесно идентифицирани. Те имат структурата на unicast адресите. Придобиват различен вид, едва когато биват подадени за обработка в маршрутния протокол.  Multicast адреси. Един multicast адрес, подобно на anycast адресите, бива присвояван на група от интерфейси, принадлежащи на различни възли (устройства) от мрежата. Обаче, за разлика от anycast адресите, пакет, изпратен на multicast адрес, се доставя на

36 всички интерфейси от групата. IPv6 адрес, в който всички битове на първия октет (първите 8 бита) имат стойност 1, представлява multicast адрес. Те имат префикс FF00::/8. Вторият октет определя обхватът на адреса. При стойност 2 обхватът е локален (link-local), при 5 обхватът е за конкретен сайт (site-local), а при E (шестнайсетична цифра) обхватът е глобален (global). Друга разлика между IPv4 и IPv6 е, че IPv4 пакетите са 64 килобайтови, докато IPv6 допуска пакети с по-голям размер, наричани джамбограми (jumbograms), които могат да достигат да 4 гигабайта. Тъй като вместо точките от IPv4 адресите, IPv6 адресите съдържат двоеточия, възможни са конфликти, например при задаване на URL в браузър. При IPv4 двоеточие се използва, само тогава, когато заедно с IP адреса се указва и номер на порт, например 198.56.123.4:80. Синтаксисът на IPv6 адресите изисква те да бъдат заграждани в правоъгълни скоби (“[“ и “]”), като например: http://[2001:0db8:85a3:08d3:1319:8a2e:0370:7348]/ При указване на номер на порт синтаксисът е следния: https://[2001:0db8:85a3:08d3:1319:8a2e:0370:7344]:443/ При използване на съкратена форма на запис URL ще има следния примерен вид: https://[2001:db8::1428:57ab]:443/ За представяне на IP адресите в операционните системи Windows бе възприета конвенцията UNC (Uniform Naming Convention), използваща имена на пътища. Тъй като двоеточието е недопустим символ в UNC имената, описаният по-горе начин за представяне на URL е невалиден. Поради тази причина Microsoft регистрира домейн от второ ниво (second-level Internet domain) с име ipv6-literal.net, който поправя положението. Например IPv6 адресът: 2001:0db8:85a3:08d3:1319:8a2e:0370:7348 трябва да бъде записан като URL по-следния начин: http://2001-db8-85a3-8d3-1319-8a2e-370-7348.ipv6-literal.net При това достъпът до URL се извършва без обръщане към DNS сървър. За достъп до IPv6 Internet на един IPv4 хост или на една IPv4 мрежа, необходимо е да се използва техниката, известна като тунелиране (tunneling), която капсулира IPv6 пакетите в Ipv4 пакети.

4. Мрежов хардуер Мрежовият хардуер включва редица устройства, които действат на различни нива в многослойния OSI модел (фиг.16). 4.1. Мрежови интерфейсни карти Мрежовата карта (NIC – Network Interface Card), наричана още мрежов адаптер е устройство от физическия слой (фиг.16). Драйверите за нея осъществяват връзката между картата и операционната система. Те работят в каналния слой на OSI модела. Когато връзката на компютъра с мрежата се осъществява дистанционно, посредством телефонна линия, вместо мрежова карта се използва модем. Мрежовата карта преобразува формата на сигнала от паралелна в последователна (серийна). Единиците и нулите се преобразуват в: електрически импулси, светлинни импулси, радиовълни или инфрачервени лъчи. Важна съставна част на мрежовите карти е приемопредавателят, наричан трансивър (tranceiver). Както показва названието му той извършва предаване и приемане на сигналите. В Ethernet картите от типа 10Base5 (thicknet) трансивърът е външен. Картата притежава конектор от тип AUI, посредством който, чрез

37 кабел, тя се свързва към външния трансивър, който пък от своя страна бива съединяван с дебелия коаксиален кабел. В съвременните компютри Ethernet картите са интегрирани в дънната платка (motherboard). Най-често те са два броя. Осигуряват три скорости на предаване – 10, 100 и 1000 Mbps, отговарящи съответно на 10BaseT, 100BaseT и 1000BaseT. Връзката с мрежата се осъществява посредством конектори от типа RJ-45 и кабел UTP (неекранирана усукана двойка). Когато картата представлява отделна платка, тя се поставя в някой от свободните разширителни слотове на дънната платка. Необходимо е данновата шина на картата да съответства на данновата шина на слота. Например една PCI мрежова карта следва да се постави задължително в PCI слот. След поставяне на мрежовата карта в слот тя трябва да бъде конфигурирана. За нея следва да бъдат установени едно прекъсване IRQ, входно/изходен адрес и адрес от паметта, ако картата изисква такъв. Конфигурирането се извършва чрез dip-превключватели или джъмпери, намиращи се върху картата, или чрез програма за софтуерно конфигуриране, доставяна заедно с картата. PnP (Plug and Play) мрежовите карти биват автоматично откривани и конфигурирани от операционната система (при условие, че и BIOS-ът поддържа PnP). OSI модел

Фиг.16 4.2. Мрежова преносна среда Мрежовата преносна среда служи за пренасяне на сигналите от едно мрежово устройство до друго. Тя може да бъде жична (кабелна) и/или безжична (радиовълни, лазерни лъчи, инфрачервени лъчи, микровълни). Кабелите, както е известно (т.2.6), биват медни и оптични. Към медните спадат коаксиалните кабели (тънък и дебел) и кабелите от тип усукана двойка (UTP и STP). Безжичните технологии, въпреки че отстъпват на жичните по бързодействие, стават все по-популярни. Те са особено подходящи за потребители, които се намират в движение, или

38 за такива, които желаят да комуникират с мрежата от дистанция. Безжичните технологии намират приложение в безжичните LAN и WAN мрежи. Фирмата Cisco Systems заедно с Motorola, Texas Instruments, Samsung и др. разработват високоскоростни, сигурни и широко достъпни безжични технологии. 4.3. Устройства за изграждане на локални мрежи Освен компютри, кабели и конектори в състава на локалните мрежи участват и специални устройства. Към тях спадат: конверторите на преносната среда, повторителите, хъбовете, мостовете, комутаторите и маршрутизаторите. Конвертори на преносната среда Наричат ги още адаптери за преносна среда (media adapters) или транслатори на преносна среда (media translators). Извършват преобразуване на електрическите импулси на 10BaseT, 100BaseT и 1000BaseT или на Token Ring в светлинни импулси, предавани по оптичен кабел. Повторители Повторителят (repeater) се използва за регенерация на сигнала, когато затихването му надхвърля допустимите норми. Те усилват сигнала без да могат да премахват (филтрират) смущенията, насложени върху него. Степента на затихване се обуславя от характеристиките на кабела и се определя чрез максималната дължина на кабелния сегмент. Например максималната дължина на тънкия коаксиален кабел, използван за Ethernet от тип 10Base2, е 185 метра. При необходимост от по-дълъг сегмент се вземат две парчета кабел, като между тях се включва повторител. Хъбове Хъбовете (hubs), наричани още концентратори, биват пасивни, активни и интелигентни. Всички те работят във физическия слой на OSI модела (фиг.16). Използват се за свързване на елементите на LAN в топология звезда. Съдържат повече на брой равноправни портове, към които се свързват кабелите на отделните елементи (фиг.17). Хъбовете биха могли да се съединяват един с друг с цел създаване на по-сложни топологии.

Фиг.17 Пасивният хъб не съдържа електроника, поради което не изисква електрическо захранване. Сигналът, идващ от даден порт, се препраща на всички портове без регенериране. Активният хъб съдържа електроника, която регенерира идващия от даден порт сигнал, преди той да бъде изпратен на останалите портове. Поради това си качество активните хъбове биват наричани понякога многопортови повторители (multiport repeaters). Активните хъбове изискват електрическо захранване. Интелигентният хъб представлява специален вид активен хъб, позволяващ на оператора да контролира трафика през хъба, да конфигурира портовете и да извършва диагностика на същите. Поради това ги наричат още управляеми хъбове (manageable hubs). Интелигентните

39 хъбове съдържат в себе си микропроцесор. Интелигентният хъб, използван в Token Ring, допълнително, вътрешно в себе си, реализира кръгова топология макар, че физически сегментите в мрежата са свързани в звезда. Мостове Мостът (bridge) е устройство, предназначено за свързване на най-малко две LAN мрежи или на два мрежови сегмента на една и съща LAN, използващи един и същ протокол – например Ethernet и Token Ring (фиг.18).

Фиг.18 Мостовете работят на второто ниво (каналния слой) на модела OSI (фиг.16). Основното им предназначение е да препредават или да филтрират пакетите в зависимост от MAC адресите на получателите им. Те прочитат от хедърите на пакетите MAC адресите на подателите и на получателите и ги обработват, без да засягат по-високите слоеве на OSI модела. През мостовете биха могли да преминават пакети от каналния слой на LAN мрежи, използващи различен протокол. Мостовете регенерират преминаващите през тях сигнали. Всеки мост изгражда автоматично маршрутна таблица (routing table) с MAC адресите на станциите (компютрите) от LAN мрежата, към която той е включен. Когато по мрежата бъде изпратен пакет (в Ethernet наричан фрейм), мостът прочита от него MAC адресите на подателя и на получателя и ги сравняна с адресите от таблицата. Ако адресът на получателя се намира в таблицата, т.е. ако пакетът е адресиран до някой от компютрите в същата LAN, мостът го филтрира, т.е не го пропуска през себе си. Пакетът остава в мрежата и достига до всички компютри в нея. Възпрема се от онзи от тях, за когото е бил предназначен. В случай че пакетът е адресиран до работна станция извън мрежата, на която принадлежи мостът, мостът го препраща към външната линия. Включеният към последната друг мост изпълнява аналогични функции и определя дали пакетът да бъде филтриран или препредаден към трета LAN. Когато мостът свързва два сегмента на една и съща LAN, той изгражда таблица с MAC адресите на двата сегмента. Когато по мрежата бъде изпратен пакет, мостът прочита от него MAC адреса на получателя, сравнява го с адресите от таблицата и определя дали получателят и подателят се намират в един и същ сегмент. Ако те са в различни сегменти, мостът препраща пакетът в другия сегмент, където той се възприема от компютъра, за който е предназначен. Мостовете обработват пакетите много бързо, тъй като не ги преформатират. Те единствено прочитат адреса на получателя и вземат решение дали да филтрират или да препратят пакета. Обикновено мостовете притежават по няколко вида кабелни интерфейси, така че Ethernet LAN с дебел коаксиален кабел (10Base5) може да бъде свързана чрез мост към Ethernet LAN с усукани двойки проводници. Обикновено мостът представлява компютър с няколко мрежови карти, към всяка от които е свързан сегмент на локална мрежа. За да бъде ограничен потокът от данни между сегментите на мрежата, се използва правилото 80/20, в съответствие с което около 80% от трафика трябва да бъде локален (между компютрите на сегмента) и само 20% външен (между сегментите на LAN).

40 Маршрутизатори Маршрутизаторите (routers) работят на ниво мрежов слой на OSI модела. Те служат за свързване на мрежи с различни топологии и архитектури. Когато биват свързвани две мрежи с несъвместим протокол, маршрутизаторът изпълнява ролята на шлюз (gateway). В LAN те свързват подмрежи, а във WAN независими една от друга мрежи, каквито например срещаме в Интернет. Подобно на мостовете маршрутизаторите филтрират или препредават пакетите, но вместо физически хардуерни MAC адреси те използват логически мрежови адреси (IP или IPX адреси). Маршрутизаторите са по-интелигентни устройства от мостовете. Те са в състояние да определят най-добрия маршрут до дадено местоназначение измежду множество възможни пътища. За целта те поддържат маршрутни таблици (forwarding tables), съдържащи мрежовите адреси и на други маршрутизатори. Един маршрутизатор трябва да притежава поне два мрежови интерфейса, посредством които да могат да се свързват две мрежи. Като правило те притежават един WAN порт за връзка с Интернет посредством ISDN адаптер, ADSL адаптер или модем и поне един порт за връзка с LAN (фиг.19).

WAN мрежа

Фиг.19 Когато един маршрутизатор получи пакети, предназначени за отдалечена WAN мрежа, той ги изпраща на маршрутизатора, който обслужва тази мрежа. Маршрутизаторите на WAN мрежите могат да комуникират само с други маршрутизатори. Те не могат да комуникират директно с отдалечени компютри. Маршрутизаторите от среден клас могат да изпълняват и функциите на хъбове и суичове. Като правило в тях е интегриран Ethernet суич или хъб (с 4 до 8 порта), което позволява на потребителите лесно да изграждат LAN мрежа, която би могла да споделя файлове и принтерски услуги и да има достъп до Интернет. Маршрутизаторите от нисък клас са снабдени само с единичен LAN порт (вместо с интегриран хъб или суич), предназначен за връзка с външен хъб или суич. Маршрутизаторите от висок клас притежават около 50 порта с най-различно предназначение, между които и USB-порт и възможност за безжична връзка. Те интегрират в себе си и NAT-устройства (NAT boxes). NAT (Network Address Translator) е Интернет стандарт, който позволява използване в LAN на две множества от IP-адреси – вътрешно и външно. Вътрешното е предназначено единствено за трафика вътре в LAN, докато външното е за външния трафик. NAT извършва преобразуване на вътрешните адреси във външни и обратно. Възможността да се ползват вътрешни адреси позволява на корпорациите да увеличават броя на отредените им IP-адреси. Вътрешните адреси не се виждат извън LAN, поради което не е възможно възникване на конфликти с вътрешни адреси на други корпорации. NAT-устройствата извършват преобразуване на адресите по хардуерен път. Маршрутизаторите от висок клас включват в себе си още DHCP (Dynamic Host Configuration Protocol) сървър, DNS (Domain Name Service) proxy-сървър и хардуерна защитна стена (firewall) за защита на LAN от злонамерени външни атаки през Интернет. Комутатори Основното предназначение на комутаторите (суичовете, switches) е да избират пътя, по който данните да бъдат изпращани до тяхното предназначение (фиг.20).

41 Съществуват различни типове комутатори. Те биват категоризирани според OSI слоя, на който те работят. Комутатори от ниво 2. Действат подобно на хъбовете. Различават се по това, че хъбът изпраща пакетите до всички портове, докато при комутаторите всеки пакет бива комутиран, като се изпраща само на онзи порт, респективно компютър, за който е предназначен. Поради тази причина комутаторите от този тип биват наричани още комутиращи хъбове (switching hubs) или портови комутатори (port switches). Комутаторите от ниво 2 премахват ненужния трафик в мрежата, като същевременно увеличават сигурността на комуникацията. Тъй като съобщенията не се изпращат до всички портове, това намалява вероятността от прихващането им. Друг вид комутатори от този тип са сегментните комутатори (segment switch). Те позволяват към портовете да се свързват цели мрежови сегменти, съдържащи повече компютри. LAN мрежи, които използват комутатори за свързване на мрежови сегменти, биват наричани комутирани LAN.

Хъб

Фиг.20 Комутатори от ниво 3. Те работят в мрежовия слой на OSI модела, като могат да изпълняват едновременно функциите на маршрутизатори и на комутатори от ниво 2. Те представляват комбинация от маршрутизатор и комутатор, поради което биват наричани още комутиращ маршрутизатор (switched router). Комутатори от ниво 4. Това са комутатори от ниво 3, които допълнително оперират с информация от транспортния слой на OSI модела. По-конкретно те използват номерата на портовете, съдържащи се в TCP и UDP хедърите. Накратко за различията между хъбовете, комутаторите и маршрутизаторите На фиг.21 е показана конфигурация на мрежа с участието на гореизброените устройства. Връзката с Интернет е осъществена посредством маршрутизатор. В центъра на мрежата се намира комутатор (суич), който избира пътя, по който данните биват изпращани до тяхното предназначение. Комутаторите се различават от хъбовете (концентраторите) по това, че всеки пакет бива комутиран, като се изпраща само на онзи порт, респективно компютър или мрежов сегмент, за който е предназначен. При хъбът (на фиг.21 означен като концентратор) всеки един пакет бива изпращан до всички негови портове, т.е. до всички компютри едновременно. Пакетът се възприема само от онази мрежова карта, респективно компютър, за която е бил предназначен. Недостатък на хъбовете в сравнение с комутаторите от ниво 2 е, че пропускателната им способност зависи от броя на компютрите, извършващи едновременно

42 комуникация, тъй като честотната лента на хъба се разпределя между повече потребители. При суичовете пропускателната способност остава винаги една и съща, независимо от броя на комуникиращите компютри, свързани към него. Честотната лента на комутатора се ползва цялостно само от един потребител – само от онзи, за когото пакетът е предназначен. По отношение на пропускателната способност суичовете са по-добри устройства от хъбовете. Най-често хъбовете се използват за изграждане на мрежови сегменти, а суичовете, като по-ефективни от хъбовете, за интегриране на повече такива сегменти в една обща LAN мрежа.

Фиг.21 Маршрутизаторите (рутерите) са коренно различни устройства от хъбовете и комутаторите. Те определят най-късия маршрут, по който пакетите биват изпращани от една мрежа до друга. Докато хъбовете и комутаторите работят с MAC-адреси на канално ниво, маршрутизаторите използват логически адреси (IP и IPX адреси) на ниво мрежов слой.

5. Отдалечени комуникационни връзки В традиционните LAN мрежи компютрите са разположени близко, поради което затихването на изпращаният сигнал при преминаването му по кабел е незначително. При поголеми разстояния директната кабелна връзка става неподходяща, което налага използване на други технически решения. Отдалечените мрежови връзки се осъществяват с помощта на допълнителни устройства, като преносната среда може да бъде жична или безжична. Мрежовите връзки с отдалечен достъп, макар и с ограничено времетраене, позволяват на потребителите да установяват връзка и да работят с LAN така, като че ли са свързани с мрежата директно посредством кабел. Използването на телефонна линия и модем (dialup networking) представлява един пример за изграждане на отдалечена връзка. Тук ролята на мрежова карта изпълнява модема, а тази на Ethernet кабела телефонната линия. Разликата между този вид отдалечена връзка и директната кабелната връзка е в скоростта. По принцип отдалечените връзки отстъпват по скорост на директните кабелни връзки. Така например най-производителните модеми работят със скорост 56 Kbps, докато най-бавната Ethernet връзка постига 10 Mbps. Найвисокоскоростните ADSL адаптери, използвани за отдалечени връзки по цифрови абонатни телефонни линии, постигат скорости максимум до 6 Mbps. Както е видно, дори и те отстъпват по скорост на най-бавната Ethernet връзка.

43 Отдалечени връзки се използват и във WAN мрежите. WAN не e просто голяма LAN, а представлява сбор от повече LAN мрежи, свързани помежду си с отдалечени връзки. В следващите точки се разглеждат различните устройства и технологии за отдалечена комуникация, като: PSTN, ISDN, DSL, и Т-носещите вериги. При отдалечените връзки за предаване на данни се използват два типа технологии на комутиране (т.1): 

Комутиране на вериги (circuit switching). Връзката се изгражда посредством поредица от комутации, в резултат на които възниква електрическа верига, по която се осъществява комуникацията. Връзката е временна. Трае докато комуникацията приключи. Ако същата бъде прекъсната и след това повторно създадена, в резултат от нови комутации в общия случай възниква друга връзка (друга електрическа верига), представляваща друг път за комуникация. Пример за мрежа с комутиране на вериги е телефонната мрежа.



Комутиране на пакети (packet switching). Тук данните биват разбивани и изпращани в линията под формата на пакети, като всеки един от тях може да пътува по различен път в мрежата и да достигне до крайната точка на комуникация в различно време. След като всички пакети достигнат крайния пункт, те биват подреждани в първоначалния им ред така, че да образуват отново тяхното общо цяло. За разлика от комутацията на вериги тук не се ползва една единствена връзка за цялото времетраене на комуникацията. Тук пакетите пътуват по различни пътища. Пример за мрежа с комутиране на пакети е Интернет.

5.1. Отдалечени връзки с комутиране на вериги Мрежите с комутиране на вериги използват както dialup връзки, осъществявани по стандартни телефонни линии чрез избиране на телефонен номер, така и наети линии, които представляват фиксирани телефонни връзки. Устройствата, използвани за изграждане на мрежи с комутиране на вериги, са следните: Модеми С помощта на модеми се реализира популярният тип отдалечена връзка, известна като dialup връзка. Връзките от този тип се осъществяват по стандартните аналогови телефонни линии, инсталирани в повечето предприятия и организации. Технологията е позната със съкращението PSTN (Packed Switched Data Network). Процесът на конвертиране на цифровите сигнали в аналогови и обратно се нарича модулация/демодулация. Модемът е устройство, което може да извършва двата вида конвертиране, откъдето произхожда и неговото название. Той преобразува цифровите данни, идващи от предаващия компютър, в аналогов сигнал, който след това се предава в стандартна телефонна линия. Процесът се нарича модулация. На другия край на линията пристигащият аналогов сигнал се възприема от друг модем, който извършва обратното преобразуване - конвертира аналоговия сигнал в цифров. Процесът се нарича демодулация. Когато предаващият модем предприеме инициатива за осъществяване на връзка с друг модем, отначало той излъчва тонален сигнал, състоящ се от два периодично сменящи се тона с различна височина. Ако отсрещният модем отговори с подобни два тона (с други звукови честоти), това ще означава, че връзката е създадена. Двата модема са си „подали ръка”, осъществявайки ръкостискане (handshaking) и вече може да започне предаването на данни. В случай, че отсрещният модем не поеме „подадената ръка”, предаващият модем понижава честотите на двата тона и отново „подава ръка”. Процесът се нарича fallback. Той се повтаря, докато се създаде връзка, а при невъзможност за осъществяване на такава (телефонната линия е лоша или зашумена или пък отсрещният модем не се отзовава) инициативата на предаващия модем се прекратява окончателно. Модемите работят на най-долният слой на OSI-модела. Те са свързани непосредствено с комуникационната линия. Използват се за създаване на WAN-връзка към доставчик на Интернет услуги или за осъществяване на връзка с dial-up сървър в частна мрежа.

44 Според конструктивното им оформяне модемите се разделят на външни и вътрешни. Външният модем е отделно устройство със собствено електрозахранване, което традиционно бива включвано към един от серийните портове (COM входове) на компютъра. Съвременните модеми позволяват включване в USB порт на компютъра или в хъб (концентратор). Предимството на външните модеми в сравнение с вътрешните е в това, че отпада необходимостта от инсталация на същите в компютъра и нуждата от конфигуриране на същите (задаване на прекъсването IRQ и на I/O адреса на серийния порт). Външните модеми имат индикаторни панели за състоянието си, което позволява визуално наблюдаване на процеса на комуникацията. Вътрешните модеми биват поставяни под формата на интерфейсна карта в разширителен слот на компютъра - в ISA или в PCI слот на настолните компютри, респективно в PCMCA слот на преносимите компютри. В двата случая се изисква конфигуриране на модема, освен когато той е от типа Plug and Play (PnP) и BIOS и операционната система поддържат PnP. Съвременните модеми извършват компресия/декомпресия на данните и са в състояние да осъществяват защита от грешки. Скоростта им на работа зависи от качеството на телефонната линия. Съвременните модеми могат да приемат/предават със скорост от 14.4 до 56 Kbps. Това е така наречената информационна скорост, от която се интересуват потребителите на мрежи. Съществува и друга скорост, измервана в бодове, която изразява качеството на модулация на цифровия сигнал. Един бод би могъл да съдържа един или повече бита. В числено изражение скоростта на модулация обикновено бива по-ниска от информационната скорост. По скорост на комуникация модемите отстъпват на ISDN и ADSL адаптерите. Последните често биват неправилно наричани модеми. Те не извършват модулация и демодулация на цифровия сигнал. ISDN и ADSL линиите са цифрови, за разлика от стандартните комутируеми аналогови телефонни линии. ISDN адаптери ISDN (Integrated Services Digital Network – цифрова мрежа за интегрирани услуги) служи за трансфер на данни, включително аудио и видео информация, по цифрови или по обикновени телефонни линии. ISDN адаптерите притежават един или повече канали за пренасяне на данни, наричани B-канали (bearer, носещи канали) и един канал за управление, наричан D-канал (Delta канал). Всеки B-канал е с пропускателна способност 64 Kbps, а Dканалът с 16 или 64 Kbps в зависимост от конкретната реализация на адаптера. ISDN адаптерите се предлагат в два варианта:  Basic Rate ISDN (BRI). Състои се от два B-канала. Всеки един от тях работи със скорост 64 Kbps. Адаптерите могат да бъдат конфигурирани така, че по време на комуникацията да се използват двата канала едновременно (multilink конфигурация), в резултат на което пропускателна способност става 128 Kbps. Двата канала са снабдени с различаващи се един от друг телефонни номера, макар че кабелът им за връзка с телефонната линия е общ. BRI се използва от телефонните компании за високоскоростен трансфер на данни в жилищни райони или между малки бизнес организации.  Primary Rate ISDN (PRI). Състои се от 23 B-канала със скорост 64 Kbps, които взети заедно осигуряват пропускателна способност от 1472 Mbps. PRI се използва за цифрово предаване на глас, както и за реализация на частни телефонни мрежи от типа PBX (private branch exchange), използвани в предприятия и организации. Подобно на модемите, ISDN адаптерите биват вътрешни и външни. Външните се свързват към мрежовите Ethernet карти на компютрите. ISDN адаптерите позволяват свързване към тях на аналогови телефони, предназначени за извършване на разговори. В този случай те могат да бъдат конфигурирани така, че да осъществяват връзка с Интернет със скорост 128 Kbps. Ако по телефона постъпи повикване и започне провеждане на разговор, докато той трае скоростта на връзката с Интернет спада автоматично на 64 Kbps. След затваряне на телефона В-каналът, използван до тогава за

45 провеждане на разговора, автоматично се превключва към Интернет, като скоростта се покачва отново на 128 Kbps. DSL адаптери DSL (Digital Subscriber Lines) технологията е по-съвременна технология от ISDN. Телефонните компании я предлагат на потребителите като допълнителна услуга върху съществуващите телефонни линии. По една и съща линия могат едновременно да бъдат предавани глас и данни. При по-ниска цена от ISDN DSL предлага скорости близки до тези на наетите телефонни линии. За установяване на връзка DSL технологията не изисква избиране на телефонен номер. Тя се намира постоянно на разположение (постоянно е включена).

Интернет Компютър ADSL адаптер

Телефонна централа Фиг.22

DSL се среща в 5 варианта. Универсалният начин за тяхното означаване е xDSL. Те са следните:  ADSL (Asymmetric DSL). Това е най-разпространения и сравнително най-евтин вариант на DSL (фиг.22). Осигурява скорост на низходящия трафик (download stream) в диапазона от 384 Kbps до 6 Mbps. Скоростта на възходящия трафик (upload stream) е около 4 пъти по-ниска от тази на възходящия. Българска телекомуникационна компания (бТК) предлага ADSL с низходяща скорост, достигаща до 4 Mbps. Недостатък на ADSL е ограничението по отношение на разстоянието между потребителя и телефонната централа, което не може да надхвърля 5 км. ADSL адаптерите биват вътрешни и външни. Външните се свързват към мрежовата Ethernet карта на компютъра. 

SDL (Symmetric DSL). Осигуряват една и съща скорост на низходящия и възходящ трафик, която достига до 3 Mbps. Технологията отстъпва по скорост на ADSL и е поскъпа.



HSDL (High DSL). Осигурява в двете посоки скорост от 768 Kbps. Технологията не получи широко разпространение.



VDSL (Very High Data Rate DSL). За сметка на високата цена позволява постигане на изключително високи скорости на трансфер между 13 Mbps и 52 Mbps, подходящи за предаване на живо на видео и на аудио. Това е най-скъпата DSL технология.



IDSL. Това е DSL технология, осъществявана по ISDN линии. Максимална скорост на предаване е 144 Kbps. Технологията е по-скъпа и е с по-ниска скорост от ADSL. Предимството й е, че може да бъде използвана за реализации, при които поради големите разстоянията предходните четири DSL технологии не са подходящи.

T-носещи За отдалечени връзки с висока пропускателна способност и надеждност се използват наети линии – линии, които биват вземани под наем от телефонни компании, обикновено за частно ползване. Наетите линии осигуряват постоянна връзка от една точка до друга,

46 например от една LAN мрежа до някакъв Интернет доставчик или от един филиал на една фирма до друг нейн такъв. Една от първите цифрови услуги по наети линии бе DDS, осигуряваща скорост на трансфер 56 Kbps. Не след дълго тя трябваше да отстъпи на технологията, наричана Тносещи, която се оказа по-евтина и по-производителна от DDS. Буквата Т в названието указва характера на предавателния канал. Разпространени реализации на Т-носещи са следните:  Т-1 със скорост на трансфер 1.544 Mbps;  Т-2 със скорост на трансфер 6.132 Mbps;  Т-3 със скорост на трансфер 44.736 Mbps;  Т-4 със скорост на трансфер 274.760 Mbps. Т-носещите линии се състоят от множество канали, всеки един от които със скорост 64 Kbps. Потребителите биха могли да наемат всички канали или само част от тях. Пропускателната способност на линията представлява сума от скоростите на наетите канали. Т-носещите представляват специализирани вериги за трансфер на данни, глас и видео от точка до точка. Те могат да бъдат безжични или жични с използване на обикновен меден, оптичен или коаксиален кабел. В двата крайща на веригата се включват CSU/DSU устройства (CSU/DSU – Channel Service Unit/Data Service Unit, устройство за обслужване на канал/устройство за обслужване на данни), които биват свързвани към стандартен RS-232 интерфейс (COM порт на компютър). CSU защитава линията от електрически смущения, а DSU управлява трансфера на данните (обработва грешките и преобразува данните в сигнали, подходящи за изпращане в линията). Т-1 услугата е най-евтина сред Т-носещите, но тя е по-скъпа от получилата напоследък популярност ADSL услуга, осигуряваща същата и дори по-висока скорост. Организациите предпочитат Т-1, когато се нуждаят от гарантирана скорост на предаване. При ADSL скоростта не е гарантирана. Тя би могла да се окаже по-ниска от максималната, докато при Т-1 това не е възможно. Гарантираната скорост е най-важното съображение за наемане на Т1 линия, особено когато организациите се нуждаят от постоянна производителност на мрежата. 5.2. Отдалечени връзки с комутиране на пакети Технологиите на комутиране на пакети са следните:  X.25;  Frame Relay;  ATM. Тук ще се спрем единствено на ATM. Първа се появи технологията X.25, известна още като PSDN (Packet Switched Data Network). Тя бе проектирана да работи с мейнфрейм компютрите на IBM. Frame Relay е усъвършенствана X.25 технология, която може да работи със скоростите на Т-1 и Т-3. ATM ATM (Asynchronous Transfer Mode) е модерна цифрова мрежова технология, предназначена за високоскоростни приложения, каквито са например поточните аудио и видео. Тя бе разгледана в т.2.6. Тук ще отделим повече внимание на хардуерната реализация. Вместо стандартните и многобройни мрежи за предаване на данни, всяка от които осигурява само определен вид услуги, в ATM се реализира концепцията за построяване на единна цифрова мрежа базирана на единен метод за транспортиране на всички видове информация. АТМ осигурява еднотипно представяне на потребителската информация чрез къси пакети с фиксирана дължина, наричани клетки, които по виртуален канал се доставят до местоназначението си в режим на бърза комутация. Благодарение на АТМ цялото

47 комутационно оборудване става еднородно (фиг.23), със способност да реализира всички видове трафик посредством бърза комутация на клетки и асинхронно разпределяне на ресурсите. ATM съчетава предимствата както на метода "комутация на вериги" (константно закъснение при предаването и гарантирана пропускателна способност), така и на метода "комутация на пакети" ( постигане на висока ефективност при нерегулярен трафик). При АТМ множество виртуални канали асинхронно се мултиплексират върху един физически цифров канал.

Фиг. 23 АТМ мрежите се характеризират с:  висока гъвкавост и адаптируемост към изменящите се изисквания на потребителите по отношение на обема, скоростта и качеството на доставената информация;  висока ефективност при използването на ресурсите благодарение на статистическото мултиплексиране на множество източници;  ниски разходи за проектиране, строителство и експлоатация. ATM промени традиционната мрежова парадигма. Класическите мрежи използват пакети, съдържанието на които не зависи от характера на връзката. Пакетите съдържат константна адресна информация за изпращача и получателя на съобщението. Тук мрежата отговаря за това как пакетите да достигнат до получателя. Работните станции (компютрите) са освободени от това задължение, което позволява те да бъдат относително прости. При ATM нещата стоят обратно. Последната станция отговаря за установяване на виртуален път между отделните станции. Ролята на комутаторите при ATM режима, е да комутират клетки по продължение на един виртуален канал на базата на информация, съдържаща се в хедъра. Тук мрежата се освобождава от отговорността за пренасяне на данните, което опростява мрежовото оборудване. При ATM се използват два типа виртуални връзки - виртуален кръг и виртуален път. Виртуалният кръг представлява логическата връзка (логическа верига) между две крайни устройства, осъществявана през комутационна мрежа. Двете устройства си обменят информация, като си изпращат клетки с данни по логическата верига. Виртуалният път представлява логическа група от тези логически вериги. Разпознаването на такива групи позволява на ATM комутаторите да изпълняват операциите общо за цялата група вериги, а не поотделно за всяка една виртуална верига. Всяка ATM клетка съдържа информация за виртуалния път (VPI - Virtual Path Information) и информация за виртуалната верига (VCI - Virtual Circuit Information). ATM комутаторът използва тази информация, за да изпрати получените клетки към подходящото устройство.

48 Връзката при ATM е ориентирана. В контекста на логическата връзка, това дава възможност за поддържане на протоколи, като TCP/IP и IPX/SPX. ATM може да поддържа два типа връзки:  връзки от типа точка до точка;  връзка от типа точка да много точки; При първия тип връзки (фиг.24) две устройства се свързват с виртуална връзка през един ATM комутатор. Такива връзки могат да се използват за еднопосочен или двупосочен трансфер на данни.

Фиг.24 Вторият тип връзки- от точка до много точки (фиг.25), са малко по-сложни. Те могат да се използват само за еднопосочно предаване от една станция към много получатели.

Фиг.25 Увеличаването на Интернет трафика и възможността за неговата интеграция с трафик от другите видове услуги в рамките на единна мултисервизна мрежа правят АТМ по същество най-перспективната концепция за развитие на телекомуникациите в света. Вече започналия преход към широколентови гигабитови мрежи съществено разширява областта на приложение на АТМ. АТМ е за сега сравнително скъпа мрежова технология, изискваща използване на специализиран АТМ хардуер (мрежови карти, хъбове и др.). Независимо от това тя успя да си пробие път и да се наложи като популярна технология. Днес много експерти предричат, че в бъдеще ATM ще се превърне в масова технология за изграждане както на LAN, така и на WAN мрежи. Международният съюз по телекомуникации препоръчва при изграждането на такива мрежи да се прилага концепцията за широколентова мрежа с интеграция на услугите B-

49 ISDN, представляваща сама по себе си мрежа с пакетна комутация по виртуални канали. Идеята за създаване на B-ISDN посредством АТМ технологията възниква като принципно нова парадигма за построяване на телекомуникационни мрежи.

6. Безжични мрежи 6.1 Кратка история Безжичните мрежи стават все по-популярни. Те предлагат редица предимства пред традиционните жични технологии, като например: намаляване на разходите за изграждане (отпадат кабелите, конекторите и голяма част от познатите устройства, използвани в локалните мрежи), улесняване на инсталацията на мрежата, увеличено удобство за потребителите и прочее. Присъединяването на нови потребители се свежда до инсталиране на безжична карта (ако няма вградена такава) и включване на машината. Безжичните мрежи са полезно средство за предоставяне на мрежов достъп до места, където липсва традиционна мрежова инфраструктура. Като очевиден пример за популярността на безжичната технология могат да послужат съвременните преносими компютри, в които има интегриран безжичен интерфейс - 802.11b и/или 802.11g. Безжичните LAN мрежи са базирани на радиовълнова технология, използваща разпределен спектър (spread spectrum). Технологията е била създадена в Англия по време на Втората световна война. За да се преборят с използваното от германците заглушаване на радиосъобщенията, военните специалисти прибягват до радиовръзки с разпределен спектър. При тях едно съобщение се изпраща едновременно по повече канали, които трудно могат да бъдат заглушени едновременно. След 1945 г. някои от цивилните предприятия започват да проявяват интерес към тази технология, осъзнавайки други нейни предимства, полезни за потребителите. Като предшественик на съвременните безжични LAN мрежи се счита мрежата ALOHAnet, създадена през 1971 г. от Хавайския университет. Мрежата включва седем компютъра, разположени на различни острови, които могат да общуват двупосочно с централен комутатор, намиращ се на остров Оаху. Проучванията на университета прокарват пътя към създаване на първото поколение оборудване за безжични мрежи, работещо в честотния диапазон 901-928 MHz. Ниската скорост на трансфер и възникналото във връзка с това задръстване на честотната лента ограничава използването на мрежата, предимно за военни цели. По-късно, през 1997 г., IEEE (Institute of Electrical and Electronics Engineers) създава спецификацията 802.11, дефинираща интерфейсите за връзка между безжичен клиент и базова излъчваща станция, както и между два безжични клиента. Съгласно 802.11 носещата честота е 2.4 GHz, максималната скорост на трансфер 2 Mbps, а схемите на модулация са DSSS (Direct Sequence Spread Spectrum) и FHSS (Frequency Hopping Spread Spectrum). Изброените характеристики бяха обявени като основни за безжичните мрежи, предназначени за свободно ползване. Не след дълго се появиха и други спецификации за безжични мрежи, които, заедно с 802.11, образуваха фамилия от спецификации, означавана като 802.11. Друга организация, освен IEEE, която се занимава с разработване на политики и предписания в развитието на безжичните мрежи е WFA (Wi-Fi Alliance). Разработките на WFA биват утвърждавани като стандарти от IEEE. 6.2 Стандарти за безжични мрежи IEEE присвои на безжичните технологии за LAN/MAN общия номер 802. Въз основа на него бяха създадени работни групи за разработка на спецификации. Една от тях е спомената по-горе група 802.11, която създаде фамилията от спецификации 802.11. Други работни групи и съответно спецификации са например 802.15 (за мрежата Bluetooth), 802.16 (за поддръжката на широколентовите безжични системи, предназначени за MAN мрежи) и др.

50 Стандарти за безжични LAN мрежи Фамилията 802.11 се състои от група спецификации, всяка една от които е означена със собствена буква след номера 802.11, като например 802.11a. По-долу следва таблица с найважните спецификации за безжични LAN: Тип 802.11а (Wi-Fi) 802.11b (Wi-Fi) 802.11g (Wi-Fi)

Максимална скорост

Реална скорост

Брой на каналите

Максимално покритие

Носеща честота

54 Mbps

~30 Mbps

8

50 m

5 GHz

11 Mbps

~6 Mbps

14

500 m

2.4 GHz

54 Mbps

~30 Mbps

14

50 m

2.4 GHz

802.11а. Разполага с 8 канала. Вместо дефинираните в 802.11 схеми за модулация DSSS или FHSS, използващи разпределени спектри, тук се прилага схемата OFDM (Orthogonal Frequency Division Multiplexing). Технологията не получи широко разпространение поради относително високите цени на оборудването и ограничения обхват на действие. По-добра е от популярната 802.11b по отношение трансфера на аудио и видео, но й отстъпва по обхвата на действие. Не е съвместима с 802.11b. Продуктите, отговарящи на този стандарт, биват отбелязвани с Wi-Fi сертификат (Wi-Fi CERTIFIED). 802.11b. Това е най-популярната безжична технология, утвърдена и обявена през 1999 г. като по-нататъшно развитие на стандарта 802.11. Бива означавана още като 802.11 High Rate или като Wi-Fi. Осигурява функционалност, отговаряща на Ethernet. Използва модулация DSSS. При честота 2.4 MHz осигурява максимална скорост 11 Mbps, която при намалена пропускна възможност (fallbacks) спада на 5.5 Mbps, 2 Mbps или 1 Mbps. Обхватът на действие достига до 500 метра. Разполага с 14 канала, от които 3 незастъпващи се. Продуктите, отговарящи на този стандарт, биват отбелязвани с Wi-Fi сертификат (Wi-Fi CERTIFIED). 802.11g. Този стандарт е разработен с цел постигане на по-високи скорости, достигащи 54 Mbps в честотната лента 2.4 GHz . При скорости над 20 Mbps се използва схемата OFDM, а при такива под 20 Mbps схемата DSSS. Разполага с 14 канала, от които 3 незастъпващи се. 802.11g предлага допълнителна сигурност чрез въвеждане на Wi-Fi Protected Access (WPA). Продуктите, отговарящи на този стандарт, биват отбелязвани с Wi-Fi сертификат (Wi-Fi CERTIFIED). 802.11g-устройствата са функционално съвместими с 802.11b, което позволява 802.11b-устройствата да бъдат замествани директно с 802.11g-устройства. Към настоящия момент устройствата от тип 802.11g получиха широко разпространение, съизмеримо с това на тези от тип 802.11b. Днес преносимите компютри като правило притежават вградена карта за безжична връзка, отговаряща едновременно на стандартите 802.11b и 802.11g. 802.11n. Прокламиран е като стандарт, който се очаква да бъде утвърден от IEEE през септември 2008 г. През октомври 2007 г. WEA (Wi-Fi Alliance) публикува документа 802.11n draft 2.0, който на практика послужи като стандарт за производството на първите 802.11nустройства. 802.11n разполага с два канала, всеки един от които работи с честота 20 MHz, осигурявайки скорост на трансфер 88.5 Mbps. Съвместно двата канала работят с честота 40 MHz, постигайки скорост 146.83 Mbps, което е 5 пъти повече в сравнение със скоростта на 802.11g (около 30 Mbps). Стандартът 802.11n е съвместим с по-старите спецификации 802.11b и 802.11g. Понастоящем решението за използване на устройства, отговарящи на стандарта 802.11g, изглежда като най-удачно, тъй като върху него е поставен основният акцент от страна на производителите на безжични устройства. Използването на 802.11а е подходящо решение само в случаите, когато мрежата е разположена на място, където се ползват други безжични инфраструктури, използващи 2,4-гигахерцова носеща честота на сигнала.

51 Безжичните мрежи биват два вида: 

Мрежи ad-hoc (peer-to-peer). Терминът ad-hoc означава “специален”, а peer-to-peer “равен с равен”. Става дума за специални мрежи, в които компютрите са свързани помежду си като равен с равен.



Мрежи с използване на точки за достъп (AP – Access Point) до жични LAN.

Ad-hoc мрежите се състоят от компютри, снабдени с интерфейсни карти за безжична комуникация. Картите за безжичен достъп изпълняват същата роля както традиционните мрежови карти за Ethetrnet или Token Ring. Те също притежават свои уникални MAC-адреси, посредством които биват идентифицирани в мрежата. Всеки един от компютрите в ad-hoc мрежата би могъл да комуникира директно с всички останали компютри от същата мрежа (фиг.26).

Фиг.26

Фиг.27

52

Фиг.28 За да могат компютрите на една безжичната мрежа да получат достъп до ресурсите на жична LAN, необходима е поне една точка на достъп (AP), през която да се осъществява връзката с LAN. Тази точка може да бъде специализирано хардуерно устройство (HAP Hardware Access Point) (фиг.27) или компютър, снабден със нужния за целта софтуер (SAP – Software Access Point) (фиг.28). За връзка с жична LAN биха могли да се използват повече на брой точки за достъп, което всъщност представлява свързване на повече безжични мрежи с една жична LAN (фиг.29). Посредством повече на брой точки за достъп може да бъде осигурена безжична връзка в отделни помещения (офиси, класни стаи, лаборатории и т.п.) с една базова жична LAN. В други случаи една безжична мрежа би могла да се свърже с повече жични LAN чрез използване на точки на достъп, свързани към всяка една от тези LAN.

Фиг.29 Максималният брой компютри, които могат да бъдат свързани към една точка за достъп, зависи от техническите характеристики на точката. За някои точки този брой е 10, а за други 100.

53

Фиг.30 Обхватът на действие на безжичната комуникация може да бъде увеличаван чрез използване на разширителни точки (Extension Points) (фиг.30). Безжичните мрежи биха могли да изпълняват функция роуминг. Радиовълните на всяка точка за достъп покриват определена област, наричана обхват на действие. Когато биват използвани едновременно повече точки на достъп, възможно е областите им да се припокриват (фиг.31). Роуминг функцията следи интензивността на сигналите в припокриващите се области и осъществява връзка с онази точка на достъп, чийто сигнал е по-интензивен. Роумингът протича напълно прозрачно за потребителя. Функцията е особено полезна, когато компютърът е мобилен, например при движение на потребител, снабден с преносим компютър. Поради липса на стандарт за роуминга, не всички точки на достъп, предлагани на пазара, могат да бъдат конфигурирани да извършват роуминг.

Фиг.31

54

Фиг.32 Две жични LAN могат да бъдат свързани помежду си безжично посредством използване на две точки за достъп (фиг.32) при условие, че двете точки са в състояние да комуникират помежду си (не всички точки за достъп са в състояние да осъществяват безжична връзка помежду си). Използване на такава връзка се налага, когато липсва физическа възможност за прокарване на кабел, който да свърже двете LAN, например, когато те се намират в две близко разположени сгради, разделени от една или повече улици. Всяка една от точките за достъп трябва да е в състояние да изпълнява за своята жична LAN ролята на безжичен мост (wireless bridge) за връзка с други LAN. На фиг.32 една от точките за достъп (в случая двете точки представляват безжични мостове) изпълнява водеща роля - ролята на master, а другата е подчинена на първата, изпълнявайки ролята на slave. Връзката между тях е от типа poin-to-point. Ако взаимосвързаните точки за достъп са повече от две, възниква структурата poin-to multi point. В нея всички точки за достъп са безжични мостове, които комуникират всеки с всеки. Когато само една от точките е безжичен мост, тя изпълнява ролята на master, а другите точки са slave. Такъв вид структура се нарича master plus APs (Access Points). В случая slaveточките не са в състояние да комуникират директно помежду си.

Фиг.33

55 Съществуват и структури от типа AP to AP, при които всяка точка за достъп може да комуникира с всички останали. Тази структура е най-гъвкава, но цената на такива точки за достъп е висока (няколко стотин долара). Безжичните мрежи биха могли да се свързват и към Интернет. За целта е достатъчно компютърът, към който е свързана точката за достъп, да има връзка с Интернет (фиг.33). На пазара се предлагат хардеурни точки за достъп, които могат да осъществяват директна връзка с Интернет (фиг.34).

Фиг.34

Фиг.35 Една безжична LAN би могла да осъществява връзка с Интернет посредством жична връзка със софтуерна точка на достъп (фиг.35, Wireless Network 2), принадлежаща на безжична мрежа. Друга безжична мрежа може да получи също достъп до Интернет, ако бъде свързана със същата жична LAN по традиционния начин чрез използване например на хардуерна точка за достъп (фиг.35, Wireless Network 1). На фиг.35 софтуерната точка за достъп изпълнява едновременно три функции – връзка с Интернет, връзка с жична LAN и връзка с втора безжична мрежа. Това не изключва възможността жичната LAN да бъде свързана по традиционния начин с друга безжична мрежа. Последната също ще получи достъп до Интернет, тъй като жичната LAN е вече свързана с Интернет.

56 Като изхожда от нарастващата популярност на Wi-Fi технологията и на VoIP (Voice over IP), Wi-Fi Alliance разработи новата сертификационна програма Wi-Fi CERTIFIED VoicePersonal за Wi-Fi устройства за безжично предаване на глас у дома или в малки предприятия. Налице са вече първите устройства, получили такава сертификация. Стандарти за безжични MAN мрежи Към тях се отнасят стандартите IEEE 802.16 и IEEE 802.16a, означавани с общото име WiMAX. Те използват кодиращата схема OFDM (Orthogonal Frequency Division Multiplexing) и защитите DES3 и AES. Технологията 802.16 използва носеща честота в диапазона от 10 до 66 GHz, а 802.16a в диапазона 2 до 11 GHz. В Европа е разработен и се ползва още един стандарт - HiperLAN/2, който представлява усъвършенстван вариант на предшественика си HiperLAN/1. Осигурява възможност за работа с ATM-клетки и IP-пакети, както и предаване на глас за клетъчни телефони. Използваната носеща честота е 5 GHz, а скоростта на трансфер 54 Mbps. Кодиращата схема е OFDM (Orthogonal Frequency Division Multiplexing). Предвидени са средства за защита на информацията, включително възможност за лична автентикация. Стандартът Bluetоoth Технологията Bluetоoth се използва за безжични мрежи, в които биха могли да участват не само компютри, но и други устройства от типа на мобилни телефони, апарати от домашния интериор и др. Bluetоoth се подържа от консорциум със свободно безплатно членство, основан през 1998 г, в който членуват над 2000 компании, между които IBM, Intel, Nokia, Erricson, Toshiba, 3COM, Lucent, Microsoft. Първата официална версия 1.1 на стандарта бе публикувана на 1 декември 2000 г. Bluetоoth работи в честотния диапазон 2400 – 2483.5 MHz, осигурявайки скорост на предаване, достигаща максимум до 2 Mbps. За устройствата, работещи в синхронен режим, типичната скорост е 723,2 Kbps, а за тези, които използват асинхронен режим тя е 433,9 Kbps. Обхватът на действие е около 10 метра. Схемата на модулация е FHSS. Като средства за защита могат да бъдат използвани протоколите: PPTP, SSL или VPN. Bluetоoth не подържа TCP/IP. Bluetooth-устройството представлява приемо/предавател, изпълнен като отделен модул или интегриран в някакво друго устройство. За управление на същия се използва драйверна програма. Според спецификацията приемо/предавателят трябва да работи в честотния диапазон 2400 – 2483.5 MHz, който е свободен за използване в повечето държави и не изисква лицензиране. Съществуват обаче държави като Франция и Испания, в които част от този диапазон се използва за други цели, поради което там диапазонът е стеснен до 24452475 MHz (Испания), 2446,5-2483,5 (Франция). Bluetooth притежава свойство, отличващо го от останалите технологи - Bluetooth устройствата влизат в контакт едно с друго автоматично, веднага след като попаднат в обсега на приемо/предавателя. За установяването на връзката, за автентификацията и др. се грижи програмното осигуряване. Според терминологията на Bluetooth, устройството, което изпълнява водещата роля в комуникацията с други устройства, се нарича master, a подчиненото устройство, с което master-ът комуникира се нарича slave. Максималният брой на активните slave-устройства може да бъде 7 (multislave-операция, фиг.36b). В обсега на master-а би могло да има и неактивни slave-устройства. Те установяват връзка с master-а (синхронизират се с него), но не обменят данни, докато не се създадат условия за осъществяване на пренос на данни. Броят на неактивните slave-устройства би могъл да бъде неограничен. Такъв тип връзка между устройства бива наричан piconet (фиг.36а). В рамките на една piconet връзка може да съществува само едно master-устройство. Когато едно slave-устройство ев състояние да променя статуса си в master и обратно, възниква друг тип структура, нарича scatternet (фиг.36с). Scatternet мрежата може динамично да променя структурата си в зависимост от текущите нужди на комуникацията.

57

Фиг.36 За да се избегне дублиране на устройствата, както и на появата на други нежелателни явления, всяко едно от устройствата, освен че притежава уникално име, взаимодейства с другите устройства, като използва втори канал за връзка (hopping channel), работещ с периодична промяна на честотата, определяна посредством параметър, наричан hopping, който бива различен за различните устройства. Bluetooth постепенно набира инерция. Големи производители на дънни платки като MSI и EpoX предлагат продукти с вграден интерфейс Bluetooth. Много модели GSM апарати, PDA и преносими компютри също притежават Bluetooth. Рано е още да се говори, че Bluetooth се е наложил окончателно. Както често се случва, появяват се нови по-прогресивни технологии, които изместват старите. Такава е например обещаващата технология ZigBee. Стандартът ZigBee През 2002 г. се заговори за пореден стандарт за цифрова радиовръзка, наричан ZigBee. Днес зад него стои консорциумът ZigBee Alliance, включващ около 230 компании, между които гиганти като Samsung, Philips, Mitsubishi u Motorola. Първите произведени ZigBeeустройства се появиха през 2005 г. Названието ZigBee произлиза от зигзогобразния (zigzag) танц на пчелите (Bee-пчела), посредством който те предават помежду си информация относно местонахождението (посока и разстояние) на източниците на храна. По същество ZigBee е комплект от протоколи (фиг.37), допълващи международния стандарт IEEЕ 802.15.4. Спецификацията IEEЕ 802.15.4 дефинира на какви честоти и кога трябва да се излъчва сигналът, а зад ZigBee се крият протоколите, осигуряващи логическата комуникация, която гарантира съвместимостта на устройствата, произвеждани от различни фирми. Съвсем логично възниква въпросът - за какво ни е нужен още един вид безжична мрежа? Не може ли Bluetooth и Wi-Fi, макар и различаващи се, да задоволят всички безжични нужди? Оказва се, че не. Идеята за IEEЕ 802.15.4 се заражда в началото на 90-те години, когато конструкторските отдели с интерес проучват токущо публикуваните спецификации на Bluetooth и Wi-Fi и откриват, че тези стандарти са твърде енергоемки, за да бъдат използвани

58 за маломощни устройства. Недоволството от това се оказало достатъчно, за да стимулира създаването на нов стандарт, номериран по-късно като 802.15.4. През лятото на 2003 г. по инициатива на Philips е образувано сдружението ZigBee Alliance със задачата да осигури съвместимост между различните Bluetooth и Wi-Fi устройства, както и да ограничи в потесни рамки обхвата на стандарта IEEЕ 802.15.4. На 13 юни 2004 г. бе публикувана първата спецификация ZigBee 2004, а през септември 2006 г. спецификацията ZigBee 2006. В края на 2007 г. бе публикуван окончатилният документ ZigBee PRO.

APL (Application) SEC (Security)

ZigBee

NWK (Network) MAC (Medium Access Control IEEE 802.15.4 PHY(Physical Layer) Фиг.37 Основният коз на ZigBee е икономичността по отношение на консумацията на електрическа енергия. Енергията на една стандартна батерийка тип АА е достатъчна за радиоизлъчване в продължение на повече от една година. Определението гласи, че IEEЕ 802.15.4. е стандарт за нискоскоростни частни мрежи – Low Rate Wireless Personal Area Network (LR-WPAN). Той има на разположение 27 радиоканала в три честотни диапазона 16 канала в общоприетия в цял свят 2,4 GHz диапазон, един допълнителен диапазон на 915 MHz в САЩ (10 канала) и още един на 868 MHz в Европа (един канал). Скоростта на предаване на данните зависи от броя на свободните канали и варира между 20 и 256 Kbps. Разпределението на каналите става по принципа на контрола на носещата (CSMA; Carrier Sense, Multiple Access) – устройството “слуша” ефира и започва предаване, само когато той се освободи. Протоколите на ZigBee са разработени с цел максимално пестене на енергия. Те позволяват на устройството да прекарва преобладаващата част от време в пасивен режим без да излъчва радиовълни. От време на време, за части от секундата, то включва приемника си, за да провери дали някой не се обръща към него. Продължителността на “зимния сън” между две такива включвания може да бъде минути даже и часове. Но това не означава, че стандартът е подходящ само за “бавни” връзки. Той позволява създаване на устройства, чувствителни към закъсненията на данните, като например безжични клавиатури, джойстикове и др. Конструкторите твърдят, че от алгоритмична гледна точка схемата на ZigBee е десетки пъти по проста от Bluetooth, а цената на хардуера не би трябвало да превишава няколко долара. Когато в една радиомрежа има повече ZigBee устройства, те могат да работят както в топология звезда (един маршрутизатор управлява всички потоци от данни), така и като еднорангова мрежа без координатор. При това ZigBee мрежите могат да се “саморемонтират”, ако някой от участниците излезе от строя. Адресацията позволява в една мрежа да се свържат до 65000 устройства – възможност, която наистина може да е полезна за големите корпорации.

59 Техническите данни на ZigBee са следните:  Честотни диапазони: за Европа 868.3 MHz и 2.46 GHz за САЩ 915.0 MHz и 2.46 GHz  Излъчвана мощност: при 915 MHz/2,46 GHz: средно 0.5 mW до 10 mW при 868 MHz: максимално 25 mW (13.9 dBm)  Обхват на действие: до 100 метра  Скорост на трансфер: 20 Kbps при 868/915 MHz и 250 Kbps при 2.4GHz  Метод на комуникация: CSMA (Carrier Sense, Multiple Access) По-долу е приведена таблица, в която са показани сравнителните характеристики на стандартите ZigBee, Bluetooth и Wi-Fi.

Основно предназначение Продължителност на работа с батерия [дни] Брой устройства в една мрежа Скорост на данните [Kbps] Далечина на връзката [метри] Други особености

ZigBee 802.15.4

Bluetooth 802.15.1

Контрол и наблюдение

Замества кабелите

WiFi 802.11b Интернет, данни, видео и аудио

100-1000 и повече

1-7

0,1 – 5

255 – 65000 и повече 20 – 250 1 -75 и повече Висока надеждност, ниска консумация, ниска цена

7 720 1 – 10 и повече

30 11000 и повече 100 и повече Скорост и гъвкавост

Ниска цена и удобство

Интерес представлява фактът, че при ZigBee данните могат да се предават щафетно от устройство на устройство. Заедно със способностите за самонастройка това чувствително опростява разгръщането на мрежи върху голяма площ. В ZigBee мрежите се използват три типа устройства:  ZigBee End Device (ZED). Опростено крайно устройство, което реализира само част от протоколите на ZigBee, поради което бива наричано още RFD (Reduced Function Device). То осъществява връзка с маршрутизатор (рутер), където бива регистрирано. Рутерът заедно с повече крайни устройства, образува безжична мрежа тип звезда.  ZigBee Router (ZR). Това е маршрутизатор, който изпълнява всички протоколи на ZigBee (фиг.37). Нарича се още FFD (Full Function Device). В състояние е да се регистрира в друг по-висшестоящ рутер от същия тип. Повече такива рутери образуват йерархична дървообразна структура.  ZigBee Coordinator (ZC). Това е специален рутер, наричан координатор. Към функциите си на рутер той изпълнява допълнително и функциите на координатор на мрежата. В една ZigBee мрежа може да присъства само един единствен координатор. От него започва изграждането на мрежата. Той задава основните параметри на мрежата и я управлява. Способен е да помни информация за структурата на мрежата и, когато е необходимо, да изпълнява ролята на мост към други мрежи. Устройствата, отговарящи на стандартите ZigBee 2006 и ZigBee 2007, са напълно съвместими. Устройствата от стандарта ZigBee PRO се различават от тях. Устройства от типа ZigBee 2006 и ZigBee 2007 биха могли да участват в мрежа от тип ZigBee PRO, но обратното не е възможно. Адресирането на устройствата може да се извършва по два начина – директно и индиректно. При директното адресиране всеки рутер и крайно устройство взаимно се осведомяват за своето присъствие. Един рутер може да обслужва повече крайни устройства, така както например един компютър в Интернет би могъл да обслужва повече TCP-връзки на различни свои портове. Всеки рутер предоставя възможност за връзка с 255 крайни устройства. Част от адресите (от241 до 254) са резервирани за специални задачи, а адресът 255 е предназначен за броудкастни предавания (за едновременно комуникация с всички крайни устройства). Адресъ 0 служи за целите на управлението на мрежата.

60 При индиректното адресиране координаторът „раздава” така наречените кратки адреси с дължина 16 бита (MAC-адреси). Когато даден рутер се включва за първи път в мрежата, той се обажда на координатора на същата и получава от него кратък адрес. Координаторът съхранява всички кратки адреси в своя таблица. Щом даден рутер реши да се свърже с друг такъв, той заявява това на координаторът, а той от своя страна препредава заявката на възела приемник. Този начин на свързване се нарича binding. Промените в мрежата се отразяват автоматично в binding-таблицата, съхранявана в паметта на координатора. По този начин управлението на мрежата става гъвкаво, а включването/изключването на устройства в/от мрежата се опростява значително. Тъй като в една ZigBee мрежа по принцип може да си използва само един координатор, отпадането на същия, например поради повреда, води до разпадане на цялата мрежа. Това представлява недостатък на ZigBee. Все пак рутерите позволяват така да бъдат конфигурирани, че да могат да поемат в известна степен задачите на координатора. Сферата на приложение на ZigBee е много широка. Например ZigBee може да се вгражда в домашните уреди за отчитане на тока, водата и топлинната енергия. Със ZigBee няма да се налага инкасаторът да влиза в дома ви. Друга подходяща област са разнообразните системи за сигнализация и охрана – датчиците няма да се свързват с кабели, а просто ще се залепват със скоч за стената и веднъж годишно ще трябва да им се подменя батерийката. Най-общо ZigBee мрежите могат да намират приложение в следните области:  в индустрията, в устройствата предназначени за контрол и управление на технологични процеси;  в медицинската техника за предаване на данни за пациентите;  в битовата електроника, компютърната периферия и устройствата за сигнализация. Вече се появи и първият мобилен телефон с подддръжка на ZigBee – корейският производител на Pantech-Curitel го рекламира като “телефонът, способен да управлява вашата битова техника”. Когато се появи и въпросната битова техника, ZigBee мрежите ще бъдат реалност. И за да не помислите, че подобна мрежа е лесно уязвима, следва накрая да споменем, че ZigBee поддържа 128-битово AES криптиране на данните. Клетъчни мрежи Преносът на компресирани цифрови данни по безжичен път посредством клетъчни технологии прави през последните години бум в областта на телекомуникациите. Постоянно увеличаващият се брой на потребителите и нарастващите изисквания за по-високо качество и разнообразие на този вид услуги тласкат развитието напред, като непрекъснато поставят все по-нови и все по-сериозни предизвикателства пред операторите на мобилни услуги и пред производителите на телекомуникационна апаратура. Мобилни устройства Базова станция

Мобилни устройства Контролер

Базова станция Пощенска станция

Шлюз

Земни кабелни връзки

TCP/IP Фиг.38

61 За разлика от радиопредавателните мрежи, при които една единствена базова станция обслужва сравнително голям географски район, клетъчните мрежи се състоят от малък брой тясно интегрирани, компютърно управляеми клетки, всяка една от които покрива малък район с радиус от 500 м до няколко километра, например район обхващащ няколко големи жилищни блока. Областите от земната повърхност биват разделяни на клетки, оприличавани по форма със шестоъгълници. Общата структура на мрежата наподобява пчелна пита. Клетъчната мрежа е изградена от повече компоненти (фиг.38). Базовата станция (cell tower) представлява приемо/предавател, чрез който абонатите (мобилните устройства) се включват към мрежата. Една такава станция обслужва една клетка. Няколко базови станции се свързват към контролер (MSC – Mobile Switching Center), който ги управлява. Той се грижи за прехвърляне на абоната от една клетка към друга, когато последният се движи. Контролерът следи непрекъснато за състоянието на трафика и управлява действието на своите клетки. Контролерите от своя страна са свързани към устройства, наричани шлюзове (Gateways), осъществяващи връзка на клетъчната мрежа с Internet посредством TCP/IP протокол и към конвенционалните пощенски станции. Към мобилните устройства (mobile embedded devices), които използват клетъчни технологии за комуникация, могат за бъдат отнесени: мобилните телефони, пейджърите, PDA, персоналните органайзери и др. Клетъчните технологии намират приложение и в изграждането на безжични LAN мрежи. Идеята за радиосистема, базирана на клетъчна технология, възниква за първи път през 70те години в лабораториите на Bell (САЩ), но не намира практическа реализация. Първата реална система за безжична комуникация бива създадена в Чикаго (САЩ) през 1980 г. от AT&T. Известна е под названието AMPS (Advanced Mobile Phone Service). Отначало тя е работила на честота 800 MHz, но по-късно преминава на 1900 MHz, на честотата на която днес работят повечето безжични оператори в САЩ. Тя бе аналогова система, предназначена единствено за предаване на глас. AMPS не бе в състояние да пренася цифрови данни. Тя беше изместена от по-прогресивните безжични технологии TDMA (Time Division Multiple Access) и CDMA (Code Division Multiple Access). AMPS бe от тип FDMA (Frequency Division Multiple Access). Тук честотната лента бива разбивана на повече по-тесни ленти (канали), ползвани поотделно едновременно от повече потребители. При TDMA всеки един от тези канали бива разбиван на повече времеви слотове така, че повече потребители да могат да ползват едновременно един и същ канал (фиг.39). За отделните канали действието на TDMA е подобно на работата на компютърните системи с разделение на времето (time-sharing). Канал 1 Канал 1

Канал 2

FDMA

Канал 2

.. ....................................................... Канал N Канал N

Канал 1 Потребител 1

Потребител 2

............

Потребител M

Канал 2

. .Потребител . . . . . . . . . .1. . . . Потребител . . . . . . . . . . .2. . . . .. .. .. .. . . . . . . . . . . .Потребител . . . . . . . . . . .M Потребител 1

Потребител 2

............

Фиг.39

Потребител M

Канал N

TDMA

62 Първите клетъчни радиосистеми за мобилни телефони, наричани системи от първо поколение, са били аналогови. Те се създават в началото на 80-те години в САЩ, Канада, Япония, скандинавските страни, Великобритания, Франция и Германия. Отначало всяка една от тези страни развива собствена технология и създава свой стандарт за клетъчна радиосистема, в повечето случаи несъвместим с тези на другите страни. Така например в САЩ започват да оперират системите AMPS, ARTS и NAMPS, във Великобритания – TACS и NTACS, в Канада – AURORA, в скандинавските страни – NMT, в Германия – NETWORK C-450, във Франция – RADIOCOM и в Япония – NTT и NAMTS. Много скоро тази тенденция довежда до възникване на съществен проблем – поради голямото разнообразие апаратурата, предназначена за изграждане на клетъчни мрежи, пазарът за същата се оказва силно стеснен. За преодоляване на проблема Конференцията на европейските пощи и телекомуникации (CEPT – Conference Europeene des Postes et Telecommunucation) създава през 1982 г. организацията Groupe Special Mobile (GSM), на която възлага да разработи общоевропейски модел за клетъчна радиосистема. Широко разпространеното днес съкращение GSM се появява по-късно и означава Global System for Mobile communications. През 1989 г. отговорността за изготвяне на спецификациите на GSM-системата бива прехвърлена от CEPT на Eвропейския институт за телекомуникационни стандарти (ETSI – European Telecommunucation Standart Institute). Целта на спецификациите бе да бъде стандартизиран всеки един от компонентите на системата и като цяло да се гарантира нейната работоспособност. Първата GSM-мрежа в Европа започва работа през 1991 г. Покъсно различни версии на GSM бяха реализирани в Азия и Северна Америка. Цифровите клетъчните системи спадат към второто поколение безжични телефонни системи. За разлика от аналоговите системи, които предлагат ограничен набор услуги и предават данните със скромните 1200 bps, системите от второ поколение позволяват:  роуминг на абонатите в международен мащаб (възможност на потребителите да използват мобилните си телефони извън своята страна или пък да комуникират с потребители от други страни);  предаване на реч с високо качество;  предаване на: факс, данни и къси съобщения (SMS);  защитеност срещу неразрешен достъп;  възможност за засекретяване на информацията;  идентификация на абонатите и определяне на местоположението им;  намалени размери на мобилния апарат;  намалена излъчвана мощност. Към настоящия момент в света съществуват две основни клетъчни технологии от второто поколение – TDMA (Time Division Multiple Access) и CDMA (Code Division Multiple Access). В САЩ появата на системите от второ поколение започва с пускането в действие на две системи. Първата от тях използва технологията TDMA и е базирана на стандарта IS-54/136. Втората използва CDMA-технологията. Разработката на CDMA започва в края на 80-те години от фирмата QUALCOMM и завършва през 1993 г. с публикуване на стандарта IS-95. Първата система, използваща CDMA, бива създадена през септември 1995 г. от фирмата Hutchison Telecom Of Hong Kong. TDMA-технология за комуникация TDMA (Time Division Multiple Access – многократен достъп с времеделение) е технология, която позволява даден брой абонати да имат достъп до една и съща радиочестота (фиг.40). Преносът на данни се осъществява в клетъчен канал за връзка, като всеки един от абонатите заема цялата честотна лента, но само за кратък интервал от време, наричан времеви слот. Общият пренос протича чрез разпределението му във времеви слотове. TDMA е първата цифрова телефонна технология в САЩ. На нейна база първо е бил създаден стандартът IS-54 (Interim Standart - 54), който по-късно прераства в IS-136. Последният е бил приет през 1992 г. от TIA (Телекомуникационна индустриална асоциация). През 1993 г. бива пусната в действие първата TDMA-мрежа. TDMA се използва в широко

63 използваните американски системи PDC (Personal Digital Cellular) и D-AMPS (DigitalAmerikan Mobile Phone Sevice). CDMA-технология за комуникация CDMA (Code Division Multiple Access – многократен достъп с кодово деление) е технология, при която се използва разпределен спектър (spread spectrum) и уплътняване/разделяне на каналите по код. Тя представлява технология на третото поколение (3G – Third Generation) клетъчни мрежи. Тя осигурява по-висока скорост на трансфер на данни от TDMA, която достига до 115 Kbps. Вместо честотната лента да бъде разбивана на по-тесни такива, CDMA позволява на повече потребители да ползват колективно една и съща честота. Тайната на CDMA се крие в пакетите. Сигналите, излъчвани от отделните абонати, се разбиват и обособяват в пакети, като всеки пакет бива снабдяван със свой уникален кодиран номер. В приемната страна, на базата на номерата на пакетите, се извършва разпознаване и реконструиране на сигналите. Процесът наподобява използването на TCP/IP-пакетите в Internet, но е по-сложен. Технологията се характеризира с висок капацитет и малък обхват на клетката. На базата на CMDA Телекомуникационната индустриална асоциация (TIA) на САЩ приема през 1993 г. стандарта IS-95. CDMA работи на честоти 800 MHz и 1.9 GHz. Днес съществуват многобройни варианти на CMDA. По-известните от тях са:  CMDAOne. Това е първата тяснолентова технология, която все още продължава да бъде основна за клетъчните телефони в САЩ. Скоростта на предаване е 14.4 Kbit/s във вариант с един канал и 115 Kbit/s при осем канала.  CMDA2000. Това е второто поколение на CMDA, при което е увеличена скоростта на предаване.  WCDMA (Wideband CMDA). Технологията e стандарт на ITU (International Telecommunrcation Union), известен под името „IMT-2000 direct spread”. Осъществява широкочестотен пренос на данни, който позволява постигане на висока скорост на предаване. WCMDA е технология, подходяща за аудио и видео комуникация. Тя е технология, използвана в днешните UMTS-мрежи от трето поколение.  HSDPA (High Speed Downlink Packet Access). Това е технология, базирана върху принципите на WCMDA, която осигурява висока скорост на предаване - скорост на низходящия поток, достигаща до 8-10 Mbps, която в системите от тип MIMO (Multiple-Input and Multiple-Output) достига до 20 Mbps. HSDPA се използва като надстройка в съвременните UMTS системи. GSM системи GSM е цифрова безжична телефонна технология за пренос на компресирани данни, базирана на принципите на TDMA. Преносът се извършва по така наречените GSM-канали. Всеки GSM-канал предава на всеки 4.6 милисекунди по 8 малки пакета от по 114 бита. Абонатите от канала използват една и съща честота. Те се редуват да предават по един кадър (пакет) през 4.6 милисекунди. За една секунда общата производителност на GSM-канала е 22.8 Kbps. Стандартно данните на потребителите се предават със скорост 9.6 Kbps, като останалите 13.2 Kbps се използват за осигуряване на стабилност на връзката. В резултат от усъвършенстване на технологията днес данните на потребителите се предават със скорост 14.4 Kbps, като за осигуряване на стабилност остават 8.4 Kbps. Различните GSM-мрежи работят на различни честоти - 450, 900, 1800 или 1900 MHz. (По принцип радиовълните оперират в диапазона от 3 kHz до 300 GHz и имат дължина между 3 см и 300 метра. Радиотелевизионните и сателитни предавания използват радиочестотите както следва: 1 MHz за AM-радио, 100 MHz за FM-радио и 1.5 GHz за сателитните GPS (Global Positioning Satellite) системи). Стандартът PCN/DCS представлява версия на GSM за работа в обхвата 1800 MHz и е известен още като GSM 1800. Първата GSM 1800 мрежа бе изградена във Великобритания. В Северна Америка се използва GSM-стандарт в обхвата 1900 MHz, известен под името PCS 1900. Американските и европейските GSM-стандарти, както и съответстващите им клетъчни

64 GSM-телефони, са несъвместими. Американските работят на честоти 800 MHz и 1900 MHz и не могат да бъдат използвани в Европа, а европейските работят на 900 MHz и 1800 MHz и са неизползваеми в Америка. GSM-стандартът е отворен за промени и усъвършенстване. Без особени затруднения бяха реализирани усъвършенстванията GPRS (General Packet Radio Services) и EDGE, които представляват стъпки към системите от трето поколение. Някои от системите за сателитни телефони като: IRIDIUM, ICO и AceS използват стандарт близък до GSM, което дава възможност за съвместно им използване с GPRS. GSM-технологията стъпва в България през 1994 г., когато фирмата “Мобилтел” получава лиценз за изграждане и опериране на телекомуникационна мрежа по стандарта GSM. През 2000 г. бе даден лиценз за втори GSM-оператор на фирмата “Globul”. След приватизацията на БТК се появи трети GSM-оператор - Vivatel. Наличието на три GSM-оператора създаде условия за конкуренция между тях, която несъмнено води до поевтиняване на комуникационните услуги и до тяхното разнообразяване и качествено подобряване. Развитие на GSM-технологията в посока към третото поколение системи С течение на времето се появиха някои нови технологии, които промениха безжичния свят. Към тях могат да бъдат отнесени:  PCS (Personal Communications Service). Тя представлява комбинация от TDMA, CDMA и GSM. Работи на 1900 MHz.  GPRS (General Packed Radio Service. Представлява надстройка над GSM.  i-mode. Това е японска безжична телефонна мрежа, осигуряваща достъп до cHTML(compact HTML)-Web-сайтове и позволяваща възпроизвеждане на анимационни GIF-файлове и на други мултимедийни съдържания. Въведена е от NTT DoCoMo през 1999 г.  UMTS (Universal Mobile Telecommunication System). Стандартът за тази технология, известен като IMT-2000, бе създаден от международните организации ITU (International Telecommunication Union) и IMT-2000 (International Mobile Telecommunications - 2000). UMTS гарантира производителност до 2 Mbps. На фиг.40 е показано развитието на GSM по години. Означенията 2G, 2.5G и 3G означават съответно системи от второ, междинно и трето поколение (G - Generation). Технологията на третото поколение безжични клетъчни системи е UMTS (Universal Mobile Telecommunication System). 1997 г.

1999 г.

1998 г.

2G

2.5G

2002 г. 3G

HSCSD EDGE

GSM GPRS

Фиг.40

UMTS

65 При технологията HSCSD (High Speed Circuit Switched Data) няколко GSM-канала биват обединявани механично в един общ канал с по-голяма пропускателна способност. За сега е възможно обединяване до три канала от по 14.4 Kbps, което при три канала прави общо 43.2 Kbps. Технологията не можа да получи разпространение поради появата на GPRS. GPRS (General Packet Radio Service) e най-значимото подобрение на GSM. Услугата се предлага и в България. GPRS e протокол, специално оптимизиран за пренос на данни. Подобен е на IP-протокола, при който данните се разбиват на пакети. Скоростта на предаване е в диапазона между стандартната за GSM скорост 9.6 Kbps и 115.5 Kbps. Характерна за GPRS е функцията “always-on”, при която абонатите са постоянно свързани към мрежата. Това улеснява трансфера на пакетите и отпада нуждата от постоянно подсигуряване на връзката. Абонатите заплащат за пренос на количество информация, а не за престой в мрежата. При GPRS 8 потребители поделят помежду си временни интервали. Когато дадени интервали се окажат свободни, те биват автоматично заемани от някой от останалите 8 потребителя. Един потребител би могъл да заеме всичките 8 интервала, ако в даден момент те са свободни. При това максималната скорост може да достигне до 8 х 14.4 = 115.5 Kbps. Два от интервалите са предназначени само за предаване, а 4 други само за приемане на данни. GPRS-технологията позволява да се провежда едновременно телефонен разговор и да се пренасят данни, например да се получава електронна поща по телефона. Основното предимство на GPRS е възможността за осигуряване на достъп през мобилния апарат до компютърни приложения, с който сме свикнали да работим на персоналния компютър – чат, браузване, изпращане и приемане на данни, писане и изпращане на поща, трансфер на аудиои видеоинформация и др. Това са приложения, които постепенно ще напуснат бюрото и чрез мобилните апарати ще станат достъпни навсякъде. GPRS предлага и няколко иновационни услуги. Например служителите на фирма биха могли да ползват локалната мрежа на фирмата, когато са извън фирмата. Друга такава услуга е наблюдението за дома от разстояние. Ако, докато сме на почивка, някой изключи алармата на дома, можем да бъдем веднага известени чрез мобилния си апарат, като съществува възможност и за получаване на образ от дома. EDGE (Enhanced Data GSM Environment) e технология, която позволява постигане на скорости от 384 Kbps. Това е GPRS-технология, в която се ползва нов метод за модулация. Стандартът е базиран върху GSM и използва мултиплексиращата TDMA технология. UMTS системи UMTS (Universal Mobile Telecommunication System) са системи от трето поколение (3G). Стандартът UMTS е известен още като IMT-2000. Той бе създаден от международните организации ITU (International Telecommunication Union) и IMT-2000 (International Mobile Telecommunications - 2000). UMTS притежава производителност, достигаща до 2 Mbps. Тя използва технологията TMDA. Освен глас и кратки съобщения UMTS е предназначена да предава аудио и видео информация навсякъде по света по фиксирани, безжични и сателитни системи. Високата скорост от 2 Mbps не може да бъде постигана навсякъде. Смущаващите отражения от стените на жилищата, налагат повторно изпращане на данновите пакети, което сваля драстично производителността. Това е наложило областта на приемане да бъде разделена на 5-те клетки, показани в следващата таблица: 2 Mbps Домашна клетка Pico-клетка Жилище Около жилището

384 Kbps Micro-клетка Macro-клетка Град Градска област

144 Kbps Глобална клетка

У дома и в pico-клетките (около жилищата) се гарантира скорост от 2 Mbps, тъй като там приложението на UMTS е стационарно. Micro- и macro-клетките са предназначени за

66 градовете и околностите им. Тук се гарантират 384 Kbps, тъй като се счита, че потребителите са подвижни. Глобалната клетка обслужва бързо придвижващите се потребители, като в определени области те се обслужват и от сателити. Гарантираната скорост е 144 Kbps. Посочените по-горе стойности са минимални. При добро стечение на обстоятелствата скоростите могат да се окажат по-високи. Вътрешно UMTS използва две мрежи:  Мрежа-ядро. Данновите пакети се предават жично по оптични кабели. През възлови точки тази мрежа прави връзка с други типове мрежи, като например телефонната мрежа ISDN.  UTRAN (UMTS Terrestrial Radio Access Network). Това е безжичната радиомрежа, която осигурява обмена на данни с мобилните UMTS-апарати. UMTS означава: бърз достъп до Internet, мултимедия, видеоконференции и даже телевизия върху мобилните апарати. Новите услуги поставят все по-високи изисквания към скоростта на пренос. Най-високи са изискванията на видеото. Например видеостандартът MPEG изисква следните скорости на трансфер, отразени в таблицата по-долу: Видостандарт Скорост

MPEG-1 MPEG-2 (DVD) 1 - 2 Mbps 1.5 - 2.5 Mbps

MPEG-2 (DV) до 25 Mbps

MPEG-4 768 Kbps

Максималните скорости на пренос, осигурявани от различните клетъчни технологии, са систематизирани в следващата таблица. Технология Скорост

GSM 9.6 Kbps

HSCSD 14.4 Kbps

GPRS 115.5 Kbps

EDGE 384 Kbps

UMTS 2 Mbps

Сравнението на данните от двете таблици показва, че скоростта, предлагана от GSM, е съвсем недостатъчна за трансфер на видео и за сърфиране в Internet. Двете 2.5G-технологии GPRS и EDGE, значително подобриха нещата. Очевидно е, че бъдещето принадлежи на третото поколение системи, базирани на UMTS. Накрая следва да се спомене и за още едно сравнително ново направление, наричано телематика (telematics). Нейн предмет са безжичните информационни системи, които изпращат/приемат съобщения и управляващи данни към/от мобилни устройства, инсталирани в автомобили. Телематиката използва сателитната GPS-технология за определяне на географските ширина и дължина с понататъшно конвертиране на същите в пътни карти, изобразявани на LED-конзоли, монтирани на таблата на автомобилите. Допълнително телематиката осигурява на превозните средства връзка с отдалечени центрове, които от своя страна осъществяват достъп до Internet, до фирмени бази от данни и гласова комуникация. За изграждане на безжични локални мрежи (WLAN – Wireless LAN) операторите на мобилни телекомуникационни услуги предлагат техническо средство, представляващо безжичен терминал. Така например Мобилтел оферира абонатна услуга за безжична връзка с Интернет, предоставяйки на абонатите си устройството М-TEL HOMEBOX. Производител на същото е тайванската компания Huawei Technologies Co., Ltd, а моделът на самото устройство е HUAWEI E960. То работи като безжичен терминал и USB модем, подържайки технологиите HSDPA/WCDMA 2100 и GSM/GPRS/EDGE 1900/1800/900/850. Притежава 4 порта (куплунг тип RJ-45) за връзка с компютри или друга мрежова техника посредством Ethernet кабели, както и един USB порт и един порт за телефонен кабел (куплунг тип RJ-11). Когато устройството бъде свързано към компютър посредством своя USB порт, то изпълнява функцията на USB модем. На фиг.41 е показана структурата на една примерна LAN, изградена посредством безжичния WLAN интерфейс и 4-те Ethernet интерфейса на безжичния терминал E960. Терминалът подържа хъбове (концентратори), суичове (комутатори) и рутери

67 (маршрутизатори). За да бъде увеличен броя на компютрите в LAN следва да се използва допълнителен хъб или суич.

Uplink HSDPA 218.10.1.1

RJ11

Е960 IP 192.168.1.1/24

WLAN IEEE 802.11 b/g

Телефон Ethernet

Компютър IP 192.168.1.105

LAN хъб/ суич/рутер

Компютър

Компютър

Принтер

IP 192.168.1.107

IP 192.168.1.108

Компютър

WLAN

Лаптоп IP 192.168.1.109

Фиг.41

6.3. Защита на данните в безжичните мрежи Паралелно с нарастване на популярността на безжичните комуникации и бързото им навлизане в дейността на хората, засили се и интересът на кракерите за осъществяване на пробиви в тях. Рисковете нарастнаха значително. Нещо повече, в Интернет се появиха безплатни програми за Windows и Linux, предназначени за кракване на безжични мрежи. Появи се и друга опасност - жичните мрежи биват краквани по безжичен път. Това става посредством преносим компютър, включен чрез кабел към жична LAN, например от нищо неподозиращ служител на фирма, включил персоналния си компютър към мрежата на фирмата си. Тъй като вече, като правило, всеки преносим компютър е снабден с вградена карта за безжична връзка (интерфейс 802.11b/802.11g), един кракер, намиращ се някъде в близост, например отвън на паркинга на фирмата, може да влезе през безжичния интерфейс в преносимия компютър и от там в жичната LAN. Непозволен достъп до мрежа на дадена компания може да се получи и случайно. Включвате своя преносим компютър и без да искате се свързвате с точка за достъп от безжичната мрежа на съседната компания, чийто обхват на действие припокрива действието на вашата безжична мрежа. През точката бихте могли да влезете в локалната мрежа на чуждата компания и да получите достъп до секретна информация или от там да се свържете по Интернет непозволено с някаква друга компания. Злонамерени атаки кракерите могат да извършват посредством своя лаптоп. С помощта на специален софтуер те превръщат безжичната карта на лаптопа в легитимна точка за достъп, с помощта на която влизат в локалната мрежа на компанията вместо да използват легитимна точка за достъп, принадлежаща на мрежата. Такива лаптопи биват наричани „софт-точки”

68 (soft APs). Атаката се извършва на MAC ниво (ниво 2 на фиг.37), поради което средствата за защита, използвани на ниво 3 (автентикация и VPN), не могат да послужат като бариера. MAC измама (кражба на идентификация) се осъществява, когато кракерът подслуша трафика и от него извлече MAC идентификатора (MAC адреса) на някой от компютрите в мрежата и присвоените му права на достъп. В безжичните мрежи е реализиран механизъм за MAC филтрация на адресите, който ограничава участието в мрежата, допускайки само устройства, които са били предварително регистрирани посредством своите MAC адреси. Съществуват обаче програми (например програмата SMAC), които подслушвайки трафика, разузнават мрежата и могат да регистрират в нея допълнителен MAC адрес, посредством който след това може да се влезе нелегитимно в мрежата. Съществува и друг начин да бъде „прескочена оградата”. Става чрез използване на „посредник”. Кракерът, превърнал компютъра си в „софт-точка” (soft APs), подмамва някой от легитимните участници в мрежата да се свърже с него. Веднъж осъществил това, кракерът прави връзка с реална точка за достъп (AP) от мрежата посредством другата безжична карта на компютъра си, създавайки нелегитимен трафик през хакнатия компютър. Атаки чрез използване на „посредник” се осъществяват с програми като LANjack и AirJack. Друг вид атака е така наречената „отказ на услуга” (DoS - Denial of Service attack). Атакуващият непрекъсната бомбардира дадена точка за достъп до мрежата с лъжливи заявки, съобщения за неизправности или други команди. Това задръства мрежата и легитимните участници в мрежата не могат да получат достъп до нея. Мрежата отказва услуги. За да се противодейства на атаките, необходимо е да се предприемат съответни защитни мерки, въпреки че 100%-ова защита е по принцип невъзможна. Стратегия за защита трябва да включва следните мерки:  всички безжични LAN устройства трябва да бъдат осигурени със защитни средства;  всички потребители на безжичната мрежа следва да бъдат обучени как се защитава мрежата;  безжичната мрежа трябва да бъде непрекъснато наблюдавана за нарушения. Всички технологии за безжични комуникации от групата IEEE 802.11 използват един или друг вариант на кодиране на данните с цел тяхната защита. Мрежите, отговарящи на стандартите 802.11a, 802.11b и 802.11g, използват методите WEP (Wired Equivalent Privacy) и WPA (Wi-Fi Protected Access) за криптиране на информацията. Криптирането на данни се извършва с помощта на алгоритма RC4, но биват използвани и по-прости начини за криптиране. Когато се закупува безжично устройство, необходимо е да се обръща сериозно внимание на начина на защита на данните. Някои производители на безжични устройства, за да поевтинят изделията си, използват по-прости алгоритми за кодиране. Така или иначе, проблемът за защита на данните при безжичните комуникации остава открит. Все още е сравнително лесно да бъде уловен сигналът от ефира и да бъде декодиран за един или няколко дни. WEP криптиране WEP (Wired Equivalency Privacy) бе първият стандарт за криптиране в безжични мрежи. За съжаление той не можа да издържи изпитанията на времето. Появиха се програми като aircrack-ng, weplab, WEPCrack или airsnort, които позволяват бързо да бъдат откривани ключовете, с които е било извършено криптирането. Дължината на ключовете e 128 или 256 бита. Всички устройства в мрежата ползат един и същ WEP ключ. Достатъчно е да бъде разгадан ключът на едно от устройствата, за да рухне защитата на цялата мрежа. Във WEP се използва алгоритмът за криптиране RC4, който се оказа, че притежава недостътъци. В един документ, наречен „Weaknesses in the Key Scheduling Algorithm of RC4" с автори Scott Fluhrer, Itsik Mantin и Adi Shamir, бяха описани теоретично с подробности слабостите в генерирането и реализирането на WEP. По-късно студентът Adam Stubblefield от Университета Райе проведе първата WEP атака. Макар че той не разпространи публично своите инструменти, вече се предлагат подобни такива за Linux, даващи възможност на

69 атакуващите да пробият WEP, превръщайки го в ненадежден протокол за сигурност. Все пак подобре е с WEP отколкото съвсем без криптиране. WEP кодирането отстъпва по сигурност на WPA-PSK. Всички безжични устройства (рутери, точки за достъп и безжични интерфейсни карти) притежават вградена WEP функция. Като правило производителите на тези устройства я изключват по подразбиране, поради което мрежите остават незащитени. Включването на функцията изисква известни умения, което в много от случаите затруднява или пък не се удава на по-малко опитните потребители. Освен това различните производители залагат в устройствата си различни криптиращи ключове (HEX, ASCII и др.), което затруднява използването на WEP. WPA криптиране WPA (Wi-Fi Protected Access) представлява първоначална версия на стандарта 802.11i за защита на безжичните мрежи посредством криптиране на информацията. Същият бе разработен от Wi-Fi Alliance с цел да замени несъвършения WEP. В WPA като основен е заложен алгоритъмът за криптиране TKIP (Temporal Key Integrity Protocol), но WPA допълнително подържа и алгоритъма AES (Advanced Encription Standard), който е предпочетен като основен в следващата версия на стандарта WPA2. Ключът на криптиране е 256 битов. При WPA криптиращите ключове са динамични. В съответствие с TKIP по автоматичен път те биват периодично променяни (rekeying) и автентикирани между устройствата, включени в мрежата. Периодът на промяната е по подразбиране 0, но може да бъде задаван в мрежата от потребителите. WPA предлага механизъм за автентикация на участниците в мрежата. Съществуват два начина, според версиите на WPA - WPA Enterprise за безжични мрежи на компании и WAP Personal за частни безжични мрежи. Във WPA Enterprise се използва EAP (Extensive Authentication Protocol) автентикацията, използвана в стандартите IEEE 802.1х. Във WAP Personal се използва споделян ключ (PSK - Pre-shered Shared Key) за създаване на защита на базата на фраза, съставена от 8 до 63 символа (максимум 256 бита). Една неудачно съставена фраза може да бъде разгадана за няколко минути с помощта на програмата aircrack-ng. Добър PSK ключ е например фраза, състояща се от 64 шестнайсетични цифри. WPA в съчетание с PSK се бележи като WPA-PSK. WPA2 криптиране WPA2 е последната, най-нова версия на стандарта 802.11i. Основното подобрение на WPA2 спрямо WPA бе в залагането на AES (Advanced Encription Standard) алгоритъма за криптиране като основен. Подобно на WPA, WPA2 подържа автентикация на базата на методите EAP и PSK. WPA2 в съчетание с PSK се бележи като WPA2-PSK. SSID имена Освен криптиране на информацията и използване на автентикация, в безжичните LAN (WLAN – Wireless LAN) се използва и контрол на достъпа на безжичните устройства до точките за достъп (APs). Във всяка една от работните станции на безжичната мрежа се указва идентификационното име (SSID - Service Set ID) на точката, с която станцията ще извършва комуникация. Това име изпълнява ролята на парола, когато устройството реши да се свърже с точката за достъп. Всички устройства и точки за достъп в една WLAN трябва да използват едно и също SSID име. То се явява идентификатор на мрежата. Припокриващите се по обхват на действие WLAN трябва да използват различни SSID. Освен защитата чрез SSID, във всяка точка за достъп се съхранява списък с MAC адресите на устройствата, упълномощени да се свързват с нея. С помощта на списъка точката контролира достъпа до нея. MAC адресите и SSID се съдържат в хедерите на пакетите. Те на са криптирани, поради което могат да бъдат лесно прочитани. Поради това SSID не може да представлява сигурна защита на WLAN.

70

7. Връзки между LAN и WAN В наши дни нито една LAN не е самостоятелен остров. Почти всяка LAN е свързана с някаква друга мрежа, най-често с корпоративна WAN или с Интернет или с двете едновременно. Съществуват няколко начина за свързване на LAN с външния свят. Найочевидният, но и най-примитивен начин, е да снабдим всеки един от компютрите с модем, ADSL адаптер или с ISDN адаптер и посредством телефонна линия да осъществим връзка с Интернет доставчик (ISP – Internet Service Provider) или отдалечен сървър. Освен за хардуер (модеми и/или адаптери), този начин изисква заплащане и за ползване на телефонните линии, а при връзка с Интернет доставчик (ISP) и за ISP акаунт за всеки един от компютрите. Контролът върху такъв вид връзка на LAN с външния свят е слаб, което крие сериозни рискове за сигурността, ако данните в LAN имат конфиденциален характер. Съществуват по-добри алтернативи за връзка на LAN с WAN. Всяка една от тях има своите предимства и недостатъци пред останалите. Те биват реализирани чрез използване на:  транслирани връзки;  прокси сървъри;  маршрутизирани връзки. 7.1. Транслирани връзки В ценово отношение това е един от най-ефективните варианти. В него се използва така наречената мрежова адресна транслация (NAT - Network Address Translation , Native Address Translation или IP Masquerading). Тя позволява на всички компютри от LAN да осъществяват достъп до външния свят само през един компютър, използващ една телефонна линия или безжична връзка и един ISP акаунт. Компютърът се намира на границата между LAN и WAN и притежава два интерфейса за връзка с двата вида мрежи. Той притежава регистриран публичен IP адрес за комуникация с WAN и частен IP адрес, използван само вътрешно в LAN. Компютърът бива наричан NAT сървър или още хост за адресна транслация. Найчесто хардуерно той представлява маршрутизатор (рутер) в съчетание със защитна стена (firewall). Защитната стена е софтуер, който съхранява сведения за трафика в една мрежа и следи за коректността на комуникацията. С помощта на пакетни филтри защитните стени разпознават легитимните пакети, участващи в комуникацията, като отхвърлят ония от тях, които не отговарят на условията за легитимност. Адресната транслация се състои в това, че асоциира частния IP адрес на компютъра от LAN, изпращащ данни навън, с номер на порт от NAT сървъра. Тази информация се запомня в NAT сървъра, в таблица на преобразуваните адреси, добавя се към IP хедъра на изпращаните пакети и заедно с IP адреса на сървъра се изпраща навън във WAN. Когато WAN върне даден отговор на LAN, например някакъв Web сайт, NAT сървърът се консултира с таблицата на преобразуваните адреси, намира съответствието между пакетите и компютъра от LAN, изпратил заявката, и му препраща сайта. Днес NAT се използва съвместно с IP маскирането (IP masquerading), което представлява вид техника за скриване на адресно пространство. Използва се най-често за скриване на частните IP адреси на LAN зад един или няколко IP адреса от друго външно адресно пространство, най-често публично, каквото е това на Интернет. За целта спецификацията RFC 1918 дефинира три адресни обхвата за използване от LAN. Те са приведени по-долу в таблицата, като са представени в три еквивалентни форми: Диапазон на частните IP адреси 10.0.0.0 – 10.255.255.255 172.16.0.0 – 172.31.255.255 192.168.0.0 – 192.168.255.255

Обобщен начин на запис на диапазона 10.x.x.x 172.16.x.x 192.168.x.x

CIDR запис 10/8 172.16/12 192.168/16

71 Горепосочените адресни пространства се предназначени само за локални мрежи и не са достъпни отникъде, освен от локалната мрежа. Поради това те са естествено защитени от директни външни атаки. В съответствие с RFC 1918 на NAT сървърът се присвоява първият частен IP адрес от използваното за LAN адресно пространство (фиг.42). Първичната функция на NAT сървъра е да осигурява достъп до WAN, като препредава заявките от LAN във WAN, използвайки пред хостовете във WAN някой от своите публични IP адреси (маскира частните IP адреси, masquerading). По този начин се осигурява еднопосочен достъп на LAN до Интернет. NAT сървърът може да се свързва директно с други хостове, притежаващи рутируеми (регистрирани публични) IP адреси. Хостовете извън локалната мрежа не могат да се свързват с NAT сървъра посредством неговия частен IP адрес. WAN интерфейс 203.14.23.5

ISP сървър 203.14.23.2

Модем

LAN интерфейс (NAT хост) 192.168.1.1 Хъб

WAN

Клиент 192.168.1.9

Клиент 192.168.1.4

Клиент 192.168.1.2

Фиг.42 По време на своята работа NAT използва маскиране на частните адреси (т.3.4, подточка „Разделяне на мрежите на подмрежи”), като по този начин определя дали заявката е предназначена за локалната мрежа или за WAN. В първия случай съобщението остава за локално ползване. Във вторият случай, рутерът, след като преобразува по съответен начин частния адрес, осигурява транзитен трафик на съобщението към WAN. На фиг.42 процесът на транслацията протича по следния начин: 1. Клиентският компютър с частен IP адрес 192.168.1.9 изпраща посредством своя браузър HTTP заявка до URL ресурса с IP адрес www.google.com. 2. NAT хостът асоциира заявката от 192.168.1.9 с номер на порт в таблицата на преобразуваните адреси. В нея се записва IP адреса на източника на заявката и IP адреса на нейното местоназначение, както и номерата на портовете на източника и на получателя (в случая двата номера ще са 80, тъй като се извършва HTTP комуникация). 3. NAT хостът променя хедъра така, че източника на заявката не е 192.168.1.9, а публичния адрес 203.14.23.5, назначен от Интернет доставчика. 4. NAT хостът изпраща заявката за www.google.com до ISP сървъра. DNS услугата преобразува името на домейна в IP адреса на сървъра, на който се съхранява началната страница на www.google.com. 5. Заявката са приема и изпълнява от www.google.com. Страницата се изпраща на публичния IP адрес 203.14.23.5 на NAT хоста. 6. NAT хостът извършва обратна транслация на IP адреса в съответствие с таблицата на преобразуваните адреси и определя, че трябва да изпрати страницана на порт 80 на клиента с адрес 192.168.1.9.

72 Много от съвременните NAT устройства позволяват на мрежовия администратор да конфигурира таблицата на преобразуваните адреси така, че тя да бъде постоянна, т.е. на частните IP адреси да съответстват точно определени външни IP адреси, като например: Вътрешен (частен) IP адрес 192.168.1.1 192.168.1.2 ........... 192.168.2.1

Външен (публичен) IP адрес 193.65.76.1 193.65.76.2 .......... 193.76.77.1

Такъв вид преобразуване на адресите бива наричано статично (static NAT). То позволява на трафик, възникнал във външната мрежа, да прониква във вътрешната. Съществува и динамично преобразуване (dynamic NAT), при което определен брой външни IP адреси на маршрутизатора са конфигурирани така, че да влизат в употреба за обслужване на вътрешни адреси само при нужда. В този случай само една част от вътрешните адреси са свързани твърдо с външни такива. Останалата част от вътрешните адреси биват свързвани с външните такива динамично. NAT преобразуването стана популярно в средата на 1990-те години, като средство за преодоляване на недостига на IPv4 адреси. То получи разпространение особено в страни, в които по исторически причини бяха алокирани малък брой адресни блокове. Днес NAT е стандарт, който стана задължителен за рутерите, предназначени за връзка на домашни мрежи или на малки офис-мрежи с Интернет. NAT технологията бива наричана понякога споделяне на връзка или IP маскиране. Друг по-интелигентен, но по-труден за конфигуриране, начин за осъществяване на връзка между LAN и WAN е използването на прокси сървър. 7.2.. Прокси сървъри Прокси сървърът (proxy server) представлява сървър, който обслужва клиентите си чрез препращане на заявките им към други сървъри. Той изпълнява ролята на посредник (фиг.43), отделяйки LAN мрежата от външната мрежа, като би могъл да осигурява и защити чрез филтриране на входящите и изходящите пакети. Клиентите се обръщат към прокси сървъра със заявки за получаване на файл, Web страница или някакъв друг ресурс от друг сървър. След като получи заявка прокси сървърът проверява настройките си за филтриране, зададени от администратора. Ако заявката удовлетворява изискванията на филтъра, сървърът преминава към нейното обслужване. Той осъществява връзка със сървъра, указан от клиента, и заявява услугата, посочена също от клиента. Прокси сървърът би могъл да променя клиентската заявка и/или получения от сървъра отговор. Прокси сървърът е в състояние да обслужва клиентите без да се обръща към указаните от тях сървъри. За целта той кешира (съхранява в себе си) отговорите на отдалечените сървъри и при повторно обръщане (на същия или на друг клиент) към съхранен в кеша ресурс, той го предоставя директно, от кеша си, без да се обръща към отдалечения сървър. Това повишава значително Web производителността. Прокси

Фиг.43

73 Прокси сървър, който препредава заявките на клиентите и отговорите без да ги променя, биват наричан тунелиращ прокси (tunneling proxy) или още по-просто - шлюз (gateway). Както при NAT, клиентите от LAN, осъществяващи достъп до Интернет посредством прокси сървър, остават невидими за външния свят. Цялата външна комуникация се извършва от прокси сървъра. Нещо повече, прокси сървърите биха могли да комбинират NAT и прокси технологиите. Прокси сървърът, като програма, може да бъде инсталиран в потребителски (локален) компютър или да бъде конфигуриран като отделна компютърна система. Според функциите, които изпълняват, прокси сървърите биват най-различни. Някои от тях са следните:  Кеширащ прокси сървър. Както вече споменахме, кеширащото прокси съхранява в своя кеш копия на често заявяваните ресурси. Процесът се нарича кеширане. То драстично увеличава производителността, разтоварва Интернет мрежата и значително намалява разходите на организациите за ползване на Интернет.  Web прокси сървър. Това е прокси, което служи единствено за обслужване на Web трафик. Web прокси сървърите са същевременно и кеширащи сървъри. Повечето web прокси програми предоставят средства за забрана на достъпа до URL ресурси, указвани предварително в „черен списък”. Някои web проксита извършват преформатиране на web страниците, пригаждайки ги за изобразяване върху такива устройства като мобилни телефони и PDA.  Анонимни прокси сървъри. Най-често това са web проксита, които дават възможност за анонимно сърфиране в Интернет.  Вражески прокси сървъри (hostile proxy). Това са проксита, инсталирани и ползвани с недоброжелателна с цел. Те подслушват данновия поток между набелязана клиентска машина и Интернет мрежата. Всички изпращани форми и приемани страници биват прихващани и анализирани. При откриване в мрежата на такова прокси, необходимо е да бъдат променени веднага паролите за ползване на онлайн услуги. В сравнение с NAT технологията, прокси сървърите осигуряват повишена производителност и повече защита. Софтуерът за тях обаче е по-скъп и се инсталира и конфигурира по-трудно, защото Интернет приложенията на всички клиентски машини, като например Web браузърите, трябва да бъдат индивидуално конфигурирани за ползване на прокси. При използване на NAT е достатъчно да настроите клиентската машина да ползва Интернет протокола TCP/IP и да укажете, че IP адресът на същата ще бъде назначен автоматично (посредством DHCP, виж т.3.4, подточка „Автоматично разпределяне на адреси”). Всичко останало се извършва автоматично от DHCP. За различните операционни системи се предлагат множество приложения за прокси сървъри, подробна информация за които читателят може да намери в Интернет, например на адреса: http://en.wikipedia.org/wiki/Proxy_server. 7.3. Маршрутизирани връзки При маршрутизираните връзки всеки един от компютрите в LAN има директен достъп до Интернет или до корпоративна WAN. За разлика от NAT и прокси технологиите тук липсва посредник. Вместо това всеки компютър от LAN, който се свързва с външния свят, притежава свой собствен регистриран публичен IP адрес и е свързан към маршрутизатор (рутер). NAT технологията, използваща транслиране на адреси, е по-икономична, понеже изисква използване на само един IP адрес. Но тя не винаги е подходяща. Например протоколи, които в IP хедъра не съхраняват адресна информация, не биха могли да работят с NAT. В други случаи, например когато пакетите се автентикират и криптират с помощта на IP Security (IPSec), адресната транслация е направо невъзможна. Маршрутизираната връзка изисква специализирано маршрутизиращо устройство, каквото е маршрутизаторът, или използване на компютър, чиято операционна система да позволява той да изпълнява ролята на маршрутизатор.

74 Компютрите от LAN, които ще комуникират с WAN, трябва да бъдат конфигурирани, както следва:  да притежават IP адрес, който да е валиден за мрежата, в която той ще комуникира;  да има установена подмрежова маска (т.3.4, подточка „Автоматично разпределяне на адреси”), определяща каква част от IP адреса идентифицира мрежата и каква част компютъра. Ако компютрите от LAN ще се свързват с Интернет, те трябва да бъдат допълнително конфигурирани и с адрес на DNS сървър, получен от Интернет доставчика, както и с IP адреса на маршрутизатора, който ще изпълнява ролята на подразбиращ се шлюз. Маршрутизирането е съществено важен аспект на TCP/IP, който е отговорен за междумрежовите комуникации и комуникациите в Интернет. Маршрутизирането означава препращане на пакети от една мрежа в друга. Както е известно (т.3.4), IP протоколът използва логически адреси и маршрутизиране на пакетите. Когато се изпраща пакет, протоколът взема IP адреса на източника и този на местоназначението и с помощта на подмрежовата маска определя дали компютърът получател се намира в същата подмрежа или в друга. В случай, че той се намира в същата подмрежа, пакетът му се доставя директно. Ако компютърът е в друга мрежа, пакетът се изпраща на подразбиращия се шлюз (default gateway) и той го насочва по местоназначение. Маршрутизаторът трябва да има две мрежови връзки – едната към LAN и другата към външната мрежа. За да бъде настроен за връзка с Интернет, необходимо е TCP/IP протоколът му да бъде конфигуриран с: IP адрес, подмрежова маска и адрес на DNS сървър, осигурени от доставчика на Интернет. След това е нужно да бъде конфигуриран статичен подразбиращ се маршрут за използване на Интернет интерфейса. Нека разгледаме един прост пример за маршрутизирана мрежа. На фиг.44 са показани две мрежи – мрежа А и мрежа В. Нека мрежа А е локална, а мрежа В корпоративна WAN мрежа. Двете мрежи са от клас С. Връзката между тях се осъществява от маршрутизатор, който би могъл да бъде например групов компютър (компютър с два мрежови интерфейса), работещ под Windows XP. В примера, IP адресите, присвоени на неговите два мрежови интерфейса (на двете му мрежови карти) – 198.1.1.1 и 203.13.4.1, принадлежат на различни подмрежи, съответно на мрежа А и мрежа В. Обикновено, с цел по-лесна идентификация, на маршрутизаторите се присвояват първите IP адреси на мрежите. WAN интерфейс 203.13.4.1

Изпращащ компютър

198.1.1.8

198.1.1.15

Приемащ компютър

203.13.4.3

203.13.4.12

203.13.4.2

203.13.4.107

Маршрутизатор

198.1.1.29

198.1.1.2 LAN интерфейс 198.1.1.1

Фиг.44 Нека приемем, че компютърът от мрежа А с IP адрес 198.1.1.15, изпраща съобщение до компютър от мрежа В с адрес 203.13.1.4.12. IP протоколът изследва хедъра на пакетите, за да

75 определи IP адресите и подмрежовите маски. Подмрежовата маска за мрежите от клас С е 255.255.255.0. След побитово извършване на логическата операция AND на подмрежовата маска с IP адресите на двата компютъра, участващи в комуникацията, се получават следните рузултати, показани в най-десните колонки на приведените по-долу две таблици: IP адрес на изпращача 198.1.1.15 255.255.255.0 Резултат след операцията AND

Двоична форма на представяне 11000110 00000001 00000001 00001111 11111111 11111111 11111111 00000000

Подмрежа

11000110 00000001 00000001 00000000

198.1.1.0

IP адрес на получателя 203.13.4.12 255.255.255.0 Резултат след операцията AND

Двоична форма на представяне 11001011 00001101 00000100 00101001 11111111 11111111 11111111 00000000

Подмрежа

11001011 00001101 00000100 00000000

203.13.4.0

От таблицата е видно, че изпращащият компютър с IP адрес 198.1.1.15 и компютърът получател с адрес 203.13.4.12 принадлежат на различни подмрежи, тъй като в резултат от операциите AND се получиха различни идентификатори на подмрежи - 198.1.1.0 и 203.13.4.0. Това означава, че пакетът на компютъра 198.1.1.15 трябва да се изпрати на подразбиращия се шлюз с IP адрес 198.1.1.1. По-нататък шлюзът ще използва своя втори интерфейс с адрес 203.13.4.1 и ще извърши повторно побитови операции AND, които са показани по-долу в следващите две таблици: IP адрес на изпращача 203.13.4.1 255.255.255.0 Резултат след операцията AND

Двоична форма на представяне 11001011 00001101 00000100 00000001 11111111 11111111 11111111 00000000

Подмрежа

11001011 00001101 00000100 00000000

203.13.4.0

IP адрес на получателя 203.13.4.12 255.255.255.0 Резултат след операцията AND

Двоична форма на представяне 11001011 00001101 00000100 00101001 11111111 11111111 11111111 00000000

Подмрежа

11001011 00001101 00000100 00000000

203.13.4.0

Получените резултати съвпадат, което означава, че маршрутизаторът и компютърът получател се намират в една обща мрежа. В резултат маршрутизаторът ще насочи пакета директно на хоста получател, намиращ се в същата мрежа. Връзката на маршрутизатора с външната мрежа (WAN или Интернет) се осъществява посредством свързан към него: модем, ADSL адаптер, ISDN адаптер или безжична връзка. Маршрутизаторите използват маршрутни таблици (routing tables), представляващи бази данни, които съдържат маршрути до различни мрежи. На фиг.45 е показана маршрутна таблица на компютър с Windows XP, свързан безжично към Интернет посредством М-TEL HOMEBOX (устройствоо HUAWEI E960). Записът 0.0.0.0 в колоната “Network Destination” касае подразбиращия се маршрут (default route). IP адресът на подразбиращия се шлюз (Default Gateway) е 192.168.1.1. Пакетите, адресирани до хостове извън мрежата с идентификатор 192.168.1.0, се препращат на подразбиращ се шлюз 192.168.1.1. Шлюзът е свързан с компютър, имащ IP адрес 192.168.1.100. Адресът 127.0.0.1 е на локалния хост (localhost), резервиран специално за локална работа.

76

Фиг.45 Възниква въпросът – откъде маршрутизаторът взима маршрутите, за да ги включи в своята маршрутна таблица? Отговорът зависи от това, какво маршрутизиране се използва – статична или динамично. При статичното маршрутизиране администраторът въвежда ръчно IP адресите, дефиниращи мрежовите маршрути. В Windows XP се извършва с помощта на командата route (фиг.45), която идва заедно със софтуера за TCP/IP. При по-големи мрежи статичното маршрутизиране изисква полагане на значителни усилия и понякога може да се окаже непосилна задача. Динамичното маршрутизиране е за предпочитане. То използва протоколи, които са в състояние да изграждат и променят маршрутизиращите таблици. Те позволяват на маршрутизаторите да комуникират помежду си, когато извършват това. Динамичното маршрутизиране е подходящо за всякакъв вид мрежи.

8. Виртуални частни мрежи В т.5. „Отдалечени комуникационни връзки” и в т.6 „Безжични мрежи” бяха разгледани начините за осъществяване на отдалечени връзки с използване на определен вид мрежова преносна среда – кабел или безжична връзка, която директно свързва комуникиращите компютри. Друга разновидност на отдалечен достъп е връзката чрез виртуална частна мрежа (virtual private networking - VPN), която през последните години придоби популярност. Вместо директна комуникационна връзка между компютрите, при VPN се създава тунел през обществена мрежа, обикновено Интернет, през която комуникиращите компютри се свързват помежду си (фиг.46). Данните се изпращат по обществената мрежа по начин, който емулира връзка от тип „от точка до точка”. VPN създава през обществената мрежа тунел, който е независим от местоположението на комуникиращите компютри. Тунелът е логическа връзка от точка до точка, която поддържа автентикация и криптиране на данните. Терминът „виртуална частна мрежа” се състои от три думи. Думата „мрежа” означава компютри, които комуникират помежду си, „виртуална” показва, че мрежата не използва директна връзка (кабелна или безжична), а „частна”, че изпращаните данни са конфиденциални, понеже при VPN те са криптирани по време на тяхното преминаване през мрежата.

77 8.1. Тунелиране и капсулиране Тунелирането скрива оригиналния пакет във вътрешността на нов пакет. Процесът се нарича капсулиране на данните. За извършване на маршрутизация през тунела, адресът на крайната точка на тунела се указва в хедъра на новия (външния) пакет, наричан хедър на капсулацията. Тук следва да се отбележи, че адресът на крайното местоназначение се съдържа в хедъра на оригиналния пакет. Когато пакетът стигне до края на тунела, хедъра на капсулацията се премахва и оригиналният пакет се доставя до крайното му местоназначение. Всъщност тунелирането представлява процес на капсулация и декапсулация на данните. Изпълнява се от специално разработени за целта протоколи. Според това на какво ниво от OSI модела работи протоколът, съществува тунелиране на ниво 2 и тунелеране на ниво 3.

Интернет доставчик

Маршрутизатор VPN сървър

Виртуален тунел Интернет Виртуален тунел

Отдалечен VPN клиент

Модем

Интернет доставчик

Фиг.46 При тунелирането на ниво 2, протоколът работи в каналния слой. Такъв е например протоколът PPTP (Point-to Point Tunneling Protocol) на Microsoft, който, както показва неговото название, осигурява виртуална връзка от една точка до друга. Друг такъв е протоколът L2F (Layer 2 Forwarding), разработен от Cisco Systems. За разлика от PPTP той може да подържа повече от една връзка. Протоколът L2TP (Layer 2 Tunneling Protocol) комбинира елементи на PPTP и L2F. L2TP е в състояние да капсулира IP, IPX и други видове пакети при предаването им по IP мрежа. Тунелирането на ниво 3, работи в мрежовия слой, поради което е в състояние да осигурява IP-базирани виртуални връзки. Тук IP пакетите биват капсулирани в протоколни обвивки, които използват IPSecurity (IPSec), Internet Key Exchange (IKE) и методи за автентикация и криптиране като: Message Digest 5 (MD5), Data Encryption Standard (DES) и Secure Hash Algorithm (SHA). Протоколът IPSec може да капсулира единствено IP пакети. Той би могъл да се използва и съвместно с L2TP. В този случай L2TP изгражда тунела, а IPSec криптира, при което IPSec работи в транспортен режим. Съвременните операционни системи притежават вградена подръжка на VPN. Те позволяват лесно създаване на връзка към VPN по начин, подобен на този, по който се изгражда една dialup връзка. Като се започне от Windows 95 всички следващи версии на Windows могат да функционират като VPN клиенти (фиг.47).

78

Фиг.47 Linux подържа използването на IPSec и на PPTP. В допълнение Linux може да изпълнява протокола PPP (Point-to-Point Protocol) през Secure Shell (SSH), който използва RSA технология с публичен ключ за автентикация и управление на сигурността на връзката. 8.2. Изграждане на VPN мрежи VPN могат да бъдат изграждани по няколко начина, в зависимост от конкретните нужди. VPN биват използвани най-често за следните цели:  За осигуряване на отдалечен достъп до мобилни служители или до такива, които работят вкъщи.  За създаване на екстранет мрежа (частна мрежа, използваща отдалечени връзки, найчесто Интернет), до която имат достъп служители, клиенти и партньори на дадена бизнес организация.  За осъществяване на контакт между два офиса, разположени отдалечено един от друг, без да се изгражда за целта специална директна връзка. VPN може да бъде конфигурирана да работи по dialup връзка (фиг.48) или да бъде конфигурирана като връзка от типа маршрутизатор-маршрутизатор (фиг.49), при която за маршрутизаторите са заделени специални Интернет връзки, например T1 линии (т.5.1). VPN за отдалечен достъп до отделни потребители На фиг.48 е показан един примерен вариант на реализация. VPN клиентът трябва да може да подържа протоколите, използани от VPN сървъра. Мрежата работи по следния начин:  За да изгради Интернет връзка, мобилният или домашният клиент набира по телефона локалния доставчик на Интернет и се свързва с него посредством потребителски акаунт. Ако клиентът използва наета връзка, например ADSL адаптер, тази стъпка отпада.

 

79 След създаване на връзката с Интернет, клиентът извиква VPN сървъра на LAN, като използва неговия IP адрес. VPN сървърът е конфигуриран така, че да приема VPN заявки. В резултат от тази стъпка се изгражда тунелът. Клиентът се автентикира в частната LAN и получава достъп до нея.

Работна станция

Работна станция

Работна станция VPN сървър на LAN

Интернет

Отдалечен VPN клиент

Модем

Интернет доставчик

Фиг.48 Когато клиентът използва наета (постоянна) връзка с Интернет, той би могъл да конфигурира домашния си компютър като VPN сървър и след това да се свърже към него от офиса на фирмата за достъп до файлове, съхранявани върху домашния му компютър.

Маршрутизатор

Филиален офис А Интернет

Маршрутизатор

Филиален офис В

Фиг.49

80 Изграждане на VPN връзки между офиси на фирма На фиг.49 е показана схема на VPN от тип маршрутизатор-маршрутизатор. Тя е изградена с помощта на маршрутизирани връзки към Интернет. Връзката на всеки офис към Интернет може да бъде набирана при необходимост (dial on demand) или да бъде постоянна. При връзка с набиране маршрутизаторът използва dialup връзка с Интернет. Другият маршрутизатор, този който бива повикван, трябва да има постоянна връзка с Интернет и да е конфигуриран за приемане на връзки от типа набиране при необходимост. В повикващия маршрутизатор се конфигурират две връзки с набиране при необходимост – едната за набиране на Интернет доставчик (ISP) и другата за свързване към VPN. Ако двата маршрутизатора имат постоянни връзки към Интернет, ако е необходимо, VPN връзката може да бъде установена и оставена постоянно открита. VPN връзката от типа маршрутизатор-маршрутизатор може да бъде конфигурирана като еднопосочна или двупосочна. В първия случай единият маршрутизатор трябва да действа като клиент и да инициира връзката, а другият да функционира като VNP сървър. Във втория случай, при двупосочна връзка, двата маршрутизатора трябва да имат постоянна връзка с Интернет, да са настроени да работят като LAN и WAN маршрутизатори и всеки един от тях да е в състояние да иницира VPN връзка. 8.3. Предимства и недостатъци на VPN Предимствата на VPN са следните:  Спестяват разходите за междуградски разговори, когато отдалечените потребители се намират извън областта за набиране на локални номера.  Изискват по-малко телефонни линии за осигуряване на отдалечен достъп до множество потребители едновременно.  Изискват по-малко хардуерно оборудване.  VPN мрежите, базирани на ISP (доставчици на Интернет), редуцират цените за администриране и обучение. Към недостатъците на VPN мога да бъдат отнесени следните обстоятелства:  Ако един от доставчиците на Интернет изключи ISP сървъра си за техническа профилактика, VPN връзка не може да се осъществи. При директна dialup връзка към LAN това не би могло да се случи.  Производителността на VPN е по-ниска, тъй като допълнително се изпълняват протоколите, реализиращи VPN. При директна dialup връзка към LAN, протоколи за VPN не се изпълняват.

9. Мрежи за тънки клиенти Мрежите за тънки клиенти заемат второ място по популярност след виртуалните частни мрежи. Фразата „тънки клиенти” означава „икономични клиенти”. Отнася се за клиенти, които за изграждане на мрежи използват технологии, които позволяват спестяване на хиляди долари от закупуване на хардуер. Тънките клиенти използват маломощно или остаряло оборудване за изпълнение на популярни приложения (текстообработка, електронни таблици, презентации и др.), които нормално изискват повече процесорна мощ и памет, отколкото позволява използваното оборудване. Постига се посредством софтуер, специално предназначен за тънки клиенти, като например Microsoft Terminal Services, Citrix XenApp и др. Той позволява на клиента да се свързва със сървър, наричан терминален сървър и върху него да изпълнява нужните му програми. Потребителят работи на своята машина, но същинската обработка на информацията се осъществява от сървъра. Резултатът от обработката се предава обратно по мрежата и се изобразява върху екрана на клиентската машина. По този начин клиентът получава на разположение виртуален десктоп.

81 Необходимо е да се отбележи, че изложената концепция не е нова. Преди появата на персоналните компютри се използваха голямогабаритни изчислителни машини (mainframe – мейнфрейм), свързани с терминали (екран плюс клавиатура плюс малко електроника) – устройства, лишени от възможността да обработват информация. Посредством терминалите потребителите подаваха задания на мейнфрейма. Последният извършваше обработката на информацията, а резултатите от изпълненията на заданията се изпращаха на съответните терминали, където биваха изобразявани. Все пак технологията „тънък клиент” (thin-client terminal server computing), макар че наподобява модела с мейнфрейм, се различава от него. Тук терминалите са персонални компютри или друг тип устройства (PDA, мобилни телефони и др.), които за разлика от терминалите притежават все пак някаква, макар и ограничена, процесорна мощност, която позволява локално изпълнение на приложения. През последните десетилетия настолните операционни системи непрекъснато се развиват, като става все по-мощни, по-съвършени, но същевременно все по-гладни за компютърни ресурси – памет и процесорна производителност. Така например за MS DOS бяха достатъчни 64 КВ памет и 4.77 MHz скорост на микропроцесора, за Windows 95 те са съответно 16 MB и 66-90 MHz, а за Windows 2000 64 МВ и 333-450 MHz. Заедно с операционните системи „набъбват” и приложенията. Непрекъснато променящите се изисквания към хардуера водят до неговото бързо „морално” остаряване и до нуждата от честата му подмяна или ъпгрейдване, което в глобален мащаб, а и за организациите, струва огромни средства. Излезлите от употреба компютри се трупат в складове или се даряват на нетърговски организации. При това положение съвсем естествено възникна стремежът да се пестят парични средства, като продължи по-нататъшното използване на остарелите хардуер и софтуер или пък да се използват евтини компактни операционни системи, като например „тънък Linux”, който се побира върху една дискета и работи с 4 МВ памет. За повечето организации тези подходи се оказват непригодни, тъй като стандартизираните приложения (текстообработка, електронни таблици и др.) се оказват след време несъвместими с тези на техните клиенти и партньори, което препятства нужната интероперативност. Мрежите за тънки клиенти предлагат начин за по-нататъшно използване на „остарелите машини”, като в същото време не лишават потребителите от възможнfстта да работят с наймодерните операционни сиiтеми и приложения. Например те биха могли да работят с Windows XP и да изпълняват приложения от Microsoft Office 2003, като за целта използват клиентска машина IBM PC 386X или Macintosh. Как работи технологията „тънък клиент”? Настолна машина, която изпълнява клиентски софтуер, изпраща на сървъра по мрежата заданието (заявката) на потребителя. Сървърът извършва необходимата обработка, изгражда под формата на програма графичния потребителски интерфейс с включените в него резултати и го изпраща по мрежата на клиента. Последният притежава нужните графични способности и изобразява върху своя екран получения от сървъра отговор, като изпълнява програма за изобразяване на графичен потребителски интерфейс. Върху сървъра са инсталирани многопотребителски приложения, което позволява на множество потребители да влизат и да работят едновременно с приложенията, без да знаят за сесиите на другите. Потребителите се логват на сървъра с предварително конфигурирани акаунти. Всеки един от тях може да подържа собствени настройки за приложенията, с които работи. Технологията тънък клиент предлага за мрежовия администратор редица предимства, между които следните:  Ъпгредът на приложенията е опростен, тъй като това става само в сървъра, а не в големия брой клиентки машини.  Спестяват се пари за лицензиране на софтуер, когато за всяко негово копие се изискват отделни лицензи.  Защитата от вируси се извършва върху сървъра. За по-голяма сигурност на мрежата на клиентските машини може да бъде забранено да инсталират софтуер.

82  

Терминалните сесии могат да бъдат контролирани от администратора на сървъра. Данните, с които работят потребителите, могат да се съхраняват на сървъра. Когато клиентските машини са персонални компютри, съществува опция данните да се съхраняват локално.

Решенията за изграждане на мрежи за тънки клиенти зависят от три компонента:  хардуер – сървърен и клиентски;  софтуер – сървърен и клиентски;  протоколи за комуникация между сървъра и клиентите. 9.1. Софтуер за комуникация между терминален сървър и тънките клиенти Два от най-популярните продукти за тънки клиенти са Microsoft Terminal Services и Citrix XenApp. Протоколите за комуникация, използвани в тях са съответно RDP (Remote Desktop Protocol) и ICA (Independent Computing Architecture). Протоколът RDP представлява мултиканален протокол, позволяващ на клиентските програми да са свързват с компютър (със сървър), който изпълнява продукта Terminal Services на Microsoft. RDP подържа TCP/IP и може да работи в LAN и/или с отдалечени връзки, включително dialup. Официалният клиентски софтуер на Microsoft за работа с RDP е RDC (Remote Desktop Connection), наричан формално Terminal Services Client (TSC). Клиентски програми, използващи RDP, се предлагат още и за: Linux, FreeBSD, Solаris, Mac OS X и Palm OS.

Фиг.50 От 1997 г. RDP е базиран вече върху протокола ICA (Independent Computing Architecture) на фирмата Citrix Systems (многонационална компания, базирана във Флорида, САЩ), с която Microsoft има сключено дългосрочно споразумение за размяна на технологии и

83 патенти, касаещи Terminal Services и Citrix Presentation Server (формално наричан Citrix MetaFrame), който беше наскоро преименуван на Citrix XenApp. Citrix XenApp се дистрибутира независимо от Terminal Services. Той реализира протокола Citrix Systems' thin client protocol. За Citrix XenApp има разработени клиентски програми за: Windows (CE, 16-битов, 32-битов и 64-битов), Linux, Mac OS X и други UNIX-подобни операционни системи. Terminal Services e компонент на Windows. Предлага се в две версии – за сървър и за клиент. Terminal Services позволява на потребителите мрежов достъп до приложения и данни, намиращи се върху отдалечен компютър. Terminal Services се появи за първи път в Windows NT 4.0 Terminal Server Edition. По-късно той бе усъвършенстват и включен в Windows 2000, Windows XP и Windows Server 2003. Днес той присъства и в Windows Vista и Windows Server 2008. Windows включва две приложения - Remote Assistance и Remote Desktop (фиг.50), които дават възможност на компютъра да изпълнява терминални услуги. Remote Assistance позволява да поканите ваш приятел, колега или сътрудник да проследява как вие работите с дадено приложение (върху неговия компютър се изобразява вашия работен екран), като същевременно можете да осъществявате помежду си чат. Програмата позволява на вашия колега да работи съвместно с вас със същото приложение, като ползва своята мишка и клавиатура. Клиентският софтуер RDC (Remote Desktop Connection) на Microsoft позволява на потребителите да се свързват със сървър, изпълняващ Terminal Services. Програмата е mstsc.exe. След стартирането й се извежда прозорецът, показан на фиг.51. Посредством нея може да се създава комуникационна връзка с терминален сървър или с други отдалечени компютри, както и да се редактират RDC конфигурационите файлове (.rdp). По подразбиране както клиентът, така и сървърът слушат на порт 3389. Други за системи с тънки клиенти са X, XDMCP (X Display Manager Communication Protocol) и RFB. Освен тях могат да бъдат използвани и протоколи като: BOOT, DHCP и TFTP, които по принцип не са предназначени за тънки клиенти. Използват се за изключително тънки клиенти, като например бездискови компютри, които зареждат операционната си система по мрежата.

Фиг.51 В безжичните клетъчни мрежи тънки клиенти са мобилните телефони и PDA. Те могат да ко комуникират с Web-сървъри. За целта се използва протоколът WAP (Wireless Application Protocol) и програмният език от високо ниво WML (Wireless Markup Language). Протоколът WAP поддържа TCP/IP. Приложенията се намират върху Web-сървъри и биват избирани чрез техните URL адреси. Посредством URL се избира WML-програма, която от своя страна би могла да стартира програми, написани на други езици. По този начин става възможно изпълнението на сложни приложения, използващи бази данни. Резултатът от изпълнението на приложенията се регистрира във WML програма и се изпраща на мобилното устройство за изобразяване.

84 9.2. Хардуер за тънки клиенти За реализацията на тънки клиенти могат да се използват различни видове устройства. Към тях могат да бъдат отнесени:  Windows-базирани терминали (WBT – Windows Based Terminals);  мрежови компютри (Network Computers);  мрежови PC (Net PC);  настолни компютри, работещи под различни операционни системи;  мобилни компютри и устройства. Windows-базирани терминали Windows-базираните терминали (WBT) са предназначени за работа с Windows терминални сървъри и Windows приложения в мрежи от типа „тънък клиент”. Повечето от тях използват протокола RDP или предварително зареден ICA клиент на Citriх плюс клиентски софтуер на Microsoft. WBT терминалите са по-евтини от пълноценните PC-та. Те не разполагат с твърд диск, което предпазва мрежата от вируси и от възможността да се правят неоторизирани копия на документи. Без мрежата WBT терминалите са неизползваеми. Това ги прави непривлекателни за крадците на компютри. Популярен разпространител на WBT терминали е Wyse Technology, която първа (1995 г.) предложи на пазара такива терминали. Мрежови компютри Мрежовият компютър (Network Computer) използва JVM (Java Virtual Machine) и осигурява Web интерфейс. Отличителните черти на Network Computer са следните:  Платформена независимост, т.е. Network Computer не е обвързан с определен тип на операционната система.  Притежава Web браузър, което осигурява обработката на HTTP и Secure HTTP (HTTPS) съдържания.  Подържа електронна поща посредством протокола SMPT (Simple Mail Transfer Protocol).  Подържа TCP/IP.  Подържа изпълнението на Java аплети. Мрежовият компютър Network Computer е разработен от Sun Microsystems в средата на 90-те години. Друга модерна версия на Network Computer е Nework Station на IBM. На базата на протокола ICA на Citrix той може да работи като терминал за Windows приложения. Пригоден е да функционира и като терминал за IBM мейнфрейм компютри. Към мрежовите компютри могат да бъдат отнесени и бездисковите PC-та, които могат да се стартират от мрежата. Операционната им система – Windows или Linux, се зарежда от мрежата. Net PC-та Малко след Network Computer се появи алтернативата Net PC – съвместна разработка на Microsoft, Dell, Compaq и Hewlett Packard. Net PC са базови PC-та с ниска процесорна мощност (Pentium 100 MHz) и малко памет (16 МВ RAM). За разлика от WBT, те притежават твърд диск. Подържат Plug and Play (PnP). Лишени са обаче от разширителни слотове и от флопидисково и CD устройства. Тъй като Net PC е пълноценен компютър, той би могъл да функционира и като самостоятелна машина, ако мрежата бъде прекъсната. Настолни компютри Всеки обикновен настолен компютър би могъл да изпълнява клиентския софтуер на Microsoft Terminal Services или на Citrix ICA и по този начин да функционира като „дебел” тънък клиент. Защо е необходимо това? Инсталирането на приложенията върху терминален сървър и ползването им по мрежата дава редица предимства. Така например това позволява

85 да конфигурирате и настройвате централно приложенията, а също така бързо и удобно да ги обновявате. В същото време терминалният клиент би могъл да изпълнява локално други програми. Това решение е полезно също, ако имате потребители, които работят под операционни системи, различни от Windows, а желаят да изпълняват и Windows приложения. Недостатък на използването на настолните компютри като терминални клиенти е намалената сигурност. Потребителите са в състояние да инсталирват неоторизирани програми или да правят копия на данни по мрежата, въпреки че е възможно да бъдат предприемани някаккви предпазни мерки като ограничаване действията на потребителя, например чрез заключване на десктопа. Мобилни компютри и устройства С помощта на стартиране на клиентска програма за Windows CE върху преносим компютър (handheld computer) се създава мобилен WBT. Безжичните мобилни устройства са снабдени с вграден WML браузър, който им позволява да комуникират като терминали на Web-сървъри по клетъчната мрежа.

10. Защита на мрежите Важен въпрос, касаещ мрежите, е защитата на данните от загуба и/или от злоупотреба. Той бива разглеждан в два аспекта – мрежова сигурност и предпазване от случайни сривове. Под мрежова сигурност следва да се разбират мерките за защита от преднамерен или случаен достъп до информацията, съхранявана в мрежата. Пълна (100%-ова) гаранция за мрежова сигурност никога не може да има. Напълно сигурна е оная мрежа, до която никой няма достъп, а такава мрежа не е нужна никому. Мрежовата сигурност е горещ проблем в света на информационните технологии. Бизнесът става все по-зависим от компютърните мрежи и информацията, съхранявана в тях. Но заедно с това той става все по-уязвим от пробиви в мрежовата сигурност. Често ставаме свидетели на съобщения в медиите за проникване в мрежите на правителствени и бизнес организации, както и за поражения, нанасяни от компютърни вируси. Външните и вътрешни нарушители на мрежовата сигурност не са единствената заплаха за мрежите. Възможни са и случайни сривове, предизвикани от хардуерни повреди, природни бедствия или технически грешки в експлоатацията. Всички те водят до загуба на файлове, съдържащи в редица случаи ценна информация. По-долу е отделено внимание на мерките за мрежова сигурност (от т.10.1 до т.10.4) и на мерките за предпазване на данните от срирове в мрежата (т.10.6). 10.1. Видове заплахи Когато започва изграждане на компютърна мрежа, винаги се поставя и въпроса за нейната сигурност. Анализира се степента на конфиденциалност на данните и се определят нуждите от защита. На тази база се съставя план за мерките, които трябва да се предприемат за осигуряване на нужната мрежова сигурност. Заплахите за сигурността биват вътрешни и външни. Вътрешни заплахи Вътрешните пробиви на сигурността се осъществяват от служители на организацията, експлоатираща мрежата. Мотивите за това могат да бъдат:  Корпоративен шпионаж, свързан с кражба на търговски, технически или други тайни. Осъществява се в полза на конкурентни компании от подкупни служители. Този вид шпионаж спада към най-интелигентните, тъй като се извършва от хора с висок професионален опит. Мерките за сигурност, предназначени за осуетяване на корпоративен шпионаж, се осъществяват на най-високо управленско ниво с помощта на специалисти, посветени в защитата от шпионаж на корпоративните мрежи.  Саботаж. Понякога кариеристично настроени служители, за да покажат, че се справят в работата по-добре от техните колеги, прибягват до саботаж на дейността на



86 последните. Формите на саботаж могат да бъдат най-различни, като се започне от претърсване на чужда електронната поща и на файлове за добиване на някаква уличаваща информация и се стигне до съзнателно унищожаване на важни данни. Особено опасни са служители, недоволни от политиката (понижение, уволнение и прочие), провеждана спрямо тях от страна на организацията, в която те работят. Те са в състояние да повредят съзнателно даден хардуер, да изтрият информация от твърдите дискове или да разпространят вируси в мрежата. Случайни пробиви. Причиняват се несъзнателно от служители на организацията, поради техническа некомпетентност или липса на подготовка. В старанието си да „поправят” възникнал дребен проблем, те биха могли да затрият ценна информация. Чрез въвеждане на позволения за работа само с определени файлове, тази опасност може да бъде сведена до някакъв минимум, но не може да бъде избегната напълно.

Външни заплахи Към външните заплахи могат да бъдат отнесени:  неоторизирано използване на пароли и ключове;  DoS атаки;  IP спуфинг;  компютърни вируси и червеи;  троянски коне. Неоторизирано използване на пароли Паролите и ключовете са ефективно средство, само когато те се пазят в тайна. Ако някой узнае вашите потребителско име и парола, той получава достъп до компютъра и мрежата и би могъл да свали от там конфиденциална информация. В много случаи придобиването на парола представлява първа стъпка от хакването на една система. Хакер означава лице, което се вмъква в компютърните системи с намерение да открадне или унищожи данни. Първоначално терминът хакер означаваше добър програмист, но днес той придоби отрицателен смисъл. Когато един хакер получи неоторизиран достъп чрез име и парола на потребителски акаунт, казваме, че той е кракнал системата, а той самият бива наричан кракер (разбивач). Сигурността на паролите е важна част от изграждането на добра мрежова сигурност. Хакерите придобиват паролите по много начини. Това може да стане чрез наблюдение, отгатване (когато за пароли се използват рождени дати, имена на съпруги или деца и т.п.), чрез измама (хакерите се представят за мрежови техници или администратори, на които наивния потребител поверява паролата си) или чрез налучкване (чрез програми, които автоматично генерират и изпробват различни пароли). По-грамотните хакери са в състояние, посредством така наричаните „снифър пакети”, да прихващат от мрежата пакетите с данни, сдържащи паролите. За борба с тази техника на прихващане на пароли се използва криптиране на последните. Атаки от типа DoS Атаките от типа DoS (Denial of Service – отказ от услуга) биват наричани още нюк (nuke) атаки. Те не предизвикват срив на атакуваната машина, а нарушават нейното нормално функциониране. Най-често използвани форми на DoS атаки са:  наводнението на протокола Ping/Internet Control Message Protocol (ICMP);  смърф атаката;  Ping на смърта;  SYN атаки. Ping/ICMP наводнение. ICMP е протокол за съобщения и проверки за грешки, използван в Интернет за предаване на информация. Командата ping е използвана за проверка дали даден компютър в мрежата се обажда. За целта тя използва ICMP пакети. Командата изпраща съобщение, наричано ICMP Echo Request и чака да получи отговор, наричан ICMP Echo

87 Replay. ICMP наводнението се състои в „наводнение” на протокола ICMP с пакети, предизвикващо „задавяне” на системата, към която е било извършено обръщане чрез командата ping. На IP адреса се изпращат непрекъснато пакети, в резултат на което той започва да забавя своята работа, след което се изключва поради таймаута на командата ping. Смърф атаката е вид ICMP наводнение, което влияе на целия мрежов сегмент. Изпраща се съобщение до бродкастен адрес, което достига до всички компютри в мрежата, заставяйки ги да отговорят. Това натоварва мрежата и всички комуникации се забавят, в резултат на което всички потребители в един момент зцагубват връзката с мрежата. Ping на смърта e атака, която използва ограниченията, налагани от максималната единица за предаване (MTU - maximum transmission unit) на информация в мрежата. MTU се определя от пропускната способност на преносната среда и от архитектурата на мрежата. Ако бъде изпратен пакет, който надхвърля MTU, той бива разделян на по-малки парчета и след това сглобяван отново след като достигне до крайното си местоназначиние. IP пакетът, в който е капсулирана заявката за ICMP ехо, е ограничен до 65535 октета (един октет съдържа 8 бита). Ако бъде изпратен пакет с размер, надхвърлящ максималния брой октети, компютърът-получател няма да бъде в състояние да сглоби разбития на части пакет и ще срине своята работа. SYN атаката използва синхронизиращата последователност на TCP, за да осъществи прекъсване на комуникациите. За изграждане на сесия TCP използва процес на тристранно ръкостискане. Клиентът предава сегмент със заявка SYN за синхронизация, представляваща число. Сървърът изпраща на клиента отговор (потвърждението ACK), който включва числото, изпратено от клиента, увеличено с единица, заедно с друго SYN число, генерирано от сървъра. Клиентът добавя единица към числото на сървъра и го връща обратно на сървъра под формата на ACK. Ако процедурата протече нормално, двата компютъра установяват комуникационна връзка помежду си. Атаката се състои в изпращане на голям брой SYN заявки, посредством подправен (спуфнат) IP адрес (виж следващия абзац). Приемащият компютър поставя заявките в опашка и започва да ги обслужва. Чрез непрекъснато запълване на опашката със заявки и поддържането й в това състояние, се пречи на компютъра да обслужва други заявки. По този начин потребителите не могат да получат връзка към сървъра. IP спуфингът представлява подправяне на IP адрес. Изпращат се отвън съобщения, на които пакетите, по-конкретно техните хедъри, са така променени, че да изглеждат сякаш идват от компютър, принадлежащ на мрежата. С придобития по този начин достъп до мрежата може да започне атака за кражба или унищожаване на данни. Компютърните вируси са програми, които могат да нанасят най-различни поражения – от смущаване на визуализацията до изтриване на файлове на операционната система. Те притежават способността да се репликират и да се разпространяват от един компютър на друг, без знанието на потребителите. Червеят (worm) е вирус, който притежава способността да се саморепликира и да унищожава файлове в компютрите. Червеите се разпространяват най-често като атъчменти към електронната поща или като документи, съдържащи макроси. Те могат да попаднат в мрежата и с HTMLстраници, сдържащи червеи под формата на скриптове. Троянските коне са зловредни програми, които биват представяни пред потребителите като програми, предназначени за извършване на някаква определена полезна дейност. Стартирането на една такава програма довежда до неочаквани вредни последствия. В много от случаите това са Web-сайтове, които изискват от потребителите въвеждане на личните им данни, които след това биват ползвани за пъклени цели.

88 10.2. Мерки за сигурност Сигурност на паролите Важна част от плана за сигурност на мрежата е осигуряване на по-неразгадаеми пароли. На потребителите на мрежата трябва да бъдат препоръчани следните правила за създаване на пароли.  Паролите не трябва да бъдат думи или числа, имащи някаква връзка с потребителя, като например рождена дата, име на член от семейството, име на куче и т.п.  Паролите не трябва да бъдат думи от речника, тъй като при отгатване на пароли с помощта на програми, последните използват думите от речника.  Парола, която съдържа главни букви на случайно подбрани позиции е трудно разгадаема.  Паролата трябва да бъде такава, че да може да се помни от потребителя, а не да се записва на хартия, откъдето друго лице би могло да я прочете.  Колкото дължината на паролата е по-голяма, толкова по-трудно се разгадава, но и потрудно се помни.  Паролата трябва периодически да се променя, но не много често, за да може да се помни. Повечето мрежови операционни системи позволяват на администраторите да задават минималната дължина на паролите, да проследяват тяхната история (съхранява се списък с предишните пароли, като не се допуска тяхното повторно използване) и да задават срокове на валидност на паролите (заставят потребителите да променат паролите си през зададен интервал от време). Установяването на самоличността на потребителите е важен фактор за сигурността. В последно време се обръща внимание на технологии, които гарантират висока степен на сигурност при идентифициране на потребителите. Към тях могат да бъдат отнесени смарт картите и технологиите, проверяващи биометричните данни на потребителите, като разпознаване на пръстови отпечатъци, сканиране на ретината и разпознаване на ириса на окото, както и верификация на гласа. Контрол на достъпа Модерните операционни системи позволяват на множество потребителите да осъществяват достъп до компютрите и мрежата чрез създаване на отделни потребителски акаунти, състоящи се от потребителско име и парола. Акаунтите биват обвързвани с определени права на достъп до ресурсите на мрежата. Например на потребителя може да бъде разрешено да чете и записва само във ресурси, за които има разрешения. Модерните операционни системи позволяват на администраторите да управляват достъпа до ресурсите гранулирано. Например на един акаунт може да бъде разрешено да разглежда съдържанието на даден файл, но не и да го променя. В същото време на друг акаунт може да бъде разрешено да разглежда, променя и изтрива файла. Позволенията могат да бъдат локални (да касаят ресурсите на само даден компютър от мрежата) или мрежови. Например след логване на потребителя в даден компютър, на него може да му бъде разрешено да има пълен контрол върху файл, намиращ се върху същата машина, но в същото време да бъде забранен достъпът до същия файл, ако той се извършва от друга машина в мрежата. Във всяка организация, ползваща мрежа, трябва да има изградена политика, в която да бъде указано кой какви права на достъп притежава. Принципът трябва да бъде следния – всеки получава толкова права на достъп, колкото са му необходими, за да може пълноценно да изпълнява служебните си задължения. С цел облекчаване на администраторите, мрежовите операционни системи позволяват задаване и на групови права на достъп. След като това бъде направено, за всеки член от групата се създава потребителски акаунт, който автоматично получава правата, присвоени на

89 групата. Това е по-лесно отколкото за всеки отделен потребител да се задават едни и същи права на достъп. Ако решите да лишите даден потребител от достъп до даден ресурс, не е достъчно да премахнете от неговия акаунт позволението за работа с ресурса. Трябва още да се уверите, че той не е член на група, която има делегирани права за работа със същия ресурс. Криптиране на файлове Криптирането конвертира инфомацията във форма, неразбираема от другите. Извършва се по специални алгоритми с използване на криптографски ключ. Криптирането на файлове криптира информацията, съхранявана на дисковете на компютрите. В този си вид файловете могат да бъдат разглеждани само от потребители, разполагащи с ключа на криптиране. Конфиденциалните данни трябва да бъдат криптирани и защитени с позволения/забрани за достъп. Някои операционни системи разполагат със собствени средства за криптиране, докато други изискват използване на външни програми за криптипане. Протоколът IP Security Криптипрането на файловете защитава данните, съхранявани върху диска, но не предлага сигурност по време на тяхното пътуване по мрежата. Протоколът IP Security (IPSec) решава този проблем на ниво пакет. Той извършва криптирането в мрежовия слой на модела OSI. Cisco Systems използва IPSec в своите маршрутизатори, а Windows включва IPSec в своя TCP/IP стек. В Windows XP включването на IPSec в действие се осъществява с помощта на програмата mmc.exe, стартирвана от прозореца на командата Start/Run (фиг.52). В резултат се отваря прозорец с име „Add/Remove Snap-in”, от чието меню File се избира командата Add/Remove Snap-in. В прозореца се щраква бутона [Add], което води до отваряне на прозореца от фиг.53. В него се избира елементът IP Security Policy Management и понататък се следват инструкциите, извеждани върху екрана. IPSec използва два протокола, които могат да работят поотделно или заедно:  

Authentikation Header (AH). Позволява проверка на самоличността на изпращания IPSec. Encapsulation Security payload (ESP). Гарантира конфиденциалността на самите данни.

IPSec може да работи в два режима – транспортен и тунелен. При транспортния криптирането се осъществява по целия път от компютъра източник до компютъра местоназначение. При тунелния режим криптирането се извършва от изходната точка на едната мрежа до входната точка на другата. Освен чрез криптиране, при тунелирането, както е известно (т.8.1), пакетите биват допълнително защитавани и чрез тяхното капсулиране в нови пакети.

Фиг.52

90

Фиг.53 Secure Sockets Layer Secure Sockets Layer (SSL) е друго средство за управление на мрежовата сигурност. SSL използва криптиране с публичен и частен ключ (т.10.3), но има недостатъка, че работи в приложния слой на OSI модела, което налага приложенията да подържат SSL. SSL бе разработен от Netscape за управление сигурността на техния Web браузър. Сигурност на електронната поща Електронната поща прилича на открита пощенска картичка. Тя може да бъде прочетена от всеки по време на нейното пътуване. Съобщенията на електронната поща пътуват през десетки възли (сървъри) и могат лесно да бъдат прехващани. Ако писмото не е криптирано или подписано с цифров подпис, то може лесно да бъде прочетено, копирано или променено. За осигуряване на електронната поща има разработени много софтуерни продукти, които осигуряват следното:  не допускат съобщението да бъде прочетено от неоторизирано лице;  не допускат съобщението да бъде променяно от момента на изпращането му до момента на прочитането му от приемащата страна;  гарантират, че лицето, което изпраща пощата, е същото, а не някой друг, представящ се за него. Популярни програми за защита на електронната поща са: Pretty Good Privacy (PGP), Kerberos, Baltimore Mail Secure, MailMarshal на Softec и др. Повечето от тях използват криптиране с ключове и цифрови подписи с цел автентикация на самоличността. 10.3. Криптиране на информацията Криптирането на информацията е предмет на науката криптография, която представлява учение за тайнопис. Криптирането използва код, наричан ключ, с чиято помощ се извършва криптиране (шифриране) и декриптиране (дешифриране) на информацията. За

91 осъществяване на криптирането е необходим и алгоритъм, по който то да бъде извършвано. Формулата е следната: Данни + Ключ + Алгоритъм = Криптирани данни Колкото по-дълъг е ключът за криптиране, толкова по-трудно е разбиването на кода му. Стандартните ключове са с дължина 40 и 56 бита, но има и такива с дължина 128 бита. За повечето страни криптирането на информацията е предмет на законова уредба. Експортът и импортът на технологиите за криптиране биват контролирани. Например САЩ разрешават свободен експорт на софтуер за криптиране с 40 битови ключове, но забраняват експорта на технологии, използващи 128 битови ключове. В Русия се контролира експорта и импорта и не се допуска използване на неоторизирано криптиране. Съществуват различни концепции за криптиране, включително такива, използващи повече от един ключ. По-долу са разгледани накратко криптирането със секретен ключ и криптирането с публичен/частен ключ. Криптиране със секретен ключ Криптирането със секретен ключ бива наричано още симетрично криптиране, тъй като криптирането и декриптирането се извършват с един и същ ключ. Например нека приемем, че потребителите X и Y желаят да обменят поверителни съобщения, като за целта използват следната схема на криптиране – всяка буква от азбуката бива конвертирана по схемата А=10, В= 11, С=12 и т.н., след което всяко едно от получените числа се умножава по 4. По този начин лицето Х ще кодира съобщението си, като замества навсякъде буквата А с 40, В с 44, С с 48 и т.н. Лицето Y, за да декриптира съобщението, трябва да приложи същия алгоритъм, но в обратен ред – първо да раздели всяко число от съобщението на 4, след което да конвертира получените числа в букви по обратната схема 10=А, 11=В, 12=С и т.н. Криптирането със секретен ключ изисква решаване на следните три проблема:  генериране на секретни ключове;  обмен на ключовете между комуникиращите страни, без те да попаднат в чужди ръце;  как да се процедира с ключовете, когато комуникиращите страни са повече от две. Както при паролите и при криптирането е благоразумно секретният ключ да бъде променян през определени интервали от време. Това означава, че трябва да разполагаме със средство за генериране на секретни ключове и с начин за изпращането им до страната, която ще извършва декриптирането. Ако изпратим ключа по електронната поща, съобщението, съдържащо ключа, лесно може да бъде прихванато. Ако криптираме съобщението, получателят няма да може да го декриптира, понеже не разполага с ключа. За решаване на първите два проблема, свързани с генерирането и с обмена на секретни ключове има разработени специални механизми. Един от тях е например алгоритъмът на Дифи-Хелман. Той позволява на двете страни да създават тайна, известна само на тях, независимо, че комуникират по мрежа без сигурност. Третият проблем е по-сложен. Когато лицето А комуникира с лицата В и С, то трябва да използва два различни секретни ключа – един за В и един за С. Иначе, при използване на един общ ключ, лицето В ще може да прочита съобщенията за С и обратно. Следователно лицето А трябва да помни два ключа. Когато А трябва да комуникира с по-голям брой лица, генерирането и помненето на повече секретни ключове се превръща в труден и дори неуправляем процес. За преодоляване на този проблем се използва втория вид криптиране с използване на публичен/частен ключ. Криптиране с публичен/частен ключ Криптирането с публичен/частен ключ бива наричано още асиметрично криптиране. Тук се използват два ключа – публичен и частен. На всеки публичен ключ отговаря един частен ключ. Публичният ключ е широко достъпен, докато частният се знае само от едно лице. Всяка една от комуникиращите страни притежава двойка ключове - публичен и частен. Те биват използвани по следния начин:

92 1. Лицата А и В решават да комуникират помежду си. За целта те обменят своите публични ключове. Няма значение, че тези ключове могат да попаднат в чужди ръце, тъй като по принцип криптираните съобщения не могат да бъдат декриптирани посредством публични ключове. 2. Нека приемем, че лицето А желае да изпрати съобщение на В. Лицето А криптира съобщението с помощта на публичния ключ на лицето В, получен преди това от В. 3. Лицето В декриптира полученото съобщение с помощта на своя частен ключ. Това е възможно, тъй като то е било криптирано от лицето А с публичния ключ на лицето В. Публичният ключ на всяко лице съответства на частния ключ на същото лице. Обърнете внимание, че ако лицето А криптира съобщението със своя частен ключ, съобщението може да бъде декриптирано от всеки, който разполага с публичния ключ на А. В съответствие с описаната по-горе процедура, съобщението, получено от лицето В, ще бъде успешно декриптирано, но лицето В няма да бъде сигурно кой е автора на съобщението, при условие, че публичният ключ на В е бил раздаден на повече лица. Следователно необходима е още и автентикация. Това би могло да стане, ако лицето А криптира съобщението с частния си ключ, а лицето В го декриптира с публичния ключ на лицето А (лицето В разполага с публичния ключ на А). Друг по-съвършен начин за криптиране и автентикация е използването на цифрови подписи. 10.4. Цифрови подписи и сертификати Цифровите подписи се състоят от криптирана подписваща информация, добавена към изпращания документ. Самите данни в изпращаното съобщение не се криптират. Цифровият подпис гарантира, че изпращачът е автентичен и че данните в документа не са били променяни, т.е. верифицира се идентичността на изпращача и се проверява автентичността на самия документ. Верификацията на автентичността на съобщението се извършва с помощта на хеш алгоритъм. Това става по следния начин: 1. Изпращачът хешира съобщението с ключ, който е известен на получателя на същото. Хешът изработва числов резултат, например 0111010100000001, наричан дайджест на съобщението. Хеширащите алгоритми изработват дайджести с дължина не помалка от 128 бита, поради което възникването на един и същ резултат от различни съобщения е практически невъзможно. 2. Дайджестът се изпраща на получателя. 3. Получателят хешира съобщението със същия ключ и ако съобщението не е било променяно, трябва да се получи същия дайджест 0111010100000001, което ще означава, че документът е автентичен. Популярни алгоритми за хеширане са: Secure Hash Algorithm (SHA) и Message Digest 5 (MD5). Цифрови сертификати Цифровите сертификати гарантират автентичността на съобщенията, които пътуват по несигурни публични мрежи, каквато е например Интернет. Те представляват съобщения, които съдържат цифровия подпис на трета доверена страна, наричана сертификационна власт (certificate authority). Потребител, който притежава публичен и частен ключ, изпраща до сертифициращата власт заявка за получаване на сертификат. Институцията издава цифров сертификат, който удостоверява, че публичният ключ действително принадлежи на този потребител. Третата страна представлява оторизирана от държавата институция, която гарантира, че даден публичен ключ принадлежи на конкретно лице. Цифровите сертификати могат да бъдат оприличени на електронни смарт карти за идентификация на личност, каквито са например личните карти, шофьорските книжки и т.п.

93 Сертификатите са валидни за зададен период от време. Сертификационната власт има право да ги отнема (анулира). Широко възприет формат на сертификатите е X.509. Той представлява международен стандарт, дефиниран от ITU-T (International Telecommunication Union – Telecommunication [Standartization Sector]). В България сертификацията е регламентирана със Закона за електронния документ и електронния подпис. Оторизирана сертифициращата организация е ИНФОНОТАРИ ЕАД (www.infonotary.com), дружество създадено през 2004 г. То е част от холдинга Датамакс систем холдинг АД, включващ следните три фирми:  ePay.bg (www.epay.bg) за електронни плащания;  Easypay АД (www.easypay.bg) за пощенски парични преводи и платежни услуги Easypay;  Датамакс АД (www.datamax.bg) за производство на банков софтуер. 10.5. Защитни стени Защитните стени (firewalls) биват използвани за създаване на бариера между LAN и външния свят. Те са в състояние да изпълняват три вида филтриране:  Филтриране на пакети. Извършва се на базата на информацията, съдържаща се в IP, TCP/UDP и ICMP хедърите на пакетите. Защитната стена блокира или разрешава преминаването през нея на указани IP адреси или номера на портове.  Филтриране на вериги. Ако даден пакет не е част от създадена вече (текуща) връзка, той не се пропуска през защитната стена.  Филтриране на приложения. Забранява изпълнението на приложения, постъпващи по мрежата, като например Java аплети или друг вид скриптове. Филтрира, като използва информацията за приложенията, съдържаща се в IP пакетите.

Фиг.54

94 Хардуерните защитни стени представляват специализирани компютри, използващи нестандартни операционни системи. Те функционират единствено като защитни стени, поради което притежават по-високо бързодействие от софтуерните защитни стени, изпълнявани на компютри със стандартни операционни системи. Софтуерни защитни стени са например Windows Firewall, ZoneAlarm (фиг.54) и др. ZoneAlarm разделя трафика на три зони – Интернет зона, доверителна зона и блокирана зона. Интернет зоната прави компютъра анонимен и го защитава срещу хакерски атаки, а също така забранява споделянето с външния свят на ресурси, принадлежащи на компютъра. Защитата във втората зона - доверителната зона, допуска комуникация и споделяне на ресурси единствено с доверени (trusted) компютри, чийто адреси са били въведени предваритерно в списък (чрез панела Zones на фиг.54). Блокираната зона забранява комуникацията с източници, които са отразени като недоверителни (untrusted) в същия списък. Когато в компютъра е инсталиран ZoneAlarm, Windows Firewall трябва да бъде изключен (фиг.55). Маршрутизаторите и суичовете от трето ниво биха могли да изпълняват ролята на хардуерни защитни стени. За целта те трябва да бъдат конфигурирани със списъци за контрол на достъпа (ACL – Access Conrol Lists), които да забраняват или разрешават на определени машини да извършват комуникация само в една определена посока. Маршрутизаторите, снабдени с ACL списъци, стават „първа линия в отбраната” на мрежите. На втора линия могат да застанат софтуерните защитни стени.

Фиг.55

95 Прокситата, както е известно (т.7.2), изпълняват ролята на посредници между локалните мрежи и външния свят. Тази тяхна позиция им позволява да изпълняват ролята на защитни стени, ако са снабдени с необходимия софтуер. 10.6. Защита и възстановяване от сривове Както е известно (т.10), нарушителите на мрежовата сигурност не са единствената заплаха за мрежите. Възможни са и случайни сривове, предизвикани от хардуерни повреди, природни бедствия или технически грешки в експлоатацията. Всички те водят до загуба на файлове, съдържащи ценна информация. Затова мерките за защита и възстановяване от сривове са важна част на всяка мрежа. Защитата от тях включва следните мерки:  аварийно захранване;  архивиране на данните;  отказоустойчивост на дисковете;  отказаустойчивост на ниво сървъри. Аварийно захранване Внезапното прекъсване на електрическото захранване на компютрите (поради повреди в електрическата мрежа) може да доведе до загуба на ценни данни. Възможни са също и колебания в подаваното по мрежата електрическо напрежение, които да доведат до същите резултати. За предпазване от пренапрежения се използват предпазители от пренапрежение, които представляват евтини защитни устройства. Те обаче не предпазват от понижаване или изключване на напрежението. Най-добрият начин срещу отпадане и колебания в напрежението е да се използват специални нескъпи устройства, осигуряващи непрекъсваемо постоянно електрозахранване. Това са така неречените UPS (Uninterrupted Power Suplay). Те представляват батерии, които след отпадане на електрическото захранване, са в състояние да осигурят еквивалентно захранване за определено ограничено време (от 5 до 20 минути). Целта на UPS е не да осигури захранване за продължаване на работата с компютрите, а да даде възможност на персонала да затвори отворените файлове и програми и да изключи компютрите по нормален начин. UPS стоят включени постоянно в мрежата, а компютрите са включени в UPS. Захранват се от UPS. В един UPS могат да бъдат включвани повече компютри. В нормален режим батерията се зарежда непрекъснато от мрежата. Когато отпадне електрическото захранване, UPS продължава да захранва, като същевременно уведомява за това потребителите, найчесто чрез звуков сигнал. В това положение може да бъде използван софтуер, който да изпрати съобщение до административните акаунти в мрежата и да стартира автоматично изключване на свързания към UPS компютър , когато UPS премине в режим на батерия. Следваща стъпка в защитата от отпадане на захранването е използването на генератори на напрежение. Те позволяват нормална работа с компютрите през цялото време на липса на електрическо захранване от електрическата мрежа. Това са устройства, които генерират напрежение с помощта на двигател, захранван с някакъв вид гориво. Генераторите са скъпо струващи устройства, поради което те биват използвани само в системи, които изпълняват животоспасяващи функции (болнично оборудване в операционните зали) или такива, които не допускат отпадане, например военни инсталации. Архивиране на данните При отказ на твърд диск, пожар, наводнение или щети, нанесени от вирус(и), данните могат да бъдат безвъзвратно загубени или да станат нечетими. Ако данните са били архивирани преди това, те лесно могат да бъдат възстановени. Архивирането се извършва по специален план, изготвен след като се отговори на следните въпроси:  Какво да архивираме?  Кога да се извършва архивирането им?

96 

Как да бъде извършвано архивирането?

Изясняването на първия въпрос е важно, защото това определя по-нататъшните ни действия. Идеалният случай е да архивираме всичко, но това никой не прави, тъй като е свързано със загуба на време и изисква значителен капацитет на архивния носител. Например операционната система и файловете на приложенията винаги могат да бъдат повторно инсталирани от дистрибутивните дискове, поради което тяхното архивиране е излишно. На архивиране подлежат важни документи и данни, чието пресъздаване не би било възможно при една евентуална загуба. Към тях могат да бъдат отнесени документите, които създаваме творчески с помощта на различните приложения, като например: графика, литературни творби, финансова информация и т.н. Желателно е информацията, която ще подлежи на архивиране, да не е разпръсната по твърдите дискове, а да е групирана на едно или две места, за да може бързо да бъде локализирвана. Друг важен въпрос е колко често да архивираме. Отговорът зависи от това колко данни може да си позволим да загубим – данните, натрупани за един работен ден или например за една седмица. Отговорът на този въпрос определя графика на архивиране. Съществуват три вида архивиране:  Пълно архивиране. Данните, които следва да бъдат архивирани, биват винаги цялостно архивирани, независимо от това кога последно са били архивирани и дали от тогава те са били променяни. Пълното архивиране се извършва най просто, но отнема време и отнема повече пространство върху архивния носител.  Диференциално архивиране. Архивират се само онези файлове, които са били променяни след пълното им архивиране. В сравнение с пълното архивиране се пести време. Прави се комбинирано с пълното архивиране, например всеки работен ден се извършва диференциално архивиране и един път седмично или месечно пълно такова.  Инкрементално архивиране. Архивират се всички файлове, които са били промененни след последното им архивиране, независимо дали то е било пълно или диференцирано. Това е най-бързото архивиране, което обаче изисква повече време при възстановяване на данните. За да бъдат възстановени данните след проведено диференциално архивиране, необходими са два паса – първо да се възстановят данните от последното пълно архивиране и след това промените в тях на базата на последното диференциално архивиране. Диференциалното архивиране се предпочита тогава, когато данните, подлежащи на архивиране, имат голям обем и биха отнемали много време всеки път при тяхното пълно архивиране. За да бъдат възстановени данните след проведено инкрементално архивиране, необходимо е отначало да бъдат възстановени данните след последното пълно архивиране и след това промените в тях, настъпвали последователно след всяко тяхно инкрементално архивиране. В този случай архивните копия са повече на брой, например по едно копие за всеки работен ден. Повечето операционни системи включват помощна програма за архивиране. Например Windows включва програмата Windows Backup, NetWare програмата Sbackup, а UNIX вградената програма tar. Съществуват и множество архивиращи програми, предлагани като независими приложения, отделни от операционните системи. По време на архивирането те извършват компресия на данните, което пести място върху носителите на архивни копия. По време на дезархивирането те извършват декомпресия на архивираните данни. В компресиран вид изпълнимите програми са защитени от вируси, тъй като последните обикновено атакуват некомпресирани програми. От това обаче не следва, че една архивирана програма не съдържа вируси. Ако програмата е била заразена преди компресирането й, вирусът ще остане скрит в нейното архивно копие и при разархивирането й ще стане отново активен. Архивиращите програми по принцип не могат да дезинфектират заразени програми. Затова програмите, които подлежат на архивиране, трябва да бъдат винаги чисти от вируси.

97 Компресирането на информация съществува като научно направление от 1952 г. То е възникнало и се е развило във връзка с дистанционното предаване на данни по телефонни и други вид канали за комуникация. По-късно научните резултати от тази област намират приложение в компютърната техника, спътниковите системи и др. Днес се предлагат различни конкуриращи се методи за компресия на информацията, което обяснява голямото разнообразие от архивиращи програми, като например: ARJ, ARC, ZIP, RAR, PKLITE, CAB, LHA, LHZ, TAR, ACE,UUE, BZ2, ISO, GZ и др. Онези от тях, които са предназначени да работят под Windows носят представката Win, като например: WinZIP, WinRAR и др., а Windows XP се съдържа в себе си вградена програма за компресия. По-долу са разгледани програмите WinZIP и WinRAR. Много често в практиката биват използвани така наречените саморазархивиращи се архиви. Те биват отбелязвани със съкращението SFX (SelF eXtracing). SFX-архивите съдържат в себе си изпълним програмен модул, който извършва разархивирането. Това не пречи SFX-архивите да бъдат разархивирани по класическия начин чрез съответна архивираща програма като например WinZIP, WinRAR или др. Отказоустойчивост на дисковете Един от начините за защита на данните от повреда на твърдите дискове е да се осигури възможност за тяхното самовъзстановяване. Способността на системите да се самовъзстановяват е прието да се нарича отказоустойчивост. При твърдите дискове отказоустойчивостта се осъществява посредством използване на пакет от взаимно подсигуряващи се дискове. С помощта на относително нескъпи дискове се изгражда структура, известна като RAID (Redundant Array of Independent Disks). Най-често използвани варианти на изграждане на RAID са следните:  RAID level 1. Дублиране на диск или създаване на копие на диск. Ако едининят от дисковете се повреди, другият поема функциите. Това може да става автоматично или като се укаже на операционната система къде се намира втория диск.  RAID level 1. Дуплескиране на диск. Различава се от дублирането само по това, че всеки един от дисковете се управлява от отделен контролер. Повредата на един от дисковете и/или на контролера му не нарушава функциите на системата.  RAID level 3. Лентов запис (страйпинг) с дисково устройство за четност. Изисква минимум три физически устройства – два еднакви диска, на които данните се записват на еднакви ленти и един диск, в който се записва информация за контрол по четност. Ако се повреди даден диск, данните биват регенерирани с помощта на информацията по четност.  RAID level 5. Лентов запис (страйпинг) с лента за четност. Както при RAID level 3, използват се три диска. Разликата се състои в това, че информацията за контрол по четност се разполага по друг начин. Съществуват и структури RAID level 2 и RAID level 4, но те са по-малко използвани. RAID може да бъде реализиран хардуерно или софтуерно. Хардуерният вариант е побързодействащ и по-надежден, но и по-скъп. Някои сървърни операционни системи като например Windows NT, Windows 2000 и по-високи версии подържат софтуерен RAID. В основата на отказоустойчивостта стои излишъкът (редундантността). Използването на UPS, архивирането на данните, използването на множество от допълнителни дискове представлява създаване на излишък с цел осигуряване на отказоустойчивост. Друг метод, използващ редунтдантност, е клъстирането. При него се извършва групиране на сървъри в клъстери. Ако един от сървърите излезе от строя, работата се поема от друг сървър, участващ в клъстъра (фиг.56). Клъстирането се подържа от такива операционни системи като Windows 2000 Advanced Server и нейните следващи по-високи версии. Microsoft предлага софтуер за клъстиране на сървъри, работещи с различни операционни системи. Накрая следва да се отбележи, че освен отказоустойчивост клъстирането осигурява и балансирано натоварване на сървърите.

98 Споделен RAID дисков масив

Сървър 2

Сървър 1

Работна станция

Работна станция

Работна станция

Работна станция

Фиг.56

11. Мрежово администриране В т.2.2 бе разгледана класификацията на мрежите според метода на тяхното администриране. Бе посочено, че една мрежа може да бъде организирана по два начина:  като равноправна (peer-to-peer) работна група, в която всеки компютър може да изпълнява ролята на клиент или на сървър, при което всеки един от потребителите самостоятелно администрира ресурсите на своя компютър;  като сървърно-базирана мрежа, администрирането на която е съсредоточено в един централен компютър, наричан сървър. Равноправните мрежи са подходящи за малки мрежи, включващи не повече от 10 компютъра. Всички компютри в една такава мрежа образуват една обща работна група (workgroup). Това изисква всеки един от компютрите да бъде конфигуриран за работа в работна група. В Windows това се извършва чрез съответна настройка на компютъра, като името на работната група трябва да бъде едно и също за всеки един от компютрите. За конфигуриране на равноправна мрежа в NetWare се използва програмният продукт NetWare Lite, а в Apple Macintosh има вградена поддръжка за равноправна мрежа. UNIX, респективно Linux, са мрежови операционни системи, които са ориентирани предимно към сървърнобазирани мрежи, но независимо от това, те позволяват лесно конфигуриране и за равноправни мрежи. Администрирането в равноправните мрежи е децентрализирано. Всеки потребител отговаря за администрирането на своя компютър. Той създава потребителски акаунт за всеки един от потребителите, участващи в мрежата, които ще ползват негови ресурси, като в акаунта указва кои от ресурсите (файлове и/или папки) могат да бъдат споделяни. В Windows XP за целта се използва помощната програма Network Setup Wizard, повиквана посредством командата Start/Settings/Control Panel/Network Setup Wizard. Равноправната мрежа няма централна база данни, в която да се съхраняват всички използвани в мрежата потребителски акаунти и пароли. Последните се създават и съхраняват на всяка отделна машина, което е неудобно (трябва да се помнят много пароли) и понижава сигурността в мрежата. Друг недостатък на равноправната мрежа е, че всеки един от потребителите трябва да бъде обучен да администрира самостоятелно ресурсите на своя компютър. Недостатъците на равноправните мрежи се избягват в сървърно-базираните мрежи.

99 В сървърно-базираните мрежи, наричани още клиент/сървър мрежи, администрирането на мрежата е централизирано, като същото е съсредоточено в сървъра. Потребителските акаунти се създават и съхраняват в сървъра. За да влезе в мрежата, всеки потребител трябва да притежава валиден потребителски акаунт, създаден на сървъра. Отпада необходимостта от създаване на множество акаунти на различни машини и нуждата от запомняне на много пароли. Цялото администриране на мрежата се съсредоточава в едно лице, наричано мрежов администратор. Упражняването на контрол върху цялата мрежа от едно обучено лице, вместо всеки един от крайните потребители да администрира собствения си компютър, повишава значително сигурността в мрежата и улеснява потребителите. Освен това сървърът предоставя ресурси (данни, приложения и свързаните към него периферни устройства като принтер, скенер и др.) за ползване от останалите компютри (клиентите), което като цяло улеснява споделянето на ресурси в мрежата. В сървърно-базираните мрежи достъпът до ресурсите бива контролиран посредством автентикация (authentication) и разрешения (permissions). За всеки споделян ресурс мрежовият администратор задава разрешения (права на достъп) на всеки отделен потребител или на цяла работна група. Чрез разрешенията се указват и нивата на достъп до ресурсите, например дали даден файл може да бъде само прочитан или в него могат да бъдат извършвани и промени (редакция или изтриване). 11.1. Споделяне на мрежови ресурси В Windows по подразбиране не се споделят абсолютно никакви ресурси. За да се придобие достъп до даден ресурс, необходимо е това да бъде предварително указано. Процесът се нарича създаване на споделен ресурс (creating a share). В други операционни системи, каквато е например NetWare, е обратното - всички ресурси са споделени по подразбиране. В този случай е необходимо да се забрани достъпа до ресурсите, които не трябва да бъдат споделяни.

Фиг.57

100 За да може един Windows компютър да споделя своите ресурси, услугата Server трябва да е стартирана. Обикновено това става автоматично по време на зареждането на Windows. Състоянието на услугата Server може да се провери като се подаде командата Start/Settings/Control Panel/Administrative Tools и в прозореца “Administrative Tools” се щракне двукратно елемента Services. В резултат се отваря прозорец, съдържащ списък с всички инсталирани в Windows услуги и информация дали те са стартирани. В този прозорец се намира интересуващото ни име Server, придружено обикновено от указанието, че услугата е била стартирана автоматично. Двукратното щракване на името извежда прозореца от фиг.57. Всяка мрежова операционна система осигурява средства за контролиране на достъпа до файлове, папки, устройства, принтери и други ресурси. Съществуват два начина за указване на достъпа до споделяните ресурси, наричани сигурност на ниво ресурс и сигурност на ниво потребител. Сигурността на ниво ресурс (share-level security) се използва като правило в равноправните (peer-to-peer) мрежи. В Windows съществуват два варианта на този вид сигурност (фиг.58) – локално споделяне и сигурност и мрежова сигурност и споделяне. При локалното споделяне на ресурси се касае за потребители, използващи един и същ компютър, независимо от това дали той е включен или не в мрежа. В този случай всеки един от потребителите притежава собствен потребителски акаунт, с помощта на който се логва (влиза) в компютъра. Неговите ресурси, например папка с документи, са по подразбиране недостъпни за останалите потребители. За да могат останалите потребители да получат достъп до даден негов ресурс, необходимо е в Windows Explorer чрез влачене ресурсът да бъде включен в папката с име Shared Documents (виж горния кадър в прозореца на фиг.58).

Фиг.58 Сигурността на ниво споделен ресурс, когато ресурсите се споделят по мрежа, изисква всеки споделян ресурс да притежава своя уникална парола, която да бъде съобщена на

101 всички авторизирани потребители, които ще ползват ресурса. За указване на ресурсите, които могат да бъдат споделяни по мрежата, в Windows се използва помощната програма Network Setup Wizard, повиквана посредством командата Start/Settings/Control Panel/Network Setup Wizard (виж долния кадър на прозореца от фиг.58). При сигурността на ниво споделен ресурс, когато в мрежата има включени много потребители, които взаимно споделят голям брой ресурси, броят на паролите, които всеки потребител трябва да помни, нараства значително (фиг.59). Потребители Иван Таня

Споделяна папка

Парола

Потребителят трябва да помни

aaa

Иван

Папка 1: aaa Папка 3: ccc Папка 4: ddd

bbb

Таня

Папка 1: aaa Папка 2: bbb Папка 3: ccc

ccc

Георги

Папка 2: bbb Папка 3: ccc Папка 4: ddd

ddd

Петя

Папка 2: bbb Папка 4: ddd

Папка 1

Таня Георги Петя

Папка 2

Иван Таня Георги

Папка 3

Иван Георги Петя

Папка 4 Фиг.59

Потребители Иван Таня Таня Георги Петя Иван Таня Георги Иван Георги Петя

Споделяна папка

Потребителят трябва да помни Иван

username password

Таня

username password

Георги

username password

Петя

username password

Папка 1

Папка 2

Папка 3

Папка 4 Фиг.60

102 Сигурността на ниво потребител (user-level security) премахва този недостатък. Тук всеки потребител притежава потребителски акаунт (user account), защитен с парола. Всеки потребител, за да може да осъществява достъп до множество от различни споделяни ресурси в мрежата, трябва да помни една единствена парола (фиг.60) – тази на акаунта му. Потребителят се логва в компютъра с този акаунт. Всеки споделен ресурс е конфигуриран така, че достъпът до него да е разрешен само за авторизирани потребители. За целта към всеки споделян ресурс е асоцииран списък за контрол на достъпа (access control list). Последният съдържа авторизираните акаунти, които имат право на достъп до ресурса. Когато се извършва достъп до даден споделян ресурс, проверява се неговия списък. Ако акаунтът, с който потребителят е влязъл, се съдържа в списъка, достъпът до ресурса се разрешава. В Windows сигурността на ниво потребител може да се осъществява на локално ниво (local level) и на ниво мрежа (network-level security), при което сигурността на ниво мрежа бива наричана сигурност на ниво домейн (domain-level security). Домейнът представлява група компютри, които образуват мрежа или са част от мрежа и използват обща директорийна база данни (т.2.3). Домейнът бива администриран като едно общо цяло, подчиняващо се на общи правила и процедури. Всеки домейн притежава свое собствено уникално име. Когато компютърът не е включен в домейн, нивото е локално и споделяните ресурси се указват с помощта на помощната програма Network Setup Wizard. Сигурността на ниво потребител дава по-голяма сигурност, отколкото сигурността на ниво споделен ресурс. При сигурността на ниво споделен ресурс всеки, който знае паролата за даден ресурс, е в състояние да осъществи достъп до ресурса. При сигурността на ниво потребител е нужно логване с авторизиран акаунт, което е по-сигурно. Освен това е възможно да се осъществява проследяване кой осъществява достъп до мрежовите ресурси. 11.2. Управление на мрежовите акаунти Както споменахме, сигурността на ниво потребител изисква създаване на потребителски акаунти. Съществуват три вида акаунти – потребителски, групови и компютърни. Потребителски акаунти Един потребителски акаунт включва следната информация:  потребителско име (username);  парола (password), която в някои случаи може да е празна;  условия и ограничения (указване на компютрите, към които потребителят има право да се логва; оганичения за дата/час; позволения за отдалечено логване и т.н.);  информация относно сигурността на потребителя (групи, към които той принадлежи и потребителски права);  незадължителна информация (пълното име на потребителя, звание, длъжност и справочна информация, като: телефонни номера, е-mail адрес и др.). Начинът на създаване на потребителски акаунти варира в зависимост от използваната мрежова операционна система (МОС), но като правило всички МОС притежават средства за създаване на потребителски акаунти и за добавяне на същите в специална база данни, наричана security accounts database (база данни с акаунти за сигурност). В нея акаунтите (потребителски и групови) се придружават и от информация за позволеното ниво на достъп. По време на инсталирането на МОС отначало се създава специален акаунт, наричан administrator. Чрез използване на същия мрежовият администратор създава мрежови акаунти за потребителите, които ще използват мрежови ресурси. Те биват регистрирани в посочената по-горе специална база данни. Последната е разположена на сървър за автентикация при логване (logon authentication server), който в Windows-мрежите се нарича домейн контролер (domain controller). Когато потребителят се логва в мрежата, той въвежда потребителското си име (username) и парола (password). Те се проверяват в базата данни с акаунтите. Ако акредитивите на потребителя се окажат валидни, на потребителя се издава маркер за достъп (access token),

103 идентифициращ потребителя и евентуално групите, към които той принадлежи. Когато потребителят се обърне към мрежов ресурс, маркерът се сравнява със съдържанието на списъка, асоцииран с ресурса. Ако се окаже, че акаунта (потребителски или групов) се съдържа в списъка, достъпът до ресурса се разрешава. В противен случай той се отказва. Изискванията към потребителски имена са следните:  Трябва да са уникални.  За съставянето им могат да бъдат използвани главни и малки букви, а също и цифри.  Желателно е да се избягват символите: “ \ / : = , + * ? < >, както и интервалите. Някои операционни системи ограничават дължината на потребителските имена. Групови акаунти За да бъде опростено управлението на акаунтите, в МОС биват използвани групови акаунти. Те са особено ефективни в големите мрежи, включващи стотици и хиляди потребители, каквито са например корпоративните мрежи. Така например, ако 300 потребителя споделят 10 папки, мрежовият администратор би трябвало да състави 300 потребителски акаунта и след това в списъка с акаунтите на всяка една от папките да въведе 300-та потребителски акаунта. Очевидно всичко това изисква часове работа. А сега си представете, че към 10-те папки той трябва да добави още една споделяна папка. Това означава, че за нея администраторът трябва да създаде нов списък, съдържащ 300 потребителски акаунта. Груповите акаунти облекчават значително този процес. Ако предварително поставим 300та потребителски акаунта в група с име CommonFolders, бихме могли след това да зададем право на достъп до всяка една от споделяните папки, като в списъка с акаунти на всяка една от тях въведем само един акаунт – груповия акаунт, вместо за целта да използваме 300 потребителски акаунта. Групите, на които се задават позволения за достъп, биват наричани групи за сигурност (security groups). Мрежите на базата на Windows 2000 разделят групите на категории, като например локални (за локален компютър), глобални (за домейн), в зависимост от това дали са приложими за индивидуален потребител или за цял домейн. Windows включва и трета категория - universal, която може да обхваща всички домейни от една обща домейнова структура, била тя дърво или гора (т.2.3.). NetWare и UNIX не правят разлика между локални и глобални групи. По време на инсталирането на МОС повечето от тях създават една или повече подразбиращи се групи. Като правило една от тях има глобален характер. В нея се поставят всички потребителски акаунти. В Windows и NetWare 3x тя се нарича Everyone. В UNIX тя се нарича World. Други такива подразбиращи се групи са: Users, Administrators, Backup Operators и т.н. Повечето МОС позволяват на потребителите да принадлежат едновременно на повече групи. Това понякога води до конфликти в правата на достъп. Доброто познаване на МОС и по-конкретно на начините за разрешаване на подобен род конфликти, е важна част от обучението за работа с МОС. Компютърни акаунти Някои МОС изискват всеки компютър, който се логва в мрежата, да има компютърен акаунт, наричан още машинен акаунт. Това осигурява допълнително ниво на защита и подобрява сигурността на мрежата. МОС използва компютърния акаунт, за да валидира идентичността на компютъра и да може да извършва одит на действията, извършвани посредством този акаунт. В Windows мрежовият администратор създава домейн, в който включва всички компютърни акаунти.

104 11.3. Управление на споделените ресурси Споделените ресурси могат да бъдат: файлове, папки, скъпи периферни устройства, приложения и връзки. Споделяне на файлове и папки Когато дадени документи биват използвани (разглеждани или редактирани) от множество потребители, необходимо е те да бъдат конфигурирани като споделени ресурси, вместо всеки един от потребителите да съхранява собствени копия на документите. Иначе е възможно да възникне объркване във версиите на документа. Най-добрият начин е споделяните документи да се намират на едно общо централизирано място, например на файлов сървър. Една споделена папка може да бъде мапната в Windows Explorer като буква на устройство, което ще улеснява достъпа до нея. Например, ако потребителят се нуждае от достъп до файловете в папка Sales, той може да мапне папката под формата на устройство L:. Когато в Windows Explorer се щракне двукратно L:, в прозореца се изобразява съдържанието на папката и потребителят може да се обръща към файловете на папката така, като че ли те са разположени на локалния компютър. Споделяне на периферни устройства Най-често това са скъпо струващи принтери, скенери и т.п. Споделянето дава възможност периферното устройство да се ползва от всеки компютър в мрежата. В зависимост от МОС съществуват различни начини за свързване със споделени периферни устройства. В Windows това става с помощта на командата Start/Settings/Control Panel/Printers and Faxes. Споделяне на приложения Споделяните приложения биват инсталирани върху приложни сървъри (application servers). Изпълнението на приложенията върху сървъра, вместо върху локалния компютър, снижава донякъде производителността, но пък дава други предимства. Към тях могат да бъдат отнесени:  Приложенията се намират върху сървъра, което пести дисково пространство в локалните компютри.  Мрежовите администратори могат да контролират конфигурирането на приложенията.  Всички потребители в мрежата използват една и съща версия на приложението.  При ъпгрейдване на приложенията, това става само веднъж, на сървъра, вместо във всеки локален компютър. Споделянето на приложения може да става и чрез използване на терминални услуги (terminal services), разгледани в т.9. Споделяне на връзки Споделяне на връзка се прави най-често при свързване на всички компютри от една мрежа с Интернет. Вместо всеки един от компютрите да се свързва по отделно към Интернет, използва се една обща Интернет-линия и един акаунт. Споделяната Интернет връзка може да се реализира по следните няколко начина:  Чрез използване на маршрутизатор, като всеки компютър е свързан към маршрутизатора и притежава свой собствен публичен IP-адрес.  Чрез NAT-хост, използващ само един единствен публичен IP-адрес, който както е известно извършва транслиране на мрежовите адреси (т.7).  Чрез използване на прокси-сървър.

105 ЛИТЕРАТУРА: Основна: 1. Шиндър, Дебора Литълджон. Компютърни мрежи. СофтПрес, 2008 2. Нортън, П. Пълно ръководство за работа с мрежи. Инфодар, 2000 3. Компютърни мрежи в лесни стъпки (колектив). СофтПрес, 2005 4. Бакърджиева, Т. Електронен бизнес-технологии и мрежи. ВСУ „Черноризец Храбър”, 2006 Допълнителна: 1. Каео, Мерике. Проектиране на мрежова сигурност. СофтПрес, 2006 2. http://www.zapiski.info/view.php?id=153

(презентация)

3. http://dhstudio.eu/articles/wireless_bluetooth/wireless_bluetooth.doc 4

http://www.webopedia.com/

5. http://www.tuj.asenevtsi.com/CN/indexN.htm 6. http://www.phis.uni-sofia.bg/~burova