TOPOLOGIE, MODEL OSI, ADRESY IP, SERWERY, MEDIA


Sieci LAN

 Serwery, stacje robocze, karty sieciowe i kable to sprzętowy szkielet sieci, który wraz z oprogramowaniem sieciowym i użytkowym tworzy pełny zestaw.

W sieciach lokalnych komputery mogą pełnić rolę serwerów lub stacji klienckich. Serwery udostępniają swoje zasoby, którymi są napędy dysków, drukarki, modemy, łącza komunikacyjne (dostęp do Internetu, możliwości nadawania i odbioru faksów), stacjom klienckim.

Oprogramowanie działające na stacjach klienckich umożliwia użytkownikom sieci korzystanie z danych i urządzeń dostępnych na przynajmniej jednym serwerze. Typ oprogramowania sieciowego działającego na serwerze decyduje, czy jest on dedykowany do pełnienia roli serwera, czy też możliwe jest uruchamianie na nim lokalnego oprogramowania. W zasadzie w sieci typu równy-z-równym (peer-to-peer) komputer może być jednocześnie serwerem dla innych klientów i klientem dla innych serwerów.

 Jeśli podstawowym czynnikiem jest niezawodność sieci, zapewne warto będzie wydać więcej pieniędzy na macierz dysków RAID. Skrót ten pochodzi od nazwy Redundant Array of Inexpensive Disks (Nadmiarowa macierz tanich dysków). Idea tego urządzenia opiera się na połączeniu maksymalnie pięciu dysków w jeden system, w którym dane zapisywane są na wszystkich dyskach. 

 Przeplatanie (striping) danych na różnych dyskach jest korzystne pod względem wydajności i niezawodności. Ponieważ głowice poszczególnych napędów nie muszą poruszać się tak szybko operacjie zapisu i odczytu, są realizowane szybciej niż w pojedynczym napędzie. W macierzach klasy RAID 5 wykorzystuje się funkcję nazywaną kontrolą parzystości. Podczas awarii pojedynczego dysku w takiej macierzy, kontroler - na podstawie informacji o parzystości i zawartości pozostałych dysków, jest w stanie odtworzyć zawartość uszkodzonego dysku. Macierze RAID 5 są jednym z głównych elementów tak zwanych serwerów o wysokiej dostępności.

Karty sieciowe

Najczęstszą inwestycją w sprzęt dla sieci LAN jest zakup kart sieciowych (zwanych ogólnie kartami interfejsu sieciowego lub adapterami sieciowymi)

Każdy komputer w sieci musi być wyposażony w kartę sieciową, która przekształci sygnały szeregowe z kabla sieciowego w strumień danych równoległych wewnątrz komputera. Proces ten ilustruje rysunek

0x01 graphic

Karty te również wzmacniają sygnały, tak aby mogły one przebyć żądany dystans. W niektórych przypadkach w serwerze można zainstalować dwie i więcej kart sieciowych, aby podzielić obciążenie na odrębne kable sieciowe i zmniejszyć ryzyko przeciążenia sieci. Ważnym zadaniem adapterów sieciowych jest również sterowanie dostępem do nośnika. Funkcje sterowania dostępem do nośnika (Media Access Control - MAC) realizowane są na jeden z trzech sposobów: nasłuch przed transmisją, numer kolejny stacji i przekazywanie żetonu.

 Najpoważniejszą kwestią związaną z wyborem karty sieciowej jest rodzaj kabli, czyli przewodów elektrycznych, jaki ma być używany w sieci Wybór kart sieciowych jest zatem określony przez rodzaj okablowania, jaki ma być wykorzystany do połączenia serwerów i stacji klienckich. Do wyboru jest kabel koncentryczny, kabel światłowodowy, skrętka nieekranowana i ekranowana.

 

Typy okablowania sieciowego (kabel koncentryczny BNC, kabel światłowodowy, ekranowana skrętka ze złączem IBM Token-Ring, nieekranowana skrętka z wtykiem)

0x01 graphic

 

Prawidłowe działanie sieci jest zagrożone przez takie zjawiska elektryczne jak przesłuchy i zewnętrzne zakłócenia elektryczne. Przesłuchy pojawiają się wówczas, gdy pole elektryczne wokół jednego przewodu powoduje generowanie fałszywych sygnałów elektrycznych w sąsiednim przewodzie. Z kolei źródłem zewnętrznych zakłóceń elektrycznych mogą być źródła światła, silniki elektryczne, urządzenia radiowe i wiele innych urządzeń. Niekorzystny wpływ przesłuchów i zakłóceń rośnie wraz ze wzrostem prędkości transmisji sygnałów w sieci. Dlatego nadrzędnym celem każdego systemu okablowania jest utrzymanie minimalnego poziomu przesłuchów i zakłóceń zewnętrznych.

Kabel koncentryczny

Kabel koncentryczny stanowi dobre zabezpieczenie przed przesłuchami i zakłóceniami zewnętrznymi. Utkany z metalu lub folii aluminiowej oplot otacza z zewnątrz pojedynczy przewód miedziany, stanowiąc poważną barierę dla zakłóceń elektrycznych. Pierwotnie w instalacjach sieci Ethernet i ARCnet używany był niemal wyłącznie kabel koncentryczny .Ponieważ kabel koncentryczny jest droższy i zajmuje więcej miejsca w kanałach kablowych, został on wyparty przez nieekranowaną skrętkę dla połączeń wewnątrz budynków i kable światłowodowe w połączeniach o większym zasięgu.

Kable światłowodowe pozwalają łączyć ze sobą stacje pozostające w większej odległości; łącze tego rodzaju może mieć zasięg kilku kilometrów i nie wymaga instalowania wtórników (repeater), które regenerowałyby sygnały.

Ponadto światłowód jest zupełnie odporny na zakłócenia elektryczne.

Nadajniki radiowe, spawarki elektryczne, świetlówki i inne źródła zakłóceń elektrycznych nie mają żadnego wpływu na impulsy świetlne przesyłane wewnątrz kabla tego rodzaju. Wielu dostawców oferuje wersje kart sieciowych dostosowane do transmisji światłowodowej.

Skrętka nieekranowana (Unshielded Twisted Pair - UTP) może spełnić wszelkie wymagania w zakresie okablowania sieciowego. Szereg organizacji - w tym Electronic Industry Association, Telecommunications Industry Association (EIA/TIA) i Underwriter's Loboratories (UL) - opracowało standardy okablowania za pomocą kabla UTP.

Standardy EIA/TIA 586 opisują schematy okablowania strukturalnego z użyciem UTP, które są w stanie obsłużyć najszybsze dostępne połączenia sieciowe pomiędzy stacjami roboczymi. Niektóre połączenia z serwerem mogą wykorzystywać nowszą technologię, nazywaną Gigabit Ethernet, która wymaga okablowania światłowodowego. Jednak głównym jej zastosowaniem są szkieletowe sieci kampusowe.

Skrętka ekranowana (Shielded Twisted Pair - STP) pomimo nazwy podobnej do skrętki nieekranowanej, budowę ma odmienną. Wiązka skręconych ze sobą parami przewodów jest tutaj otoczona zewnętrznym ekranem z folii aluminiowej lub oplotu miedzianego, którego zadaniem jest redukcja wpływu zewnętrznych zakłóceń elektrycznych. Różne firmy wykorzystują własne specyfikacje dla kabli tego rodzaju, chociaż standardy IEEE mają zastosowanie do systemów takich jak Token-Ring firmy IBM.

Topologia. Zarówno w sieciach komputerowych, jak i w języku potocznym termin ten oznacza „kształt rzeczy”.

Topologia fizyczna opisuje przebieg kabli sieciowych łączących poszczególne węzły, topologia logiczna natomiast opisuje przepływ komunikatów pomiędzy stacjami sieciowymi. Układ fizyczny wcale nie musi odpowiadać ścieżkom logicznym.

oprogramowanie umożliwia pracę w sieci z pełną wydajnością. To za sprawą sieciowych systemów operacyjnych można korzystać z odległych zasobów, tak jak z lokalnych. Oprogramowanie sieciowe niweluje różnicę w dostępie do plików na dysku lokalnym i na dysku komputera znajdującego się piętro niżej. Dzięki niemu można drukować na drukarce oddalonej od komputera o kilkaset metrów - a nawet o kilka tysięcy kilometrów - tak, jakby była ona podłączona do portu równoległego naszego komputera. Podobnie można korzystać z sieciowych modemów i innych urządzeń komunikacyjnych, jak gdyby były one podłączone do lokalnego portu szeregowego komputera.

 Architektura sieciowych systemów operacyjnych cechuje się wielozadaniowością i wielodostępnością. System operacyjny komputera biurkowego odbiera po kolei żądania od programów użytkowych i tłumaczy je na czynności, które mają być wykonane przez monitor, napęd dysków i inne urządzenia peryferyjne. Natomiast sieciowe systemy operacyjne odbierają żądania usług od wielu programów użytkowych jednocześnie i realizują je za pomocą zasobów sieciowych, efektywnie świadcząc te same usługi dla różnych użytkowników.

Od strony strukturalnej oprogramowanie sieciowe dzieli się na wiele modułów. Większość z nich znajduje się na maszynie, która działa jako serwer danych, drukarek lub zasobów komunikacyjnych. Jak jednak pokazano na rysunku 4.4, kilka ważnych modułów programowych musi zostać zainstalowanych na każdej stacji roboczej, a czasem na urządzeniach wstawionych pomiędzy stację roboczą a sieć.

Stacja robocza pełni tu rolę wyłącznie klienta, bez żadnych możliwości udostępnienia swoich zasobów innym stacjom sieciowym. Ma ona takie same elementy sprzętowe (napędy dysków, monitor, klawiaturę, i tym podobne), BIOS (Basic Input/Output System - oprogramowanie wiążące sprzęt z systemem operacyjnym) oraz system operacyjny, co wszystkie komputery PC, bez względu na to, czy są podłączone do sieci.

Do działania sieci LAN potrzebnych jest kilka dodatkowych elementów sprzętowych (karty i kable sieciowe) i programowych (readresatory, oprogramowanie warstwy sieci i sterowniki).

Programy użytkowe działające na stacjach roboczych mogą mieć wbudowane pewne atrybuty sieciowe, na przykład automatyczną blokadę rekordów lub plików. Jednak te funkcje oprogramowania nie są konieczne, ponieważ nawet te aplikacje, które nie były projektowane do pracy w sieci, mogą być w sieci używane.

Moduł readresatora (redirector) pełni rolę pośrednika pomiędzy programami użytkowymi i systemem operacyjnym stacji roboczej, takim jak DOS, Windows lub UNIX. Jego zadaniem jest przechwytywanie wysyłanych przez oprogramowanie pewnych poleceń dla systemu operacyjnego, na przykład - dostępu do plików. Każdy readresator dla komputera PC jest zaprogramowany tak, aby kierować wywołaniem niektórych zadań poprzez sieć (na przykład żądaniem danych, które znajdują się na dysku niepodłączonym do lokalnego komputera).

Dzięki readresatorowi aplikacje PC mogą łatwo skorzystać z zasobów sieciowych, adresując odpowiedni napęd dysków.

Inny moduł oprogramowania - sterownik karty sieciowej - przesyła dane pomiędzy readresatorem a kartą sieciową klienta PC. Sterownik ten jest napisany specjalnie do obsługi karty sieciowej danego typu. Wielu producentów poprzez współpracę z Microsoftem zapewniło sobie, że sterowniki do ich kart sieciowych są dostępne w systemie operacyjnym Windows. Inni natomiast dołączają do karty sieciowej dyskietkę lub dysk CD ze sterownikami. Najnowsze wersje sterowników można z reguły znaleźć na stronach WWW producentów.

Karta sieciowa jest umieszczana w gnieździe rozszerzeń stacji roboczej. We współczesnych sieciach okablowanie i protokół dostępu do nośnika są zwykle niezależne od oprogramowania sieciowego. Karty sieciowe w swoich pamięciach tylko-do-odczytu zawierają programy, które zarządzają tworzeniem i transmisją pakietów danych w sieci.

Na końcu kabla podłączonego do interfejsu stacji roboczej znajduje się serwer z dodatkowym, specjalizowanym oprogramowaniem dla sieci LAN i własną kartą sieciową. Tak jak na każdym innym komputerze na serwerze działa system operacyjny. Czasami jest to Windows 95 lub 98, ale częściej bywa nim bardziej wydajny wielozadaniowy sieciowy system operacyjny w rodzaju Windows NT Server, Windows 2000, niektóre wersje NetWare Novella lub Solaris Suna. W niektórych sieciach możliwe jest uruchamianie programów użytkowych na serwerze i korzystanie z nich w trybie terminala sieciowego. Poza tym na serwerze działają sieciowe programy narzędziowe, umożliwiające buforowanie wydruków, kontrolę i inne funkcje sieci LAN.

Współpracując ze sobą, moduły programowe realizują podstawowe czynności oprogramowania sieciowego. Krotko mówiąc - oprogramowanie sieciowe rozpoznaje użytkowników, wiąże z ich identyfikatorami przydzielone wcześniej uprawnienia i przez odpowiedni serwer kieruje ich żądania do realizacji.

  Pamięć serwera. Pamięć RAM w serwerze wykonuje ważne zadania, takie jak buforowanie danych pomiędzy kartą sieciową a dyskiem oraz wczytywanie bloków danych z dysku do pamięci podręcznej, tak aby były one szybciej dostępne. 128 MB powinno wystarczyć dla typowego serwera, chociaż 256 MB da lepsze osiągi.

      Zarządzanie siecią.

Każda sieć do prawidłowego działania potrzebuje osoby, która będzie oficjalnie działać jako administrator systemu. Trzeba się zastanowić na wyborem programów narzędziowych, które umożliwią administratorowi sporządzanie raportów dotyczących tego, kto korzysta z sieci i monitorowanie jej obciążenia. Narzędzia te są istotne z punktu widzenia poprawy wydajności i kosztów kontroli.

   Narzędzia diagnostyczne. Niektóre sieciowe systemy operacyjne posiadają programy narzędziowe, których można użyć do diagnozowania problemów i konfigurowania optymalnego działania serwera. Programy te udostępniają informacje o błędnych pakietach i błędach w sieci, a także mogą obejmować narzędzia do obsługi współpracy dysku z pamięcią podręczną.

 Bezpieczeństwo. Podstawą systemu zabezpieczeń są zwykle hasła użytkowników. W najlepszych systemach istnieją różne poziomy dostępu i różne uprawnienia użytkowników (w tym do odczytu, zapisu, modyfikacji, tworzenia i zmiany). Inne elementy zabezpieczeń to ochrona hasłem zasobów, na przykład napędów dysków, podkatalogów lub nawet poszczególnych plików, a także możliwość kontroli dostępu na podstawie godziny i dnia tygodnia.

  Poczta elektroniczna. Już tylko dobry system poczty elektronicznej może uzasadnić inwestycje w budowę sieci LAN. Jednak proste do niedawna systemy pocztowe, które koncentrowały się na przechowywaniu i przesyłaniu wiadomości ewoluowały w systemy rozpowszechniania komunikatów. Systemy takie udostępniają architekturę, która umożliwia wielu rodzajom programów użytkowych identyfikować użytkowników w sieci i przesyłać informację pomiędzy programami. Systemy rozpowszechniania komunikatów, zapoczątkowane przez interfejs MAPI (Messaging Application Program Interface) Microsoftu, mogą realizować przydatne zadania, w rodzaju automatycznego zapisywania wiadomości głosowej w pliku dźwiękowym i przesyłania go pocztą elektroniczną.

 Buforowanie drukowania. Kiedy kilka stacji sieciowych korzysta z drukarki podłączonej do centralnego serwera, zadania drukowania są zapisywane w specjalnym pliku zwanym buforem wydruków (spool). Następnie zadania te są ustawiane w kolejkę do drukarki. Każdy użytkownik powinien mieć możliwość sprawdzenia pozycji swojego zadania w kolejce i usunięcia zadań wysłanych omyłkowo. Administrator sieci powinien mieć możliwość zmiany priorytetu zadań w kolejce wydruków i przypisywania priorytetów pewnym użytkownikom.

Model OSI opracowany przez ISO

modelu OSI opracowanego przez ISO. Międzynarodowa Organizacja Normalizacyjna (International Standards Organization - ISO) z siedzibą w Genewie zajmuje się tworzeniem standardów, między innymi na potrzeby międzynarodowej i narodowej transmisji danych. Amerykańskim przedstawicielem ISO jest Instytut ANSI (American National Standards Institute). Na początku lat siedemdziesiątych organizacja ISO opracowała standardowy model systemów komunikacji danych i nazwała go modelem Współdziałania systemów otwartych (Open Systems Interconnection - OSI).

Model OSI składa się z siedmiu warstw, opisujących procesy zachodzące podczas połączenia terminala z komputerem lub komputera z innym komputerem. Model ten został opracowany z myślą o ułatwieniu budowy systemów, w których mogłyby ze sobą współpracować urządzenia pochodzące od różnych producentów.

Inne modele systemów transmisji danych to SNA (Systems Network Architecture) IBM oraz DNA (Digital Network Architecture) firmy Digital Equipment Corporation, które powstały jeszcze przed modelem OSI.

Podstawą wszystkich wyższych warstw jest znajdująca się najniżej warstwa fizyczna, którą tworzą przewody i złącza.

 WARSTWY MODELU OSI

.

0x01 graphic

 A oto warstwy modelu OSI:

7) Warstwa aplikacji. Na tym poziomie oprogramowanie jest zgodne z obowiązującymi standardami stylu obsługi.

6) Warstwa prezentacji. W tej warstwie dane są formatowane do wyświetlania oraz na potrzeby określonego sprzętu.

5) Warstwa sesji. Warstwa ta określa standardowe metody przesyłania danych pomiędzy aplikacjami.

4)  Warstwa transportowa. Oprogramowanie tej warstwy jest szczególnie ważne w sieciach lokalnych. Odpowiada ono za niezawodny transfer pakietów pomiędzy stacjami.

3)  Warstwa sieci. Oprogramowanie działające w tej warstwie udostępnia interfejs pomiędzy warstwą fizyczną i warstwą łącza danych a oprogramowaniem wyższych warstw, które odpowiada za nawiązanie i utrzymanie połączenia.

2)  Warstwa łącza danych. Ta warstwa odpowiada za skuteczny transport informacji w warstwie fizycznej. Jej zadaniem jest synchronizacja bloków danych, rozpoznawanie błędów i sterowanie przepływem danych.

1)  Warstwa fizyczna. Najbardziej podstawowa warstwa zaangażowana w transmisję strumienia danych poprzez fizyczne przewody. Sprzęt i oprogramowanie działające na tym poziomie obsługuje różne typy złączy, sygnalizację i schematy współużytkowania nośnika transmisyjnego.

Warstwa fizyczna zapewnia połączenia elektryczne i sygnalizację. Wyższe warstwy komunikują się poprzez tę warstwę. Skrętka, włókna światłowodowe i kable koncentryczne należą do warstwy fizycznej.

Prawdopodobnie najczęściej używanym standardem warstwy fizycznej jest RS-232, standard instalacji elektrycznej i sygnalizacji, definiujący funkcje poszczególnych styków złącza oraz poziom napięcia w przewodzie, któremu odpowiada 1 lub 0. W Europie używany jest standard o symbolu V.24, który jest bardzo zbliżony do RS-232.

 Warstwa łącza danych

Po zestawieniu połączeń fizycznych i elektrycznych należy się zająć sterowaniem strumieniem danych przepływającym pomiędzy systemami po obu stronach łącza. Warstwa łącza danych modelu OSI pracuje podobnie jak nadzorca węzła kolejowego, który zestawia wagony w pociąg. Na tym poziomie funkcjonalnym znaki są łączone w komunikat i sprawdzane przed wysłaniem w drogę. Tu również odbierane są sygnały - „przesyłka dotarła w całości”, wysyłane przez „nadzorcę” jeśli zdarzy się katastrofa, dokonuje się rekonstrukcji komunikatu. („Kierowanie pociągów” od stacji do stacji to zadanie warstwy sieciowej).

Warstwa łącza danych może używać wielu protokołów, w tym HDLC (High-Level Data Link Control), komunikacji bisynchronicznej i ADCCP (Advanced Data Communications Control Procedures). Nie trzeba znać szczegółów żadnego z tych protokołów; wystarczy sobie wyobrazić, że kierują one „pociągi danych” na właściwe tory i kontrolują, czy bezpiecznie dotarły do celu. W systemach komunikacyjnych opartych na komputerach PC funkcje warstwy łącza danych realizują zwykle specjalne układy scalone na kartach sieciowych (zamiast odrębnego oprogramowania).

Warstwa sieci

W sieciach rozległych jest zwykle wiele różnych dróg, którymi można przesłać łańcuch znaków (utworzony przez warstwę łącza danych) z jednego punktu geograficznego do drugiego. Trzecia warstwa modelu OSI - warstwa sieci - w oparciu o stan sieci, priorytety usług i inne czynniki decyduje, którą fizyczną ścieżkę powinny wybrać dane.

Oprogramowanie warstwy sieci znajduje się zwykle w przełącznikach, gdzieś w sieci. Karta sieciowa w komputerze musi jedynie zestawić blok danych w taki sposób, aby oprogramowanie sieciowe mogło go rozpoznać i odpowiednio skierować.

Warstwa transportowa

Warstwa transportowa to czwarta warstwa modelu OSI, która pełni wiele funkcji zbieżnych do warstwy sieciowej, z tą jednak różnicą, że pełni je lokalnie. Zadania warstwy transportowej realizowane są przez sterowniki oprogramowania sieciowego. Ta warstwa pełni rolę dyspozytora węzła kolejowego, który przejmuje kierowanie, gdy zdarzy się katastrofa. W przypadku awarii sieci oprogramowanie warstwy transportowej wyszukuje alternatywne trasy i ponownie wysyła pakiety danych, aż transmisja się powiedzie lub próbuje osiągnąć predefiniowany limit czasu. Oprogramowanie to obsługuje również kontrolę jakości, sprawdzając, czy odebrane dane są w prawidłowym formacie i w odpowiedniej kolejności.

Te możliwości formatowania i porządkowania stają się ważne, kiedy programy warstwy transportowej implementują połączenia pomiędzy różnymi typami komputerów. Podczas gdy warstwa łącza danych liczy elementy „pociągu danych”, warstwa transportowa otwiera je i sprawdza, czy ich zawartość jest w porządku.

Sieci komputerów różnych typów mogą używać kilku protokołów warstwy transportowej. Najbardziej popularnym z nich jest Transmission Control Protocol (TCP), opracowany przez Departament Obrony (Depertment of Defense - DoD) Stanów Zjednoczonych, a obecnie sprzedawany przez wielu producentów jako część pakietu protokołów TCP/IP. Trzy powszechnie używane protokoły, które realizują funkcje warstwy transportowej w sieciach komputerów PC, to NetBIOS, TCP i Internet Packet Exchange (IPX) firmy Novell. W każdej stacji sieciowej znajduje się przynajmniej jeden moduł programowy warstwy transportowej, który przekazuje do sieci wywołania pomiędzy programami użytkowymi.

Warstwa sesji

Warstwa piąta, czyli warstwa sesji, jest często bardzo istotna w sieciach komputerów PC. Funkcje tej warstwy umożliwiają bowiem dwóm aplikacjom (lub dwóm częściom tej samej aplikacji) porozumiewanie się ze sobą poprzez sieć, w celu realizacji procedur bezpieczeństwa, rozpoznawania nazw, logowania, procedur administracyjnych i innych.

Moduły programowe, takie jak NetBIOS lub nazwane potoki (named pipes), często odchodzą od modelu ISO i realizują jednocześnie funkcje warstwy transportowej i warstwy sesji, stąd trudno wymienić jakikolwiek popularny program, który byłyby charakterystyczny wyłącznie dla tej warstwy.

Warstwa prezentacji

Warstwa prezentacji jest odpowiedzialna za to, co widać na ekranie. Ponadto może ona obsługiwać szyfrowanie i niektóre specjalne formaty plików. Jej zadaniem jest formatowanie ekranów i plików, aby wyglądały tak, jak tego chciał programista.

Warstwa prezentacji to dziedzina kodów sterujących, specjalnych znaków graficznych i zestawów znaków. Doskonałym przykładem protokołu warstwy prezentacji jest protokół HTTP (Hypertext Transfer Protocol), używany do formatowania informacji, które składają się na strony WWW. Oprogramowanie warstwy prezentacji steruje również drukarkami, ploterami i innymi urządzeniami peryferyjnymi. Wiele funkcji warstwy prezentacji realizuje system Microsoft Windows.

Warstwa aplikacji

Leżąca na samym wierzchu warstwa aplikacji obsługuje użytkownika. Znajduje się ona tam, gdzie rezyduje sieciowy system operacyjny i programy użytkowe, a jej zadaniem jest niemal wszystko; współużytkowanie plików, buforowanie zadań wydruków, poczta elektroniczna, zarządzanie bazą danych i wiele innych czynności. Standardy obowiązujące w tej górnej warstwie są nowe, na przykład SAA (Systems Application Architecture) IBM i obsługa komunikatów X.400 dla poczty elektronicznej. W pewien sposób ta warstwa jest najważniejsza, ponieważ jest bezpośrednio kontrolowana przez użytkownika.

Niektóre funkcje, takie jak protokoły transmisji plików, działają z poziomu warstwy aplikacji, ale wykonują zadania właściwe dla niższych warstw. To trochę tak, jak gdyby dyrektor węzła kolejowego zajmował się niekiedy sprzątaniem wagonów.

Protokoły

Kluczowe elementy protokołów to składnia, semantyka i synchronizacja. Składnia określa poziomy używanych sygnałów oraz formaty, w jakich przesyła się dane. Semantyka koncentruje się wokół struktury informacji wymaganej do koordynacji poszczególnych komputerów i do obsługi danych. Synchronizacja obejmuje dopasowanie prędkości oraz buforowanie (dzięki czemu komputer z połączeniem Ethernet 10 Mb/s może wymieniać dane z komputerem w sieci Fast Ethernet 100 Mb/s), a także ustawianie danych we właściwej kolejności (gdyby się pomieszały podczas transmisji).

Wszystkie te funkcje opisują protokoły. Ponieważ są one implementowane w rzeczywistych produktach, często nie są zupełnie zgodne z modelem OSI z powodu pewnych zaszłości historycznych albo dlatego, że twórcy produktu po prostu nie mogli się powstrzymać, aby nie dodać czegoś od siebie.

Standardy IEEE 802.X

Instytut Inżynierów Elektryków i Elektroników (Institute of Electrical and Electronics Engineers - IEEE) opracował zestaw standardów obejmujących okablowanie, topologię fizyczną, topologię elektryczną i schematy dostępu dla produktów sieciowych.

Struktura komisjii IEEE jest numerowana zgodnie z zasadami systemu klasyfikacji Deweya. Komisja ogólna pracująca nad tymi standardami ma numer 802. Różne podkomisje - oznaczane numerami po kropce dziesiętnej - pracują nad różnymi wersjami standardów.

Standardy te opisują protokoły używane w dwóch najniższych warstwach modelu OSI (warstwie fizycznej i warstwie łącza danych). Nie wychodzą one ponad te warstwy, dlatego powołanie się na numer standardu IEEE w odpowiedzi na pytanie „jakiej sieci używasz?”, nie wyczerpuje tematu. Kompletna odpowiedź musi również określać interfejs sieciowy, a w tym protokoły dostępu do nośnika, sam nośnik oraz oprogramowanie sieciowe.

Standard IEEE 802.5 opisuje architekturę Token-Ring. Praca tej komisji jest z uwagą śledzona i wspierana przez IBM. Standard ten opisuje protokół dostępu do nośnika z przekazywaniem żetonu, używany w stacjach sieciowych połączonych w specjalny sposób, łączący elektryczną topologię pierścienia z fizyczną topologią gwiazdy.

System Token-Ring IBM miał duże znaczenie w segmencie korporacyjnych systemów przetwarzania danych z uwagi na obsługę wielu interfejsów pozwalających łączyć sieci Token-Ring z systemem mainframe. W opracowanej przez IBM architekturze SAA (Systems Applications Architecture) komputery typu mainframe - na równi z PC-tami - współużytkują dane w sieci.Chociaż trudno spotkać obecnie - jeśli w ogóle można - nowe instalacje sieci Token-Ring, systemy zgodne ze standardem 802.5 wciąż przesyłają wiele danych w ważnych aplikacjach.Standard IEEE 802.3 natomiast przejął wiele cech z wczesnych rozwiązań sieci Ethernet. Wykorzystuje się w nim sygnalizację wielokrotnego dostępu do nośnika z wykrywaniem nośnej (CSMA) w elektrycznej topologii magistrali. Standard ten umożliwia stosowanie kilku rodzajów okablowania. Jedno z rozszerzeń specyfikacji 802.3 wprowadza sygnalizację z prędkością 100 Mb/s i powszechnie nazywa się standardem Fast Ethernet lub 100Base-T. Częścią tej rodziny jest Gigabit Ethernet, oznaczany również 1000Base-F.

IEEE 802.6

Sieci metropolitalne lub sieci MAN (Metropolitan Area Network) tworzą podkategorię 802.6 zestawu standardów IEEE 802. Sieci metropolitalne mogą przybierać różną formę, ale terminem tym najczęściej określa się sieć szkieletową z kabli światłowodowych, która pokrywa swym zasięgiem obszar kilkuset kilometrów kwadratowych. Lokalni operatorzy (to jest lokalne firmy telekomunikacyjne) oferują szeroką ofertę możliwości podłączenia do sieci MAN, podobnie jak wielu operatorów sieci telewizji kablowych. Wiele organizacji instaluje własne systemy mikrofalowe dla obwodów sieci MAN, jednak większość dzierżawi łącza od lokalnych operatorów. W Stanach Zjednoczonych taryfy usług sieci MAN mogą być regulowane przez specjalnie do tego powołane komisje stanowe.

Operatorzy sieci MAN oferują zwykle usługi o jednostkowym paśmie 1,544 Mb/s (w Europie 2 Mb/s - przyp. tłum.), a świadczone przez nich usługi szkieletowe mogą zaoferować przepustowość rzędu 80 Mb/s. Standard 802.6 odwołuje się do topologii Distributed Queue Dual Bus (podwójna magistrala z rozproszonymi kolejkami). W topologii wykorzystuje się wielowłóknowe kable światłowodowe ze specjalnym wyposażeniem umieszczanym w każdym punkcie dostępowym w celu „wtłoczenia” danych w sieć.

Sieci rozległe (WAN) z reguły łączą miasta. Specjalistyczni operatorzy sieci rozległych dzierżawią łącza organizacjom i firmom telekomunikacyjnym w celu budowy sieci WAN. U operatorów tych można wykupić usługi o dowolnej prędkości, jednak podstawową, powszechnie spotykaną jednostką jest 1,544 Mb/s.

 Łączenie segmentów sieci LAN

Ze względu na straty mocy ograniczona jest odległość, jaką mogą przebyć sygnały. W sieci Ethernet sygnał może zazwyczaj przebyć maksymalnie 300 m; w sieci Token-Ring najwyżej 180 m. Do przekazywania sygnałów na dalsze odległości - na przykład do innych sieci LAN lub do sieci rozległych - oraz do ich regeneracji w sieciach stosuje się wtórniki, mosty, routery i bramy.

Wtórniki (repeaters) funkcjonują adekwatnie do swojej nazwy; powtarzają sygnały pomiędzy sekcjami kabla sieciowego. W nowych sieciach dość trudno będzie spotkać te stosunkowo proste urządzenia. Wtórniki przekazują sygnały w obydwu kierunkach, nie stosując żadnej dyskryminacji. Wiele urządzeń, w rodzaju mostów i routerów, sprawdza dane przenoszone przez sygnał, aby stwierdzić, czy mają być one rzeczywiście przesłane do następnego segmentu.

Mosty (bridge) umożliwiają połączenie dwóch sieci lokalnych i pozwalają stacjom z jednej sieci na korzystanie z zasobów udostępnianych w drugiej sieci. Mosty używają protokołu sterowania dostępem do nośnika (Media Access Control - MAC) w warstwie fizycznej sieci. Mogą one łączyć nośniki różnego typu, na przykład światłowód z cienkim kablem koncentrycznym 802.3, o ile w obydwu przypadkach używany jest ten sam protokół warstwy MAC (na przykład Ethernet).

Routery działają w warstwie sieci modelu OSI. Router sprawdza adres każdej wiadomości i decyduje, czy adres ten odnosi się do lokalizacji poza mostem. Jeśli wiadomość nie musi być przesłana poprzez most i generować ruchu w leżącej za nim sieci, router nie przesyła jej. Routery są w stanie dokonywać translacji danych dla wielu różnych rodzajów okablowania i systemów sygnalizacji. Na przykład mogą przesyłać wiadomości z sieci Ethernet do sieci z komutacją pakietów poprzez modemy podłączone do szybkich, dzierżawionych linii telefonicznych.

Bramy (gateway), które działając w warstwie sesji, umożliwiają komunikację pomiędzy sieciami, w których używane są całkowicie różne protokoły. W sieciach komputerów PC bramy stanowią punkt połączenia z hostami, na przykład komputerami typu mainframe firmy IBM.

Protokoły wyższego poziomu

Przemierzając warstwy modelu OSI, przyjrzyjmy się technikom (i terminologii) używanym przez różnych dostawców oprogramowania dla sieci LAN na potrzeby protokołów warstwy transportowej i warstwy sesji.

Brak szczegółowego określenia protokołów warstwy transportowej, których chce się używać, skazuje na to, co dostawca oferuje w standardowym „stosie protokołów”. Protokoły te mogą - ale nie muszą - być dostępne dla różnych systemów mainframe lub minikomputerów pracujących już w sieci. Z punktu widzenia administratora wielkiej sieci korporacyjnej wybór odpowiednich protokołów wyższego rzędu to ważne i złożone zadanie.

TCP/IP

Najwcześniejsze duże systemy sieciowe były budowane na potrzeby Departamentu Obrony USA. Departament ten finansował prace nad interaktywnym sieciowym oprogramowaniem komunikacyjnym dla wielu różnych systemów mainframe i minikomputerów. Jądro tych prac stanowiły programy implementujące dwa protokoły: Transmission Control Protocol (TCP) i Internet Protocol (IP). Dostępność oprogramowania wykorzystującego protokoły TCP/IP oraz potęga ich największego zastosowania, Internetu, sprawiają, że są one atrakcyjne dla menedżerów, którzy muszą stawić czoła wyzwaniom związanym z integracją odmiennych systemów komputerowych.Rodzina protokołów TCP/IP jest szkieletem Internetu i korporacyjnych intranetów.

NetBIOS

Innym instytucjonalnym rozwiązaniem, którego obsługa znacznie się rozpowszechniła, jest NetBIOS. NetBIOS zaczynał jako interfejs pomiędzy systemem IBM PC Network Program (PCNP, zastąpionym później przez system PC LAN) a kartami sieciowymi firmy Sytek. Projektując ten interfejs, zespół IBM/Sytek uczynił go jednocześnie programowalnym wejściem do sieci, które pozwoliło systemom sieciowym komunikować się na poziomie sprzętu sieciowego, bez potrzeby angażowania oprogramowania sieciowego.

 „Oddolne” parcie użytkowników wielkich sieci wymusiło połączenie NetBIOS-u (działającego w warstwie sesji modelu OSI) i TCP/IP. W tej kombinacji programy użytkowe odwołują się do NetBIOS-u. Producenci tacy jak Novell nie używają protokołu NetBIOS w swoich kartach sieciowych, ale w swoje systemy operacyjne wbudowują emulatory NetBIOS-u, które oferują te same usługi komunikacyjne warstwy sesji co NetBIOS.

Moduły NetBIOS-u nawiązują ze sobą w sieci wirtualne sesje komunikacyjne. Jednak NetBIOS używa prostej konwencji nazewniczej, która nie sprawdza się dobrze w komunikacji pomiędzy sieciami lub w przypadku różnych systemów operacyjnych. Z pomocą przychodzi protokół IP z zestawu TCP/IP, który opakowuje dane NetBIOS-u, tak że mogą one bez przeszkód podróżować przez różne poziomy nazw i adresów sieci. Jednak z uwagi na rosnące znaczenie TCP/IP oraz promowanie przez Microsoft implementacji protokołu IPX Novella, NetBIOS odchodzi w przeszłość jako atrybut sieci wcześniejszych generacji.

SNA i APPC firmy IBM

Systems Network Architecture (SNA). SNA przedstawia punkt widzenia IBM na to, jak powinny działać systemy komunikacyjne..

APPC (Advanced Program-to-Program Communications) to protokół w ramach modelu SNA ustalający warunki, które umożliwiają programom komunikowanie się ze sobą w sieci. Protokół APPC jest analogiem warstwy sesji w modelu OSI. Według IBM protokół APPC ma stać się podstawą komunikacyjną wszystkich przyszłych produktów i systemów korporacyjnych.

Dwa inne terminy ze słownika IBM - APPC/PC i LU 6.2 - to nazwy produktów, które są implementacją specyfikacji APPC. Programy te jednak są duże, nieporęczne i nie zdobyły popularności.

DECnet

Nie ma już Digital Equipment Corporation. Compaq Computer przejął ją w całości, ale w starszych instalacjach można jeszcze spotkać działające sieci Digitala. Firma ta opracowała własny stos protokołów do łączenia produkowanych przez siebie systemów, zarówno lokalnie, jak i w sieciach rozległych. System DECnet jest bardzo zawiły i wszelkie działające w nim instalacje mają przed sobą krótką przyszłość.

Apple

Firma Apple Computer ma własne protokoły, składające się na rodzinę AppleTalk. Protokół AFP (AppleTalk Filling Protocol) na przykład, umożliwia współużytkowanie plików w sieci. W systemach operacyjnych komputerów Macintosh protokół AFP łączy się z systemem plików HFS (Hierarchical File System).

Rozproszone systemy plików

SMB, RFS, NFS i XNS to skróty niektórych protokołów rozproszonych systemów plików. Rozproszone systemy plików pozwalają komputerowi w sieci korzystać
z plików i urządzeń peryferyjnych innego komputera w tej sieci, tak jakby to były zasoby dostępne lokalnie. Systemy operacyjne komputerów łączą się ze sobą, dzięki czemu katalog udostępniany na hoście jest widziany jako dysk lub jako osobny katalog na innym komputerze. W ten sposób programy użytkowe na komputerze danego użytkownika mają dostęp do plików i zasobów hosta bez żadnych dodatkowych programów.

Protokoły te działają w podobny sposób, jednak nie można ich stosować zamiennie. Zazwyczaj liczący się dostawca opracowuje protokół na potrzeby rodziny swoich produktów, a inni dostawcy wykupują licencję na ten protokół w celu zachowania zgodności swoich produktów.

Skrót SMB pochodzi od nazwy Server Message Block. Jest to protokół opracowany przez IBM i Microsoft na użytek programu PC LAN oraz sieci w systemie Windows. Produkty firm, takich jak AT&T, Digital, HP, Intel, Ungerman-Bass i innych obsługują ten protokół lub są z nim przynajmniej częściowo zgodne.

RFS to Remote File Service opracowany przez AT&T. Ponieważ protokół RFS był integralną częścią wielu wersji firmowej implementacji Uniksa AT&T, obsługiwały go również produkty innych dostawców z branży uniksowej. Protokół RFS wprowadził koncepcję strumieni efektywnych (powerful streams), która umożliwia aplikacjom otwieranie strumieni z lub do urządzenia (w Uniksie wszystko jest urządzeniem: port szeregowy, dysk, itp.) poprzez dowolnie zdefiniowany interfejs na poziomie transportu (Transport-Level Interface - TLI). TLI może być domyślną usługą transportową w Uniksie, może nią być również TCP lub inny protokół.

Z kolei NFS pochodzi od Network File System, architektury opracowanej przez Sun Microsystems. PC-NFS Suna jest kompletnym, choć bez żadnych dodatków, sieciowym systemem operacyjnym dla komputerów PC. Ten rezydujący w pamięci moduł umożliwia dostęp do plików, które są przechowywane w minikomputerach z systemem Unix.

Sieć komputerowa - grupa komputerów lub innych urządzeń połączonych ze sobą w celu wymiany danych lub współdzielenia różnych zasobów, na przykład:

korzystania ze wspólnych urządzeń, np. drukarek, skanerów,

korzystania ze wspólnego oprogramowania,

korzystania z centralnej bazy danych,

przesyłania informacji między komputerami (komunikaty, listy, pliki).

Topologie okablowania sieci komputerowych

gwiazda - komputery są podłączone do jednego punktu centralnego, koncentratora (koncentrator tworzy fizyczną topologię gwiazdy, ale logiczną magistralę) lub przełącznika (jedna z częstszych topologii fizycznych Ethernetu)

gwiazda rozszerzona - posiada punkt centralny (podobnie jak w topologii gwiazdy) i punkty poboczne (jedna z częstszych topologii fizycznych Ethernetu)

hierarchiczna - budowa podobna do drzewa binarnego

szyna (magistrala) - komputery współdzielą jedno medium kablowe

pierścień - komputery są połączone pomiędzy sobą odcinkami kabla tworząc zamknięty pierścień (np. topologia logiczna Token Ring)

pierścień podwójny - komputery są połączone dwoma odcinkami kabla (np. FDDI)

sieć (. mesh) - oprócz koniecznych połączeń sieć zawiera połączenia nadmiarowe; rozwiązanie często stosowane w sieciach, w których jest wymagana wysoka bezawaryjność.

Elementy tworzące sieć komputerową

serwer sieciowy, zazwyczaj powinien to być komputer o dużej mocy obliczeniowej, zarówno wydajnym jak i pojemnym podsystemie dyskowym niezbędnym do przechowywania oprogramowania i danych użytkowników. Na maszynie tej można uruchomić aplikacje realizujące usługi sieciowe, również nazywane serwerami.

komputery - stacje robocze, (terminale), na których instalujemy oprogramowanie sieciowe nazywane klientem.

media transmisji - kable miedziane, światłowody, fale radiowe.

osprzęt sieciowy - karty sieciowe, modemy, routery, koncentratory, przełączniki, punkty dostępowe.

zasoby sieciowe - wspólny sprzęt, programy, bazy danych.

oprogramowanie sieciowe - to programy komputerowe, dzięki którym możliwe jest przesyłanie informacji między urządzeniami sieciowymi. Rozróżnia się trzy podstawowe rodzaje oprogramowania sieciowego:

klient-serwer (system użytkownik) - system, w którym serwer świadczy usługi dołączonym stacjom roboczym. W systemie tym programy wykonywane są w całości lub częściowo na stacjach roboczych.

host-terminal (system baza) - do komputera głównego (hosta) dołączone zostają terminale lub komputery emulujące terminale. W systemie tym programy wykonywane są na hoście.

peer-to-peer - połączenia bezpośrednie; każdy komputer w sieci ma takie same prawa i zadania. Każdy pełni funkcję klienta i serwera.

Sieci równorzędne (peer-to-peer, czyli każdy-z-każdym)

W takich sieciach wszystkie komputery mogą się ze sobą komunikować na równych zasadach. Udostępniają one swoje zasoby (pliki z danymi, drukarki czy inne urządzenia) pozostałym użytkownikom i same również pobierają dane z innych maszyn. Każde urządzenie w tego typu sieciach może być jednocześnie klientem, jak i serwerem. Dlatego na każdym komputerze musi być zainstalowany system operacyjny lub specjalne oprogramowanie, które umożliwi realizację funkcji serwera i stacji roboczej.

0x01 graphic

Sieć typu każdy-z-każdym
Korzyści

Do zalet sieci równorzędnych należą prosta budowa (uruchomienie i konfiguracja nie wymaga dużej wiedzy) oraz małe koszty (brak wydatków na serwer z oprogramowaniem). Ponadto realizacja sieci może być wykonana na bazie popularnych systemów operacyjnych.

Ograniczenia

Do wad tego rozwiązania należą duża awaryjność, słaba ochrona danych (małe możliwości przydzielania użytkownikom różnych uprawnień), spowalnianie komputerów udostępniających swoje zasoby oraz brak centralnego składu udostępnionych zasobów (problem wyszukiwania informacji i tworzenia kopii zapasowych danych). Trzeba również pamiętać, że pliki i inne zasoby dostępne są tylko wówczas, gdy włączony jest odpowiedni komputer.

Zastosowania

Sieci typu każdy-z-każdym są idealne dla małych instytucji z ograniczonym budżetem technologii informacyjnych i ograniczonymi potrzebami współdzielenia informacji.

Sieci oparte na serwerach (klint-serwer)

0x01 graphic
Sieć typu klient-serwer

W sieciach klient-serwer zasoby często udostępniane gromadzone są w komputerach odrębnej warstwy, zwanych serwerami. Serwery zwykle nie mają użytkowników bezpośrednich. Są one raczej komputerami wielodostępnymi, które regulują udostępnianie swoich zasobów szerokiej rzeszy klientów. W sieciach tego typu zdjęty jest z klientów ciężar funkcjonowania jako serwery wobec innych klientów. Taki typ sieci tworzy się za pomocą systemów Windows NT/2000 Server, Novell NetWare czy Linux.

Wyróżnia się kilka rodzajów

Serwery katalogów

Dostarczają scentralizowanej usługi katalogowej, służącej do zarządzania kontami użytkowników, grup i stacji sieciowych oraz umożliwiającej scentralizowanie procedur uwierzytelniania i autoryzacji.

Serwery plików i drukarek

Zapewniają bezpieczne składowanie wszystkich danych. Mogą również obsługiwać kolejki drukowania, które zapewniają dostęp do urządzeń drukujących udostępnianych w sieci.

Serwery aplikacji

Pełnią funkcję serwera aplikacji typu klient-serwer. W środowisku typu klient-serwer, na kliencie uruchamiana jest jedynie niewielka wersja programu (tzw. procedura pośrednicząca), która zapewnia możliwość łączenia się z serwerem. Aplikacja po stronie serwera jest wykorzystywana do wykonywania silnie obciążających procesor zapytań klienta. Przykładami serwerów aplikacji mogą być serwery WWW i serwery baz danych.

Serwery pocztowe

Zapewniają klientom sieci możliwość korzystania z poczty elektronicznej. Wykorzystanie bram pozwala przekazywać pocztę pomiędzy różnorodnymi systemami pocztowymi.

Serwery bezpieczeństwa

Zabezpieczają sieć lokalną, gdy jest ona połączona z większymi sieciami, takimi jak Internet. Do tej grupy należą firewalle i serwery proxy.

Serwery dostępu zdalnego

Ich zadaniem jest umożliwienie przepływu danych między siecią a odległymi klientami. Klient odległy (zdalny) może używać modemu do uzyskania połączenia telefonicznego z siecią lokalną. Może również wykorzystać technikę tunelowania (VPN) i połączyć się z siecią lokalną za pośrednictwem sieci publicznej, takiej jak Internet. System, który umożliwia te formy dostępu do sieci to serwer dostępu zdalnego. Może on zostać wyposażony w jeden lub więcej modemów służących zapewnieniu zewnętrznego dostępu do sieci albo też w porty wirtualne, wykorzystane przez połączenia tunelowane. Po połączeniu klienta z siecią może on funkcjonować w podobny sposób jak przy bezpośrednim przyłączeniu do sieci przez kartę sieciową.

Zaletami sieci z serwerem dedykowanym są duże bezpieczeństwo danych (pełna kontrola osób upoważnionych do dostępu do informacji), centralizacja danych (kompleksowa, łatwa archiwizacja danych oraz możliwość pracy grupowej), wysoka wydajność sieci (zadania sieciowe wykonuje serwer, nie obciążając innych komputerów), możliwość udostępniania innych usług (serwer WWW, FTP i wiele innych).

Zastosowania

Sieci oparte na serwerach są bardzo przydatne, zwłaszcza w organizacjach dużych oraz wymagających zwiększonego bezpieczeństwa i bardziej konsekwentnego zarządzania zasobami przyłączonymi do sieci.

Topologie fizyczne sieci lokalnych

0x01 graphic
0x01 graphic
0x01 graphic
Topologia jest to sposób połączenia stacji roboczych w sieci lokalnej. Topologia fizyczna definiuje geometryczną organizację sieci, czyli sposób fizycznego połączenia ze sobą komputerów oraz urządzeń sieciowych.

Trzema podstawowymi topologiami sieci LAN są magistrala, gwiazda i pierścień. Jednak w referacie zostały przedstawione również inne topologie.

Topologia magistrali

0x01 graphic
Sieć o topologii magistrali

Topologię magistrali wyróżnia to, że wszystkie węzły sieci połączone są ze sobą za pomocą pojedynczego, otwartego kabla (czyli umożliwiającego przyłączanie kolejnych urządzeń). Kabel taki obsługuje tylko jeden kanał i nosi nazwę magistrali. Niektóre technologie oparte na magistrali korzystają z więcej niż jednego kabla, dzięki czemu obsługiwać mogą więcej niż jeden kanał, mimo że każdy z kabli obsługuje niezmiennie tylko jeden kanał transmisyjny.

Oba końce magistrali muszą być zakończone opornikami ograniczającymi, zwanymi również często terminatorami. Oporniki te chronią przed odbiciami sygnału. Zawsze, gdy komputer wysyła sygnał, rozchodzi się on w przewodzie automatycznie w obu kierunkach. Jeśli sygnał nie napotka na swojej drodze terminatora, to dochodzi do końca magistrali, gdzie zmienia kierunek biegu. W takiej sytuacji pojedyncza transmisja może całkowicie zapełnić wszystkie dostępne szerokości pasma i uniemożliwić wysyłanie sygnałów wszystkim pozostałym komputerom przyłączonym do sieci.

Topologia ta jest dobrym rozwiązaniem do tworzenia sieci z niewielką liczbą stacji roboczych. Typowa magistrala składa się z pojedynczego kabla, łączącego wszystkie węzły w sposób charakterystyczny dla sieci równorzędnej. Długość sieci nie powinna przekroczyć odległości 185 m (licząc od jednego końca kabla do drugiego). Szyna nie jest obsługiwana przez żadne urządzenia zewnętrzne (niższe koszty utworzenia sieci), zatem każdy sprzęt przyłączony do sieci "słucha" transmisji przesyłanych magistralą i odbiera pakiety do niego zaadresowane. Topologie magistrali są przeznaczone przede wszystkim do użytku w domach i małych biurach.

Zalety

Niski koszt okablowania sieci (kabel sieciowy musi być położony jedynie od jednej stacji sieciowej do następnej)

Prosty układ okablowania

Duża niezawodność (uszkodzenie jednej ze stacji roboczych nie powoduje awarii działania całej sieci)

Wady

Podczas intensywnej transmisji danych może dochodzić do konfliktów, skutkujących spowolnieniem działania sieci

Niski poziom bezpieczeństwa - wszystkie dane transmitowane są jednym łączem, więc prawdopodobieństwo ich przechwycenia przez nieuprawnionego użytkownika jest duże

Topologia gwiazdy

0x01 graphic


Połączenia sieci LAN o topologii gwiazdy z przyłączonymi do niej urządzeniami rozchodzą się z jednego, wspólnego punktu, którym jest koncentrator. Każde urządzenie przyłączone do sieci w tej topologii może uzyskiwać bezpośredni i niezależny od innych urządzeń dostęp do nośnika, dlatego uszkodzenie jednego z kabli powoduje zerwanie połączenia tylko z jednym komputerem i nie wywołuje awarii całej sieci.

Zalety

Duża przejrzystość struktury sieci

Elastyczność i skalowalność - łatwość rozbudowy lub modyfikacji układu kabli

Odporność na uszkodzenia poszczególnych stacji roboczych lub ich połączeń

Duża wydajność

Łatwa kontrola i likwidacja problemów

Wady

Nadaje się jedynie do tworzenia niewielkich sieci

Ograniczenie konfiguracji poprzez maksymalne odległości komputera od huba

Kosztowna (duża długość kabli)

Topologia pierścienia

0x01 graphic
Sieć o topologii pierścienia
.

W sieci o topologii pierścienia (ring) wszystkie komputery są połączone logicznie w okrąg. Dane wędrują po tym okręgu i przechodzą przez każdą z maszyn. W układzie fizycznym sieć pierścieniowa wygląda podobnie jak sieć o topologii gwiazdy. Kluczową różnicą jest urządzenie połączeniowe, nazywane wielostanowiskową jednostką połączeniową (ang. MAU - MultiStation Access Unii). Wewnątrz MAU dane są przekazywane okrężnie od jednej stacji do drugiej.

Zalety

Możliwy do ustalenia czas odpowiedzi

Niski koszt i łatwa rozbudowa

Niewielka długość kabla

Wady

Duża awaryjność - uszkodzenie jednej ze stacji roboczej natychmiast unieruchamia całą sieć

Spadek wydajności wraz z dodaniem kolejnej stacji roboczej

Trudna diagnostyka uszkodzeń

Topologia podwójnego pierścienia

0x01 graphic
Sieć o topologii podwójnego pierścienia

W tej topologii (dual-ring) są zazwyczaj tworzone sieci FDDI (ang. Fiber Distributed Data Interface - złącze danych sieci światłowodowych). Sieć FDDI może być wykorzystywana do przyłączania sieci lokalnych (LAN) do sieci miejskich (MAN). Pozwala tworzyć pierścienie o całkowitej długości sięgającej 115 km i przepustowości 100 Mb/s.

Na ruch w sieci o topologii podwójnego pierścienia składają się dwa podobne strumienie danych krążące w przeciwnych kierunkach.Jeden z pierścieni jest nazywany głównym (primary), drugi - pomocniczym (secondary). W zwykłych warunkach wszystkie dane krążą po pierścieniu głównym, a pomocniczy pozostaje niewykorzystany. Krąg ten zostaje użyty wyłącznie wtedy, gdy pierścień główny ulega przerwaniu. Następuje wówczas automatyczna rekonfiguracja do korzystania z obwodu pomocniczego i komunikacja nie zostaje przerwana.

Sieć Token Ring

0x01 graphic

Sieć Token-Ring
Pierścienie zostały wyparte przez sieci Token Ring firmy IBM, które z czasem znormalizowała specyfikacja IEEE 802.5. Sieci Token Ring odeszły od połączeń międzysieciowych każdy-z-każdym na rzecz koncentratorów wzmacniających. Wyeliminowało to podatność sieci pierścieniowych na zawieszanie się dzięki wyeliminowaniu konstrukcji każdy-z-każdym. Sieci Token Ring, mimo pierwotnego kształtu pierścienia (ang. ring - pierścień), tworzone są przy zastosowaniu topologii gwiazdy i metody dostępu cyklicznego.

Token w takiej sieci przesyłany jest do kolejnych punktów końcowych, mimo że wszystkie one są przyłączone do wspólnego koncentratora. Dlatego pojawiają się określenia sieci Token Ring jako mających "logiczną" topologię pierścienia, pomimo tego, że fizycznie ujęte są one w kształcie gwiazdy.

Adresy IP są niepowtarzalnymi identyfikatorami wszystkich stacji należących do intersieci TCP/IP. Stacją może być komputer, terminal, router, a także koncentrator. "Stację" można najprościej zdefiniować jako dowolne urządzenie w sieci, występujące jako przedmiot jednego z trzech działań:

Każda stacja wymaga adresu niepowtarzalnego w całej intersieci TCP/IP; żadnej ze stacji nie można przypisać adresu już istniejącego. W światowej sieci, jaką jest Internet, rolę organu przydzielającego adresy IP pełni Internet Assigned Number Authority (IANA - Rada ds. Nadawania Numerów). Określa ona zasady przydzielania adresów.

Sposoby zapisywania adresów IP

0x01 graphic
0x01 graphic
0x01 graphic
Każdy z adresów IP jest ciągiem trzydziestu dwóch zer i jedynek. Obecna wersja adresowania IP jest więc nazywana adresowaniem 32-bitowym. Nie jest ono, w gruncie rzeczy, zbyt wygodne. Stąd powszechne używanie notacji dziesiętnej z kropkami.

Na 32-bitowy adres IP składają się 4 oktety. Każdy oktet można zapisać w postaci liczby dziesiętnej.

Przykładowy adres:

01111111 00000000 00000000 00000001

Jest zapisywany jako:

127.0.0.1

Jest to tzw. adres pętli zwrotnej (ang. loopback address), reprezentujący stację lokalną, czyli tę, przy której siedzimy. Jest to adres zarezerwowany i wysyłane doń dane nigdy nie są przekazywane do sieci.

Przekształcenie polega na zapisaniu każdego z oktetów postaci liczby dziesiętnej i wstawieniu pomiędzy nie kropek. 3. Klasy adresów IP

0x01 graphic
0x01 graphic
0x01 graphic
A

0

Sieć

.

Stacja

.

Stacja

.

Stacja

B

10

Sieć

.

Sieć

.

Stacja

.

Stacja

C

110

Sieć

.

Sieć

.

Sieć

.

Stacja

D

1110

Adres multiemisji

E

11110

Zarezerwowany do użycia w przyszłości

Rys.: Pięć klas adresów IP
Każda z pięciu klas adresów IP jest oznaczona literą alfabetu: klasa A, B, C, D oraz E. Każdy adres składa się z dwóch części: adresu sieci i adresu hosta (stacji). Klasy prezentują odmienne uzgodnienia dotyczące liczby obsługiwanych sieci i hostów.

Adres IP klasy A

Pierwszy bit adresu (8 bajtów) klasy A jest zawsze ustawiony na "O". Następne siedem bitów identyfikuje numer sieci. Ostatnie 24 bity (np. trzy liczby dziesiętne oddzielone kropkami) adresu klasy A reprezentują możliwe adresy hostów.
Wzorzec binarny tej klasy to: 0#######.
Adresy klasy A mogą mieścić się w zakresie od 1.0.0.1 do 127.255.255.254.
Każdy adres klasy A może obsłużyć 16777214 unikatowych adresów hostów.

Adres IP klasy B

Pierwsze dwa bity adresu klasy B to "10". 16 bitów identyfikuje numer sieci, zaś ostatnie 16 bitów identyfikuje adresy potencjalnych hostów.
Wzorcem binarnym jest: 10######.
Adresy klasy B mogą mieścić się w zakresie od 128.0.0.1 do 191.255.255.254.
Każdy adres klasy B może obsłużyć 65534 unikatowych adresów hostów.

Adres IP klasy C

Pierwsze trzy bity adresu klasy C to "110". Następne 21 bitów identyfikuje numer sieci. Ostatni oktet służy do adresowania hostów.
Wzorzec binarny: 110#####.
Adresy klasy C mogą mieścić się w zakresie od 192.0.0.1 do 223.255.255.254. Każdy adres klasy C może obsłużyć 254 unikatowe adresy hostów.

Adres IP klasy D

Pierwsze cztery bity adresu klasy D to "1110". Adresy te są wykorzystywane do multicastingu, ale ich zastosowanie jest ograniczone. Adres multicast jest unikatowym adresem sieci, kierującym pakiety do predefiniowanych grup adresów IP. Adresy klasy D mogą pochodzić z zakresu 224.0.0.0 do 239.255.255.254.

Adres IP klasy E

Faktycznie - zdefiniowano klasę E adresu IP, ale InterNIC zarezerwował go dla własnych badań. Tak więc żadne adresy klasy E nie zostały dopuszczone do zastosowania w Internecie.

Ogólne zasady adresowania IP

Wszystkie stacje w jednym fizycznym segmencie sieci powinny mieć ten sam identyfikator sieci

Część adresu IP określająca pojedynczą stację musi być odmienna dla każdej stacji w segmencie sieci

Identyfikatorem sieci nie może być 127 - wartość ta jest zarezerwowana do celówdiagnostycznych

Identyfikator stacji nie może składać się z samych jedynek - jest to adres rozgłaszania dla sieci lokalnej

Identyfikator sieci nie może składać się z samych zer - jest to oznaczenie sieci lokalnej

Identyfikator stacji również nie może składać się z samych zer - jest to oznaczenie sieci wskazanej przez pozostałą część adresu i nie może zostać przypisane pojedynczej stacji

Specjalne adresy IP

0x01 graphic
0x01 graphic
0x01 graphic
Pewne adresy IP zostały zarezerwowane i nie mogą zostać wykorzystane do oznaczania stacji lub sieci.

Adresy poszczególnych sieci powstają ze złożenia identyfikatora sieci oraz zer w miejscu identyfikatora stacji

Klasa

ID Sieci

A

w.0.0.0

B

w.x.0.0

C

w.x.y.0

Adresy sieci według klas

Identyfikatory sieci połączone z binarnymi jedynkami w miejscu identyfikatora stacji są adresami rozgłaszania

Klasa

Adres rozgłaszania

A

w.255.255.255

B

w.x.255.255

C

w.x.y.255

Adresy rozgłaszania według klas

Adres IP 255.255.255.255 jest zarezerwowany jako adres ograniczonego rozgłaszania. Może on zostać użyty zawsze, gdy stacja nie zna jeszcze identyfikatora sieci. Ogólną zasadą konfiguracji routerów jest uniemożliwienie przesyłania tego rozgłoszenia poza lokalny segment sieci

Adres sieci 127 jest zarezerwowany dla celów diagnostycznych (tzw. adres pętli zwrotnej)

Adres IP 0.0.0.0 oznacza "niniejsza stacja". Wykorzystywany jest jedynie w takich sytuacjach jak uruchomienie klienta DHCP, który nie otrzymał jeszcze własnego adresu IP

0x01 graphic
0x01 graphic
0x01 graphic
Maska podsieci (ang. SNM - subnet mask) jest wykorzystywana do określania, ile bitów adresu IP wskazuje sieć, a ile stację w tej sieci. Dla adresów klas A, B i C wykorzystywane są maski domyślne:

Maska podsieci klasy A wskazuje, że sieciowa część adresu to pierwsze 8 bitów. Pozostałe 24 bity określają stację w tej sieci. Jeżeli adresem stacji jest 11.25.65.32, to wykorzystanie maski domyślnej określa adres sieci jako 11.0.0.0. Częścią adresu wskazującą stację jest 25.65.32.

Maska podsieci klasy B wskazuje, że sieć jest określona przez pierwszych 16 bitów adresu. Pozostałe 16 bitów wyznacza konkretną stację. Dla adresu stacji 172.16.33.33, sieć wskazuje adres 172.16.0.0, a składnikiem określającym stację jest 33.33.

Maska podsieci klasy C wskazuje, że część adresu określająca sieć to pierwsze 24 bity, a pozostałe 8 określa należącą do niej stację. Dla adresu stacji 192.168.2.3 wskazaniem sieci jest 192.168.2.0, zaś składnikiem określającym stację jest 3.

Adresy w sieci lokalnej

0x01 graphic
0x01 graphic
0x01 graphic
Trzy następujące pule adresów IP zostały zarezerwowane do użytku w sieciach lokalnych, oddzielonych serwerami proxy lub zaporami firewall:

Celem ich utworzenia było zapewnienie sieciom nie przyłączonym do Internetu puli adresów niewchodzących w konflikt z żadnymi adresami będącymi w użyciu w Internecie.

Sieciom korzystającym z tych pul nie zagraża, w razie późniejszego przyłączenia do Internetu, przypadkowy konflikt z inną siecią obecną w Internecie.

Poza zabezpieczeniem przed konfliktem, prywatne adresowanie sieci przyczynia się istotnie do ograniczenia zapotrzebowania na adresy publiczne. Przy wysyłaniu danych z sieci prywatnej do publicznej, pierwotny adres źródłowy zostaje zamieniony na adres zewnętrzny, uzyskany od ISP. Procedury tego rodzaju określane są jako translacja adresów sieciowych (NAT - network address translation).

Adresy NAT mogą być wykorzystywane wyłącznie za zaporami firewall albo serwerami proxy, które ukrywają przed Internetem własne schematy adresowania. Utrudnia to dostęp do sieci osobom nieuprawnionym i umożliwia współużytkowania jednego adresu publicznego przez wiele stacji.

Protokół Internetu, wersja 6 (IPv6)

0x01 graphic
0x01 graphic
0x01 graphic
Protokół IPv4 ma już prawie dwadzieścia lat. Od jego początków Internet przeszedł kilka znaczących zmian, które zmniejszyły efektywność IP jako protokołu uniwersalnej przyłączalności. Być może najbardziej znaczącą z tych zmian była komercjalizacja Internetu. Przyniosła ona bezprecedensowy wzrost populacji użytkowników Internetu. To z kolei stworzyło zapotrzebowanie na większą liczbę adresów, a także potrzebę obsługi przez warstwę Internetu nowych rodzajów usług. Ograniczenia IPv4 stały się bodźcem dla opracowania zupełnie nowej wersji protokołu. Jest ona nazywana IP wersja 6 (IPv6), ale powszechnie używa się również nazwy "następna generacja protokołu Internetu" (ang. IPng - next generation of Internet Protocol).

Protokół IPv6 ma być prostą, kompatybilną "w przód" nowelizacją istniejącej wersji protokołu IP. Intencją przyświecającą tej nowelizacji jest wyeliminowanie wszystkich słabości ujawniających się obecnie w protokole IPv4, w tym zbyt małej liczby dostępnych adresów IP, niemożności obsługiwania ruchu o wysokich wymaganiach czasowych i braku bezpieczeństwa w warstwie sieci.

Dodatkowym bodźcem dla opracowania i rozwoju nowego protokołu IP stało się trasowanie, które w ramach protokołu IPv4 jest skrępowane jego 32-bitową architekturą adresową, dwupoziomową hierarchią adresowania i klasami adresowymi. Dwupoziomowa hierarchia adresowania "host.domena" po prostu nie pozwala konstruować wydajnych hierarchii adresowych, które mogłyby być agregowane w routerach na skalę odpowiadającą dzisiejszym wymaganiom globalnego Internetu.

Następna generacja protokołu IP - IPv6 - rozwiązuje wszystkie wymienione problemy. Będzie oferować znacznie rozszerzony schemat adresowania, aby nadążyć za stałą ekspansją Internetu, a także zwiększoną zdolność agregowania tras na wielką skalę.

IPv6 będzie także obsługiwać wiele innych właściwości, takich jak: transmisje audio i/lub wideo w czasie rzeczywistym, mobilność hostów, bezpieczeństwo końcowe (czyli na całej długości połączenia) dzięki mechanizmom warstwy Internetu - kodowaniu i identyfikacji, a także autokonfiguracja i autorekonfiguracja. Oczekuje się, że usługi te będą odpowiednią zachętą dla migracji, gdy tylko staną się dostępne produkty zgodne z IPv6. Wiele z tych rozwiązań wciąż wymaga dodatkowej standaryzacji, dlatego też przedwczesne byłoby ich obszerne omawianie.

Podstawowe zmiany wprowadzane w nowej edycji protokołu to:

Rozszerzone możliwości adresowania

Zwiększona do 128 bitów długość adresów IPv6 spowoduje znaczny wzrost dostępnej ich liczby. Każdy użytkownik Internetu będzie dysponował tyloma adresami, ile dziś jest dostępnych w całej wielkiej sieci.

Uproszczenie nagłówka IP

Większość informacji zapisywanych w nagłówku IP zostało określonych jako opcjonalne lub całkowicie usunięte. Przyspiesza to przetwarzanie nagłówka przez stacje odbierające pakiet.

Zwiększenie elastyczności nagłówka IP

Nagłówek IP został skonstruowany pod kątem efektywniejszego przekazywania, większej elastyczności w zakresie długości pól opcji i prostszego dołączania w przyszłości nowych opcji. Przez kilka lat pozwoli to nagłówkowi IP zmieniać się wraz z ewolucją protokołu bez konieczności przeprojektowywania całego jego formatu.

Ulepszona kontrola przepływu

Datagramy IP będą mogły zawierać zlecenie lepszej jakości usługi. Oznacza to dostarczanie informacji o określonym czasie oraz zdolność żądania minimalnej szerokości pasma lub obsługi w czasie rzeczywistym.

Zwiększone bezpieczeństwo

Nagłówek IP będzie zawierał rozszerzenia zapewniające uwierzytelnianie stacji źródłowej i docelowej oraz wyższą gwarancję braku uszkodzeń danych. Zostanie uwzględniona również opcja szyfrowania przesyłanych przez sieć informacji.

Wymienione zmiany protokołu IP powinny istotnie wpłynąć na rozwój Internetu. Przyczynią się one zapewne również do dalszego zwiększania ilości funkcji dostępnych dla aplikacji korzystających z TCP/IP jako podstawowego zestawu protokołów.

PODSTAWOWO MEDIA SIECIOWE

Kabel koncentryczny

0x01 graphic

Przekrój poprzeczny typowego kabla koncentrycznego

Kabel koncentryczny, często nazywany "koncentrykiem", składa się z dwóch koncentrycznych (czyli współosiowych) przewodów. Kabel ten jest dosłownie współosiowy, gdyż przewody dzielą wspólną oś. Najczęściej spotykany rodzaj kabla koncentrycznego składa się z pojedynczego przewodu miedzianego, znajdującego się w materiale izolacyjnym. Izolator (lub inaczej dielektryk) jest okolony innym cylindrycznie biegnącym przewodnikiem, którym może być przewód lity lub pleciony, otoczony z kolei następną warstwą izolacyjną. Całość osłonięta jest koszulką ochronną z polichlorku winylu (PCW) lub teflonu.

0x01 graphic

Rys.: Perspektywa boczna kabla koncentrycznego
Źródło: Sportac, M. (1999). Sieci komputerowe, księga eksperta. Gliwice: Helion, strona 85

Mimo że kable koncentryczne wyglądają podobnie, mogą charakteryzować się różnymi stopniami impedancji. Oporność ta mierzona jest za pomocą skali RG (ang. Radio G rade). Na przykład, specyfikacja 10Base-2 Ethernet używa kabla RG-58, którego oporność wynosi 50 omów dla kabla o średnicy l centymetra. W specyfikacji warstwy fizycznej 10Base-2 przekłada się to na szybkość przesyłania rzędu 10 Mbps dla odległości do 185 metrów.

Zalety kabla koncentrycznego

Potrafi obsługiwać komunikację w pasmach o dużej szerokości bez potrzeby instalowania wzmacniaków. Kabel koncentryczny był pierwotnym nośnikiem sieci Ethernet.

Wady kabla koncentrycznego

Kabel koncentryczny jest dość wrażliwą strukturą. Nie znosi ostrych zakrętów ani nawet łagodnie przykładanej siły gniotącej. Jego struktura łatwo ulega uszkodzeniu, co powoduje bezpośrednie pogorszenie transmisji sygnału.

Dodatkowymi czynnikami zniechęcającymi do stosowania kabli koncentrycznych są ich koszt i rozmiar. Okablowanie koncentryczne jest droższe aniżeli skrętka dwużyłowa ze względu na jego bardziej złożoną budowę. Każdy koncentryk ma co najmniej 1 cm średnicy. W związku z tym, zużywa on olbrzymią ilość miejsca w kanałach i torowiskach kablowych, którymi prowadzone są przewody. Niewielka nawet koncentracja urządzeń przyłączonych za pomocą kabli koncentrycznych zużywa całe miejsce, którym przewody mogą być prowadzone.

Skrętka dwużyłowa

Okablowanie skrętką dwużyłowa, od dawna używane do obsługi połączeń głosowych, stało się standardową technologią używaną w sieciach LAN. Skrętka dwużyłowa składa się z dwóch dość cienkich przewodów o średnicy od 4 do 9 mm każdy. Przewody pokryte są cienką warstwą polichlorku winylu (PCW) i splecione razem. Skręcenie przewodów razem równoważy promieniowanie, na jakie wystawiony jest każdy z dwóch przewodów znosząc w ten sposób zakłócenia elektromagnetyczne, które inaczej przedostawałyby się do przewodnika miedzianego.

Dostępne są różne rodzaje, rozmiary i kształty skrętki dwużyłowej, począwszy od "jednoparowego" (czyli dwużyłowego) kabla telefonicznego aż do 600-parowych (1200 żyłowych) kabli dalekosiężnych. Niektóre z tych rozmaitości, takie na przykład jak powiązanie par przewodów razem, służą zwiększaniu pojemności kabla. Inne z kolei mają na celu zwiększenie jego przepustowości (wydajności). Niektórymi z wariantów zwiększających wydajność są:

zwiększanie średnicy przewodnika,

zwiększanie stopnia skręcenia (liczby skręceń w jednostce odległości),

stosowanie kilku różnych stopni skręcenia na poziomie skręcania w wielożyłowe wiązki,

ochrona par przewodów za pomocą metalowych osłonek.

W sieciach LAN najczęściej stosowane są cztery pary przewodów połączone razem w wiązki, które osłonięte są wspólną koszulką z PCW lub teflonu. Teflon jest dużo droższy i sztywniejszy, ale nie wydziela trujących oparów podczas spalania (w razie ewentualnego pożaru). Ze względu na to kable kładzione we wszelkich kanałach dostarczających powietrze do pomieszczeń, w których znajdują się ludzie, muszą mieć osłonę z teflonu.

Zalety skrętki

Do zalet można zaliczyć przede wszystkim dużą prędkość transmisji (do 1000 Mb/s), łatwe diagnozowanie uszkodzeń oraz odporność sieci na poważne awarie (przerwanie kabla unieruchamia najczęściej tylko jeden komputer).

Wady skrętki

Wada skrętki to mniejsza długość kabla łączącego najodleglejsze maszyny pracujące w sieci, niż jest to możliwe w innych mediach stosowanych w Ethernecie. Nieekranowanej skrętki nie należy ponadto stosować w miejscach występowania dużych zakłóceń elektromagnetycznych. Kabel ten ma także bardzo niską odporność na uszkodzenia mechaniczne.

Kategorie skrętki:

Dwoma najczęściej stosowanymi rodzajami skrętek ośmiożyłowych są: ekranowana i nieekranowana.

Ekranowana skrętka dwużyłowa

Ekranowana skrętka dwużyłowa (ang. STP - shielded twisted pair) ma dodatkową warstwę folii lub metalowego przewodu oplatającego przewody. Taki ekran osłonowy znajduje się bezpośrednio pod powierzchnią koszulki kabla. Powodem wprowadzenia ekranowania była potrzeba użycia skrętek dwużyłowych w środowiskach podatnych na zakłócenia elektromagnetyczne i zakłócenia częstotliwościami radiowymi.

Nieekranowana skrętka dwużyłowa

Również skrętka dwużyłowa nazywana UTP (ang. Unshielded Twisted Pair) dostępna jest w wielu wersjach różniących się formą, rozmiarem oraz jakością. Rozmiarem standardowym okablowania sieci LAN jest kabel czteroparowy, czyli ośmiożyłowy.

Przewody ośmiożyłowej skrętki nieekranowanej podzielone są na cztery grupy po dwa przewody. Każda para składa się z przewodu dodatniego i ujemnego. Przewody nazywane są też wyprowadzeniami. Wyprowadzenia wykorzystuje się parami. Na przykład, jedna para wyprowadzeń obsługuje tylko wysyłanie, a inna tylko odbieranie sygnałów. Pozostałe wyprowadzenia w większości sieci lokalnych nie są używane.

Kabel światłowodowy

Do łączenia sieci komputerowych używa się również giętkich włókien szklanych, przez które dane są przesyłane z wykorzystaniem światła. Cienkie włókna szklane zamykane są w plastikowe osłony, co umożliwia ich zginanie nie powodując łamania. Nadajnik na jednym końcu światłowodu wyposażony jest w diodę świecącą lub laser, które służą do generowania impulsów świetlnych przesyłanych włóknem szklanym. Odbiornik na drugim końcu używa światłoczułego tranzystora do wykrywania tych impulsów.

0x01 graphic

Schemat przekroju wzdłużnego kabla światłowodu

Zalety kabla światłowodu

Nie powodują interferencji elektrycznej w innych kablach, ani też nie są na nią podatne Impulsy świetlne mogą docierać znacznie dalej niż w przypadku sygnału w kablu miedzianym

Światłowody mogą przenosić więcej informacji niż za pomocą sygnałów elektrycznych Inaczej niż w przypadku prądu elektrycznego, gdzie zawsze musi być para przewodów połączona w pełen obwód, światło przemieszcza się z jednego komputera do drugiego poprzez pojedyncze włókno

Wady kabla światłowodu

Przy instalowaniu światłowodów konieczny jest specjalny sprzęt do ich łączenia, który wygładza końce włókien w celu umożliwienia przechodzenia przez nie światła

Gdy włókno zostanie złamane wewnątrz plastikowej osłony, znalezienie miejsca zaistniałego problemu jest trudne

Naprawa złamanego włókna jest trudna ze względu na konieczność użycia specjalnego sprzętu do łączenia dwu włókien tak, aby światło mogło przechodzić przez miejsce łączenia

Fale radiowe

Fale elektromagnetyczne mogą być wykorzystywane nie tylko do nadawania programów telewizyjnych i radiowych, ale i do transmisji danych komputerowych. Nieformalnie o sieci,która korzysta z elektromagnetycznych fal radiowych, mówi się, że działa na falach radiowych, a transmisję określa się jako transmisję radiową. Sieci takie nie wymagają bezpośredniego fizycznego połączenia między komputerami. W zamian za to każdy uczestniczący w łączności komputer jest podłączony do anteny, która zarówno nadaje, jak i odbiera fale.

Anteny używane w sieciach mogą być duże lub małe w zależności od żądanego zasięgu. Antena zaprojektowana na przykład do nadawania sygnałów na kilka kilometrów przez miasto może składać się z metalowego słupka o długości 2 m zainstalowanego na dachu. Antena umożliwiająca komunikację wewnątrz budynku może być tak mała, że zmieści się wewnątrz przenośnego komputera (tzn. mniejsza niż 20 cm).

Mikrofale

Do przekazywania informacji może być również używane promieniowanie elektromagnetyczne o częstotliwościach spoza zakresu wykorzystywanego w radio i telewizji. W szczególności w telefonii komórkowej używa się mikrofal do przenoszenia rozmów telefonicznych. Kilka dużych koncernów zainstalowało systemy komunikacji mikrofalowej jako części swoich sieci.

Mikrofale, chociaż są to tylko fale o wyższej częstotliwości niż fale radiowe, zachowują się inaczej. Zamiast nadawania we wszystkich kierunkach występuje w tym przypadku możliwość ukierunkowania transmisji, co zabezpiecza przed odebraniem sygnału przez innych. Dodatkowo za pomocą transmisji mikrofalowej można przenosić więcej informacji, niż za pomocą transmisji radiowej o mniejszej częstotliwości. Jednak, ponieważ mikrofale nie przechodzą przez struktury metalowe, transmisja taka działa najlepiej, gdy jest "czysta" droga między nadajnikiem a odbiornikiem. W związku z tym, większość instalacji mikrofalowych składa się z dwóch wież wyższych od otaczających budynków i roślinności, na każdej z nich jest zainstalowany nadajnik skierowany bezpośrednio w kierunku odbiornika na drugiej.

Podczerwień

Bezprzewodowe zdalne sterowniki używane w urządzeniach takich jak telewizory czy wieże stereo komunikują się za pomocą transmisji w podczerwieni. Taka transmisja jest ograniczona do małej przestrzeni i zwykle wymaga, aby nadajnik był nakierowany na odbiornik. Sprzęt wykorzystujący podczerwień jest w porównaniu z innymi urządzeniami niedrogi i nie wymaga anteny.

Transmisja w podczerwieni może być użyta w sieciach komputerowych do przenoszenia danych. Możliwe jest na przykład wyposażenia dużego pokoju w pojedyncze połączenie na podczerwień, które zapewnia dostęp sieciowy do wszystkich komputerów w pomieszczeniu. Komputery będą połączone siecią podczas przemieszczania ich w ramach tego pomieszczenia. Sieci oparte na podczerwień są szczególnie wygodne w przypadku małych, przenośnych komputerów.

Światło laserowe

Promień światła może być użyty do przenoszenia danych powietrzem. W połączeniu wykorzystującym światło są dwa punkty - w każdym znajduje się nadajnik i odbiornik. Sprzęt ten jest zamontowany w stałej pozycji, zwykle na wieży i ustawiony tak, że nadajnik w jednym miejscu wysyła promień światła dokładnie do odbiornika w drugim. Nadajnik wykorzystuje laser do generowania promienia świetlnego, gdyż jego światło pozostaje skupione na długich dystansach.

Światło lasera podobnie jak mikrofale porusza się po linii prostej i nie może być przesłaniane. Niestety promień lasera nie przenika przez roślinność. Tłumią go również śnieg i mgła. To powoduje, że transmisje laserowe mają ograniczone zastosowanie.

TCP - Transmission Control Protocol protokoły transportu

Aplikacje, dla których istotne jest, żeby dane niezawodnie dotarły do celu, wykorzystują protokół TCP. Zapewnia on prawidłowe przesyłanie danych we właściwej kolejności. Nie zastępuje on protokołu IP, lecz wykorzystuje jego właściwości do nadawania i odbioru.

TCP jest niezawodnym protokołem transmisyjnym, zorientowanym połączeniowo. Komputer po upływie określonego czasu wysyła dane ponownie aż do chwili, gdy otrzyma od odbiorcy potwierdzenie, że zostały poprawnie odebrane.

Jednostka czasu, którą posługują się we wzajemnej komunikacji moduły TCP, nosi nazwę segmentu. Każdy segment zawiera przy tym automatycznie sumę kontrolną, która podlega weryfikacji po stronie odbiorcy. W ten sposób sprawdza się, czy dane zostały odebrane poprawnie.

TCP jest zorientowany na połączenia. Protokół tworzy zatem połączenie logiczne komputer-komputer. W tym celu wysyła przed rozpoczęciem właściwej transmisji danych użytecznych pewną ilość informacji kontrolnych, nazywanych handshake.

Handshake wykorzystywany w TCP to 3-Way-Handshake, ponieważ w jego trakcie wymieniane są trzy bloki informacji. Nawiązywanie połączenia rozpoczyna się od tego, że oba komputery ustalają wartość początkową sekwencji numerycznej - Initial Sequence Number (ISN). Oba systemy TCP wymieniają między sobą i potwierdzają te wartości.

Way-Handshake

Nawiązywanie połączenia za pomocą 3-Way-Handshake można przedstawić w postaci diagramu. Za pomocą odpowiedniego polecenia, połączenie przechodzi w tryb Listen, w którym można nawiązać kontakt z innym systemem TCP.

0x01 graphic

Połączenia za pomocą 3-Way-Handshake

Jeżeli system znajduje się w trybie Listen, czeka na nadejście znaku SYN, aby odpowiedzieć kolejnym znakiem SYN, a następnie przejść w tryb SYN Received. Jeżeli znak SYN został wysłany, połączenie przechodzi w tryb SYN Send. System TCP pozostaje w tym trybie aż do otrzymania od drugiego systemu znaku SYN w odpowiedzi. Jeżeli nadejdzie pozytywna odpowiedź na ten znak SYN, system TCP przechodzi w tryb SYN Received. Po pozytywnym potwierdzeniu znaku SYN (ACK w odpowiedzi na SYN) nadajnik i odbiornik przechodzą w tryb Established - może się rozpocząć transmisja danych między obydwoma komputerami. Po przesłaniu wszystkich danych komputery biorące udział w komunikacji kontynuują procedurę 3-Way-Handshake. W celu zakończenia połączenia wymieniane są segmenty z bitem: No more data from sender.

UDP - User Datagram Protocol

Protokół UDP zapewnia protokołom wyższego rzędu zdefiniowaną usługę transmisji pakietów danych, zorientowanej transakcyjnie. Dysponuje minimalnymi mechanizmami transmisji danych i opiera się bezpośrednio na protokole IP. W przeciwieństwie do TCP nie gwarantuje kompleksowej kontroli skuteczności transmisji, a zatem nie ma pewności dostarczenia pakietu danych do odbiorcy, nie da się rozpoznać duplikatów, ani nie można zapewnić przekazu pakietów we właściwej kolejności.

Mimo to jest wiele istotnych powodów stosowania UDP jako protokołu transportowego. Gdy trzeba przesłać niewiele danych, nakłady administracyjne na nawiązanie połączenia i zapewnienie prawidłowej transmisji mogą być większe od nakładów niezbędnych do ponownej transmisji wszystkich danych.

Protokoły, porty i gniazda

0x01 graphic
0x01 graphic
0x01 graphic
Gdyby nie było portów, komunikacja za pośrednictwem standardowych protokołów internetowych TCP i UDP byłaby niemożliwa. To dzięki portom wiele aplikacji może jednocześnie wymieniać dane, wykorzystując jedno łącze internetowe.

Numery portów

Numery portów stanowią jeden z podstawowych elementów stosowania protokołów TCP i UDP. Gdy dane docierają do komputera docelowego, muszą jeszcze zostać dostarczone do właściwej aplikacji. Podczas transportu informacji przez warstwy sieci potrzebny jest mechanizm, który najpierw gwarantuje przekazanie danych do właściwego w danym wypadku protokołu.

Łączenie danych z wielu źródeł w jeden strumień danych nosi nazwę multipleksowania. Protokół internetowy (IP) musi zatem poddać dane nadchodzące z sieci procesowi demultipleksowania. W tym celu IP oznacza protokoły transportowe numerami protokołów. Same protokoły transportowe wykorzystują z kolei numery portów do identyfikacji aplikacji.

Numer protokołu IP zawarty jest w jednym bajcie, w trzecim słowie nagłówka datagramu. Wartość ta determinuje przekazanie do odnośnego protokołu w warstwie transportowej; przykładowo 6 to TCP, 17 to UDP. Protokół transportowy musi przekazać otrzymane dane do właściwego procesu aplikacji.

Aplikacje identyfikowane są na podstawie numerów portów o długości 16 bitów, do których dane kierowane są po nadejściu do komputera docelowego. W pierwszym słowie każdego nagłówka TCP czy UDP zapisany jest też numer portu źródłowego i numer portu docelowego. Jeżeli aplikacja ma być dostępna pod określonym numerem portu, musi przekazać tę informację do stosu protokółu TCP/IP.

Gniazda

Kombinację adresu IP i numeru portu określa się jako gniazdo. To połączenie umożliwia jednoznaczną identyfikację poszczególnych procesów sieciowych w ramach całego Internetu.

Zapis ma następującą postać: adres IP:port, np. 62.96.227.70:80. Dwa gniazda definiują połączenie: jedno określa komputer źródłowy, drugie - docelowy.

TCP i UDP mogą nadawać te same numery portów. Dopiero połączenie protokołu i numeru portu jest jednoznaczne. Numer portu 53 w TCP nie jest identyczny z numerem portu 53 w UDP.

Porty - krótki przegląd

Microsoft Windows wykorzystuje kilka portów do realizacji swoich funkcji sieciowych. W starszych wersjach, do Windows Me/NT, były to porty 137, 138 oraz 139. Od Windows 2000 Server message lock wysyłane są przez port 445. Oczywiście, wersje Windows od 2000 są zgodne w dół, a więc obie procedury mogą funkcjonować równolegle.

Port 137

Obsługuje tzw. NetBIOS Name Service. Za jego pomocą Windows przyporządkowuje wzajemnie - podobnie jak w DNS - nazwy komputerów i adresy IP. W określonych wypadkach może to powodować następującą sytuację - jeżeli użytkownik surfuje na windowsowym serwerze WWW, ten ostatni wysyła zapytanie do portu 137 komputera użytkownika. Dzieje się tak, ponieważ serwer windowsowy wykorzystuje funkcję winsock gethostbyaddr() do odczytania nazwy odległego komputera. Funkcja ta jest jednak tak zaimplementowana w Windows, że najpierw następuje próba odczytu przez NetBIOS, a dopiero w razie niepowodzenia wykorzystywany jest odczyt przez DNS.
Tego rodzaju ruch powinien być generalnie zabroniony, zarówno wchodzący, jak i wychodzący. Jeżeli dwie sieci windowsowe mają wymieniać dane przez Internet, generalnie należy zastosować VPN.

Port 138

Kryje się za nim usługa NetBIOS datagram service. Za jej pomocą Windows rozsyła głównie informacje o sieci Windows, najczęściej w formie rozgłaszania. Na przykład usługa Windows computerbrowser wykorzystuje informacje NetBIOS do sporządzenia aktualnej listy komputerów w sieci Windows, wyświetlanej w oknie Otoczenie sieciowe.
Największe niebezpieczeństwo związane z usługą datagram service polega na tym, że haker może przekonać Windows za pomocą sfałszowanych pakietów, iż jego komputer należy do lokalnej sieci, a więc może w ten sposób obejść różnice zabezpieczeń odnoszących się do komputerów lokalnych i internetowych. Również i tu obowiązuje zasada, że port ten należy zamknąć w obu kierunkach.

Port 139

Przez tę usługę NetBIOS Session Service odbywa się właściwa wymiana danych wsieciach Windows. Jeżeli port ten jest otwarty, haker może się połączyć z komputerem i próbować zhakować udostępnianie plików i drukarek. Najczęściej wykorzystywana metoda to atak siłowy, polegający na wypróbowaniu jak największej liczby prawdopodobnych haseł.
Otwarty port 139 może powodować jeszcze inne problemy. Usługa Windows Messenger nasłuchuje tu w oczekiwaniu na wiadomości, przesyłane za pomocą net send, co często jest wykorzystywane do spamowania. W takim wypadku użytkownik nie otrzymuje e-mailu; od razu otwiera się okno z wiadomością nadesłaną przez spamera. Dlatego port ten powinien być zamknięty w obu kierunkach.

Sieć Microsoft - port 135

Nawet jeśli port 139 jest zamknięty, nie chroni nas to do końca przed spamem nadsyłanym z wykorzystaniem Messengera. Polecenie net send wykorzystuje nieudokumentowaną funkcje usługi Microsoft RPC, która w porcie 135 (epmap, endpoint mapper) nasłuchuje w oczekiwaniu na nadchodzące zapytania RPC. Usługa ta oferuje m.in. połączenie z Messengerem, a więc net send może wykorzystać tę drogę jako alternatywę, gdy normalny dostęp przez port 139 nie jest możliwy. Są już narzędzia do rozsyłania spamu, które wykorzystują tę metodę.

Port 445

W Windows 2000 Microsoft rozszerzył protokół SMB o możliwość wykonywania przez TCP/IP, z pominięciem okrężnej drogi "NetBIOS over TCP/IP". Windows używa w tym celu wyłącznie portu 445 (microsoft-ds).
W otoczeniu składającym się wyłącznie z Windows 2000, XP i .NET Server 2003 można go wyłączyć, odznaczając NetBIOS over TCP/IP w opcjach karty sieciowej. Na skutek tego odczytywanie nazw w sieci LAN będzie się odbywało tylko przez DNS, ale już nie poprzez WINS lub rozgłaszanie NetBIOS. Potrzebny jest zatem albo serwer DNS w sieci LAN, który będzie zarządzał również lokalnymi komputerami (choćby Windows 2000 jako serwer DHCP i DNS), lub na każdym komputerze trzeba założyć listę hostów. Dla portu 445 obowiązuje zasada, że ruch SMB dozwolony jest tylko wewnątrz sieci LAN.

Przestrzenie nazw domen

DNS - nazwy zamiast liczb

0x01 graphic
0x01 graphic
0x01 graphic
Wszystkie komputery w sieci TCP/IP identyfikowane są za pomocą jednoznacznego adresu IP. Jego postać liczbowa o długości 32 bitów jest skomplikowana i łatwo o błąd podczas wpisywania. Z tego powodu już w roku 1984 utworzono system nazw domen Domain Name System (DNS). To właśnie dzięki niemu można połączyć się z hostem, używając przynależnej nazwy domeny.

DNS to rozproszona baza danych, której głównymi komponentami są serwery nazw. Zarządzają informacjami o odwzorowaniu, co polega na wzajemnym przyporządkowaniu adresów IP i nazw komputerów.

Gdy jeszcze nie było Internetu obecnej postaci, a ARPAnet łączył kilkaset komputerów, wszystkie informacje o hostach mieściły się w jednym pliku. Plik ten musiał się znajdować w każdym komputerze podłączonym do sieci ARPAnet; zawierał wszystkie informacje związane z odwzorowaniem. System nazw domen usunął podstawowe wady tablic nazw opartych na plikach:

DNS daje się łatwo rozszerzać,

komputerach i zmianach w razie potrzeby dotrą do wszystkich użytkowników Internetu.

0x01 graphic
0x01 graphic
0x01 graphic
Przestrzeń nazw domen jest drzewiastą strukturą obejmującą wszystkie domeny tworzące przestrzeń nazw Internetu. Początkiem drzewa jest domena określana angielskim terminem root, czyli korzeń.

0x01 graphic

DNS
W odróżnieniu od pozostałych domen, domenie root nie odpowiada żadna występująca w nazwach stacji etykieta. Do jej określenia stosuje się czasem znak kropki (.).

Poniżej domeny root znajdują się domeny pierwszego poziomu. Są one dwojakiego rodzaju: pierwsza ich grupa odpowiada typom działalności korzystających z nich organizacji, druga wykorzystuje dwuliterowe oznaczenia krajów, w których poszczególne organizacje się znajdują.

Domeny wysokiego poziomu wykorzystywane obecnie

Kolejny poziom hierarchii, zawierający konkretne stacje i dalsze poddomeny, tworzą domeny drugiego poziomu. Microsoft jest przykładem organizacji, która zarejestrowała domenę drugiego poziomu w domenie pierwszego poziomu COM.

Frazy MB, BC i AB przedstawiają jedną z technik podziału domeny narodowej - odpowiadaj poszczególnym prowincjom Kanady: MB to Manitoba, BC - Kolumbia Brytyjska, a AB - Alberta.

Proces odwzorowywania nazw stacji

0x01 graphic
0x01 graphic
0x01 graphic
0x01 graphic

Proces odwzorowywania hostnames

Proces ten przebiega w kilku etapach:

Kiedy żadna z tych metod określania adresu IP stacji docelowej nie zakończy się powodzeniem, aplikacja zwraca komunikat informujący, że nazwa stacji nie została odnaleziona.

Podział ról w systemie DNS

0x01 graphic
0x01 graphic
0x01 graphic
W procesie odwzorowania nazwy, jaki zachodzi w systemie przestrzeni nazw domen, biorą udział trzy rodzaje podstawowych elementów:

przestrzeń nazw domen

klient odwzorowania

serwery nazw

Przestrzeń nazw domen

Zapewnia rozproszoną, hierarchiczną bazę danych, która zawiera wszystkie przyporządkowania nazw stacji do adresów IP w Internecie. Pozwala więc odwzorować dowolną nazwę stacji na jej adres IP.

Klient odwzorowania

Jest to oprogramowanie klienckie, które wymaga odwzorowania nazwy na adres IP. Funkcje klienta odwzorowania są albo częścią aplikacji wywołującej, albo też uruchomione są w systemie operacyjnym stacji jako część stosu protokołu TCP/IP.

Serwery nazw

To obecne w sieci stacje przyjmujące zapytania od klientów odwzorowania i zwracające adresy IP poszukiwanych stacji. W zależności od konfiguracji i przyjętego zapytania serwer nazw może zwracać adres IP odpowiadający nazwie stacji, nazwę odpowiadającą adresowi IP, odpowiedź informującą o tym, że nazwa stacji nie została odnaleziona lub wskazanie innego serwera nazw, który może zrealizować zapytanie.

Każdy z serwerów nazw może występować jako:

podstawowy serwer nazw

pomocniczy serwer nazw

główny serwer nazw

serwer nazw buforujący

Podstawowy serwer nazw

Podstawowy serwer naw zarządza strefą danych. Termin strefa oznacza część przestrzeni nazw domen, za który odpowiedzialny jest konkretny serwer nazw. Pliki danych dla strefy są przechowywane lokalnie na podstawowym serwerze nazw. Wszystkie modyfikacje w tych plikach mogą być przeprowadzane wyłącznie na tym serwerze. Strefa obsługiwana przez podstawowy serwer nazw może obejmować więcej niż jedną domenę. Może on zarządzać poddomenami w określonej domenie albo też przechowywać pliki związane z kilkoma różnymi domenami drugiego poziomu.

Pomocniczy serwer nazw

Pomocniczy serwer nazw uzyskuje informacje o strefie z innego serwera posiadającego plik strefy; owym "innym serwerem" może być jakiś serwer pomocniczy lub też serwer podstawowy. Operacja przesłania informacji o strefie jest zwięźle określana terminem przesłanie strefy.

Poniżej przedstawiono powody przemawiające za wprowadzeniem serwera pomocniczego:

potrzeba rozłożenia obsługi ruchu sieciowego na dodatkowy serwer z tymi samymi danymi strefy,

potrzeba przyspieszenia odwzorowywania w ośrodku odległym przez utworzenie w nim dodatkowego serwera nazw,

potrzeba zmniejszenia awaryjności układu przez utworzenie dodatkowego serwera zapewniającego utrzymanie możliwości odwzorowywania nawet w przypadku utraty funkcjonalności przez jeden z serwerów nazw,

utworzenie serwera pomocniczego jest warunkiem zarejestrowania domeny w InterNIC.

Pliki stref przechowywane na serwerach pomocniczych nie są nigdy aktualizowane bezpośrednio - są jedynie kopiami plików przechowywanych na serwerach podstawowych. Stąd też stosowane jest niekiedy określenie serwer podległy.

Główny serwer nazw

Główny serwer nazw to serwer nazw, który przesyła swoje pliki stref do serwera pomocniczego. Chociaż mogłoby się wydawać, że jedynie podstawowe serwery nazw pracują jako serwery główne, również serwer pomocniczy może pełnić tę rolę. Sytuacja taka może wyniknąć z właściwości wykorzystywanych łączy sieciowych.

W konfiguracji serwera pomocniczego wskazywany jest adres IP serwera głównego. Podczas inicjalizacji komunikuje się on ze wskazanym serwerem głównym i inicjuje przesyłanie danych DNS strefy.

Buforujące serwery nazw

Buforujący serwer nazw nie przechowuje informacji strefowej na lokalnych nośnikach danych. Kiedy stacja przesyła zapytanie do serwera buforującego, ten przekazuje je dalej "w imieniu" tej stacji, buforuje wynik i zwraca klientowi adres IP poszukiwanej stacji. Kiedy później odbiera takie samo zapytanie od innej stacji, odpowiedź jest przekazywana na podstawie danych wciąż przechowywanych w buforze.

Tego rodzaju rozwiązanie staje się użyteczne, gdy łącza sieci rozległej posiadają stosunkowo niewielką przepustowość. Zamiast serwera pomocniczego, który wymaga regularnego przesyłania pełnej informacji o strefie, może zostać utworzony jedynie serwer buforujący. Przesyłane są wówczas jedynie faktycznie użyteczne dane. W buforze przechowywane są wtedy informacje o najczęściej odwiedzanych miejscach i skorzystanie z nich nie wymaga żadnego ruchu na łączach sieci WAN.

Rodzaje zapytań DNS

0x01 graphic
0x01 graphic
0x01 graphic
Klient odwzorowania może kierować do serwera nazw następujące rodzaje zapytań:

Rekurencyjne

Iteracyjne

Odwrotne

Zapytania rekurencyjne

W przypadku zapytania rekurencyjnego serwer nazw może zwrócić wyłącznie adres IP odpowiadający wskazanej stacji albo informację o błędzie. Często wymaga to pełnienia przezeń roli klienta odwzorowania i przekazania zapytania do dalszego, wskazanego w konfiguracji, serwera nazw.

Przykład odwzorowywania do adresu IP nazwy www.yahoo.com:

Klient DNS przesyła zapytanie rekurencyjne do wewnętrznego serwera DNS, żądając adresu IP stacji www.yahoo.com

Wewnętrzny serwer DNS, nie znając odpowiedzi na otrzymane zapytanie, generuje kolejne zapytanie rekurencyjne do serwera ISP (usługodawcy internetowego). Adres serwera ISP jest zapisany w konfiguracji serwera wewnętrznego

Serwer DNS usługodawcy internetowego przekazuje wewnętrznemu serwerowi DNS adres IP stacji www.yahoo.com. Powiązanie adresu z nazwą zostaje zapisane w buforze (pamięci podręcznej) serwera

Wewnętrzny serwer DNS zwraca adres IP klientowi

Tego rodzaju konfiguracja sprawdza się w przypadku sieci lokalnej oddzielonej od Internetu zaporą firewall. Wówczas należy zadbać o odpowiednie skonfigurowanie zapory - musi ona dopuszczać wymianę danych pomiędzy wewnętrznym serwerem DNS, a serwerem DNS usługodawcy. Serwer DNS powinien być wówczas jedynym komputerem, który może przekazywać zapytania DNS do sieci zewnętrznej. Użycie zapytania rekurencyjnego pozwala wewnętrznemu serwerowi DNS przekazać je do wskazanego w konfiguracji serwera nazw, po czym zwrócić odpowiedź w postaci adresu IP do stacji inicjującej.

Zapytanie iteracyjne

Zapytanie iteracyjne nakłada na serwer nazw wymóg podania klientowi jedynie najlepszej z możliwych odpowiedzi. Odpowiedzią może być zarówno adres IP poszukiwanej stacji (lub informacja o braku możliwości odwzorowania), jak i wskazanie innego serwera DNS, który może dostarczyć adres IP odpowiadający poszukiwanej nazwie.

0x01 graphic

Iteracyjne zapytanie DNS.

W celu odwzorowania nazwy altavista.digilal.com wykonane zostaną następujące kroki:

Klient DNS wysyła do swojego serwera DNS rekurencyjne zapytanie o adres IP odpowiadający nazwie altavista.digital.com

Serwer DNS nie ma odpowiedzi w swoim buforze ani też wskazania w konfiguracji, pozwalającego kontynuować zapytanie rekurencyjne. Wysyła więc do serwera root zapytanie iteracyjne o adres odpowiadający nazwie altavistu.digital.com

Serwer root zwraca lokalnemu serwerowi DNS adres IP serwera domeny wysokiego poziomu com.

Lokalny serwer DNS wysyła do serwera nazw domeny com kolejne zapytanie iteracyjne, również o nazwę altavista.digital.com.

Serwer nazw domeny com zwraca w odpowiedzi adres IP autorytatywnego serwera nazw domeny digital.com.

Lokalny serwer DNS ponawia zapytanie o adres stacji altavistu.digital.com, kierując je do serwera nazw domeny digital.com.

Jeżeli dane dotyczące poddomeny altavisla.digital.com są przechowywane w osobnym pliku strefy, na osobnym serwerze nazw, serwer DNS domeny digital.com zwróci adres serwera nazw odpowiadającego za domenę altavista.digital.com.

Lokalny serwer nazw wysyła do serwera nazw domeny one.microsoft.com zapytanie o partnering.one.microsoft.com.

Serwer one.microsoff.com zwraca adres IP stacji purlnering.one.microsoft.com, a jeżeli nazwa taka nie istnieje w tej domenie - informację o nieprawidłowej nazwie stacji.

Lokalny serwer nazw przede wszystkim zapisuje adres IP stacji partnering. one.microsoft.com w swojej pamięci podręcznej. Po utworzeniu odpowiedniego wpisu przekazuje adres IP do klienta, który zainicjował procedurę.

Zapytanie odwrotne służy do odnalezienia pełnej kwalifikowanej nazwy domeny (FQDN) odpowiadającej określonemu adresowi IP. Zamiast określania adresu na podstawie nazwy stacji wyszukiwana jest nazwę stacji odpowiadająca znanemu adresowi IP.

Jest to czynność powszechnie wykonywana przez osoby analizujące bezpieczeństwo sieci, kiedy próbują odwzorować adres IP stacji zapisanej w dzienniku bezpieczeństwa na jej internetową nazwę.

Zapytanie odwrotne jest również wykorzystywane przy ustalaniu reguł ograniczających dostęp do określonych ośrodków dla zapory firewall. Jeżeli zostało ustalone, że użytkownicy nie powinni uzyskiwać dostępu do ośrodka www.strony.com, zapora może zostać dodatkowo skonfigurowana do przeprowadzania wyszukiwań odwrotnych. Zabezpieczy to przed omijaniem przez użytkowników wprowadzonego ograniczenia przez bezpośrednie wpisanie adresu IP, jak np.: 192.168.5.67

1. Działanie DHCP -działanie protokołu. czyli dynamiczne przydzielanie adresów IP w sieci TCP/IP

0x01 graphic
Sieci podlegają stałym przemianom - przybywa nowych komputerów, mobilni użytkownicy logują się i wylogowują. Ręczna konfiguracja sieci wymagałaby nieprawdopodobnego nakładu pracy. Protokół DHCP (Dynamic Host Configuration Protocol) rozwiązuje ten problem poprzez dynamiczne przydzielanie adresów IP.

W sieci opartej na protokole TCP/IP każdy komputer ma co najmniej jeden adres IP i jedną maskę podsieci; dzięki temu może się komunikować z innymi urządzeniami w sieci. Centralne przydzielanie adresów za pomocą wydzielonego komputera opłaca się już w małej sieci. Administrator uzyskuje w ten sposób kilka korzyści od razu. Konserwacja sieci wymaga mniej czasu, ponieważ odpadają manipulacje przy poszczególnych klientach. Konflikty adresów należą do przeszłości, ponieważ serwer DHCP steruje centralnie przydzielaniem adresów IP.

Protokół DHCP opiera się na protokole BOOTP (Bootstrap Protocol), jednak w stosunku do niego zawiera wiele ulepszeń. Niewątpliwie najbardziej interesującym jest dynamiczne przydzielanie adresów IP. Serwer DHCP korzysta przy tym z predefiniowanego obszaru adresowego i przydziela kolejnym klientom, które o to występują, adres IP na określony czas (lease). W czasie trwania okresu lease klient DHCP nie występuje do serwera DHCP podczas startu systemu o nowy adres, a jedynie żąda potwierdzenia istniejącego stanu lease. Protokół DHCP minimalizuje również możliwe źródła błędów. Na życzenie podaje, oprócz adresu IP, również inne parametry, jak choćby standardowa brama, czy adresy serwerów nazw. Specyfikacja techniczna protokołu DHCP zawarta jest w RFC 2131.

Proces DHCP

0x01 graphic
0x01 graphic
0x01 graphic
0x01 graphic

Proces DHCP

Już uproszczony opis przydzielania adresów unaocznia cykliczny charakter interakcji między klientem a serwerem. Cały proces uzgadniania i przydzielania jest czteroetapowy.

Ujawnienie DHCP (Discover)

Klient protokołu DHCP emituje pakiet żądania konfiguracji DHCPDISCOVER, dostarczając swój adres MAC oraz nazwę hosta. Jeżeli dany klient miał wcześniej przydzielony adres IP, to wysyła również tę informację w polu opcji żądany adres. W ten sposób klient często utrzymuje ten sam adres, nawet jeżeli został wyłączony na dłużej niż czas trwania jego dzierżawy.

Oferta DHCP

Każdy serwer DHCP otrzymujący żądanie odpowiada pakietem emisji DHCPOFFER, zawierającym oferowany adres IP (jeżeli ma jeden lub więcej nieprzydzielonych) oraz jego własny adres IP. Serwery DHCP na dalekim końcu routera mogą odpowiadać na emisję DHCPDISCOVER pod warunkiem, że router ma włączone przesyłanie ruchu emisji DHCP.

Żądanie DHCP (Request)

To kolejny pakiet również wysyłany przez klienta jako rozgłoszenie. Powodem takiego postępowania jest potrzeba powiadomienia jednego serwera o przyjęciu oferty i, jednocześnie, wszystkich pozostałych o jej odrzuceniu. W przypadku odebrania wielu ofert DCHP, proces podejmowania decyzji przez klienta firmy Microsoft przebiega następująco:

klient DHCP przyjmuje ofertę z serwera, który przydzielał adres IP używany ostatnio,

jeżeli serwer przydzielający wcześniejszy adres nie odpowiada, przyjmowana jest pierwsza oferta odebrana.

Potwierdzenie DHCP

Serwer DHCP oficjalnie przydziela żądany adres klientowi w pakiecie emisji DHCPACK. Pakiet zawiera również podane w żądaniu parametry opcjonalne, długość całkowitego okresu dzierżawy adresu oraz okresów jego odnawiania. Serwer przechowuje te informacje w swojej bazie danych jako przydzieloną dzierżawę.

Odświeżanie (odnawianie) DHCP

0x01 graphic
0x01 graphic
0x01 graphic
Nieodłącznym elementem przydzielenia klientowi adresu IP przez serwer DHCP jest przyznanie dodatkowo tzw. czasu użytkowania (lease). Określa on czas ważności ustawień. W tle pracują dwa zegary - T1 odmierza połowę czasu użytkowania, zaś T2 - 87,5 procent pełnego czasu użytkowania. Obie wartości można zmienić w opcjonalnych ustawieniach serwera DHCP - jeśli takie funkcje zostały zaimplementowane. Po upływie czasu T1 klient wysyła komunikat DHCPREQUEST do serwera i pyta, czy serwer może przedłużyć czas użytkowania. Stan ten określa się jako renewing status. Z reguły serwer odpowiada wiadomością DHCPACK i przydziela nowy czas użytkowania. Serwer resetuje wówczas zegary T1 i T2.

Jeżeli po upływie czasu T2 klient nie otrzyma wiadomości DHCPACK, rozpoczyna się tak zwany rebinding status. Klient musi wysłać komunikat DHCPREQUEST, żeby uzyskać przedłużenie czasu użytkowania. Serwer może odpowiedzieć na to żądanie potwierdzeniem DHCPACK. Jeżeli jednak i to żądanie pozostanie bez odpowiedzi, klient musi zażądać nowego adresu IP. Wkracza wówczas ponownie opisany na początku mechanizm, który roz 4. Obszar adresowania a czas użytkownika

0x01 graphic
0x01 graphic
0x01 graphic
Zanim serwer DHCP będzie w ogóle mógł zacząć przydzielać klientom adresy IP, musi zostać wyposażony w informacje na temat przewidzianego do tych celów obszaru adresowego (rangę). Obszar adresowy jest zdefiniowany poprzez adres początkowy i końcowy. W zależności od implementacji mogą też być obszary wykluczone, a więc takie, których serwer nie może przydzielać. Gwarantuje to bezkolizyjne współistnienie w sieci adresów stałych i dynamicznie przydzielanych. Czas użytkowania określany jest zwykle w dniach, godzinach i minutach. Nie ma w tym względzie żadnej złotej reguły. Parametr ten, jeśli w ogóle jest zaimplementowany w poszczególnych produktach, musi uwzględniać obciążenie serwera, zachowanie klientów i stabilność sieci. Decydujące znaczenie ma liczba potencjalnych klientów. Reguła brzmi: czas użytkowania powinien być dwukrotnie dłuższy niż czas potrzebny do przywrócenia pracy serwera w razie jego awarii. W przypadku długiego czasu użytkowania, odpowiednio później uwzględniane są zmiany opcji DHCP po stronie klientów.

poczta elektroniczna

W referacie przedstawiono sposób działania poczty elektronicznej, opierającej się na trzech protokołach: SMTP, POP i IMAP

Poczta elektroniczna opiera się na trzech protokołach - SMTP do wysyłania oraz POP i IMAP do odbioru. Specyfikację każdego protokołu opisano w jednym lub kilku dokumentach RFC.

Simple Mail Transfer Protocol - SMTP

0x01 graphic
0x01 graphic
0x01 graphic
Zadaniem SMTP jest niezawodny i wydajny transport wiadomości. Protokół ten jest niezależny od protokołu sieciowego; zwykle stosowany jest standardowy protokół Internetu, TCP. Komunikacja odbywa się przez port 25.

Za wymianę wiadomości odpowiadają tzw. mail transfer agents (MTA). Najbardziej znanym MTA jest Sendmail. Użytkownik zwykle nie ma z nimi bezpośrednio do czynienia. Dostawą poczty do i z MTA zajmują się klienty pocztowe, takie jak Outlook czy KMail. MTA komunikują się między sobą za pomocą zwykłych znaków ASCII. Klient wysyła polecenia do serwera, który odpowiada za pomocą kodu numerycznego i opcjonalnego ciągu znaków.

Simple Mail Transfer Protocol ma jednak jedną, istotną wadę - po wysłaniu e-maila nie otrzymuje się żadnej wiadomości o jego dalszych losach. Specyfikacja przewiduje wprawdzie powiadomienie nadawcy w sytuacji, gdy wiadomość nie może być dostarczona. Nie jest określone jednoznacznie, jak taka wiadomość ma wyglądać. Zwykle jest to e-mail z komunikatem o błędzie i nagłówkiem niedostarczonej wiadomości. Ze względu na brak standardu, w praktyce rzadko udaje się ustalić, gdzie i dlaczego wystąpił błąd. Dlatego też opracowano rozszerzenie SMTP, definiujące standardowe powiadomienia o błędach. Niestety bardzo niewiele serwerów obsługuje obecnie to rozszerzenie.

Proces SMTP

0x01 graphic
Proces SMTP

Typowe połączenie SMTP składa się z następujących etapów:

0x01 graphic
Droga e-maila od nadawcy do odbiorcy

2.2. Polecenia protokołu SMTP

Polecenie definiują sposób przesyłania e-maili. Zgodnie ze specyfikacją implementacja SMTP musi obsługiwać co najmniej osiem poleceń:

POLECENIE

OPIS

HELO

Inicjuje połączenie i identyfikuje nadawcę SMTP dla odbiorcy SMTP

MAIL

Inicjuje transakcję pocztową

RCPT

Identyfikuje pojedynczego adresata

DATA

Identyfikuje wiersze następujące po poleceniu jako dane pocztowe od nadawcy

RSET

Przerywa bieżącą transakcję pocztową

SEND

Dostarcza pocztę do terminala

SOML

Dostarcza pocztę do terminala. Jeżeli ta operacja się nie powiedzie, poczta zostanie dostarczona do skrzynki pocztowej

SAML

Dostarcza pocztę do terminala. Poczta jest również dostarczana do skrzynki pocztowej

VRFY

Weryfikuje nazwę użytkownika

EXPN

Rozwija listę dystrybucyjną

HELP

Sprawia, że odbiorca wysyła przydatne informacje

NOOP

Żąda, by odbiorca wysłał odpowiedź OK, ale w przeciwnym razie nie określa żadnych działań

QUIT

Żąda, by odbiorca wysłał odpowiedź OK, a następnie zamknął kanał transmisyjny

TURN

Żąda, by odbiorca przejął rolę nadawcy. Jeżeli zostanie otrzymana odpowiedź OK, to nadawca staje się odbiorcą

Kody odpowiedzi SMTP

Kody odpowiedzi SMTP gwarantują, że klient jest na bieżąco informowany o statusie serwera. Każde polecenie wymaga kodu odpowiedzi od serwera. Klient decyduje o sposobie dalszego postępowania wyłącznie na podstawie otrzymanych zwrotnie kodów numerycznych.

KOD

ZNACZENIE

211

Odpowiedź stanu systemu lub pomocy systemowej

214

Komunikat pomocy

220

Usługa gotowa

221

Usługa zamyka kanał transmisyjny

250

Żądane działanie poczty OK, zakończone

251

Użytkownik nielokalny; przekażę do ścieżki przekazywania

354

Rozpocznij wprowadzanie poczty

421

Usługa niedostępna, zamykam kanał transmisyjny

450

Żądane działanie poczty nie zostało podjęte: skrzynka pocztowa niedostępna

451

Żądane działanie zostało przerwane

452

Żądane działanie nie zostało podjęte: niewystarczająca ilość pamięci systemowej

500

Błąd składniowy, polecenie nierozpoznane

501

Błąd składniowy w parametrach lub argumentach

502

Polecenie nie zostało implementowane

503

Zła kolejność poleceń

504

Parametr polecenia nie został implementowany

550

Żądane działanie poczty nie zostało podjęte: skrzynka pocztowa niedostępna

551

Użytkownik nielokalny; spróbuj wykorzystać ścieżkę przekazywania

552

Żądane działanie poczty zostało przerwane: przekroczona alokacja pamięci

553

Żądane działanie nie zostało podjęte: niedozwolona nazwa skrzynki pocztowej

554

Transakcja nie powiodła się

Mail Routing i DNS

Gdy serwer SMTP odbierze wiadomość od klienta, odpowiada za routing e-maila. System nazw domen (DNS) odgrywa centralną rolę nie tylko w dziedzinie dostępu do serwerów internetowych i FTP, lecz również w kwestii przesyłania wiadomości elektronicznych.

W systemie DNS przewidziano specjalne wpisy dla e-maili - rekordy MX. Serwer identyfikuje komputer docelowy za pomocą tak zwanego mail exchange record domeny. W tym celu pyta serwer DNS i otrzymuje listę serwerów (mail exchanger), które odbierają wiadomości dla tej domeny. Każdy mail exchanger ma określony priorytet o długości 16 bitów. Serwer SMTP próbuje zatem po kolei dostarczyć wiadomość do któregoś z serwerów zgodnie z priorytetem.

Zasadniczo wiadomość może przechodzić przez wiele serwerów SMTP. Wbrew szeroko rozpowszechnionemu mniemaniu, jakoby e-maile mogły kilkakrotnie okrążyć Ziemię, zanim w końcu dotrą do odbiorcy, w rzeczywistości z reguły przechodzą tylko przez dwa serwery SMTP. Zapobieganie powstawaniu takich pętli jest właśnie zadaniem rekordów MX. Mimo to w wyjątkowych przypadkach może się zdarzyć, że taka pętla powstanie, na przykład w sytuacji gdy informacje routingowe są niekompletne lub nieaktualne. Taki przypadek zachodzi na przykład przy zmianie dostawcy usług internetowych.

0x01 graphic
DNS i e-mail

Multipurpose Internet Mail Extension (MIME)

W treści e-maili stosuje się 7-bitowy tekst ASCII. Zawiera on 128 znaków, jednak bez narodowych znaków specjalnych. W tej wersji nie można więc pisać z polskimi ogonkami. RFC 2045 definiuje MIME, który eliminuje problemy, gdy w e-mailu użyto innego zestawu znaków niż US ASCII.

Treść e-maila MIME może być w dalszym ciągu przesyłana jako tekst ASCII, bez względu na zawartość. Jedynym warunkiem stosowania jest obsługa przez klienta pocztowego. MIME dodaje do nagłówka pewne elementy, które objaśniają odbiorcy strukturę treści.

ELEMENT

PARAMETR

OPIS

Wersja MIME

1.0

Określa wersję MIME.

Typ zawartości

Tekst, obraz itp.

Określa zawartość e-maila. W przypadku typów "tekst" i "multipart" dochodzi informacja o zestawie znaków oraz identyfikator części tekstowej.

Content Transfer Encoding

7bit, 8bit, binary, quoted-printable

Charakteryzuje algorytm kodowania danych

Tabela 3. Nagłówek MIME

Typy MIME

MIME nie tylko umożliwia przesyłanie e-maili z załącznikami, lecz jednocześnie zapewnia informację, którą klient pocztowy wykorzystuje do wybrania właściwego programu edycyjnego. Służy do tego element nagłówka "Typ zawartości". MIME dzieli typy danych (typy mediów) na siedem grup głównych z wieloma podgrupami. Każde rozszerzenie nazwy pliku przypisane jest do jednego z "typów mediów".

NAZWA

TYP

OPIS

tekst

plain

tekst niesformatowany

richtext

tekst z prostym formatowaniem (kursywa)

enriched

uproszczona i rozszerzona forma richtext

multipart

mixed

wieloczłonowa treść, elementy przetwarzane są sekwencyjnie

parallel

wieloczłonowa treść, elementy przetwarzane są równolegle

digest

wyciąg z e-maila

alternative

wieloczłonowa treść o identycznej zawartości logicznej

message

rfc882

zawartością jest inna wiadomość rfc822

partial

zawartością jest fragment e-maila

external-body

zawartością jest wskazówka do właściwej wiadomości

application

octet-stream

dane binarne

postscript

dane postscriptowe

image

jpeg

format iso 10918

gif

compuserve graphic interchange format (gif)

audio

basic

kodowany format 8-bitowy

video

mpeg

format iso 11172

Tabela 4. Ważniejsze typy MIME

Zabezpieczenie sesji SMTP

SMTP to protokół notorycznie nadużywany przez hakerów do wysyłania użytkownikom najróżniejszych niespodzianek. Łatwość takiego wykorzystania protokołu pocztowego wynika wprost z jego "ufnej" natury.

Działanie protokołu SMTP opiera się na technice określanej mianem przekazywanie SMTP (ang. SMTP relaying). Klient łączy się z serwerem SMTP i przekazuje wiadomości do odbiorcy przez ich "odbicie" na serwer SMTP.

Standardowo serwer SMTP pozwala przekazywać (odbijać) wiadomości dowolnym klientom. Wraz ze wzrostem problemu nieuprawnionego wysyłania wiadomości wiele organizacji blokuje swoje serwery SMTP, ograniczając możliwości korzystania z przekazywania SMTP. Typowe rozwiązania to:

Ograniczenie przekazywania do wybranych podsieci IP. Można skonfigurować serwer SMTP tak, aby przyjmował wiadomości wyłącznie od stacji pracujących w wybranej podsieci IP. Mimo że sprawdza się to w odniesieniu do klientów w sieci lokalnej, nie może być stosowane przez organizacje, w której użytkownicy zmieniają miejsca korzystania z poczty elektronicznej. Ponieważ użytkownik zmieniający miejsce pobytu korzysta z usług różnych ISP, zdefiniowanie wszystkich wymaganych podsieci jest praktycznie niemożliwe.

Wprowadzenie uwierzytelniania SMTP. Protokół SMTP przewiduje możliwość uwierzytelniania klientów jeszcze zanim zaczną oni wysyłać wiadomości. Choć wydaje się to rozwiązaniem najlepszym, wiąże się z pewnym ryzykiem, ponieważ uwierzytelnianie opiera się na jawnym przesyłaniu hasła.

Wyłączanie przekazywania SMTP. W przypadku serwerów poczty, takich jak Microsoft Exchange Server 2000, pozwalających klientom łączyć i uwierzytelniać się przy użyciu rozwiązań firmowych, przekazywanie SMTP można wyłączyć. Wówczas usługi specyficzne dla serwera pocztowego będą przyjmować wyłącznie wiadomości kierowane do Internetu. Z opcji tej nie można skorzystać, gdy w sieci pracują klienty protokołu POP3 lub IMAP4.

Poza ograniczeniami przekazywania, wymiana danych SMTP może być chroniona przy użyciu SSL, czyli mechanizmów opartych na technologii klucza publicznego. Zabezpieczenia SSL opierają się na zabezpieczonej wymianie klucza sesji używanego do szyfrowania całości komunikacji między klientem a serwerem.

Kiedy klient SMTP łączy się z usługą SMTP serwera pocztowego, otrzymuje klucz publiczny serwera. Procedura jest następująca:

Klient łączy się z serwerem SMTP. W miejsce standardowego portu TCP 25 wykorzystywany jest port TCP 465.

Serwer SMTP przesyła klientowi swój certyfikat. Jednym z jego atrybutów jest klucz publiczny serwera.

Klient weryfikuje certyfikat serwera: sprawdza powiązanie z zaufanym głównym organem certyfikującym (CA), kontroluje znacznik czasu, porównuje nazwę wymienioną w certyfikacie z pełną kwalifikowaną nazwą serwera i zestawia numer seryjny z listami certyfikatów unieważnionych.

Po udanej weryfikacji klient generuje losowy klucz sesji, szyfruje go przy użyciu klucza publicznego serwera i wysyła klucz do serwera. Serwer z kolei odszyfrowuje klucz sesji przy użyciu własnego klucza prywatnego i zwraca potwierdzenie, będące dla klienta zarazem potwierdzeniem tożsamości serwera.

Do serwera przesyłana jest nazwa użytkownika i hasło (zaszyfrowane przy użyciu klucza sesji).

Zagrożenia płynące z Internetu

Bezpieczeństwo to zagadnienie istotne zarówno dla firm jak i dla indywidualnych użytkowników. Internet to znakomite narzędzie zarówno do dystrybucji informacji o sobie jak i otrzymywaniu ich od innych, jednak z wszelkimi dobrodziejstwami globalnej sieci związana jest również pokaźna liczba zagrożeń. Przestępstwa komputerowe takie jak kradzież informacji czy celowe niszczenie danych to tylko niektóre z nich.

0x01 graphic
0x01 graphic
0x01 graphic
0x01 graphic
0x01 graphic
0x01 graphic
Najlepszym sposobem uniknięcia takiego biegu wydarzeń jest podjęcie działań prewencyjnych związanych z pozbawieniem możliwości uzyskania dostępu przez sieć do maszyny. To pole zastosowań dla firewalli (ścian ogniowych, zapór ogniowych).

Metody ataków

Ogólnie metody włamań można podzielić na:

Ataki z zewnątrz

Są to ataki, których najczęstszą formą są zakłócenia stabilnej pracy. Przejmowanie kontroli nad systemami odbywa się z zewnątrz sieci lokalnej, na przykład z Internetu. Można w tym celu wykorzystać lukę w systemie zabezpieczeń, błąd serwisu sieciowego lub po prostu słaby poziom zabezpieczeń firmy. Do najczęstszych tego typu ataków należą:

Ataki na poszczególne komputery, bądź serwer główny - to jeden z najczęstszych typów ataków. Konsekwencjami są zwykle przerwy w pracy sieci lokalnej, uszkodzenie poszczególnych (bądź wszystkich) końcówek serwera, a co za tym idzie, całej sieci; co powoduje wielogodzinne przerwy w pracy.

Ataki na serwer http - to ataki, których efektem jest utrata danych witryny internetowej lub uzupełnienie jej treściami kompromitującymi firmę.

Do ataków z zewnątrz sieci hakerzy często wykorzystują metodę zwaną Denial of Service - DoS. Jest to atak mający na celu zablokowanie konkretnego serwisu sieciowego (na przykład strony WWW) lub zawieszenie komputera. Możliwe jest przesterowanie ataków DoS do bardziej skomplikowanych metod, co może doprowadzić nawet do awarii całej sieci. Niejednokrotnie hakerzy, którzy włamują się do systemów za pomocą tzw. techniki spoofingu lub redyrekcji, ukrywają swój prawdziwy adres internetowy, więc ich zlokalizowanie często staje się niemożliwe. Anonimowość ułatwia więc zdecydowanie atakowanie systemów metodą DoS, co powoduje uniemożliwienie wykonania przez serwer jakiejkolwiek usługi.

Spoofing maskarada

Metoda ta stosowana jest zwykle przez doświadczonych i wyrafinowanych włamywaczy. Polega na podszyciu się włamywacza pod jednego z użytkowników systemu, który posiada własny numer IP (numer identyfikujący użytkownika). Technika ta ma na celu omijanie wszelkich zabezpieczeń, jakie zastosował administrator w sieci wewnętrznej. Jest bardzo skuteczna nawet, gdy bywa wykorzystywana przeciwko markowym firewallom, switchom i ruterom. Dzięki niej możliwe jest "udawanie" dowolnego użytkownika, a co za tym idzie "podszywanie" się i wysyłanie sfałszowanych informacji. Ze swego komputera haker może dokonać przekierowania źródłowego adresu IP i "podszyć się" pod komputer sieciowy. Robi to po to, by określić jego bezpośrednią drogę do miejsca przeznaczenia oraz trasę powrotną. W ten sposób może przechwytywać lub modyfikować transmisje bez zliczania pakietów przeznaczonych dla komputera głównego. W przeciwieństwie do ataków polegających na rozsynchronizowaniu, "podszywanie się" pod adresy IP jest trudne do wykrycia. Jeśli serwer internetowy ma możliwość monitorowania ruchu w sieci w zewnętrznym ruterze internetowym, to należy kontrolować przechodzące przez niego dane. Do sieci nie powinny być wpuszczane pakiety zawierające adresy komputera źródłowego i docelowego, które mieszczą się w obrębie lokalnej domeny. Najlepszą obroną przed podszywaniem się jest filtrowanie pakietów wchodzących przez ruter z Internetu i blokowanie tych, których dane wskazują na to, że powstały w obrębie lokalnej domeny.

Ataki z wnętrza sieci

Ataki z wnętrza sieci należą do jednych z groźniejszych. Włamanie następuje z wnętrza sieci lokalnej poprzez wykorzystanie konta jakiegoś użytkownika, czy też luki w zabezpieczeniach systemu autoryzacji użytkowników. Najczęściej włamania tego typu są udziałem pracowników firmy, a nie użytkowników komputerów spoza jej obrębu, gdyż dostęp do końcówki Sieci takiej osoby rzadko pozostaje zauważony.

Ataki pośrednie.

Hakerzy stosują tu dość wyrafinowane metody, czego najlepszym przykładem są konie trojańskie. To grupa ataków najtrudniejszych do wykrycia. "Podłożenie" konia trojańskiego otwierającego dostęp do całej sieci może odbyć się za pośrednictwem poczty elektronicznej czy też podczas ściągania programu, który pochodzi z niepewnego źródła. Użytkownik prawie nigdy nie jest świadom tego, że ściągając na przykład najnowszą wersję odtwarzacza plików mp3 faktycznie otwiera dostęp do swojego komputera, a potem całej Sieci osobom niepowołanym.

Packet sniffing (podsłuchiwanie pakietów)

Jest to metoda zdobywania systemu polegająca na przechwytywaniu przesyłanych przez sieć niezaszyfrowanych informacji. Można w ten sposób zdobyć hasło użytkownika i uzyskać dostęp do danego konta. Ataki polegające na "biernym węszeniu" stały się powszechne w Internecie. Stanowią one zazwyczaj wstęp do aktywnego przechwytywania cudzych plików. Aby rozpocząć tego rodzaju atak, haker musi zdobyć identyfikator i hasło legalnego użytkownika, a następnie zalogować się do Sieci. Kiedy wykona już te posunięcia, może bezkarnie podglądać i kopiować transmisje pakietów, zdobywając jednocześnie informacje o funkcjonowaniu danej sieci lokalnej.

Ataki korzystające z autoryzowanego dostępu

Są to ataki często stosowane przez osoby próbujące się włamać do sieci opartych na systemie operacyjnym, korzystającym z mechanizmu autoryzowanego dostępu (takim jak UNIX, VMS i Windows NT). Duże niebezpieczeństwo niesie ze sobą tworzenie plików zawierających nazwy serwerów, do których można uzyskać dostęp bez podawania hasła.

Zabezpieczenie za pomocą firewalla

Pojawił się problem zabezpieczenia prywatnych sieci przed nieautoryzowanym dostępem z zewnątrz. Administrator musi oddzielić lokalną sieć od internetowego chaosu, żeby dane nie dostały się w niepowołane ręce lub nie zostały zmienione.

0x01 graphic

Wydzielenie domen odseparowanych zaporą ogniową

Firewall może zabezpieczyć sieć przed nieuprawnionym dostępem z zewnątrz. Zakres dostępnych rozwiązań sięga od dodatkowego oprogramowania do specjalnych urządzeń, które służą tylko do tego celu.

Firewall składa się z pewnej liczby komponentów sieciowych (sprzętowych i programowych) w punkcie styku dwóch sieci. Zapewnia zachowanie reguł bezpieczeństwa między siecią prywatną, a niezabezpieczoną siecią publiczną, na przykład Internetem.

Właśnie ta zapora decyduje, które z usług w sieci prywatnej dostępne są z zewnątrz i z jakich usług niezabezpieczonej sieci publicznej można korzystać z poziomu sieci prywatnej. Aby firewall był skuteczny, cały ruch danych między siecią prywatną a Internetem musi przechodzić przez niego.

Firewall nie jest, jak router, bastion host czy inne urządzenie, częścią sieci. Jest jedynie komponentem logicznym, który oddziela sieć prywatną od publicznej. Bez firewalla każdy host w sieci prywatnej byłby całkowicie bezbronny wobec ataków z zewnątrz.

Firewall spełnia wiele funkcji, których zakres może obejmować:

kontrolę dostępu do usług systemu,

ograniczenie liczby dostępnych usług,

kontrolowanie połączeń sieciowych,

skanowanie serwisów sieciowych,

wykrywanie i eliminowanie prób włamania do systemu,

zabezpieczenie przesyłanych informacji,

nadzorowanie pracy routerów,

ochronę systemu przed niebezpiecznymi programami,

ukrywanie struktury wewnętrznej systemu,

monitorowanie bieżącego stanu komunikacji sieciowej,

rejestrowanie ważnych zdarzeń,

równoważenie obciążenia serwerów.

Kontrola dostępu do usług system

Kontrola jest prowadzona w stosunku do użytkowników zewnętrznych oraz tych pracowników firmy, którzy z pewnych przyczyn przebywają tymczasowo poza terenem organizacji i muszą korzystać z usług systemu. Niekiedy zezwala się także, aby pracownicy dokonywali zdalnych połączeń z systemem informatycznym organizacji za pośrednictwem sieci Internet, pracując na swoich komputerach domowych. Ściana ogniowa po zidentyfikowaniu użytkownika dokonuje uwierzytelnienia jego tożsamości, czyli sprawdzenia, czy jest tym, za kogo się podaje.

Uwierzytelnienie może się odbywać zgodnie z wybraną metodą:

hasło (wielokrotnego użytku, jednorazowe),

karty magnetyczne lub mikroprocesorowe,

systemy biometryczne.

Ograniczenie liczby dostępnych usług

Ograniczanie usług odnosi się do blokowania serwerów funkcjonujących zarówno w sieci prywatnej, jak i w Internecie. Myśląc o bezpieczeństwie systemu informatycznego należy ograniczyć dostępność określonych usług dla użytkowników zewnętrznych. Również, ze względów bezpieczeństwa oraz w celu zmniejszenia kosztów, można zablokować pewne usługi dla pracowników lokalnych.

Kontrolowanie połączeń sieciowych

Kontrolowanie odbywa się w niższych warstwach modelu OSI i dzięki temu może być przezroczyste dla użytkowników i aplikacji. Następuje przechwytywanie pakietów danych i sprawdzanie czy rozpoznane połączenie sieciowe jest dozwolone. Ściana ogniowa akceptuje lub blokuje próby zainicjowania komunikacji sieciowej między określonymi komputerami. W dużych sieciach korporacyjnych często przyjmuje się konfigurację, w której komputery mogą prowadzić komunikację wyłącznie w środowisku sieci prywatnej.

Skanowanie serwisów sieciowych

Skanowanie serwisów sieciowych jest najczęściej prowadzone w stosunku do popularnych usług internetowych: WWW, FTP i poczty elektronicznej. Ściana ogniowa nadzoruje sposób i charakter wykorzystania tych usług, na podstawie pewnych przyjętych reguł ochrony oraz ustaleń organizacyjnych. Można na przykład określić, o której godzinie, w których dniach tygodnia i za pośrednictwem jakich komputerów pracownicy firmy mogą korzystać z zasobów odpowiednich serwerów WWW i FTP. W odniesieniu do poczty elektronicznej można wyobrazić sobie sytuację, w której firewall skanuje wszystkie nadchodzące i wychodzące przesyłki pocztowe oraz poddaje je określonej obróbce, np. usunięciu pewnych typów załączników, zmianie adresu nadawcy lub odbiorcy.

Wykrywanie i eliminowanie prób włamania do systemu

Wykrywanie i eliminowanie prób włamania do systemu jest jednym z najważniejszych zadań stawianych systemowi ściany ogniowej, od którego w dużej mierze zależy bezpieczeństwo całej organizacji. Firewall powinien być przygotowany do odparcia ataków typu "spoofing", "source routing", "source porting", "SYN Flood", "Ping of Death" oraz wszystkich innych znanych technik stosowanych przez hakerów.

Zabezpieczenie przesyłanych informacji

Ochrona danych przesyłanych w sieci publicznej sprowadza się do tworzenia wirtualnych sieci prywatnych. Jest to sieć logicznych kanałów transmisji danych, tworzonych na bazie sieci publicznej, otwieranych (najczęściej) na czas transferu danych między stacjami ścian ogniowych sieci prywatnych, poprzez które odbywa się przesyłanie informacji w formie zaszyfrowanej. Niektóre rozwiązania pozwalają także na tworzenie sieci VPN (ang. Virtual Private Network) między ścianą ogniową a odległymi komputerami użytkowników.

Nadzorowanie pracy routerów

Nadzorowanie pracy routerów jest konieczne w przypadku dużych sieci komputerowych, gdzie stosowanie jednego routera dostępu nie jest wystarczające. Takie sieci są wyjątkowo narażone na ataki hakerów, ponieważ istnieje wiele dróg wejścia do systemu i można łatwiej obejść jego zabezpieczenia. Routery mogą z powodzeniem zostać włączone do ściany ogniowej jako "przednia straż" prywatnej sieci komputerowej. Router może prowadzić filtrowanie pakietów danych, szyfrowanie i uwierzytelnianie przesyłanych informacji, a także przeciwdziałać włamaniom typu "Spoofing".

Ochrona systemu przed niebezpiecznymi programami

Ochrona systemu odnosi się głównie do najnowszych rozszerzeń możliwości serwisu informacyjnego WWW. W ramach strony HTML można uruchamiać programy Java, JavaScript, VisualBasic Script oraz ActiveX. Obecnie tylko technologia Java ma na tyle mocne mechanizmy zabezpieczeń, że można ją wykorzystywać bez obaw. Na inne rozszerzenia WWW można sobie pozwolić wówczas, gdy pochodzą z dobrze znanych i zaufanych serwerów. Współczesne ściany ogniowe potrafią sprawnie blokować dodatki do stron HTML, które pochodzą z określonych serwerów WWW.

Ukrywanie struktury wewnętrznej systemu

Ukrywanie struktury systemu ma na celu zmniejszenie ryzyka włamania z zewnątrz. Jest ono najczęściej realizowane przez tłumaczenie adresów komputerów sieci prywatnej. Technika tłumaczenia adresów sieciowych nosi nazwę NAT (ang. network address translation) i polega na odwzorowaniu wielu rzeczywistych adresów w jeden adres (widziany na zewnątrz sieci) lub bloku adresów w inny blok. Technicznie odbywa się to poprzez przechwytywanie pakietów danych i odpowiednią modyfikację zawartości ich nagłówków. Oprócz tłumaczenia adresów można wykonywać także translację numerów portów.

Monitorowanie bieżącego stanu komunikacji sieciowej

Monitorowanie bieżącego stanu komunikacji sieciowej umożliwia administratorowi wczesne zapobieganie określonym, niekorzystnym zjawiskom np. włamaniom, dużemu obciążeniu routera, itp. Na podstawie bieżącego stanu komunikacji, administrator może modyfikować parametry ściany ogniowej. Często stosowaną techniką jest blokowanie usług, a nawet całych stacji sieciowych (o niskim priorytecie), w celu zmniejszenia obciążenia systemu.

Rejestrowanie ważnych zdarzeń

Rejestrowanie zdarzeń umożliwia tworzenie raportów okresowych z działalności ściany ogniowej oraz pomaga w wykrywaniu sprawców łamania zasad przyjętej polityki ochrony systemu. Na podstawie analizy danych z archiwum, administrator może modyfikować konfigurację firewalla w celu wzmocnienia szczelności systemu ochrony.

Równoważenie obciążenia serwerów

Równoważenie obciążenia serwerów sieciowych jest uzasadnione w przypadku organizacji, które świadczą atrakcyjne usługi w sieci Internet. Pojedynczy serwer może wówczas być niewystarczający, a zastosowanie dodatkowych, często kończy się sytuacją, w której jeden komputer jest nadmiernie obciążony, a inne pozostają bezczynne. Ściana ogniowa może przechwytywać zgłoszenia napływające od klientów z Internetu i kierować je do obsługi na wybrany serwer, zgodnie z pewnym przyjętym algorytmem rozdziału zadań.

Powyżej przedstawiono funkcje, jakie mogą pełnić firewalle. W funkcje te są wyposażone w mniejszym lub większym stopniu wszystkie ściany ogniowe dostępne na rynku.

Niestety nadmiar funkcji powoduje, że niedoświadczeni użytkownicy mają wielki problem z poprawnym skonfigurowaniem swoich zapór ogniowych. Wiele gazet poświęconych tematyce komputerowej zamieszcza artykuły, w których autorzy pomagają w konfiguracji.

Osoby, używające zapór: Sygate Personal Firewall 5.5, McAfee Firewall 4.02, Kerio Personal Firewall 4.0.13., odsyłam do artykułu pt.: "Za ścianą ognia" zamieszczonego w "CHIP" nr 5/2004 (strony: 134-138). Autorzy artykuły omówili dość szczegółowo podstawową konfigurację powyżej wymienionych ścian ogniowych.

Wady i ograniczenia zapór ogniowych

Firewall może tylko wtedy skutecznie chronić sieć, gdy wszystkie pakiety muszą przez niego przejść. Jeżeli na przykład w obrębie chronionej sieci zostanie ustanowione dodatkowe połączenie przez modem lub ISDN, użytkownicy mogą się łączyć bezpośrednio z Internetem przez PPP. Ci, którzy z jakiś powodów chcą uniknąć dodatkowego uwierzytelniania na serwerze proxy, szybko skorzystają z tej możliwości. Obchodząc firewall, stwarzają ogromne ryzyko ataku typu backdoor.

Firewall jest również bezużyteczny w wypadku ataku od wewnątrz. Nie zapobiegnie skopiowaniu poufnych danych na dyskietkę i wyniesieniu jej z firmy. Tym bardziej nie uniemożliwi działania pracownikowi, który ma duże uprawnienia lub ukradł hasła.

Firewalle nie ochronią też przed wirusami komputerowymi i trojanami, ponieważ nie sprawdzą każdego pakietu w poszukiwaniu szkodników. Nie radzą sobie także z datadriven attacks, polegających na wprowadzeniu pozornie niewinnych danych z ukrytym kodem, który może na przykład zmienić ustawienia zabezpieczeń.

Od dobrego firewalla należy oczekiwać, że będzie na tyle wydajny, żeby analiza danych nie spowalniała przepływu ich strumienia. Im szybsze łącze internetowe, tym więcej pakietów przepływa przez ścianę ogniową. Jeżeli ma ona również analizować strumienie danych - a więc nie tylko pakiety, ale także dane logiczne - potrzebny jest odpowiednio wydajny system.

Jak wyżej pokazano ściany ogniowe nie rozwiązują wszystkich problemów związanych z bezpieczeństwem. Należy pamiętać, że ściany ogniowe są tak dobre jak ich zasady. Niepełny zestaw nieodpowiednio określonych czy nawet nieodpowiednio obsługiwanych reguł może podważyć efektywność działania całej ściany ogniowej.

Zabezpieczenie systemu przez zaporę ogniową jest tak dobre jak ludzie, którzy ją programują i obsługują.

społeczeństwo informacyjne

Hasło "społeczeństwo informacyjne" robi coraz większą karierę. Pojawia się w rozmaitych artykułach, programach telewizyjnych i innych publicznych wypowiedziach.

0x01 graphic
0x01 graphic
0x01 graphic
0x01 graphic
0x01 graphic
0x01 graphic
Co jednak charakterystyczne, wszyscy wypowiadający się na temat "społeczeństwa informacyjnego" podkładają pod to hasło zagadnienia, takie jak upowszechnienie dostępu do Internetu, pracownie komputerowe dla szkół, demonopolizacja rynku telekomunikacyjnego, itp. - innymi słowy, skupiają się na narzędziach dostępu do informacji.

Istotą społeczeństwa informacyjnego - jak sama nazwa wskazuje - jest przede wszystkim informacja! Narzędzia, takie jak Internet - choć niewątpliwie ważne i potrzebne - same nic nie zdziałają, gdy tej informacji brak. Ten aspekt sprawy zdaje się umykać wszystkim dyskusjom na temat społeczeństwa informacyjnego - a wcale nie wygląda on różowo. To nieprawda, że w Internecie jest wszystko, wystarczy tylko poszukać; wielu informacji niestety po prostu tam nie ma i przynajmniej w najbliższej perspektywie nie zanosi się na to, aby wszystko w Internecie było.

e-voting

Proces głosowania składa się z trzech etapów: identyfikacji głosującego, złożenia głosu i przeliczenia głosów oddanych w całym głosowaniu. Głosowanie metodami tradycyjnymi może zostać przeprowadzone w lokalu wyborczym, przy jednoczesnej obecności głosującego i komisji wyborczej, lub zdalnie, przez wysłanie wypełnionej karty do głosowania pocztą. Polskie prawo nie przewiduje głosowania pocztowego, stąd do niedawna Polacy przebywający w Szwajcarii, nie mogli brać udziału w wyborach, gdyż tamtejsze prawo zabraniało organizowania wyborów w placówkach dyplomatycznych, bo mogło to prowokować do zgromadzeń i protestów mniejszości narodowych.

Głosowania elektroniczne (e-voting) również mogą być przeprowadzane w lokalach wyborczych lub zdalnie, z tym, że głosowania zdalne mogą się odbywać za pomocą bezobsługowych, publicznych stanowisk do głosowania (zwanych czasem głosomatami) lub z wykorzystaniem Internetu, wiadomości tekstowych w telefonii komórkowej (SMS) lub interaktywnych systemów odpowiedzi głosowych (Interactive Voice Response systems). Informatyzacji podlegać może każdy z trzech etapów głosowania niezależnie, jednakże zwykle najpierw automatyzuje się liczenie głosów, jako najbardziej czasochłonne, a wymagające stosunkowo najmniejszych inwestycji.

Usługi inteligentnego przesyłania komunikatów

Przesyłanie komunikatów systemu VINES potrafi samodzielnie dokonać odpowiedniej autokonfiguracji i poprawnie współpracuje ze wszystkimi programami obsługi poczty elektronicznej. Jest przy tym w pełni zintegrowany z systemem StreetTalk, dzięki czemu w celu uzyskania do niego dostępu wystarczy zarejestrowanie się w bazie danych StreetTalk jednego tylko z przyłączonych do sieci serwerów. Po zarejestrowaniu się można swobodnie korzystać z całej sieci, w tym między innymi przeglądać informacje adresowe dotyczące użytkowników sieci, a także odbierać - po podaniu odpowiedniego hasła - pocztę elektroniczną na dowolnej stacji roboczej. Jest to możliwe dzięki temu, że informacje adresowe o użytkownikach zapisywane są wyłącznie w systemie StreetTalk. Dzięki temu, niezależnie od rodzaju programu obsługi poczty elektronicznej, z jakiego korzystać będą użytkownicy, współpraca z systemem przesyłania komunikatów systemu VINES będzie poprawna. Co więcej, usługi przesyłania komunikatów są tak dobrze wbudowane w system NMS, że administratorzy mogą, jeśli zajdzie taka potrzeba, monitorować wszystkie przesyłane wiadomości.

Usługi bezpieczeństwa

Usługi bezpieczeństwa są przezroczyste dla użytkowników sieci, ale mimo to są bardzo efektywne. Pozwalają na zabezpieczanie plików, drukarek, bram, aplikacji i innych zasobów. Kontrola zasobów ma miejsce w momencie uzyskiwania do nich dostępu, więc nawet jeśli haker byłby fizycznie przyłączony do serwera, to nie udałoby mu się uzyskać dostępu do żadnego zasobu, jeśli nie znajdowałby się na liście praw dostępu (ang. ARL - Access Rights List) tego serwera. Lista praw dostępu jest prostym sposobem zarządzania bezpieczeństwem w sieci VINES.

Standardy obsługiwane przez VINES

Sieci VINES współpracują z wieloma różnymi standardami i protokołami, zarówno na swoich łączach komunikacyjnych, jak i na wielu klienckich systemach operacyjnych. Głównymi standardami obsługiwanymi przez VINES są:

Mocne i słabe strony VINES

Banyan próbuje ukryć fakt, że VINES zbudowany został na fundamentach systemu UNIX. A więc UNIX jest bazowym systemem operacyjnym, dzięki któremu VINES może w ogóle działać. UNIX jest jednak często nieaprobowany przez dostawców nowoczesnych technologii. Mimo że, system ten został opracowany wiele lat temu, nadal jest świetnym systemem operacyjnym.

Prawdziwą siłą systemu VINES jest jego usługa katalogowa StreetTalk. Stanowi ona pierwszą realizację pomysłu hierarchicznego listowania osób i zasobów wewnętrznej sieci przedsiębiorstwa. Usługa ta jest bardzo niezawodna i daje się przy tym łatwo konfigurować. Inną zaletą systemu VINES jest fakt, że pozwala on - przy użyciu wspomnianej wyżej usługi ENS - na obsługę wielu różnych platform, w tym takich jak: NetWare, UNIX (AIX, SCO i Solaris) oraz NT. Umożliwia to włączenie innych systemów LAN do usługi katalogowej StreetTalk.

Mimo wielu zalet systemu V1NES, lista jego wad jest niemała. Obsługa urządzeń sprzętowych jest bardzo ograniczona. Windows NT - dla porównania - umożliwia błyskawiczne rozpoznanie i konfigurację większości przyłączonych do sieci urządzeń. VINES zbudowany jest jednak na podstawie platformy starego UNIX-a, co oznacza, że rozpoznawanie urządzeń sprzętowych nie jest możliwe. Ponadto VINES potrafi obsługiwać jedynie ograniczoną liczbę urządzeń

Novell NetWare

Firma Novell ustanowiła światowy standard, jeśli chodzi o obsługę sieci LAN. Banyan natomiast opracował lepsze usługi katalogowe. Wszak pierwszą usługą katalogową była właśnie StreetTalk firmy Banyan. Przed jej opracowaniem jedyną usługą obsługi katalogów/plików był UNIX-owy system NFS (ang. Network File System - system plików sieciowych). NFS został jednak zaprojektowany do obsługi sieci WAN, które składają się z wielu różnych systemów hostów. StreetTalk został zaprojektowany specjalnie dla sieci LAN. Novell oczywiście szybko opracował podobny system. I zrobił to dobrze.

Żadna inna firma nie potraktowała sieci na początku lat 80 tak poważnie jak Novell. Pozostaje on więc liderem na tym rynku, choć jej miejsce powoli zajmuje Microsoft. Czy rzeczywiście zajmie - trudno na razie prorokować. Według danych IDC (ang. International Data Corporation), czyli Korporacji Danych Międzynarodowych, w 1996 roku na świecie sprzedano 2,4 miliona sieciowych systemów operacyjnych, przy czym 41% z tego sprzedał Novell. IDC przy tym przewiduje, że udział firmy Novell w sprzedaży sieciowych systemów operacyjnych w latach 1996 do 2000 zwiększy się o 8 punktów procentowych. Novell jak dotychczas oferował lepsze rozwiązania, jeśli chodzi o sieci rozproszone i wewnątrz-korporacyjne.

Novell NetWare był pierwszym sieciowym systemem operacyjnym, który umożliwiał obsługę wielu platform. Był to też pierwszy sieciowy system operacyjny obsługujący sieci o różnych topologiach oraz trasowanie przesyłanych między nimi danych. Prawdziwa siła systemu NetWare polegała na tym, że był on pierwszym sieciowym systemem operacyjnym pozwalającym na obsługę sieci komputerów pracujących pod kontrolą DOS-u. Firma Novell dostrzegła również system Apple, dla którego NetWare stał się pierwszym sieciowym systemem operacyjnym udostępniającym usługi TCP/IP. Przyniosło to później niemałe korzyści - zwłaszcza w godzinie sławy AppleTalk i innych systemów Apple. Ale wszystko to jest wynikiem ponadprzeciętnych właściwości systemu Novell NetWare, które przedstawiam w następnym punkcie.

Właściwości NetWare

Główną przyczyną tego, że systemowi NetWare udało się tak dalece wyprzedzić konkurencję, jest fakt, że NetWare jest systemem operacyjnym zaprojektowanym specjalnie do obsługi sieci. System Banyan wymaga uprzedniego zainstalowania systemu UNIX. Windows NT jest natomiast, tak jak NetWare, systemem operacyjnym, ale w odróżnieniu od NetWare, nie został on zaprojektowany specjalnie jako system maksymalizujący sprawność usług sieciowych. NetWare został utworzony z myślą o optymalizacji czynności sieciowych, co stanowi o jego przewadze w stosunku do pozostałych systemów sieciowych. Właściwościami decydującymi o owej przewadze są:

Pierwsza ze wspomnianych sześciu usług sprawia, że Novell nadal stanowi mocną konkurencję względem Windows NT. Na utworzenie przez Banyan systemu StreetTalk Novell odpowiedział opracowaniem usługi NDS.

Standardy obsługiwane przez NetWare

Podczas tworzenia systemu NDS Novell zdecydował zastosować się do standardu X.5OO komitetu CCITT. Novell jest firmą w dużym stopniu uwzględniającą standardy otwarte podczas opracowywania swoich produktów. Dzięki zastosowaniu się do hierarchicznej struktury nazwy standardu X.5OO, NDS uniemożliwia tworzenie kopii obiektów. Każdy z nich musi bowiem mieć swoją własną rozróżnialną nazwę (ang. Distinguished Name, w skrócie DN). Jeśli więc w dziale sprzedaży pracowałby pracownik o imieniu Bil a numerem działu byłoby 2345, to rozróżnialną nazwą pracownika byłoby BILL.SALES.2345. Samo imię BILL (bez dodania SALES.2345) stanowi tzw. RDN, czyli względną nazwę rozróżnialną (ang. Relative Distinguished Mamę).

Podczas korzystania z usług NDS każdy obiekt musi być unikatowo zidentyfikowany przez określenie miejsca tego obiektu w drzewie katalogów. Dzięki temu z jednej względnej nazwy rozróżnialnej (RDN) korzystać można w połączeniu z różnymi tzw. pojemnikami. Dla usług NDS Novell pojemniki są czymś w rodzaju archiwum informacji o grupach osób korzystających z określonego serwera. Można na przykład korzystać ze względnej nazwy BILL zarówno dla pojemnika SALES.2345, jak i dla pojemnika HR.2345. Właściwość ta jest bardzo mocną cechą systemu NDS. System NDS umożliwia podział rzeczywistości - za pomocą pojemników - na elementy i zasoby, które Novell nazywa "liśćmi" lub "obiektami liści".

Obiektami pośredniego szczebla systemu NDS, które przez Novell nazywane są "obiektami pojemników" (pojemników na obiekty, czyli na liście) są Organizacja (O), Jednostka organizacyjna (OU), Kraj (C), a także [Root]. Zwykle obiektami liści są użytkownicy, drukarki, serwery, mapy katalogów, itp. Takie znaczenie "obiektu liścia" może być cokolwiek mylące, ale jego sens jest logicznie uzasadniony. W znaczeniu tradycyjnym liść jest obiektem znajdującym się na końcu drzewa, czyli obiektem, który nie zawiera innych obiektów. Podobnie Novell używa tego terminu na określenie obiektu, który nie może zawierać w sobie innych obiektów. W związku z tym, jeśli coś jest "obiektem liścia", to znajduje się na końcu drzewa struktury katalogowej. Najczęściej jest nim drukarka lub użytkownik. W systemie NDS tworzyć można nieograniczoną liczbę pojemników i obiektów. Standardowo w systemie NDS znajduje się 37 typów pojemników i obiektów liści. Umożliwiają one zarządzanie zasobami wszelkiego rodzaju. Po przyłączeniu do sieci nowych zasobów, można zdefiniować nowe typy obiektów i dodać je do struktury nazw NDS.

Użytkownicy ADMIN mogą oglądać graficznie uporządkowaną, czytelną strukturę obiektów systemu NDS. Jako użytkownik ADMIN zalogować się można z dowolnej stacji roboczej. Umożliwia to zarządzanie całym drzewem katalogów; można dodawać i usuwać użytkowników, serwery i inne zasoby sieciowe. Użytkownicy w celu uzyskani dostępu do zasobów sieciowych muszą logować się tylko raz. NDS jest prawdopodobnie najlepszą dostępną usługą katalogową.

Microsoft zmienił ostatnio nazwy swoich usług obsługi katalogów, ale nie spowodowało to specjalnego zbliżenia systemu NT do obiektowo zorientowanej struktury bazy danych, której przykładem jest NDS.

Usługi bezpieczeństwa

Bezpieczeństwo jest kolejnym obszarem, na którym NetWare ma możliwość zabłyśnięcia. Firma Novell - jako pomysłodawca wykorzystania nazw użytkowników, haseł i profili użytkownika w sieci LAN - ustanowiła standard dla usług bezpieczeństwa. Informacje profilu użytkownika zapisywane są na dysku sieciowym NetWare w formacie zaszyfrowanym. Rozwiązanie to jest o tyle wspaniałe, że umożliwia dostęp do plików, do których użytkownicy systemów DOS, UNIX, OS/2, czy Windows nie mogą uzyskać dostępu nawet na poziomie fizycznym.

Informacja dotycząca hasła przesyłana jest ze stacji roboczej do serwera w formacie zaszyfrowanym. Nawet administrator nie może sprawdzić znajdującego się na serwerze hasła użytkownika. Administrator może zwiększyć lub zmniejszyć liczbę zezwoleń nadanych użytkownikowi, ale tylko użytkownik wie, jakie jest jego hasło. Administrator może określić, jak często użytkownik musi zmieniać swoje hasło, ale nie ma możliwości dokonania tej zmiany.

Użytkownicy mają dostęp do tych samych zasobów, niezależnie od tego czy uzyskują go za pośrednictwem stacji roboczych, czy bezpośrednio z serwera, ze względu na to, że zabezpieczenia NetWare ustanowione zostały na poziomie najniższym z możliwych. Wszelkie próby uzyskania dostępu do informacji lub zasobów sieciowych przechodzą przez system bezpieczeństwa NetWare. Również zatem system NDS obsługi katalogów NetWare jest ściśle powiązany z systemem bezpieczeństwa NetWare. Dzięki temu użytkownicy uzyskują dostęp tylko do tych zasobów, do których hasła i zezwolenia ich upoważniają. W systemie bezpieczeństwa NetWare wykryto niewiele słabych stron; w systemie Windows NT ich wielość zawsze była źródłem krytyki.

Usługi baz danych

Inną mocną stroną systemu NetWare jest fakt, że oferuje on usługi bazy danych sieci LAN w środowisku klient-serwer. Usługi te znacznie ułatwiają życie wszystkim twórcom aplikacji pisanych pod Novell Netware. Tworzą one bowiem główne archiwum informacji, które składowane są w serwerze. W systemie NetWare dostępne są dwie usługi baz danych: NetWare Btrieve oraz NetWare SQL.

Btrieve jest systemem baz danych indeksowanym przy użyciu klucza, zaprojektowanym w celu ułatwienia tworzenia aplikacji specjalistycznych. Wiele przedsiębiorstw korzysta z systemu Btrieve w celu zapisywania danych (rekordów) na serwerze NetWare. Użytkownicy stacji roboczych mogą dzięki temu uzyskiwać do tych danych szybki dostęp.

Próbując dostosować się do standardów przemysłowych, Novell opracował system NetWare SQL (ang. Structured Query Language). SQL jest starym (czy raczej: dojrzałym) standardem używanym w sieciach mainframe do wykorzystywania informacji zapisanych w komputerze głównym. Istnieje wiele wersji SQL, ale Novell starał się trzymać pierwotnej wersji SQL podczas opracowywania swojej wersji sieci LAN. W NetWare SQL uczyniono o jeden krok więcej w porównaniu z Btrieve, wprowadzając możliwość dostępu do rekordów Btrieve z poziomu różnych platform i aplikacji.

Mimo że NetWare do zarządzania rekordami używa Btrieve, to wykorzystanie SQL jako interfejsu NetWare SQL umożliwia wielu platformom dostęp do rekordów Btrieve. Dzięki temu aplikacje opracowane dla Btrieve oraz dla SQL mogą poprawnie współdzielić dane. System NetWare obsługuje wiele różnych aplikacji innych producentów, ale dwie wyżej wspomniane stanowią najlepsze narzędzia do tworzenia aplikacji dla sieci Novell LAN.

Usługi przesyłania komunikatów

Ostatnimi laty w dziedzinie usług przesyłania komunikatów dokonał się znaczny rozwój. Novell nie jest oczywiście jedyną firmą działającą na tym polu. Na pewno usługi przesyłania komunikatów zyskają nową twarz, lecz zapewne podstawy, które Novell stosuje od lat, nie ulegną większym zmianom.

Tradycyjną nazwą używaną na określenie tej usługi była NetWare Message Handling Service, czyli właśnie usługa przekazywania komunikatów - w skrócie MHS. Umożliwia ona łatwe przesyłanie komunikatów między wieloma różnymi aplikacjami czołowymi. Aplikacje te mogą współdzielić dane znajdujące się w różnych miejscach sieci tak LAN, jak i WAN. Usługa MHS może być zainstalowana również na pojedynczym przyłączonym do sieci komputerze PC. Można go tak skonfigurować, aby przesyłał dane w określonym czasie. Dzięki temu dane można przesyłać w czasie, kiedy ruch w sieci jest najmniejszy, lub kiedy najniższe są opłaty za jej używanie.

Twórcy oprogramowania mogą od firmy Novell uzyskać zestawy ułatwiające tworzenie aplikacji i usług związanych z przesyłaniem komunikatów w sieci NetWare. Usługa MHS jest stale rozbudowywana i zmieniana, ale wciąż (a może dzięki temu) zapewnia efektywny i tani sposób przesyłania wiadomości z jednego miejsca sieciowego środowiska Novell w inne.

Usługi drukowania

Usługi drukowania są w przypadku NetWare rodzime dla środowiska systemu operacyjnego NetWare. Usługi podstawowe umożliwiają użytkownikom współdzielenie do 16 drukarek przy użyciu sieciowego serwera wydruku. Sieci NetWare umożliwiają dostęp do wielu serwerów wydruku w ramach jednej sieci, a prawdziwa elastyczność drukowania w sieci NetWare wynika z faktu, że drukarki w celu korzystania z nich wcale nie muszą być bezpośrednio przyłączane do serwera wydruków.

Drukarka może być przyłączona do serwera, ale równie dobrze może być przyłączona do stacji roboczej znajdującej się gdzieś w sieci. Mimo że drukarki przyłączone do stacji roboczych nadal obsługiwane są przez serwer wydruków, to w stacjach takich należy zainstalować oprogramowanie serwera wydruków, a dokładnie rzecz biorąc, niewielki program rezydentny (ang. TSR - Terminale and Stay Resideni). Dzięki temu w sieciach Novell skonfigurować można wiele różnych kombinacji drukarek i serwerów wydruku.

Moduły ładowalne NetWare (moduły NLM)

Moduły ładowalne NetWare są niezbędne do zapewnienia poprawnego działania oprogramowania NetWare. Począwszy od wersji 3.12 systemu NetWare, moduły ładowalne stały się podstawą sieciowych działań systemu Novell. Owe interfejsy programowe umożliwiają aplikacjom klient-serwer działanie w charakterze modułów. Ułatwia to obsługę często wykorzystywanych usług sieciowych serwera. Aplikacje NLM mogą dzięki temu mieć taki sam, jak moduły, dostęp do usług bezpieczeństwa NetWare, co sprawia, że są one łatwe do kontroli i administrowania.

Pozytywną właściwością modułów ładowalnych NetWare jest to, że nie wymagają one wyłączania serwera w celu ich załadowania czy też usunięcia. Dzięki temu aplikacje mogą być ładowane i usuwane w dowolnej chwili. Administratorzy mogą więc tworzyć pliki wsadowe w odpowiednim czasie ładujące i usuwające moduły NLM. Novell oferuje wiele zestawów służących do takiego projektowania aplikacji, które umożliwia korzystanie z nich jako z modułów NLM.

Standardy obsługiwane przez NetWare

NetWare potrafi obsługiwać wiele różnych standardów i protokołów działających za pośrednictwem łączy komunikacyjnych oraz kilka klienckich systemów operacyjnych:

Standardy komunikacyjne: LAN, dial-up, X.25, SNA, SDLC, ISDN, Tl, TCP/IP oraz IBM 3270. Połączenia bram tych standardów obsługiwane są przez NetWare. Oprócz tego Novell sam produkuje dostosowane do obsługi NetWare routery i mostki. NetWare Link/64 jest urządzeniem umożliwiającym przesyłanie danych między geograficznie oddalonymi stacjami roboczymi z prędkościami wahającymi się od 9,6 bps do 64 Kbps. Do tego samego służy łącze NetWare Tl, tyle że umożliwia ono transmisję z prędkością 2,084 Mbps. Wieloprotokołowy router NetWare obsługuje protokoły IPX, IP oraz AppleTalk. Umożliwia on użytkownikom łączenie sieci Ethernet, Token Ring, Local Ring oraz ARCnet w dowolny sposób, a także umożliwia przezroczysty sposób korzystania ze wszystkich zasobów sieciowych każdej z tak połączonych sieci.

Klienckie systemy operacyjne: DOS, Windows, OS/2, UNIX oraz Macintosh. Pod kontrolą takich systemów mogą pracować stacje klientów sieci NetWare.

Mocne i słabe strony NetWare

Główną siłą Novell NetWare jest jego pozycja wynikająca z tego, że jest to najczęściej stosowany sieciowy system operacyjny dla sieci lokalnych. Mimo że Microsoft ostatnio odbiera Novellowi część jego siły przebicia, to jest to niewielka cząstka, która nie jest w stanie zaszkodzić wyżej wspomnianej pozycji Novella. Pozycji, którą zawdzięcza najlepszemu oprogramowaniu serwerów plików i wydruków. Bo właśnie odpowiedni sposób udostępniania plików i drukarek czyni z sieci prawdziwie efektywne narzędzie pracy.

NetWare obsługuje najszerszy zakres usług służących obsłudze przedsiębiorstwa. Uprzednio omówiony system NDS jest najlepszą dostępną na rynku usługą katalogową systemu operacyjnego dla sieci LAN. Po zestawieniu powyższych właściwości NetWare z możliwością dostępu do bardzo wielu dobrych narzędzi różnych producentów oprogramowania, łatwo dostrzec, dlaczego NetWare warto uwzględnić podczas podejmowania decyzji o rodzaju sieci w przedsiębiorstwie. Tym bardziej, że oferta Microsoftu, czyli konkurencji w zakresie obsługi przedsiębiorstw, jest bardzo słaba.

Novell mógłby jednak pomyśleć o poprawie systemu w kilku miejscach - na przykład w zakresie obsługi aplikacji. NetWare świetnie udostępnia pliki i zasoby, ale jako dostawca rozproszonych aplikacji klient/serwer przegrywa z Microsoftem.

Słabym punktem NetWare jest również monitorowanie stanu sieci oraz ogólne zarządzanie siecią. Choć w NetWare wbudowanych jest kilka narzędzi zarządzania siecią, to nie spełniają one swojego zadania. Wielu administratorów nie jest pewnych, co do stanu zarządzanej przez nich sieci - nie wiedzą, czy jest ona wykorzystywana efektywnie, czy też nie. Czy następna wersja NetWare, poprawi coś w tym względzie?

Adres IP - jest to 32 bitowy adres przypisany do komputerów (hostów) używających TCP/IP.

Adresy IP należą do jednej z pięciu klas (A,B,C,D lub E) i są zapisywane jako cztery oktety oddzielone kropką (format dziesiętny oddzielony kropkami). Każdy adres składa się z numeru sieci oraz numeru hosta (w adresie może wystąpić również adres(numer) podsieci). Numery sieci i podsieci są używane do routowania, numer hosta jest używany do adresowania oddzielnych hostów wewnątrz sieci lub podsieci. W celu wyodrębnienia z adresu IP informacji dotyczącej sieci lub podsieci stosowana jest maska podsieci.

Świetnie więc tak: cztery oktety oddzielone kropką np. 192.168.0.1 (w postaci binarnej 11000000.10101000.00000000.00000001) host to inaczej komputer, stacja bazowa itp.

Klasy adresów:

Klasa A - używana do obługi bardzo dużych sieci. Pierwszy oktet to adres sieci, trzy pozostałe to adres hosta (można uzyskać 16 777 214 możliwych adresów IP). Pierwszy bit adresu w postaci binarnej to zawsze 0 np. 124.66.44.12 (01111100.01000010.00101100.00001100)

Klasa B - używana do obsługi dużych i średnich sieci. Pierwsze dwa bity adresu to 01. Pierwsze dwa oktety to adres sieci, kolejne dwa to adres hosta.

Klasa C - jest najpowszechniejszą klasą. Pierwsze trzy bity to 110. Pierwsze trzy oktety to adres sieci, a ostatni to adres hosta. Można tu uzyskać 254 użyteczne adresy hosta (na ośmiu bitach jest 256 kombinacji ale adres z numerem hosta 0 nie jest używany (może nastąpić zmylenie systemów; również są często rezerwowane), a 255 to adres rozgłoszeniowy) Przykład: 192.160.0.0 TAKICH ADRESÓW NIE UŻYWAMY 192.168.0.255 TAKICH ADRESÓW NIE UŻYWAMY Natomiast przy tworzeniu sieci domowej najczęściej stosuje się adresy: 192.168.0.1-254

Klasa D - przeznaczona dla adresów typu multicast (adresy rozgłoszeniowe). Obejmuje adresy w zakresie od 224.0.0.0 do 239.255.255.255

Klasa E - zarezerwowana do przyszłych zastosowań. Obejmuje adresy 240.0.0.0 i wyższe. Adresy 127.x.x.x - zarezerwowane do celów specjalnych (tzw. pętla zwrotna, używana do wewnętrznych testów lokalnego komputera). Adres rozgłoszeniowy - po wysłaniu danych pod ten adres przetwarzają go wszystkie urządzenia w sieci.

Jeszcze o maskach podsieci. Używane są w celu tworzenia podsieci. Za pomocą maski w adresie klasy C, gdzie ostatni oktet odpowiada za adres hosta możemy utworzyć podsieć na maksymalnie 6 bitach (z tego oktetu)(2 bity muszą zostać na adres hosta dlatego, że na 1 bicie możliwych adresów było by dwa 0 i 1, gdzie 0 nie używamy, 1 byłby adresem rozgłoszeniowym więc też nie używamy stąd minimum 2 bity na host).Z każdej klasy na utworzenie podsieci możemy pożyczyć bity z całego pola hosta minus dwa (dla adresu klasy B 14 bitów, a dla adresu klasy A 22 bity). Maski podsieci powstały w celu hierarchicznego zorganizowania sieci logicznych. Po prostu w ten sposób nie marnotrawią się adresy IP, ponieważ gdy jakaś firma potrzebuje 500 adresów to nie używa adresu klasy B marnotrawiąc jednocześnie ponad 60 tysięcy adresów IP. Adres Klasy B dzielony jest na podsieci i wtedy może go używać wiele jednostek

Media to okablowanie sieci.

Wyróżnia się następujące rodzaje okablowania:

Kabel koncentryczny, który używany jest np. w topologi magistrali. Składa się z pojedynczego przewodu i osłony przewodzącej (odzielone od siebie izolatorami).Istnieją dwa rodzaje tego kabla: gruby i cienki ethernet. Gruby pozwala na transmisję bez wzmacniania na odległości do 500 metrów, a cienki na 185 metrów. Gruby ethernet jest już praktycznie nie używany (instalacje tylko w specjalnych celach). W przypadku kabla koncentrycznego ważne jest sprawdzanie czy na obu końcach kabla są odpowiednie połączenia oraz należy poświęcić wiele uwagi odpowiedniemu uziemieniu. Niewłaściwe połączenie jest najczęstszym problemem związanym z kablem koncentrycznym. Z tego względu również cienki ethernet też wychodzi z użycia.

Skrętka ekranowana. Istnieją dwa rodzaje:
- STP - 150-omowy kabel składający się z 4 par skręconych przewodów. STP lepiej chroni przed zakłóceniami, ale jest droższa i trudniejsza w instalacji niż skrętka UTP.
- ScTP - odmiana kabla, który jest skrzyżowaniem UTP z STP. Jest to po prostu ekranowany UTP (otoczony metalową folią ekranującą). Zazwyczaj jest to kabel 100 lub 120-omowy.

Skrętka nieekranowana (UTP) - 100-omowy kabel składający się z 4 par skręconych przewodów. Kabel UTP instalowany jest często przy użyciu złącza RJ. Kabel UTP jest bardziej podatny na szum i zakłócenia niż inne rodzaje kabli, a odległość między urządzeniami jest mniejsza niż w przypadku kabla koncentrycznego. UTP jest uważane za najszybsze medium miedziane, jest łatwa w instalacji, a także tańsza niż inne rodzaje okablowania oraz (główna zaleta) posiada niewielkie rozmiary (niewielka średnica jest zaletą podczas instalacji).

Światłowód. Istnieją dwa rodzaje:
- Jednomodowy - światło wędruje po osi kabla.
- Wielomodowy - światło wchodzi do kanału pod różnymi kątami (odbija się podczas wędrówki).
Kabel światłowodowy przenosi transmisje świetlne. Jest droższy od innych okablowań sieciowych, ale jest pozbawiony wrażliwości na zakłócenia elektromagnetyczne, zakłócenia powstałe od fal radiowych i posiada lepsze współczynniki przekazu danych.

Łączność bezprzewodowa - łączność w tym systemie to fale elektromagnetyczne, które mogą wędrować powietrzem, w próżni (powietrze czy też próżnia to medium dla łączności bezprzewodowej).

Sieć komputerowa

Sieć (ang. network) to dwa lub więcej komputerów połączonych kablem, przez który mogą wymieniać informacje. Połączenie komputerów pozwala użytkownikom wspólnie użytkować urządzenia peryferyjne (ang. peripheral device), umożliwia wspólny i łatwy dostęp do programów i baz danych oraz wymianę informacji między innymi systemami komputerowymi. Sieci komputerowe dostarczają skutecznego narzędzia do komunikowania się w postaci poczty elektronicznej oraz innego oprogramowania dla grup roboczych, znacznie usprawniają komunikację wewnątrz firmy.

Ze względu na obszar, na którym mogą być rozmieszczone komputery wyróżnia się sieci lokalne, metropolitalne, oraz rozległe.

Sieć obejmująca swym zasięgiem komputery na powierzchni nie przekraczającej kilka kilometrów kwadratowych nazywana jest siecią lokalną LAN (ang. Local Area Network).

Sieć rozciągająca się na terenie miasta (regionu), łącząca kilka budynków nazywana jest siecią miejską lub metropolitalną MAN (ang. Metropolitan Area Network). Tworzy szkielet szybkiej sieci na terenie miasta (regionu). Oparta jest zazwyczaj o główne łącze dużej przepustowości do którego podłączani są klienci: poszczególne uczelnie i instytucje, a nawet poszczególni użytkownicy (łączność komutowana) na terenie miasta (regionu).

Sieci komputerowe łączące ośrodki komputerowe położone w odległych od siebie miastach, państwach, kontynentach nazywana jest siecią rozległą WAN (ang. Wide Area Network). Wymagane jest zaangażowanie publicznej sieci telekomunikacyjnej. Sieć rozległa łaczy sieci lokalne i miejskie.

Serwer (ang. server) to komputer pełniący specjalną rolę w sieci komputerowej. Serwery sieciowe najczęściej pracują pod kontrolą wielozadaniowych sieciowych systemów operacyjnych, jak UNIX, Novell NetWare, Microsoft Windows NT, OS/2 lub LANtastic. W przeważającej części zastosowań są serwerami rozproszonych zasobów sieci (np. dyski, drukarki), udostępniającymi wszystkim punktom przedsiębiorstwa współdzielone katalogi, aplikacje, bazy danych czy drukowanie.

Stacja robocza

Komputer posiadający dostęp do sieci, ale nie pełniący żadnych funcji specjalnych, nie udostępniający żadnych usług dla pozostałych użytkowników sieci.

Identyfikacja użytkowników w sieci

W celu umożliwienia weryfikacji danej osoby a co się z tym wiąże jej praw do poszczególnych elementów systemu, każdemu człowiekowi jest przypisany identyfikator (ang. username). Identyfikator użytkownika nie powinien być dłuższy niż 8 znaków. Jest często zlepkiem liter występujących w imieniu i nazwisku użytkownika lub w nazwie funkcji jaką pełni. Jan Kowalski może mieć np. identyfikator jank. Całość elementów związanych z użytkownikiem określa się mianem konta (ang. account), na które składa się m.in. nazwa, hasło (ang. password), grupa, wydzielony katalog na dysku itd. Aby więc rozpocząć pracę z systemem trzeba mieć w nim założone konto. Konto zakłada administrator systemu. Zwykle jeden człowiek ma jedno konto w systemie. Nie jest to jednak regułą. Konto może też być przypisane nie do człowieka a do funkcji jaką wykonuje. Wszystko zależy od polityki instytucji oraz umowy z administratorem.

Aby zapewnić, że jeden człowiek nie wykorzystuje konta innego człowieka, konta zwykle mają przypisane hasła. Hasło nadaje administrator podczas tworzenia konta, może ono jednak być (i powinno) zmienione w każdej chwili przez danego użytkownika. Hasło jest znane jedynie użytkownikowi. Nikt inny nie może go odczytać (nawet administrator, choć może je zmienić). Jeśli użytkownik zapomni hasło, musi poprosić administratora aby ustalił nowe.

Bezpieczne hasło

Microsoft ma własne narzędzie do adresowania o nazwie Windows Internet Name Service (WINS). Usługa WINS traci na znaczeniu, ale prawdopodobnie przetrwa w sieciach jeszcze kilka lat. Tak więc na wypadek zetknięcia się z taką siecią poniżej przedstawiono krótki opis działania usługi.

Wczesne sieci systemu Windows wykorzystywały nazwy systemu NetBIOS (Network Basic Input/Output System) NetBIOS to interfejs poziomu sesji używany przez aplikacje sieciowe do komunikacji poprzez kompatybilne z nim oprogramowanie transportowe, w tym również TCP/IP. System NetBIOS definiował logiczne nazwy dla wszystkich urządzeń w sieci. Za każdym razem, kiedy do sieci dodawano urządzenie o nowej nazwie, aktualizowana była jednocześnie globalna baza danych NetBIOS.

Jednak nazwy NetBIOS nie funkcjonują w środowisku sieci WAN połączonych przez routery. Nazwy NetBIOS komputerów z jednej strony sieci nie są widoczne dla użytkowników, którzy poszukują zasobów po drugiej stronie sieci. Co ciekawe - klienci NetBIOS mogą zwykle połączyć się serwerami NetBIOS poprzez routery, o ile zostanie podana odpowiednia nazwa ścieżki do serwera. Te ścieżki można zapisywać do ponownego wykorzystania, jednak nie jest to zbyt dobry sposób. Aby przezwyciężyć problemy NetBIOS z odwzorowywaniem zasobów, administratorzy sieci wykorzystują pliki tekstowe o nazwie LMHOSTS, które zawierają informacje o nazwach NetBIOS i odpowiadających im adresach IP. Pliki te muszą się znajdować po każdej stronie połączenia wiodącego poprzez router, przy zmianie któregokolwiek z nich konieczna jest aktualizacja pozostałych.

Usługa WINS eliminuje konieczność używania plików LMHOSTS, ponieważ pełni ona w zasadzie rolę serwera nazw NetBIOS. Podobnie jak dla DNS, serwery WINS używają replikowanej bazy danych do przechowywania nazw urządzeń według systemu NetBIOS i skorelowanych z nimi adresów IP. Podłączenie klienta Windows do sieci powoduje automatyczne zapisanie jego nazwy NetBIOS oraz statycznego lub dynamicznego adresu IP do bazy danych serwera WINS.

Microsoft zrezygnował z usługi WINS w Windows 2000, ale jeśli ktoś nie „przesiadł się” jeszcze na tę wersję systemu, może wciąż z niej korzystać.

Sieci MAN i FDDI
 

Istnieją firmy, które oferują swoje łącza do połączenia lokalizacji znajdujących się w obszarach metropolitalnych, Jak już wspomniano wcześniej, istnieje technicznie doskonała metoda łączenia sieci LAN. Komisja IEEE 802.6 opracowała standard - rozwiązanie idealne pod względem technicznym - dla sieci metropolitalnych (metropolitan area networks - MAN).

Standard opracowany przez komisję IEEE 802.6 nosi nazwę Distributed Queue Dual Bus (DQDB - Podwójna magistrala z kolejką rozproszoną).

Topologia DQDB dwa równoległe pierścienie (zwykle światłowody) łączące każdy węzeł (najczęściej router segmentu sieci LAN) w systemie. Taki podwójny system okablowania zapewnia wysoką niezawodność i szybką transmisję danych, zazwyczaj
w okolicy 100 Mb/s. Pierścienie są od siebie niezależne i przesyłają od węzła do węzła małe pakiety danych o wielkości 48 bajtów (ściśle rzecz biorąc 48 bajtów ma pole informacji użytkowych, zaś dodatkowe 5 bajtów przeznaczonych jest na informacje nagłówkowe; cała komórka ma zatem 53 bajty - przyp. tłum.). Wielkość pakietu jest określona innymi standardami, w szczególności dla systemów transmisji w trybie asynchronicznym (Asynchronous Transfer Mode - ATM).

System DQDB przydziela każdemu węzłowi dostęp do sieci w postaci segmentów czasowych o długości 125 mikrosekund. Sieć MAN zgodna ze standardem IEEE 802.6 jest przeznaczona do obsługi wielu organizacji w obszarze metropolitalnym. W USA sieci takie są najczęściej instalowane i obsługiwane przez lokalne firmy telekomunikacyjne.

Firmy komercyjne i organizacje takie jak uniwersytety mogą zdecydować się na system o zasięgu kampusowym lub nieco większym zwany Fiber Distributed Data Interface (FDDI). W dużym uproszczeniu - sieci FDDI działają jako punkty koncentracji ruchu, kierujące go do większych sieci DQDB. Systemy FDDI zapewniają przepustowość rzędu 80 Mb/s i są ograniczone do obszarów mniejszych niż
w przypadku sieci DQDB. Całkowity zasięg sieci FDDI nie może przekraczać 100 km dla każdego pierścienia, a odległości pomiędzy węzłami nie mogą przekraczać 2,5 kilometra. Systemy FDDI mogą być instalowane z wykorzystaniem istniejącego sprzętu przez organizacje, które potrzebują ich na własny użytek, jak i przez firmy, które chcą sprzedawać usługi wszystkim klientom w zasięgu sieci.

W architekturze FDDI wykorzystuje się do przesyłania danych dwa pierścienie ze światłowodów, tak zwany pierścień główny i pierścień podrzędny, jak to pokazano na rysunku 12.6. Pierścienie mają fizyczną topologię gwiazdy podobną do opisanej normą IEEE 802.5 dla sieci Token-Ring. Wszystkie węzły są podłączone do pierścienia głównego, a do pierścienia podrzędnego, który ma charakter łącza zapasowego na wypadek awarii pierścienia głównego, tylko niektóre. Węzły nie podłączone do pierścienia podrzędnego - głównie z powodów ekonomicznych - nazywane są stacjami klasy B.

 

.

Sieć FDDI

0x01 graphic

 

Niektóre firmy, jak na przykład Advanced Micro Devices (AMD) promują FDDI jako rozwiązanie również dla indywidualnych użytkowników sieci, a nie wyłącznie metodę łączenia ze sobą sieci. Z różnych technik pakowania danych używanych
w FDDI korzysta również Gigabit Ethernet, ale łączy je z protokołem sterowania dostępem do nośnika CSMA właściwym dla tradycyjnego Ethernetu. Gigabit Ethernet wypiera FDDI w wielu instalacjach, ponieważ opiera się na bardziej popularnej technologii.

FDDI to doskonałe rozwiązanie dla sieci o zasięgu metropolitalnym. Odporność kabli światłowodowych na zakłócenia elektryczne oraz w pewnym stopniu na warunki środowiskowe umożliwia ich instalację nawet w dość nieprawdopodobnych miejscach. Kolej i przedsiębiorstwa energetyczne układają sieci FDDI wzdłuż swoich instalacji, a niektóre pomysłowe firmy umieszczają je wewnątrz przewodów ciepłowniczych pod wielkimi biurowcami, a nawet - tak jak w Chicago - w przebiegających pod miastem nieczynnych tunelach, którymi kiedyś dostarczano węgiel.

.Komutacja pakietów (packet switching) to jedna z trzech głównych klas komutacji. Pozostałe to komutacja łączy (circuit switching) i komutacja komunikatów (message switching), czyli komutacja typu przyjmij i przekaż (store-and-forward switching). Z komutacji łączy (obwodów) korzystamy za każdym razem, kiedy rozmawiamy przez telefon. Linie, którymi przesyłana jest rozmowa, tworzą stałe połączenie dedykowane, aż do odłożenia słuchawki. Linie te są niedostępne dla nikogo innego, nawet wtedy, gdy obie strony milczą. W przełączaniu komunikatów, kompletny komunikat, na przykład telegram Western Union, jest przesyłany od węzła do węzła. Kiedy dotrze do węzła docelowego, jest drukowany i dostarczany.

W technice komutacji pakietów wiadomości są dzielone na małe pakiety (na przykład po 128 znaków). Pakiety te są tworzone i wysyłane przez asemblery/deasemblery pakietów (packet assembler/disassembler - PAD). PAD to nic innego, tylko specjalny adapter z własnym procesorem i oprogramowaniem. Adaptery PAD są wbudowane w komputer PC, a firma Hayes wbudowuje je nawet w swoje modemy Smartmodem serii V. Pakiety nadsyłane z adaptera PAD są przeplatane z pakietami z innych źródeł w celu maksymalnego wykorzystania dostępnego pasma.

Aby to wszystko nie było zbyt proste, w sieciach LAN i WAN używa się kilku różnych protokołów komutacji pakietów i to tak różnych, jak Systems Network Architecture (SNA) IBM-a, Token-Ring i FDDI. Jednak najpowszechniej akceptowanym i używanym protokołem komunikacji pakietów jest X.25. Standard X.25 został zaadoptowany jako standard międzynarodowy w roku 1976 i od tego czasu jest aktualizowany co cztery lata.

Protokół X.25 opisuje szczegóły specyficznego sposobu wymiany pakietów wymaganego do przekazywania danych. Zawartość tych pakietów ma specjalną strukturę i poprzedza przekazanie samych informacji. Do zdalnego hosta wysyłany jest pakiet żądania połączenia. Host ten udziela zgody na wymianę, wysyłając pakiet akceptacji połączenia. Wówczas nawiązywane jest połączenie i przesyłane są informacje w postaci pakietów, zawierających informacje adresowe. Pakiety te zawierają również dane użytkowe, które chce wysłać nadawca. Połączenie kończy się wysłaniem pakietu zerowania połączenia i odebraniem w odpowiedzi pakietu potwierdzenia zerowania. Każdy pakiet w tej wymianie ma określoną strukturę, w której zdefiniowane jest każde pole. Dodatkowo stabilność protokołu zwiększają pakiety resetu i restartu. Połączenie z innymi rodzajami pakietów, na przykład pakietami diagnostycznymi, czyni protokół X.25 nadzwyczaj wszechstronnym i łatwym w użyciu.

X.25: dobry i uparty

Protokół X.25 opisuje niezawodne metody kapsułkowania i obsługi pakietów. Podobnie jak standard Token-Ring, X.25 koncentruje się na niezawodności połączeń. To system zaprojektowany z myślą o wielostronnej komunikacji o zasięgu ogólnoświatowym.

Ponieważ w tych sieciach używane jest oprogramowanie zgodne z protokołem X.25, które zapewnia zgodność przesyłanych danych, a także dlatego, że w tych sieciach dostępne są inne powiązane usługi, często nazywa się je sieciami z wartością dodaną (value added network - VAN).

Sieci z komutacją pakietów X.25 są w stanie na bieżąco kierować każdy pakiet do miejsca docelowego, w związku z czym mogą one łączyć jednocześnie tysiące lokalizacji. Najlepiej widać to na przykładzie usług on-line, na przykład CompuServe, gdzie ludzie dzwoniący z całego świata jednocześnie komunikują się z komputerami centralnej bazy danych.

Zastosowanie sieci VAN X.25 dla oddalonych sieci LAN umożliwia wolne od błędów jednoczesne połączenie wielu lokalizacji. Ta możliwość powinna uczynić
z sieci X.25 prawie doskonałe połączenie dla sieci LAN. Ilustratorzy często przedstawiają sieć X.25 jako „chmurkę” z wchodzącymi do niej i wychodzącymi z niej połączeniami. Dzięki temu mogą pominąć złożoną strukturę komputerów i ich wzajemnych połączeń w sieci VAN. Do „chmurki” wchodzą dwa rodzaje połączeń. Pierwsze z nich to szybkie linie dzierżawione, które mogą przesyłać dane z komputera do „chmurki” z prędkością 56 lub 64 kb/s, a nawet 1,544 Mb/s i większą, używając pełnego protokołu X.25. Połączenie to może prowadzić do komputera hosta, lecz obecnie najczęściej prowadzi do routera. Drugi rodzaj połączeń do sieci X.25 to komutowane połączenia ISDN i analogowe.

Publiczne i prywatne sieci X.25

Sieci X.25 z komutacją pakietów stanowią efektywne rozwiązanie dla wielu zastosowań. Działają one dobrze tam, gdzie wymagana jest wysoka niezawodność i niskie opóźnienia i gdzie wielu użytkowników musi w krótkim czasie łączyć się z wieloma hostami.

Doskonałym przykładem zastosowania sieci X.25 jest przetwarzanie dokonywanych codziennie w sklepach opłat za pomocą kart kredytowych. Krótkie wiadomości (zawierające numer konta, identyfikator sklepu i kwotę opłaty) są przesyłane do odpowiedniej instytucji rozliczeniowej lub do banku. Potwierdzenia transakcji są rozsyłane do kilku punktów. Sieci X.25 umożliwiają realizację tego procesu bez konieczności używania kosztownych łączy dedykowanych z każdego sklepu do każdego banku, który wystawia karty kredytowe.

Prywatne sieci dostępowe są najczęściej obsługiwane poprzez łącza dedykowane. W publicznych sieciach danych zasoby sieciowe są w posiadaniu niezależnych firm, które dzierżawią je wielu użytkownikom do obsługi wielu zastosowań. Sieci publiczne są najczęściej dostępne poprzez łącza komutowane.

W sieciach publicznych użytkownik płaci za czas połączenia i objętość przesyłanych danych. Choć stosowane są różne praktyki cenowe, generalnie płaci się tym więcej, im więcej się z sieci korzysta. W sieciach prywatnych koszty określane są początkowymi nakładami inwestycyjnymi oraz kosztami eksploatacji sieci.

Frame Relay

Konserwatywny protokół X.25 liczy, potwierdza i nadzoruje wszystkie pakiety,
a nawet czuwa nad retransmisją pakietów, które nie przeszły przez sieć. Takie podejście chroni dane, jednak wykorzystuje wiele kosztownych zasobów obliczeniowych i komunikacyjnych w sieci do wykonania dodatkowych zadań. Na rynku sieci WAN pojawił się mniej „troskliwy”, ale też i mniej przeładowany protokół o nazwie Frame Relay i zyskał taką popularność, że obecnie w Stanach Zjednoczonych wykorzystywany jest w niemal wszystkich nowych łączach WAN zamiast protokołu X.25.

Koncepcja protokołu Frame Relay wykorzystuje fakt, że we współczesnych sieciach niezawodność transmisji opiera się na oprogramowaniu wyższych warstw oraz to, że współczesne systemy transmisyjne są dość niezawodne. Dzięki temu zredukowano dodatkowe zabezpieczenia danych i uzyskano większą przepustowość przy niższych kosztach, unikając jednocześnie niedopuszczalnej utraty danych.

Idea Frame Relay przenosi część odpowiedzialności, spoczywającej w sieciach X.25 na przełącznikach, na urządzenia końcowe po obu stronach połączenia. Jeśli wystąpi problem z pakietami (w przypadku protokołu Frame Relay bardziej uprawnione wydaje się określenie „ramka” - przyp. tłum.) - na przykład utracone zostaną bity lub przeciążony węzeł będzie odbierał więcej pakietów niż jest w stanie przetworzyć - sieć Frame Relay odrzuca dane i oczekuje od urządzeń końcowych podjęcia działań naprawczych.

Najczęściej chodzi o ponowną transmisję danych, którym nie udało się przejść przez sieć. Ponieważ protokoły sieci lokalnych - takie jak TCP lub IPX charakteryzują się własną kontrolą błędów, wtórną wobec kontroli w sieciach X.25, dobrze wpasowują się one w architekturę Frame Relay, w której takiej kontroli nie ma.

Z drugiej jednak strony schemat odtwarzania oparty na urządzeniach końcowych może być kosztowny ze względu na dodatkowy ruch w całej sieci. Jeśli pakiety Frame Relay zostają odrzucone z powodu przeciążenia sieci, ponowna transmisja danych dodatkowo pogarsza sytuację. Zatem nawet pomimo tego, że stacje końcowe mogą odtworzyć odrzucone bloki danych, wciąż ważne jest zminimalizowanie liczby odrzuceń.

Ponieważ ruch w sieciach LAN ma charakter impulsowy, prawdopodobieństwo sporadycznych zatorów jest wysokie (chyba, że użytkownik zdecyduje się zainwestować więcej w sieć niż to niezbędne i zwiększyć pojemność linii i przełączników). Istotne stają się więc możliwości sieci Frame Relay w zakresie rozładowywania zatorów. Standard Frame Relay zawiera kilka nieobowiązkowych sugestii dotyczących sygnalizowania stanu przeciążenia w sieci i reakcji na te sygnały ze strony urządzeń portalowych sieci LAN. Ponieważ zalecenia te nie mają charakteru obowiązującego, firmy mogą instalować urządzenia zgodne ze standardem Frame Relay, które jednak nie mają możliwości sterowania przeciążeniami.

Dwie ważne cechy dotyczące sterowania przeciążeniami to bit discard eligibility (DE - spełnienie warunków do odrzucenia) w formacie Frame Relay oraz ustalenie szacowanej prędkości ruchu zwanej commited information rate (CIR - uzgodniona prędkość transmisji).

Nadanie bitowi DE wartości 1 kwalifikuje ramkę do odrzucenia w pierwszej kolejności w przypadku wystąpienia przeciążenia. Dla ruchu o niskim priorytecie lub ruchu, dla którego nie zrobi różnicy kilkusekundowe opóźnienie, na przykład wiadomości poczty elektronicznej, bity DE mogą być ustawiane przez urządzenia portalowe sieci LAN. Wcześniejsze oznaczanie ramek do potencjalnego odrzucenia za pomocą bitu DE to dobry sposób zapewnienia przesłania w całości ruchu o wysokim priorytecie.

Uzgodniona prędkość transmisji odpowiada szacunkom normalnego natężenia ruchu nadchodzącego z węzła w okresach szczytu. W sieciach komercyjnych wyższe wartości prędkości CIR oznaczają wyższe miesięczne koszty. W sieciach prywatnych wskaźnik ten jest ciągle istotnym narzędziem budżetowania i zarządzania. Sieci mierzą natężenie ruchu przychodzącego z każdego węzła. Jeśli obciążenie jest mniejsze niż wartość CIR, ramki są przepuszczane bez odrzucania, o ile to możliwe. Gdy jednak obciążenie przekracza wartość CIR, sieć nadaje bitom DE nadmiarowych ramek wartość 1.

W przypadku przeciążenia najpierw odrzucane są ramki, które wykraczają poza wartość CIR, a dopiero później te, które nie mają ustawionego bitu DE. Ze względu na wagę możliwości sterowania przeciążeniami, należy wybierać wyłącznie urządzenia obsługujące bity DE i prędkości CIR, a także inne formy komunikacji międzywęzłowej.

ATM

Najnowsza (i jednocześnie najbliższa wielbicielom technologii) technologia łączenia sieci LAN nazywa się Asynchronous Transfer Mode (ATM - Transfer w trybie asynchronicznym). ATM to technologia komutacji pakietów podobnie jak X.25
i Frame Relay, ale z kilkoma różnicami.

Główną zaletą ATM jest możliwość stworzenia przezroczystej i szybkiej sieci rozciągającej się od biurek użytkowników na bezkresne odległości. W całej swojej krasie ATM może obyć się bez routerów, przydziału pasma i rywalizacji o dostęp do nośnika transmisyjnego. Do wyznawców ATM zaliczają się największe koncerny telekomunikacyjne i komputerowe, ale kto tak naprawdę potrzebuje ATM i co sprawia, że zastosowanie tej technologii staje się konieczne?

Firmy, które mają do przesłania wyłącznie dane o dużej objętości muszą ponieść dodatkowe koszty związane z ATM. Dla danych, które nie wymagają milisekundowej synchronizacji, istnieją lepsze i bardziej wydajne technologie, na przykład sprawdzona i szeroko dostępna technologia Frame Relay. Najlepiej będzie jeszcze trochę poczekać, nim przyklaśnie się technologii ATM.

Z jednej strony ATM korzysta z powiązanej technologii Frame Relay, z drugiej ją odrzuca. Dzięki dobrym połączeniom i inteligentnemu oprogramowaniu wyższego poziomu, pakiety Frame Relay przenoszą dane wydajniej i bardziej niezawodnie niż pakiety X.25. Każdy operator rozległych sieci z komutacją pakietów, CompuServe, Wiltel, Sprint, AT&T czy MCI, może zaoferować abonentom Frame Relay usługi
z prędkością DS-1 (1,544 Mb/s) lub z prędkością europejskiego standardu E1 (2,084 Mb/s). Dostępne są również usługi z prędkością DS-3 (44,736 Mb/s), choć nie są tak powszechne.

Zaletą technologii Frame Relay jest najlepsze wykorzystanie dostępnego pasma dzięki podziałowi danych na pakiety o zmiennej długości, które są transmitowane poprzez sieć. Powszechnie przyjmuje się, że pakiety o zmiennej długości najlepiej pasują do impulsowej natury transmisji danych komputerowych.

Dla wszystkich typów łączy komunikacyjnych celem technicznym jest podział danych na wielkie pakiety z niewielką ilością informacji dodatkowych. Redukcja danych służących do routingu, kontroli błędów synchronizacji i pełniących inne funkcje zapewnia najefektywniejsze wykorzystanie przepustowości i najniższe koszty kanału komunikacyjnego.

W żargonie technicznym mówi się, że takie przełączniki mają dużą zwłokę. Może to powodować nieregularne odstępy rzędu kilku milisekund pomiędzy kolejnymi przychodzącymi pakietami. W przypadku zastosowań wrażliwych na czas, na przykład wideokonferencji, niezsynchronizowane pakiety mogą powodować, że osoby na obrazie poruszają ustami, a nie słychać dźwięku albo że obraz jest niestabilny.

Z ATM związane są - jako poprzednicy tej technologii - i czasami używane do przenoszenia strumienia ATM dwie usługi z komutacją łączy: Switched Multimegabit Data Service (SMDS - Komutowana wielomegabitowa usługa danych) i Broadband ISDN (BISDN - Szerokopasmowy ISDN). SMDS to usługa mostkowania sieci LAN, dość słabo promowana przez lokalnych operatorów telekomunikacyjnych. Usługi te umożliwiają transmisję z prędkościami DS-1 i DS-3. Zostały one pięknie zaprojektowane do użycia z przewodami miedzianymi i światłowodowymi
i zintegrowane ze standardem IEEE 802.6 dla sieci metropolitalnych.

Kilka nowoczesnych firm wykorzystuje SMDS w sieciach metropolitalnych, jednak technologie konkurencyjne, na przykład prywatne pierścienie światłowodowe dostępne w Chicago i innych miastach, oferują wyższe prędkości po doskonałych cenach w obszarach miejskich.

Szerokopasmowy ISDN to „nierozkwitła odrośl” sieci cyfrowej z integracją usług, tłocząca dane poprzez światłowody z prędkością 155 Mb/s. Po raz pierwszy ATM został opisany w ramach architektury BISDN, a obecnie BISDN pełni rolę nośnika pakietów ATM (pakiety ATM nazywają się powszechnie komórkami - przyp. tłum.).

Niektóre z modnych idei dotyczących komunikacji danych, które poprzedzały ATM, na przykład Frame Relay, miały na celu wykorzystanie wszystkiego, co najlepsze z kanałów komunikacyjnych. Technologie takie jak SMDS i BISDN, które były zbyt powolne, aby przyjąć się na rynku, koncentrowały się natomiast na rozszerzeniu kanału poprzez wbudowanie inteligencji w konstrukcję sieci. Jak na razie podejście to nie okazało się zbyt owocne, ponieważ użytkownicy opowiadają się za dodawaniem inteligencji na końcach sieci po cenach, które mogą kontrolować. Pozostaje więc czekać na to, że technologia ATM będzie miała więcej szczęścia.

Inną teoretyczną zaletą technologii komutacyjnych, takich jak X.25, Frame Relay czy ATM, jest to, że ułatwiają one tworzenie sieci wielopunktowych. Fachowcy od technologii nazywają je sieciami kratowymi (meshed), co oznacza, że dane przepływają przez wszystkie poziomy sieci. Jednak w świecie rzeczywistym - pomimo reorganizacji w korporacjach - przepływ danych ma wciąż charakter centralny lub hierarchiczny. Tak więc korzyści z kratowych sieci komunikacyjnych są marnowane w większości organizacji przesyłających obecnie dane komputerowe.

Jeśli wsłuchać się dobrze w zachwyty nad ATM, można zauważyć, że określenia „ATM”, „duża szybkość” i „szerokie pasmo” wymawiane są niemal jednym tchem. Milcząco przyjmuje się, że ATM jest w jakiś sposób przyczyną dużej prędkości, co nie jest prawdą. ATM wiąże się z dużą prędkością transmisji głównie dlatego, że protokół ten jest prosty i na tyle elastyczny, aby pracować w szerokim zakresie prędkości.

Nieubłagane prawo ekonomii podwyższa drastycznie koszty wraz ze wzrostem prędkości transmisji, odległości lub obydwu tych parametrów. ATM nie zmienia tego równania, umożliwia jednak firmom z wielkimi sieciami obniżenie kosztów przełączników, wykorzystanie szerokopasmowych łączy światłowodowych i zarządzanie całą siecią - od biurka lokalnego do biurka zdalnego - jako jedną całościową strukturą. Oznacza to, że operatorzy mogą zwiększyć marże lub obniżyć ceny, sprzedając jednocześnie więcej usług.

Technologia komutacji komórek ATM interesuje firmy telekomunikacyjne, ponieważ umożliwia transmisję głosu i danych w tych samych sieciach, czyli coś czego nie potrafią sieci Frame Relay ani X.25. W rzeczywistości komórka ATM została zaprojektowana z uwzględnieniem wymagań narzuconych przez transmisję rozmów telefonicznych. Technologia ATM pozwala operatorom na zbudowanie inteligentnej sieci, której usługi będą później odsprzedawać z zyskiem. W USA pierwszą firmą, która zaoferowała komercyjne usługi ATM był Sprint, ale inni operatorzy, jak AT&T, MCI i Wiltel nie pozostali daleko z tyłu.

Narzut ATM

Architektury komutacji pakietów X.25 i Frame Relay są zgodne z protokołem Link Access Procedure Balanced (LAPB), który z kolei został stworzony w oparciu
o dobrze znany protokół High Level Data Link Control (HLDLC). Ogólnie dane użytkownika, stanowiące użyteczny ładunek ramki, mogą zajmować 4 096 bajtów, jednak wartość domyślna to 128 bajtów. Jeśli dodać mnie więcej cztery bajty informacji w polach adresowych i kontrolnych nagłówka, pakiet wynikowy będzie miał w skrajnym przypadku tylko 0.08 %, a średnio - 3 % narzutu informacji dodatkowych.Pakiet ATM ma 53 bajty z czego 5, czyli nieco więcej niż 9 %, to narzut. W niektórych przypadkach informacje synchronizacyjne dodane przez warstwę adaptacyjną ATM mogą zwiększyć narzut do 13 %. Tak więc mniejsze pakiety ATM potrzebują o 6 % szerszego kanału komunikacyjnego niż Frame Relay do przesłania tej samej ilości danych użytkowych. Z perspektywy kanału DS-3 te 6 % to 2,68 Mb/s, czyli prawie czterdzieści kanałów po 64 kb/s z narzutem ATM.



Wyszukiwarka

Podobne podstrony:
Wstęp do sieci model osi tcp ip
Adresy IP
Adresy IP
model OSI, Informatyka, Sieci Komputerowe
adresy IP
adresy ip, wisisz, wydzial informatyki, studia zaoczne inzynierskie, rozproszone systemy operacyjne
TCP MODEL OSI

więcej podobnych podstron