Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология
Образование Политология Производство Психология Стандартизация Технологии


В данном случае VPN рассматривается как имитация частной сети предприятия.



несанкционированных пользователей. Так как ни один способ защиты не дает абсолютных гарантий, то средства безопасности могут комбинироваться для создания эшелонирован­ ной обороны.

Во-вторых, желательно, чтобы сервисы VPN приближались к сервисам частной сетипо качеству обслуживания. Качество транспортного обслуживания подразумевает, в первую очередь, гарантии пропускной способности для трафика клиента, к которым могут добав­ ляться и другие параметры QoS—максимальныезадержки и процент потерянных данных.

Впакетных сетях пульсации трафика, переменные задержки и потери пакетов—неиз­бежное зло, поэтому степень приближения виртуальных каналов к каналам TDM всегда неполная и вероятностная (в среднем, но никаких гарантий для отдельно взятого пакета). Разные пакетные технологии отличаются различным уровнем поддержки параметров QoS.

ВATM, например, механизмы качества обслуживания наиболее совершенны и отработаны,

ав IP-сетяхони только начинают внедряться. Поэтому далеко не каждая сеть VPN пытает­ ся воссоздать эти особенности частной сети. Считается, что безопасность—обязательноесвойство VPN, а качество транспортного обслуживания—толькожелательное.

В-третьих, сеть VPN приближается к реальной частной сети, если она обеспечивает для кли­ ентанезависимость адресного пространства. Это дает клиенту одновременно и удобство кон­ фигурирования, и способ поддержания безопасности. Причем желательно, чтобы не только клиенты ничего не знали об адресных пространствах друг друга, но и магистраль поставщи­ каимела собственное адресное пространство, неизвестное пользователям. В этом случае сеть поставщика услуг будет надежнее защищена от умышленных атак или неумышленных дей­ ствий своих клиентов, а значит, более высоким будет качество предоставляемых услуг VPN.

Существенное влияние на свойства виртуальных частных сетей оказывают технологии, спомощью которых эти сети строятся. Все технологии VPN можно разделить на два класса

взависимости от того, каким образом они обеспечивают безопасность передачи данных:

□ технологии разграничения трафика;

□ технологии шифрования.

Сети VPN на основе техники шифрования рассматриваются в главе 24.

В технологиях разграничения трафика используется техника постоянных виртуальных каналов, обеспечивающая надежную защиту трафика каждого клиента от намеренного или ненамеренного доступа к нему других клиентов публичной сети. К этому типу технологий относятся:

□ ATM VPN;

□ Frame Relay VPN;

□ MPLS VPN;

□ Carrier Ethernet VPN.

Двухточечные виртуальные каналы этих технологий имитируют сервис выделенных ка­ налов, проходя от пограничного устройства (Client Edge, СЕ) одного сайта клиента через поставщика к СЕ другого сайта клиента.

ВНИМАНИЕ-------------------------------------------------------------------------------------------------------------------

Под термином «сайт» здесь понимается территориально обособленный фрагмент сети клиента. Н а ­ пример, о корпоративной сети, в которой сеть центрального отделения связывается с тремя удален­ н ы м и филиалами, м о ж н о сказать, что она состоит из четырех сайтов.

Защита данных достигается благодаря тому, что несанкционированный пользователь не может подключиться к постоянному виртуальному каналу, не изменив таблицы коммутации устройств поставщика услуг, а значит, ему не удастся провести атаку или прочитать данные. Свойство защищенности трафика является естественным свойствомтехники виртуальных каналов, поэтому сервисы ATM VPN и Frame Relay VPN являются на самом деле не чем иным, как обычными сервисами PVC сетей ATM или Frame Relay. Любой пользователь ATM или Frame Relay, использующий инфраструктуру PVC для связи своих локальных сетей, потребляет услугу VPN даже в том случае, когда он это явно не осознает. Это одно из «родовых» преимуществ техники виртуальных каналов по сравнению с дейтаграммной техникой, так как при применении последней без дополни­ тельных средств VPN пользователь оказывается не защищенным от атак любого другого пользователя сети.

Так как в технологиях ATM и Frame Relay при передаче данных используются только два уровня стека протоколов, варианты VPN, построенные на их основе, называют также сетями VPN уровня 2 (Layer 2 VPN, L2VPN). Наличие в технологиях ATM и Frame Relay механизмов поддержания параметров QoS позволяет ATM VPN и Frame Relay VPN достаточно хорошо приближаться к частным сетям на выделенных каналах.

Информация третьего уровня никогда не анализируется и не меняется в этих сетях—этоодновременно и достоинство, и недостаток. Преимущество в том, что клиент может переда­ вать по такому виртуальному каналу трафик любых протоколов, а не только IP. Кроме того, IP-адресаклиентов и поставщика услуг изолированы и независимы друг от друга—онимогут выбираться произвольным образом, так как не используются при передаче трафика через магистраль поставщика. Никаких других знаний о сети поставщика услуг, помимо значений меток виртуальных каналов, клиенту не требуется. Недостаток этого подхода состоит в том, что поставщик не оперируетIP-трафикомклиента и, следовательно, не может оказывать дополнительные услуги, связанные с сервисами IP, а это сегодня очень перспективное направление бизнеса поставщиков услуг.

Главным недостатком сети L2VPN является ее сложность и достаточно высокая стоимость. При организации полносвязной топологии сайтов клиента зависимость операций конфи­ гурирования от числа сайтов имеет квадратичный характер (рис. 19.13, а).

Действительно, для соединения N сайтов необходимо создатьN* (N - 1)/2 двунаправлен­ ных виртуальных каналов илиN* (N - 1) однонаправленных. В частности, при значенииN, равном 100, потребуется 5000 операций конфигурирования. И хотя они и выполняются с помощью автоматизированных систем администрирования, ручной труд и вероятность ошибки все равно сохраняются. При поддержке только услугинтранет общее количество конфигурируемых соединений прямо пропорционально количеству клиентов—иэто хорошо! Но оказание услугэкстранет ухудшает ситуацию, так как подразумевает необхо­ димость обеспечить связь сайтов разных клиентов. Масштабируемость сети ATM/FR VPN можно улучшить, если клиент откажется от полносвязной топологии и организует связи типа «звезда» через один или несколько выделенных транзитных сайтов (рис. 19.13, 6).Конечно, производительность сети клиента при этом снизится, так как увеличится число транзитных передач информации. Однако экономия средств будет налицо—поставщикиуслуг взимают деньги за свои виртуальные каналы, как правило, «поштучно».

Рис. 19.13. Масштабируемость сети L2VPN

Клиенты сети ATM/FR VPN не могут нанести ущерб друг другу, а также атаковать1Р-сетьпоставщика. Сегодня поставщик услуг всегда располагаетIP-сетью, даже если он оказывает только услуги ATM/FR VPN. БезIP-сетии ее сервисов администрирования он просто не сможет управлять своей сетью ATM/FR.IP-сетьявляется оверлейной (наложенной) по отношению к сетям ATM или FR, поэтому клиенты ATM/FR ничего не знают о ее струк­ туре и даже о ее наличии (рис. 19.14).

Рис. 19.14. Оверлейная (а) и одноранговая (б) модели VPN

Сети MPLS VPN могут строиться как по схеме L2VPN, так и по другой схеме, исполь­ зующей протоколы трех уровней. Такие сети называют сетями VPN уровня 3 (Layer 3 VPN, L3VPN). В технологии L3VPN также применяется техника LSP для разграничения трафика клиентов внутри сети поставщика услуг, поддерживающей технологию MPLS.

Сеть L3VPN взаимодействует с сетями клиентов на основе ІР-адресов, a L2VPN—наосно­ ве адресной информации второго уровня, напримерМАС-адресовили идентификаторов виртуальных каналов Frame Relay.

 

 

Серверы и рабочие станции

В компьютерных сетях могут использоваться как однопользовательские мини- и микрокомпьютеры (в том числе и персональные), оснащенные терминальными устройствами для связи с пользователем или выполняющие функции коммутации и маршрутизации сообщений, так и мощные многопользовательские компьютеры (мини-компьютеры, большие компьютеры). Последние выполняют эффективную обработку данных и дистанционно обеспечивают пользователей сети всевозможными информационно-вычислительными ресурсами. В локальных сетях эти функции реализуют серверы и рабочие станции.

Рабочие станции

Рабочая станция (workstation) — подключенный к сети компьютер, через который пользователь получает доступ к ее ресурсам. Часто рабочую станцию (равно как и пользователя сети, и даже прикладную задачу, выполняемую в сети) называют клиентом сети. В качестве рабочих станций могут выступать как обычные компьютеры, так и специализированные — «сетевые компьютеры» (NET PC — Network Computer). Рабочая станция сети на базе обычного компьютера функционирует как в сетевом, так и в локальном режимах. Она оснащена собственной операционной системой и обеспечивает пользователя всем необходимым для решения прикладных задач. Рабочие станции иногда специализируют для выполнения графических, инженерных, издательских и других работ. Рабочие станции на базе сетевых компьютеров могут функционировать, как правило, только в сетевом режиме при наличии в сети сервера приложений.. Отличие сетевого компьютера (Network Personal Computer — NET PC) от обычного в том, что он максимально упрощен: классический NET PC не содержит дисковой памяти (часто его называют бездисковым ПК). Он имеет упрощенную материнскую плату, основную память, а из внешних устройств присутствуют только дисплей, клавиатура, мышь и сетевая карта обязательно с чипом ПЗУ BootROM, обеспечивающим возможность удаленной загрузки операционной системы с сервера сети (это классический «тонкий клиент» сети). Для работы, например, в интранет-сети такой компьютер должен иметь столько вычислительных ресурсов, сколько требует веб-браузер.

Поскольку оставить клиента сети совсем без возможностей локального использования компьютера, например, для работы в текстовом или табличном процессоре со своим персональным «рабочим столом», не совсем гуманно, то иногда используются версии сетевого компьютера, имеющего небольшую дисковую память. Сменные дисководы и флэшдиски должны отсутствовать в целях обеспечения информационной безопасности: чтобы через них не занести в сеть (или вынести) нежелательную информацию — программы, данные, компьютерные вирусы. Конструктивно NET PC выполнены в виде компактного системного блока — подставки под монитор (Network Computer TC фирмы Boundless Technologies) или встроенной в монитор системной платы (NET PC Wintern фирмы Wyse Technology).

Серверы

Слово «сервер» (server) родственно слову «сервис». Действительно серверы, будь то программы-серверы (есть и такие) или компьютеры-серверы, обслуживают запросы, выдавая информацию определенного типа или выполняя иные обслуживающие функции. Сервер — это выделенный для обработки запросов от всех рабочих станций сети многопользовательский компьютер, предоставляющий этим станциям доступ к общим системным ресурсам (вычислительным мощностям, базам данных, библиотекам программ, принтерам, факсам и т. д.) и распределяющий эти ресурсы. Сервер имеет свою сетевую операционную систему, под управлением которой и происходит совместная работа всех звеньев сети. Из наиболее важных требований, предъявляемых к серверу, следует выделить высокую производительность и надежность работы.

Сервер, кроме предоставления сетевых ресурсов рабочим станциям, может и сам выполнять содержательную обработку информации по запросам клиентов — такой сервер часто называютсервером приложений. Серверы в сети часто специализируются. Специализированные серверыиспользуются для устранения наиболее «узких» мест в работе сети: это создание и управление базами данных и архивами данных, поддержка многоадресной факсимильной связи и электронной почты, управление многопользовательскими терминалами (принтеры, плоттеры) и т. д. Примеры специализированных серверов:

Файловые серверы хранят в своей памяти различные данные и выдают по запросу необходимые файлы без какой либо их предварительной обработки.

Серверы баз данных хранят в своей памяти различные данные, организованные в базы данных. У них имеется Система Управления Базой Данных (СУБД), поэтому они формируют нужную информацию в соответствии с запросом, и выдают необходимые данные.

Серверы семейств Primergy и Primequest полностью поддерживают СУБД Microsoft SQL Server. Это обстоятельство благодаря возможности создания зеркальных образов баз данных, реализованной в SQL Server, позволяет почти мгновенно восстановить нормальный режим работы после сбоя базы данных. Пользователь даже не заметит, что произошел сбой в работе СУБД.

Сервер резервного копирования (Storage Express System) применяется для резервного копирования информации в крупных многосерверных сетях, использует накопители на магнитной ленте (стримеры) со сменными картриджами емкостью до сотен Гбайт; обычно выполняет ежедневное автоматическое архивирование с сжатием информации от серверов и рабочих станций по сценарию, заданному администратором сети (естественно, с составлением каталога архива).

Факс-сервер (Fax server) —для организации эффективной многоадресной факсимильной связи, с несколькими факс-модемными платами, со специальной защитой информации от несанкционированного доступа в процессе передачи, с системой хранения электронных факсов (один из вариантов — Net SatisFAXion Software в сочетании с факс-модемом SatisFAXion).

Почтовый сервер – в системе пересылки электронной почты так обычно называют агента пересылки сообщений (mail transfer agent, MTA), то есть это компьютерная программа, которая передает сообщения от одного компьютера к другому. С другой стороны – сервер, обеспечивающий прием-передачу персональных писем пользователей, а также их маршрутизацию.

Сервер печати (Print Server) предназначен для эффективного использования системных принтеров.

Cерверы-шлюзы в Интернет выполняют роль маршрутизатора, почти всегда совмещенную с функциями почтового сервера и сетевого брандмауэра, обеспечивающего безопасность сети.

Web-серверы организуются в сети Интернет с целью предоставления пользователям различной информации по протоколу http.

Серверы удаленного доступа обеспечивают связь пользователей с сетью Интернет, корпоративной или иной сетью по телефонным каналам. Компьютеры, имеющие непосредственный доступ в сеть Интернет, часто называют хост-компьютерами.

Блэйд–серверы.В последние годы во многих областях бизнеса и производства все шире применяются блейд-серверы - серверы, имеющие дополнительные сервисные функции. Такие серверы реализуют весьма популярные сейчас «облачные технологии» обработки данных. Основное преимущество блейд-серверов перед обычными серверами заключается в простоте организации крупного центра обработки данных, который помимо вычислительной мощности, нуждается в дополнительной инфрастуктуре хранения данных. Заказчик вместе с блейд-сервером получает на 70 – 80 % готовую инфраструктуру центра обработки данных.

Серверы приложений выполняют по запросу пользователей обработку информации с помощью программ, имеющихся на сервере (пользователь — «тонкий клиент») или поступающих от самого пользователя (пользователь — «толстый клиент»).

Серверы приложений используют программные средства, которые являются как бы контейнером прикладных программ, используемых в корпоративных системах управления.

В функции ПО сервера приложений входит: решение корпоративных задач, управление оптимизацией системных ресурсов (память, интерфейсы и пр.), обеспечение связи приложений с внешними ресурсами (включая базы данных, сети и др.). Программное обеспечение отвечает также за качество поддержки сервисов (доступность, надежность, достоверность, безопасность, производительность, управляемость, масштабируемость). Программы серверов приложений могут развиваться в двух основных вариантах:

программы выполнения новых приложений, которые не могут ждать;

корпоративные программы, рассчитанные на долгосрочное использование.

Имеются как специализированные программы, ориентированные на решение определенного класса задач (например, пакеты «1С Предприятие», SAP R/3), так и универсальные программы.

Прокси-серверы являются удобным средством доступа корпоративных и других локальных сетей в Интернет, обеспечивая при этом быстрый повторный доступ к информации (информация хранится в памяти прокси-сервера некоторое время после обращения к ней) и защиту корпоративной сети от несанкционированного доступа (у них есть сетевые экраны — брандмауэры).

 


Поделиться:



Последнее изменение этой страницы: 2017-05-11; Просмотров: 507; Нарушение авторского права страницы


lektsia.com 2007 - 2024 год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! (0.034 с.)
Главная | Случайная страница | Обратная связь