Paloturvallisuuden tietosanakirja

Kuinka herätä helposti ja iloisesti. Kuinka oppia nousemaan aamulla helposti ja iloisesti. Pidetään jalat lämpiminä ja ajatuksemme kylminä

IP-protokolla

IP-protokollan perustoiminnot

TCP/IP-protokollapinon siirtojen perusta on Internet Protocol (IP). Se varmistaa datagrammien siirron lähettäjältä vastaanottajille integroidun tietokoneverkkojärjestelmän kautta.

Tämän protokollan nimi - Internet Protocol - heijastaa sen olemusta: sen on lähetettävä paketteja verkkojen välillä. Jokaisessa peräkkäisessä verkossa, joka sijaitsee paketin polulla, IP-protokolla kutsuu tässä verkossa hyväksyttyjä kuljetusvälineitä siirtääkseen tämän paketin seuraavaan verkkoon johtavalle reitittimelle tai suoraan vastaanottavaan solmuun.

IP-protokolla on yhteydetön protokolla. IP:n tehtävänä ei ole toimittaa viestejä luotettavasti lähettäjältä vastaanottajalle. IP-protokolla käsittelee jokaista IP-pakettia itsenäisenä yksikkönä, jolla ei ole yhteyttä muihin IP-paketteihin. IP-protokollassa ei ole mekanismeja, joita tavallisesti käytetään lopullisen tiedon luotettavuuden lisäämiseen: ei ole kättelyä - kuittausten vaihtoa lähettäjän ja vastaanottajan välillä, ei tilausmenettelyä, uudelleenlähetyksiä tai muita vastaavia toimintoja. Jos paketin edelleenlähetyksen aikana tapahtuu virhe, IP-protokolla ei tee omasta aloitteestaan ​​mitään tämän virheen korjaamiseksi. Jos esimerkiksi välireitittimessä paketti hylätään elinaika- tai tarkistussummavirheen vuoksi, IP-moduuli ei yritä lähettää uudelleen vioittunutta tai kadonnutta pakettia. Kaikki TCP/IP-pinossa olevan komposiittiverkon kautta tapahtuvan tiedonsiirron luotettavuuden varmistamiseen liittyvät ongelmat ratkaistaan ​​TCP-protokollalla, joka toimii suoraan IP-protokollassa. Se on TCP, joka järjestää pakettien uudelleenlähetyksen tarvittaessa.

Tärkeä IP-protokollan ominaisuus, joka erottaa sen muista verkkoprotokollista (esimerkiksi IPX-verkkoprotokollasta), on sen kyky suorittaa pakettien dynaaminen pirstoutuminen siirrettäessä niitä verkkojen välillä, joilla on erilaiset MTU-kehystietojen enimmäisarvot. ala. Hajanaisuuden ominaisuus on suurelta osin vaikuttanut siihen, että IP-protokolla on kyennyt ottamaan hallitsevan aseman monimutkaisissa komposiittiverkoissa.

Protokollan toiminnallisen monimutkaisuuden ja protokollan käyttämien pakettien otsikon monimutkaisuuden välillä on suora yhteys. Tämä selittyy sillä, että pääpalvelutiedot, joiden perusteella protokolla suorittaa tämän tai toisen toiminnon, siirretään kahden moduulin välillä, jotka toteuttavat tämän protokollan eri koneilla, juuri pakettiotsikoiden kentissä. Siksi on erittäin hyödyllistä tutkia IP-paketin jokaisen otsikkokentän tarkoitusta, ja tämä tutkimus ei tarjoa vain muodollista tietoa paketin rakenteesta, vaan myös selittää kaikki protokollan tärkeimmät toimintatavat käsittelyä ja lähetystä varten. IP-datagrammit.

IP-pakettirakenne

IP-paketti koostuu otsikosta ja tietokentästä. Yleensä 20 tavua pitkällä otsikolla on seuraava rakenne (kuva 14.1).

Riisi. 1. IP-paketin otsikkorakenne

Ala Versionumero, vie 4 bittiä, osoittaa IP-protokollan version. Versio 4 (IPv4) on nyt laajalti käytössä, ja siirtymistä versioon 6 (IPv6) valmistellaan.

Ala Otsikon pituus (IHL) IP-paketti on 4 bittiä pitkä ja määrittää otsikon pituusarvon 32-bittisillä sanoilla. Tyypillisesti otsikko on 20 tavua pitkä (viisi 32-bittistä sanaa), mutta yleisrasitetietojen määrän kasvaessa tätä pituutta voidaan kasvattaa käyttämällä lisätavuja kentässä. Asetukset (IP-asetukset). Suurin otsikko on 60 oktettia.

Ala Palvelun tyyppi vie yhden tavun ja määrittää paketin prioriteetin ja reitinvalintakriteerin tyypin. Tämän kentän kolme ensimmäistä bittiä muodostavat alikentän etusijalla paketti (Etusija). Prioriteetilla voi olla arvot alimmasta - 0 (normaali paketti) korkeimpaan - 7 (ohjaustietopaketti). Reitittimet ja tietokoneet voivat ottaa pakettien prioriteetin huomioon ja käsitellä tärkeämpiä paketteja ensin. Ala palvelutyyppi sisältää myös kolme bittiä, jotka määrittelevät reitin valintakriteerin. Todellisuudessa valinta tehdään kolmen vaihtoehdon välillä: pieni latenssi, korkea luotettavuus ja korkea suorituskyky. D (viive)-bittijoukko osoittaa, että reitti tulisi valita tietyn paketin toimitusviiveen minimoimiseksi, T-bitti suorituskyvyn maksimoimiseksi ja R-bitti toimitusvarmuuden maksimoimiseksi. Monissa verkoissa yhden parametrin parantuminen liittyy toisen heikkenemiseen, minkä lisäksi jokaisen käsittely vaatii lisälaskentakustannuksia. Siksi on harvoin järkevää asettaa vähintään kaksi näistä kolmesta reitinvalintakriteeristä samanaikaisesti. Varattujen bittien arvo on nolla.

Ala Kokonaispituus vie 2 tavua ja tarkoittaa paketin kokonaispituutta, ottaen huomioon otsikko- ja tietokentät. Paketin enimmäispituutta rajoittaa tämän arvon määrittävän kentän leveys ja se on 65 535 tavua, mutta useimmat isäntätietokoneet ja verkot eivät käytä niin suuria paketteja. Erityyppisten verkkojen kautta lähetettäessä paketin pituus valitaan ottaen huomioon IP-paketteja kuljettavan alemman kerroksen protokollapaketin maksimipituus. Jos nämä ovat Ethernet-kehyksiä, valitaan Ethernet-kehyksen tietokenttään mahtuvat paketit, joiden enimmäispituus on 1500 tavua. Standardin mukaan kaikkien isäntien on oltava valmiita ottamaan vastaan ​​paketteja, joiden pituus on enintään 576 tavua (saapuvatko ne kokonaisina tai osina). Isäntiä kehotetaan lähettämään yli 576 tavua suurempia paketteja vain, jos ne ovat varmoja siitä, että vastaanottava isäntä tai väliverkko on valmis käsittelemään tämän kokoisia paketteja.

Ala Paketin tunniste kestää 2 tavua ja sitä käytetään tunnistamaan paketit, jotka on muodostettu fragmentoimalla alkuperäinen paketti. Kaikilla fragmenteilla on oltava sama arvo tässä kentässä.

Ala Liput vie 3 bittiä ja sisältää pirstoutumiseen liittyviä ominaisuuksia. Set DF (Do Not Fragment) -bitti estää reititintä pilkkomasta tätä pakettia, ja joukko MF (More Fragments) -bitti osoittaa, että tämä paketti on väli (ei viimeinen) fragmentti. Jäljellä oleva bitti on varattu.

Ala Fragmenttipoikkeama vie 13 bittiä ja määrittää tämän paketin tietokentän siirtymän tavuina alkuperäisen fragmentoidun paketin yleisen tietokentän alusta. Käytetään pakettifragmenttien kokoamisessa/purkamisessa siirrettäessä niitä verkkojen välillä, joilla on eri MTU-arvot. Siirron on oltava 8 tavun kerrannainen.

Ala Aika elää vie yhden tavun ja edustaa aikarajaa, jonka aikana paketti voi kulkea verkon yli. Tietyn paketin elinikä mitataan sekunneissa ja sen määrittää lähetyslähde. Reitittimissä ja muissa verkkosolmuissa jokaisen sekunnin jälkeen yksi vähennetään nykyisestä käyttöiästä; yksi vähennetään myös, kun viiveaika on alle sekunti. Koska nykyaikaiset reitittimet käsittelevät harvoin paketin yli sekunnissa, eliniän voidaan katsoa olevan yhtä suuri kuin solmujen enimmäismäärä, jonka tietty paketti saa kulkea ennen kuin se saavuttaa määränpäänsä. Jos time-to-live-parametrista tulee nolla ennen kuin paketti saavuttaa vastaanottajan, paketti hylätään. Elinikä voidaan nähdä itsensä tuhoamisen kellomekanismina. Tämän kentän arvo muuttuu, kun IP-paketin otsikko käsitellään.

Tunniste Ylemmän tason protokolla (protokolla) vie yhden tavun ja osoittaa mihin ylemmän tason protokollaan paketin tietokentässä olevat tiedot kuuluvat (nämä voivat olla esimerkiksi TCP-protokollasegmenttejä (UDP-datagrammit, ICMP- tai OSPF-paketit). Tunnusarvot useita protokollia on annettu RFC-asiakirjassa "Assigned Numbers" .

Otsikon tarkistussumma kestää 2 tavua ja se lasketaan vain otsikosta. Koska jotkin otsikkokentät muuttavat arvoaan paketin kulkiessa verkon yli (esimerkiksi aika elää), tarkistussumma tarkistetaan ja lasketaan uudelleen joka kerta, kun IP-otsikko käsitellään. Tarkistussumma - 16 bittiä - lasketaan yhteenlaskuna kaikkien 16-bittisten otsikosanojen summaan. Tarkistussummaa laskettaessa itse "tarkistussumma"-kentän arvoksi asetetaan nolla. Jos tarkistussumma on virheellinen, paketti hylätään heti, kun virhe havaitaan.

Kentät Lähteen IP-osoite Ja Kohteen IP-osoite niillä on sama pituus - 32 bittiä - ja sama rakenne.

Ala Asetukset (IP-asetukset) on valinnainen ja sitä käytetään yleensä vain verkon virheenkorjauksessa. Vaihtoehtomekanismi tarjoaa ohjaustoimintoja, jotka ovat välttämättömiä tai yksinkertaisesti hyödyllisiä tietyissä tilanteissa, mutta sitä ei tarvita normaalissa viestinnässä. Tämä kenttä koostuu useista alikentistä, joista jokainen voi olla yksi kahdeksasta ennalta määritetystä tyypistä. Näissä alakentissä voit määrittää reitittimien tarkan reitin, rekisteröidä paketin läpi kulkevat reitittimet, sijoittaa suojaustiedot sekä aikaleimat. Koska alikenttien lukumäärä voi olla mielivaltainen, niin kentän lopussa Vaihtoehdot muutama tavu on lisättävä paketin otsikon kohdistamiseksi 32-bittiselle rajalle.

Ala Tasaus (täyte) käytetään varmistamaan, että IP-otsikko päättyy 32-bittiseen rajaan. Tasaus tehdään nollien kanssa.

Alla on tuloste yhden todellisen IP-paketin otsikkokenttien arvoista, jotka on kaapattu Ethernet-verkossa Microsoft Network Monitor -protokollaanalysaattorilla.

    IP: Versio = 4 (0x4)

    IP: otsikon pituus = 20 (0x14)

    IP: Palvelutyyppi = 0 (0x0)

    IP: Ensisijaisuus = rutiini

    IP: ...0.... = Normaali viive

    IP: ....0... = Normaali suorituskyky

    IP: .....0... = Normaali luotettavuus

    IP: kokonaispituus = 54 (0x36)

    IP: Tunnistus = 31746 (0x7C02)

    IP: Lippujen yhteenveto = 2 (0x2)

    IP: .......0 = Viimeinen fragmentti datagrammissa

    IP: ......1. = Datagrammia ei voi fragmentoida

    IP: Fragmenttipoikkeama = 0 (0x0) tavua

Yhdeksän kuukauden kehitystyön jälkeen on saatavilla FFmpeg 4.2 -multimediapaketti, joka sisältää joukon sovelluksia ja kokoelman kirjastoja erilaisiin multimediamuotoihin (tallennus, muuntaminen ja […]

Linux Mint 19.2 on pitkäaikainen tukijulkaisu, jota tuetaan vuoteen 2023 asti. Sen mukana tulee päivitetty ohjelmisto ja sisältää parannuksia ja monia uusia […]

  • Linux Mint 19.2 -jakelu on julkaistu

    Esitetty on Linux Mint 19.2 -jakelun julkaisu, Linux Mint 19.x -haaran toinen päivitys, joka muodostettiin Ubuntu 18.04 LTS -pakettipohjaan ja jota tuetaan vuoteen 2023 asti. Jakelu on täysin yhteensopiva [...]

    • Saatavilla on uusia BIND-palvelujulkaisuja, jotka sisältävät virheenkorjauksia ja ominaisuuksien parannuksia. Uusia julkaisuja voi ladata kehittäjän verkkosivuston lataussivulta: […]

    Exim on Cambridgen yliopistossa kehitetty viestinsiirtoagentti (MTA) käytettäväksi Unix-järjestelmissä, jotka ovat yhteydessä Internetiin. Se on vapaasti saatavilla [...]

    Lähes kahden vuoden kehitystyön jälkeen esitellään ZFS:n julkaisu Linux 0.8.0:lle, ZFS-tiedostojärjestelmän toteutus, joka on suunniteltu Linux-ytimen moduuliksi. Moduuli on testattu Linux-ytimillä 2.6.32 - […]

  • WordPress 5.1.1 korjaa haavoittuvuuden, jonka avulla voit ottaa sivustosi hallintaan

    • Internet-protokollia ja -arkkitehtuuria kehittävä IETF (Internet Engineering Task Force) on saanut valmiiksi RFC:n ACME (Automatic Certificate Management Environment) -protokollalle […]

    Yhteisön hallinnassa oleva voittoa tavoittelematon ja kaikille maksutta varmenteita tarjoava Let’s Encrypt -varmenneviranomainen kiteytti kuluneen vuoden tulokset ja kertoi vuoden 2019 suunnitelmista. […]

  • Tuli ulos uusi versio Libreoffice – Libreoffice 6.2

    Document Foundation ilmoitti LibreOffice 6.2:n julkaisusta. Muutokset ja lisäykset uudessa julkaisussa: Libreoffice Writer Muutosten piilottaminen on muokattu: muokkaa ▸ muuta raitaa ▸ näytä […]

    • Oletetaan, että sinulla on heikko tieto verkkoteknologioista etkä edes tiedä perusasioita. Mutta sinulle on annettu tehtävä: rakentaa nopeasti tietoverkko pienessä yrityksessä. Sinulla ei ole aikaa eikä halua opiskella paksuja Talmudeja verkkosuunnittelusta, käyttöohjeista verkkolaitteet ja perehtyä verkkoturvallisuuteen. Ja mikä tärkeintä, tulevaisuudessa sinulla ei ole halua tulla ammattilaiseksi tällä alalla. Sitten tämä artikkeli on sinua varten.


    Tämän artikkelin toinen osa, jossa käsitellään käytännön käyttöä perusasiat tässä: Cisco Catalyst Notes: VLAN-kokoonpano, salasanan palautus, vilkkuva IOS

    Protokollapinon ymmärtäminen

    Tehtävänä on siirtää tietoa pisteestä A pisteeseen B. Sitä voidaan siirtää jatkuvasti. Mutta tehtävästä tulee monimutkaisempi, jos sinun on siirrettävä tietoja pisteiden A välillä<-->B ja A<-->C saman fyysisen kanavan kautta. Jos tietoa lähetetään jatkuvasti, silloin kun C haluaa siirtää tietoa A:lle, hänen on odotettava, kunnes B lopettaa lähetyksen ja vapauttaa viestintäkanavan. Tämä tiedonsiirtomekanismi on erittäin hankala ja epäkäytännöllinen. Ja tämän ongelman ratkaisemiseksi päätettiin jakaa tiedot osiin.

    Vastaanottajassa nämä osat on koottava yhdeksi kokonaisuudeksi vastaanottaakseen lähettäjältä tulleet tiedot. Mutta vastaanottajalla A näemme nyt sekä B:stä että C:stä peräisin olevat tiedot sekoitettuna yhteen. Tämä tarkoittaa, että jokaiselle osalle on syötettävä tunnistenumero, jotta vastaanottaja A voi erottaa B:stä tulevan tiedon osista C:n informaation osista ja koota nämä osat alkuperäiseen viestiin. Ilmeisesti vastaanottajan tulee tietää, missä ja missä muodossa lähettäjä lisäsi tunnistetiedot alkuperäiseen tietoon. Ja tätä varten heidän on kehitettävä tietyt säännöt tunnistustietojen muodostamiselle ja kirjoittamiselle. Lisäksi sana "sääntö" korvataan sanalla "pöytäkirja".

    Nykyaikaisten kuluttajien tarpeiden täyttämiseksi on tarpeen ilmoittaa useita tunnistustietoja kerralla. Se edellyttää myös lähetettyjen tietojen suojaamista sekä satunnaisilta häiriöiltä (viestintälinjojen välityksellä tapahtuvan lähetyksen aikana) että tahalliselta sabotaasilta (hakkerointi). Tätä tarkoitusta varten osa välitetystä tiedosta täydennetään merkittävällä määrällä erityistä palvelutietoa.

    Ethernet-protokolla sisältää lähettäjän verkkosovittimen numeron (MAC-osoitteen), vastaanottajan verkkosovittimen numeron, siirrettävän tiedon tyypin ja todellisen siirrettävän tiedon. Ethernet-protokollan mukaisesti koottua tietoa kutsutaan kehykseksi. Uskotaan, ettei ole olemassa verkkosovittimia, joilla on sama numero. Verkkolaitteisto poimii lähetetyn tiedon kehyksestä (laitteistosta tai ohjelmistosta) ja suorittaa jatkokäsittelyn.

    Poimitut tiedot puolestaan ​​muodostetaan pääsääntöisesti IP-protokollan mukaisesti ja niillä on muun tyyppinen tunnistustiedot - vastaanottajan IP-osoite (4-tavuinen numero), lähettäjän IP-osoite ja tiedot. Sekä paljon muuta tarpeellista palvelutietoa. IP-protokollan mukaisesti luotuja tietoja kutsutaan paketeiksi.

    Seuraavaksi tiedot poimitaan paketista. Mutta tämä tieto ei yleensä ole vielä alun perin lähetetty tieto. Tämä tieto on myös koottu tietyn protokollan mukaisesti. Yleisimmin käytetty protokolla on TCP. Se sisältää tunnistetietoja, kuten lähettäjän portin (kaksitavuinen numero) ja lähdeportin sekä tietoja ja palvelutietoja. TCP:stä poimitut tiedot ovat tyypillisesti tietoja, jotka tietokoneessa B käynnissä oleva ohjelma lähetti tietokoneen A "vastaanotinohjelmaan".

    Protokollapinoa (tässä tapauksessa TCP over IP over Ethernet) kutsutaan protokollapinoksi.

    ARP: Address Resolution Protocol

    On olemassa luokkien A, B, C, D ja E verkkoja. Ne eroavat toisistaan ​​tietokoneiden lukumäärän ja niissä olevien mahdollisten verkkojen/aliverkkojen lukumäärän osalta. Yksinkertaisuuden vuoksi ja yleisimpänä tapauksena tarkastelemme vain C-luokan verkkoa, jonka IP-osoite alkaa numerosta 192.168. Seuraava numero on aliverkon numero, jota seuraa verkkolaitteiden numero. Esimerkiksi tietokone, jonka IP-osoite on 192.168.30.110, haluaa lähettää tietoja toiselle tietokoneelle numero 3, joka sijaitsee samassa loogisessa aliverkossa. Tämä tarkoittaa, että vastaanottajan IP-osoite on: 192.168.30.3

    On tärkeää ymmärtää, että tietoverkon solmu on tietokone, joka on yhdistetty yhdellä fyysisellä kanavalla kytkentälaitteisiin. Nuo. jos lähetämme dataa verkkosovittimesta "ulos luontoon", heillä on yksi polku - ne tulevat ulos kierretyn parin toisesta päästä. Voimme lähettää täysin mitä tahansa dataa, joka on luotu minkä tahansa keksimiemme sääntöjen mukaan, ilman IP-osoitetta, mac-osoitetta tai muita määritteitä. Ja jos tämä toinen pää on kytketty toiseen tietokoneeseen, voimme vastaanottaa ne siellä ja tulkita ne tarpeen mukaan. Mutta jos tämä toinen pää on kytketty kytkimeen, niin tässä tapauksessa tietopaketti on muodostettava tiukasti määriteltyjen sääntöjen mukaan, ikään kuin antaisi kytkimelle ohjeita, mitä tälle paketille seuraavaksi tehdä. Jos paketti on muodostettu oikein, kytkin lähettää sen edelleen toiselle tietokoneelle paketin osoittamalla tavalla. Tämän jälkeen kytkin poistaa tämän paketin RAM-muisti. Mutta jos pakettia ei muodostettu oikein, ts. siinä olevat ohjeet olivat virheelliset, niin paketti "kuolee", ts. kytkin ei lähetä sitä minnekään, vaan poistaa sen välittömästi RAM-muististaan.

    Tietojen siirtämiseksi toiselle tietokoneelle on lähetettävässä tietopaketissa määritettävä kolme tunnistearvoa - mac-osoite, IP-osoite ja portti. Suhteellisesti sanottuna portti on numero, joka aiheuttaa ongelmia käyttöjärjestelmä jokainen ohjelma, joka haluaa lähettää tietoja verkkoon. Vastaanottajan IP-osoitteen syöttää käyttäjä itse tai ohjelma itse vastaanottaa sen ohjelman erityispiirteistä riippuen. Mac-osoite jää tuntemattomaksi, ts. vastaanottajan tietokoneen verkkosovittimen numero. Tarvittavien tietojen saamiseksi lähetetään ”broadcast”-pyyntö, joka on koottu ns. ”ARP Address Resolution Protocol -protokollalla”. Alla on ARP-paketin rakenne.

    Nyt meidän ei tarvitse tietää kaikkien yllä olevan kuvan kenttien arvoja. Keskitytään vain tärkeimpiin.

    Kentät sisältävät lähteen IP-osoitteen ja kohde-IP-osoitteen sekä lähteen mac-osoitteen.

    "Ethernet-kohdeosoite" -kenttä on täytetty yksiköillä (ff:ff:ff:ff:ff:ff). Tällaista osoitetta kutsutaan yleislähetysosoitteeksi, ja tällainen kehys lähetetään kaikkiin "kaapelin liitäntöihin", ts. kaikki kytkimeen kytketyt tietokoneet.

    Vastaanotettuaan tällaisen yleislähetyskehyksen kytkin lähettää sen kaikille verkossa oleville tietokoneille, ikään kuin olisi osoitettu kaikille kysymyksellä: "Jos olet tämän IP-osoitteen (kohde-IP-osoitteen) omistaja, kerro minulle mac-osoitteesi. ” Kun toinen tietokone vastaanottaa tällaisen ARP-pyynnön, se tarkistaa kohde-IP-osoitteen omallaan. Ja jos se täsmää, niin tietokone lisää niiden tilalle mac-osoitteensa, vaihtaa lähteen ja kohteen ip- ja mac-osoitteet, muuttaa joitain palvelutietoja ja lähettää paketin takaisin kytkimelle, joka lähettää sen takaisin alkuperäinen tietokone, ARP-pyynnön alullepanija.

    Tällä tavalla tietokoneesi löytää sen toisen tietokoneen mac-osoitteen, johon haluat lähettää tietoja. Jos verkossa on useita tietokoneita, jotka vastaavat tähän ARP-pyyntöön, saamme "IP-osoiteristiriidan". Tässä tapauksessa on tarpeen muuttaa tietokoneiden IP-osoite, jotta verkossa ei ole identtisiä IP-osoitteita.

    Verkkojen rakentaminen

    Tehtävä rakentaa verkkoja

    Käytännössä pääsääntöisesti on tarpeen rakentaa verkkoja, joissa on vähintään sata tietokonetta. Ja tiedostojen jakamistoimintojen lisäksi verkkomme on oltava turvallinen ja helppo hallita. Siten verkkoa rakennettaessa voidaan erottaa kolme vaatimusta:
    1. Helppo käyttää. Jos kirjanpitäjä Lida siirretään toiseen toimistoon, hän tarvitsee edelleen pääsyn kirjanpitäjien Annan ja Julian tietokoneisiin. Ja jos tietoverkko on rakennettu väärin, ylläpitäjällä voi olla vaikeuksia antaa Lidalle pääsy muiden kirjanpitäjien tietokoneisiin uudessa paikassa.
    2. Turvallisuus. Verkkomme turvallisuuden varmistamiseksi tietoresurssien käyttöoikeudet on eriytettävä. Verkko on myös suojattava paljastamiseen, eheyteen ja palvelunestoon kohdistuvilta uhilta. Lue lisää Ilja Davidovich Medvedovskin kirjasta "Hyökkäys Internetiin" luvussa "Tietokoneturvallisuuden peruskäsitteet".
    3. Verkon suorituskyky. Verkkoja rakennettaessa on tekninen ongelma - siirtonopeuden riippuvuus verkossa olevien tietokoneiden lukumäärästä. Mitä enemmän tietokoneita on, sitä pienempi nopeus. Suurella tietokonemäärällä verkon nopeus voi laskea niin alhaiseksi, että asiakas ei hyväksy sitä.
    Mikä hidastaa verkon nopeutta, kun tietokoneita on paljon? - syy on yksinkertainen: koska Suuri määrä lähetysviestejä (BMS). AL on viesti, joka saapuessaan kytkimeen lähetetään kaikille verkon isännille. Tai karkeasti sanottuna kaikki aliverkossasi olevat tietokoneet. Jos verkossa on 5 tietokonetta, jokainen tietokone saa 4 hälytystä. Jos niitä on 200, niin jokainen tietokone sellaisessa suuri verkko hyväksyy 199 Shs.

    On olemassa suuri määrä sovelluksia, ohjelmistomoduuleja ja palveluita, jotka lähettävät yleislähetysviestejä verkkoon toimiakseen. Kuvattu kappaleessa ARP: osoitteenmääritysprotokolla on vain yksi monista AL:ista, jotka tietokoneesi lähettää verkkoon. Kun esimerkiksi siirryt kohtaan "Network Neighborhood" (Windows-käyttöjärjestelmä), tietokoneesi lähettää useita AL:ita, joissa on erityisiä NetBios-protokollan avulla luotuja tietoja, jotta verkko voidaan tarkistaa samassa tilassa olevien tietokoneiden varalta. työryhmä. Tämän jälkeen käyttöjärjestelmä piirtää löydetyt tietokoneet "Network Neighborhood" -ikkunaan ja näet ne.

    On myös hyvä huomioida, että skannauksen aikana yhdellä tai toisella ohjelmalla tietokoneesi ei lähetä yhtä lähetysviestiä, vaan useita esimerkiksi virtuaalisten istuntojen muodostamiseksi etätietokoneiden kanssa tai muihin ohjelmisto-ongelmien aiheuttamiin järjestelmätarpeisiin. tämän sovelluksen toteuttaminen. Siten jokaisen verkossa olevan tietokoneen on vuorovaikutuksessa muiden tietokoneiden kanssa pakko lähettää monia erilaisia ​​AL:ita, jolloin viestintäkanava ladataan tiedolla, jota loppukäyttäjä ei tarvitse. Kuten käytäntö osoittaa, suurissa verkoissa yleislähetysviestit voivat muodostaa merkittävän osan liikenteestä, mikä hidastaa käyttäjälle näkyvää verkkotoimintaa.

    Virtuaaliset lähiverkot

    Ensimmäisen ja kolmannen ongelman ratkaisemiseksi sekä toisen ongelman ratkaisemiseksi, mekanismi, joka jakaa paikallisverkon pienempiin verkkoihin, ikään kuin erillisiksi paikalliset verkot(Virtual Local Area Network). Karkeasti sanottuna VLAN on luettelo kytkimen porteista, jotka kuuluvat samaan verkkoon. "Sama" siinä mielessä, että toinen VLAN sisältää luettelon toiseen verkkoon kuuluvista porteista.

    Itse asiassa kahden VLANin luominen yhdelle kytkimelle vastaa kahden kytkimen ostamista, ts. kahden VLANin luominen on sama kuin yhden kytkimen jakaminen kahdeksi. Tällä tavalla sadan tietokoneen verkko jaetaan pienempiin 5-20 tietokoneen verkkoihin - pääsääntöisesti tämä määrä vastaa tietokoneiden fyysistä sijaintia tiedostojen jakamisen tarpeessa.

    • Jakamalla verkko VLAN-verkkoihin saavutetaan hallinnan helppous. Joten kun kirjanpitäjä Lida muuttaa toiseen toimistoon, järjestelmänvalvojan tarvitsee vain poistaa portti yhdestä VLAN:ista ja lisätä se toiseen. Tätä käsitellään tarkemmin osiossa VLANit, teoria.
    • VLANit auttavat ratkaisemaan yhden verkon suojausvaatimuksista, nimittäin verkkoresurssien rajaamisen. Näin ollen yhdestä luokkahuoneesta tuleva opiskelija ei pääse tunkeutumaan toisen luokan tai rehtorin tietokoneiden väliin, koska ne ovat itse asiassa eri verkoissa.
    • Koska verkkomme on jaettu VLAN-verkkoihin, ts. pienissä "ikään kuin verkoissa" lähetysviestien ongelma katoaa.

    VLANit, teoria

    Ehkä lause "järjestelmänvalvojan tarvitsee vain poistaa portti yhdestä VLAN:ista ja lisätä se toiseen" saattaa olla epäselvä, joten selitän sen tarkemmin. Portti ei tässä tapauksessa ole käyttöjärjestelmän sovellukselle myöntämä numero, kuten Protokollapino -kohdassa kuvattiin, vaan pistoke (paikka), johon voit liittää (asentaa) RJ-45-liittimen. Tämä liitin (eli langan kärki) on kiinnitetty "kierretyksi pariksi" kutsutun 8-ytimisen johdon molempiin päihin. Kuvassa on Cisco Catalyst 2950C-24 -kytkin, jossa on 24 porttia:
    Kuten kappaleessa ARP: osoitteenmääritysprotokolla todetaan, jokainen tietokone on yhdistetty verkkoon yhdellä fyysisellä kanavalla. Nuo. Voit liittää 24 tietokonetta 24-porttiseen kytkimeen. Kierretty pari tunkeutuu fyysisesti kaikkiin yrityksen tiloihin - kaikki tämän kytkimen 24 johtoa ulottuvat eri huoneisiin. Mennään esimerkiksi 17 johtoa ja yhdistetään luokkahuoneen 17 tietokoneeseen, 4 johtoa erikoisosaston toimistoon ja loput 3 johtoa juuri remontoituun, uuteen tilitoimistoon. Ja erityispalveluiden kirjanpitäjä Lida siirrettiin tähän toimistoon.

    Kuten edellä mainittiin, VLAN voidaan esittää luettelona verkkoon kuuluvista porteista. Esimerkiksi kytkimessämme oli kolme VLANia, ts. kolme kytkimen flash-muistiin tallennettua luetteloa. Yhdessä listassa kirjoitettiin numerot 1, 2, 3... 17, toiseen 18, 19, 20, 21 ja kolmanteen 22, 23 ja 24. Lidan tietokone oli aiemmin kytketty porttiin 20. Ja niin hän muutti toiseen toimistoon. He raahasivat häntä vanha tietokone uuteen toimistoon tai hän istuutui uusi tietokone- ei väliä. Pääasia, että hänen tietokoneensa oli kytketty parikaapelilla, jonka toinen pää laitettiin kytkimemme porttiin 23. Ja jotta hän voisi jatkaa tiedostojen lähettämistä kollegoilleen uudesta sijainnistaan, järjestelmänvalvojan on poistettava numero 20 toisesta luettelosta ja lisättävä numero 23. Huomaa, että yksi portti voi kuulua vain yhdelle VLAN:lle, mutta rikomme tämän sääntö tämän kappaleen lopussa.

    Huomaan myös, että portin VLAN-jäsenyyttä vaihtaessaan järjestelmänvalvojan ei tarvitse "kytkeä" johtoja kytkimeen. Lisäksi hänen ei tarvitse edes nousta istuimeltaan. Koska järjestelmänvalvojan tietokone on kytketty porttiin 22, jonka avulla hän voi hallita kytkintä etänä. Tietysti erikoisasetusten ansiosta, joista keskustellaan myöhemmin, vain järjestelmänvalvoja voi hallita kytkintä. Lisätietoja VLAN-verkkojen määrittämisestä on osiossa VLANit, harjoitus [seuraavassa artikkelissa].

    Kuten luultavasti huomasit, sanoin alun perin (Verkkojen rakentaminen -osiossa), että verkossamme tulee olemaan vähintään 100 tietokonetta, mutta kytkimeen voidaan kytkeä vain 24 tietokonetta. Tietenkin on kytkimiä, joissa on enemmän portteja. Mutta yritys-/yritysverkossa on yhä enemmän tietokoneita. Ja äärettömän suuren tietokonemäärän liittämiseksi verkkoon kytkimet kytketään toisiinsa ns. runkoportin kautta. Kytkintä määritettäessä mikä tahansa 24 portista voidaan määrittää runkoportiksi. Ja kytkimessä voi olla kuinka monta runkoporttia (mutta on järkevää tehdä enintään kaksi). Jos jokin porteista on määritelty runkoportiksi, kytkin muodostaa kaikki sille vastaanotetut tiedot erikoispaketteihin ISL- tai 802.1Q-protokollaa käyttäen ja lähettää nämä paketit runkoporttiin.

    Kaikki tiedot, jotka tulivat - tarkoitan kaikkia tietoja, jotka tulivat siihen muista porteista. Ja 802.1Q-protokolla lisätään Ethernetin ja tämän kehyksen kuljettaman datan luoneen protokollan väliseen protokollapinoon.

    SISÄÄN tässä esimerkissä, kuten luultavasti huomasit, ylläpitäjä istuu samassa toimistossa Lidan kanssa, koska... Kierretty kaapeli porteista 22, 23 ja 24 johtaa samaan toimistoon. Portti 24 on määritetty runkoportiksi. Ja itse vaihteisto on kodinhoitohuoneessa, vanhan kirjanpitäjän toimiston ja luokkahuoneen vieressä, jossa on 17 tietokonetta.

    Kierretty parikaapeli, joka kulkee portista 24 järjestelmänvalvojan toimistoon, on kytketty toiseen kytkimeen, joka puolestaan ​​on kytketty reitittimeen, josta kerrotaan seuraavissa luvuissa. Muut kytkimet, jotka yhdistävät muita 75 tietokoneita ja seisovat toisessa kodinhoitohuoneita yritykset - niissä kaikissa on pääsääntöisesti yksi runkoportti, joka on kytketty parikaapelilla tai valokuitukaapelilla pääkytkimeen, joka sijaitsee toimistossa ylläpitäjän kanssa.

    Yllä sanottiin, että joskus on järkevää tehdä kaksi runkoporttia. Toista runkoporttia käytetään tässä tapauksessa verkkoliikenteen analysointiin.

    Suunnilleen tältä suurten yritysverkkojen rakentaminen näytti Cisco Catalyst 1900 -kytkimen aikoihin. Olet todennäköisesti huomannut tällaisissa verkoissa kaksi suurta haittaa. Ensinnäkin runkoportin käyttö aiheuttaa vaikeuksia ja tarpeetonta työtä laitteiston konfiguroinnissa. Ja toiseksi, ja mikä tärkeintä, oletetaan, että kirjanpitäjien, ekonomistien ja työnvälittäjien "verkostomme" haluavat yhden tietokannan kolmelle. He haluavat, että sama kirjanpitäjä näkee tietokannassa muutokset, jotka ekonomisti tai työnvälittäjä teki muutama minuutti sitten. Tätä varten meidän on tehtävä palvelin, joka on kaikkien kolmen verkon käytettävissä.

    Kuten tämän kappaleen keskellä mainittiin, portti voi olla vain yhdessä VLANissa. Ja tämä pätee kuitenkin vain Cisco Catalyst 1900 -sarjan ja vanhempien kytkimien ja joidenkin nuorempien mallien kohdalla, kuten Cisco Catalyst 2950. Muiden kytkimien, erityisesti Cisco Catalyst 2900XL:n, osalta tämä sääntö voidaan rikkoa. Tällaisten kytkimien portteja määritettäessä jokaisella portilla voi olla viisi toimintatilaa: Static Access, Multi-VLAN, Dynamic Access, ISL Trunk ja 802.1Q Trunk. Toinen toimintatapa on juuri se, mitä tarvitsemme yllä olevaan tehtävään - pääsyn tarjoamiseen palvelimelle kolmesta verkosta kerralla, ts. asettaa palvelimen kuulumaan kolmeen verkkoon samanaikaisesti. Tätä kutsutaan myös VLAN-risteytykseksi tai taggaukseksi. Tässä tapauksessa kytkentäkaavio voi näyttää tältä.

    Lyhyesti sanottuna tämä on joukko sääntöjä, jotka säätelevät tietokoneiden "viestintää" keskenään verkon kautta. Niitä on noin tusina, ja jokainen niistä määrittelee siirtosäännöt erillinen tyyppi tiedot. Mutta käytön helpottamiseksi ne kaikki yhdistetään niin sanotuksi "pinoksi", joka kutsutaan tärkeimmän protokollan mukaan - TCP/IP-protokollaksi (Transmission Control Protocol ja Internet Protocol). Sana "pino" tarkoittaa, että kaikki nämä protokollat ​​ovat kuin "protokollapino", jossa ylemmän tason protokolla ei voi toimia ilman alemman tason protokollaa.

    TCP/IP-pino sisältää 4 kerrosta:

    1. Sovellus - HTTP, RTP, FTP, DNS-protokollat. Ylin taso; vastaa sovellussovellusten toiminnasta, kuten sähköpostipalveluista, tietojen näyttämisestä selaimessa jne.

    2. Kuljetus - TCP, UDP, SCTP, DCCP, RIP-protokollat. Tämä protokollataso varmistaa tietokoneiden oikean vuorovaikutuksen toistensa kanssa ja on tiedonjohdin eri verkon osallistujien välillä.

    3. Verkko - IP-protokolla. Tämä kerros tunnistaa verkossa olevat tietokoneet antamalla jokaiselle yksilöllisen digitaalisen osoitteen.

    4. Kanava - Ethernet, IEEE 802.11, langattomat Ethernet-protokollat. Alin taso; hän on vuorovaikutuksessa fyysiset varusteet, kuvaa tiedonsiirtovälinettä ja sen ominaisuuksia.

    Siksi tietokoneesi käyttää HTTP - TCP - IP - Ethernet -protokollapinoa tämän artikkelin näyttämiseen.

    Miten tietoa välitetään Internetin kautta

    Jokaista verkossa olevaa tietokonetta kutsutaan isännäksi, ja se vastaanottaa samannimisen protokollan avulla yksilöllisen IP-osoitteen. Tämä osoite kirjoitetaan seuraavassa muodossa: neljä numeroa 0-255 erotettuna pisteellä, esimerkiksi 195.19.20.203. Jotta kommunikointi onnistuu verkon kautta, IP-osoitteen tulee sisältää myös portin numero. Koska tietokoneet eivät itse vaihda tietoja, vaan ohjelmat, tulee jokaisella ohjelmatyypillä olla myös oma osoite, joka näkyy portin numerossa. Esimerkiksi portti 21 vastaa FTP:stä ja portti 80 HTTP:stä. Tietokoneen porttien kokonaismäärä on rajoitettu ja on 65 536, numeroitu 0 - 65 535. Porttinumerot 0 - 1023 ovat varattu palvelinsovelluksille, ja porttien niche 1024 - 65 535 on asiakasporttien varassa, jotka ohjelmat saa vapaasti käyttää mielensä mukaan. "Asiakasportit" määritetään dynaamisesti.

    Yhdistelmä IP-osoitteet ja porttinumerot nimeltään " pistorasia". Siinä osoite- ja porttiarvot erotetaan kaksoispisteellä, esimerkiksi 195.19.20.203:110

    Siten niin, että etätietokone, jonka IP-osoite on 195.19.20.203, vastaanottaa sähköposti, sinun tarvitsee vain toimittaa tiedot sen porttiin 110. Ja koska tämä portti "kuuntelee" päivin ja öin POP3-protokollaa, joka vastaa sähköpostien vastaanottamisesta, se, mitä tapahtuu, on "teknologiakysymys".

    Mukavuuden vuoksi kaikki verkossa olevat tiedot on jaettu paketeiksi. Paketti on 1-1,5 MB:n tiedosto, joka sisältää lähettäjän ja vastaanottajan osoitetiedot, välitetyt tiedot sekä palvelutiedot. Tiedostojen jakaminen paketteihin voi vähentää merkittävästi verkon kuormitusta, koska kunkin polku lähettäjältä vastaanottajalle ei välttämättä ole identtinen. Jos liikenneruuhka esiintyy yhdessä paikassa verkossa, paketit voivat ohittaa sen käyttämällä muita viestintäreittejä. Tämä tekniikka mahdollistaa Internetin mahdollisimman tehokkaan käytön: jos jokin kuljetusosa romahtaa, tiedon välitystä voidaan jatkaa, mutta muita polkuja pitkin. Kun paketit saavuttavat kohdetietokoneen, se alkaa koota niitä takaisin yhdeksi tiedostoksi niiden sisältämien palvelutietojen avulla. Koko prosessia voidaan verrata jonkinlaiseen suureen palapeliin, joka voi siirrettävän tiedoston koosta riippuen saavuttaa todella valtavia kokoja.

    Kuten aiemmin mainittiin, IP-protokolla antaa jokaiselle verkon osallistujalle, mukaan lukien verkkosivustot, yksilöllisen numeerisen osoitteen. Kukaan ei kuitenkaan voi muistaa miljoonia IP-osoitteita! Siksi luotiin DNS (Domain Name System) -verkkotunnuspalvelu, joka muuntaa numeeriset IP-osoitteet aakkosnumeerisiksi nimiksi, jotka on paljon helpompi muistaa. Esimerkiksi sen sijaan, että kirjoittaisit joka kerta kauhean numeron 5.9.205.233, voit kirjoittaa selaimesi osoiteriville www.site.

    Mitä tapahtuu, kun kirjoitamme selaimeen etsimämme sivuston osoitteen? Tietokoneeltamme lähetetään pyyntö paketti DNS-palvelimelle portissa 53. Tämän portin varaa DNS-palvelu, joka pyyntömme käsittelyn jälkeen palauttaa sivuston aakkosnumeerista nimeä vastaavan IP-osoitteen. Tämän jälkeen tietokoneemme muodostaa yhteyden tietokoneen 5.9.205.233 liitäntään 5.9.205.233:80, joka isännöi sivustojen näyttämisestä selaimessa vastaavaa HTTP-protokollaa ja lähettää paketin, jossa pyydetään vastaanottamaan www.site-sivu. Meidän on muodostettava yhteys porttiin 80, koska se vastaa verkkopalvelinta. On mahdollista, jos suuri halu, määritä 80. portti ja suoraan selaimen osoiteriville - http://www.site:80. Verkkopalvelin käsittelee meiltä saamamme pyynnön ja tuottaa useita HTML-tekstiä sisältäviä paketteja, jotka selaimemme näyttää. Tämän seurauksena näemme pääsivun näytöllä

    Jaa ystävien kanssa:
    Aiheeseen liittyvät julkaisut