Газизов / Лекции КИС
.pdf
Корпоративные ИС. Лекции. 2010г.
Централизация обслуживания запросов к "чужой" сети снижает надежность. Однако можно предусмотреть резервирование - использовать несколько трансляторов.
При увеличении числа пользователей и интенсивности обращений к ресурсам
другой сети резко снижается производительность - плохая масштабируемость. Достоинства мультиплексирования по сравнению с трансляцией протоколов заключаются в следующем:
Запросы выполняются быстрее, за счет отсутствия очередей к единственному межсетевому устройству и использования более простой, чем трансляция, процедуры переключения на нужный протокол.
Более надежный способ - при отказе стека на одном из компьютеров доступ к ресурсам другой сети возможен посредством протоколов, установленных на других компьютерах.
Недостатки данного подхода:
Сложнее осуществляется администрирование и контроль доступа.
Высокая избыточность требует дополнительных ресурсов от рабочих станций, особенно если требуется установить несколько стеков для доступа к нескольким сетям.
Менее удобен для пользователей по сравнению с транслятором, так как требует навыков работы с транспортными протоколами "чужих" сетей.
Инкапсуляция (encapsulation) или туннелирование (tunneling) — это еще один метод решения задачи согласования сетей, который однако применим только для согласования транспортных протоколов и только при определенных ограничениях. Инкапсуляция может быть использована, когда две сети с одной транспортной технологией необходимо соединить через сеть, использующую другую транспортную технологию. В приведенном на рисунке 1.3 примере две сети с протоколом NetBIOS нужно соединить через сеть TCP/IP. Необходимо обеспечить только взаимодействие узлов двух сетей NetBIOS, а взаимодействие между узлами NetBIOS и узлами сети TCP/IP не предусматривается. То есть, при инкапсуляции промежуточная сеть используется только как транзитная транспортная система.
Рис. 1.3. Инкапсуляция протоколов сетевого уровня (вложение друг в друга)
100
Корпоративные ИС. Лекции. 2010г.
Метод инкапсуляции заключается в том, что пограничные маршрутизаторы, которые подключают объединяемые сети к транзитной, упаковывают пакеты транспортного протокола объединяемых сетей в пакеты транспортного протокола транзитной сети. В данном случае пакеты NetBIOS упаковываются в пакеты TCP, как если бы пакеты NetBIOS представляли собой сообщения протокола прикладного уровня. Затем пакеты NetBIOS переносятся по сети TCP/IP до другого пограничного маршрутизатора. Второй пограничный маршрутизатор выполняет обратную операцию — он извлекает пакеты NetBIOS из пакетов TCP и отправляет их по сети назначения адресату.
Для реализации метода инкапсуляции пограничные маршрутизаторы должны быть соответствующим образом сконфигурированы. Они должны знать, во-первых, IP-адреса друг друга, во-вторых — NetBIOS-имена узлов объединяемых сетей. Имея такую информацию, они могут принять решение о том, какие NetBIOS-пакеты нужно переправить через транзитную сеть, какой IP-адрес указать в пакете, передаваемом через транзитную сеть и каким образом доставить NetBIOS-пакет узлу назначения в конечной сети.
Инкапсуляция может быть использована для транспортных протоколов любого уровня. Например, протокол сетевого уровня Х.25 может быть инкапсулирован в протокол транспортного уровня TCP, или же протокол сетевого уровня IP может быть инкапсулирован в протокол сетевого уровня Х.25. Для согласования сетей на сетевом уровне могут быть использованы многопротокольные и инкапсулирующие маршрутизаторы, а также программные и аппаратные шлюзы.
Обычно инкапсуляция приводит к более простым и быстрым решениям по сравнению с трансляцией, так как решает более частную задачу, не обеспечивая взаимодействия с узлами транзитной сети.
101
Корпоративные ИС. Лекции. 2010г.
Intranet
Intranet — это корпоративная локальная или территориально распределенная сеть, закрытая от внешнего доступа из Internet. Такая сеть возможно использует публичные каналы связи, входящие в Internet, но при этом обеспечивается защита передаваемых данных и меры по пресечению проникновения извне на корпоративные узлы. Как правило, Интранет — это Интернет в миниатюре, который построен на использовании протокола IP для обмена и совместного использования некоторой части информации внутри этой организации. Приложения в Intranet основаны на применении Internet-технологий и в особенности Web-технологии.
Формально Интранет (Intranet) — это использование Интернет-каналов в корпоративных целях.
Грамотная координация деятельности нескольких отделов компании требует регулярного обмена документами, а иногда утомительных консультаций и длительных совещаний. Если у компании несколько филиалов и их офисы расположены далеко друг от друга, то процесс общения становится еще более сложным — не все вопросы можно решить по телефону, а значит — приходится сканировать многостраничные материалы, отправлять электронные письма и факсы, а зачастую — посылать курьера или отправляться в утомительную поездку. Все это отнимает очень много времени, которое ни одна компания, которая хочет добиться успеха, не может позволить себе тратить попусту.
Одно из современных решений, которое сегодня используют западные компании для экономии времени и усилий сотрудников, а также для сокращения расходов — это Интранет. Интранет — это виртуальное информационное пространство, созданное внутри отдельно взятой компании (причем, то, насколько эта компания мала или велика - не имеет никакого значения, свой Интранет создают
ифирмы, насчитывающие не более десятка сотрудников, и крупные корпорации, имеющие филиалы по всему миру). Если же компания постепенно набирает обороты, завоевывая все новые и новые позиции и расширяя сферу влияния на рынке, то вместе с ней может расти и ее Интранет-система, которую можно разрабатывать поэтапно, сначала внедряя лишь функции первостепенной важности
ипостепенно наращивая дополнительные.
Очень удобна интранет-система для фирм, работники которых ездят в командировки — возможность удаленного доступа к информации позволяет менеджеру, который находится в другом городе или даже за рубежом, беспрепятственно заходить на сайт, пользоваться внутренними документами и работать с аналитической и финансовой информацией. Кроме того, он может общаться со своими коллегами, которые работают в офисе - отчитываться и получать консультации.
Еще одна категория активных пользователей интранет-систем компании — ее дилеры. Здесь они могут узнавать регулярно обновляющуюся информацию об ассортименте продукции, а также о ценах и скидках. Эти же данные будут
102
Корпоративные ИС. Лекции. 2010г.
интересны и корпоративным клиентам - в интересах компании обеспечить доступ постоянных клиентов к своей интранет-системе.
Экстранет (Extranet) — это распределенная информационная среда, объединяющая все филиалы компании, ее партнеров и клиентов. Extranet можно рассматривать как расширение Intranet, содержащее выделенные области, к которым разрешен доступ внешним пользователям.
Intranet/Extranet позволяет сотрудникам и партнерам компании: эффективнее управлять бизнес-процессами; ввести и соблюдать единые стандарты на отчеты и другую документацию; совместно пользоваться контактной информацией, необходимой для общения с клиентами и партнерами; получать доступ к данным, находящимся в корпоративной сети, с мобильных беспроводных устройств.
VPN
Организовывая безопасные каналы передачи информации в учреждениях несправедливо не рассмотреть вариант организации полноценной частной сети. На рисунке ниже изображен вариант организации частной сети небольшой компанией с 2 филиалами.
Доступ во внешнюю сеть может осуществляться как через центральный офис, так и децентрализовано. Данная организация сети обладает следующими неоспоримыми преимуществами:
высокая скорость передачи информации, фактически скорость при таком соединении будет равна скорости локальной сети предприятия;
безопасность, передаваемые данные не попадают в сеть общего пользования;
за пользование организованной сетью ни кому не надо платить, действительно капитальные вложения будут только на стадии изготовления сети.
103
Корпоративные ИС. Лекции. 2010г.
На следующем рисунке изображен аналогичный вариант организации сети учреждения с филиалами, но только с использованием виртуальных частных сетей.
VPN (англ. Virtual Private Network — виртуальная частная сеть) —
обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет). Несмотря на то, что коммуникации осуществляются по сетям с меньшим неизвестным уровнем доверия (например, по публичным сетям), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрованию, аутентификации, инфраструктуры публичных ключей, средствам для защиты от повторов и изменения передаваемых по логической сети сообщений).
В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть.
В данном случае преимущества, приведенные для частных сетей, оборачиваются недостатками для виртуальных частных сетей:
скорость передачи данных. Провайдеры могут обеспечить достаточно высокоскоростной доступ в Интернет, однако с локальной, проверенной временем 100 Мбит сетью он все равно не сравнится. Но так ли важно каждый день перекачивать сотни мегабайт информации через организованную сеть? Для доступа к локальному сайту предприятия, пересылки электронного письма с документом вполне достаточно скорости, которой могут обеспечить Интернет-провайдеры;
безопасность передаваемых данных. При организации VPN передаваемая информация попадает во внешнюю сеть, поэтому об организации
безопасности придется позаботиться заранее. Но уже сегодня существуют достаточно стойкие к атакам алгоритмы шифрования информации, которые позволяют владельцам передаваемых данных не беспокоиться за
104
Корпоративные ИС. Лекции. 2010г.
безопасность. Подробнее о способах обеспечения безопасности и алгоритмах шифрования чуть ниже;
за организованную сеть никому не надо платить. Достаточно спорное преимущество, поскольку в противовес дешевизне пользования сетью стоят большие капитальные затраты на ее создание, которые могут оказаться неподъемными для небольшого учреждения. В то же время плата за использование Интернет в наши дни сама по себе достаточно демократичная, а гибкие тарифы позволяю выбрать каждому оптимальный пакет.
Теперь разберемся с наиболее очевидными преимуществами VPN:
масштабируемость системы. При открытии нового филиала или добавления сотрудника, которому позволено пользоваться удаленным доступом не нужно никаких дополнительных затрат на коммуникации.
гибкость системы. Для VPN не важно, откуда вы осуществляете доступ. Отдельно взятый сотрудник может работать из дома, а может во время чтения почты из корпоративного почтового ящика фирмы пребывать в командировке
вабсолютно другом государстве. Также стало возможным использовать так называемые мобильные офисы, где нет привязки к определенной местности.
из предыдущего вытекает, что для организации своего рабочего места человек географически неограничен, что при использовании частной сети практически невозможно.
Предыстория
История зарождения VPN уходит своими корнями далеко в 60-е годы прошлого столетия, когда специалисты инженерно-технического отдела ньюйоркской телефонной компании разработали систему автоматического установления соединений абонентов АТС — Centrex (Central Exchange). Другими словами это не что иное, как виртуальная частная телефонная сеть, т.к. арендовались уже созданные каналы связи, т.е. создавались виртуальные каналы передачи голосовой информации. В настоящее время данная услуга заменяется более продвинутым ее аналогом — IP-Centrex. Соблюдение конфиденциальности было важным аспектом при передаче информации уже достаточно длительное время, приблизительно в 1900 году до н.э. первые попытки криптографии проявляли египтяне, искажая символы сообщений. А в XV веке уже нашей эры математиком Леоном Батистом Альберти была создана первая криптографическая модель. В наше время именно виртуальная частная сеть может обеспечить достаточную надежность передаваемой информации вместе с великолепной гибкостью и расширяемостью системы.
105
Корпоративные ИС. Лекции. 2010г.
Классификация виртуальных частных сетей по назначению:
Intranet VPN
Используют для объединения в единую защищённую сеть нескольких территориально распределённых филиалов одной организации, обменивающихся данными по открытым каналам связи.
При организации такой схемы подключения требуется наличие VPN серверов равное количеству связываемых офисов.
Данный способ целесообразно использовать как для обыкновенных филиалов, так и для мобильных офисов, которые будут иметь доступ к ресурсам «материнской» компании, а также без проблем обмениваться данными между собой.
Extranet VPN
Используют для сетей, к которым подключаются «внешние» пользователи (например, заказчики или клиенты). Уровень доверия к ним намного ниже, чем к сотрудникам компании, поэтому требуется обеспечение специальных «рубежей» защиты, предотвращающих или ограничивающих доступ последних к особо ценной, конфиденциальной информации.
В этом случае для удаленных клиентов будут очень урезаны возможности по использованию корпоративной сети, фактически они будут ограничены доступом к тем ресурсам компании, которые необходимы при работе со своими клиентами, например, сайта с коммерческими предложениями, а VPN используется в этом случае для безопасной пересылки конфиденциальных данных.
Internet VPN
Используется для предоставления доступа к интернету провайдерами, обычно в случае если по одному физическому каналу подключаются несколько пользователей.
106
Корпоративные ИС. Лекции. 2010г.
Remote Access VPN
Используют для создания защищённого канала между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который, работая дома, подключается к корпоративным ресурсам с домашнего компьютера, корпоративного ноутбука, смартфона или интернет-киоскa.
Организация такой модели виртуальной частной сети предполагает наличие VPN-сервера в центральном офисе, к которому подключаются удаленные клиенты. Удаленные клиенты могут работать на дому, либо, используя переносной компьютер, из любого места планеты, где есть доступ к всемирной паутине.
Client/Server VPN
Он обеспечивает защиту передаваемых данных между двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например, между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда в одной физической сети необходимо создать несколько логических сетей. Например, когда надо разделить трафик между финансовым департаментом и отделом кадров, обращающихся к серверам, находящимся в одном физическом сегменте. Этот вариант похож на технологию VLAN, но вместо разделения трафика, используется его шифрование.
Поскольку данные в виртуальных частных сетях передаются через общедоступную сеть, следовательно, они должны быть надежно защищены от посторонних глаз. Для реализации защиты передаваемой информации существует множество протоколов, которые защищают VPN, но все они подразделяются на два вида и работают в паре:
протоколы, инкапсулирующие данные и формирующие VPN соединение;
протоколы, шифрующие данные внутри созданного туннеля.
107
Корпоративные ИС. Лекции. 2010г.
Первый тип протоколов устанавливает туннелированное соединение, а второй тип отвечает непосредственно за шифрование данных. Рассмотрим некоторые стандартные, предлагаемые всемирно признанным мировым лидером в области разработки операционных систем, решения.
В качестве стандартного набора предлагается сделать выбор из двух протоколов, точнее будет сказать наборов:
1.PPTP (Point-to-Point Tunneling Protocol) – туннельный протокол «точка-точка»,
детище Microsoft и является расширением PPP (Point-to-Point Protocol), следовательно, использует его механизмы подлинности, сжатия и шифрования. Протокол PPTP является встроенным в клиент удаленного доступа Windows XP. При стандартном выборе данного протокола компанией Microsoft предлагается использовать метод шифрования MPPE (Microsoft Point-to-Point Encryption). Можно передавать данные без шифрования в открытом виде.
2.L2TP (Layer Two Tunneling Protocol) – более совершенный протокол,
родившийся в результате объединения протоколов PPTP (от Microsoft) и L2F (от Cisco), вобравший в себя все лучшее из этих двух протоколов. Предоставляет более защищенное соединение, нежели первый вариант, шифрование происходит средствами протокола IPSec (IP-security). L2TP является также встроенным в клиент удаленного доступа Windows XP, более того при автоматическом определении типа подключения клиент сначала пытается соединиться с сервером именно по этому протоколу, как являющимся более предпочтительным в плане безопасности.
Рассмотренные здесь примеры протоколов не являются единственными, существует множество альтернативных решений, например, PopTop – Unix реализация PPTP, или FreeSWAN – протокол для установления IPSec соединения под Linux, а также: Vtun, Racoon, ISAKMPD и др.
108
Корпоративные ИС. Лекции. 2010г.
Технология ATM
Неоднородность траффика С технической точки зрения появление асинхронного метода переноса
(Asynchronous Transfer Mode — АТМ) предопределил тот факт, что практически все виды трафика создают неравномерную по интенсивности нагрузку.
Вкачестве примера рассмотрим речевой сигнал. Во время обычного двухстороннего телефонного разговора уровень речевого сигнала каждого из абонентов непостоянен и имеют место как межслоговые, межслововые и межфразные паузы, так и промежутки молчания на время прослушивания собеседника.
Вцелом, передача речевого сигнала от одного из собеседников осуществляется примерно в течении 40% общего времени разговора. Очевидно, было бы желательно передавать речевой сигнал только в периоды его активности и не занимать канал связи на время пауз в речи. Данный факт был использован уже в начале 60-ых годов для создания систем передачи со статистическим уплотнением, что позволило повысить эффективность использования дорогих подводных межконтинентальных линий связи почти вдвое.
Вто же время представляется весьма заманчивым использовать периоды молчания и паузы в речевом сигнале для передачи других типов сигналов (данные, видео и пр.).
Однако, такие сигналы по сравнению с речевым создают крайне неравномерную по интенсивности нагрузку.
Традиционно в локальных сетях используются коммутирующие технологии, которые поддерживают скорость передачи до 100 Мбит/с. В глобальных сетях обычно задействованы технологии, обеспечивающие скорость передачи 1.5-2 Мбит/с.
В настоящее время большинству пользователей локальной сети вполне достаточно пропускной способности в 10 Мбит/с. Однако этого может быть недостаточно, если те же пользовательские приложения работают в глобальной сети. Кроме того, этих ресурсов недостаточно для распространения мультимедийных приложений по всей организации. Например, поток видеоинформации, сжатый по стандарту MPEG-1, практически полностью занимает канал со скоростью передачи 1.5 Мбит/с. Стандарт MPEG-2 поддерживает качество изображения на уровне вещательного стандарта и требует пропускную способность канала до 8 Мбит/с. При этом любые задержки при передаче, вызываемые, например, коммутацией или конфликтами, делают качество изображения неприемлемым. Системы автоматизированного проектирования требуют полосу пропускания до 155 Мбит/с. Итак, некоторые современные приложения уже не могут работать в нынешних локальных сетях, не говоря о глобальных.
109