olifer_v_g_olifer_n_a_kompyuternye_seti_principy_tehnologii / glava_23
.docГЛАВА 23 Удаленный доступ
Термин удаленный доступ (remote access) часто используют в том случае, когда речь идет о доступе пользователя домашнего компьютера к Интернету или сети предприятия, которая находится от него на значительном расстоянии, так что использование глобальных связей обязательно.
В последнее время под удаленным доступом стали понимать не только доступ изолированных компьютеров, но и домашних сетей, объединяющих несколько компьютеров членов семьи. Такими же небольшими сетями располагают малые офисы предприятий, насчитывающие 2-3 сотрудника.
Организация удаленного доступа является одной из наиболее острых проблем компьютерных сетей в настоящее время. Она получила название «проблемы последней мили», где под последней милей подразумевается расстояние от точки присутствия (Point Of Presence, POP) оператора связи до помещений клиентов. Сложность этой проблемы определяется несколькими факторами. С одной стороны, современным пользователям необходим высокоскоростной доступ, обеспечивающий качественную передачу трафика любого типа — данных, голоса, видео. Для этого нужны скорости несколько мегабит или, по крайней мере, несколько сотен килобит в секунду. С другой стороны, подавляющее большинство домов в больших и малых городах и особенно в сельской местности по-прежнему соединены с точками присутствия операторов связи абонентскими окончаниями телефонной сети, которые ограничивают пользователя скоростями в десятки килобит в секунду.
Кардинальная перестройка кабельной инфраструктуры доступа вряд ли возможна в ближайшее время, слишком масштабна эта задача из-за огромного количества зданий и домов, географически рассеянных по огромной территории. И хотя в некоторых странах в последнее время стали прокладывать к домам высокоскоростные оптические линии, таких стран не так уж много, да и этот процесс затронул пока только большие города и крупные здания с множеством потенциальных пользователей.
Долгое время наиболее распространенной технологией доступа был коммутируемый доступ, когда пользователь устанавливал коммутируемое соединение с корпоративной сетью или Интернетом через телефонную сеть с помощью модема. Такой способ обладает существенным недостатком — скорость доступа ограничена нескольким десятками килобит в секунду из-за фиксированной узкой полосы пропускания примерно в 3,4 кГц, выделяемой каждому абоненту телефонной сети (вспомните технику мультиплексирования, применяемую в телефонных сетях и описанную в главе 9). Такие скорости сегодня устраивают все меньше и меньше пользователей.
Для организации скоростного удаленного доступа сегодня привлекаются различные технологии, в которых используется только существующая инфраструктура абонентских окончаний — телефонные сети или сети кабельного телевидения. После достижения POP поставщика услуг по такому окончанию компьютерные данные уже не следуют по телефонной сети или сети кабельного телевидения, а ответвляются с помощью специального оборудования в сеть передачи данных. Это позволяет преодолеть ограничения на полосу пропускания, отводимую абоненту в телефонной сети или сети кабельного телевидения, и повысить скорость доступа. Наиболее популярными технологиями такого типа являются технология ADSL, использующая телефонные абонентские окончания, и кабельные модемы, работающие поверх сети кабельного телевидения. Эти технологии обеспечивают скорость от нескольких сотен килобит до нескольких мегабит в секунду.
Применяются также различные беспроводные технологии доступа, обеспечивающие как фиксированный, так и мобильный доступ. Набор применяемых беспроводных технологий очень широк, в него входят и беспроводные сети Ethernet (802.11), различные фирменные технологии, передача данных по сети мобильной телефонии, а также технологии фиксированного доступа, например нового стандарта 802.16.
В этой главе мы рассмотрим основные схемы и наиболее популярные технологии удаленного доступа.
Схемы удаленного доступа
Ключевые слова: незащищенное соединение, распределитель, коммутируемый (телефонный) модем, устройство ADSL, кабельный модем, сервер удаленного доступа, концентратор удаленного доступа, мультиплексор доступа, терминальная система, общедоступный домен Интернета, режим удаленного узла, режим удаленного управления, режим терминального доступа, протокол telnet.
Рисунок 23.1 иллюстрирует разнообразный и пестрый мир удаленного доступа.
Рис. 23.1. Клиенты удаленного доступа
Мы видим здесь клиентов различных типов, отличающихся используемым оборудованием и требованиями к параметрам доступа. Кроме того, помещения клиентов могут быть соединены с ближайшей точкой доступа оператора связи (то есть с ближайшим центральным офисом, если пользоваться терминологией операторов телефонной сети) различными способами — с помощью аналогового или цифрового окончания телефонной сети, телевизионного кабеля, беспроводной связи. Наконец, сам оператор связи может иметь различную специализацию, то есть быть либо поставщиком телефонных услуг, либо поставщиком услуг Интернета, либо оператором кабельного телевидения или же быть универсальным оператором, предоставляющим весь спектр услуг и обладающим собственными сетями всех типов.
Типы клиентов и абонентских окончаний
Рассмотрим каждый элемент схемы доступа, показанный на рис. 23.1, более подробно.
Клиенты 1 и 2 являются наиболее типичными пользователями, так как каждый из них имеет только один компьютер, которому необходимо обеспечить доступ к удаленной компьютерной сети. Помимо компьютера эти клиенты пользуются телефоном и телевизором, поэтому абонентские окончания этих устройств можно использовать для организации доступа компьютера к сети передачи данных.
Клиент 2 пользуется двумя кабельными абонентскими окончаниями: традиционным аналоговым телефонным на основе витой пары и коаксиальным телевизионным кабелем кабельного телевидения. Эти абонентские окончания обладают существенно различными характеристиками. Так, витая пара при расстоянии 1-2 км между помещением клиента и POP поставщика услуг обычно имеет полосу пропускания примерно несколько мегагерц, в то время как коаксиальный кабель обеспечивает полосу пропускания в несколько десятков мегагерц.
У клиента 1 отсутствуют проводные абонентские окончания, так как он пользуется мобильным телефоном, кроме того, он не является клиентом кабельного телевидения, принимая телевизионный сигнал только по воздуху.
Таким образом, для организации удаленного доступа для клиента 2 поставщик услуг может использовать либо существующее телефонное абонентское окончание, либо телевизионный кабель. Для клиента 1 такой возможности нет, поэтому поставщик услуг должен предоставить ему беспроводную связь или же проложить новый кабель между его домом и ближайшей точкой присутствия.
Отличительной особенностью клиентов 1 и 2 является несимметричный характер трафика, так как домашние пользователи в основном загружают информацию на свой компьютер в процессе путешествий по Интернету. Ответом на такие потребности являются асимметричные технологии, такие как ADSL.
Клиент 3 отличается от двух предыдущих тем, что имеет несколько компьютеров, объединенных в локальную сеть. Таким клиентом может быть как частное лицо, так и небольшой офис предприятия. Удаленный доступ для локальной сети отличается повышенными требованиями к пропускной способности. Кроме того, трафик может иметь симметричный характер, если домашняя сеть включает сервер, поставляющий информацию пользователям Интернета или сотрудникам других офисов предприятия. Так как клиент 3 не имеет кабельного окончания сети CATV (cable TV), то ему можно обеспечить доступ только по телефонному окончанию. Клиент 3 может организовать свою IP-сеть различными способами.
Он может попросить у поставщика услуг пул IP-адресов, так чтобы каждый его компьютер имел отдельный публичный постоянный IP-адрес. Это наиболее гибкий вариант для клиента, так как в этом случае каждый его компьютер может быть полноправным узлом Интернета и исполнять роль не только клиентской машины, но и сервера с зарегистрированным доменным именем. Очевидно, что в этом случае локальная сеть клиента должна иметь пограничный маршрутизатор, через который осуществлять связь с сетью поставщика услуг. Другой вариант организации IP-сети может быть основан на использовании техники NAT, описанной в главе 20.
Клиенты 4 являются жителями многоквартирного дома, который соединен с POP многочисленными витыми парами телефонных абонентских окончаний (по одной для каждой квартиры), а также кабелем CATV. Использование одного кабеля CATV для большого количества клиентов создает дополнительные проблемы для организации доступа, так как кабель в этом случае является разделяемой средой. Применение телефонных абонентских окончаний для удаленного доступа жителей многоквартирного дома ничем не отличается от подключения отдельного абонента (клиента 2). И хотя большая часть жильцов дома использует обычные аналоговые телефонные окончания, в доме есть также несколько квартир, жильцы которых являются абонентами сети ISDN, окончания которой являются цифровыми (при том, что они, так же как и аналоговые телефонные окончания, работают на витой паре). Хотя сеть ISDN была разработана как универсальная, то есть предоставляющая наряду с сервисами телефонии и сервисы передачи данных, на практике она используется как обычная телефонная сеть.
Клиенты 5 также являются жильцами многоквартирного дома, но в этом доме поставщик услуг развернул локальную сеть. К этой локальной сети подключаются компьютеры тех жильцов дома, которые решили стать абонентами данного поставщика услуг. Такой вариант эффективен для поставщика услуг при достаточно большом количестве абонентов в доме. Локальная сеть многоквартирного дома требует более высоких скоростей доступа, чем отдельные компьютеры или домашние сети индивидуальных клиентов, поэтому поставщик услуг должен использовать абонентское окончание с широкой полосой пропускания — для этой цели может быть использован существующий кабель CATV, специально проложенный коаксиальный кабель Ethernet или также заново проложенный оптический кабель.
Поставщик услуг удаленного доступа может обслуживать клиентов всех типов или же специализироваться на каком-то определенном типе клиентов, например жителях частных или многоквартирных домов, работниках небольших офисов. Универсальный поставщик услуг доступа должен поддерживать любые варианты организации «последней мили», что усложняет его оборудование и применяемые технологии доступа.
В любом случае, для передачи данных по какому-либо абонентскому окончанию поставщик услуг должен обеспечить для этого окончания передачу компьютерных данных и совместить эту передачу с передачей информации, для которой это окончание было спроектировано, например с аналоговой телефонной информацией или с сигналом кабельного телевидения. Затем на основе этих средств физического уровня поставщик услуг должен предоставить клиенту тот или иной вариант сервиса доступа.
Еще одной проблемой, которую должен решить оператор доступа, является организация доступа клиентов, которые физически подключены к абонентским окончаниям других поставщиков услуг связи. Так, пусть на рисунке РОР1 и РОР2 принадлежат поставщику А, а РОР3 — поставщику В. Для того чтобы поставщик А мог предоставлять услуги доступа к сети передачи данных клиентам, подключенным к РОР3, у него должно быть заключено соответствующее соглашение с поставщиком В. Это соглашение может регламентировать различные способы взаимодействия поставщиков услуг, которые мы уже обсуждали в главе 5. Например, поставщик услуг А может арендовать у поставщика услуг В те абонентские окончания, которыми пользуются его клиенты, с тем чтобы затем передавать получаемые по ним данные в свою сеть и направлять их далее в соответствии с потребностями клиентов. В другом случае абонентские окончания могут оставаться в распоряжении поставщика услуг В, который должен отделять поступающие компьютерные данные от телефонной или телевизионной информации и направлять в сеть поставщика услуг А. Очевидно, что между сетями передачи данных поставщиков услуг А и В должно быть обеспечено взаимодействие.
Наиболее простой вариант доступа в Интернет предоставляет клиенту незащищенное соединение с серверами корпоративной сети, что грозит плохими последствиями. Во-первых, конфиденциальные данные, передаваемые по Интернету, могут быть перехвачены или искажены. Во-вторых, при таком способе администратору корпоративной сети трудно ограничить доступ к своей сети несанкционированных пользователей, так как заранее неизвестны IP-адреса легальных пользователей (сотрудников предприятия). Поэтому предприятия предпочитают пользоваться защищенным доступом, основанном на технологии виртуальных частных сетей (VPN). Эта технология рассматривается подробно в следующей главе.
Мультиплексирование информации
на абонентском окончании
Как мы видим на рис. 23.1, большинство домов и многоквартирных зданий связаны с POP либо телефонными абонентскими окончаниями, либо абонентскими окончаниями кабельного телевидения.
Поэтому для обеспечения клиентов тремя основными на сегодня видами доступа (к телефонной сети, телевизионной сети и сети передачи данных) необходимо реализовать одновременную передачу информации разного типа по одной линии связи. Например, совместить передачу данных с передачей голоса по телефонному окончанию или же совместить передачу данных с передачей телевизионного сигнала по коаксиальному кабелю.
В идеале желательно использовать единственное абонентское окончание, способное передавать информацию всех трех типов. К сожалению, витая пара на эту
роль не подходит, так как ее полоса пропускания на расстояниях в несколько километров не превышает 1 МГц. Этого явно недостаточно для одновременной передачи голоса, компьютерных данных со скоростями в несколько мегабит в секунду и цветного телевизионного изображения.
Поэтому на роль консолидирующего абонентского окончания могут претендовать только коаксиальный кабель сети CATV и широкополосные беспроводные линии связи. Естественно, мы имеем в виду уже существующие и широко распространенные типы абонентских окончаний. Если же говорить о прокладке нового кабеля, что актуально в основном для новых крупных зданий, то к этому списку нужно добавить оптический кабель.
Почти во всех технологиях доступа, которые мы будем рассматривать в следующих разделах, используется мультиплексирование каких-либо двух или всех трех упомянутых выше типов информации на абонентском окончании. Так, в линии ADSL аналоговые телефонные окончания используются для мультиплексирования голоса и компьютерных данных, кабельные модемы совмещают передачу телевизионного изображения и компьютерных данных по коаксиальному кабелю. Существуют также различные технологии беспроводного доступа, которые обеспечивают передачу телевизионного сигнала и компьютерных данных, а иногда и телефонии в одном абонентском окончании. Исключением является только наиболее старая технология доступа, а именно коммутируемый доступ, при котором аналоговое абонентское окончание может использоваться телефоном или модемом компьютера только попеременно.
Схема организации доступа с помощью универсального абонентского окончания показана на рис. 23.2.
Наиболее часто для мультиплексирования информации в абонентском окончании применяется техника FDM. Каждому из трех типов информации выделяется определенная полоса частот, ширина которой соответствует потребностям абонента. Для телефонного соединения выделяется полоса 4 кГц, соответствующая стандартной полосе абонента аналоговых телефонных сетей. Компьютерным данным нужна более широкая полоса, при асимметричном доступе для преобладающего нисходящего (входящего) трафика нужно выделить полосу, как минимум в несколько сотен килогерц, а лучше — в несколько мегагерц. Менее интенсивный восходящий (выходящий) трафик требует полосы в несколько десятков килогерц. В кабельном телевидении традиционно используются полосы по 6 МГц для каждого абонента, но при этом передается только нисходящий трафик.
Для того чтобы реализовать выбранную схему FDM, в помещении клиента и точках присутствия устанавливаются распределители, которые выполняют операции мультиплексирования и демультиплексирования сигналов. Распределитель чаще всего представляет собой пассивный фильтр, который выделяет нужные диапазоны частот и передает каждый диапазон на отдельный выход. К выходу распределителя подключаются терминальные устройства абонента — телефон, телевизор и компьютер. Так как компьютер использует дискретные сигналы для обмена данными, то для него требуется дополнительное устройство, которое будет преобразовывать дискретные сигналы в аналоговые сигналы необходимого диапазона частот.
Рис. 23.2. Мультиплексирование трех типов информации в абонентских окончаниях
Большинство пользователей привыкли иметь дело с коммутируемыми (телефонными) модемами, которые работают со стандартной полосой 4 кГц аналоговых телефонных сетей. Телефонные модемы не разделяют эту полосу с другими устройствами, целиком используя ее для передачи компьютерных данных. Очевидно, что распределитель в этом случае не нужен.
Существуют также устройства ADSL и кабельные модемы; первые работают на абонентских окончаниях телефонных сетей, а вторые — на кабелях CATV. В этих случаях распределитель необходим, так как по этим окончаниям вместе с компьютерными данными передается и основная для этих окончаний информация, телефонная или телевизионная.
В POP поставщика услуг каждое абонентское окончание также подключено к распределителю, который выполняет аналогичные операции мультиплексирования и демультиплексирования на другом конце кабеля. В результате телефонная информация поступает с телефонных выходов распределителя на телефонный коммутатор поставщика услуг, который передает ее в телефонную сеть. Телевизионные сигналы от соответствующих выходов распределителя собираются на оборудовании CATV, которое может быть связано с сетью CATV этого поставщика услуг.
И, наконец, компьютерные данные поступают на устройство, концентрирующее компьютерный трафик и передающее его в локальную сеть поставщика услуг.
Это устройство называют по-разному, на рисунке использовано одно из популярных названий — сервер удаленного доступа (Remote Access Server, RAS). Можно встретить и другие названия, например, концентратор удаленного доступа (Remote Access Concentrator, RAC), мультиплексор доступа или терминальная система. Будем для определенности называть здесь такое устройство сервером удаленного доступа. Оно содержит обычно большое количество модемов, которые выполняют обратные операции но отношению к модемам пользователей, то есть модулируют нисходящий трафик и демодулируют восходящий. Помимо модемов RAS включает маршрутизатор, который собирает трафик от модемов и передает его в локальную сеть POP. Из этой локальной сети трафик передается обычным способом в Интернет или в определенную корпоративную сеть.
Мы рассмотрели обобщенную схему доступа, которая в зависимости от выбранного типа абонентского окончания и типа модема порождает различные технологии доступа. Нужно подчеркнуть, что в терминах модели OSI все они являются технологиями физического уровня, так как создают поток битов между компьютером клиента и локальной сетью поставщика услуг. Для работы протокола IP над этим физическим уровнем должен использоваться один из протоколов канального уровня. Сегодня наиболее часто при удаленном доступе применяется РРР, который поддерживает такие важные функции, как назначение IP-адреса клиентскому компьютеру, а также аутентификацию пользователя.
Режим удаленного узла
Наиболее распространенной услугой сегодня является предоставление доступа к общедоступному домену Интернета. При этом подразумевается, что поставщик услуг обеспечивает маршрутизацию IP-трафика между компьютером и любым сайтом Интернета, имеющим публичный адрес (или же имеющим частный адрес и использующим технику NAT для публичного доступа). Когда клиент располагает одним компьютером, для предоставления такой услуги поставщик услуг обычно использует режим удаленного узла.
Режим удаленного узла позволяет компьютеру клиента стать узлом удалённой локальной сети, что означает для его пользователя возможность получения всего спектра услуг обычного пользователя узла, физически расположенного в локальной сети.
Для этого поставщик услуг резервирует для своих клиентов удаленного доступа
пул IP-адресов из диапазона адресов одной из своих подсетей. Для тех клиентов, которые не нуждаются в постоянном доступе к Интернету, услуга предоставляется как коммутируемая, и IP-адрес им назначается динамически и только на время подключения клиента. Режим удаленного узла позволяет экономить адреса подсетей, так как в стандартном режиме IP-маршрутизатор должен назначить каждому своему порту адрес отдельной подсети, что для одного узла, из которого состоят сети многих клиентов, явно избыточно. Для тех же клиентов, которым требуется постоянное соединение, адрес может назначаться как на постоянной основе, так и динамически, на время активности клиента.
Для обеспечения режима удаленного узла RAS поставщика услуг поддерживает протокол Proxy-ARP, рассмотренный в главе 17. Эта особенность отличает сервер удаленного доступа от обычного IP-маршрутизатора (рис. 23.3).
Рис. 23.3. Использование протокола Proxy-ARP
при организации удаленного доступа
Для удаленных узлов в локальной сети поставщика услуг, имеющей адрес 200.25.10.0/24, выделен пул адресов от 200.25.10.5 до 200.25.10.254. Если клиент пользуется коммутируемым сервисом, то при его соединении с сетью поставщика услуг (например, по протоколу РРР) ему временно назначается адрес из этого пула. Так, компьютеру первого клиента был назначен адрес 200.25.10.5, а компьютеру второго клиента — адрес 200.25.10.6. При подключении к сети этих удаленных узлов сервер удаленного доступа заносит в специальную таблицу, являющуюся аналогом ARP-таблицы, следующие записи:
200.25.10.5 - MAC – P1
200.25.10.6 - MAC – Р2
Здесь MAC обозначает адрес внутреннего интерфейса сервера удаленного доступа, а Р1 и Р2 — номера портов, к которым подключены клиенты удаленного доступа.
Если, например, сервер 2 (см. рис. 23.3), подключенный к сети одного из поставщиков услуг, посылает пакет компьютеру первого клиента, то маршрутизатор поставщика услуг считает, что пакет направлен к одному из узлов, принадлежащих непосредственно присоединенной подсети 200.25.10.0/24. Поэтому маршрутизатор посылает ARP-запрос, содержащий адрес 200.25.10.5. На этот запрос отвечает не компьютер первого клиента, a RAS, сообщая в ARP-ответе маршрутизатору собственный МАС-адрес. После этого маршрутизатор направляет IP-пакет, упакованный в кадр Ethernet с МАС-адресом RAS. RAS извлекает IP-пакет из пришедшего кадра Ethernet и по IP-адресу определяет в таблице номер порта, на который ему нужно направить пакет. В данном случае это порт Р1. RAS инкапсулирует пакет в кадр РРР, используемый для работы на абонентском окончании, соединяющем RAS с компьютером первого клиента.
В том случае, когда у клиента имеется своя локальная сеть, узлы которой имеют зарегистрированные публичные IP-адреса, RAS работает как обычный маршрутизатор, и такой режим уже не называется режимом удаленного узла.
Режим удаленного управления и протокол Telnet
Режим удаленного управления, называемый также режимом терминального доступа, предполагает, что пользователь превращает свой компьютер в виртуальный терминал другого компьютера, к которому он получает, удаленный доступ.
В период становления компьютерных сетей, то есть в 70-е годы, поддержка такого режима была одой из главных функций сети. Устройства PAD сетей Х.25 существовали именно для того, чтобы обеспечить удаленный доступ к мэйнфреймам для пользователей, находившихся в других городах и работавших за простыми алфавитно-цифровыми терминалами.
Режим удаленного управления обеспечивается специальным протоколом прикладного уровня, работающим поверх протоколов, реализующих транспортное соединение удаленного узла с компьютерной сетью. Существует большое количество протоколов удаленного управления, как стандартных, так и фирменных. Для IP-сетей наиболее старым протоколом этого типа является telnet (RFC 854).
Протокол telnet, который работает а архитектуре «клиент-сервер», обеспечивает эмуляцию алфавитно-цифрового терминала, ограничивая пользователя режимом командной строки.
При нажатии клавиши соответствующий код перехватывается клиентом telnet, помещается в TCP-сообщение и отправляется через сеть узлу, которым пользователь хочет управлять. При поступлении на узел назначения код нажатой клавиши извлекается из TCP-сообщения сервером telnet и передается операционной системе (ОС) узла. ОС рассматривает сеанс telnet как один из сеансов локального пользователя. Если ОС реагирует на нажатие клавиши выводом очередного символа на экран, то для сеанса удаленного пользователя этот символ также упаковывается в TCP-сообщение и по сети отправляется удаленному узлу. Клиент telnet извлекает символ и отображает его в окне своего терминала, эмулируя терминал удаленного узла.
Протокол telnet был реализован в среде Unix и наряду с электронной почтой и FTP-доступом к архивам файлов был популярным сервисом Интернета. Сегодня этот протокол редко используется в публичном домене Интернета, так как никто не хочет предоставлять посторонним лицам возможность управлять собственным компьютером. Хотя для защиты от несанкционированного доступа в технологии telnet применяются пароли, они передаются через сеть в виде обычного текста, поэтому могут быть легко перехвачены и использованы. Поэтому telnet преимущественно используется в пределах одной локальной сети, где возможностей для перехвата пароля гораздо меньше. Сегодня основной областью применения telnet является управление не компьютерами, а коммуникационными устройствами — маршрутизаторами, коммутаторами и хабами. Таким образом, он уже скорее не пользовательский протокол, а протокол администрирования, то есть альтернатива SNMP.