referati org kompiutyrni mreji

Компютърни мрежии комуникации

Иван Цонев, Станимир Станев

Дисциплината “Компютърни мрежи и комуникации” има за цел да даде на студентите базови знания по предназначението, стандартите за изграждане, архитектурата и комуникационната среда на компютърните мрежи. Нивото на представените знания не е достатъчно за цялостното и всеобхватно представяне на компютърните мрежи. За по задълбочено изучаване на компютърните комуникации и мрежи е необходимо прочитани на допълнителна литература. Настоящото учебно пособие е предназначено за студентите от Шуменския университет „Епископ Константин Преславски”, обучаващи се по специалността „Информатика”, „Математика и информатика”, „Комуникационни и информационни системи”, „Радиолокационна техника и технологии” и „Сигнално охранителни системи и технологии”. Учебното пособие може да се използва и от други, желаещи да се запознаят с основите и стандартите за изграждане на различните видове компютърни мрежи. Посочените в книгата търговски марки и номенклатури са собственост на съответните фирми и са включени в пособието само като учебни примери.

Съдържание

Увод.....................................................................................................................................7ГЛАВА 1. КОМПЮТЪРНИ КОМУНИКАЦИИ...........................................................1.1. Основи на телекомуникацията...................................................................................1.1.1. Комуникационни мрежи с комутация на каналите................................................1.1.2. Комуникационни мрежи с комутация на съобщенията.........................................1.1.3. Комуникационни мрежи с комутация на пакетите................................................1.1.4. Комуникационни мрежи с бърза комутация на пакетите.....................................1.2. Еталонен комуникационен модел за свързване на отворени системи.....................1.2.1. Протоколи в отворения модел за комуникации........................................................1.2.2. Функции на протоколите на отворения модел.........................................................1.3. Комуникационен сценарии на отворения модел за комуникации..............................1.4. Функции на слоевете на отворения модел за комуникации.......................................1.4.1. Функции на физическия слой на отворения модел.................................................1.4.1.1. Преобразуване на аналогови съобщения в цифров сигнал..................................1.4.1.2. Преобразуване на цифрови съобщения в цифрови сигнали...................................1.4.2. Функции на каналния слой.........................................................................................1.4.2.1. Процедури за информационен обмен в каналния слой.........................................1.4.2.2. Формиране на кадри в каналния слой....................................................................1.4.2.3. Определяне на границите на кадрите.......................................................................1.4.2.4. Контрол на грешките в кадрите................................................................................1.4.2.5. Повишаване на шумоустойчивостта в канала.........................................................1.4.2.6. Управление на потока от данни...............................................................................1.4.3. Функции на мрежовия слой...........................................................................................1.4.3.1. Адресация на пакетите................................................................................................1.4.3.2. Маршрутизация на пакетите.......................................................................................1.4.3.2. Комутация на пакетите................................................................................................1.4.3.4. Управление на натоварването на подмрежата..........................................................1.4.4. Функции на транспортния слой....................................................................................1.4.5. Функции на сесииния слой............................................................................................1.4.6. Функции на представителния слой...............................................................................1.4.7. Функции на приложния слой........................................................................................

ГЛАВА 2. ЛОКАЛНИ КОМПЮТЪРНИ МРЕЖИ............................................................2.1. Класификация и топология на локалните компютърни мрежи.....................................2.2. Кабелна система на локалните компютърни мрежи.......................................................2.3. Слоеве на локалните компютърни мрежи от OSI – модела...........................................2.3.1. Физически слой на локалните компютърни мрежи.....................................................

2.3.2. Канален слой на локалните компютърни мрежи........................................................2.4. Международни стандарти за физически и канален слоеве на LAN.............................2.4.1. Стандарт IEEE 802.3. (Eternet)…………………………………………………………2.4.1.1. MAC – под слой на стандарт IEEE 802.3...................................................................2.4.1.2. Комутирани локални мрежи, изградени по стандарт IEEE 802.3..........................2.4.2. Стандарт IEEE 802.4. (Token Bus)……………………………………………………2.4.2.1. Физически под слой на стандарт IEEE 802.4……………………………………2.4.2.2. MAC – под слой на стандарт IEEE 802.4.................................................................2.4.3. Стандарт IEEE 802.5. (Token Ring)………………………………………………….2.4.3.1. Физически под слой на стандарт IEEE 802.5………………………………….....2.4.3.2. MAC – под слой на стандарт IEEE 802.5………………………………………….2.4.4. Стандарт IEEE 802.12. (100 VG – Any LAN)……………………………………….2.4.4.1. Физически под слой на стандарт IEEE 802.12……………………………………2.4.4.2. MAC – под слой на стандарт IEEE 802.12…………………………………………2.4.5. Стандарт FDDI (Fibre Distributed Data Interface)........................................................2.4.5.1. Физически под слой на стандарт FDDI……………………………………………2.4.5.2. MAC – под слой на стандарт FDDI............................................................................2.5. Безжични локални компютърни мрежи..........................................................................2.5.1. Стандарт IEEE 802.11…………………………………………………………………2.5.2. Режими на работа на стандарт 802.11...........................................................................2.5.3. Стандарт IEEE 802.11b....................................................................................................2.5.4. Стандарт IEEE 802.11a и стандарт Hiperlan………………………………………….2.5.5. Антени за WLAN ...........................................................................................................2.5.6. Защита на данните в безжичните комуникации..........................................................2.6. Мрежови операционни системи.........................................................................................2.6.1. Протоколни стекове на МОС...........................................................................................2.6.1.1. Протоколен стек Net Were на фирма Novell…………………………………………2.6.1.2. Протоколен стек Apple Talk на фирма Apple………………………………………ГЛАВА 3. ГЛОБАЛНИ КОМПЮТЪРНИ МРЕЖИ........................................................3.1. Стандарт Х.25....................................................................................................................3.1.1. Физически под слой на стандарт Х.25........................................................................3.1.2. Канален слой на стандарт Х.25.....................................................................................3.1.3. Мрежов слой на стандарт Х.25.....................................................................................3.2. Стандарт Frame Relay…………………………………………………………………..3.3. Стандарт ATM…………………………………………………………………………….3.3.1. Физически слой на стандарт АТМ.................................................................................3.3.2. ATM – слой на стандарт ATM.......................................................................................3.3.3. ATM – комутация..........................................................................................................3.3.4. AAL – слой на стандарт ATM……………………………………………………….3.4. Стандарт ISDN………………………………………………………………………….3.4.1. Стандарт B – ISDN……………………………………………………………………3.4.2. Управление на комуникационната мрежа от стандарт ISDN………………………ГЛАВА 4. МЕЖДУМРЕЖОВИ КОМУНИКАЦИИ........................................................4.1. Съгласуване на компютърните мрежи в долните слоеве на модела...........................4.1.1. Повторители (Repeaters)………………………………………………………………4.1.2. Концентратори...............................................................................................................4.1.3. Модеми...........................................................................................................................4.1.3.1. Устройство на модемите...........................................................................................

4.1.3.2. Класификация на модемите......................................................................................4.1.3.3. Международни стандарти за модеми.....................................................................4.1.4. Мостове (Bridges)……………………………………………………………………..4.2. Съгласуване на компютърните мрежи в горните слоеве на модела.........................4.2.1. Маршрутизатори (Routers)………………………………………………………….4.2.2. Мост – маршрутизатори (Brouters)………...............................................................4.2.3. Комутатори (Switches)...............................................................................................4.2.4. Шлюзове (Gateways)………………………………………………………………..ГЛАВА 5. ГЛОБАЛНА СВЕТОВНА МРЕЖА INTERNET...........................................5.1. Протоколен стек TCP/IP……………………………………………………………….5.2. Комуникационен сценарии на модела TCP/IP..............................................................5.3. Сравнение на комуникационните сценарии TCP/IP и OSI………………………..5.4. Адресация в модела TCP/IP………………………………………………………….5.4.1. Адресация по локален адрес....................................................................................5.4.2. Адресация по IP адрес..............................................................................................5.4.3. Адресация по порт.....................................................................................................5.4.4. Адресация по DNS………………………………………………………………….5.5. Маршрутизация по IP – адреси..................................................................................5.6. Протоколи за адаптивно рутиране RIP и OSFP…………………………………….5.7. Протоколи в каналния слой на модела TCP/IP……………………………………..5.7.1. Протокол SLIP………………………………………………………………………5.7.2. Протокол PPP……………………………………………………………………….5.8. Протоколи в мрежовия слой на модела TCP/IP.........................................................5.8.1. Протоколи ARP и RARP…………………………………………………………..5.8.2. Протокол IP за междумрежово взаимодействие...................................................5.9. Протоколи на транспортния слой на модела TCP/IP……………………………..5.9.1. Протокол TCP………………………………………………………………………5.9.2. Протокол UDP………………………………………………………………………5.10. Протоколи на приложния слой на модела TCP/IP………………………………..5.10.1. Протоколи за електронна поща SMTP, POP 3 и IMAP 4..................................5.10.2. Протокол TELNET…………………………………………………………………5.10.3. Протоколи за предаване на файлове FTP, TFTP и SFTP.......................................5.10.4. Протокол PING…………………………………………………………………….5.10.5. Протокол DHCP……………………………………………………………………5.10.6. Протокол IRC………………………………………………………………………5.10.7. Протокол NNTP……………………………………………………………………5.11. Приложни системи Archie, Gopher и WWW в INTERNET…................................5.12. Виртуални частни мрежи...........................................................................................5.12.1. Обосновка на виртуалните частни мрежи............................................................5.12.2. Принцип на работа на VPN мрежите....................................................................5.12.3. Тунелиране на на каналния слой на OSI модела.................................................5.12.3. Тунелиране на мрежовия слой на OSI модела.....................................................5.12.4. Изисквания към VPN мрежите..............................................................................5.12.5. Изграждане на VPN мрежи....................................................................................5.12.5.1. VPN мрежи за отдалечен достъп.......................................................................5.12.5.2. Виртуален частен екстранет...............................................................................5.12.5.3. VPN връзка между филиални офиси.................................................................5.12.6. Обосновка на VPN протоколи..............................................................................

5.12.7. Класификация на VPN мрежите..........................................................................5.12.8. Надеждност и сигурността VPN мрежите.............................................................5.12.9. Предимства и недостатъци на VPN мрежите........................................................ГЛАВА 6. СИГУРНОСТ В КОМПЮТЪРНИТЕ МРЕЖИ6.1. Компютърна и мрежова сигурност.............................................................................6.2. Основни уязвимости в Интернет................................................................................6.3. Популярни мрежови атаки..........................................................................................6.4. Сигурост на WEB – трафика......................................................................................6.5. Противодействие и защита...........................................................................................6.6. Методи за защита на отдалечени атаки в Интернет...................................................6.7. Защита на електронната поща.......................................................................................6.8. Проблеми на сигурността в електронната икономика..............................................6.9. Администриране на мрежите и управление на системата за защита.......................

ИЗПОЛЗВАНИ СЪКРАЩЕНИЯ

ВКК – вторични кадри с дължина „К” битаДИКМ – диференциална импулсно-кодова модулацияДМП - демултиплексорИКМ – импулсно-кодова модулацияИОВ – информационна обратна връзкаКВ – комуникационен възелКК – комутатор на каналитеКК – комуникационен каналКМ – комуникационна мрежаКОВ – комбинирана обратна връзкаКП – комутация на пакетитеКС – комуникационна системаКЧ – крайна частМВ – междинни възлиМОС – мрежова операционна системаМП – мултиплексорМРК – модифициран разширен каналМС – мрежов слойОВ – обратна връзкаРК – разширен каналРОВ – решаваща обратна връзкаСС – сесиен слойТК – телекомуникацияТС – транспортен слойФС – физически слойЦК – цифров канал

AAL – ATM Adaptation LayerAFP –Apple Talk Filing ProtocolAH – Authentication Header

AMI – Alternative Mark InversionAP – Access PointARP – Address Resolution ProtocolASN 1 – Abstract Syntax NotationASP – Apple Talk Session ProtocolATM – Asynchronous Transfer ModeATP – Apple Talk Transaction ProtocolBSS – Basic Service SetCBR – Constant Bit RateCHAP – Challenge Handshake AuthenticationCIPE – Crypto IP Encapsulation ProtocolCIR – Committed Information RateCLP – Cell Loss PriorityCMIP – Common Management Information ProtocolCS – Convergence Sub layerCSMA/CD – Carrier Sense Multiple Access PointcXML – Commerce Extensible Mark up LanguageDCE – Data Circuit Terminating Equipment DDP – Datagram Delivery ProtocolDES – Data Encryption StandardDHCP – Dynamic Host Configuration ProtocolDNS – Domain Name SystemDSAP – Destination Service Access PointDSDV – Digital Simultaneous Data and VoiceDSP – Data Stream ProtocolDTE – Data Terminal EquipmentDTP - Distributed Transaction ProcessingDVR – Distance Vector RoutingEAP – Extensible Authentication ProtocolEP – Echo ProtocolESP – Encapsulating Security Pay loadFCS – Frame Check SequenceFDDI – Fibre Distributed Data InterfaceFDM – Frequency Division MultiplexingFR – Frame RelayFTAM – File Transfer, Access and ManipulationFTP – File Transfer ProtocolGFC – Generic Flow ControlGRE – Generic Routing EncapsulatingHDB – High Density BipolarHDSL – High Bit Rate Digital Subscriber LineHEC – Header Error CheckHTML – Hyper Text Mark- up LanguageIDN – Integrated Digital NetworkIEEE – Institute for Electrical and Electronics EngineeringIETF – Internet Engineering Task ForceIGRP – Interior Gate Way Routing ProtocolIKE – Internet Key Exchange

IMAP 4 – Interactive Mail Access Protocol Version 4IP – Internet ProtocolIPX –Internet work Packet ExchangeIPSec – IP SecurityIRC – Internet Relay ChatISDN – Integrated Service Digital NetworkISP – Internet Server ProviderITU – International Communication UnionJTM – Job Transfer and ManipulationLAC - L2TP – Enabled Access ConcentratorLAN – Local Area NetworksLAPB – Link Access Protocol – balancedLCI – Logic Circuit IdentifierLCP – Link Control ProtocolLLC – Logic Link ControlL2F – Layer 2 ForwardingL2TP – Layer 2 Tunnelling ProtocolMAC – Media Access ControlMAN - Metropolitan Area NetworksMAU – Multi station Access UnitMMS – Manufacturing Message SpecificationMNP – Micro com Networking ProtocolMOTIS – Message Text Interchange StandardMPLS – Multi protocol Label SwitchingMTU – Maximum Transport UnitNBR – Name Banding ProtocolNCP – Network Core ProtocolNLSP – Netware Link Service ProtocolNMC – Networking Management CentreNNI – Network – Network InterfaceNNTP – Network News Transport ProtocolNRZ- L – Non Return to Zero LevelNRZ1 – Non Return to Zero, Invert to OnesNSAP – Network Service Access PointOAM – Operation and Maintenance OBI – Open Buying on the InternetODI – Open Data Link InterfaceOMC – Operation and Maintenance CentreOSI – Open System InterconnectionOSPF – Open Shortest Path FirstPAC – PPTP Access ConcentratorPAP – Password Authentication ProtocolPAP – Printer Access ProtocolPCM – Pulse Code ModulationPDH – Plesiochronous Digital Hierarchy PDU – Protocol Data UnitPMD – Physical Media DependentPMI – Physical Media Independent

PNS – PPTP Network ServerPOP 3 – Post Office Protocol - Version 3PP – Post Script ProtocolPPP – Point to Point ProtocolPPTP – Point to Point Tunnelling ProtocolPSN – Packet Switched NodePVC – Permanent Virtual CircuitsQAS – Quality of Service ?RARP – Reverse ARPRAS – Remote Access ServerRDA – Remote Database AccessRIP – Routing Information ProtocolRNR – Receive Not ReadyRR – Receive ReadyRTMP – Routing Table Maintenance ProtocolSAP – Service Access PointSAR – Segmentation and ReassemblySDH – Sinchronous Digital Hierarchy SFTP – Simple File Transfer ProtocolSLA – Service-level AgreementSLIP – Serial Line Internet ProtocolSM – Statistical Multiplexing SMBs – Server Message BlocksSMT – Station ManagementSNTP – Simple Mail Transfer ProtocolSPX – Sequence Packet ExchangeSSAP – Source Service Access PointSSH – Secure Shell SVC – Switched Virtual CircuitsSVN – Secure Virtual NetworkingTC – Transmission Convergence TCP – Transmission Control ProtocolTDM – Time Division MultiplexingTELNET – Terminal HetworkingTFTP – Trivial FTPTMN – Telecommunication Management NetworkTTPT – Target Token Ring TimeUDP – User Datagram ProtocolUNI – User – Network InterfaceVBR – Variable Bit RateVCI – Virtual Channel IdentifierVPI – Virtual Path IdentifierVPN – Virtual Private NetworksVT – Virtual TerminalWAN – Wide Area NetworksWEP – Wired Equivalent PrivacyWLAN – Wireless Local Area NetworkWWW – World Wide Web

XML – Extensible Mark up LanguageZIP – Zone Information Protocol

ВЪВЕДЕНИЕ

Телекомуникацията е една от най-бързо развиващи се предметни области през последните 20 години. Изградените комуникационни мрежи до деветдесетте години на миналото столетие претърпяха кардинални промени и развитие. Благодарение на това развитие се създаде възможност за високоскоростно предаване на големи обеми от данни на големи разстояния.

Милиони компютри се включиха в глобална компютърна мрежа обхващаща всички континенти на земята и близкия космос. Едно от най великите достижения на миналия век е глобалната компютърна мрежа Internеt. Създадена беше възможност за информационна връзка между жителите на планетата.

Целта на създаване на учебника е студентите да получат знания по основните принципи на построение на съвременните компютърни мрежи и приетите международни стандарти за тяхното изграждане. Авторите нямат претенции за всеобхватно и задълбочено разглеждане на материалите свързани с компютърните мрежи.

В първа глава са обосновани някои от основните понятия в телекомуникациите, за по-лесното усвояване на изложения в учебника материал от читателите. Изяснени са някои основни понятия и параметри в компютърните комуникации. Разгледан е отворения комуникационен модел за свързване на стандартни системи и са обосновани трите основни понятия: услуга, интерфейс и протокол. Представен е комуникационния сценарии на отворения модел за комуникации и са изяснени функциите на слоевете на отворения модел.

Втората глава е посветена на локалните компютърни мрежи (LAN). Направена е обосновка и класификация на тези мрежи и са представени различните топологии за изграждане. Разгледани са различните стандарти за изграждане на LAN и са описани в голяма степен физическите и каналните им слоеве: IEEE 802.3. (Eternet), IEEE 802.4. (Token Bus), IEEE 802.5. (Token Ring), IEEE 812.3. (100 VG-AnyLAN). Специално внимание е отредено на безжичните радиомрежи изградени по стандарт 802.11.. Представени са информативно и протоколните стекове, касаещи изграждането на горните слоеве на LAN: NetWare (SPX/IPX) на фирма Novell, и AppleTalk на фирма Apple.

В трета глава са разгледани глобалните компютърни мрежи (WAN). Направени са обосновка и описание на стандартите за изграждане на WAN. Представени са стандартите: Х.25, Frame Relay, ATM, ISDN и B-ISDN. За всички стандарти са разгледани особеностите на слоевете от отворения модел за комуникации. По-подробно се разгледани приложените в различните стандарти методи за избор на маршрута на протоколните единици през комуникационната среда.

Глава четвърта е посветена на междумрежовите комуникации. Разгледани са междумрежовите съгласувания на долните и горните слоеве на отворения модел за комуникации. Представен е начина на включване на устройства, като повторители, концентратори, комутатори, модеми, мостове, маршрутизатори и шлюзове. Повече данни и описание са направени за модемите.

В пета глава е разгледана глобалната световна мрежа Internet. Представена е структурата на протоколния стек TCP/IP. Изяснен е комуникационния сценарии на протоколния стек и са дадени разликите със сценария на отворения модел за комуникация. Разгледани са различните видовете адресации в Internet и различните класове мрежи от йерархията на глобалната мрежа Internet. На кратко е описано действието на основните протоколи за различните нива на модела TCP/IP. Направена е обосновка на виртуалните частни мрежи, изградени в средата на Internet. Анализирана е структурата на тези мрежи и са представените основните протоколи за изграждането им.

В шеста глава са представени основните основните направления на компютърната и мрежовата сигурност. Разгледана е уязвимостта на компютърните мрежи и WEB – трафика от популярните атаки и ролята на администратора при защита на мрежите от несанкциониран достъп.

Учебникът е създаден на базата на лекции, които авторите са водили на студенти по специалностите „Информатика” и „Математика и Информатика” от Факултета по математика и информатика на Шуменския университет „Епископ Константин Преславски”.

Материалът изложен в учебника е подходящ и за студентите от университетските специалности „Физика”, „Астрономия”, „Туризъм”, „Журналистика” и за всички, които проявяват интерес към компютърните мрежи и комуникации.

Глави 1.2.3.4 и 5 са разработени от И. Цонев а Глава 6 от С. Станев.Изказваме нашите най-сърдечни благодарности към научният редактор доц. д-р инж.

Веселин Василев Атанасов и рецензентите доц. дтн инж. Борислав Беджев и доц. дтн. инж.Христо Лалев за внимателното прочитане на ръкописа и конструктивните забележки и препоръки.

Предложения и бележки по съдържанието на учебника, се приемат по електронната поща на адресите: [email protected] и [email protected].

01.09.2007 Авторите Шумен

mailto:[email protected]

mailto:[email protected]

ГЛАВА 1: КОМПЮТЪРНИ КОМУНИКАЦИИ

1.1. Основи на телекомуникацията.

Основна задача на телекомуникацията (ТК) е надеждно предаване на информация на големи разстояния. В електронните телекомуникации информацията се представя във вид на съобщения, които могат да бъдат кодирани като текст, глас, изображение или данни. Съобщенията се предава с помощта на сигнали.

Сигналите са изменящи се физически величини, като ток, електромагнитно поле, светлина и звук, чрез които се изобразява и пренася съобщението. В компютърните комуникации се използват два вида електрически сигнали: аналогови (непрекъснати) сигнали; цифрови (дискретни) сигнали.

Аналогови са тези сигнал, които има безкраен брой значениия за ограничен интервал от време t (Фиг. 1):

AC Uc

t t

Фиг.1. Графика на аналогов сигнал.

Цифровият сигнал има краен брой значения за ограничен интервала от време t (Фиг.2.):

ЦС Uc

t

t

Фиг.2. Графика на цифров сигнал сигнал.

Сигналите имат четири основни характеристики: продължителност - измерва се в секунди;

нkc ttT [ s ]; мощност – измерва се във ватове;

cP = min

max

P

P[w];

честота на изменение – измерва се в херци;F = f нв ffF [Hz];

динамичен диапазон на сигнала - cH ;

}/}{/lg{.20}/lg{.20}/lg{.10 22121minmax PPTTVVPPHc .Преобразуването на съобщението в сигнал е свързано с реализиране на три

операции: Преобразуване на неелектрическа величина в електрическа; Кодиране – построяване на сигнали по определен принцип и правила; Модулация – въздействие върху някой параметър на електрическия сигнал – амплитуда, честота и фаза.

Превръщането на съобщението в сигнал е обратим процес, в резултат на който съобщението се въстановява в началнната си форма и съдържание. За предаването на съобщението на разстояние е необходимо да се изгради комуникационна система (КС ).

Комуникационната система е програмнотехническа система, състояща се от технически средства и правила за взимодействие между тях (Фиг.3.).

Фиг.3. Блокова схема на комуникациона система.

В зависимост от вида на съобщението комуникационните системи се разделят на: Телефонни – за предаване на глас; Телеграфни и телетекстни – за предаане на текст; Факсимилни - за предаване на неподвижни образи; Телевизионни и видеотелефонни – за предаване на подвижни изображения; Телеизмерителни – за предаване на данни, измерени от разстояние; Комуникационни системи за предаване на цифрови данни.

Комуникационната система е система за предаване на съобщения, а не на електрическа енергия. Съобщението има количествена характеристика – Количество информация “V” – измерва с в битови [bit] и се определя с израза

}.{log.. 2 ccc PaTFV [b]Където:

cF - честотна лента;

cT - продължителност;V - пропускателната способност на комуникационната система за една секунда;

срP - средната мощност на сигнала; а - нормировъчен коефициент.

Обемът на приетата информация прV на комуникационната система за време cT се определя с израза

)1(log.. 2m

cccпр P

PTFV .

Линейната структура на комуникационната система е частен случаи или сечение на реалната. Обикновенно КС имат сложни, смесени топологии и съобщенията се предават след като се фрагментират на малки части. Преминавайки по различни комуникационни линии на системата фрагментите се обединяват в крайните възли и се формира полученото съобщение. Предаването на съобщенията чрез комуникационна система се оценява по следните показатели за качество на обслужване: Коефициент на грешка – измерва се, като отношение на броя на сгрешените към общия броят на приети битове; Коефициент на грешки по блокове - измерва се, като отношение на броя на сгрешените към общия броят на приети блокове;

ИЗТОЧ-НИК

ПОЛУ-ЧАТЕЛ

ПРИЕМ-НИК

КОМУНИКАЦ.ЛИНИЯ

ПРЕДАВА-ТЕЛ

Коефициент на загубени блокове измерва се, като отношение на броя на загубените към общия броят на приети блокове;

Коефициент на блокове, доставени в приемника не по реда на следване – измерва се като отношение на блоковете приети в непоследователен ред към общия брой приети блокове;

Средно време за закъснение на съобщението; Допустимо отклонение на времето за закъснение на съобщението.

Комуникационната линия е физическа среда за предаване на сигнали от предавателя към приемника и може да бъде: Проводници; Оптически влакна; Вълновод; Атмосферата.

Комуникационният канал (КК) е съвкупност от средства за предаване на сигнали от една точка към друга точка на КС. Комуникационния канал е логическо понятие. Съществуват следните видове комуникационни канали: Аналогов; Цифров; Аналогово-цифров; Цифрово-аналогов.

'А А В 'В

Фиг. 4. Модел на взаимодействие между два персонални компютри.

Ако модемите в блоковата схема на Фиг.4. са аналогови могат да се дефинират следните видове канали: 'А - 'В - цифров канал; А - В - аналогов канал; 'А - В - цифрово аналогов канал; А - 'В - аналогово цифров канал,

Комуникационните канали имат следните технически характеристики: Наличие на шум в канала; Линейност на канала – липсват изкривявания на сигналите; Закъснение на сигналите; Затихване на сигналите; Деформация на сигналите.

Граничната пропускателна способност kC на комуникационния канал се определя от формулата на Шенон:

РС1 МОДЕМКомуникационна

линия МОДЕМ РС2

)1(log. 2ш

cc

k

прk P

PF

T

VC [ s

b ]

Когато Pш=Pс пропускателната способност на канала е равна на честотната лента.Ако сш PP , то kC 0

Комуникационните системи се подразделят на едноканални и многоканални. КС е многоканална когато осигурява няколко паралелни канала за предаване на съобщения по една обща комуникационна линия. В тези системи входните канали се обединяват с устройства наречени мултиплексори (МП) и се разделят в изхода с демултиплексори (ДМП) (Фиг.5.). 1 1

комуникационна линия МП ДМПn n

Фиг.5. Уплътнение на n комуникационни канала в една комуниационна линия. Способите за многоканални комуникации са следните: Времеразделяне - TDM – Time Division Multiplexing; Честотно деление – FDM – Frequency Division Multiplexing; Статистическо деление - SM – Statistical Multiplexing.

Под комуникационна мрежа (КМ) се разбира съвкупност от комуникиращи устройства, свързани помежду си чрез комуникационни линии.

Международния стандарт ISO дефинира по – конкретни понятия като: Комуникационна подмрежа; Комуникационна мрежа; Комуникационна интермрежа.

Фиг. 6. Модел, при който комуникационната мрежа се използва като посредник.

Комуникационната подмрежа служи за свързване на крайни възли (хостове) на компютърната мрежа. Тя е сбор от комуникационни линии и съединени чрез тях междинни мрежове възли, осигуряващи предаване съобщения между крайните възли (Фиг.7.). Междинните мрежови възли са: комутатори и маршрутизатори (рутери), а крайните възли не са част от подмрежата.

У –ВОИЗТОЧНИК

У-во задостъп

У – ВОПОЛУЧАТЕЛ

У-во задостъп

КМ

Краен възел



Фиг.7. Комуникационна мрежа като сбор от подмрежи

Съвкупността от комуникационната подмрежа и крайните възли се нарича Комуникационна мрежа.

Компютърната мрежа е частен случай на комуникационна мрежа, на която крайните възли са компютрите. Компютърните мрежи се разделят основно на: Локални компютърни мрежи - LAN (Lokal Area Networks); Регионални (градски) компютърни мрежи - MAN (Metropoliten Area Networks); Глобални компютърни мрежи – WAN (Wide Area Networks).

Фиг.8. Модел на приложение на интермрежа.

Комуникационната интермрежа (Фиг.8.) е съвкупност от свързани комуникационни мрежи. Интермрежата се състои от свързани LAN, MAN и WAN компютърни мрежи.

Комутацията и маршрутизацията са основни функции на междинните възли (МВ) в комуникационните мрежи. Обикновените МВ се наричат комутатори – маршрутизатори. Когато една от функциите преобладава те се наричат комутатори или маршрутизатори.

Компютърните мрежи използва следните методи за комутация: Комутация на каналите; Комутация на съобщенията; Комутация на пакетите.

1.1.1. Комуникационни мрежи с комутация на каналите

При този вид мрежи комутацията предаването на съобщенията се извършва на три етапа: Установяване през мрежата на временен канал между източника и получателя; Предаване (обмен) на съобщенията; Разпадане на канала.

tКВ 1

LAN

WAN

WAN

MAN

РУТЕРРУТЕР

РУТЕРРУТЕР

П СП Н ОКК 1 t

Н Б СИ t КК 2 H М tКК 3 Е at H СГ Н tКВ 2

Фиг. 9. Диаграма на метода за комутация на каналите.

На Фиг. 9. са използвани следните съкращения: КК – комутатор на каналите; П – повикване; СП – сигнал за потвърждение; Н – набиране; at - време за анализ; СГ – сигнал за готовност; СС – сигнал за съединяване; СИ – сигнал за изключване.

Недостатък на компютърната мрежа използваща комутацияна каналите (Фиг.9.) е, че при заетост на краен възел и комутируем канал се налага изчакване на тяхното освобождаване, за да се изгради канала за предаване на съобщението.

Независимо от този недостатък методът на комутация на каналите се използва за предаване на съобщения в телеграфните, телефонните и ISDN мрежите.

1.1.2. Комуникационни мрежи с комутация на съобщенията

При изполване на метода прилагащ комутацията на съобщението, цялото съобщение се предава по различните участъци на мрежата с натрупване в междинните й възли, които се наричат комутатори на съобщението.

Всяко съобщение съдържа адресна част - А и информационна част – И (Фиг.10.). Комутаторите на съобщенията са мощни компютърни системи с голямо бързодействие, към които са включени множество от канали за приемане и предаване на съобщения. Междинните възли работят с голяма скорост и притежават голяма по обем запомняща система (дискова памет).

tКВ 1 A ИКС 1 t

А И tКС 2

А И tКС 3 А ИКВ 2 t

CKt

Фиг.10. Временна диаграма на метода за комутация на съобщенията.

Недостатък на този метод е, че при големи натоварвания на мрежите съобщенията закъсняват, изчаквайки на големи опашки в комутаторите на съобщенията.

Комуникационни мрежи с комутация на съобщенията се използва при доставката на електронната поща (E-mail) през комуникационните мрежите и интермрежи.

1.1.3. Комуникационни мрежи с комутация на пакетите.

Методът използващ комутация на пакетите (КП) позволява намаляване на времето за доставка на дългите съобщения. В крайните възли съобщението се разделя на пакети, всеки с адресна част - А и информационна част – И. Пакетите се предават по мрежата и когато достигнат в КВ - получател се събират за да се въстанови съобщението по съдържание и форма. Обикновено пакетите достигат до КВ - получател по различни маршрути.

Компютърната мрежа с комутация на съобщението използва два режима на работа: Режим “Дейтаграмен”; Режим “Виртуално съединение”.

Всеки пакет има пълен адрес, по който комутатора на пакети определят по-нататъшния му маршрут. Отделните дейтаграми се предават независимо една от друга и маршрутът им е различен. Възможно е редът на пристигане на пакетите в КВ - получател да е различен от реда, по който са изпратени. За да не се загуби реда на пакетите всяка дейтаграма се номерира и така КВ – получател ги подрежда в първоначалния ред.

Предимствата на дейтаграмния режим (Фиг.11.) са следните: Съкращава се общото време за предаване на съобщенията; Постига се висока надеждност на предаване при отказ на част от мрежата; Динамична маршрутизация на дейтаграмите в зависимост от състоянието на мрежата. t

КВ 1 А И А И А И КП 1 t

А И А И А И t КП 2

А И А И А И t КП 3

А И А И А И t КВ 2 ДКПt

Фиг.11. Временна диаграма на дейтаграмен режим.

Недостатък на този режим е липсата на потвърждение (квитанция) за правилното приемане на отделните дейтаграми и възможността за нарушаване на правилния ред на следване. Това налага допълнителни мерки при въстановяване на съобщението от страна на крайния възел – получател .

Пакет – запитване t КВ 1

А И А И tКП 1

КП 2 t

tКП 3

tКВ 2

Пакет – отговор Пакет - групова квитанция

Фиг.12. Временна диаграма на режим на виртуално съединение

При режима на предаване на съобщения по виртуално съединение (Фиг.12.) се разграничават следните обособени състояния: Изграждане на логическо (виртуално) съединение между крайните възли; Предаване на пакетите един след друг; Разпадане на съединението.

Предимствата на режим “Виртуално съединение” са следните: Маршрутът на съединението се избира само един път и междинните възли и комутатори на пакети по време на предаването не вземат решение за избор на маршрута на предаване на пакетите; Съхранява се редът за следване на пакетите; Извършва се пълен контрол на грешките в пакетите.

Недостатъците на този метод са: Липсва гъвкава маршрутизация; Наличие на време за установяване на логическа връзка;

Ниска надеждност при отказ на междинните възли – налага се изграждане на нова логическа връзка между КВ 1 и КВ 2.

За да се ускори предаването на съобшенията при комутацията на пакетите в междинните възли се използва основно оперативната памет на комутаторите на пакети. При препълване на паметта на междинните възли се прилагат механизми за забавяне на пакетите чрез управление на натоварването на мрежата. Метода за комутацията на пакети се използва от стандарта за глобални компютърни мрежи изградени по стандарта Х.25. и световната компютърна мрежа Internet.

1.1.4. Комуникационни мрежи с бърза комутация на пакетите.

Този метод е комбинация между методите за комутация на каналите и комутация на пакетите. При тези мрежи се намалява времето за обработка на пакетите в комутаторите. В междинните възли се използват самомаршрутизиращи се комутационни матрици. Не се извършва повторно предаване на сгрешени пакети в междинните възли, а възстановяването на такива пакети е функция на крайните възли. Интелигентността на компютърната мрежа е насочена към крайните възли.

Методът на бърза комутация на пакетите е приложим за комуникационни линии с малка вероятност за грешки – каквито са оптическите. Прилага се се в съвременните стандарти за изграждане на глобални компютърни мрежи – Frame Relay и ATM.

Комуникационните мрежи предоставят услуги на потребителите разпределени в три категории:

1. Услуги за достъп до отдалечена информация: Достъп до информационни системи, WWW; Достъп до библиотеки on-line; Достъп до ежедневната преса; Електронна търговия; Достъп до банки , борси.

2. Услуги за междуличностна комуникация: Електронна поща – текст, видео, гласова поща; Интерактивни разговори в реално време ICQ, TRQ; Видеоконферентни връзки, дискусии; Дистанционно обучение.

3. Услуги за интерактивни комуникации: Участие във виртуални видеоигри; Интерактивни филми и телевизия; Гледане на видеофилми по поръчка.

Паралелно с предимствата при използването на комуникационните мрежи възникват и следните проблеми:

Разпространяване на лъжлива информация; Извършване на финансови и други измами; Предлагане на порнография; Анонимност при използване на комуникационни услуги.

Съществува необходимост от налагане на цензура, която за съжаление в голяма степен ограничава мащаба на действие и възможностите на компютърните мрежи.

1.2. Еталонен комуникационен модел за свързване на отворени системи (OSI).

Създаването на модела OSI (Open System Interconnection) е породено от необходимостта за информационно свързване на голям брой терминали и компютри, изградени като отворени системи.

Фиг.13. Свързване на системи без стандартен интерфейс за комуникация

Фиг.14. Свързване на системи със стандартен интерфейс за комуникация

За да се свържат информационно крайните устройства на Фиг.13. са необходими дванадесет интерфейсни програми за комуникация - 1nn , където n е броят на крайните устройства. В примерната схеме за свързване на крайни устройства на Фиг. 14. са необходими четири интерфейсни програми, по една за всяка система. Моделът OSI е създаден през 1978 г. от международната органиция по стандартизация ISO ( International Standards Organisation), след провеждане на задълбочени обсъждания на международни форуми. Важна роля при разработването на модела играе международната организация на електроинженерите IEEE. Основна идея на отворения модел е разделяне на комуникационните процеси във възлите на мрежите на слоеве (нива).

1 2

3 4

1 2

3 4

Изборът на оптималния брой на слоевете е важен проблем, тъй като по-големият брой слоеве дава възможност за по-детайлно разделяне на процесите и за упростяване на правилата за взаимодействие между слоевете. Това води до увеличаване на броя на устройствата за взаимодействие. По-малкият брой слоеве води до увеличаване сложността на устройствата за взаимодействие между слоевете и възлите.

След анализ на процесите е избран седем слоен модел, включващ следните слоеве: Физически слой; Канален слой; Мрежов слой; Транспортен слой; Сесиен слой; Представителен слой; Приложен слой.

Слоевете на отворения модел се разделят на две групи: Долни слоеве: физически, канален, мрежов и транспортен – свързани с

предаване и доставка на информацията между различните възли на мрежата; Горни слоеве: сесиен, представителен и приложен – свързани с обработката и

представяне на информацията в един възел на мражата.

Долните три слоя (физически, канален и мрежов) са силно завсими от вида и структурата на подмрежата, към която е свързана комуникиращата система. Транспортният слой реализира независим обмен на съобщения на горните слоеве. Горните три слоя са свързани с процесите, изпълнявани в крайните мрежови възли под управление на локалните и мрежови операционни системи. Ниските слоеве се изпълняват в по-голяма степен апаратно, а горните слоеве изцяло се реализират програмно.

OSI – моделът е изграден на базата на три основни понятия: Услуга; Интерфейс; Протокол.

Услугата е логическа функция по осигуряването на съседния слой на модела OSI в един възел от компютърната мрежа.

Интерфейс са правилата за взаимодействие на обектите от съседните слоеве на един и същ възел от мрежата.

Протоколът е съвкупност от правила за взаимодействие на обекти от едноименни слоеве от различни възли в компютърната мрежа.

OSI – моделът (Фиг.15.) използва протокола, като инструмент за осъществяване на необходимата услуга. Моделът е скелет на по-нататъшната стандартизация при проектиране на компютърните мрежи. За всеки слой на модела се разработват отделни стандарти. Моделът дефинира функциите за всеки слой, с което се улеснява разработването на нови стандарти като: Стандартите за всеки слой се разработват независимо и паралелно във времето с останалите, тъй като функциите на всеки слой са добре дефинирани;

Новите промени в стандартите за даден слой няма да се отразят на вече устновените стандарти или софтуер за другите слоеве, тъй като границите между слоевете са дефинирани.

СЪВКУПНОСТ ОТ ДЕКОМПОЗИЦИЯКОМУНИКАЦИОННИФУНКЦИИ

УСЛУГА КЪМ N + 1 СЛОЙ

ПРОТОКОЛ С ДРУГ

ОБЕКТ ОТ N СЛОЙ

УСЛУГА ОТ N- 1 СЛОЙ

Фиг. 15. OSI – моделът, като обект на стандартизация.

Във всеки слой на модела се стандартизират задължително три елемента: Спецификация на протокола; Дефиниция на услугите; Адресацията.

Спецификацията на протоколите се заключава в определяне на формата на неговите полета за данни на протоколните единици - PDU ( Protocol Data Unit ), семантиката на полетата на тази единица, допустимата последователност на предаване на отделните протоколни единици дефинирането на и т.н.

Услугите са свързани само с определяне на списъка с услуги предоставяни на горния слой, но не се указва как се извършва услугата.

Адресацията се състои в указание за обектите на по-горния слой на точките SAP (Service Access Point), чрез които те могат да получат достъп до услугите на по-горния слой.

1.2.1. Протоколи в отворения модел за комуникации

Протоколът е съвкупност от правила за комуникация между обектите в едноименните слоеве от различни възли на комуникационната мрежа. Те осигуряват логическо и процедурно съгласуване между обектите. Логическото съгласуване е свързано с представяне на съобщения в един и същ формат (синтаксис). Процедурното съгласуване определя съдържанието на различните формати и реда за тяхното прилагане (семантика).

СЛОЙ 7

....

СЛОЙ N

…..

СЛОЙ 2

СЛОЙ 1

ОБЕКТ НА СЛОЙ N

N.1 N.2 N.3

СЛОЙ NСЛОЙ N – 1

Фиг.16. Взаимодействие между обекти на съседните слоеве на модела.

Обектите от слой N си взаимодействат чрез съединения с обекти от слой N-1 (Фиг.16), по които се предават масиви от информация, наречени протоколни единици за данни на слой N. Всеки слой N-1 осигурява услуги за обекти от слой N. На всеки обект може да му се предоставят данни по съединения тип “точка - точка” или “точка – много точки”. Данните се обменят по три типа съединения: Симплексни съединения; Полудуплексни съединения; Дуплексни съединения.

Протоколите в отворения модел за комуникации се състоят от следните основни елементи:

Синтаксис – включва формата на данните, кодирането им и нивото на сигналите; Семантика – включва управляващата информация за формата на данните,

кодирането и контрола на грешките при предаването; Синхронизация – включва регулиране на скоростта и управление на

последователността на предване на фрагментите на протоколните единици.

Основните характеристики на протоколите в отворения модел са следните: Директност или индиректност – директни са протоколите при съединения

между възлите от типа „точка-точка” и „точка-много точки”, индиректни са при съединения през мрежа и интермрежа (Фиг.17);

Монолитност или структурност: - монолитност когато комуникационните функции се изпълняват от един протокол, структурност – когато комуникационните функции се изпълняват от набор от протоколи;

Симетричност или асиметричност: - симетрични са протоколите в мрежи с равноправен достъп – ( peer-to-peer), асиметрични са протоколите при LAN с отделни сървъри;

Стандартност или нестандартност: - стандартни са тези протоколи, които са одобрени от международните организации ITU, ISO, IEEE, ANSI (протоколи на OSI).

А В LAN

точка – точка

многоточково съединение

N-1.1 N-1.2

комуникационна подмрежа

съединение чрез интермрежа

Фиг.17. Видове съединения, поддържани от различни протоколи.

1.2.2. Функции на протоколите на отворения модел.

Протоколите в отворения модел за комуникация OSI извършват следните основни функции:

Фрагментация и дефрагментация на съобщенията; Капсулация на протоколните единици; Управление на съединението; Доставка на протоколните единици в правилен ред; Управление на потока от данни; Контрол на грешките в протоколните единици; Адресация на протоколните единици; Мултиплексиране при предавне на протоколните единици; Услуги при предаване на съобщенията.

Фрагментацията е процесът по разделянето на потока данни на части (блокове, сегменти, пакети и кадри). Блоковете, сегментите, пакетите и кадрите се наричат протоколни единици от данни - PDU (Protocol Data Unit). PDU има фиксирана и променлива дължина за едни или други стандарти и протоколи. Използват се следните дължини на PDU в различните стандарти:

ATM стандартът има PDU с дължина 53 байта; Eternet стандартът има PDU с променлива дължина до 1526 байта; Frame Relay стандартът има PDU с променлива дължина до 1608 байта; FDDI стандартът има PDU с променлива дължина до 4500 байта; Х.25 стандартът има PDU с променлива дължина до 4096 байта или 128 байта (с подразбиране).

В приемната точка на крайните възли протоклолните единици се обединявят и формират първоначалното съобщение. Този процес се нарича дефрагментиране.

Капсулацията е процес, при който PDU от по-горен слой или част от него се вмъква в полето “данни” на PDU от по-нисък слой и към нея се допълва служебна информация за предаването. Служебната информация в PDU се състои от адресна, управляваща и контролна част: адресна информация служи за правилно доставка на PDU до нужния

подмрежа подмреж

а

подмреж

а

подмреж

а

адресат; управляваща информация служи за правилното функциониране на протокола; контролна информация се използва за откриване или коригиране на възникнали грешки при предаването на PDU.

В управление на съединението се използват два режима на работа: Без установяване на логическо съединение; С установяване на логическо съединение.

Режимът с установяване на логическо съединение се реализира в три фази: Установяване на съединението; Предаване на данни; Разпадане на съединението.

По-сложните протоколи имат фаза “Прекъсване на съединението” и възстановяване на грешки. Всеки обект при комуникация номерира последователно протоколните си единици, от което следват три допълнителни функции: Доставка на протоколните единици в правилен ред; Управление на потока от данни; Контрол на грешките в протоколните единици.

Доставката на протоколните единици в правилен ред се реализира чрез използане на ограничен брой номера, които циклично се повтарят. Приемникът използва тези номера за възстановяване на първоначалния ред на следване на протоколните единици.

Управление на потока от данни е функция на приемника, с която се ограничава големината на протоколните единици и скоростта на предаване на данните. Съществуват два метода за управление на потока от данни (flow-control): Старт – стопен метод; Метод на “плъзгащия се прозорец”.

Контрол на грешките е функция, свързана с откриване и/или коригиране на грешките при предаване на протоколните единици. Използват се шумоустойчиви кодове. Повечето протоколи използват режим на откриване на грешки и повторно предаване на сгрешените протоколни единици – прост и евтин метод за корекция на грешки.

Адресацията в протоколите е свързана с елементите: Ниво на адресация; Адресен обхват; Идентификация на съединението; Режим на адресация.

Нивото на адресация е свързано със слоя на комуникационната архитектура, на който се намира обекта.

В мрежовия слой се използват мрежови адреси ( IP – адреси в модела TCP/IP; NSAP – Network Service Access Point – в модела OSI). В каналния слой се използват канални адреси – MAC адреси (Media Access Control) за локалните компютърни мрежи.

Адресният обхват е свързан с два вида адреси: глобални – IP – адресите и NSAP; локални – MAC – адресите за локалните мрежи и Х.25 адресите в стандарта Х.25. за глобална мрежа.

Идентификацията на съединението е свързана с присвояване на номер на съединението (идентификатор), който го отличава от други логически съединения, използващи същата комуникационна линия. За пример може да се посочи виртуалното съединение при стандартите за изграждане на глобални мрежи, X.25, Frame Relay и ATM.

Съществуват три режима на адресация, при които се използват адресите: Индивидуален адрес на система или порт (unicast address) ; Групов адрес (multicast address) на определена група обекти от дадена област на мрежата; Общодостъпен адрес (broadcast address) на всички обекти от дадена област или мрежа.

Мултиплексиране е процес на изграждане на множество едновременни съединения. В една система – съществуват два модела на мултиплексиране: Мултиплексиране нагоре – няколко съединения от по-горния слой си поделят едно съединение от долния слой; Мултиплексиране надолу – едно съединение от горния слой се реализира чрез няколко съединения в долния слой.

Услуги на предаването са свързани със следните възможности: Приоритетност – по-висок приоритет се присвоява на съобщения, които трябва да се предадат с минимално закъснение; Праг на закъснението – дефинира се за изходния трафик, който е чувствителен към закъснението (глас или видео в реално време); Сигурност на данните – използват се методи: криптиране (шифриране), ограничаване на достъп до информация чрез пароли и предоставяне права на потребителите; Максимална производителност – определя се от ресурсите на мрежовите възли.

1.3. Комуникационен сценарий на отворения модел за комуникации.

Комуникационният сценарии на отворения модел за комуникации може да се представи чрез схемата на Фиг.18.:

Система 1 Система 2ПроцесА

Процес В

7 Приложен протокол съобщ.

6 Представителен протокол съобщ.

Сесиен протокол съобщeние5

Транспортен протокол съобщение4

рутер 1 рутер N межд. възел 1 межд. възел N

МП МП3 пакет

КП КП2 кадър

ФП ФП1

битовеподмрежа

Комуникационна линия Комуникационна линия

Краен възел 1 Краен възел 2

Фиг.18. Схема на комуникация по модела OSI между приложни процеси от различни системи, свързани чрез комуникационна подмрежа.

Съгласно схемата процес А от система 1 предава съобщение на процес В в система 2. За целта процес А подготвя масив от данни и призовава приложния слой, който установява логическа връзка с приложния слой от система 2 чрез приложен протокол. Приложните слоеве изискват услуги от представителните слоеве на системи 1 и 2. За целта те използват за връзка съответен протокол. В слой 6 на система 1 съобщението идва от слой 7 във вид удобен за транспортиране. Преобразува се кода, азбуката, съгласува се формата и съобщението се предава към сесийния слой 5.

В слой 5 се организира предаване на съобщението, като се установява съединение между процеси А и В. Използва се сесиен протокол за поддръжане на съединението, идентификация на съединението, управление на диалога и разпадане на съединението.

ПРИЛОЖЕН ПРИЛОЖЕН

ПРЕДСТАВИТЕЛЕН ПРЕДСТАВИТЕЛЕН

СЕСИЕН СЕСИЕН

ТРАНСПОРТЕН ТРАНСПОРТЕН

МРЕЖОВ МРЕЖОВ

КАНАЛЕН КАНАЛЕН

ФИЗИЧЕСКИ ФИЗИЧЕСКИ

М М

К К

Ф Ф

В слой 4 съобщението се транспортира по комуникационната подмрежа от край до край. За целта се организира се двупосочно съединение и състоянието му се контролира от транпортен протокол. По-големите съобщения се фрагментират на блокове.

В мрежовия слой 3 се организира съединение между съседните мрежови възли, извършва се маршрутизация, комутация, управление на натоварването. Съобщенията се фрагментират и предават във вид на отделни фрагменти (пакети).

В каналния слой 2 се организират канали за предаване на данни между два съседни възли. Съобщенията се предава във вид на фрагменти – нарачани „кадри”. Извършва се синхронизация по кадри, контрол на грешките, управление на потока от данни, контрол на състоянието на канала и др.

Във физическия слой 1 се използва комуникационна (физическа) среда за предаване на структуриран поток от битове. По линията може да има уплътнение и едновременно могат да се предават няколко съобщения. Извършва се контрол на линията, синхронизация по битове и кадри.

Между равностойните слоеве на комуникационните системи няма физическа връзка с изключение при слой 1, където между два съседни възела от комуникационната мрежа е необходимо да съществува реална линия за предаване на данните.

Във всеки слой N на предаващата система към протоколната единица (PDU), получена от слой N + 1 се добавя собствена заглавна част (header). Изключение прави каналният слой, който добавя не само заглавна част (header), но и крайна част (trailer).

В приемната система 2 се извършват обратни преобразувания, в резултат на които се въстановява съобщението от получените фагменти.

Всеки слой на модела може допълнително да фрагментира PDU (Фиг.19.) на горния слой, за да удовлетвори своите изисквания за дължината на предавания блок от данни.

СЛОЙ PDU 7 СЪОБЩЕНИЕ

6 СЪОБЩЕНИЕ

5 СЪОБЩЕНИЕ

4 СЪОБЩЕНИЕ 3 ПАКЕТ

2 КАДЪР

1 ПОТОК - БИТОВЕ

Фиг.19. Протоколни единици (PDU) на слоевете от отворения модел за комуникации.ЗЧ – заглавна част (header); КЧ – крайна част (trailer)

Услугите между слоевете в OSI – модела са описани с термините – примитиви и параметри:

Примитивите са четири вида: REQUEST (заявка);

3Ч ДАННИ П

3Ч ДАННИ П

3Ч ДАННИ С

3Ч ДАННИ Т

3Ч ДАННИ М

3Ч ДАННИ К КЧ

INDICATION (индикация); RESPONSE (отговор); CONFIRM (потвърждение);

Всички примитиви участват в услуги с потвърждение (confirmed services), като първите две участват и в услуги без потвърждаване на съдиненията (non-confirmed services).

Параметрите на предаването се дават в данните на полетата на протоколните единици за служебната информация и управление. При предаване на данни с установяване на съединение се използват следните осем примитива: CONNECT Request – установяване на съединение; CONNECT Indication – за за потвърждение на съединение; CONNECT Response – виканият обект приема или отказва заявката за съединение; CONNECT Confirm – известява се викащият обект дали заявката му е приета; DATA Request - заявка за изпращане на данни по установеното съединение; DATA Indication – известява за пристигане на данни; DISCONNECT Request – заявка за разпадане на съединението; DISCONNECT Indication – известие за разпадане на съединението.

Всяка заявка (request) или отговор (response) на един обект предизвиква индикация (indication) или потвърждение (confirm) по-късно в другия обект.

Предаването на данни е услуга, която може да е с или без потвърждение в зависимост от това дали предаващият обект иска или не иска потвърждение за приемането на предадените протоколни единици.

1.4. Функции на слоевете на отворения модел за комуникации

1.4.1. Функции на физическия слой на отворения модел

Физическият слой (ФС) е непосредствено свързан с комуникационната линия (физическата среда). Основната му функция е предаване на структуриран поток от битове по комуникационната линия така, че когато предавателят генерира двоична единица, то приемникът да я възприема като единица, а не като нула. Само протоколите на физическия слой се наричат интерфейсни. Тези протоколи реализират следните съгласувания: Механическо - задава се броят и дължината на проводниците между устройствата, типа и размерът на съединителите; Електрическо – определя се формата, продължителността и нивото на сигналите, синхронизира се моментът на смяна на полярността; Функционално – определя се смисловото значение на електрическите сигнали, разменяни между системите; Процедурно – специфира се последователността от събития, чрез които се обменя потокът от битове между два обекта от физическия слой.

Основните функции на физическия слой са следните: Изграждане и разпадане на физически съединения; Преобразуване на данните на протоколните единици в сигнали; Физическо предаване на битове; Синхронизация по битове;

Реализиране на физически интерфеис; Диагностика на определен клас неизправности.

Изграждането и разпадането на физическите съединения е необходима функция поради отсъствие на постоянно физическо съединение между комуникиращите възли. Физическите съединения осигуряват последователно (побитово) и паралелно (побайтово) предаване на данни.

Физическите съединения са постоянни (наети) и временни (комутируеми) линии. Процедурите по изграждане и разпадане на съединенията са регламентирани от международната организация по телекомуникация ITU: Серия Х – за предаване на данни по слециални мрежи; Серия V – за предаване на данни по телефонни мрежи; Серия I – за предаване на данни по ISDN – мрежи.

Съществуват четири възможности за преобразуване на съобщенията в сигнали: Преобразуване на аналогово съобщение в цифров сигнал; Преобразуване на цифрово съобщение в цифров сигнал; Преобразуване на цифрово съобщение в аналогов сигнал; Преобразуване на аналогово съобщение в аналогов сигнал.

Първите две преобразувания се наричат „кодиране” и се извършват от „кодер”. Обратните преобразувания се наричат ‘декодиране” се извършват от „декодер”. Двете преобразувания имат общо име „модулация”– съответно „демодулация” и се извършват от устройства наречени модулатор и демодулатор. Когато едно устройството извършва едновременно модулация и демодулация се нарича „модем”.

1.4.1.1.Преобразуване на аналогови съобщения в цифрови сигнали

В този вид преобразуване най-широко приложение има импулсно-кодовота модулация (ИКМ) (Pulse Code Modulation – PCM). ИКМ е процес, при който аналоговото съобщение се дискретизира по време, след което дискретите му се квантоват по нива и чрез кодиране се преобразуват в цифрови сигнали (Фиг.20).

Съгласно теорема на Найкуист – Котелников дискретизацията по време се извършва с честота не по-малко от два пъти по-голяма от честотата на модулирания аналогов сигнал. След дискретизацията се получава импулсна последователност, като всеки импулс има амплитуда, равна на моментната стойност на аналоговия сигнал в момента на дискретизация.

При квантоването амплитудата на импулсите се приравнява към най-близкото разрешено ниво. При кодирането всяко ниво се представя с двоично число и се предава по физическа среда във вид на импулси. В приемната страна двоичният код генерира импулси със съответната амплитуда, които преминават през филтър и се възстановява формата на аналоговия сигнал. ИКМ се използва основно за модулиране на телефонни съобщения. Телефонният канал е с честотна лента от 300 3400 Hz и за изпълнение на теоремата на Котелников се използва честота на дискретизация от 8000 Hz . При квантоване импулсите се сравняват със скала от 256 нива и при кодирането се представят с 1 байт (8 бита) .

Аналоговосъобщение

t

Дискретизация и квантоване

10 5

t0

-5 Кодиране

-10 . . . . . . . . . . . . . 1010

101 111 1000 1010

Фиг.20. Диаграма на импулсно кодова модулация.

За едновременно предаване на 8 разговора по телефоння канал е необходимо да се постигне скорост равна на 8000 . 8 = 64 000 b/s. Импулсно кодовата модулация е в основата на цифровите преносни системи. Тези системи се делят на две големи групи: PDH – системи (Plesiochronous Digital Hierarchy) от по-стар вид – за медни кабели; SDH – системи (Synchronous Digital Hierarchy) , които са от нов вид и се използват основно за предаване по влакнисто-оптични кабели.

В Европа PDH – системите имат 5 степени на йерархия: Е1 /ИКМ – 30/ - 2,048 Mb/s – за 30 телефонни канала; Е2 /ИКМ – 120/ - 8,1448 Mb/s – за 120 телефонни канала; Е3 /ИКМ – 480/ - 34, 368 Mb/s – за 480 телефонни канала; Е4 /ИКМ – 1920/ - 139,264 Mb/s – за 1928 телефонни канала; Е5 /ИКМ – 7680/ - 565, 148 Mb/s – за 7680 телефонни канала.

В САЩ и Канада PDH – системите имат 4 степени на йерархия: DS1/T1 - 1,544 Mb/s – за 24 телефонни канала; DS2/T2 – 6,312 Mb/s – за 96 телефонни канала; DS3/T3 – 44,736 Mb/s – за 672 телефонни канала; DS4/T4 – 274, 176 Mb/s – за 4032 телефонни канала.

Взаимодействието между PDH – системите на Европа и Северна Америка става чрез трансатлантически подводни кабели със скорост на предаване 139,264 Mb/s чрез специално преобразуване на Е4 сигнала в три DS3 сигнала и обратно.

Използва се и диференциална ИКМ (ДИКМ), при която по канала се предава разликата между текущото значение на сигнала и предишното му значение. Предимство е, че при предаването на данни се използват по-малък брой битове за кодиране на съобщенията и вместо канал със скорост 64000 b/s се използва канал със скорост 32000 b/s.

1.4.1.2. Преобразуване на цифрови съобщения в цифрови сигнали

Този вид преобразуване се нарича кодиране в комуникационната линия (линейно кодиране). Използва се линеен код, под което се разбират правилата, установяващи съответствие между поредицата битове на протоколната единица (кадъра на каналния слой) и символите, с които те се представят за предаване по комуникационната линия. Линейният код се избира така, че параметрите на резултатния сигнал и честотния му спектър да съответстват на възможностите на съответната физическа среда. Основните цели на линейното кодиране са: Ограничаване на постояннотоковата съставна за намаляване на енергийните загуби; Ограничаване на броя на последователните двоични нули с цел улесняване на побитовата синхронизация; Намаляване на броя на символите в линейния сигнал с цел намаляване широчината на честотната лента на канала за предаване; Увеличаване на амплитудата на високочестотните съставни на сигнала за компенсиране на изкривяванията от комуникационната линия. Откриване на прости грешки, възникнали при предаването.

Най-използваните линейни кодове в компютърните мрежи са кодовете NRZ – L, NRZI, AMI, HBP – n, Манчестерски и Диференциален манчестерски кодове.

Код NRZ – L (Non Return to Zero Level) се използва за предаването на 12 с положителни импулси и на 02 чрез импулси с отрицателна полярност (Фиг.21.).

Цифрово съобщение

cU

1 0 0 0 0 1 0 1 1 1 1 t

kU

t

Фиг.21. Графика на код NRZ - L

Недостатъците за този код са наличие на постоянна съставна в предавания сигнал и голяма вероятност за загуба на синхронизация при дълги последователности от 12 и 02.

Кодът NRZI (Non Return to Zero, Invert to Ones) е диференциален вариант на кода NRZ – L . Двоичните единици се кодират чрез смяна на полярността на импулса спрямо полярността на предишния импулс, а двоичните нули – със запазване на полярността (Фиг.22.). Декодирането става чрез сравняване полярността на съседните импулси: ако полярността се променя – се предава двоична 12, ако се запазва се предава двоична 02.

cU

1 0 0 0 0 1 0 1 1 1 1 t

kU

t

Фиг.22. Графика на код NRZI.

Предимства на кода NRZI са: елиминира се шума при предаването, лесно се установява смяната на полярността. Полярността на импулсите няма значение и проводниците могат да се разменят. Недостатъците са: наличие на постоянна съставна на тока в сигналите и вероятна загуба на синхронизация между предавателя и приемника при дълги поредици от 12 и 02.

Кодовете NRZ се използват основно за запис на информация върху магнитни носители. В LAN – NRZ се използват от стандарта IEEE 802.12 (100 VG – Any LAN) за предаване на данни по усукани двойки медни проводници.

Код AMI (Alternative Mark Inversion) използва се алтернативна смяна на знака на полярността на импулсите. Последователните 12 на съобщението се предават чрез импулси с еднакви амплитуди, но със сменяща се полярност, а двоичните нули се предават като липса на импулс в съответното време (Фиг.23.).

cU Цифрово съобщение

1 0 0 0 0 1 0 1 1 1 1 t

Uk

tКод AMI

Фиг.23. Графика на код AMI.

Цифровото съобщение се превръща в квазитроичен сигнал, съдържащ пренебрежимо малка постоянна съставна.

Предимства на код AMI са: кодираният сигнал има по-тесен честотен спектър от първоначалното съобщение и има възможност за откриване на грешки при предаване – ако два последователни импулса имат еднаква полярност. Недостатък е, че при дълга поредица от двоични 02 се губи синхронизацията между предавателя и приемника.

Кодът AMI се използва в ИКМ системите – ИКМ – 30 и ИКМ – 120.Код HBP – n (High Density Bipolar) е биполярен код с висока плътност на импулсите.

Той е модифициран код AMI, при който всяка поредица n + 1 последователни нули се замества с една или две кодови групи с определен брой импулси, които нарушават биполярното правило (Фиг.24.). Структурата на заместващата кодова група зависи от броя на импулсите при предходното заместване. Замяната се познава по това, че тези групи нарушават биполярното правило. Целта е да се ограничи броят на последователните 02 и да се подобри синхронизацията между предавателя и приемника.

cU

0 0 0 0 1 0 1 1 1 1 t

kU

t

Фиг.24. Графика на код HDB-3.

Код HDB – 3 е приложен в ИКМ – 30 , ИКМ – 480 и ИКМ- 1920. Всяка поредица от четири импулса се замества с един, който нарушава биполярното правило. Честотният спектър на HDB – n кодовете е половината от скоростта на двоичните елементи в съобщението и тези кодове са подходящи за използване във високоскоростни системи за предаване.

Манчестерски и диференциални манчестерски кодове са приложени в локалните компютърни мрежи. Те позволяват на приемника лесно да се синхронизира от получения от предавателя сигнал.

cU 1 0 0 0 0 1 0 1 1 1 1 t

Uk

t

Фиг.25. Манчестерски код приложен в стандарта за IEEE 802.3 Basebаnd.

При манчестерския код двоичната единица от съобщението се кодира като един положителен импулс от +0,85 V и един отрицателен от -0,85 V, всеки от които с

продължителност половината от двоичната единица. Двоичната нула се кодира по обратния на двоичните единици способ от - 0,85 V, + 0,85 V (Фиг.25.).

cU

1 0 0 0 0 1 0 1 1 1 1 t

kU t

Фиг.26. Графика на диференциален манчестерски код.

При диференциалния манчестерски код двоичните елементи се кодират също с преход на полярността, като в началото на двоичната нула се извършва преход към обратно полярност спрямо предния импулс – при кодиране на двоичната единица липсва този преход (Фиг.26.). Този код е по-шумоустойчив, но изисква по-сложен хардуер. Недостатък на двата кода е, че честотната лента се увеличава два пъти. Ако се предава със скорост 10 Mb/s е необходим канал за предаване на данни с честотна лента 20 MHz. ( стандарт IEEE 802.3 Eternet).

Алтернативни знакосменящи кодове ( 4B/5B, 5B/6B, 8B/10B и др.) се използват във влакнесто-оптичните системи за предаване на данни на големи разстояния. Обща черта на тези кодове е, че са от вида nB/mB, т.е. всяка група от n бита се кодира с група от m бита nm . Една част от кодираната група се използва за предаване на данни, а останалата – за предаване на управляваща информация, използвана от физическия слой.

Физическото предаване на битове е основната функция на физическия слой. Състои се във физическо предаване на логически структуриран поток от битове. Обикновено се изисква предавателят и приемникът да се синхронизират по фаза и да работят с една и съща честота. Това е гаранция за правилното приемане и разпознаване на двоичните сигнали от приемащата страна.

Синхронизация по битове е функция на физическия слой за синхронизиране работата на предавателя и приемника на свързаните с комуникационна линия възли от компютърната мрежа. Липсата на синхронизация води до неправилно тълкуване на приетия поток и грешка в съобщениеята. Когато не се предават данни по каналите за да се поддържа синхронизацията се използва синхронизиращ знак, който се предава от предавателя към премника за установяване и поддържане на синхронизацията. Приемникът обикновено се синхронизира от тактовата честота от приетия поток данни от предавателя.

Физическият интерфейс се реализира в зависимост от състава и структурата на управляващите сигнали, данните и препоръките на ICU (International Communication Union).

Свързването на терминалите към обществената телефонн мрежа чрез аналогови модеми става по препоръка V.224 (RS – 232C), която използва аналогова синхронизация.

За свързване на терминали по асинхронни и синхронни цифрови канали чрез телефонната мрежа за предаване на данни са разработени препоръките X.20 и X.21. При тях

интерфейсът е цифров и се предава управляващи сигнали във вид на последователни кодови комбинации. За преходни периоди, в какъвто е България е разработена препоръката X.21 bis за абонати, които се включват към цифрови мрежи по аналогови линии.

Диагностика на определен клас неизправности е функция, която включва откриване на прекъсване на проводник от линията, изключване на захранването и загуба на механичен контакт. Информация за неизправностите се предава чрез каналния слой за сигнализация и вземане на мерки за отстраняването им.

1.4.2. Функции на каналния слой

Каналният слой използва услугите на физическия слой, разширява техните възможности и ги предоставя на мрежовия слой. Основна задча на каналния слой е осигуряване на надежден канал за предаване на данни между два съседни мрежови възли и отсъствие на грешки при физическото предаване на сигналите.

Данните, които се предават се разделят на блокове – наречени кадри (frames) с дължина от няколко стотин до няколко хиляди байта. Следва последователно предаване на кадрите един след друг в канала, като обикновено се изисква потвърждение (квитанция) от приемащия възел за правилното приемане на всеки един от тях.

За откриване и евентуално коригиране на грешки в кадрите при предаване, и приемане им по канала всеки кадър се кодира с шумоустойчив код.

Във функциите на каналния слой влизат следните дейности: Генерират се специални поредици от битове (флагове) в началото и края на кадъра; Шумоустойчиво кодиране на предаваните кадри; Следи се за правилния ред на предаване и загуба на кадрите; Синхронизира се скоростта на предаване и обработка на кадрите между предавателя и приемника; Действие на механизъм за регулиране на трафика, наречен управление на потока от данни (Flow Control) – тази функция се среща и при по-горните слоеве на OSI – модела; В LAN и други мрежи, където се използва общ канал за предаване, каналният слой допълнително управлява достъпа до канала. За целта в тези мрежи каналният слой се разделя на два подслоя, по-долният (МАС – подслой) решава тези проблемите с достъпа до кнала.

Протоколите работещи в каналния слой се делят на две големи подгрупи: Протоколи с използвне на обратна връзка (ОВ); Протоколи без използване на ОВ.

Протоколите с използване на обратна връзка (ОВ) се използват в двупосочните канали, а тези без ОВ – в еднопосочните. Използват се три основни вида ОВ:

Решаваща ОВ (РОВ) - използва се шумоустойчив код за определяне правилното приемане на кадъра. Ако кадърът е приет без грашка, приемникът изпраща квитанция, ако е с грешка се изпраща заявка за повторно предаване;

Информационна ОВ (ИОВ), при която приемникът връща на предавателя приетия кадър или негово изображение, предавателят ги сравнява с оригиналния и ако съвпадат се приема, че предаването е успешно.

Недостатък на ИОВ е, че всеки кадър се предава по два пъти и съществува вероятност за възникване на грешка в двете посоки; Комбинирана ОВ (КОВ) - комбинация на РОВ и ИОВ.

От трите вида обратни връзки най-голямо приложение има РОВ, тъй като при този вид обратното направление е малко натоварено с трафик и се повишава скороста на предаване на данните. Използват се основно два вида сигнала в РОВ: Квитанции; Заявка за повторно предаване на кадри (псевдоквитанция).

Квитанциите се подразделят на частни, групови и псевдоквитанции:Частната квитанция с номер k означава, че кадърът с номер n е приет правилно

(обикновено n = nk ).Груповата квитанция с номер k означава, че всички кадри с номера kn са приети. Псевдоквитанцията с номер nk означава, че кадър с номер n не е записан в буфера на

приемника и е необходимо да се повтори предаването му. Това е и сигнал да се намали скоростта на предаване, за да не се препълва буфера на приемника.

Заявката за повторно предаване на кадри (псевдоквитанция), означава, че - приемникът иска повтаряне на кадър (кадри) приет с грешка.

1.4.2.1. Процедури за информационен обмен в каналния слой

Във всеки кадър с дължина n се предават ки - информационни бита и кс – служебни бита, където

n = ки + кс

За ефективността на използване на каналите се съди по величината eR - относителна ефективност на канала, която се определя с израза

'n

kR u

e

Където: n’ = n + брой повторени кадри при грешки; nn ' - защото в случай на приемане на не коректни кадри се налага повторение.

Процедурите на информационния обмен в канала се разделят на два класа: Предаване на кадри с постоянна дължина; Предаване на кадри с променлива дължина.

Предпочита се предаването на кадри с постоянна дължина, тъй като в този случаи каналът за предаване на данни се ползва по-ефективно. При предаването на кадри с променлива дължина за да се използва по-ефективно канала обикновенно първичните кадри се преобразуват във вторични кадри с еднаква дължина.

Постигането на достоверно предаване на кадрите по каналите се реализира с използване на следните три процедури: Процедури с изпреварваща корекция; Процедури със закъсняваща корекция; Процедури с комбинирана корекция.

В процедурите с изпреварваща корекция всеки кадър от съобщението се предва до тогава, докато не се приеме без грешка. Тези процедури не постигат добър показател на ефективност eR , но с по-голяма вероятност гарантират предаването на кадрите за

определено време. Използват се в случаите, когато се предават съобщения чувствителни към закъанението и се задават високи изисквания към закъснението на данните.

В процедурите със закъсняваща корекция, повторното предаване на кадър се изпълнява само след получаване на отрицателна квитанция или след изтичане на определения таймаут (време за получаване на положителна квитанция). При тази процедура се постига висока стойност на ефективността eR и се прилага за канали с добро качество и по-малка вероятност за грешка при предаване на данните.

Процедурите с комбинирана корекция са комбинация между горните две.

1.4.2.2. Формиране на кадри в каналния слой

Типичната структура на кадъра на комуникационна система е съставена от данни и служебна информация (Фиг.27.).

Фиг.27. Кадър на комуникационна система.

Данните в кадъра са от протоколната единица (PDU) на мрежовия слой. Полетата <ФЛАГ> служат за означаване на границите на кадъра. Полето <АДРЕС> служи за идентификиция на терминала, за който са днните при наличие на множество терминали в една мрежа. Полето <УПРАВЛЕНИЕ> се ползва за намиране на кадрите, за потвърждение на правилно приетите кадри и за други служебни цели. Контролното поле FCS (Frame Check Sequence) се използва за откриване и/или коригиране на грешки. В повечето протоколи полето <FCS> не обхваща флаговете.

Съществуват битово и байтово ориентирани протоколи в каналния слой.Байтово ориентираните протоколи са по-удобни за реализация в компютрите, но

имат по-ниска шумоустойчивост (BSC, SLIP, PPP, DDCMP).Битово ориентираните протоколи имат по-голяма свобода при избора на дължината

на кадъра и позволяват по-добро използване на пропускателната способност на канала (HDLC, LAP, LAPB, LAPD, LAFP, LAMP).

1.4.2.3. Определяне на границите на кадрите

Определянето на границата на кадрите се нарича още синхронизация по кадри. Съществуват три метода за определяне на границите на кадрите:1. Чрез преброяване на символите в кадъра.

Този метод се използва при байтово ориентираните протоколи. В служебната информация в началото на всеки кадър се посочва броят на символите в кадъра. Приемникът определя началото и края на кадъра чрез броене на символите. Недостатъци на метода са: Нарушаване на синхронизацията по кадри при загуба на символи; Чувствителност към неоткрита грешка в полето, указващо броя на символите; Предвижда се ограничение за ползване на кадри с еднакъв размер.

ДАННИ КОНТРОЛНОФЛАГ АДРЕС УПРАВЛЕНИЕ (пакет на мрежовия слой) ПОЛЕ FCS ФЛАГ

2. Чрез вмъкване на служебни символи. Използва се само при байтово ориентирани протоколи. (Протокол BSC на IBM). Използва се комбинация от два символа за начало HO SS и два за край KHKO SSSS , на кадъра.

3. Чрез добавяне или премахване на битове /двоични нули/. Този метод се използва при битово- ориентирани протоколи от семейство LAP (HDCL, LAPB, LAPD, LAPF, LAPM).

Използва се флаг 01111110 за означаване на границите на кадъра ( 02 + шест 12 + 02).Ако в полетата <АДРЕС> <УПРАВЛЕНИЕ><ДАННИ> <FCS> се появят пет последователни единици, предавателят добавя след тях една служебна 02. По този начин последователност от шест двоични единици в тези полета се преобразува в последователност от пет единици, една служебна двоична нула и една двоична единица. Последователност от пет единици се преобразува в последователност от пет двоични единици и две двоични нули, едната от които е служебна. Това преобразуване е обратимо и се извършва по следната схема:

111111 1111101111110 1111100

В приемния модул когато се преброят шест единици се установява, че това е флагът. Следващата поредица се приемат за данни от кадъра до откриване на следващия флаг, ограничаващ кадъра. Добавените в кадъра служебни нули се откриват и се премахват от втория модул на каналния слой.

1.4.2.4. Контрол на грешките в кадрите

Откриването на грешките и/или коригирането им е основна функция на каналния слой. За целта към всеки кадър на КС се добавя контролно поле (FCS). От способа за формиране на контролното поле зависи степента на шумозащитеност на кадрите. Най-често използваните способи са два: Формиране на контролна сума по някакъв модул (в TCP и IP се използва

162mod ); Използване на циклични (CRC) кодове.

При първия способ кадърът се разделя на блокове с определен размер, след което те се събират по n2mod и полученото значение се записва в полето <FCS>.

При втория способ кадърът се дели на “образуващ” полином и остатъкът от деленето се записва в полето <FCS> . В приемника се извършва аналогична операция и остатъкът се сравнява със съдържанието на полето <FCS>.

Надеждността на предаване по даден канал зависи както от типа и качеството на канала, така и от режима на използване на шумоустойчивите кодове, които могат да бъдат: С откриване на грешки; С откриване и коригиране на грешки; С частично откриване и коригиране на грешки.

Способността на кода да открива и коригира грешки зависи от неговото кодово разстояние. Колкото по-голямо е то за даден код, толкова по-голяма е неговата откриваща и коригираща способност.

В еднопосочните канали се използват главно шумоустойчиви кодове в режим на коригиране на грешки, тъй като няма обратен канал за синхронизиране на сгрешени кадри и повторното им предване. Тези канали се реализират по-сложнно и са с много висока цена.

Двупосочните канали работят в режим на откриване на грешки при лесна и евтина схемна реализация.

Контролът на грешките в кадрите се осъществява в следните режими: Режим на откриване на грешки; Режим на откриване и коригиране на грешки; Режим на частично откриване на грешки и частично коригиране; Комбинирано използване на два шумоустойчиви кода.

1.4.2.5. Повишаване на шумоустойчивостта на канала.

За повишаване на шумоустойчивостта на каналите са създадени редица схемни решения. Всяко решение има своите предимства и недостатъци.

Фиг. 28. Схема на разширен канал.

На Фиг.28. е показана схема на кодиране и предаване на данни по протокол от семейство LAP. От схемата се вижда, че шумоустойчивият код трябва да открива грешки не само в цифровия канал (ЦК) , а в сложен разширен канал (РК), който се различава от ЦК и има свои специфични грешки, тъй като шумоустойчивият код не обхваща процедурата по добавяне на нули. За повишаване на шумоустойчивостта на канала е необходимо да се приближи кодера и декодера към цифровия канал. Шумоустойчивостта на канала може да се повиши чрез размяна на местата на кодера (декодера) и процедурата добавяне и премахване на нули. След кодирането в полето <FCS> следва строго добавяне на служебни нули след всеки пет контролни бита, независимо дали са двоични нули или двоични единици. Този метод внася допълнителен излишък от четири бита в контролното поле на кадрите на каналния слой.

източникна данни/пакети/

кодирне с шумоустой-чив код

форми-ране на кадри

добавяне на нули

огранича-ване с флагове

цифров канал

получател на данни/пакети/

форми-ране на пакети

декодиране с шумо-устойчив код

търсене на

флагове

премахване на нули

Шумоустойчивостта на канала може да се повиши чрез размяна на местата на кодера (декодера) и процедурата добавяне и премахване на нули (Фиг.29.). След кодирането в полето <FCS> следва строго добавяне на служебни нули след всеки пет контролни бита, независимо дали са двоични нули или двоични единици.

Фиг.29. Схема на модифициран разширен канал.

формиране на първичен кадър

извличане на пакети от ПК

Източ-ник на данни

/пакети/

Търсене на флаго

ве

Добавя-не на

нули

Шумоустойчиво кодира

не

Формиране

на кадри

Ограничаване с флагове

СтрогоПН в

<FCS>

Строго ДН в<FCS>

Шумоустойчиводекодиране

Премах-ване на

нули

Форми-ране на пакети

Получател на

пакети

Цифров канал

източ-ник на данни

декоди-ране с

шумоустойчив код

добавя-не на нули

ограни-чаване с флагове

Форми-ране на кадри

кодира-не с

шумоустойчив

код

преобразуване на ВКК в ПК

преобразуване на ПК

във ВКК

търсене на

флагове

премах-ване на

нули

форми-ране на пакети

получа-тел на пакети

Цифров канал

Фиг.30. Схема с формиране на първични кадри и извличане на пакети от тях.

Този метод внася допълнителен излишък от четири бита в контролното поле. Получава се модифициран разширен канал, който е доста сложен и в него могат да се получат грешки от деформиране на флага и лъжливото му разпознаване. За да се избегнат тези грешки има възможност за разполагане на кодера непосредствено до цифровия канал.

В защрихованата част на схемата от Фиг. 30. са представени схемите за формиране на пъвичните кадри и извличане на пакетите от тях. След формиране на първичен кадър те постъпват на устройство за формиране на вторични кадри (ВКК) с дължина “К” бита, които се кодират с шумоустойчив код и подават към цифровия канал .

1.4.2.6. Управление на потока от данни

Потокът от данни е необходимо да се управлява (flow control) по три причини: Възможни са “деформации” в предаваните кадри и възниква необходимост от повторно предаване; Необходимо е регулиране скоростта на предаване на данните поради различия в ресурсите и скоростта на работа на предавателя и приемника; Необходимо е възстановяване на реда на следване на кадрите в приемника.

За управление на потока данни се използват основно два метода: старт-стопен метод; метод на “хлъзгащия се прозорец”.

Старт - стопен метод за управление на потока отданни. ( Alternating Bit Protocol) се прилага при използване на асинхронните модеми за свързване. В канала се изпраща само един кадър, след което се чака квитанция за правилно приемане и след получаването и се изпраща следващият кадър.

ПРЕДАВАТЕЛ t

ПРИЕМНИК t

Фиг.31. Временна диаграма на старт – стопен метод за управление на потока от данни.

Използва се механизмът на таймаута. Ако не се получи положителна квитанция в течение на зададен интервал от време, то кадърът се повтаря. Ако по обратния канал се “загуби” положителна квитанция, след таймаута се предава отново същият кадър. За да не се дублират тези кадри се използва поредния номер на кадъра в служебната част на кадъра. Този номер за всеки кадър е уникален и се съхранява при повторно предаване. Предаването на квитанцията изисква допълнително време и това се счита за недостатък.

Метод на управление “плъзгащ се прозорец”е показан на Фиг. 32. и се ползва от семейство LAP – протоколи. В канала с един прозорец се предават N кадъра един

1КВ

1КВ

1K

1K

0КВ

0КВ

0K

0K

след друг. Числото N е размер на прозореца и зависи от сумарното закъснение на сигнала в права и обратна посока. Предавателят предава прозорец от N кадъра в канала до момента на получаване на първата квитанция на приемника.

Протоколите от семейство LAP използват две широчини на прозореца от протоколни единици: нормална, при която широчина на прозореца е N = 8 кадъра и разширен прозорец, при който N = 128 кадъра.

Кадри от предавателя

t

Квитанции приетиот предавателя tКвитанции, изпратени от приемника t

Фиг.32. Временна диаграма на метода на хлъзгащия се прозорец при N= 4 (0,1,2,3,).

Метод на управление “плъзгащ се прозорец”е показан на Фиг. 32. и се ползва от семейство LAP – протоколи. В канала с един прозорец се предават N кадъра един след друг. N е размер на прозореца и зависи от сумарното закъснение на сигнала в права и обратна посока. Предавателят предава прозорец от N кадърa в канала до момента на получаване на първата квитанция на приемника. Квитанциите се издават или в съответствие с номера на кадъра или за последния кадър от групата на приетите кадри.

Контрол за състоянието на канала е функция на комуникационната система, с която се извършва оценка на текущото състояние на канала с цел осигуряване на необходимата достоверност на предаваната информация. При аналоговите канали контролът се осъществява по параметрите на сигналите, постъпващи на демодулатора. В цифровите канали контролът се осъществява по честотата на постъпване в приемника на сгрешени кодови комбинации.

Комуникационните канали се контролират, както в процеса на предаване на данни, така и при отсъствие на предаване с помощтта на специални контролни тестове.

Идентификация на предавателя и приемника чрез адреси е функци на каналния слой, с която оредавателят и приемникът в даден канал се разпознават с помощта на адреси на ниво комуникационна система. Адресите се указват в адресните полета на всеки кадър. В локалните компютърни мрежи тези адреси се наричат MAC – адреси – тъй като те се формират от долния подслой (MAC- подслой) на каналния слой.

1.5. Функции на мрежовия слой

Мрежовият слой (МС) осигурява обмяната на информация между обектите на транспортния слой. Протоколите на физическия и канален слой са локални, защото се отнасят само към едно от ребрата на графа, описващ комуникационната мрежа (между два съседни мрежови възли). За разлика от протоколите на първите два слоя протоколите на

0 21 3 4 5 6 7 8 9

0КВ 1КВ 2КВ 3КВ

3КВ2КВ1КВ0КВ

мрежовия слой са глобални, защото се реализират в подмрежата като цяло и са тясно свързани с топологията й.

Мрежовият слой има стратегически управляващи функции, като основна негова задача е да определи маршрута на пакетите от подателя към получателя им. За целта в междинните възли (рутерите) на подмрежата се използват алгоритми за оптимално маршрутизиране на базата на някякъв критерий (време или дължина на пътя за преминаване на протоколните единици през КМ).

В локалните компютърни мрежи с общ (споделен) канал маршрутизирането е просто и почти липсва. За да не се получат задръствания в мрежата от много на брой пакети, мрежовият слой се занимава и с контрол на натовареността на подмрежата. Осгурява се стабилна и гъвкава среда за взаимодействие на различни подмрежи. В слоя са вградени и тарифо-отчитащи функции за определяне трафика и дължимите сметки на абонатите, ползващи услугите на дадена подмрежа.

Мрежовият слой на крайния възел “подател” формира пакети от данни на базата на получено съобщение от транспортния слой. Когато съобщението е голямо мрежовият слой го фрагментира на пакети, чиито дължина зависи от стандарта, по който е изградена комуникационната мрежа. Части от съобщението се поставят в поле <данни> на пакета, след което към него се добавя служебна информация, необходима за правилното функциониране на мрежовия слой. Формираният пакет се предава на каналния слой и фрагменти от него попадат в полето <данни> на кадъра на каналния слой.

По избран маршрут кадърът се предава през междинни възли на подмрежата. Във всеки междинен възел кадърът се извлича от потока от данни, проверява се за грешки и се изпраща в посока на крайния възел - получател. В крайния възел протоколните единици на каналния и мрежовия слой се дефрагментират, формира се съобщението и през транспортния слой се предава за по-нататъшна обработка от горните слоеве на отворения модел (OSI). OSI – моделът определя два вида услуги на мрежовия слой:1. Мрежови услуги с установяване на логическо съединение:

Тези услуги осигуряват предаване на данни по предварително изградено логическо съединение. По този метод функционират протоколи Х. 25 и Х.75. Осъществяват се следните услуги: Установяване на съединение; Предаване на данни; Препредаване и управление на потока от данни; Потвърждаване на приемане чрез квитанция; Повторна синхронизация.

Tези услуги се ползват от транспортния слой на отворения модел – протокол Х.224 / клас 0, 2 , 4.2. Мрежови услуги без установяване на логическо съединение

Предаването на данни е опростено, но не е толкова надеждно. Съобщението се разделя на дейтаграми, всяка от които се предава независимо от останалите по различни маршрути. Съществува възможност за объркване на реда на дейтаграмите при пристигането им и затова горните слоеве имат грижата за подреждането им. Такива са протоколите IPX и IP. Основните функции на мрежовия слой са: Адресация на пакетите; Маршрутизация на пакетите; Комутация на пакетите; Управление на натоварването на мрежата.

1.5.1. Адресация на пакетите

Използва се еднозначна идентификация на адресираните обекти на мрежовия слой на модела. Приложен е йерархичен принцип на адресация на комуникационните мрежи и възлите в тях. Използват се адреси с няколко степени: Първата степен е адреса на мрежата; Второто степен е адреса на крайния възел; Третата степен е идентификатора на виканата програма или входно-изходното устройство на хоста.

Мрежовият протокол Х.25 използва 14 цифров десетичен адрес (номер) по препоръка Х.121 на ITU. Първите три цифри определят кода на държавата. Четвъртата цифра специфицира кода на мрежата, цифрите от 5 до 9 формират адреса на хоста и последните пет цифри определят вътрешния адрес на хоста. Последните две части от адреса заедно формират адреса на абоната от мрежата.

1 2 3 4 5 6 7 8 9 10 11 12 13 14

код на код адрес на хост вътрешен адрес в хост държавата на мр. адрес на абонат

Фиг.33. Структура на мрежовите адреси за протокол x.25.

Протоколът IP v 4 (версия 4 ) използва 4 байтови адреси, чиято йерархия е по-проста и се състои от две степени: първа степен адрес на мрежата; втора степен адрес на хост.

В този протокол границита между двете степени се определя от подмрежова маска.

1.5.2. Маршрутизация на пакетите

Маршрутизацията е най-важната функция на мрежовия слой. Свързана е с избор на оптимален маршрут за преминаване на пакетите през подмрежата на базата на зададен критерий. Методите за маршрутизация се делят на две големи групи: Фиксирани (статични) методи за маршрутизация; Адаптивни (динамични) методи за маршрутизация.

При фиксираните методи направлението на пакета не зависи от натоварването на сегментите на комуникационната мрежа. Използват се в подмрежите с проста топология или за магистралите на големите подмрежи. Недостатък на тези методи е неефективното използване на пропускателната способност на мрежата и съществува възможност за претоварване на някои подмрежи.

Адаптивните методи използват текуща информация за състоянието и натоварването на подмрежата. Потоците от пакети се преразпределят в зависимост от конкретното

състояние, с което се намалва средното време за закъснение на пакетите в мрежта. Междинните възли (рутерите) обменят помежду си служебна информация за дължината на опашките и натоварването на процесорите си, за състоянието на каналите и тяхната пропускателна способност, както и за наличните подмрежи в мрежата. Адаптивните методи се делят на две подгрупи:

Дистанционно-векторни алгоритми DVR (Distance Vector Routing); Алгоритми за състоянието на каналите (Link State Routing).

При дистанционно-векторните алгоритми всеки рутер поддържа таблица (вектор),

съдържаща известните му най-кратки разстояния на различните маршрути в подмрежата и заедно с номерата на съответния изходен порт за предаване на пакетите. Таблицата се обновява периодично чрез обмен на информация със съседните рутери. Разстоянието между абонатите се измерва в скокове (hops), чрез броя на междинните маршрутизатори, през които трябва да премине пакетът. Използва се и друг параметър като: времето за закъснение на пакетите в милисекунди, общата дължина на опашките на чакащите пакети, натоварването на процесора на маршрутизатора и др. Таблицата с вектори във всеки маршрутизатор се актуализира периодически. В крайна сметка всеки маршрутизатор получава обобщена информация за работещите маршртизатори в подмрежата и за разстоянието до тях. Дистанционно-векторните алгоритми работят добре само в неголеми мрежи поради големия брой итерации за актуализация и възможните изменения в конфигурацията. Такива протоколи са RIP (Routing Information Protocol) и IGRP (Interior Gateway Routing Protocol), които се използват в Internet.

В алгоритмите използващи за критерии състоянието на каналите всеки рутер изпраща на всички останали рутери в мрежата не цялата маршутна таблица, а само частта, описваща състоянието на неговите собствени канали. Тези алгоритми имат по-бърза сходимост и не образуват затворени контури на маршрутизация. При тези алгоритми всеки маршрутизатор работи по следната схема: Открива съседите си чрез специален „HELLO” пакет и научава мрежовите им адреси от пакетите – отговор от тях; Измерва закъснението чрез ехо-пакетите цената на предаване до всеки свой съсед; Конструира и изпраща broadcasting – пакет да всички маршрутизатори, съдържащ току що научената информация; Изчислява най-късия път до всеки друг маршрутизатор в подмрежата по алгоритъма на Дейкстра.

Чрез тези действия всеки рутер получава достатъчно информация за построяване на точен граф на подмрежата. Пример за такива алгоритми са: Протоколът OSPF (Open Shortest Pat First), широко използван в Internet и протокола NLSP (NetWare Link Service Protocol) от протоколния стек Net Ware (IPX/SPX) на фирма Novell.

От друга гледна точка методите за маршрутизация се делят на: Децентрализирани (разпределени) методи - При които изборът на направлението за предаване на пакета се извършва от всеки възел по информация, съдържаща се в самия възел. Централизирани методи - При които задачата за маршрутизиране се решава от определен за тази цел възел в дадена подмрежа. Съществува опасност от повреда и отказ на този възел и затова е необходимо дублиране на управляващия възел.

1.5.3. Комутация на пакетите

Комутацията на пакетите се прилага основно в глобалните (WAN) мрежи, но намира приложение и в каналния слой на локалните мрежи (LAN). Комутацията е функция на междинните мрежови възли. Тази функция е наложителна поради липса във всеки момент на пряка връзка между два крайни възела в подмрежата. Изпълнява се от комутатор/маршрутизатор показан на Фиг.34. и се състои в пренасочване на съобщението от канал на входна линия в някои канал на изходната линия. Връзката между двете линии се определя от алгоритъм за маршрутизиране.

Пакетите на предаваното съобщение постъпват на една от входните линии на комутатор/маршрутизаора записват се в буфер и по съдържанието на адресното поле и заложения алгоритъм се определя изходният порт.

Адресното поле на пакета съдържа или пълния адрес на крайния възел получател (при дейтаграмен режим) или идентификатор на виртуалното съединение (VCI), когато подмрежата използва режим на виртуално съединение.

1 12 2

N M

Фиг.34. Схема на комутатор/маршрутизатор.

При режим на виртуално съединение маршрутизиращият алгоритъм поддържа таблица със съответните значения за входен вхVCI порт и изходен изхVCI порт. Таблицата се актуализира при създаване на всяко ново виртуално съединение и при всяко разпадане на работило съединение.

1.5.4. Управление на натоварването на подмрежата

Това управление е функция на мрежовия слой, свързано е с избягване на претоварването в комуникационните мрежи, което води до влошаване на работните характеристики на мрежите. Претоварването може да има локален и глобален характер.

производителностдоставки пакети/сек. 1

2

N натоварване

генериран пакети/ сек. 'крN

"крN

Фиг.35. Графика на производителността на подмрежа.

КОМУТАТОР

МАРШРУТИЗАТОР

На Фиг.35. са представени графиките за натоварване на под мрежа, съответно графика 1 без управление на натоварването и графика 2 с управление на натоварването.

Производителността на мрежата без управление расте линейно с увеличаване на натоварването. Линейността се нарушава след препълване на буферите на рутерите при N =

'крN производителността е максима, след което когато броят на пакетите N расте,

производителността на подмрежата намалява. В подмрежа с управление на натоварването

производителността достига максимум при N = "крN и остава на същото ниво, независимо от

увеличения брой пакети.

1.4. Функции на транспортния слой.

Транспортният слой (ТС) осигурява обмен на данни между обектите на сесийния слой. Той в голяма степен подобрява качеството на обслужване на мрежовия слой. Качеството на обслужване от ТС се определя от: Максималното закъснение на съобщението в мрежата; Допустимата вероятност за грешки, неоткрити в по-долните слоеве; Производителността на мрежата; Сигурността на данните и осигуряване на приоритета им.

Главна задача на ТС е да приеме данните от сесийния слой, ако е необходимо да ги раздели на по-малки части и да ги предаде на мрежовия слой. Слоят гарантира, че протоколните единици ще пристигнат и се подредят в правилен ред в крайния възел на комуникацията.

Транспортните протоколи работят от “край до край”. Програмите, реализиращи функциите на ТС се стартират в двата крайни възела и си взаимодействат. Протоколите от долните слоеве (ФС, КС, МС) не работят от “край до край”. Те доставят информация по отделни участъци от мрежата. Всеки междинен възел има един мрежов модул и по два канални и физически модула за съгласуване със съседните възли. На практика ТС осигурява информационен обмен между приложните процеси на крайните възли. Приложните процеси в хоста си взаимодействат чрез сесийния слой, който за това взаимодействие се явява най-долен от модела. Транспортните услуги се делят на два вида: Услуги с установяване на логическо съединение (connection mode); Услуги без установяване на логическо съединение (connection less mode).

КВ1 КВ2

ТРАНСПОРТЕН ПРОТОКОЛ Х.224

МВ 1 МВ n Х. 25

7

6

5

4

3

2

1

7

6

5

2

3

4

3 3

2 2

1 1

2 2

11

LAPB

X. 21

ПОДМРЕЖА

Фиг.36. Зони на действие на физическите, канални, мрежови и транспортни протоколи.

В услугите с установяване на логическо съединение (connection mode), преди предването на информацията се установява логическо съединение между транспортните модули на двата крайните възли. Комуникационният процес се състои от три фази: установяване на съединение; предаване на данни; възстановяване на системата. В такъв режим работи протокол Х.224 за мрежи с комутация на пакети, който поддържа пет класа на обслужване: Клас “0” – елементарен клас; Клас “1” – използва се режим – “възстановяване на грешки”; Клас “2” – основен мултиплексен клас без възстановяване на грешки; Клас “4” – клас с възстановяване на мрежови грешки, откриване на транспортни грешки и мултиплексиране.

Този протокол е подобен на транспортния протокол TCP на комуникационния модел TCP/IP приложен в Internet.

Услугите без установяване на логическо съединение (connection less mode), са свързани с предаване на транспортни блокове без предварително споразумение между крайните възли на мрежата.Ползват се когато не се изисква голяма надеждност на предаването и при тях е възможна загуба на прортоколна единица или размяна на реда на следване на блоковете. Този тип грешки се възстановяват от протоколите на по-горните нива на отворения модел.

Няма пряка зависимост между транспортните и мрежовите протоколи с и без установяване на логическа връзка между крайните абонати на мрежата. Всяка от двата вида транспортни услуги може да се използва с всяка от двата вида мрежови услуги.

Когато се използва транстпортен протокол с установяване на логическо съединение (Х. 224) над мрежов протокол от същия вид (X.25) – номерирането на пакетите, проверката за грешки и предаването на квитанции се извършва от мрежовия слой и след това се повтаря от транспортния слой.

Ако се използва транспортен протокол с установяване на логическо съединение (TCP) над мрежов протокол без установяване на съединение (IP), то транспортният протокол разделя потока данни, идващ от горния слой на сегменти, които в мрежовия протокол (IP) се капсулират в IP – дейтаграми, всяка от които се предава сама за себе си. Възможно е различните дейтаграми да преминат по различен маршрут. Транспортният протокол в приемния възел се грижи за правилното приемане на фрагментите и тяхното подреждане.

Функциите на транспортния слой се делят на управляващи функции и функции, свързани с предаването на данни. Най-важни функции на слоя са:

Изграждане и разпадане на транспортни съединения, свързващи крайните възли. Най-използваният тип транспортно съединение е “от край до край” – без грешки при предаването. Възможни са и други типове като: транспортиране на

1

съобщения без гарантиране на реда за получаването им или едновременно разпръсване на съобщения до много крайни възли.

Обединяване на няколко транспортни съединения в едно мрежово или осъществяване на едно транспортно съединение по няколко мрежови съединения едновременно (мултиплексиране нагоре и надолу). В случай, когато се изисква висока производителност, транспортният слой може да поиска няколко мрежови съединения и обратно. При двата случая транспортният слой е длъжен да скрие мултиплексирането и да го направи прозрачно за сесийния слой;

Управление на последователността и целостта на транспортните блокове, предавани през транспортното съединение ( трPDU ); Откриване на процедурни грешки, извършване на тяхното частично коригиране,

издаване на съобщения за некоректни протоколни единици; Управление на потока от транспортни блокове “от край до край”; Потвърждение за правилно приетите транспортни блокове; Предоставяне на приоритети при предаване на транспортните блокове; Гарантиране на съответствие между мрежови адреси и транспортните адреси на доставяне.

Транспортният слой и всички над него се реализират само софтуерно, чрез инсталиране във възлите на мрежата на програмни модули а реализация на съответните протоколи.

1.5. Функции на сесииния слой.

Сесииният слой (СС) осъществява съединения (сесии) между два приложни процеса от различни крайни възли. Той изпълнява два вида функции: Обслужване на сесиите; Диалогова форма на предаване на данни.

Под сесия се разбира последователноста от процедури на диалог между обектите от представителния слой на крайните възли, извършван по съединения на сесийния слой.

Един обект от представителния слой може да участва едновременно в няколко сесии. Когато обект от представителния слой в един краен възел иска да се свърже с обект от представителния слой на друг краен възел, той известява за това сесийния слой, като привлича от своя страна транспортния слой за изграждане на транспортно съединение между двата възела.

Тъй като потребителите възприемат трудно транспортните адреси, сесииния слой работа със символни имена на сесиите вместо с цифровите адреси.

При създаване на дадена сесия се установяват следните съглашения: Съглашение за диалоговата дисциплина (дуплекс или полудуплекс); Договарят се кодовете на символите; Уточнява се размера на прозореца за предаване на PDU; Съгласуват се методите за криптиране или компресия на данните; Договаря се метод за възстановяване при отказ в транспортния слой (особено важно за банковите транзакции).

Основните функции, които изпълнява сесииния слой са: Установяване на сесия, определяща началото на диалога между обектите на представителния слой;

Избор на процедури за сесия, подбор на параметри и идентификация на сесии; Управление на диалога между възлите – дуплекс или полудуплекс; Възстановяване на сесия при поява на грешки от различен вид; Обмен на данни между обектите на представителния слой; Прекратяване на сесията при край на диалога; Работа с пароли за потребителите на локалните мрежи; Осигуряване на статистическа информация за работа на локалните мрежи – кой предава, колко често, дълго, кога и какво.

Сесииният слой предлага услуги с установяване на съединение, като услугите се реализират в три фази: Установяване на съединение; Предаване на данни; Възстановяване на системата.

Услугите по предаване на данни се делят на: Предаване на данни и управление на диалога; Предаване на данни за синхронизация; Предаване на данни за управление на дейности; Допълнителни услуги.

Услугите на сесииния слой се определят от ISO като логически групи от взаимосвързани услуги, които се договарят между потребителите при установяване на съединение. Функциите на сесийния се определят от препоръка Х. 215 на ITU, а препоръка Х. 225 определя функциите на сесийния протокол.

1.6. Функции на представителния слой.

Представителният слой е ангажиран със синтаксиса и семантиката на предаваната информация. Предназначението му е да извърши преобразуване на данните по отношение на техните формати, кодове и структури. При необходимост представителният слой извършва компресия и криптиране на данните.

Основни функции на представителния слой са: Преобразуване на данните; Управление на форматите; Разкриване на семантиката на данните; Форматиране на текстове (на страници); Кодиране на данните – с кодове ASC II (стандартен американски код за PC) или EBCDIC – разширен двоично-десетичен код за големите компютри на IBM; Съединение на приложните процеси с логически съединения; Защита на информацията в мрежата от неоторизиран достъп чрез шифриране.

Представителният слой предлага услуги само с установяване на съединение, които преминават през четири фази: Изграждане на сесия; Управление на вида на представянето (по име или по съглашение между процесите за определени параметри);

Предаване на данни между приложните процеси; Завършване на процедурата на представяне на данните.

Типична функция за представителния слой е кодиране на данните по съгласуван или стандартен начин. За да е възможна комуникацията между различни компютри е необходимо структурите от данни за обмен да са дефинирани по абстрактен начин съвместно с използването на стандартно кодиране при предаването им. Представителният слой функционира с абстрактни структури от данни.

При обмена на информация между потребители всяка приложна система дефинира своите съобщения и структура от данни, като използва език с абстрактен синтаксис ASN.1 (Abstract Syntax Notation) по ITU – препоръка Х.208. Синтаксисът на езика ANS.1 e както в езика Pascal.

Потребителите могат да се договарят по между си за набор от абстрактния синтаксис, който ще се използва при предаване.

1.7. Функции на приложния слой.

Приложният слой осигурява средствата за достъп на приложните процеси до OSI – обкръжението. Реализира се чрез набор от програми, всяка от които осигурява вид мрежово обслужване ( FTAM, VT, MOTIS, CMIT,MMS и др.).

Всички слоеве на OSI- модела се грижат за функционирането на приложния слой. Той осигурява взаимодействие между приложните процеси в един или няколко хоста.

Под приложен процес се разбира елемент на системата, който извършва обработка на информацията в съответствие с основната целева функция на системата. Пример за приложен процес са: Работа на оператор на компютър с терминал; Изпълнение на програма с компютър; Сбор на информация за състояние на обект с цел управление; Разпределени изчисления в компютърната мрежа.

Представителният слой определя формата за представяне на данните, а приложният слой определя съдържанието на информацията. Услугите, които извършва приложния слой са: Прехвърляне и изпълнение на задания – протокол JTM (Job Transfer and Manipulation); Достъп и управление при предаване на файлове FTAM (File Transfer, Access and Management); Електронна поща – протокол MOTIS /X. 400 (Message Text Interchange Standart; Програмируема логика и управление на работата – протокол MMS(Manufacturing Message Specification); Виртуален терминал – протокол VT (Virtual Terminal); Управление на мрежата (Network Management) – CMIS, CMIP; Обслужване на директории (Directory Service) – Х. 500; Отдалечен достъп до база данни – RDA (Remote Database Access); Отдалачени операции – DTP (Distributed Transaction Processing).

Протоколите, които се използват в приложния слой на отворения модел са следните:1. Протокол ACSE за асоциативна управление на услугата. Осигурява общ набор от услуги за останалите приложни протоколи. ACSE осигурява общите параметри на приложния протокол, като приложни заглавия и представителни адреси.2. Протокол FTAM (File Transfer, Access and Management) – за достъп и управление при предаване на файлове. Този протокол преодолява несъвместимостта между различните файлови системи и обмена между тях. Протоколът FTAM осигурява следните услуги: Създаване и изтриване на файлове; Четене и запис на файлове; Четене и промяна на файлови атрибути; Търсене на запис от файл.

Услугите на протокола FTAM са предназначени за следните видове файлове: Текстови и двоични файлове; С последователен и произволен достъп; С индексиране по един ключ; Файлове от директории.

3. Протокол VT (Virtual Terminal) – протоколът се използва осигуряване на услуги за емулиране на виртуален терминал. Чрез него се преодолява несъвместимостта при взаимодействие на терминали от различен вид. Симулира се абстрактен мрежов терминал като посредник между различните терминали. За всеки терминал се създава програма, която преобразува функциите на симулирания мрежов терминал във функциите на реалния терминал. Протоколът VT се състои от две части – VT – клиент и VT- сървър, в зависимост от това дали информацията се въвежда от клавиатурата или се получава от мрежата.

Съществуват два режима на работа: S – режим – синхронен режим, при който VT – клиент и VT – сървър работят последователно; А – режим за едновременна комуникация – VT 100 терминална емулация.

4. Протокол MOTIS/X.400 за обмен на съобщения. MOTIS (Message Text Interchange Standard) позволява на потребителите обмен на пощенски съобщения. Всяко съобщение се състои от плик и съдържание. Пликът съдържа служебна информация за доставка на съобщението до получателя. Съдържанието се състои от части, които се представят в един от следните формати:

ASC II – код; EDI – електронен обмен на данни; ODA/ODIF – архитектура на офис документи за обмен; GGM – мегафайл на компютърна графика; IGES – данни за дефиниране на софтуерния продукт.

MOTIS е по препоръка на ITU – X.400, която има две версии: Версия 1984 г . – използват се отдалечени операции и услуги за надеждно предаване, при директни комуникации на сесийните слоеве; Версия 1988 г. – с елемент за обслужване на отдалечени операции от приложния слой.

Препоръка Х. 400 предлага повече средства за контрол в сравнение с протокола SMTP на Internet за E-mail, като предоставяне на подателя на информация за това дали съобщението е пристигнало до получателя, дали е прочетено или не, дали е изтрито и дали е направен отговор.5. Протокол Х. 500 за обслужване на директории. Протоколът Х. 500 осигурява достъп до съхранена информация за мрежови обекти: потребители на мрежовите, ресурси (принтери, пощенски кутии и др.); мрежовите приложения (FTAM) и др. Необходимо е да се спазват следните изисквания: Обръщението към обектите в мрежата може да става само по име; Имената на обектите са динамично свързани с тяхното разположение и адрес; Потребителят може да направи търсене тип “жълти страници”, основаващо се само на един критерий за търсене.

Протоколът Х.500 предлага сигурен глобален достъп до информационното хранилище (директория), независимо дали базата данни се намира на един компютър или е разпределена.6. Протокол CMIP (Common Management Information Protocol) за управление на мрежата. Администраторът на мрежата се нуждае от механизъм за задаване конфигурацията на мрежата, мрежовите ресурси и осигуряване на сигурността на достъп до тях. Мрежовият администратор наблюдава непрекъснато нейните ресурси и отстранява възникналите грешки и проблеми.

ISО е дефинирала пет области за управление на компютърната мрежа: Управление на конфигурацията на мрежата – включва първоначално инсталиране на хардуера и софтуера и определяне на параметрите й; Управление на производителността – включва събиране, съхранение и обработка на информацията за мрежата; Управление на грешките и неизправностите, възникналипо комуникационните линии по време на работа; Управление на отчетността и използването – средство за натрупване на отчетна информация за използването на мрежовия ресурс; Управление на достъпа и сигурността на информацията – включва средства за управление на достъпа на потребителите до мрежовите ресурси – чрез потребителски идентификатори и пароли, ограничения по време за достъп и т.н..

ГЛАВА 2: ЛОКАЛНИ КОМПЮТЪРНИ МРЕЖИ

2.1. Класификация и топология на локалните компютърни мрежи.

Локалната компютърна мрежа (LAN) е високоскоростна програмно-техническа система за предаване на информация, която дава възможност на компютрите и терминали да комуникират на малки разстояния и да ползват общи информационни и апаратни ресурси. Съществуват два вида ресурсите в локалните мрежи: Локални – на работните станции и терминалите; Мрежови – на сървърите.

Мрежовите ресурси в локалните компютърни мрежи са: Процесорно време; Памет; Файлове с данни и програми; Входно/изходни устройства (принтер, плотер, модем).

Крайните възли на локалните мрежи са два вида: Работни станции; Сървъри.

Освен тях може да има междинни мрежови възли като: повторители; концентратори; комутатори; мостове; маршрутизатори; шлюзове и др.

Работна станция е произволен компютър или терминал, чрез който се осъществява достъп до мрежови ресурси.

Сървър е РС, който предоставя ресурси на работните станции и управлява компютърната мрежа. Възможно е един РС да работи и като работна станция и или сървър в компютърни мрежи с равноправен достъп (per-to per).

Под сървър трябва да се разбира приложен процес (програма), реализиращ дадена мрежова услуга. Възможно е на един и същ компютър да се инсталират няколко сървъра едновременно. Съществуват следните видове сървъри:

Файлов съръвър – програма, позволяваща достъп до файловата система на дадения компютър за съхранение и извличане на файлове и програми;

Принт-сървър – програма, стартирана на компютър, позволяваща свързаният към него принтер да се използва като мрежов от работните станции. Принт-сървърът защитава достъпа до мрежовия принтер чрез парола или го предоставя за определено време;

Сървър за асинхронна комуникация – програма, стартирана на компютър, към портовете на който са включени няколко модема. Програмата позволява едновременно ползване на модемите от работните станции;

Сървър за отдалечен достъп ( RAS - сървър) – програма, осигуряваща достъп до локална компютърна мрежа от отдалачен компютър чрез модем и телефонна линия;

Сървър за електронна поща – програма, управляваща пощенските кутии на потребителите в компютърната мрежа;

Факс – сървър – програма за управление, изпращане и получаване на факсимилни съобщения към и в самата компютърна мрежа;

Сървър за база данни – програма, реализираща ядрото на система за управление на база от данни като: избор; четене; сортиране; актуализиране;

Сървър за приложни програми - необходимо е съответните програми да се закупят с лиценз за достъп и едновременна работа на определен брой клиенти. Сървърът изпраща работно копие на приложната програма до работната станция – заявител.

Основните предимства при използването на локалните компютърни мрежи са: Осигуряване на общ ресурс с цел намаляване на цената на апаратната част; Чрез мрежовия ресурс се повишава ресурса на евтините работни станции; По-ефективно се използва дисковото пространство; Възможност за използване на обща база от данни; Удобство при разработка на колективен проект; Възможност за електронна комуникация между потребителите; Възможност за връзка с други локални и глобални компютърни мрежи; Защита на данните и файловете от нерегламентиран достъп.

Локалните компютърни мрежи се класифицират по различни показатели, признаци и стандарти. В теорията и практиката са се наложили следните видове мрежи: Компютърни мрежи с равноправен достъп; Компютърни мрежи тип клиент – сървър; Комбиниран вид компютърни мрежи.

В компютърни мрежи с равноправен достъп - Фиг. 37., всички участници са равнопоставени, и в един момент един компютър може да действа като сървър, а в друг-като клиент. Достъпът до общите мрежови ресурси не се администрира от отделен сървър, както е при мрежите тип клиент-сървър. Този тип мрежи се използва, когато броят компютри е сравнително малък и няма нужда от централизирано съхраняване на файлове и мрежови приложения. Поддръжката на този тип мрежа е вградена във всички версии на мрежови операционните системи на Microsoft: Windows 95, 98, 2000 и XP, включително и в Home

edition. Към другите предимства на този тип мрежи можем да отнесем ниската цена на изграждане, лесното администриране на всеки отделен компютър (възел), липсва необходимост от мрежов системен администратор, който би трябвало да се грижи за конфигурирането и администрирането на мрежата.

Фиг.37. Компютърна мрежа с равноправен достъп

В мрежите тип клиент – сървър – Фиг.38. предназначението на отделните машини е фиксирано от самото начало-може да има един (или няколко) сървър(а), управляващ(и) достъпа до ресурси и услуги на свързаните към него работни станции. На сървъра могат централизирано да се съхраняват файлове и приложения, достъпни за използване от всеки компютър, което предполага, че ако сървъра е включен, всеки от компютрите-клиенти може да получи достъп до файловете във всеки един момент. Нивото на сигурност в една машина от този тип може да бъде относително лесно повишено благодарение на централизираното управление, обикновено извършвано от мрежовия администратор, който освен това, може да се грижи и за централизирано архивиране на данните, инсталирането на приложения, администрирането на потребителите и т.н. Мрежите от този тип освен, че са по-бързи от мрежите с равноправен достъп, позволяват включването на повече устройства (не само компютри, но и мрежови принтери и др.), достъпът до които е по-бърз, отколкото при мрежите с равноправен достъп. От друга страна, оборудването за изграждане на този тип мрежи е в пъти по-скъпо. За изграждането и администрирането им е необходим мрежов администратор, който, освен всичко друго, трябва да се занимава и с въпросите на сигурността, особено ако мрежата е свързана към Интернет или към друга глобална мрежа.

Фиг.38. Компютърна мрежа тип клиент – сървър.

Комбиниран тип мрежи – Фиг.39., е комбинация от горните два типа-мрежа с равноправен достъп и мрежа клиент-сървър. Много често поради спецификата на задачите, които се изпълнават в рамките на една организация, този тип мрежи е за предпочитане. Една обособена част от мрежовите устройства, създадени като работна група, образуват мрежа с равноправен достъп, в която ресурсите се споделят между тях, без да се ангажира сървъра. Същевременно, същите компютри са свързани и към сървър, който е част от мрежа тип клиент-сървър. Така, от една страна сървърът контролира първостепенните ресурси, необходими на цялата мрежа, а от друга, не отделя ресурси за управлението на устройства, необходими за работата само на компютрите от работната група, свързани в мрежа с равнопоставен достъп.

Фиг.39. Комбиниран тип компютърна мрежа.

Tопологията на компютърните мрежи е начинът, по който физически (пространствено) и логически са разположени устройствата и мрежовите връзки. Най-широко са разпространени следните топологии: Топология тип звезда (star); Топология тип кръг (ring); Топология тип шина (bus); Топология тип дърво(tree); Директна връзка (mesh).

Топология тип “ЗВЕЗДА” е показана на Фиг.40. Крайните мрежови възли са свързани към централен възел (концентратор/комутатор) във вид на звезда. Предимство на топологията е, че лесно се добавят нови крайни възли. Недостатък е, че при повреда на централния възел локалната компютърна мрежа престава да функционира;

Фиг.40. Компютърна мрежа тип „звезда”.

Топология тип “ДЪРВО” - в основата и стои главен концентратор, към който са свързани крайните мрежови възли и концентратори, разположени на различни нива. При повреда на някой концентратор от второ и трето ниво излиза от строя само тази част от мрежата, която се управлява от съответния концентратор;

Топология тип „ ШИНА” – Фиг.41., е шина (кабел) за данни, към която са свързани отделните мрежови възли. Основно предимство е лесно добавяне на нови мрежови възли и при повреда на някой възел не влияе на останалите. Основен недостатък на тази топология е неефективната защита на информационните ресурси на възлите от мрежата;

Фиг.41. Компютърна мрежа с топология тип „шина”.

Топология тип “КРЪГ” - Фиг.42. Възлите на мрежата са свързани в кръг. Покриват се големи разстояния и са подходящи приложение на оптични комуникационни линии. Неудобство е, че трудно се добавят нови възли към мрежата и повреда в един възел води до разпадане на мрежата ако не се използват специални съединители за възлите.

Фиг.42. Компютърна мрежа с топология тип „кръг”

2.2. Кабелна система на локалните компютърни мрежи.

Кабелната система на локалните компютърни мреж се дефинира от физическият слой на отворения модел за комуникации. Чрез кабелите се свързват отделните мрежови възли, като за целта всеки мрежов възел притежава една или повече мрежови адаптери. Основните видове кабели, които се използват в LAN са: Кабели с усукана двойка проводници (twisted pairs);

Влакнесто-оптични кабели (fibre optic).

Кабелиte с усукана двойка проводници (twisted pairs) се състоят обикновено от четири двойки медни проводника в обща защитена среда. Усукването се използва за компенсиране на шума, индуктиран в проводниците от външните електромагнитни полета. Медните кабелите са евтини, но се ползват за комуникации на малки разстояния. Съществуват два вида медни кабели: Екранирани кабели (STP) ; Неекранирани кабели (UTP).

Неекранираните кабели се делят на пет категории. Категория 5 (UTP – 5) позволява предаване на данни със скорост до 100 Mb/s на разстояние до 100 m, UTP – 3 позволява предаване с 10 Mb/s до 100 m разстояние.

Коаксиални кабели (coax) са кабели с меден вътрешен проводник, обвит с изолационен материал, върху който има медно-алуминиева оплетка и най-отгоре с външна обвивка. Външният проводник е метален екран и служи за защита от електромагнитни влияния. Тези кабели са по - скъпи, покриват по-големи разстояния и се класифицират като: Дебели Ф13 и тънки Ф6; Широколентови 75 и тяснолентови 50 ; Поливинилхлоридни (PVC) и пожароустойчиви.

Влакнесто-оптичните кабели (fibre optic) се състоят от отделни влакна, състоящи се от цилиндрична кварцова сърцевина, облицована със стъклена обвивка и защитна външна обвивка. Сигналите се пренасят по сърцевината под форма на модулирани светлинни импулси. Те са с най-висока устойчивост на външни електромагнитни влияния – осигуряват предаване на данни с големи скорости и на големи разстояния.

2.3. Слоеве на локалните компютърни мрежи от OSI - модела.

2.3.1. Физически слой на локалните компютърни мрежи

Функциите на физическия слой на локалната компютърна мрежа са: Синхронизация на потока от данни по битове; Кодиране в линията за предаване на данни; Физически достъп до възлите на мрежата; Предаване или приемане на поток от битове.

Тези функции в локалната мрежа се изпълняват от мрежовия адаптер на мрежовия възел. В този слой на мрежата са включени и спецификацията на топологията и типа на средата за комуникация.

2.3.2. Канален слой на локалните компютърни мрежи

Тъй като в локалните компютърни мрежи се ползва обща комуникационна среда, каналният слой е разделен на два подслоя: Горен подслой – за управление на логическия канал - LLC (Logic Link Control);

Долен подслой – за управление на достъпа до комуникационната среда - MAC (Media Access Control) .

Функциите на каналния слой в LAN се реализират от мрежовия адаптер. Той се инсталира в слота за разширение на крайния мрежов възел.

MAC - подслоят управлява разпределението на комуникационната среда между мрежовите възли. При предаване MAC – подслоят получава от LLC - подслоя LLC- блок данни, които се вграждат в поле <данни> на кадъра. Към кадъра се добвят: MAC – адреса на подателя и MAC- адреса на получателя. Следва кодиране на тези полета с шумоустойчив код и запис на контролното число в контролното поле. Кадърът се ограничава с флагове и се предава на физическия слой, който го предава на получателя във вид на структуриран поток от данни. MAC – подслоят на получателя разпознава MAC – адреса и ако не се открият грешки при предаването, кадърът се предава към LLC – подслоя на приемащия възел за по-нататъшна обработка.

LLC – подслоят получава пакети от мрежовия слой, формира и номерира LLC- блокове, контролира и коригира грешки и допълнително определя последователността на кадрите. По заявка от мрежовия слой прекъсва връзката с комуникационната среда. Функциите на LLC – подслоя съгласно стандарт IEEE 802.2 се състоят от три типа услуги: Тип 1 (LLC1) – осигурява се предаване на данни между два мрежови възела без установяване на логическо съединение и без потвърждение (дейтаграмен режим без потвърждение). Коригирането на възникналите грешки се извършва в по-горните слоеве; Тип 2 (LLC 2) – за предаване на данни между два възела с установяване на логическо съединение (режим на виртуално съединение). Използва се методът “плъзгащ се прозорец” с размер на прозореца 8 или 128 кадъра; Тип 3 (LLC3) – за предаване на данни без установяване на логическо съединение, но с потвърждение.

Стандарт 802.2 групира тези типове услуги в 4 класа: клас 1 – услуга тип 1 (LLC 1); клас 2 - услуги тип 1 и 2; клас 3 – услуги тип 1 и 3; клас 4 – услуги тип 1, 2 и 3.

1 байт 1 байт 1 2 байта

Фиг. 43. Структура на LLC – блок.

Полета <DSAP> (Destination Service Access Point) и <SSAP> (Source Service Access Point) идентифицират протокола на по-горния (мрежов) слой, като по този начин позволяват в една и съща мрежа да се използват различни протоколни стекове.

Полето <данни> съдържа данни от пакета на мрежовия слой;Полето <управление> съдържа управляваща информация за правилно

функциониране на LLC – подслоя.

DSAP SSAP ДАННИУПРАВЛЕНИЕ

2.4. Международни стандарти за физически и канален слоеве на LAN.

Международните стандарти за физическия и канален слоеве на LAN са създадени от компютърното общество на международната организация на електроинженерите IEEE и имат означение IEEE 802.Х: Стандартът IEEE 802.1 – съдържа общи постановки и обяснения; Стандартът IEEE 802.2 описва горния LLC –подслой на каналния слой; Стандартите IEEE 802.3, 802.4, 802.5, 802.11, 802.12 описват различни типове локални компютърни мрежи. Само стандартът IEEE 802.6 описва регионалната компютърна мрежа (MAN). Всички стандарти имат спецификация на физическия и MAC – подслой на каналния слой.

2.4.1. Стандарт IEEE 802.3 (Ethernet).

Стандартът IEEE 802.3 е най-използвания в практиката и съдържа създадения преди това стандарт Ethernet от фирмите INTEL, XEROX и DEC. Физическият слой на стандарт IEEE 802.3 описва LAN с логическа топология тип “ШИНА”. Скоростта на предаване на данни е 10 Mb/s , а в последните версии са достигнати скорости от 100 Mb/s и 1 Gb/s. Използват се два метода на предаване на данни: директно цифрово предаване (baseband); модулирано аналогово предаване (broadband).

При директното цифрово предаване на данни се използва цялата честотна лента на комуникационната линия – или само един канал за предаване. Сигналът е цифров, кодиран с манчестерски или диференциален манчестерски код. Предава се едновременно в двете посоки. Покриват се малки разстояния поради затихването на сигнала в комуникационния канал.

При модулираното аналогово предаване на данни се осигурява повече от един канал. Честотната лента на кабела се разделя на отделни канали, по които се предават аналогови сигнали от различни възли. Предаването се извършва само в една посока на шината, след което следва превключване в обратна посока с друга честота. Този начин на предаване се нарича разделено-модулирано предаване (mid-split-broadband). По стандарта IEEE 802.3 е възможен и друг вариант на предаване – с използване на два кабелни канала (dual-cable-broadband) – единия за предаване, другия за приемане. В този случай предаването и приемането се извършва на една честота.

Стандартът IEEE 802.3 има различни версии, които ползват общото обозначение <V>, <метод>, <L>, където: V е скоростта на предаване в Mb/s; Метод – Base за директно предаване и Broad за модулирано предаване; L е дължината на сегмента (кабела между 2 съединения на терминатори) в метри.

Когато са използвани обозначенията: 4,, TTTL x (Twisted pair) това означава, че в LAN се използват кабели с

усукана двойка проводници; xFFL , това означава, че в LAN се използва влакнесто-оптичен кабел (Fibre

optics).

При стандартите 10 Base T и 10 Base F физическата топология е “ЗВЕЗДА” , но логическата топология остава “ШИНА”.

Мрежовите възли се свързват към концентратор (HUB), който изпълнява роля на множествен повторител. Стандартът 10 Base T използва за връзка две неекранирани усукани двойки проводници - една за предавани, другата за приемане. При стандартът 10 Base F се използва двойка оптични влакна (едното за предаване, другото за приемане).

Концентраторите могат да се свързват йерархично най-много до три нива – Фиг.44.. На първо ниво има само един главен концентратор и той работи като множествен повторител. Останалите концентратори имат по един UP – порт за връзка с горния концентратор (HUB) и няколко DOWN – порта за връзка с концентратори, сървъри или работни станции от по-ниско ниво.

При постъпване на кадър на един от DOWN – портовете на концентратора той го пренасочва през своя UP - порт към горния концентратор. Обратно, при постъпване на кадър на UP – порта (от горе), той го разпръсва надолу чрез своите DOWN – портове. По този начин се съхранява логическата шина и генерирания кадър от някои възел достига до останалите възли, а в случаи когато два възела генерират едновременно кадри възниква конфликтна ситуация.

ГЛАВЕН HUB

2-РО НИВО

3-ТО НИВО

Фиг.44. Схема на локална мрежа на три нива по стандарта изградена по стандарт 10 Base Т терминатор 10 Base 5 терминатор

10 Base T

Фиг.45. Приложение на мрежа 10 Base 5 като гръбнак за мрежа 10 Base T .

Необходимо е да се спазва правилото, че между всеки два възела в мрежата може да има не повече от четири концентратора. Ако това условие не може да се изпълни, се поставя комутатор за разделяне сегментите на мрежата.

Пример за смесена версия на стандарт IEEE 802.3 е показана на Фиг 45. В този случай се спазва правилото 5 – 4 – 3, което означава: Между две работни станции или сървъри може да има само пет кабелни участъка (сегмента); Между две работни станции може да има само четири концентратора; Между две работни станции може да има само три секции с работни станции (сървъри). През юни 1995 г. IEEE одобри нова версия на стандарта 802.3.u (Fast Ethernet), работещ на 100 Mb/s. Това е допълнение към стандарта 802.3. През юни 1998 г. IEEE одобри стандарта 802.3.z (за влакнесто-оптични кабели). През март 1999 г. IEEE одобрява стандарта 802.3.ab за UTP кабели категория 5. Тези стандарти са известни като Gigabit Ethernet за предаване на данни със скорост до 1 Gb/s.

2.4.1.1. МАС – подслой на стандарта IEEE 802. 3.

В стандарта IEEE 802. 3. МАС - подслоя се управлява от протокол CSMA/CD – (Carrier Sense Multiple Access With Collision Detection) т. е. множествен достъп с откриване на носещата честота и разпознаване на конфликтите. Протоколът допуска, че всички мрежови възли са равноправни. Всички предават по общата комуникационна среда, като се състезават помежду си. Възлите в мрежата сами разпознават дали шината е заета или свободна.

След заявка от по-горен слой протоколът CSMA/CD формира кадър, който се предава едновременно в двете посоки на шината. Възможно е в този момент и друг възел да установи, че шината е свободна и той да изпрати кадър, тъй като сигналът от първия възел се разпространява със закъсняване. В този случай възниква конфликт между двата кадъра. Налага се мрежовите адаптери да “подслушват” канала докато предават съобщения. След конфликт, възелът разпознал конфликта предава по комуникационната среда заглушаващ сигнал. Всеки възел, участвал в конфликт, изчаква различен интервал от време, генериран по случаен закон преди отново да изпрати нов кадър. След шестнадесет неуспешни опита мрежовият адаптер изпраща към горните слоеве сигнал за инициализация на мрежата. Ако при разпространение на кадъра в шината няма конфликт, той се приема от получателя и каналът се освобождава. При скорост на предаване 10 Mb/s поради наличие на конфликти и време за изчакване на практика реалната скорост намалява до 1 3 Mb/s.

7 1 2 V 6 2 V 6 2 0 1500 46/0 4 байта

Фиг. 46. Формат на кадър на МАС подслоя за протокол CSMA/CD.

Всъпи-телна част

Начален ограни-чител(SFD)

МАС –адрес на

В. по-лучател

МАС –адрес на възел-

подател

Дължи-на

ДанниLLCблок

PAD Контролно поле (FCS)

Встъпителната част на кадъра (Фиг.46) е от седем байта, всеки от които има стойност (10101011)2 и заедно с <началния ограничител > (10101011)2 се използват за синхронизация и определяне началото на кадъра. МАС – адресът на възела-подател се ползва от получателя, за да определи от кой възел идва съобщението. МАС – адресът на получателя определя за кой възел е съобщението. Ако първият бит е 0, то кадърът е за един получател. Ако първият бит е 1, то кадърът е предназначен за група получатели (multicast адресиране). Ако всички битове са 1 – кадърът е предназначен за всички възли в мрежата (broadcast адресиране). В полето <дължина > се посочва дължината на полето <данни>. То може да е от 0 до 1500 байта. Ако данните са с дължина, по-малка от 46 байта, се използва полето <PAD> за допълване на поле <данни> до 46 байта. Ограничението от минимална дължина на поле <данни> 46 байта се налага, за да има достатъчно време да се върне заглушаващият сигнал при конфликт. Полето <FSC> се използва за кодиране на данните (без първите две полета) с шумоустойчив код (CRC – 32) , което дава възможност на възела-получател да установи дали кадърът е приет с грешки или коректно.

2.4.1.2. Комутирани локални мрежи, изградени по стандарт IEEE 802. 3.

Стандартът позвалява локалните компютърни мрежи да се комутира, в резултат на което комуникационната среда престава да е обща. При достигане на максималния капацитет на мрежата се използват комутатори, които обикновено се поставят на мястото на концентраторите.

Комутаторът е устройство с високоскоростна вътрешна комутационна матрица. Когато мрежов възел, свързан към комутатора изпрати към него 802.3 – кадър, той проверява дали възелът, за който е предназначен, е свързан в мрежата на подателя. Всеки комутатор има от 4 32 линейни платки, всяка от които има 1 8 порта. Когато получателят е свързан към същата линейна платка, кадърът се копира (предава) директно към съответен порт, без да се използва вътрешната комутационна матрица. В противен случай кадърът се предава чрез матрицата към съответната линейна платка, а тя го предава към порта на получателя. Когато към порта на комутатор е свързан концентратор, отделните възли, включени към него, се състезават помежду си за достъп до порта, както при некомутираните 802.3 компютърни мрежи. В случай когато на два и повече порта на една линейна платка постъпят едновременно различни кадри, се използват два начина за решаване на такива конфликти:

В първия случай не се разрешава едновременно предаване на кадри и всяка платка може да извършва само една комуникация;

Във втория случай всички портове на една линейна платка могат да предават кадри едновременно. За целта всеки порт се буферира с RAM памет и кадрите се натрупват в съответен буфер. По този начин производителността на комутираната мрежа се увеличава.

2.4.2. Стандарт IEEE 802.4 (Token Bus).

Стандартът използваза комуникационни линии с коаксиални кабели. Сложен е за изпълнение и подръжка и рядко се е прилагал в миналото.

2.4.2.1. Физически слой на IEEE 802.4.

Стандартът описва локална компютърна мрежа с физическа топология тип “шина”. Линиите за предаване на данните са изградени от широколентов коаксиален кабел с вълново съпротивление R = 75 . Използват се два режима на предаване на данни: Немодулирано аналогово предаване (carrier band); Модулирано аналогово предаване (broad band).

При немодулираното аналогово предаване по кабел се осигурява само един канал със скорост 5 Mb/s. Дължината на сегмента е 700 м при максимален брой на възлите – 32.

При модулираното аналогово предаване се осигуряват няколко канала при скорост 10 Mb/s за всеки канал.


Този подслой използва протокола Token Bus. Достъпът се реализира чрез управляващ маркер. Това е специален кадър – щафета, който се предава от възел на възел.

1 1 1 2 или 6 2 или 6 0 8182 4 1 байт

Фиг.47. Формат на кадъра на протокола Token Bus.

Само възелът, който притежва маркера има право да предава данни към останалите, като всеки възел знае адресите на съседите си. При инициализация на мрежата пръв има право да притежава маркера и да предава възелът с най-голям адрес.

Всеки възел владее маркера за определено време, след което го предава на съседа с по-малък адрес. За това време се предават кадрите (Фиг.47.), с данните към възела, за който са предназначени. Когато даден възел няма кадри за предаване, маркерът се предава на следващия възел. След като маркерът се изпрати към следващия възел се получава потвърждение за получаването му. Ако след второто изпращане на маркера не се получи потвърждение, се изпраща специален кадър “кой е следващият”. Ако и тогава не се получи потвърждение, в шината се изпраща запитване “търся заместник”. Очаква се произволен възел да се обади и да приеме маркера.

По протоколът Token Bus може да се използва приоритетна схема. Някои възли могат да се изключат и да не получават право на маркер за предаване, а само да приемат.

Недостатък на този протокол е, че локалната мрежа трудно се реконфигурира, защото трябва да се пренастройват и описват съседните възли.

2.4.3. Стандарт IEEE 802. 5 (Token Ring)

Стандарт IEEE 802.5 (Token Ring) възниква през 1985 г. на базата на стандарта Token Ring на фирмата IBM.

2.4.3.1. Физически слой на стандарт IEEE 802. 5

Встъпи-телна част

Начален раздели-

тел

Управ-ление

МАС –

Подател

Адреси

Получа-тел

ДанниКонтрол-но поле

FCS

Краен раздели-

тел

Стандартът описва локална компютърна мрежа с логическа топология тип “кръг”. При нея сигналът обхожда в кръг последователно всички възли. Физическата топология може да е от друг тип, най-често “звезда”.

Разстоянията, които се покриват са по-големи от тези при стандарти 802.3 и 802. 4, тъй като когато сигналът преминавайки през възелите се формира и усилва.

Използва се само режим “директно предаване”. За комуникационните линии се използват се кабелите: Неекранирани усукани двойки (UTP) със съединители RJ – 45; Екранирана усукана двойка (STR) със съединители RJ – 45 или с MIC на IBM; Коаксиален кабел; Влакнесто – оптичен кабел.

Скоростта на предаване за стандарта е 16 Mb/s или 4 Mb/s. По кабел UTP се постига скорост до 4 Mb/s.

Крайните възли се свързват към кръга чрез специални съединителни устройства MAU (Multistation Access Unit). Чрез съединителите MAU може да се изключва повреден краен възел, с което се запазва целостта на мрежата.

В една LAN по този стандарт може да има до 33 броя съединители тип MAU. Разстоянията между възела на мрежата и MAU – съединителя трябва да е минимално 2, 5 м. и максимално – до 100 м за кабел STP и 45 м за кабел UTP. Допуска се дължина на кабела между два съседни MAU – съединители до 150 м. и до 750 м. с използване на междинен усилвател (повторител).


В МАС – подслоя на стандарта се използва протокола Token Ring . Управлението на достъпа става с маркер. Маркерът се генерира при инициализиране на мрежата, след което той циркулира по кръга само в една посока. Право на комуникационната среда има само възелът, който владее маркера. Когато един възел иска да владее маркера с цел предаване, в полето АС (Фиг.48.), в мркера се променя един бит, с което маркерът се превръща в начало на кадър на този възел. В този момент във възела се пуска таймер, с който се определя времето, за които възелът може да задържи маркера. Излъчените кадри преминава последователно през всички възли, но само възелът-получател ги копира в паметта си. Когато последния кадърът достигне до възела – подател, служебния маркер се освобождава и преминава към следващия възел. За правилното изпълнение на процедурите се грижи специална мониторна станция. За тази цел един от крайните възли на мрежата премахва „забравени кадри” и въстановява изгубени маркери.

Протоколът Token Ring има предварително зададено максимално време за закъснение на кадъра, поради което е удобен за работа в реално време.

В LAN с по-висока скорост (16 Mb/s) се използва методът на “предварително освобождаване на кадъра”. Възелът – подател не чака последния кадър да “направи кръг”, а щом го предаде в мрежата, веднага предава служебния маркер към следващия възел.

Начален ограни-чител

(SD)

Управ-ление на достъпа

(AC)

Управ-ление на кадъра

(FC)

МАС –адрес на получа-

теля(DA)

МАС- адрес на подате-

ля(SA)

ДанКон-

тролно поле(FCS)

Краен ограви-чител(ЕD)

Състоя-ние на кадъра

(FS)

1 B 1 1 2 v 6 2 v 6 пром. 4 1 1 байт дължина

Фиг. 48. Формат на кадъра на МАС подслоя за протокол Token Ring.

2.4.4. Стандарт IEEE 802. 12 (100 VG – Any LAN).

Стандартът е за скорост 100 Mb/s. Any LAN означава всякаква локална мрежа. Този стандарт поддържа кадри с формат CSMD/CD (Ethernet) и кадри с формат Token Ring, които използват в 90 – 95% от LAN технологиите на практика. Технологията 100 VG – Any LAN се конкурира с Fast Ethernet, но фирмите-производителки поддържат и двата стандарта.

Протоколите на стандартът IEEE 802.12, напълно съответстват на OSI – модела. Единствената разлика е в най-долния слой на стандарта, който е разделен на две половинки: Долен подслой PMD – зависещ от физическата среда; Горен подслой PMI – независещ от физическата среда.

2.4.4.1. Физически слой на стандарт IEEE 802. 12.

В стандарта се използва физическа топология тип “дърво” – Фиг.49.. Състои се от главен концентратор на първо ниво. Към него са включени концентратори от второ ниво или мрежови възли, като компютри, мостове, рутери и комутатори. Допуска се каскадно свързване на концентратори до пет нива.

Главният концентратор е интелигентен контролер, който управлява достъпа до средата, като сканира портовете си в кръг. Той приема кадър от възела, изпратил заявка и го предава към порта, където е свързан възела – получател.

Всеки концентратор 100 VG – Any LAN може да се конфигурира да поддържа кадри 802. 3 (Ethernet) или кадри 802. 5 – Token Ring. Спазва се изискването концентраторите в един сегмент да поддържат кадри от един тип.

Всички концентратори освен главния имат един възходящ (up-link) порт и “N” низходящи (down-link) портове. Up-link портът се ползва за свързване с концентратор от по-високо ниво, а низходящите портове са за връзка с концентратори от по-долно ниво или крайни мрежови възли.

Възлите в мрежата се свързват чрез следните линии: Четири двойки UTP категория 3 или 4; Две двойки UTP категория 5; Две двойки STP тип 1; Две оптични влакна.

ГЛАВЕН КОНЦЕНТРАТОР

Концентратор 100 VG – any LAN Комутатор

Ethernet

МОСТ/ РУТЕР

100 VG – Any LAN

Ethernet, Token Ring, ATM

Фиг. 49. Структура на LAN 100 VG – Any LAN.

Когато за комуникационна среда се използват четири броя усукани двойки, данните се разпределят по четири канала, като MAC – кадърът се разделя на пет – битови порции (квинтети). Всяка порция се подава последователно на съответен канал (отделен). Така се намалява скоростта на предаваните данни по линиите и се увеличава разстоянието между съседните възли.

Когато се ползват две усукани двойки или две оптични влакна се извършва мултиплексиране и каналите от четири канала стават два.

Функциите на горния PМI – подслой включват: Скемблиране; Линейно кодиране (5B/6B); Добавяне към кадъра на встъпителна част; Добавяне на начален и краен ограничител на кадъра; Предаване към кадъра към долния PMD подслой.

Скемблирането на данните е случайно разбъркване на квинтетите с цел избягвне на комбинации с повтарящи се 02 или 12. По този начин се намалява излъчването на електромагнитни вълни и взаимното влияние между проводниците.

Кодирането по схемата 5В/6В е преобразуване на квинтетите в 6-битови комбинации. Това е линейно кодиране с цел получаване на балансирани кодови комбинации с еднакво количество 12 и 02. По този начин по-добре се синхронизира приемника и могат да се откриват грешки при приемане на данните.

2.4.4.2. МАС – подслой на стандарта IEEE. 802. 12.

Протоколът МАС на стандарта е усъвършенстван с цел поддържане на новите мултимидийни приложения. Този протокол е наречен “приоритетен достъп” (Demand Priority). Концентраторът става арбитър, който решава въпроса за достъпа до общата споделена комуникационна среда. Използват се две нива на приоритет: ниско и високо.

Функциите на МАС – подслоя са: Подготовка за заемане на комуникационната линия; Формиране на кадър със съответен формат.

Предаването на кадъра по този протокол става със заявка. Заявката може да има нисък или висок приоритет. Високият приоритет е за трафик на мултимедийни приложения, които са чувствителни към закъснения.

Главният концентратор сканира кръгово портовете си и проверява за заявки (round – robin). На един възел се разрешава предаване само на един кадър за едно сканиране. Концентраторите от по-ниски нива също сканират кръгово свързаните към тях портове и възли. За един цикъл те имат право да предадат нагоре толкова кадри, колкото на брой крайни възли са свързани. Заявките с нисък приоритет се обслужват само ако няма такива с висок приоритет.

В началото съществува процедура за подготовка на линията (Link Training), при която концентраторите автоматично разпознават включените устройства към портовете му. Разменените служебни кадри съдържат: Вида на устройството (краен възел, концентратор, мост, рутер и др.); Режима на работа (нормален или мониторен); Адрес на възела.

Концентраторите си разменят серия от специални кадри за тестване на кабела и проверка на правилното свързване на съединителите.

2.4.5. Стандарт FDDI (Fibre Distributed Data Interface)

Този стандарт е създаден за скорост на предаване на данни 100 Mb/s и се прилага за локални мрежи разположени на големи територии (Extended LAN). МАС – протоколът е базиран на протокола Token Ring. Стандартът FDDI се използва като високоскоростна опорна мрежа (гръбнак) за свързване на няколко LAN помежду си – Фиг. 50..

Фиг.50. Приложение на стандарта FDDI.

2.4.5.1. Физически слой на стандарта FDDI

Топологията на мрежата е “двоен кръг”, като единият кръг е основен (първичен), а другият – резервен (вторичен). Посоката на предаване в двата кръга е различна.

Мрежовите възли са два типа: мрежови възли, свързани към двата кръга (DAS); мрежови възли, свързани към единия кръг (SAS).

При този стандарт SAS – възлите се свързват към кръга чрез DAS- концентратори.При нормален режим на работа данните преминават през всички мрежови възли и

всички участъци на кабела на първия кръг, затова той се нарича транзитен. Вторичният кръг в този режим не се ползва.

Стандартът FDDI поддържа 1000 порта за достъп, или 500 DAS – възела. Максималната обиколка на кръга е до 100 км. Могат да се използват освен влакнестооптични кабели и медни усукани двойки проводници. При оптични комуникации разстоянието между два съседни междинни възли е до 2 км, като ако се използва едномодов кабел, съчетан с лазер, това разстояние достига до 60 км.

FDDI

Token Ring

Ethernet

EthernetToken Ring

Ако се използва кабел UTP - разстоянието между междинните възли е до 100 м. (този вариант на FDDI e с абревиатура TPDDI).

Двойният кръг на FDDI осигурява висока живучест на мрежата при прекъсване на едната линия, повреда на възел или концентратор, или възникване на грешки при предаване по линията. В тези случаи мрежата се реконфигурира чрез концентраторите и/или мрежовите адаптери на междинните възли. При множество откази мрежата може да се разпадне на няколко несвързани мрежи.

Физическият слой на FDDI се състои от два подслоя: Горен подслой, независим от комуникационната среда – подслой PHY(Physical); Долен подслой, зависим от средата – подслой PMD (Physical Media Dependent).

Подслой PMD изпълнява слeдните функции: Определя изискванията към мощността на сигналите; Определя параметрите на съединителите и маркировката им; Извършва NRZI линейно кодиране на сигналите в кабелите.

Подслоят PHY извършва кодиране и декодиране на данните, циркулиращи между МАС – слоя и подслоя PMD. В неговите спецификации се определят: Кодиране на информацията в съответствие със схемата 4В/5В; Правилата за тълкуване на сигналите; Поддържане стабилност на тактовата честота от 125 MHz ; Правилата за преобразуване на данните от паралелен код в последователен.

2.4.5.2. МАС – подслой на стандарта FDDI

МАС – подслоят управлява достъпа до комуникационната среда, а също така приемането и обработката на кадрите.

В него се определят правилата за: Предаване на маркера; Прихващане и ретранслация на маркера; Формиране на кадъра; Генериране и разпознаване на МАС – адреси; Изчисляване и проверка на 32 разрядно контролно поле.

Тъй като FDDI покрива разстояния, сравними с тези на MAN (регионални мрежи), са направени подходящи изменения в МАС – протокола Token Ring: Маркерът се пуска в кръга веднага след като възелът предаде своята информация. Допускат се разпространение на няколко кадъра в кръга едновременно, с което се увеличава бързодействието. Стандартът FDDI поддържа предаване на данни за глас и видео. Задава се целево време за обиколка на кръга от маркера, в зависимост от големината и мащабите на мрежата TTRT ( Target Token Ring Time ). TTRT се възприема като препоръка. Линейният код е променен с цел намаляване на честотната лента. Използва се линеен код 4В/5В – четири бита се кодрират с пет бита и се запазва лента на пропускане от 125 MHz.


Начален ограни-чител(SD)

Управле-ние на кадъра

(FS)

Адрес на получа-

теля(DA)

Адрес на подателя

(SA)

CRC код

(FCS)

Краен ограни-чител(ED)

Състоя-ние на кадъра

(FS)

28 1 1 2 v 6 2 v 6 4478 4 1 1 байт

Фиг. 51. Формат на МАС – кадър за стандарта FDDI.

Работата на слоевете PMD, PHY и MAC се контролира от протокола SMT (Station Management). Протоколът SMT осъществява наблюдение и управление на всички останали слоеве на стандарта FDDI. Във функциите на протокола SMT влизат: Алгоритмите за откриване на грешки и възстановяване; Правилата за мониторинг на работа на кръга и станциите; Управлението на кръга; Процедурите за инициализиране на кръга.

Съществува модифициран стандарт FDDI ІІ, който поддържа ISDN трафик и ИKM – модулиран глас. Използва се същият кадър с продължителност 125 s.

2.5. Безжични локални компютърни мрежи

Терминът безжични връзки се свързва основно с мобилните телефони. Едно от приложенията, в които е направен технологичен пробив е създаването на на безжичните комуникационни мрежи.

Използването на радиоканалите за връзка между устройствата, макар че не е ново като изобретение, едва напоследък еволюира значително благодарение на широкото разпространение на Internet, локалните и глобалните мрежи, свързващи много хора, позволяващи да си разменят глас, видео и данни помежду си с високи скорости. Развитието на безжичните комуникационни системи е обосновало необходимостта от по-голяма свобода и удобство при изграждането на мрежи, необходимостта от лесното включване на все по-бързо увеличаващия се брой на мобилни абонати, не желаещи да търсят специални точки за включване към мрежата.

2.5.1. Стандарт IEEE 802.11.

Комитетът по стандарти на организацията IEEE (Institute of Electrical and Electronics Engineers), сформира работната група за изработването на стандарт за безжични локално мрежи - стандарт 802.11 през 1990 година. Задачата на тази работна група е била да разработи всеобщ стандарт за радиопредаване и за безжични локални мрежи, които ще работят на честота 2.4 GHz със скорост на предаване на данни 1 и 2 Mbps. Работата по създаването на стандарта е завършена през 1997 година, когато е ратифицирана първата официална спецификация на стандарт 802.11. Стандартът 802.11 е първият стандарт за безжични мрежи (WLAN, Wireless Local Area Network), приет от независима международна стандартизираща организация, разработила освен него, и множество други спецификации и стандарти за мрежовите връзки по кабелни линии и оптически влакна.

Междувременно технологиите за предаване на данни се развиват с нарастващо темпо, така че първоначално заложените в стандарта скорости за предаване на данни от 1 и 2 Mbps не са достатъчни за големите обеми информация, която се обменя по

съществуващите мрежи и са безинтересни за потребителите. Това подтикна разработчиците на стандарта IEEE 802.11 към създаване на нови стандарти, които се явяват разширения на основния.

Това става през септември 1999 година, когато е ратифицирано разширението на стандарта, получило наименованието IEEE 802.11b (IEEE 802.11 High Rate). Основната разлика от предишния стандарт е повишената до 11 Mbps скорост на обмен на данни между безжичните устройства, което означава трансфер над 1.4 MB/сек. между устройствата и се създават възможности за преминаване към изграждането на гъвкави безжични мрежи от корпоративно ниво.

Съвместимостта между продуктите, произведени от различни производители, се гарантира от независима организация, наречена Wireless Ethernet Compatibility Alliance (WECA, http://www.weca.net), създадена през 1999 година от лидерите в производството на мрежови устройства, между които са: Cisco, Lucent , 3Com , IBM , Intel, Apple, Compaq, Dell, Fujitsu, Siemens, Sony , AMD (над 80 компании).

Стандартът IEEE 802.11 работи в съответствие с двете долни нива на модела OSI - физическо и канално ниво. Всяко едно мрежово приложение, протокол или операционна система могат да работят при това положение в една безжична мрежа не по-лошо, отколкото това става в обикновена Ethernet мрежа. Основната архитектура, особености, протоколи и служби са определени в стандарта 802.11, а спецификацията 802.11b засяга физическото ниво.

На физическо ниво са отделени общо три метода за предаване на данни, единият от които е в инфрачервения диапазон, а другите два са радиочастотни, работещи в интервала между 2.4 GHz и 2.483 GHz. Двата широколентови канала могат да използват различни методи за организиране на предаването - метод на пряка последователност (DSSS-Direct Sequence Spread Spectrum), или метода на честотните подскоци (FHSS - Frequency Hopping Spread Spectrum).

2.5.2. Режими на работа стандарт 802.11.

Стандартът 802.11 фиксира два вида безжично мрежово оборудване - клиент, ролята на който обикновено се поема от компютър с инсталирана безжична мрежова интерфейсна платка (Network Interface Card, NIC), и точка за достъп (Access point, AP), която служи за връзка между безжична и кабелна мрежа.

Клиентът, е окомплектован с мрежова карта 802.11, която може да бъде с интерфейс ISA, PCI или PC Card, както и във вид на вградено решение. Точката за достъп обикновено е оборудвана с приемо-предавател, интерфейс към кабелна мрежа (802.3) и специализирано програмно осигуряване. Стандартът IEEE 802.11. определя два режима на работа на безжичната мрежа - режим точка-точка (Ad-hoc) и режим клиент/сървър, наричан още режим на инфраструктурата (infrastructure mode). По този начин са озаглавени режимите във повечето програмни пакети, управляващи Access Point, процедурите по настройването на компютрите, които няма как да се избягнат.

Първият режим, точка-точка, наричан още IBSS - независим набор от обслужвания, както личи и от заглавието, сполучливо трансформирано от неразбираемото "Ad-hoc", представлява елементарна като структура мрежа, в която отделните станции се свързват една със друга пряко, без да е необходима точка за достъп. Това налага някои ограничения от типа на максималния брой устройства, които могат да изграждат такава мрежа, което зависи от типа на безжичното мрежово оборудване и от спецификациите на протокола 802.11.

http://www.amd.ru/

http://www.sony.ru/

http://www.siemens.ru/

http://www.fujitsu.com/

http://www.dell.ru/

http://www.compaq.ru/

http://www.apple.ru/

http://www.intel.ru/

http://www.ibm.com/ru/

http://www.3com.ru/

http://www.lucent.ru/

http://www.cisco.com/ru/

http://www.wi-fi.com/

Режимът клиент/сървър предполага използването на поне една точка за достъп, представляваща специaлизирано устройство, която да е включена към кабелна Ethernet мрежа, и определен, често ограничен брой крайни безжични работни станции. Този тип конфигурация се нарича основен набор от обслужвания (BSS - Basic Service Set), като при наличието на два или повече BSS се формира разширен набор от служби (ESS - Extended Service Set). Очевидно е предимството на режима клиент/сървър, когато безжичната мрежова станция може да получи достъп до локално мрежово устройство или специфична функция, свързано към стационарната мрежа (например, към мрежов принтер, скенер или Интернет).

2.5.3. Стандарт 802.11b

Промяна, внесена в стандарта 802.11b в сравнение с основния стандарт, е поддръжката на две нови скорости на предаване на данни - 5.5 и 11 Mbps. За постигането на тези скорости се използва методът на пряка последователност (DSSS), което означава, че системите 802.11b, използващи DSSS, ще са съвместими с DSSS системите 802.11, но няма да се "виждат" със системите, използващи FHSS 802.11.

Друга положителна страна на стандарта 802.11b е методът на динамична промяна на скоростта на трансфер в зависимост от силата на сигнала, шумовете в ефира или отдалечеността на станцията. Това, означава, че устройствата IEEE 802.11b могат да установят връзка помежду си при 11 Mbps, после, при възникване на смущения, или при отслабване на сигнала, те автоматично ще намалят скоростта на предаване. След определен период от време, след като се появи възможност устройствата пак да работят на по-висока скорост, скоростта пак ще бъде автоматично увеличена до максимално възможната.

Повечето модели интерфейсни карти са предназначени за включване към шината PC Card/PCMCIA. За да могат те да бъдат монтирани в компютрите, които нямат такъв слот, производителите предлагат преходници към PCI от PCMCI. За удобство на всички, на които нямат свободно място на PCI слотовете на desktop системите им, много от производителите произвеждат и външни устройства с интерфейс USB.

Основните характеристики на адаптерите IEEE 802.11b са следните: Интерфейс: PC Card, USB, PCI; Скорост на предаване на данни: до 11 Mbps; Работа в half-duplex режим ; Възможност за работа в режим точка-точка и клиент/сървър с точка за достъп; Работна честота: 2.4 GHz ; Далечина на връзката: 100 до 500 м в зависимост от външните условия и от скоростта за предаване на данни.

2.5.4. Стандарт IEEE 802.11a и стандарт Hiperlan

Логичното изискване към все по-големите обеми на трансферирана информация изисква нови промени в стандартите за безжични комуникации. Още през януари 1997 Федералната комисия на САЩ по съобщенията (FCC) е дала разрешение да се използва 5 GHz-вия диапазон за безлицензни радиочастотни мрежи, в който са обособени два участъка (5.15 - 5.35 GHz и 5.725 - 5.825 GHz) с обща честотна лента от 300 MHz. Макар, че и двете спецификации IEEE 802.11 са приети по едно и също време през есента на 1999 година, широкото разпространение на IEEE 802.11b устройства, предлагани още преди това от няколко големи производителя, им осигури предимство пред "конкурентите" от 802.11a.

Адаптерите, отговарящи на спецификациите IEEE 802.11a, на външен вид по нищо не се отличават от старите 802.11b, но имат три много основни "вътрешни" разлики: интерфейс: Card Bus, USB 2.0; скорост на предаване на данни: до 54 Mbps; работна честота: 5 GHz.

Диапазонът от честоти, отделен за IEEE 802.11а, съвпада с европейския стандарт HIPERLAN (High Performance Local Area Network), благодарение на което произвежданото за HIPERLAN оборудване може да се използва на всички континенти. Макар и да са спецификации на един и същ формат, отличаващи се само по една буква в наименованието си, устройствата, отговарящи на стандарта 802.11b не могат да бъдат медернизирани до по-бързия стандарт 802.11а. Мрежовото оборудване на стандартите 802.11а и 802.11b е несъвместимо. Единственото изключение са последните модели точки за достъп (Access Points), които позволяват монтирането в тях на PCMCI карти, отговарящи на стандарта 802.11b, и на стандарт 802.11a.

2.5.5. Антени за WLAN

Макар че повечето от устройствата 802.11 и да разполагат с вътрешни антени, по-голяма част от тях, особено точките за достъп, имат с възможност за включване на външни антени. Използването на външни антени, позволява да се увеличи обхвата на устройствата и да се стабилизира и усили приемания сигнал, като в крайна сметка разстоянието между безжичните устройства може да достигне десетки километри. Разбира се, с вътрешните антени е нереално да се очакват подобни разстояния, дори и при пряка видимост между безжичните устройства. Използваните антени могат да бъдат от няколко типа - от антени с тясни диаграми до кръгови (широконасочени) антени. Когато се изисква постигането на максимално разстояние между две устройства, например, при съединение точка-точка, се използват тяснонасочени антени, "прицелени" една в друга. Тясно насочената антена концентрира излъчването си в тясна диаграма, осигуряваща на по-далечно разстояние на връзка. Когато е необходимо да се осигури покритие на по-голяма площ, се използват кръгови антени, например, в рамките на една сграда или по-голяма площ. Възможен е вариантът, когато станцията е условен център се оборудвана с кръгова антена, а станциите около нея - с насочени диаграми към централната антена. По този начин ще се получи съединение точка - много точки. Най-често усилването на антените е между 3 и 24 dB, като всичко зависи от проектанта на конкретната антена.

2.5.6. Защита на данните в безжичните комуникации

Всички технологии за безжични комуникации използват един или друг вариант на кодиране на данните с цел тяхна защита. Мрежите, отговарящи на стандарта IEEE 802.11, използват функции за криптиране на информацията, като, в зависимост от класа на устройството криптирането може да бъде 64- или 128- битово.

При Bluetooth има три режима на защита, като най-защитеният Security mode 3 (link level enforced security) оперира със сеансови ключове (Bond), които се генерират в процеса на свързване на две устройства, и се използват в процеса на свързване, идентификация и предаване на данни между две устройства.

При всички положения, проблемът със защитата на данните при безжичните комуникационни устройства е открит - все още е сравнително лесно да бъде уловен сигнала от ефира и той да бъде декодиран.

Стандартът 802.11b осигурява контрол на данните на второ ниво в модела OSI. Използват се механизми на криптиране, известни като Wired Equivalent Privacy (WEP),

които могат да бъдат включени или изключени. Криптирането на данни се извършва спомощта на алгоритма RC4 с 40-битов ключ, но съществува и други начини на криптиране.

Когато WEP е включен, той защитава само пакета с данни, но не и заглавието му, така че всички свързани в мрежата устройства могат да "преглеждат" преминаващите данни. За контрол на достъпа във всяка точка на достъп се разполага ESSID (или WLAN Service Area ID), без информация за който станцията не може да се включи към точката за достъп.Освен това, при нея може да се съхранява списък от "разрешени" MAC адреси на упълномощените устройства, по този начин се разрешава към мрежата да се включват само тези устройства, които се намират в списъка.

2.6. Мрежови операционни системи.

Горните слоеве на локалните компютърни мрежи се реализират от мрежова операционна система (МОС), която се инсталира в крайните възли – Фиг.52.. В широк смисъл под МОС се разбира съвкупността от операционните системи на отделните компютри, които си взаимодействат помежду си по протоколи с цел обмен на съобщения и подялба на ресурси. Инсталираната МОС на компютрите (Фиг.52.) се състои от: Локална ОС – средства за управление на локалните ресурси на компютъра /памет, процесор, процеси/; Сървърна част – предоставя собствените ресурси за ползване от останалите.

Към приложни процеси

Към локалните ресурси

Към/от мрежата

Фиг.52. Блокова схема на МОС

Във функциите на сървърната част от МОС са включени дейностите: Заключване на файлове и записи чрез използване на примитиви като семафори, монитори и др.; Обслужване на заявките за отдалечен достъп към локалните файлови системи и бази от данни; Управление на опашките на заявки на отдалечени потребители към локалните входно-изходни устройства.

Редиректор

Локална операционна

система

Сървърна част

Клиентскачаст

Комуникационни средства

Клиентска част на МОС– осигурява достъп и ползване на отдалечени ресурси. Редиректорът прихваща заявките от приложните процеси и ги пренасочва към компютъра – клиент. Съвкупността от функциите, чрез които приложните процеси се обръщат към редиректора се наричат приложен интерфейс (API). Редиректорът е прозрачен за локалните заявки и отдалечените ресурси и има имена в зависимост от фирмата създател:

LAN Requester от IBM; NET x. COM (shel) при Novell; Redirector от Microsoft.

Комуникационни средства служат за обменят на съобщения в мрежата. Това са програмни модули, разпределени по комуникационни слоеве на протоколния стек, използван от ОС. Те изпълняват следните функции:

Адресиране на съобщенията; Буфериране на съобщенията; Избор на маршрут за предаване; Осигуряване на надеждност при предаване.

В зависимост от ролята на мрежовия възел, той може да има различна по структура операционна система: Само клиентска част; Само сървърна част; Клиентска и сървърна част.

Използват се два подхода (Фиг.53.), при създаване на МОС:При първия подход МОС е съвкупност от локална операционна система с вградени

мрежови възможности и надстроена около нея мрежова обвивка, която изпълнява основните мрежови функции. Такива операционни системи са OS 12 и DOS 7.

Фиг.53. Схема на видовете операционни системи.

При втория подход МОС е с мрежови функции, вградени в основните й модули. Този подход е използван при създаването на операционни системи – Windows NT, Windows NT Server, NET Were, Unix и др. В зависимост от разпределението на функциите между компютрите в локалните компютърни мрежи MOC се делят на два вида:

Мрежова

обвивка

Локална ОС

ОС

с вградени мрежови

функции

МОС с равноправен достъп (Per to per); МОС с отделни сървъри (dedicated servers).

Ако изпълнението на сървърни функции е основно предназначение на един компютър, то той е сървър. На него се инсталира ОС, която изпълнява сървърни функции. МОС с отделни сървъри са NetWere и Windows NT. Прието е ресурсите на сървърът да не се натоварват с локални задачи, за да не се намалява производителността на сървъра.

Операционните системи Windows NT Server и Windows NT Work station поддържат функции на клиент и сървър. При този вариант на МОС има възможност да се представят повече ресурси и съединения едновременно. Реализира се централно управление на мрежата и има добра система за защита.

За сървъри се ползват най-мощните компютри в мрежата. За администриранто на такава мрежа се грижи системен администратор, който осъществява централизирано управление на мрежата.

При МОС с равноправен достъп всички компютри са равноправни по отношение предоставянето и ползването на мрежови ресурси. Всеки компютър може да се конфигурира или като чист клиент, или като чист сървър. Или като клиент за едни, за други сървър. В такава мрежа във всички компютри се инсталира една и съща ОС като: LAN tastic, Personal Were, Windows for Workgroup и версиите Windows 95/2000, XP. Тези мрежи са по-лесни за обслужване, но няма сигурна гаранция за защита на информацията.

2.6.1. Проколни стекове на МОС

Различните МОС използват различни набори от протоколи (протоколни стекове) за реализиране на сървърни функции и комуникация.

2.6.1.1. Протоколен стек Net Were на фирма Novell

Този протоколен стек е показан на Фиг.54. и е част от МОС Net Were. Известен е под името IPX/SPX. В основата му е протоколния стек XNS (Xerox Network System) с различни модификации.

Във физическия слой и МАС – подслоя се използват стандартите IEEE 802.3, 802. 4, 802. 5. Функциите на LLC – подслой на каналния слой се изпълняват от драйвера на мрежовия адаптер.

В мрежовия слой Net Were използва протокола IPX (Internet Packet Exchange). Данните се групират в пакети (Фиг.55.) и се предават без установяване на съединение и гаранции за получаване. Този режим на предаване е известен като дейтаграмен режим. Източникът и получателят могат да са в различни мрежи. Протоколът IPX прилича на протокола IP от стека TCP/IP, като разликата е в използването на дванадесет байтов адрес, а в IP v.4 се използва четири байтов адрес.

Съществуват два вида файлови реализации: IPX. COM; IPXODI. COM.

Файлът IPXODI. COM работи с ODI (Open Data Linc Interface) интерфейс. Използва се само един мрежов адаптер за различни среди и различни протоколи на горните слоеве.

Интерфейсът ODI може да обслужва едновременно до тридесет и два различни протокола (транспортни) и до шестнадесет различни мрежови адаптери за един компютър. Това позволява в един и същ компютър да се ползват различни протоколни стекове и различни мрежови адаптери.

СЛОЕВЕ ПРОТОКОЛИ

ПРИЛОЖЕН

ТРАНСПОРТЕН

МРЕЖОВ

LLCКАНАЛЕН MAC

ФИЗИЧЕСКИ

Фиг.54. Протоколен стек Net Ware на фирма NOVELL

2 2 1 1 12 12 данни

Фиг.55. Формат на IPX – пакет.

На Фиг.55. е представен форматът на IPX – пакета. Полето <контролна сума> се използва рядко, тъй като долният (канален) слой реализира контрола на грешките чрез CRC – код при предаване на кадрите.

Полето <дължина > показва дължината на целия пакет.Полето <управление> повишава стойността си с 12 при преминаване на пакета към

всяка следваща мрежа. При достигане на максималното на значение на полето пакетът се унищожава.

Полето <ТИП> специфицира пакета като: Пакет за данни; Управляващ пакет.

Адресите на получателя и подателя се състоят от: Четири байтов адрес на мрежата; Шест байтов адрес (MAC- адрес) на компютъра – краен възел; Двубайтов адрес на порт в компютъра.

Полето <данни> е с променлива дължина. Дължината е такава, че общият размер на IPX пакета да е по-малък от размера на поле <данни> на кадъра в локалната мрежа.

SAP File Server

NCP SPX TCP

IPX

Драйвер Драйвер Драйвер

Стандартен Стандартен Стандартен

IEEE 802.3 IEEE 802.4 IEEE 802.5

Контрол-на сума

Дължина Управ-ление ТИП

Адрес на получа-

теля

Адрес на подателя

ДАННИ

В транспортния слой работят протоколите: NCP (Network Core Protocol) , който работи в режим на установяване на съединение и предлага и други услуги освен транспортни; SPX (Sequence Packet Exchange), който осигурява само транспортни услуги; TCP (Transmission Control Protocol) , който е част от стека TCP/IP и в тази мрежа се ползва като опция.

В приложния слой се използват протоколи като SPP (Service Advertisting), който се използва от сървърите за да изпратят “broadcast” пакет в мрежата, съдържащ информация за неговия адрес и услугите, които предоставя. Пакетите от сървърите се събират от специални “процеси – агенти”, изпълнявани в рутерите, използвани за свързване на различни мрежи или подмрежи.

След включване на краен възел той предава broadcast – запитване, за да установи къде се намира най-близкият сървър. Агентът в локалния рутер приема запитването, проверява базата си от данни и връща на клиента адреса на най-близкия сървър. Клиентът установява съединение със сървъра, след което двете страни се договарят за максималния размер на пакета за размяна на съобщения.

2.6.1.2. Протоколен стек Apple Talk на фирма Apple

Протоколният стек е показан на Фиг.57. и е проектиран през 1983 г. в съответствие с OSI – модела с цел да се улеснят комуникациите в мрежите изградени с компютри различни от PC на IBM. Apple Talk е вграден в операционна система MAC OS за компютрите Apple Macintosh. Във физическия слой се използват стандартите IEEE 802.3 (Ether Talk), 802. 5 (Token Talk) и собствения стандарт Local Talk. Local Talk е за ниски скорости 230.4 kb/s и се използва за кабели STP при предаване по стандарт RS – 422.

Топологията на компютърните мрежит е тип ШИНА с отклонения. Компютрите се свързват чрез кабели към разклонителни кутии. Дължината на кабела е до 700 m. За разширение до 900 m се използват два повторителя. Компютрите на Apple Macintosh са с вградени мрежови интерфейсни платки Ether Talk (802. 3) или Token Talk (802. 5).

Структурата на МАС – кадъра в каналния слой на протокол LLAP от протоколния стек е показана на Фиг. 56..


Адрес

на полу-чател

Адрес на подател

ТИП Дължина ДАННИ Контрол-но поле

Флаг Краен раздели-тел

3 3 2600 1

Фиг. 56. Формат на МАС – кадъра в протокола LLAP.

Протоколът DDP (Datagram Delivery Protocol) – маршрутизира пакетите (дейтаграмите) от една мрежа в друга и адресира портовете в различни мрежи.

Транспортният слой съдържа четири протокола, които улесняват предаването на дейтаграмите от една компютърна мрежа в мрежа в друга:

RTMP (Routing Table Maintenance Protocol) е маршрутизиращ протокол – определя “колко скока” трябва да направи една дейтаграма, за да пристигне до получателя, указва и алтернативни маршрути;

NBP (Name Binding Protocol) помага на протокола DDP да преобразува имената на мрежовите възли в IP адреси. ATP (Apple Talk Transaction Protocol) – гарантира качеството на предаването чрез потвърждение за доставка на дейтаграми; EP (Echo Protocol) – определя дали даден мрежов възел е достъпен и определя закъснението при предаване на съобщението. За тази цел възелът-получател изпраща обратно ЕХО – съобщение към възела-подател.

Сесийният слой на стека Apple Talk има четири протокола: DSP (Data Stream Protocol) – установява сесия за комуникация между мрежови възли, поддържа дуплексни съединения, открива и отстранява дублирани дейтаграми, изисква повторение при откриване на грешки; ZIP (Zone Information Protocol) се използва при разделяне на интермрежа Apple Talk на отделни зони. Зоните са логически обединени мрежови възли (до 32 при фаза 1) , които физически могат да се намират в различни локални мрежи. Фаза 2 допуска до 256 зони в една интермрежа, състояща се от 16 милиона възела, пръснати в 1024 локални мрежи максимум. Всяка зона си има име, което се използва от рутерите за определяне на маршрута на дейтаграмите; ASP (Apple Talk Session Protocol) – подрежда в правилен ред получените дейтаграми. Пакетира данните в дейтаграми с избран размeр. Определя контролните точки за синхронизация при възстановяване след прекъсване на съединението по време на сесия; PAP (Printer Access Protocol) – осигурява сесийни услуги за принтери или системи за архивиране на магнитни ленти.

СЛОЙ ПРИЛОЖЕН

ПРЕДСТАВИТЕЛЕН

СЕСИЕН

ТРАНСПОРТЕН

МРЕЖОВ

LLC

КАНАЛЕН

МАС

Apple Shar

PP AFP

DSP PAP ASP

NBP ATP

драйвер

RTMP

ZIP

Ether Talk

EP

LLAPToken RingCSMA/CD

драйвер драйвер

Local TalkToken Talk

DDP

ФИЗИЧЕСКИ

Фиг 57. Протоколен стек Apple Talk

В представителния слой работят два протокола: AFP (Apple Talk Filing Protocol) – осигурява интерфейс за софтуер на файлов сървър. Той определя йерархичната структура на мрежовите томове, директории, файлове и начините за включване в мрежата; PP (Post Script Protocol) – осигурява интерфейс за комуникация между работните станции и PostScript принтери.

В приложния слой на стека Apple Talk се намират програми, осигуряващи различни мрежови услуги. Apple Shar е програма за файлов сървър. IBM PC също могат да се включват в мрежа Apple Talk и да ползват услугите на файлов сървър и принтери.

В Apple Shar е включена и програмата MS DOS – Redirector , която преобразува заявки от файловата система на DOS в съобщения SMBs (Server Message Blocks) , които по-нататък се преобразуват от специална програма в заявки по протокола AFP.

В приложния слой на стека Apple Talk е включен и софтуера Admin , който изпълнява стандартните административни функции: Регистриране на нови потребители на мрежата; Определяне на потребителски групи; Изготвяне на сведения за дейността на потребителите.

ГЛАВА 3. ГЛОБАЛНИ КОМПЮТЪРНИ МРЕЖИ

Глобална компютърна мрежа WAN (Wide Area Network) е компютърна мрежа, покриваща големи географски региони (държави, континенти).

WAN се състои от множество комуникационни възли, свързани помежду си чрез комуникационни линии. Топологията на WAN е произволна (смесена). Съобщенията от крайните възли – податели се маршрутизират от комутационните възли, за да достигнат до крайните възли – получатели. По правило комутационните възли не се интересуват от вида на информацията, която се предава през тях. Задачата им се свежда единствено до правилно предаване на съобщенията през мрежата до техните получатели. Стандартите, по които се проектират и изграждат глобалните компютърни мрежи, намерили широко приложение са: X.25., Frame Relay, ATM и интегрираната мрежа ISDN.

В глобалните компютърни мрежи се използват следните методи на комутация на протоколните единици: Комутация на каналите (стандарт ISDN); Комутация на пакетите (стандарт X.25); Бърза комутация на пакетите (стандарти Frame Relay - ATM).

3.1. Стандарт X. 25

Стандартът X. 25 се прилага за изграждане на WAN с комутация на пакети със скорост на предаванена данни до 2 Mb/s. Стандартът определя интерфейса между крайния възел и глобалната подмрежа – Фиг.58.. Крайните възли се наричат DTE - устройства (Data Terminal Equipment). За междинни мрежови възли се използват PSN – устройства (Packet Switched Node). В стандарта се използват и DCE – устройство (Data Circuit Equipment Equipment), което изпълнява ролята на крaйно устройство в каналите за предаване на данни. Интерфейсът между DTE и DCE устройствата се определя от самия стандарт.

Х. 25 е стандарт за достъп до WAN с комутация на пакети, като глобалната мрежа използва протоколния стек Х. 25, който съответства на долните три слоя на OSI – модела (Фиг.59.). Съответствието на стандарта с долните три слоя на модела е дадено в Таблица 3.1.

Таблица 3.1.Протоколен стек Х.25 Слой от OSI - модела

Х.25 МрежовLAPB Канален

H.21,H.21bis Физически

X. 25 X. 25

(PSN1)

Фиг.58. Схема на WAN с комутация на пакети изградена по стандарт Х.25

DTE – 1 DTE - 2

DTE1DTE2

7

6

5

4

3

2

1

7

6

5

4

3

2

1

2 2 2 2 2 2

1 1 1 1 1 1

3 3 3

Вътрешни протоколи на WAN X. 25 X. 25

LAPB LAPB

X. 21 X. 21

Х.25 WAN с комутация на пакети

DCE1 PSN2 PSNn ( PSN1)

Фиг.59. Приложение на протокол Х. 25 за достъп до WAN с комутация на пакети.

Протоколните единици на стандарта за долните четири нива са дадени в Таблица 3.2.

Таблица 3.2.Протоколна единица (PDU) Слой от OSI - модела

Транспортен блок ТранспортенХ.25 пакет Мрежов

LAPB - кадър КаналенПоток от битове Физически

Ф А У Данни К Ф

1 1 1 2 1 байт

Фиг.60. Структура на LAPB кадър в станадрта Х.25

Транспортният блок се предава надолу към мрежовия слой на DTE – подателя. Поставя му се заглавна част (ако е необходимо след пакетиране), за да функцинира нормално мрежовият протокол Х. 25. Пакетът се предава в каналния слой, където в пакета се поставят полетата Ф (флаг), А, У и К от протокола LAPB. Формира се LAPB – кадър (Фиг.60.), който се предава на физическия слой на DTE – устройството. Следва предаване на данните от физическия слой на DTE1 към DCE1, PSN1 , PSN2….. PSNn и към DTE2. Ако някъде кадърът се приеме с грешка или с променена структура, то съответният мрежов възел прави заявка до подателя за повторно предаване на кадъра. Повторението може да се извърши многократно до правилното приемане. Мрежовият слой проверява дали пакетите се приемат с поредния номер на следване и след като ги подреди ги препраща към транспортния слой на приемащото DTE2 устройство.

Процесът на предаване на данни е бавен за съвременните изисквания за скорост и обем и затова се прилагат по-новите стандарти за изграждане на глобални мрежи като Frame

Relay и ATM, при които се използват оптически линии за комуникация и каналите за предаване са високоскоростни и с по-малка вероятност за грешка в предадените данни. В резултат на това закъснението на съобщенията е значително по - малко.

3.1.1. Физически слой на стандарт Х. 25

Във физическия слой на стандарт Х. 25 се използват протоколите Х.21 и Х.21 bis . Тези протоколи описват електрическите, механическите, функционални и процедурни характеристики на интерфейса DTE – DCE.

Протоколът X.21 използва цифров интерфейс, цифрова адресация и правила за достъп до наети цифрови линии.

Х. 21 bis се ползва за работа със смесени аналогово – цифрови канали. Този протокол е съвместим с протокола RS – 232 C (V.24). X. 21 bis и поддържа синхонно пълнодуплексно предаване по съединение тип “точка – точка” по четири проводна линия при максимално разстояние между DTE и DCE устройствата – 15 m.

3.1.2. Канален слой на стандарт Х. 25

Между обектите на каналния слой данните се предават под формата на кадри. Използва се протокола LAPB (Link Access Protocol – Balanced).

Протоколът LAPB се нарича “балансиран” защото позволява на DTE и DCE да инициализират съединение към другата страна. Протоколът LAPB проверява всеки приет кадър за грешки с помощта на цикличен CRC – код и реда на следване на кадрите. Кадрите се предават по метода на плъзгащия се прозорец с размер 8 кадъра в стандартен режим и 128 кадъра в разширен режим. Процедурите за контрол се дублират и в мрежовия слой, в резултат на което вероятността за грешки в каналите се намалява от 1*10-3 до 1*10-6. Протоколът LAPB формира три вида кадри: Информационни (I) кадри, които пренасят информацията на горния слой; Супервайзорни (S) кадри, в които липсва полето <данни> и изпълняват основните управляващи функции на протокола като: потвърждение за приети I -кадри; заявка за повторно предаване на I - кадри; временно задържане на предаване; доклад за състоянието на канала. Неномерирани (U) кадри за допълнителна управляваща информация като: преминамане от стандартен към разширен режим на работа и обратно; генериране на съобщения за протоколни грешки.

3.1.3. Мрежов слой на стандарта Х. 25.

Функциите на мрежовия слой (МС) на стандарта се реализират от протокол с аналогично обозначение - Х. 25. Обектите на МС си разменят данни във вид на пакети по установени виртуални (логически) съединения.

Стандартът определя два вида виртуални съединения: Постоянни PVC (Permanent Virtual Circuits) съединения; Комутируеми SVC (Switched Virtual Circuits) съединения.

PVC съединенията се използват по направления за непрекъснато предаване на данни. Съдиненията SVC се ползват за съединения с променлив трафик. Комутацията при SVC съединенията протича на три етапа:

Установяване на логическо съединение между обектите, които си взаимодействат; Предаване на данни по пълнодуплексен способ; Разпадане на съединението след завършване на предаването.

Използваните пакети в стандарта Х. 25 са два вида: Информационни пакети; Управляващи (служебни) пакети.

Информационните пакети съдържат части от съобщенията на крайните възли в полето <данни>. Управляващите пакети съдържат управляваща информация.

Заглавната част на пакета е с три или четири байта. Тя се състои от отделни полета, които са различни за двата вида пакети. Полето <LCI> (Logic Circuit Identifier) е общо за двата вида пакети и съдържа дванадесет битов номер на виртуалното съединение.

Максималният размер на полето <данни> е 4096 байта, като с подразбиране се разбира предаване с размер 128 байта.

Мрежовият слой на стандарта Х.25 извършва следните функции: Сегментация и десегментация – извършва се в крайния възел – подател и крайния възел – получател; Адресация на пакетите; Комутация на пакетите; Маршрутизация на пакетите; Мултиплексиране на пакетите; Управление на потока данни (Flow Control); Контрол на грешки в пакетите.

Адресацията на пакетите са прилага само при установяване на виртуални комутируеми съединения (SVC). Използват се Х. 121 адреси за идентификация на обекти от мрежовия слой. Тези адреси се указват само в служебните пакети. След установяване на логическа връзка и виртуално съединение в пакетите се указва само LCI номера на виртуалното съединение, към което те принадлежат.

Мултиплексирането се реализира чрез DTE устройство, което може едновременно да установява 4095 виртуални съединения с други DTE устройства, по една линия, свързваща го с DCE – устройство. Полето <LCI> от заглавната част служи за различаване на пакетите от различните виртуални съединения. Мултиплексирането е пълнодуплексно. Номерата на PVC съединенията започват с 110.

Използва се механизмът на плъзгащия се прозорец с размер 8 пакета в стандартен режим и 128 пакета в разширен режим. Всеки информационен пакет съдържа в заглавната си част собствения си номер P(S) от прозореца и номера P( R ) на следващия пакет. Номерът P( R ) се тълкува от отсрещната страна като групова квитанция за изпратените до този момент пакети от прозореца. Ако едната страна няма данни за предаване, тя потвърждава приетия пакет чрез управляващ пакет RR (Receive Ready), съдържащ номер P (R). Скоростта на предаването се регулира от приемащата страна, която изпраща управляващ пакет RNR (Receive Not Ready), с който се сигнализира, че пакетите са приети, но повече не могат да се приемат от приемащата страна.

Контролът на грешките се заключава във възстановяване на неполучени пакети. За всеки неполучен пакет се връща специален управляващ пакет REJ. Предаващата страна повторно предава неприетия пакет. В мрежовия слой на стандарт Х. 25 липсва същинска

CRC – проверка за грешки в получените пакети. Такава проверка се извършва за всеки получен кадър в каналния слой на протокола LAPB.

3.2. Стандарт FRAME RELAY

Словосъчетанието „Frame Relay” (FR) в превод на български език означава „комутация на кадри”. Стандарт FR е от ново поколение за достъп до глобална мрежа с комутация на пакети. В началото той е част от стандат ISDN, но по-късно намира приложение в частните компютърни мрежи.

FR – стандартът може да се разглежда като виртуална наета линия. Абонатите наемат през мрежата постоянно виртуално съединение между два и повече крайни възела. Между възлите информацията се предава във вид на Frame Relay кадри.

При наемане на виртуалната линия се заплаща стойността на договорена средна скорост, като на моменти може да се предава и с по-голяма или по-малка скорост от договорената. Стандартът FR е подходящ за пулсиращ график – какъвто е трафикът на компютърните комуникации между крайните възли на мрежите.

FR

FR 2K FR

FR

Комутатор 1 NК

3K

Фиг.61. Схема на FR глобална мрежа.Стандартът FR е по-добър от Х. 25 по отношение на скорост на предаване - до 34

Mb/s в Европа и до 45 Mb/s в САЩ и Канада. Закъснението на кадрите в мрежата изградена по стандарт FR е много пъти по-малко в сравнение със стандарта X. 25.

Междинните възли в стандарта са еднакви и се наричат FR комутатори (Фиг.61.). FR – комутаторите са развити до второ ниво на отворения модел за комуникации (Фиг.62.). Функциите на FR комутаторите са свързани основно с определяне на границите на кадрите и с откриване на грешки в тях. Кадрите приети с грешки се бракуват, а възстановяването на съобщението е функция на горните слоеве.

К1 к2 кn

КВ 1 КВ 1

7

6

5

4

3

2

1

7

6

5

4

3

2

1

2 2 2

11 1 1 1 1

КВ 2

LAPF LAPF LAPF LAPF

FR – мрежа

Фиг.62. Модел на глобална комуникационна мрежа Frame Relay.

FR – стандартът предава данните, като ги капсулира в кадри чрез протокола LAPF. Форматът на кадрите е показан на Фиг.63.

Флаг Заглавна част ДАННИКонтролно

поле Флаг 1 2 4 до 1600 байта 2 1

Фиг. 63. Формат на LAPF кадър за FR – протокол.

Флаговете ограничават кадрите с един байт, чиято стойност е “01111110”. Заглавната част на кадъра съдържа следната информация: Адресна информация за маршрутизация; Информация за претоварване на мрежата; Информация за приложния процес, чиито данни се предават по мрежата.

Контролното поле от два байта съдържа контролните битове на CRC – кода, използван за откриване на грешки при предаването.

Стандартът FR използва само постоянни виртуални съединения (PVC). Всяко PVC съединение е с фиксиран маршрут между два крайни възела. PVC съединенията се специфицират с 10 битов номер в заглавната част. Позволени са до 1024 съединения по една физическа линия за достъп до мрежата. От тях 1000 са за потребителите, а останалите 24 се използват за управлението на комуникационната мрежа. Когато заглавна част на кадъра се състои от четири байта, броят на съединенията, които могат да се реализират е много повече.

Междинните възли в мрежата бракуват кадри само в два случая: Когато кадърът е приет с грешка; Когато кадърът не може да се съхрани поради препълване буфера на комутатора.

При заявка за PVC – съединение през мрежа FR доставчикът и абонатът се договарят за три параметъра:

cT - продължителност на интервал от общото времето за комуникация;

cB - брой на байтове, доставени за време cT ;

eB - брой на байтове, доставени след доставените cB за време cT .

Средната скорост за предаване на данни CIR (Committed Information Rate) се определя от израза CIR = Bc/Tc. С този израз се определя средната скорост, с която абонатът има намерение да предава съобщенията в комуникационната мрежа.

С oтношението (Bс + Bе)/Tс може да се определи максималната скорост на предаване на данни. Когато FR мрежата не е натоварена, скоростта на предаване расте, обратно, ако е натоварена – скоростта намалява. Този метод на регулиране скоростта намалява вероятността за задръствания в мрежата.

Стандартът FR, както е показано на Фиг.64. се използва за: Свързване на локални компютърни мрежи; За глобални мрежи, при които всички абонати не предават данни едновременно с максималната си скорост; Като средство за достъп до АТМ – мрежи.

Мост/Рутер 1 Мост/Рутер 3

Мост/Рутер 2 Мост/Рутер 4

Фиг.64. Приложение на FR – мрежа за свързване на LAN.

Стандартът FR е подобрение на стандарта Х.25. При него са отчетени по-добрите параметри на оптически комуникационни линии.

Недостатък на стандарта Frame Relay е, че е неподходящ за мрежи, при които се изисква гарантирано минимално закъснение на данните.

3.3. Стандарт АТМ

Стандартът АТМ (Asynchronous Transfer Mode ) е създаден от телефонната индустрия. Известен е като стандарт Cell Relay (комутация на клетки). За предаване на данни се използват блокове (клетки) с фиксирана дължина 53 байта – наречени клетки.

1 Б2 А3 Й4 Т

5 О . В . Е

ДАННИ

GFC (VPI) VPI (битове от 1 4)VPI (битове 5 8) VCI (битове 1 4)

VCI (битове 5 12)VCI (битове 3 16) PTI CLP

HEC

LAN 2

LAN 1

LAN 4

LAN 3

FR - мрежа

53

Фиг.65. Структура на АТМ клетка.

Всяка АТМ клетка (Фиг.65.) се състои от заглавна част (първите 5 байта) и данни (48 байта). В стандарта АТМ се използват два вида клетки:

Клетки UNI – за интерфейса “потребител – мрежа”; Клетки NNI – за междинните мрежови възли.

Разликата между тях е в първите четири бита на заглавната част. При UNI клетките това е поле <GFC> и се използва за контрол на потока от данни. При NNI клетките това поле е разширение на полето <VPI> и се използва за адресиране

Стандартът АТМ е сроден със стандартите Х. 25 и FR . Той използва комутация на клетките и мултиплексиране на няколко логически съединения по един физически интерфейс (Фиг.66.). Използват се по-добрите характеристики на новите цифрови линии а предаване на данни, които осигуряват по-бърза комутация на клетките.

АТМ2 – комутатор

КВ1 АТМ1 комутатор АТМn комутатор КВ2

АТМ3 – комутатор

Фиг.66. Схема на АТМ мрежа.

Сдандартът АТМ постига много по-големи скорости в сравнение с разгледаните до тук. Той използва минимални средства за контрол на грешките и за управление на потока от данни. По този начин е намален процентът на служебните битове в клетките.

Фиксираният размер на клетките, допълнително опростява обработката им в комутаторите и позволява постигане на още по-високи скорости. Стандартът постига няколко порядъка по-високи скорости от Frame Relay.

Предимство на АТМ стандарта е, че поддържа анизохронен и изохронен трафик. Поддържа се трафик с постоянна скорост CBR (Constant Bit Rate) и променлива скорост VBR (Variable Bit Rate). Поддържат се трафици както в реално време така и със закъснение.

Стандартът АТМ е част от комуникационния модел B – ISDN – който е различен от OSI и TCP/IP, той заема долните три слоя на модела B – ISDN. Моделът на стандарта е показан на Фиг.67..

Горни слоеве

AAL

ATM

Горни

слоеве

AAL

ATM

------- -------

-----------КВ 1 АТМ АТМ АТМ КВ 2

комутатор 1 комутатор 2 комутатор N АТМ – мрежа

Фиг.67. Модел на АТМ мрежа.

3.3.1. Физически слой на стандарт АТМ

Физическият слой на АТМ се състои от два подслоя: Долен PMD: (Physical Medium Dependent) – зависещ от физическата среда; Горен подслой TC (Transmission Convergence), който преобразува потока, съставен от АТМ клетки в поток от битове.

Функциите на PMD подслоя са: Осъществяване на физически достъп до мрежата с помощта на съединители и кабели; Кодиране в линията; Синхронизация по битове на приемника и предавателя; Други функции съгласно модела OSI.

Основните функции на TC – подслоя са: Адаптация към рамката на използвания физически стандарт за пренасяне и възстановяване на рамката. Стандартите за пренасяне на АТМ клетки са: SDN, PDN, FDDI и Fibre Chance. Определяне на границите на отделните клетки в рамката на пренасящия физически стандарт. Използва се механизма за проверка на контролното CRC – поле <HEC> и това, че клетките имат фиксирана дължина 53 байта. Генериране на контролно CRC <HEC> (Header Error Check) в заглавната част. Полето <данни> се защитава ако е необходимо в по-горния AAL слой. “Развързване” на АТМ – клетките по скорост. Към рамката на пренасящия физически стандарт се добавя “празна” клетка с цел съгласуване скоростта на крайния възел към скоростта, осигурена от пренасящия протокол. Обмен на ОАМ (Operation And Maintenance) - клетки за управление, в които има информация за работата на ТС – подслоя.

3.3.2. АТМ – слой на стандарта АТМ

АТМ – слоят е независим от физическата среда. Основните му функции са следните: Мултиплексиране и демултиплексиране на АТМ – клетки, принадлежащи на различни логически (виртуални) съединения в един и същ поток АТМ – клетки, предавани към физическия слой;

ФИЗ ФИЗ

Комутация на АТМ – клетки в междинните възли на мрежата; Преобразуване на идентификатора на виртуалното съединение (VPI/VCI) при комутация на клетките в междинните възли; Добавяне и премахване на заглавна част към или от всяка АТМ – клетка; Осигуряване на допълнителен клас обслужване QOS (Quality Of Service) – даващ възможност на потребителите да определят приоритет на своите клетки чрез установяване на специален бит <CLP> (Cell Loss Priority) в заглавната част; Създаване на механизъм за управление на потока от данни в интерфейса “абонат – мрежа”. Използва се полето <GFC> (Generic Flow Control) на заглавната част.

3.3.3. АТМ – комутация

Комутацята в АТМ – стандарта се извършва от междинните възли (АТМ – комутатори). Комутацията се състои в предаване на информация от дадено входящо виртуално или логическо съединение към определено изходящо АТМ виртуално съдинение.

АТМ виртуалните съединения имат две характеристики:1. Физическа, специфицирана чрез номера на физическата линия (номера на порта на АТМ – комутатора), по която се предават АТМ – клетките.2. Логическа, определена от два параметъра:

VPI (Virtual Path Identifier) – идентификационен номер на виртуалния път;

VCI (Virtual Channel Identifier) - идентификационен номер на виртуалния канал.

Виртуалният път е логическа група от виртуални канали, които се комутират и маршрутизират заедно през АТМ – мрежата. АТМ – стандартът допуска множество канали по една и съща физическа линия. Максималният брой на линииите е различен за двата интерфейса:

82256 k за интерфейса “потребител – мрежа” – UNI (User – Network Interface);

1224096 k за интерфейса между мрежовите възли NNI (Network – Network Interface).

Номерът на виртуалния път (VPI) е указан в заглавната част на АТМ – клетката в полето <VPI>, което е с размер осем бита за UNI – клетките и дванадесет бита за NNI – клетките. Допълнително по всеки виртуален път стандартът АТМ позволява да се дефинират до 65536 = 162 виртуални канала.

Номерът на виртуалния канал, към който принадлежи дадена АТМ – клетка е указан в 16-битово поле <VCI> на заглавната част. Следователно всяко логическо съединение (виртуално АТМ – съединение) по дадена физическа линия логически се определя от значението на комбинацията “VPI / VCI”.

АТМ комутаторите (Фиг.68.) установяват съответствието между входящите физически и логически характеристики на АТМ клетките с изходящите логически и физически характеристики, които АТМ клетките трябва да приемат на изхода им след комутатора. Всеки АТМ комутатор поддържа съответна комутационна таблица, която се актуализира при всяко ново АТМ съединение. АТМ комутацията може да се извърши едновременно по отношение на VPI и VCI или само на VPI.

Виртуалниканали 65536 65536 65536 65536

k= 256 (UNI) k= 256 (UNI)k= 4096 (NNI) k= 4096 (NNI)

Фиг. 68. Виртуални съединания през АТМ – комутатор.

3.3.4. AAL – слой на стандарт АТМ

AAL – слоят (ATM Adaptation Layer) е предназначен да подобри обслужването, предоставено от АТМ – слоя до изискванията на следващия по-горен слой.

AAL - слоят се състои от два подслоя: Долен подслой SAR (Segmentation And Reassembly); Горен подслой CS (Convergence Sublayer) – за конвергенция.

Основната задача на SAR е сегментация на информацията от горния CS подслой на отделни SAR – блокове с размер, подходящ за вмъкване в полето <данни> на АТМ – клетките. Този слой изпълнява и обратната задача при приемане - десегментация.

CS – подслоят извършва конвергиране на потребителския информационен поток от CS – блокове с формати, съответстващи на пет вида трафик.

Потребителският информационен поток от CS – блокове може да бъде един от следните пет вида трафик: Трафик в реално време с постоянна скорост на предаване – протокол AAL 1; Трафик в реално време с променлива скорост на предаване – протокол AAL 2; Трафик от пакети, предавани по предварително установено съединение- протокол AAL 3; Трафик от дейтаграми, предавани без установяване на съединение- протокол AAL 4; IP – пакети – протокол AAL 5.

Фрагментирането на съобщенията в АТМ клетките е показано на ФИГ.69..

CS-подслой

CS - блок

АТМ

кому-татор

Порт ифизи-ческа линия 1 - N

Изх.Порт ифизи-ческа линия 1 - N

Виртуален път 1

Виртуален път к

Виртуален път 1

Виртуален път к

ПОТРЕБИТЕЛСКИ ДАННИ

ДАННИ CS КЧ CSЗЧ CS

сегментацияAALподслой

SARподслой

АТМ – клетка АТМ слой

5 В 48В

Фиг. 69. Капсулация на потребителска информация в АТМ – клетки.

3.4. Стандарт ISDN

В стандарта ISDN (Integrated Service Digital Network) е описана цифрова мрежа с интеграция на услугите. Осигурява се пренасяне в цифров вид на: компютърни данни, глас, видеоинформация, факсимилна информация и музика.

Развитието и внедряването на концепцията за ISDN се разглежда като развитие и внедряване на нова информационна технология, интегрираща в себе си двата най-важни за комуникационната техника процеси – предаване на съобщенията и тяхната комутация. Стандартът ISDN е технологията, която решава проблемите породени от интензивното развитие на комуникациите в информационното общество.

Пoявата и развитието на стандарта ISDN е обословено от: Нарастването на обема на дискретната информация, предавана по различните

комуникационни канали; Предимствата на цифровите методи за предаване, обработка и комутация; Достиженията в областта на цифровите многоканални системи.

Техническата база на ISDN са многоканалните системи с временно уплътняване на каналите и цифровите схеми за комутация. Използвани са достиженията в областта на оптическите свръзки и елементната база, позволяващи достигане на големи магистрални скорости за предаване на данни. Това позволява интегриране на всички видове връзки в широколентови комуникации.

Стандартът ISDN се развива на базата на цифрова телефонна мрежа IDN (Integrated Digital Network). Тази мрежа пренася глас в цифров вид и използва стандарта Х.25 с комутация на пакети – Фиг.70..

УСЛУГИ

ДАННИ SARKЧSAR

ЗЧSAR

ДАННИ АТМЗЧ

С комутация на канали

С комутация на пакети

Некомутируеми точка-точкаУправление на повикването

ISDNкому-татор

ISDNкому-татор

IDN - мрежа

Фиг.70. Конфигурация на ISDN – мрежа.

Услугите на ISDN – мрежата се делят основно на три вида:1. Преносни услуги, които се използват за: Пренасяне на глас, видео и аудио информация по комутируеми канали със скорост 64 Kb/s (В – канали ); Предоставяне на цифрови комутируеми канали (Н – канали) с по-високи скорости на предаване, кратни на 64 kb/s; Пренасяне на данни по виртуални съединения с Х. 25 комутация на пакети; Пренасяне на данни във вид на дейтаграми без установяване на съединение.

Стандартите на тези услуги покриват функциите и протоколите на долните три слоя на отврения модел за комуникации.

2. Телеуслуги. Тези услуги са за комуникация “от абонат до абонат”. Обхващат се всички слоеве на OSI – модела и се заключават в следното: ISDN – телефон – високо качество, добро отношение сигнал/ шум, използва се канал с лента 3100 Hz и 7000 Hz за предаване на стерео звук и провеждане на конферентни разговори; ISDN – телетекст – това е протокол за предаване на буквено-цифрова информация – една страница формат А 4 се предава за по-малко от 1 s при скорост 64 Kb/s; ISDN – телефакс - страница с формат А 4 обикновен телефакс предава за повече от 20 s , а с ISDN – телефакса за 3 s ; ISDN – видеотекст - използва се за търсене на информация, обучение, игри, пазаруване, резервация на билети и други; Видеотелефон – за предаване на глас и движещо се изображение, използва се подходяща разделителна способност и компресия; Специални ISDN услуги – това са телеграми за пожар, бедствие, грабеж и телеметрия за дистанционно отчитане и управление на промишлени процеси.

3. Допълнителни видове услуги: Това са услуги, чрез които се подобрява качеството на комуникациите. Заключават се в следното: Изчакване на зает абонат при повикване;

Индикация на номера на викащия абонат; Регистрация на входящи повиквания; Прехвърляне на повиквания; Бързо избиране на абонат; Провеждане на конферентни разговори; Сигнализация за текущо таксуване при разгвор.

3.4.1. СТАНДАРТ B – ISDN

Стандартът B – ISDN осигурява интерфейс за скорост до 622 Mb/s с възможност за увеличаване на скоростта за в бъдеще. Стандартът поддържа комутируеми и постоянни съединения от типа “точка – точка” и “точка – много точки”. Осигуряват се услугите:1. Разговорни услуги - в реално време “от край до край” двупосочни и еднопосочни: Предаване на движещи се изображения, съпроводени със звук; Предаване на звук; Високоскоростно предаване на данни; Високоскоростно предаване на документи.

2. Съобщителни услуги – извършват се в нереално време, чрез комутация на съобщения и пощенски кутии.3. Услуги за извличане на различна информация от мрежата - видео – текст,

телетекст, реклами, справки.4. Разпръскващи услуги - от типа “точка – много точки” за разпространение на

документи, периодичен печат, книги, видео информация, телевизионни програми.Характерно за стандарта B – ISDN е, че използваните комуникационни линии са

основно влакнесто-оптични. Връзките между междинните пунктове (комутатори) са изпълнени по стандарт с влакнесто-оптични линии.

Стандартът B – ISDN предлага три вида скорости за предаване: Пълнодуплексна скорост от 155,2 Mb/s; Асиметрична услуга на скорост 155,2 Mb/s от абоната към мрежата и 622, 08 Mb/s в обратна посока; Пълнодуплексна скорост от 622, 08 Mb/s – ползва се от видеодоставчиците.

3.4.2. Управление на комуникционни мрежи от стандарт ISDN

Под управление на ISDN се разбира процеса на привеждане и поддържане на мрежата в състояние, при което функционирането й е оптимално, в смисъла на избрания критерий с отчитане на съответните ограничения, чрез избор на управляващи въздействия от множество възможни.

Системата за управление на ISDN представлява съвкупност от апаратно-програмни средства, предназначени за изграждане и контрол на съединени, за приемане, натрупване , предаване и обработка на информация.

Под структура на системата за управление на ISDN се разбира съвкупността от отделните й подсистеми и връзките между тях, разглеждани в процеса на взаимодействие с управлявания обект.

В стандарта ISDN могат де се отделят четири основни нива на управление:1. Поддържане в изправно (работно) състояние на отделните програмно-апаратни

средства, когато обекти за управление са средствата, изграждащи мрежата, а цел на управлението е осигуряването с различни методи (въвеждане на излишество, дублиране, резервиране, тестване и т.н.) на зададените параметри за надеждност на мрежата;

2. Управление на доставката на порциите информация на зададения адрес, когато обекти на управлението са комутационните системи на крайните възли, а основната цел на управлението се явяват избора на път в комутационната система, създаване на маршрут за предаване в съответствие с адреса и удовлетворяване на някои допълнителни изисквания (приоритет, времето за доставка, достоверност и т.н.). На това ниво се извършва и управлението на комутацията. В междинните възли с програмно управление, използвани в ISDN е възможна реализацията на адаптивни алгоритми, способни да реагират на изменящите се параметри на входящите и изходящите потоци, както и да извършват оценка на състоянието на комутационната система на възлите;

3. Управляване разпределението на комуникационните канали и регулиране (ограничаване) интензивността на потоците потребителска информация, когато обекти на управление се явяват крос-системите, а основна цел – разпределение и преразпределение на каналите между вторичните мрежи, създаване на сноп от прави канали и изработване на алгоритми за удовлетворяване изискванията за доставка на информация при изменения в мрежата или в интензивността на потоците. С други думи, на това ниво се осъществява управление на предаваната информация, заключаващо се в управление на интензивността на потоците и маршрутизацията им.

4. Комплексно управление на ISDN, като технико-икономическа система, включващо задачите по административното управление, управление на експерименталните изследвания и мрежовите измервания, които с отчитане сложността на ISDN като обект за управление са автоматизирани.

Тъй като ISDN са интегрални мрежи, то функциите за които те са предназначени, са интегрирали в себе си много от функциите на еднородните мрежи. Освен това, паралелно с развитието на интегралните мрежи възниква задачата за осигуряване на взаимодействието им с компютърните мрежи, поради което управлението на процесите за обмен на информация в ISDN е целесъобразно да се организира на базата на концепцията и стандартите, приети за съществуващите в момента мрежи. Общоприет модел за изграждане на комуникационни мрежи, както и на стандарта ISDN е OSI модела.

Методите и алгоритмите за комутация, маршрутизация и ограничаване на потоците в ISDN се реализират в протоколите на каналния, мрежовия и транспортния слой. От тази гледна точка задачата за управление на процесите на обмен на информация в ISDN се превръща в задача за избор на оптимални , по отношение на някакъв избран критерий, методи за маршрутизация и ограничаване на интензивността на потоците в мрежа със зададена топологическа структура, при съответстващи ограничения. От друга страна, процеса на обмен на информация в стандарт ISDN е тясно свързан с използваните в мрежата методи на комутация. Това налага по-подробното разглеждане на съществуващите методи за комутация, с цел разкриването на възможностите за използването им в ISDN.

Понастоящем в съществуващите КМ се прилагат основно два метода за комутация: комутация на каналите (КК) и комутация на съобщенията или пакетите (КС/КП). Методът с КП се прилага в две разновидности: 1/ комутация на дейтаграмите при който всеки пакет от дадено съобщение получава адреса на получателя и може да се придвижва по маршрут, често пъти различен от маршрутите на другите пакети от същото съобщение и 2/

комутация на виртуални канали (ВК)), при който всички пакети от едно съобщение преминават по един и същи маршрут, определян във фазата на установяване на виртуалния канал. Достойнствата и недостатъците на методите КК и КС (КП) са изследвани многократно. По-широко приложение в КМ последните години е намерил метода с КП. Този метод има много предимства, но и много недостатъци, поради което в ISDN се използва и метода с КК. Избора на метода за комутация в съществуващите КМ се определя като се изходи от особеностите на предаваните съобщения. За съжаление такъв подход за ISDN се оказва невъзможен, поради разнообразието на информационните потоци в нея.

Стремежа за преодоляването на “чистите” методи за комутация е довел до появяването на голям брой методи за хибридна и адаптивна комутация, от които най-перспективни от гледна точка на използване на каналите и икономическа ефективност са методите за адаптивна комутация. При тези методи се извършва динамично разпределяне на пропускателната способност на каналите в зависимост от състоянието на мрежата в даден момент. Изследванията показват, че използването на хибридните и адаптивните принципи на комутация дава възможност за постигането на висока ефективност при функционирането на цифровите мрежи, като осигуряват в същото време необходимото качество на обслужването на потребителите. В цифровите мрежи, характеризиращи се голямото си разнообразие на предаваната информация и специфичните изисквания към качеството на предаване, използването на методите за хибридна и адаптивна комутация, се превръща в необходимост.

Управлението на процеса на обмен на информация в ISDN се характеризира със следните особености:

Мрежата, по която се предава служебна информация за управление на обектите, притежава същите характеристики, каквито и цифровата мрежа, в която се извършва обмен на потребителска информация, така че в общия случай тези мрежи са еднакви;

Елементите на системата за управление са териториално отдалечени един от друг. Следователно информацията за състоянието на обектите винаги ще закъснява и ще отразява минало състояние на процеса на обмен на информация. С други думи, решението за управление ще се приема на основата на информацията за минало състояние на процеса;

Пропускателната способност на ISDN, представляваща количеството информация (бит/с), предавано едновременно между всички КВ за единица време, при известни условия може да бъде по-малка от производителността на източниците;

Непрекъснато изменение на работните условия на ISDN – случайни изменения в интензивността и направленията на входящите потоци случайни грешки в предаваната цифрова информация в каналите;

Случайни изменения в топологическата структура, вследствие повреди в КВ или каналите;

Еволюционни изменения в топологическата структура, т. е. добавянето на нови възли, канали и т.н..

Задачата за управлението на обмена на информация, обикновено се свежда до задача за управление на потоците в мрежата. Задачата за управление на потоците се заключава в ограничаване на интензивността им с оглед предотвратяване на претоварването в мрежата (водещо до блокиране на работата й) и в разпределение на потоците (маршрутизация). В цифровите мрежи от различен тип (в това число и ISDN) се използват две групи методи за управление интензивността на потоците: централизирани и децентрализирани. При централизираните методи необходимата обобщена служебна

информация за състоянието на мрежата се набира от централния управляващ възел от междинните възли, към които се изпращат съответни команди. Децентрализираните методи биват локални и глобални. Децентрализираните методи са получили по-голямо приложение. При тях ограничаването на потоците може да стане или като се ограничава натоварването на междинните възли, или като се ограничава производителността на самия информационен източник.

При локалните методи решение за ограничаване на потоците взема отделният възел. Глобалните методи се реализират във два варианта: изоритмично управление, при което общият брой пакети в мрежата се поддържа постоянен и с непрекъснато управление, при което се ограничават потоците на всяка двойка взаимодействащи си възли.

Управлението на разпределението на потоците (маршрутизацията) се свежда до управление структурата на мрежата, което се реализира или чрез изменение капацитета на каналите, или чрез преразпределянето им. Използват се три групи методи:

Методи за преразпределяне на маршрутите, заключаващи се в определяне на реда за избора на обходните маршрути (свързано е с изменения в така наречения план за разпределение на информацията) или в управление на конфигурацията на маршрута;

Методи, свързани с управлението на броя на допустимите обходни маршрути;

Методи за управление на режима на комутация на каналите на избрания маршрут.

Планът за разпределение на протоколните единици определя реда за избор на маршрут за движение на потоците. Задава се най-често във вид на маршрутни таблици за всеки междинен възел. Съществува голямо разнообразие от методи за избор на маршрутите, използвани в цифровите мрежи от различен тип. В качеството на класификационни признаци най-често се използват:

Насочеността на потоците информация; Начина на отчитане на текущото състояние на мрежата; Начина на разпределение на информацията по възможните маршрути;

централизация на управлението; Използваната информация за избора на маршрута; Начина на получаване на тази информация.

В цифровите мрежи най-широко приложение са намерили адаптивните методи и методите за зонова маршрутизация.

Адаптивните методи за маршрутизация се характеризират с това, че нямат твърдо установени маршрутни таблици към междинните възли. На основата на качествен анализ на методите за адаптивна маршрутизация, използвани в действащите възли, са определени основните параметри на тези методи, определящи способността на процеса на обмен на информация да се адаптира към стохастичните изменения на условията в мрежите. Такива параметри са:

Част от служебната информация, необходима за нормалната работа на алгоритмите за маршрутизация;

Глобалност, под което се разбира свойството на тази информация да отразява състоянието на определен участък от мрежата или на цялата мрежа;

Актуалност на информацията.

Именно тези характеристики на служебната информация, на базата на която функционират алгоритмите за маршрутизация в цифровите мрежи за информационен обмен, определят нейната адаптация към отказите на каналите и междинните възли, към претоварването и блокировката на комуникационната мрежа.

Анализът на методите за маршрутизация, многочислените изследвания, както и опита от експлоатацията на съществуващите компютърни мрежи показват, че нито един от методите за маршрутизация не може да осигури желаната адаптация напълно. Ето защо, специално за цифровите мрежи са създадени и изследвани комбинирани алгоритми за маршрутизация, осигуряващи компромисно решение на алтернативата “глобалност – актуалност” на служебната информация, при съответстващи ограничения на частта информация, създаваща допълнителен трафик в стандарта ISDN.

В съответствие с такъв комбиниран подход е разработен конкретен алгоритъм за маршрутизация, наречен алгоритъм за адаптивна маршрутизация с ограничен избор на изходящите канали. Маршрутната таблица при този алгоритъм се изгражда на основата на съчетаването на принципите на фиксираните многомаршрутни и локалните адаптивни алгоритми за маршрутизация. Използването на принципите за построяване на многомаршрутни методи за маршрутизация осигурява до известна степен удовлетворително решение на едната страна на алтернативата - глобалност. Използването пък на принципите за построяване на локалните адаптивни алгоритми осигурява решението на втората страна на алтернативата – актуалността на служебната информация, т. е. минимизирането на служебния трафик в ISDN.

Приемливи характеристики на служебната управляваща информация в големите мрежи, към които спадат и ISDN могат да се получат и при използването на методите за зонова маршрутизация. Според тези методи цялата територия, обхващана от мрежата, се разбива на зони. Вътре във всяка зона, както и между зоните, се използват отделни адаптивни алгоритми за маршрутизация. Избора на метода за маршрутизация вътре в зоната и между зоните ще се влияе както от топологическата структура на зоновата и междузоновата мрежа, така и от характеристиките на трафика им. Ако зоните имат централизирана топология, то целесъобразно е използването на централизирано управление. При разпределена структура на зоновите и междузонови мрежи за предпочитане са методите за децентрализирано управление разпределението на потоците в тях.

В общия случай управлението на процесите на обмена на информация в стандарта ISDN може да бъде сведено до управление на маршрутизацията, ако интензивността на входящите в мрежата потоци е сравнително ниска. При увеличаване на интензивността възниква опасност от претоварване на мрежата (макар че локални претоварвания могат да възникват и при ниска интензивност), налагащо ограничаване на потоците информация.

По такъв начин, главна задача на системата за управление обмена на информация в транспортната система на стандарта ISDN се явява осигуряването на необходимото качество на обслужване на всички класове потребители. Постигането на желаното качество на обслужване, при отчитане на влияещите върху него фактори, може да бъде осъществено само, ако експлоатация на мрежата се извършва в условията на динамично изменение на някои системни параметри в протоколите на транспортната система. Необходимото условие за управление на качеството на обслужване е реализацията на комплекс от мрежови средства за измерване и оценка на показателите за качество и съответните средства за управление, явяващи се част от програмното осигуряване на цифровите системи за комутация на възлите.

Като особеност на управлението на обмена на информация на транспортно ниво в ISDN може да се счита принципната възможност за избиране на технологията за предаване на информацията в момента на създаването на логическо съединение, в зависимост от състоянието на мрежата. Тази особеност спомага за постигане на желаното качество на обслужване на потребителите.

В качеството на пример и като методологична база за системно мрежово управление може да се разгледа разработената неотдавна архитектура на TMN (Telecommunication Management Network). Характерното за тази архитектура е:

Изгражда се като система с разпределена интелигентност в отделните си йерархични нива, т. е. представлява симбиоза между положителните страни на централизираната и децентрализираната система за управление;

За системен хардуер TMN ползва съвременни професионални микрокомпютри, устройства за визуализация и специализирани комуникационни процесори, функциониращи под управлението на мощни платформени и мрежови операционни системи;

Приложният софтуер е реализиран преимуществено на езика MLL, CHILL, PROTEL, СИ и Паскал;

Използване на достиженията на експертните системи за целите на апаратната и програмна диагностика на повредите и отказите.

В структурно отношение, базираните на архитектурата на TMN автоматизирани системи за управление на стандарт ISDN (национални и ведомствени) се изграждат основно на две йерархични нива:

Ниво на мрежов център за управление NMC (Network and Management Centre);

Ниво на регионалните (доменните, клъстърните) центрове за управление OMC (Operation and Maintenance Centre).

С цел повишаване надеждността на системата за управление на мрежата се препоръчва изграждането на два вида NMC – основен и резервен.

Основните функции, изпълнявани от ОМС центъра са следните: Регистриране и обработка на алармени съобщения; Дистанционно управление на елементите на мрежата; Изпращане на агрегирани данни към NMC центъра; Поддържане на интерфейс към други ОМС , към съществуващата

регионална аналогова обществена телефонна мрежа и към мрежата за свръзка с мобилни обекти .

Центърът NMC реализира системния и мрежовия контрол с изпълнението на следните функции:

Контрол на отказите и повредите в мрежата; Конфигуриране и реконфигуриране на мрежата; Определяне на разходите за поддръжката и трафиците; Динамично адаптивно управление на маршрутизацията на информационните

потоци; Контрол на работата на системата за сигнализация; Експлоатационен контрол; Контрол на достъпа до ресурсите на мрежата и др.

Подобен подход на реализиране на автоматизирана система за управление на стандарт ISDN използват фирмите Siemens и Ericsson на базата на цифрови автоматични централи съответно EWSD и AXE (MD – 110).

Българската телекомуникационна компания /БТК/ също използва подобен подход при изграждането на системата за управление на националната мрежа ISDN.

В заключение трябва да се подчертае, че за разглежданите ISDN засега не съществува удовлетворително решение на задачата за управление на информационния обмен. Основна причина за подобно състояние на проблема е отсъствието на единна концепция за развитието на стандарта ISDN, както и липсата на подходящ модел на процеса на управление на обмена на информация в стандарт ISDN.

ГЛАВА 4. МЕЖДУМРЕЖОВИ КОМУНИКАЦИИ.

При междумрежовите комуникации се налага съгласуване на хетерогенни мрежи съставени от различни видове работни станции и сървъри с различни операционни системи, на които са инсталирани различни стекове от мержови протоколи и приложни програми. При тези мрежи е необходимо да се реализират два вида съгласувания: Съгласуване на нивото на долните слоеве на OSI модела - Internetworking; Съгласуване на горните слоеве на OSI модела - Interoperability.

4.1. Съгласуване на компютърните мержи в долните слоеве на модела

Когато горните слоеве на мрежите използват еднакви протоколи, а долните различни между тях се поставят различни устройства като: повторители, концентратори, модеми, мостове, маршрутизатори, мостмаршрутизатори и комутатори.

4.1.1. Повторители

Повторителят (repeater) е междинен усилвател, разположен между два локални сегмента на компютърната мрежа (Фиг.71.). Той приема сигналите, въстановявя ги по форма и ги усилва до стандартното ниво, с което се увеличава дължината на сегмента на локалната мрежа. Повторителят функционира на нивото на физическия слой на OSI модела.

Фиг.71. Повторител.

4.1.2. Концентратори

Концентраторите функционират само във физическия слой на OSI модела.Тези устойства позволяват лесно вколючване на допълнителни възли в локалните мрежи. Известни са два вида концентратори: Пасивни концентратори; Активни концентратори.

Пасивните концентратори разпределят сигналите и съгласуват включените междинни възли. Активните концентратори освен разделителните функции усилват сигналите и компенсират затихването им по линиите за връзка.

В локалните компютърни мрежи изградени по стандартите IEEE 802.3 10 Base T и IEEE 802.12 (100VG – Any LAN). Концентраторите се свързват иерархично на три нива за стандарта 10 Base T и 5 нива за 100VG – Any LAN.

Стандартът 10 Base Т използва физическите топологии “звезда” или “дърво” (Фиг.72.), като логическата топология е тип “шина”.

Фиг. 72. LAN с главен и междинни концентратори на две нива.

За стандартът IEEE 802.12 (100VG – Any LAN) концентраторите изпълняват и функции типични за МАС подслоя на отворения модел, като осигуряване на приоритетен достъп до комуникационната среда, при заявка от краен възел.

Стандартът 802.5 (Token Ring) изисква използване на концентратори тип MAU, които позволяват включване на нови възли в мрежата и изключване на повредени възли с цел въстановяване на кръга. Освен, че концентраторите са център на локалните компютърни мрежи, чрез тях се разширяват и възможностите за реконфигурация на мрежата, като към тях се включват мостове, комутиращи и маршрутизиращи възли.

Комутатора Super Stack II на фирма 3COM поддържа две скорости 10 Mb/s и 100 Mb/s. Скоростта, с която работи насрещният възел се разпознава автоматично и този комутатор притежава възможности за междумрежова комуникация.

4.1.3. Модеми

Модемът (Modem) е комуникационно устройство за предаване и приемане на цифрови данни през аналогови линии. В кпмпютърните мрежи се използва за отдалечен достъп на потребители до локални и глобални компютърни мрежи.

Отдалеченият достъпът до локалната компютърна мрежа се управлява от специален RAZ – сървър (Remote Access Server), който позволява еденовременно включване на 256 отдалечени потребителя за мрежовата операционна система Windows NT (Фиг.73.).

Телефоннамрежа

модем модем РС RAS LAN сървър

МК

ГК

МК

РС РС РСРС РС

Фиг.73. Отдалечен достъп до LAN чрез модем и телефонна линия.Потребителите получават отдалечен достъп до локалната компютърна мрежа чрез

Internet протокола PPTP (Point to Point Tunneling Protocol). Този протокол капсулира данните на протоколите IP и IPX и създава условия те да се пренесат през “тунел” по Internet.

На Фиг.74. е показан начина на свързване на два отдалечени компютъра през телефонна мрежа с помоща на два модема.

Телефонна

модем мрежа модем РС 1 РС 2

Фиг.74. Комуникация между компютри чрез модеми и телефонна линия.

В компютърните мрежи се използват модеми с възможности за: Автоматично набиране на телефонни номера и/или отговаряне на повиквания; Свързване към модем посредством парола с последователно прекъсване на връзката и обратно позваняване за “подслушване” на линията с цел адаптиране на скоростта на предаване. Активиране на пейджър при пристигане на факс или телефонно съобщение; Свързване с пощенски кутии за гласови съобщения с пароли на различни потребители; Отдалечен достъп чрез пароли за тестване и конфигуриране.

Съществуват цифрови DSDV модеми (Digital Simultaneous Data and Voice) за едновременно предаване на глас и данни.. Чрез тях може да се говори по телефон и данните да се приемат и изобразяват на персонален компютър. Модемите работят в два режима: Команден режим – модемът получава и изпълнява команди от крайно DTE устройство (компютър); Режим на предаване на данни – съобщенията се преобразуват и предават или приемат по или от комуникационната линия.

Модемите се превключват от режим предаване в приемане и обратно за 1 s. с команда от три последователни знака “+++”. По-голямата част от модемите изпълняват набор от стандартни команди.

4.1.3.1. Устройство на модемите.

Модемите се състоят от пет основни елемента: DTE - интерфейс; Микроконтролер; Модулатор; Демодулатор; Линеен интерфейс.

Модулаторът и демодулаторът се изпълняват като един възел.DTE – интерфейсът е средство за свързване на модема с крайното DTE –устройство,

което може да бъде компютър, терминал, хост, мост или маршрутизатор. Външните модеми се свързват с персоналните компютри чрез един от сериините (COM) портове. Използваните

стандарти за DTE – DCE интерфейси са: RS – 323 c/v .24;RS – 422 IV.36;RS – 485;RS – 530;H.21;V.35;G – 703 и др.

Микроконтролерът служи за подготовка на данните. Той анализира входящия поток от данни, компресира го, променя кода в по-ефективен и извършва шумоустойчиво кодиране.

Модулатор – демодолаторът преобразува цифровите сигнали на микроконтролера в аналогови сигнали съвместими с телефонната линия. Модулаторът и демодулаторът се изпълняват като един възел. В зависимост от парамертъра на сигнала, който се променя съществуват различни видове модулации: Амплитудна модулация(ASK); Честотна модулация(FSK); Фазова модулация(PSK); Диференциална фазова модулация(DPSK) с 2 или 4 фази.

Потребителският интерфеис е средство за взаимодействие на потребителя с модема използва се за настройка и диагностика на модема и може да се реализира чрез: Индикаторни светодиоди; Високоговорител; Светлинен дисплей; Течнокристален дисплеи.

Линейният интерфейс осигурява връзка на модема с комуникационната линия. Сигналите в изхода на модема се формира и усилва до нивото на телефонните сигнали.

4.1.3.2. Класификация на модемите.

Класификацията на модемите се извършва по следните показатели: вид на използваните линии; режим на работа; режим на предаване и приемане; разположение на модема; начин на свързване на модема. В за висимост от използваните линии модемите се разделят на две групи: Модеми за комутируеми линии; Модеми за арендовани линии;

Широко приложение намират модемите използващи арендовани линии за предаване на данни. Това са XDSL и HDSL (High Bit-rate Digital Subscriber Line). Тези модеми пренасят данни със скорост до 2 Mb/s в дуплексен режим на разстояние до няколко километра. Използваните линии са медни усукани двойки с дебелина на проводниците 0.5 mm.

В зависимост от режима на работа модемите се делят на: Асинхронни модеми; Синхронни модеми.

В зависимист от режима на предаване и приемане модемите се делят на: Пълнодуплексни (Full Duplex) модеми; Полудуплексни (Half Duplex) модеми; Симплексни модеми.

Симплексните модеми се използват само за режим “предаване” или “приемане”. В зависимост от разположението с компютъра модемите се делят на:

Външни модеми; Вътрешни модеми.

От своя страна вътрешните модеми се делят на: Модеми поставени в разширителния слот на PC; PC – карт модеми за Laptop;

В зависимост от начина на свързване модемите се делят на: Модеми с директно свързване чрез съединител RJ - 11 към телефонна линия; Модеми с акустичен съединител (адаптер).

4.1.3.3. Международни стандарти за модеми.

Стандартите за разработване на модемите са създадени основно от следните организации и фирми: Международния телекомуникационен съюз (ITU); Фирма Micro com – стандарти MNP; Американски стандарти – Bell.

Стандартите ITU основно са предназначени за предаване на данни по телефонни мрежи. По-важните от тях са: V. 21; V. 22; V. 22 bis; V. 23; V. 32; V. 32 bis; V. 32 turbo: V. 34(V.fast); V. FS; V. 42; V. 2 bis; V. 90. С нарастването на номера на версията се повишава скоростта за предаване на данните.

Стандарта MNP (Micro com Networking Protocol) изисква апаратна реализаци. Определена е технологията на компресия, както и методита за откриване и/или коригиране на грешките при предаване и приемане на данни. Стандарта е развит по класове. Започва се от клас MNP-1 и завършва с клас MNP-10. Всички модеми от стандарта са обратно съвместими. При установяване на връзка между два MNP модема се избира най високия възможен клас.

4.1.4. Мостове

Мостът (Bridge) е устройство за свързване на локални компютърни мрежи на нивото на каналния слой на отворения модел – (Фиг.75.).

МОСТ

Фиг.75. Схема за свързване на мост.

22

1 11 1

2

LAN 1 LAN 2Локаленмост

Фиг. 76. Схеми за свързване на локални мрежи с мостове.

Съществуват два вида мостове, с приложение показано на схемита на Фиг.76.: Локални мостове за свързване на близко разположени локални мрежи; Мостове за свързване на локални мрежи на големи разстояния.

Мостовeте се използват за сегментиране на големи и претоварени локални мрежи. Генерираните кадри от едната мрежа и предназначени за другата се разпознават по MAC адреса на възела получател. Форматът на кадъра преминал през моста към друг сегмент не се променя. От гледна точка на каналния слой мостовете се разделят на два вида: MAC – мостове, действащи на нивото на MAC – подслоя; LLC – мостове, действащи на нивото на LLC – подслоя.

MAC – мостовете се използват за свързване на еднотипни локални компютърни мрежи, като 802.3 с 802.3, 802.5 с 802.5 и т.н..

LLC – мостовете се използват за свързване на локални компютърни мрежи с различен формат на кадъра, като 802.3 с 802.5.

MAC – мостовете се разделятна още два вида: Интервални мостове(Sponning Tree Bridges); Маршрутизиращи мостове от източника (Source Routing Bridges).

Интервалните мостове работят по стандарта IEEE 802.3. и използват алгоритъм “покриващо дърво”. Наричат се “обучени”, защото научават MAC – адресите на свързаните към тях крайни възли, чрез самообучение при преминаване на кадрите през мостовет. Проектирани са за неразклонени локални компютърни мрежи за да изглеждат като една мрежа. Мрежите се конфигурират програмно в дървовидна топология от администраторите.

МОСТLAN 1 LAN 2МОСТ модем модем

Мост 1

Мост 2 Мост 4Мост 3

LAN 1

LAN 5

LAN 4

LAN 3

LAN 2

Фиг.77. Схема на свързване на LAN 802. 3.

Работата на интервалните мостове се базира на таблица с MAC – адреси, която те построяват чрез самообучение. Когато получи кадър на своя порт мостът проверява дали указания в него MAC – адрес на възела получател се съдържа в таблицата му. Ако адресът го няма в таблицата мостът изпраща кадъра до всички останали портове. Този вид мостове не се интересуват от точния маршрут на преминаване на кадрите. Те се интересуват единственно от номера на порта си към който трябва да пренасочи съответния кадър.

Маршрутизиращите мостове работят по стандарта IEEE 802.5 и се използват за свързване на Token Ring мрежите. Мостовете пренасочват кадрите на базата на маршрутна информация записана в тях от крайния възел подател.

Фиг.78. Схема на свързване на LAN в смесена топология

Двата типа мостове не са съвместими. В смесените конфигурации на локалните мрежи се използват транслиращи LLC – мостове.

4.2. Съгласуване на компютърните мрежи в горните слоеве на модела

4.2.1. Маршрутизатори (Routers)

Маршрутизаторите са многопротоколни устройства за свързване на хетерогенни мрежи на нивото на мрежовия слой на OSI – модела. При тях доминират маршрутизиращите функции пред комутиращите. КВ1 КВ2

Рутер

Мост1

11Мост2

Мост4

Мост3 Мост3

LAN1

LAN2

LAN3

LAN5

LAN4

7 7

3’

2’

3

2 2 2’

3

Фиг. 79. Схема за свързване на рутер.

Прието е маршрутизаторите да се наричат още “рутери”. Те идентифицират протоколите на ниско ниво, избират маршрут на пакета, откриват грешки и актуализират таблицата за мрежовите топологии, която се използва за маршрутизиране.

Всеки порт на рутера има свой уникален адрес в зависимоси от типа на мрежата, към която е свързан. Те са сложни и скъпи устройства. Могат да се реализират и чрез инсталиране на подходящ софтуер в обикновен компютър.

Преди да се изпрати пакет към възел получател, рутерът анализира условията на трафика и избира един от няколко алтернативни маршрута за предаване на базата на критерии за оптимизиране. В следствие на използването на софтуерни решения рутерът има ниска скорост на маршрутизиране, в резултат на което се намалява производителността на мрежите.

Съществуват многопротоколни рутери, чрез които се обединяват локални мрежи използващи различни канални и физически протоколи. Мрежовите протоколи, които допускат рутиране са: IPX, IP, XNS и DDP.

Рутерите се използват за свързване на локални мрежи към глобални или за обединяване на няколко локални мрежи в глобална.

4.2.2. Мост – маршрутизатори (Bruters)

Мост – маршрутизаторът е устройство, което се използва като мост за някои пакети на каналния слой и като рутер за други пакети. Той може да работи като рутер за някои протоколи и като мост за други протоколи.

4.2.3. Комутатори (Switches)

Комутаторът е концентратор с възможност да комутира кадри в каналния слой. Използва се за намаляване на вероятността за конфликти в мрежите функциониращи по протокол IEEE 802.3 и за увеличаване на скоростта на предаване на данни. Комутаторите използват три вида комутации: Статична комутация; Динамична комутация; Комутация на сегменти.

При статичната комутация мрежовият администратор премества програмно потрбителите от един сегмент в друг. По този начин някои потребители се преместват от претоварен сегмент на мрежата в друг по-малко натоварен.

Динамичната комутация осигурява непрекъсната комутация между мрежовите устройства. Непрекъснато се създават динамични съединения между портовете на

1’1 1 1’

комутатора, като комутацията се извършва на базата на адресната информация в кадрите. По този начин в локалната мрежа се създават десетки съединения без да си влияят взаимно.

При комутацията на сегментите към всеки порт на комутаторът се свързва отделен сегмент на мрежата. Комутаторът не е в центъра на локалната мрежа, а в периферията и изпълнява следните задачи: Контролира достъпа до опорната мрежа; Контролира обсега на разпространение на общодостъпните кадри – изпратени до всички; Контролира достъпа до глобалната мрежа или Internet.

Програмното управление на комутираните локални мрежи позволява създаване на виртуални локални мрежи(VLAN). За целта група възли и потрбители се отделят програмно и работят като отделна мрежа. Виртуалната локална мрежа се създава и реконфигурира лесно. Има възможност една работна станция да се включи към няколко такива мрежи. Използват се Ethernet комутатори, които поддържат до 64 виртуални мрежи към един порт.

4.2.4. Шлюзове (Gatеways).

Шлюзът е програмно осигуряване инсталирано във възел посредник за съгласуване протоколни стекове. Софтуерът се инсталира в транспортния, сесииния или приложния слой на отворения модел за комуникации. За да могат две мрежи с различни протоколни стекове да си взимодействат е необходимо и двата стека да се инсталират в шлюза. Те перобразуват както протоколите така и системите за кодиране.

ШЛЮЗ

КВ1 КВ2

Фиг. 80. Функционален модел на шлюз в съответствие с OSI – модела.

Недостатък на шлзовете е, че те работят сравнително по-бавно от крайните възли и концентрацията на съгласуващия софтуер в един възел намалява производителността и

7

6

5

4

3

2

1 1’

2’

3’

4’

5’

7’

6’6

5

4

2

3

1

6’

5’

4’

2’

3’

1’

Транслатор 7 7’

сигурността на мрежата, тъй като при повреда или отказ на шлюза системата престава да работи.

ГЛАВА 5. ГЛОБАЛНА СВЕТОВНА МРЕЖА INTERNET

Internet може да се определи като съвъкупност от иерархично свързани компютърни мрежи. В най – горната част на иерархията стоят няколко опорни мрежи наречени гръбнак на Internet. Тези опорни мрежи са разпределени по една за континентите Северна Америка, Европа и Азия. Изградени са със високоскоростни линии и маршрутизатори с голям ресурс и производителност.

Към опорните мрежи са свързани националните и щатските мрежи, които са мрежи от второ ниво. Към тях съответно са свързани локалните мрежи на доставчиците на Internet, университетските и ведомственни мрежи. Локалните мрежи на някои Internet доставчици много често се свързват директно към някоя опорна мрежа посредством арендована сателитна комуникационна линия.

При създаване на Internet корпоративна мрежа се използва протoколния стек TCP/IP. Тези мрежи използват транспортните услуги на Internet и хипертекстовите технологии WWW. Използваните съвременни компютри с операционни системи Windows, Unix и Linux поддържат стандартно протоколния стек TCP/IP и лесно могат да се включват към глобалната мрежа Internet.

5.1. Протоколeн стек TCP/IP

Комуникационният модел на протоколния стек TCP/IP (Transmission Control Protocol/Internet Protocol) е създаден също като отворен стандарт но има различна философия с OSI - модела. В TCP/IP модела са обособени четири слоя и разделението между тях не строго както в OSI – модела. Маршрутизацията в TCP/IP – модела също е

функция на мрежовият слой, но маршрутизиращите протоколи RIP и OSPF използват протокола UDP, който е от транспортния слой.

Каналният слой (Host – to – network Layer) на модела TCP/IP съответства на каналния и мрежов слоеве на OSI – модела и поддържа всички стандарти за локалните и глобалните компютърни мрежи. Слоят се използа за достъп до компютър, който е част от локална или глобална компютърна мрежа и е свързан към Internet. При осъшествяване на комутиран достъп до Internet посредством модем се използват протоколите SLIP и PPP.

Мрежовият слой (Internet Layer) е слой на междумрежовото взимодействие. Чрез него крайните възли въвеждат пакети с данни в произволна мрежа и ги доставят до предназначения краен възел независимо един от друг. Горните слоеве на модела проверяват и въстановяват правилният ред на следване на пакетите.

7

6

5

4

3

2 1

Фиг.81. Слоеве и протоколи на модела ТCP/IP и тяхното съответствие с OSI - модела

Мрежовият слой съставя маршрута за движение на пакетите от данни от един хост до друг хост преминавайки през една или няколко свързани мрежи посредством рутери. Слоят разглежда пакетите като IP – дейтаграми. Използва се IP – протокол, който работи много добре в компютърни мрежи със сложна топология. Протоколът IP е дейтаграмен протокол, не дава пълна гаранция за доставка на пакетите с данни до получателя и изпълнява две основни функции:

Приложен слой

Транспортен слой

Мрежов слой

Канален слой

MIME

SMTP TEL-NET

FTP DNSSNMP PING

TCP UDP

RIP/OSPF

IEEE 802. 3,4,5,11,12,FDD, X. 25 , Frame Relay, ATM, SLIP, PPP.

ARP RARP IP

ICMP

Фрагментация на съобшенията; Адресация на дейтаграмите.

Протоколът IP изпълнява и три спопмагателни функции, като: Обработка на приоритетите; Класификация на безопастността; Разграничаване на TCP – сегментите.

Протоколът IP е реализиран във всички крайни (Hosts) и междинни (Routers) възли на компютърната мрежа.

Транспортният слой (Transport Layer) на модела TCP/IP скрива детайлите по осъществяването на връзката от приложните процеси и те нямат задължение към функции, като: скорост за обмен; кодови таблици; разделяне на съобщенията на пакети. Слоят използва протоколите TCP и UDP. Протоколът TCP осигурява предаване на съобщенията по виртуални дуплексни съединения „от край до край”. Използва се метода на „хлъзгашия се прозорец” и връщане на положителна квитанция на подателя.

Поток от байтове

TCP сегмент

20 В променлив размер

IP дейтаграма 20 В променлив размер max 64 КВ

кадър

Фиг.82. Капсулация на данните в модела TCP/IP.

Пртоколът TCP в хоста подател приема съобщението от приложния слой, фрагментира го на сегменти и го изпраща по интермрежата посредством протоколла IP. Пртоколът TCP в хоста получател събира сегментите и въстановява съобщението.

Основни функции на протокола TCP са: Въстановяване на изгубен сегмент; Въстановяване на реда за следване на сегментите; Премахване на сегменти дубликати; Управление на потока от данни.

Потребителски данни

З ЧТСП ДАННИTCP

ЗЧIP ДАННИ IP

ЗЧ к ДАННИ к КЧк

Пртоколът TCP взаимодейства “нагоре” с активен приложен процес и “надолу” с протокола IP. Интерфейсът между приложния процес и протокола TCP се реализира с помоща на набор от команди: OPEN – установяване връзка с отдалечен хост; SEND – изпращане на информация към отдалечен хост; DELIVER – доставяна на информация от отдалечен хост; CLOSE – прекъсване на връзка; STATUS – извеждане на състоянието на връзката.

Интерфейсът между протоколите TCP и IP поддържа заявки за следното: Изпращане и получаване на дейтаграми; Адресиране на TСP – модули в хостове разположени на произволно място в глобалната мрежа Internet.

Приложният слой (Aplication layer) на модела TCP/IP е съставен от набор програми, които предоставят определен набор от вид мрежови услуги. Услугита са подобни на тези от модела OSI , но съществува някои несъщественни разлики и особенности.

5.2. Комуникационен сценарии на модела TCP/IP.

Реализираните протоколи в хостовете и IP рутерите поддържат връзка между приложните процеси на крайните устройства в глобалната компютърна мрежа. Комуникацията се осъществява чрез дуплексен канал по логически съединения между портове. Комуникацията между два приложни процеса от различни крайни устройства започва като приложният процес на хоста – подател, който извиква протокола TCP и му предава данни. Най-напред протоколът TCP изгражда логическо съединение между приложните процеса, които ще си обменят данни. Протоколът използва номера на портове за да укаже кой от стартиралите процеси в хоста предава данните. Следва разделяне на получените данни на TCP – сегменти с подходящи размери за мрежата към която е свързан хоста подател. В заглавната част на TCP – сегментите се помества служебна информация за метода за контролиране на грешките и за реда на следване на сегментите.

Предаването започва след като протоколът TCP извиква протокола IP, който капсулира сегментите и ги превръща в IP – дейтаграми. IP – дейтаграмите преминават през серия от IP – рутери за да достигнат до IP – модула на хоста получател. Хостът подател вмъква своя IP – адрес и адреса на хоста получател в заглавната чст на сегментите IP – адресът се състои от две части: Идентификатор на мрежата (Net ID); Идентификатор на хоста (Host ID).

ХОСТ1 ХОСТ 2

Приложен процес А

Приложенслой

Приложенпроцес В

Приложенслой

Поток от данни

Буфери с данни

ТСP сегмент

IP дейтаграма

кадър

Фиг. 83. Схема на комуникация между два хоста по модела TCP/IP.

Малките локални мрежи имат само един IP – рутер и всички дейтаграми за другите подмрежи се предават през него, след което преминават през серия от IP – рутери до пристигането си в IP – рутера на мрежата, в който се намира хоста получател. Когато дейтаграмите преминават през междинните рутери, кадърът на предходната мрежа се премахва, анализира се заглавната част и се определя следващия път по маршрута. Дейтаграмата задължително се опакова с кадър съответстващ на следващата под мрежа.

Всеки рутер има възможност да раздели дейтаграмата на по-малки части - “фрагменти” в зависимост от изискванията на следващата подмрежа. Това се налага за да може полето <данни> да се вмести в кадъра на каналния слой. Не е допустимо в междинните рутери да се извършва дефрагментиране. Този процес се извършва единственно в хоста получател. IP – модулът на хоста получател дефрагментира TCP – сегментите и ги предава на TCP – модула. Протоколът TCP поставя данни в буфери, след което известява приложния процес за пристигането им. Всички IP – дейтаграми се контролират от междинните възли на интермрежата по време на предстоя им в тях. Във всяка от тях има поле, в което е указана продължителността на живот, който има дейтаграмата в интермрежата. Значението на това поле намалява с единица преминавайки през междинен рутер и при изтичане на всяка секунда. Тогава, когато полето <време на живот> се изчерпи дейтаграмата се унищожава и на хоста подател се изпраща съобщение. Коректното предаване на данните се проверява с шестнадесет битова контролна сума, която обхваща заглавната част и полето данни на дейтаграмата. Контролната сума се проверява от всеки рутер, през който преминава дейтаграмата и в хоста получател. При откриване на грешка дейтаграмата се бракува и се изпраща съобщение на хоста подател.

5.3. Сравнение на комуникационните модели TCP/IP и OSI.

Независимо от общите черти между двата модела съществуват и различия, заключаващи се в следното:

Понятията услуги, интерфейс и протокол в модела OSI са рязко разграничени за разлика от модела TCP/IP; Моделът OSI е проектиран и след това са създадени протоколите му. Практическото приложение на протоколите показва, че те не съответстват напълно на модела и се е наложило въвеждане на допълнителни подслоеве. Моделът TCP/IP възниква след създаването на протоколите, като тяхно описание;

Транспортенслой

слой

слой

Транспортенслой

слой

слой

ЗЧ ДАННИTCP

ЗЧ данниIP

данниK KЧ

За разлика от модела OSI моделът TCP/IP може да се използва само за описание на TCP/IP мрежи; Моделът OSI поддържа комуникации с и без установяване на логическо съединение в мрежовия слой и само с установяване на логическо съединение в транспортния слой. Моделът TCP/IP поддържа комуникации само с установяване на логическо съединение в мрежовия слой а в транспортния слой и двата вида комуникации; Моделът TCP/IP се състои от четири слоя а моделът OSI от седем; За разлика от модела OSI, моделът TCP/IP не е строго иерархичен. Някои протоколи в TCP/IP от горните нива се ползват директно от долните – протоколът PING от приложния слой използва мрежовия протокол ICMP без посредничество на междинен протокол; Протоколът TCP/IP се развива основно от потребителите, докато моделът OSI се развива от доставчиците, тъй като той е официален международен стандарт.

5.4. Аресация в модела TCP/IP.

В моделът TCP/IP се използват четири вида адресации в съответствие с броя на слоевете му. Тези адресации са следните: Адресация по локален адрес; Адресация по IP адрес; Адресация по порт; Адресация по DNS символно поле.

5.4.1. Адресация по локален адрес.

Този вид адресация се използва от каналния слой и се определя от технологията на функциониране на мрежата, в която се намира хоста. За локалните мрежи това е MAC – адреса на мрежовия адаптер на хоста или IP – рутера. МAC – адресите на мрежовите адаптери се назначава от фирмата производител на мрежови адаптери и са уникални. Старшите три байта на адреса са идентификатор на фирмата производител. Младшите три байта се дават от фирмата производител и са уникални.

Пример за МАС адрес на мрежов адаптер: 10-В1-06-2С-Е1-11

Локалните адреси на глобалните компютърни мрежи се назначават от администраторите на мрежите.

5.4.2. Адресация по IP – адрес.

Този вид адресация се използва от мрежовият слой. IP - адресът е уникален и се отнася за краен възел или порт на рутер. IP – адресът се назначава от администратор при конфигуриране на компютрите и рутерите. Този адрес се състои от две части: Адрес на мрежата (Net ID); Адрес на хоста (Host ID).

Адресът на мрежата може да се избере произволно от администратор от безплатното адресно пространство или да се даде от специалните адреси на Internet центровете които са: INTERNIC за северна Америка; RIPE – NIC за Европа; AP – NIC за Азия.

Локалния адрес на хоста и IP – адресът са независими. Разделението между адреса на мрежата и адреса на хоста е гъвкаво, като границата между тях е произволна и се определя с помоща на “подмрежова маска” (subnetwork mask). Допуска се един краен възел да влиза в състава на няколко IP – мрежи ако има съответните IP – адреси. Мрежовото съединение се определя от IP – адреса, а не от компютъра или рутера. IP – адресите са четири байтови и се записват с четири десетични числа разделени с точки. В протокола IP са предвидени някои специални адреси като: Когато целият адрес е съставен само от 20 нули се указва хоста, който е генерирал пакета; Ако само частта Net ID от IP – адреса на хоста – получател се състои от 20 той се намира в мрежата на хоста – подател; Ако целият IP – адрес на хоста – получател е от “ 21 ” то IP – дейтаграмата е предназначена за всички хостове, намиращи се в подмрежата на хоста – подател (предаване до всички); Ако само Host ID от IP – адреса на хоста – получател се състои от 21 , това означава, че IP – дейтаграмата е предназначена за всички хостове на подмрежата с посочения Net ID; Ако само Host ID от IP – адреса на хоста- получател се състои от 20 , то IP – адресът указва подмрежата със зададения Net ID; IP – адресът 127.0.0.1 се използва за тестване на протоколния стек TCP/IP, реализиран в дадения хост.

Четвъртата версия на IP – протокола (IP.v.4) определя пет класа IP – адреси (A, B, C. D. E). Различните класовете мрежи са представени в Таблица 5.1

Първият байт на IP – адресите в мрежи клас „А” започва с “ 20 ” и адресите от този клас започват от 1 до 126. Адресът на Net ID заема един байт, а останалите три байта са адрес на Host (Host ID). Клас А адресите се използват за големи мрежи с много крайни възли. Десетичната нула 010 е първото число на IP адресите, а адресът започващ със 127 се използва само за тестване работата на TCP/IP – стека в един възел без да се изпращат пакети в мрежата.

Таблица 5.1.0 7 8 15 16 23 24 31

A 0 Net ID Host IDB 1 0 Net ID Host IDC 1 1 0 Net ID Host IDD 1 1 1 0 Групов адрес (multicast)E 1 1 1 1 0 Запазен за бъдещи нужди

Първият байт на IP - адресите в мрежи клас „В” започва с 210 . IP –адресите

започват с 10128 и завършват с 10191 включително. Този клас адреси се ползва за мрежи със среден размер, университетски мрежи и мрежи на по - големи компании.

Първият байт на IP – адресите в мрежи клас „С” започва с комбинацията 2110 . IP –

адресите започват от число 10192 до 10223 . Използва се за локални мрежи. Net ID заема 3 байта, а Host ID – 1 байт. В такава мрежа може да има до 254 хоста и един рутер.

Първият байт на IP – адресите на мрежи клас „D” започва с 1110. IP – адресите са в диапазона от 10224 10239 включително. Използват се за изпращне на съобщения до група хостове, на които е присвоен уникалния адрес. Този адрес не се дели на Net ID и Host ID.

Първият байт нa IP – адресите на мрежи клас „E” започва с двоичната комбинация 211110 . IP – адресите са в диапазона 10240 10254 включително. Този клас адреси са запазени за бъдещи приложения.

В IP – адресацията се използват “подмрежови маски”, когато адресите Net ID не достигат за да се структурират по-големите мрежи.

Маската е четири байтово число, двоичният запис на което съдържа 12 в битовете, представляващи адреса на мрежата (Net ID) и 02 в Host ID. За мрежи клас А маската е 255.0.0.0; За мрежи клас В маската е 255.255.0.0; За мрежи клас С маската е 255.255.255.0.

5.4.3. Адресация по порт.

Този вид адреси се използват в транспортния слой. Портовете се използват от протоколите TCP и UDP за връзка с приложните процеси.

Портът е 16 битово число. Портовете имат конкретно предназначение в компютърните комуникации и са обвързани със сответен протокол. Порт 21 е стандартно резервиран за протокола FTP а порт 23 за протокола TELNET . По-неизвестните протоколи използват свободно избрани и незаети номера за портове.

Портът и IP - адресът съвместно образуват сокет (socket). IP адресът 193.68.180.5 и порт 21 идентифицират ТСР – съединение. Един сокет може да участва в няколко съединения едновременно.

5.4.4. Адресация по DNS

Приложният слой използва DNS (Domain Name System) – символно поле. Това са имена на хостове и са въведени за удобство на потребителите. Те се помнят по-добре в сравнение с цифрите на IP – адресите. DNS – имената се използват от мрежовите администратори. Състоят се от части, разделени с точки, като старшият домейн е отдясно.

Домейнът в Internet е логческо обединение на хостове от една или различни мрежи. Използват се поддомейни за по-лесно администриране.

Синтаксиса на DNS – имената е следния:Поддомейн N. Поддомейн N – 1 …Поддомейн 1. Домейн.

Пример за DNS – име е WWW. fmi. shu – bg. net: fmi - поддомейн на shu-bg и домейн на fmi; shu – bg – поддомейн на net домейн на fmi.

Имената са част от разпределена база от данни, наречена DNS. Поддържа се йерархична система от имена за идентификация на хостовете и ресурсите в Internet. Основната роля на DNS е търсне на IP – адреси по съответните им DNS – имена. За целта се използва протокола DNS на приложния слой.

Протоколът DNS е асиметричен. В него са дефинирани от администраторите DNS – сървъри и DNS – клиенти.

DNS – сървърите съхраняват части от базата данни за съответствие на DNS – имена и IP – адреси. Тази база от данни е разпределена по административните домейни на Internet. Базата данни на всеки DNS – сървър се нарича още master – file или zone – file.

По правило съдържанието на базата данни в DNS – сървъра е станична и се актуализира три пъти седмично от съответния континентален информационен център (RIPE NIC- за Европа). Разпраща се актуализирана информация до всички DNS – сървъри чрез глобалната мрежа Internet.

DNS – клиентът е програма, която се стартира на компютър, който трябва да разбере даден IP – адрес. DNS – клиентите знаят IP – адреса на DNS – сървъра от своя домейн.

Всеки домейн има два DNS – сървъра: Главен (primary); Допълнителен (secondary) – намира се в мрежа, физически отделена от мрежата на главния DNS – сървър.

DNS - заявка

DNS - заявка DNS - заявка

DNS – отговор DNS - отговорDNS - отговор

Фиг.84. Взаимодействие на DNS – клиент с DNS – сървъри.

DNS - клиентът се обръща със заявка към своя главен DNS – сървър, ако DNS- сървър №1 има информация я връща на клиента, ако няма, връща IP – адрес, към който да се обърне клиента.

DNS - сървърите и DNS клиентите постоянно кешират информацията, предоставяна по заявките. По този начин при следващите търсения времето за достигане до тази информация се намалява.

DNS1

клиентDNS2

сървър DNS3

сървър

DNS – сървърите са съединени помежду си в съответствие с йерархията на домейните, които обслужват. Коренът на DNS - йерархията е в контитенталния център и той няма име.

Домейните от първо ниво са обикновено държавните домейни или на оргнизационна основа: com - комерсиални организации; edu – образователни институции; gov – за правителствени организации на САЩ; mil – за военни организации; net – за мрежи.

Всеки DNS - домейн се администрира от отделна организация, която я разделя на поддомейни и предоставя администрирането на други организации.

За България това е фирма “Цифрови системи” – Варна, която има права над домейна bg. За цяла Европа общият регистър се поддържа от центъра RIPE – Амстердам.

Всеки домейн и поддомейн имат уникално име – до 63 символа. Пълното DNS – име може да е до 255 символа.

5.5. Маршрутизация с IP – адреси.

Маршрутизацията е основна функция на всяка глобална компютърна мрежа. В избора на маршрута участват крайните възли и междинните възли. IP – маршрутизаторите и крайните възли използват маршрутни таблици от типа на показаната на Фиг. 85., която е съставена от четири колони:

В първа колона са NET ID – адресите на мрежите, към които даденият рутер може да изпраща IP – адреси.

Във втората колона са IP – адресите на следващия рутер. Не се указва целия маршрут, тъй като в TCP / IP е приет едностъпков подход (next – hop – routing).

Третата колона съдържа номера на изходния порт, към който рутера трябва да комутира IP – дейтаграмата, за да достигне до следващия рутер.

NET ID на мрежата - цел

IP – адрес на следващия рутер

№ на изходния порт

Разстояние до Мрежата - цел

193.68.150.0193.68.170.0193.70.160.0......................default

193.68.100.1193.160.50.2192.100.70.3...........198.68.100.1

213

..................2

658....-

Фиг.85. Маршрутна таблица, използвана от IP – маршрутизатор.

Четвъртата колона показва разстоянието до мрежата – цел, съгласно избраната система за измерване в скокове.

Последният ред в маршрутната таблица съдържа маршрута по подразбиране (default) до всички останали мрежи – цели, не указани в маршрутната таблица.

Крайните възли и рутерите имат маршрутни таблици, но много често те работят и без тази таблица, като използват IP – адреса на рутера с подразбиране.

В таблицата може да има още два специални записа:

Специфичен маршрут до даден хост; Адреси на мрежи, непосредствено включени към портовете на даден рутер.

Рутерите се различават от крайните възли по начина на изпращане на маршрутната таблица. Те създават своите таблици автоматично, като обменят периодично служебна информация между тях.

В крайните възли тази таблица се създава от администратора “на ръка”. Маршрутните таблици в едностъпковите рутери се създават от два класа алгоритми: Фиксирана (статична) маршрутизация за мрежи с проста топология – създават се “ръчно” от администратора; Адаптивна (динамична) маршрутизация – това е основен метод за мрежи със сложна топология, която често се променя или реконфигурира от повреди, изключване и допълнения. Отчита се както топологията, така и връзките с тяхната пропускателна способност.

Най-използваните протоколи за адаптивна маршрутизация в модела TCP /IP са: RIP и OSPF.

5.6. Протокол за адаптивно рутиране RIP

Протоколът за адаптивно рутиране RIP( Routing Information Protocol) е оригинален протокол на фирмата XEROX, който използва дистанционно векторен алгоритъм за определене на маршрута на пакетите.

Измерването на пътя от предаващия възел до получаващия може да е в “брой скокове” или време за закъснение на пакетите. Векторите на разстоянията се разпространяват итерационно между съседните рутери. След известен брой итерации всеки рутер получава данни за достижимите мрежи и минималните разстояния до тях. Ако се прекъсне връзката с някоя мрежа, то рутерът присвоява на съответния вектор максимално значение 16, което означава недостижимост (16 в RIP).

Недостатъците на протокола RIP са: Максималнато значение на дистанция е “15 скока”; Липсва възможност за обработка на алтернативни маршрути; Използва се евристичен подход на динамично програмиране, който дава решения близки до оптималното, но не е оптимално; Има възможност за възникване на ситуация Live lock - ”мъртва хватка”, при която IP дейтаграмата се върти в кръг.

Голямото и единствено предимство на RIP е простотата за изчисляване на маршрут.Протокол за адаптивно рутиране OSPF (Open Shortest Path First) е съвременна

реализация на алгоритъм за състояние на каналите. Рутерите си обменят информация за каналите на всеки 30 минути, но ако възникне промяна, тя се съобщава веднага.

За критерии при избор на маршрут се използва времето за предаване на един бит, изразено в десетки наносекунди (1* s810

).Протоколът OSPF има следните предимства пред протокола RIP:

Използва се по-точна информация, в резултат на което се създава точен граф на мрежата; Допуска се отделни IP – подмрежи да имат различен брой възли; Допускат се алтернативни маршрути;

Служебният трафик не е толкова интензивен.

5.7. Протоколи на каналния слой на модела TCP / IP

Каналният слой на модела TCP/IP не е регламентиран и се използват популярни международни стандарти за изграждане на локални и глобални компютърни мрежи.

5.7.1. Протокол SLIP

Протоколът SLIP (Serial Line Internet Protocol) е байтово ориентиран канален протокол, разработен за капсулиране и предаване на IP – дейтаграми по серийни линии. Използва се за свързване на домашни компютри към Internet. Връзките се реализират с модем, включен към един от серийните портове на компютрите.

PC модеми

модем IP

Комутируема рутер или наета

линияпотребител

Офис на Internet доставчик

Фиг.86. Свързване на PC към Internet чрез модем

Всяка IP – дейтаграма се изпраща като се капсулира в SLIP – кадри (Фиг.87.).

END END ДАННИ END

1байт 1байт 1006 байта 1 байт

Фиг.87. Формат на SLIP – кадър

Полетата (END) ограничават SLIP – кадъра. Протоколът SLIP има следните недостатъци:

Липсва система за откриване и коригиране на грешки, което се извършва от горните слоеве; Липсва поле <ТИП >за вида на протокола от горния слой, което затруднява комуникацията с мрежи, неизползващи протокол IP; Двете взаимодействащи страни трябва предварителнода знаят своите IP- адреси;

Липсва механизъм за идентификация, което прави протокола SLIP по-удобен за наети линии, отколкото за комутируеми; Няма стандартна реализация на протокола SLIP, което често затруднява комуникацията между някои абонати на мрежата.

5.7.2. Протокол PPP

Протоколт РРР (Point to Point Protocol) е байтово ориентиран канален протокол, разработен за преодоляване недостатъците на протокола SLIP и може да се използва за отдалечено свързване свързване на компютри към Internet чрез модем. Той може да работи с различни протоколи на физическия слой и през различни интерфейси (RS 323, RS 422, RS 423, V.35) без да се налагат ограничения върху скоростта на предаване. Поддържа серия от мрежови протоколи (IP; IPX; OSI – CLNP; XNS; DDP …). Има механизъм за откриване на грешки, допуска договаряне на IP – адреси и идентификация на страните.

Протоколът РРР реализира следните основни функции: Капсулация на мрежови пакети в РРР – кадри с ясни граници и възможност за откриване на грешки при предаване; Осигурява протокола LCP (Link Control Protocol) за начално изпращане, тестване и договаряне на опции в канала; Договаряне на мрежови опции, независимо от използвания мрежов протокол.

Флаг Адрес Управление Протокол ДанниКонтр. поле Флаг

1 1 1 1 или 2 променлива 2 V 4 1 дължина

Фиг. 88. Структура на РРР кадър

Протоколът РРР използва кадри, близки до HDLC – кадрите. Разликата е, че РРР – кадърът е байтово ориентиран. Структурата на РРР – кадъра е показана на Фиг. 88.

5.8. Протоколи на мрежовия слой на модела TCP / IP

5.8.1. Протоколи ARP и RARP

IP – адресът на всеки хост не е свързан с локалния адрес, използван от каналния слой и се определя от мрежовия администратор. Локалният адрес се ползва в границите на локалната и глобалната компютърна мрежа при обмен на кадри между хостовете и IP рутерите на мрежите.

Протоколът ARP (Address Resolution Protocol) решава задача, свързана с изпращане на IP – дейтаграма, чрес IP – рутер към хост от друга мрежа, когато адресът на получателя е неизвестен за рутера.

В локалние мрежи протоколът ARP използва кадър “до всички” за намиране на хоста с дадения IP – адрес. Всички хостове на локалната мрежа получават тази ARP заявка и сравняват указания в нея IP – адрес със собствения IP – адрес.

Ако някой от хостовете установи съвпадение със собствения адрес, той формира ARP – пакет отговор. В отговора се указва собственият IP – адрес и локалният МАС – адрес. Хостът – инициатор запомня в своята кеш памет установения локален адрес на другия хост, за да го използва при бъдещи комуникации.

В глобалните мрежи администраторите създават ARP – таблица на съответствието между IP – адреси и примерно Х. 25 – адресите. В последните версии на протокола този процес е автоматизиран. От всички рутери на WAN се отделя един за обслужване на ARP – таблицата за всички рутери и хостове. За всички рутери и хостове се задава IP – адреса и локалния адрес на централния рутер. При работа всеки възел и рутер сами регистрират своите IP и МАС – адреси в централния рутер. По този начин всички изпращат заявките си до него и той ги изпълнява.

Протоколът RARP (Reverse ARP) решава обратната задача – намира IP – адрес по известен локален МАС – адрес.

5.8.2. Протокол IP за междумрежово взаимодействие

Протоколът IP (Internet Protocol) предава данните във вид на IP – дейтаграми (пакети). Всяка IP – дейтаграма се състои от заглавна част и поле <данни>. Размерът на IP – дейтаграмата е променлив, като максималният размер е 64 КВ.

Размерът на заглавната част на IP – деитаграмата е 20 байта. Допълнително могат да се включат полета <опции> и <пълнеж> за настройка на мрежата.

В заглавната част са включени полетата: <версия> - 4 бита; <дължина> - 4 бита; <тип на услугата> - 1 бит; <обща дължина> - 2 байта; <идентификатор на пакета> - 2 байта; <флагове> - 3 бита; <измерване на фрагмента> - 13 бита; <време зя живот> - 1 байт; <протокол на горния слой> - 1 байт; <контролна сума> - 2 байта; <IP – адрес на хоста подател> - 4 байта; <IP- адрес на хоста получател> - 4 байта.

Управлението на фрагментацията в локалните и глобалните компютърни мрежи е свързано с понятието “максимален размер” на полето <данни> на кадъра (пакета) на мрежата и се нарича “максимална транспортна единица” (MTU – Maximum Transport Unit). Маршрутът на IP – дейтаграмите може да преминава през различни типове подмрежи. За различните стандартни мрежи MTU е различна: За стандарт Ethernet – до 1500 байта; За стандарт FDDI – 4500 В; За стандарт X. 25 – 4096 В /по подразбиране 128 В/; За стандарт Frame Relay – 1600 В; За стандарт ATM – 48 В.

Една от функциите на IP – протокола е фрагментирането на дейтаграмите, които са с дължина, по-голяма от MTU на следващата подмрежа. Разделянето е на по-малки пакети (фрагменти) е свързано със създаване на съответните служебни полета, необходими за дефрагментиране в хоста – получател. IP – рутерите не обединяват фрагментите в по-големи пакети, дори ако следващата мрежа позволява пренасяне на по-големи MTU от предходната мрежа.

Протоколът IP непрекъснато се развива, което се налага от:

Повишаване на ресурса на компютрите и комуникационната техника; Поява на нови мултимедийни приложения, за които се налага резервиране на честотни ленти (ATM и Frame Relay); Необходимост от разширение на на адресното пространство на Internet (при IP v. 4 то е

322 ); Възникват нови стратегии на администриране.

Новите възможности на протокола IP v. 6 са: Използват се 4 пъти по-дълги адреси /16 – байтови/ и адресното пространство става

962 ; Използва се гъвкав формат на заглавната част – добавено е полето <опции>; Има възможност за резервиране на пропускателната способност, което заменя механизма с класове на обслужване на IP v.4; Възможност за бъдещо разширение на IP – протокола; Не се използва контролна сума за проверка на грешки – липсва контрол;

В протокола IP v. 6 се използват следните адреси: Индивидуален адрес тип “unicast” за определяне адреса на хост или порт на рутер; Групов адрес тип “cluster” за определяне на група възли, които имат обща адресна представка (в една подмрежа); Групов адрес тип “multicast” – определя набор от възли, които може да са от различни мрежи.

IP – адресите на протокол IP v. 6 се делят на класове, както при протокол IP v. 4. Най-интересен е класът адреси на доставчиците на Internet (Provider – Assigned Unicast). На всеки Internet – доставчик се назначава уникален идентификатор, с който се маркират всички мрежи, поддържани от него. Доставчикът сам назначава уникални идентификатори на своите абонати, а абонатът сам дава идентификатори на своите мрежи и хостове.

Абонатът може да използва техниката на подмрежовите маски за по-нататъшно деление на полето <идентификатор на подмрежата> на по-малки полета.

Протокол ICMP предава различни управляващи съобщения, конфликтни състояния или съобщения за грешки. Протоколът ICMP е протокол на мрежовия слой, разположен е над IP и ICMP – пакетите и те се капсулират в IP – дейтаграми преди да се изпратят по мрежата.

5.9. Протоколи на транспортния слой на модела TCP / IP

5.9.1. Протокол TCP

Протоколът ТСР (Transmission Control Protocol) е основен за транспортния слой. Предназначен е за надеждна комуникация между хостове от мрежи с комутация на пакети и

системи, обединяващи такива мрежи. Осигурява се надеждно предаване на съобщения чрез установяване на логическо съединение между два приложни процеса в хостовете.

Протоколната единица на протокола ТСР се нарича ТСР – сегмент. ТСР – сегментите, изпратени по логическото съединение са с максимален размeр до 64 КВ. Двата хоста, на които предстои обмен на съобщения се договарят предварително за размера на сегмента. Основните функции на протокола TCP/IP са:

Предаване на данни или поток от данни между двата хоста в двете посоки; Осигуряване на достоверност на съобщенията чрез защита от деформация на данни, загуба, дублиране и нарушаване на правилния ред на следване на сегментите; Управление на потока данни чрез споразумение между два хоста за размера на прозореца за данни; Работа със съединения – два хоста установяват съединение за да се информират за състоянието на потока от данни, след обмена съединението се разпада; Разделяне на логически съединения; Определяне на логическо съединение с двойка сокети, като всеки сокет може да участва едновременно в много съединения. Приоритет на безопасност на предаване на съобщенията; Потребителите могат да поискат допълнително приоритет за безопасност, когата няма такова изискване.

В протокола TCP е реализиран метод за предаване на данните, разновидност на механизма “плъзгащ се прозорец”. Особеното в този случай е, че независимо, че единица за предаване на данни е TCP – сегмент, размерът на прозореца се представя в байтове с поредни номера.

Използва се положителна квитанция и таймаут при комуникацията между възлите. Квитанция се дава само при правилно приемане, а при грешка или загуба на сегмент, квитанция не се връща. След изтичане на таймаута се приема, че предаването на сегмента е неуспешно. ТСР – протоколът използва групова квитанция. Ако се приеме квитанция с номер N това означава, че N байта са изпратени и приети успешно. Протоколът ТСР извършва следните проверки:

Потвърденият с квитанция номер дали е номер на байт в опашката за изпратени байтове;

Получили ли са всички байтове в сегмента потвърждение на своите номера; Съдържа ли приетия сегмент байтове с очакваните номера.

Изборът на продължителността на таймаутът е свързан с производителността на протокола ТСР . Малката стойност на таймаута предизвиква излишни повторения, тъй като квитанциите на правилно приетите сегменти закъсняват. Ако таймаутът е много голям, съобщенията се забавят и производителността на мрежата намалявя.

В протокола ТСР таймаутът се определя със сложен адаптивен алгоритъм. При всяко предаване на сегмент се измерва времето за пристигане на квитанцията му. Измерените времена на много сегменти се усредняват и резултатът се умножава по две.

5.9.2. Протокол UDP

UDP (User Data gram Protocol) е дейтаграмен протокол, реализиран само в крайните възли на мрежата. Данните се предават във вид на дейтаграми без установяване на логическо съединение и гаранция за доставка. Независимо от това протокола UDP се предпочита от някои приложни протоколи, които имат собствен механизъм за надеждна доставка, като протоколите SNMP и TFTP.

5.10. Протоколи на приложния слой на модела TCP / IP

Тези протоколи са “отворени системи” и работят по технологията “клиент – сървър”. Състоят се от две части:

Процес – сървър, предоставящ услугата; Процес – клиент(и), ползващи услугата.

Сървърите са два класа: Итеративни – които в даден момент обслужват само един клиент, а останалите чакат; Конкурентни – при които за всеки нов клиент се стартира нов процес – сървър.

5.10.1. Протоколи за електронна поща SMTP, PОP 3 и IMAP 4

Протоколът SMTP (Simple Mail Transfer Protocol) е основен протокол за електронна поща между хостовете на компютърните мрежи. Той осигурява общ интерфейс за различните програми за електронна поща, използвани в различни потребителски режими. Протоколът SMTP приема съобщение и използва протокола ТСР, за да го предаде на SMTP модула на хоста – получател. Всяко съобщение се състои от две части:

Заглавна част (header), съдържаща информация за доставката и обработка на съобщението; Тяло (body) – самото съобщение.

Заглавната част и съобщението са разделени с празен ред. Заглавната част съдържа полетата:

”Received”: допълва се към заглавната част в процеса на предаване през междинните E – mail – сървъри. Всеки запис Received съдържа името или адреса на междинния сървър и времето за пристигане на съобщението в него; “Date”: съдържа датата, времето и часовата зона на изпращане на съобщението; “From”: съдържа E – mail – адреса на автора (авторите, ако са няколко); “Subject”: темата на съобщението, служи за начално ориентиране; “Sender”: използва се, ако съобщението се изпраща от оторизирано лице (секретарка); “Reply to”: съдържа E – mail – адреса, на който да се изпрати отговора (например на секретарката; “To”: Е – mail – адреса на получателя; “Всс” : съдържа E – mail адресите на потребители, на които се изпращат “слепи” копия на съобщението. “Comment” – съдържа коментари на съобщението; “X Mailer” – съдържа типа и версията на програмата за електранна поща на подателя.

Протоколът SMTP е ограничен за доставка само на текстови съобщения, тъй като в началото е било достатъчно само предаване на текстове на английски език.

С времето възниква необходимост за предаване на текстове и на други езици и на неподвижни изображения, глас, изпълними файлове, видео – клипове и др.

Отначало това става с помощта на програми конвертори и по-късно е разработена стандартна настройка MIME (Multipurpose Internal Mail Extension). С тази настройка са премахнати следните ограничения: Протоколът SMTP не може да предава текст, съдържащ букви от националните азбуки, различни от английски език; SMTP – сървърите имат ограничение на дължината на съобщенията и дългите съобщения се разделят на части; SMTP – шлюзовете имат проблеми с транслирането между кодове ASC II и EBCDIC; Някои SMTP – средства не са привързани напълно към SMTP – стандартите.

Работата на протокола SMTP се заключава в размяна на серия команди и отговори между сървър - подател и сървър – получател. Инициатор е подателят, който установява TCP – съединение с получателя за размяна на команди и отговори.

В началото подателят изпраща към получателя команда “MAIL” . Ако получателят е готов връща отговор “ОК”. Следва изпращане на команда “RCPT” от подателя за идентифициране на пощенската кутия на получателя. Ако може да се приеме съобщението, се получава отново отговор “OK”.

При грешен адрес на получателя, към подателя се връща съобщение за грешка. По правило съобщенията достигат до получателя, преминавайки през SMTP – сървъри за ретранслиране.

Протоколите РОР 3 (Post Office Protocol Version 3) и IMAP 4 (Interactive Mail Access Protocol Version 4) служат за извличане на E – mail от отдалачен SMTP – сървър.

Не е изгодно за една организация да поддържа повече от един сървър – SMTP. За да могат всички служители да изпращат и получават E – mail от собствения си РС, на тях им е необходим протокол за комуникация с SMTP - сървъра на организацията. За тази цел служат протоколите POP 3 и IMAP 4. Това са протоколи от вида “клиент – сървър” и работят по схемата показана на Фиг.99..

В началото РОР 3 – сървърът очаква съединение на порт 110 (порт 143 за IMAP 4 – сървър). При инициализация на ТСР – съединението, сървърът изпраща на клиента поздравително съобщение. С отговор клиентът се регистрира в сървъра с парола за достъп. След успешна регистрация, клиентът изпраща команди и данни към сървъра, а той му връща отговор и данни. В края на обмена ТСР – съединението се разпада. Сървърът има таймаут от 10 минути за протокола РОР 3 и 30 минути за протокола IMAP 4, които определят допустимото време за разпадане на ТСР – съединението.

команди данни

отговор данни

POP 3 ( IMAP 4)КЛИЕНТ

POP 3 (IMAP 4)СЪРВЪР SMTP СЪРВЪР

КЛИЕНТ СЪРВЪР(може и на един PC)

Фиг.99. Схема на връзките при услугата електронна поща.

Протоколът РОР 3 дава възможност на потребителя да извлече или изтрие пощата от пощенската кутия на SMTP – сървъра и да я прехвърли на диск в компютъра си. Следва разпределение на писмата по папки в компютъра на потребителя.

Протоколът IMAP 4 не копира електронната поща на компютъра на потребителя, а извършва действията с нея на отдалечения SMTP - сървър. Той поддържа работа с папки, по които може да се разпределят писма.

Протоколите РОР 3 и IMAP 4 са много полезни, когато потребителят има пощенска кутия в SMTP – сървъри в сайтове на Hotmail, Yahoo, ABV… С подходяща настройка потребителят може да събира в компютъра си пощата от всички кутии по света.

5.10.2. Протокол TELNET

Протоколът TELNET (Terminal Networking) дава възможност за логическо включване към отдалечен компютър и за изпълнение в него на различни програми. Сега TELNET се използва за отдалечено администриране на компютърни системи и като средство за достъп до хостове с цел използване на приложни програми като достъп до каталози в университетска библиотека.

Клиентът ползва TELNET чрез програма TELNET, която се съдържа в съвременните операционни системи. При стартиране на програмата TELNET , потребителят трябва да въведе DNS – името или IP – адреса на сървъра, с който иска да се свърже. Обикновено сървърът иска идентификатор и парола, за да разреши включване към себе си.

Протоколът TELNET ползва услугите на протокола ТСР за установяване на дуплексно транспортно съединение между два компютъра. Стандартният номер на порта на TELNET – сървъра е 23.

5.10.3. Протоколи за предаване на файлове FTP, TFTP и SFTP

Протоколът FTP (File Transfer Protocol) се използва за предаване на файлове между персонални компютри, използващи различни операционни системи. Разработен по модела “клиент – сървър”, реализира се между два приложни процеса: единият е обслужващ (FTP - сървър), а другият е негов клиент (FTP – клиент). Обикновенно данните се предават от FTP – сървъра към FTP – клиента. Обратното предаване не винаги е позволено.

За да се реализира FTP се изисква идентификатор и парола. Повечето сървъри поддържат “анонимен FTP”, но само до свободни, достъпни директории. Ако в този случай се получи изискване за “Login”, потребителят въвежда “guest” или “anonymous”, а вместо парола, своя E – mail.

Протоколът FTP поддържа две съединения едновременно: едно за управление (предаване на команди); второто за предаване на данни. Клиентът изпраща към сървъра три вида команди:1. Команди за управление на достъпа: USER и PASS за идентификация на потребителя; CWD – за смяна на текущата директория на отдалечения компютър;

REIN – за нулиране на параметрите на съединението и реинициализиране; QUIT – за разпадане на съединението и FTP – сесията.

2. Команди за управление на потока данни: PROT – кой от двата модула ще е активен, или пасивен с PASV; MODE – тип на трансфера; TYPE - тип на данните ( ASC II или Image); STRU – структура на данните.

3. Сервизни команди: RETR – предаване на данни от сървър към клиент; STOR - предаване на данни от клиент към сървър; RNFR и RNTO – преименуване на файл; DELE – изтриване на файл; MKD – създаване на файл; RMD – изтриване на директория; LIST, NLIST – извеждане на съдържанието на директория.

Протоколът FTP може да се ползва и за предаване на файлове между два сървъра под управление на компютър от мрежата.

Протоколът TFTP (Trivial FTP) е опростен вариант на FTP – използват се транспортните услуги на протокола UDP с приложение на собствен метод за доставка на данните. TPTP – разделя файла на равни блокове с размери 512 байта и използва старт-стопен режим на предаване блок по блок с получаване на положителна квитанция за правилно приемане.

Протоколът SFTP (Simple FTP) заема средно място между FTP и TFTP. Работи по схемата заявка – отговор. Използват се команди като: четене, запис, преименуване, изтриване, преглед на съдържанието на директории, смяна на текуща директория...

5.10.4. Протокол PING

Протоколът PING се използва се за диагностика с цел проверка наличието на връзка към даден хост. Някои хостове са защитени от този протокол. PING изпраща ICMP – ехо заявки и очаква ICMP – ехо отговори, в които има данни за времето за запитване и получаване на отговор. Ако не се получи отговор, се извежда съобщение “Request time out” – което означава, че отдалеченият хост е недостижим.

Основно протоколът PING се използва за проверка на връзката между хостове в глобалната компютърна мрежа Internet.

5.10.5. Протокол DHCP

Протоколът DHCP (Dynamic Host Configuration Protocol) раздава динамично IP – адреси. Той работи в три режима:

Ръчен режим; Автоматичен - статичен режим; Автоматичен – динамичен режим.

В ръчен режим администраторът представя на DHCP информация за съответствие на IP – адресите и локалните адреси на клиентите, след което DHCP – сървърът съобщава тези адреси на DHCP – клиентите в отговор на техните заявки.

В автоматичен - статичен режим DHCP – сървърът назначава IP – адресите автоматично, без участие на опрератора. Адресите се дават от сървъра, като се използва наличният пул IP – адреси. Границите на пула се задават от администратора при конфигуриране на DHCP – сървъра.

В автоматичен – динамичен режим DHCP – дава на клиентите IP – адреси под аренда за ограничен период от време (Lease Duration), след изтичане на времето клиентът губи IP – адреса.

Протоколът DHCP се ползва най-вече при изграждане на мрежи от мобилни потребители. При тези мрежи потребителите често се изключват от една подмрежа и се включват в друга. В тези случаи старият IP – адрес се отнема и се присвоява нов.

5.10.6. Протокол IRC

Протоколът IRC (Internet Relay Chat) позволява да се водят разговори и да се играят компютърни игри в реално време. Предоставя се канал (room) за всяка дискусия, в която могат да участват много абонати. Базира се на “клиент – сървър” технология. За да се ползва услуга IRC е нужно зареждане на програма – клиент.

IRC – сървърите са свързани помежду си в дървовидна структура и постоянно поддържат вътрешешен регистър на IRC – клиенти и канали за дискусия.

5.10.7. Протокол NNTP

Протоколът NNTP (Network News Transport Protocol) служи за тиражиране на статии, съобщения, обяви, реклами по разпределената система за дискусии USENET. Информацията се съхранява във вид на база от данни, разпределена по сървъри за новини (News - съръвъри). Тези сървъри ползват протокола NNTP за да си обменят статии с новини.

Информацията в USENET се разпределя на групи по интереси (newsgroups). Съществуват повече от 10 000 групи информация, подредени йерархично. Отделните групи и подгрупи се разделят с точка при изписването им. За достъп до USENET е нужна програма – клиент, с която потребителят се обръща към news – сървър.

Последните версии на браузърите Net Scope и Internet Explorer имат вградени програми за четене на новини.

5.11. Приложни системи Archie, Gopher и WWW в INTERNET Приложна система Archie е система за търсене на FTP – сървъри. Представлява

база от данни, разпределена върху Archie – сървъри, която съдържа списъци на файлове и директории, които могат да се търсят по ключова дума.

Archie – сървърите следят файловете в определен брой FTP – сървъри и периодично обменят информация помежду си. В отговор на заявката на Archie – сървъра към него се връща пълното име на файла и името на хоста, в който се съдържа съответния файл.

Съществуват три начина за използване на Archie: Чрез собствен Archie – клиент; Чрез Telnet към обществено достъпен Archie – клиент;

Писмо – заявка за търсене, изпратено чрез E – mail до някои Archie – сървър.

Приложна система Gopher е меню – базирана разпределена система за търсене на документи. Gopher – сървърите обменят периодично информация помежду си. Документите могат да се търсят по ключова дума и тематично, чрез предметно ориентирани сървъри. Начините за ползване са аналогични на Archie.

Приложна система WWW (World Wide Web) е хипер текстова система, в която хипер текстовата страница съдържа препратки към други страници, съдържащи подобна информация. Връзките се наричат hyperlinks или hotlinks.

WWW е хипермедия, която е комбинция от хипертекст и мултимедия. Хипервръзката може да се намира във всеки друг Web – сървър и по този начин се изгражда една виртуална паяжина (web).

WWW – хипертекстовите страници са написани на езика HTML (Hyper Text Mark – up Language) и други. HTML е стандарт на представителния слой на OSI – модела. HTML – страницата се чете с Web – клиент (програма – браузер), като Netscape или Internet Explorer.

За предаване на хипер текст се ползва протокола HTTP (Hyper Text Trouster Protocol), който е от приложното нива на модела OSI. Браузерът е HTTP – клиент, който потребителят стартира за да получи достъп до Web – сървър и да извлече от него хипер текстова страница с HTML изходен код.

Браузерът е универсална програма, чрез която се получава достъп до услуги в Internet. Отделните ресурси се означават с URL (универсален локатор на ресурси) с формат:

ПРОТОКОЛ: // име на хост: порт/ път за достъп / име на файл.

Не е задължително указване на порт в локатора на ресурси. Всяка хипер връзка се указва с URL, който съсздава връзка с указания с мишката файл.

5. 12. Виртуални частни мрежи.

5.12.1. Обосновка на виртуалната частна мрежа

Общoто между локалните и глобалните компютърни мрежи е преносната среда за данните - кабелна или безжична връзка, чрез която директно се свързват комуникиращите компютри. При виртуалните частни мрежи – VPN (Virtual Private Networks) се изгражда тунел за предаване на съобщенията през глобалната мрежа Интернет. Комуникиращите компютри във VPN мрежата се свързват, както е показано на Фиг. 90..

Фиг. 90. Модел на VPN комуникация

Данните се изпращат чрез глобалната мрежа по модела от тип „от точка до точка" - Point-to-Point (PPP). Това се постига чрез капсулиране на данните и по този начин се създава логическа независима мрежа от местоположението на крайните точки, в които се поддържа автентификация. Предаваните съобщения по тунелите се защитават с криптиране. Криптирането на съобщенията е от голямо значение, в противен случай всеки може да ги прихване по време на пътуването през обществената Интернет мрежа между предаващата и приемащата крайна точка на тунела.

VPN технологията позволява да се създаде логическа мрежа, която е независима от местоположението на служителите или клиентите и създава условия за установяване на директна информационна връзка между тях. За разлика от използването на скъпи системи от наети линии, които могат да бъдат използвани само от една организация, VPN мрежата

Отдалечен VPNклиент Интернет

доставчик

VPN сървърИнтернет доставчик

Виртуален тунел

Интернет

Модем

Маршрутизатор

предоставя на организациите еднакви възможности на много по-ниска цена, което е голямо предимство. VPN – мрежата работи с криптирн трафика преминаващ през несигурната Интернет среда и е значително евтина алтернатива спрямо използването на наети линии за изграждане на частна мрежа за дадена организация. VPN мрежите се използват за осигуряване на отдалечен достъп до мобилни служители, осигуряване на екстранет мрежа с достъп до нейни клиенти или за осигуряване на връзка между два офиса в различни местоположения. VPN мрежите използват надеждно защитени тунели, в средата на Internet за връзка между две мрежи и обмен на данни между тях.

5.12.2. Принцип на работа на VPN мрежите

Виртуалните компютърни мрежи използват два вида канали за предаване на данните: комутируеми канали (dial-up) и наети канали от типа „маршрутизатор до маршрутизатор”. И за двата типа мрежи се изисква конфигуриране и настройка на мрежите от администратор.

Изграждането на тунел през глобална компютърна мрежа е свързано със създаване на логическа връзка между две крайни точки, в които се поддържа автентификация и криптиране на данните от едната до другата страна. Тунелирането е термин, използван за описание на капсулацията, маршрутизация и декапсулация на пакетите. Капсулирането представлява скриване на оригиналния пакет в нов пакет който се използва за маршрутизирането през тунела, т.е. в хедъра на новия пакет се задава адреса на крайната точка от тунела, в хедъра на оригиналния пакет се намира адреса на възела получател, който остава криптиран до пристигането му в крайната точка на мрежата .

Фиг.91. Връзка между отдалечен VPN клиент и VPN сървър.

VPN мрежата позволява на локалните частни мрежи намиращи се в различни географски региони физическо свързване към мрежата на дадена организация посредством VPN сървър. Администраторът на VPN мрежата разрешава на някои от работните станции на локалните мрежи връзка с VPN сървъра. Само потребители, които имат достъп до виртуалната мрежата на организацията могат да ползват защитените ресурси на конфигурираната частна виртуална мрежа. Тези потребители получават акредитивни писма за достъп, а останалите не виждат локалната мрежа и нямат достъп до общите ресурси.

5.12.3. Тунелиране на каналния слой на OSI модела

Работна станция

VPN сървър

Интернет

Виртуален тунел


VPN клиент

VPN мрежите използват тунелни протоколи, работещи в каналния слой. Тези протоколи осигуряват виртуална връзка от сървъра до клиента. Могат да се използват различни протоколи за изграждане на тунела на каналния слой на възлите от мрежата.

Протоколът Point-to-Point Tunneling Protocol (PPTP) работи на каналния слой на OSI модела. Освен него може да се използват и други тунелни протоколи на този слой, като Layer 2 Forwarding (L2F), който осигурява тунелиране по глобалните компютърни мрежи от стандартите ATM и Frame Relay. За разлика от тунела изграден от протокола PPTP, протоколът L2F поддържа повече от една връзка между крайните абонати. VPN мрежите функциониращи в каналния слой на OSI модела използват и двата протокола (PPTP и L2TP). Протоколът PPTP е по-стар, използва се главно за отдалечен достъп, функционира в режим клиент-сървър. Клиентската част може да бъде отдалечен хост с инсталиран РРТР протокол или сървър за мрежов достъп с разрешение за функциониране на протокола PPTP от страна на доставчика на Интернет. Реализацията на сървърната част може да е рутер, специализиран VPN концентратор или приложен сървър. Протоколът РРТР капсулира PPP пакети в модифицирана версия на протокола GRE (Generic Routing Encapsulation), който ги транспортира през мрежата. Той представлява механизъм за капсулиране на произволен протокол от мрежовия слой към друг такъв протокол. Протоколът РРТР може да се използва за транспортиране на протоколни единици на протоколи като IP, IPX и NetBEUI. Той разчита на автентифициращите механизми на протоколите PPP – PAP (Password Authentication Protocol) и CHAP (Challenge Handshake Authentication Protocol), които не се считат за особено сигурни. Протоколът РАР изпраща паролите като чист текст – т.е. паролите остават незащитени по време на предаване на пакетите по обществената мрежа. Протоколът СНАР е по-сигурен от РАР, той изпраща един вид „покана” (challenge), на която другата страна трябва да отговори, за да се автентифицира. Microsoft създава разширена версия на протокола CHAP, наречена MS-CHAP. Протоколът L2TP се разглежда, като заместник на РРТР и се счита като по-надежден. Протоколът L2TP също функционира в режим клиент-сървър и подобно на PPTP, L2TP тунелът може да бъде иницииран от отдалечен компютър към LNS (L2TP network server) или от LAS (L2TP-enabled access концентратор) към LNS. L2TP дефинира свой собствен тунелиращ протокол, в зависимост от транспортната среда, като не използва протокола GRE. L2TP може да се използва за функционирането на протоколи от мрежовия слой, различни от IP, но не всички версии го поддържат. L2TP може да използва протоколите PAP, CHAP и EAP за автентикация. L2TP поддържа използването на IPSec, което може да се използва за сигурност на трафика по целия му маршрут от крайния потребител до корпоративната мрежа.

5.12.3. Тунелиране на мрежовия слой на OSI модела

Тунели могат да се създават и в мрежовия слой на OSI модела, като по този начин се осигуряват IP-базирани виртуални връзки. Те работят чрез изпращане на IP пакети, капсулирани във вътрешността на специфицирани от IETF (Internet Engineering Task Force) протоколни обвивки. Използват се IPSec (IPSecurity), IKE (Internet Key Exchange) методи за автентикация и криптиране, като DES (Data Encryption Standard) и Secure SHA (Hash Algorithm). IPSec може да бъде използван заедно с протокола L2TP, който изгражда тунела, а IPSec криптира данните. По този начин IPSec работи в транспортен режим. Той може също да бъде използван и в тунелен режим, при който осигурява тунела. Една важна особенност е тази, че IPSec може да капсулира само IP пакети. L2TP може да осигурява капсулиране на IPX (Internetwork Packet Exchange) пакети и на пакети на други протоколи по IP мрежа. Някои от шлюзовете не поддържат VPN мрежи, базирани на L2TP или РРТР,

като в този случай за осигуряване на тунела се използва IPSec. Тези тунелите обикновено работят от шлюз до шлюз.

VPN изградени на мрежовия слой на OSI модела обикновено са такива мрежи използващи IP протокола като протокол от мрежовия слой. VPN от мрежовия слой използват комуникациите MPLS (Multiprotocol Label Switching) и IPSec.

MPLS обикновено се предлага като тип връзка site-to-site VPN услуга от ISP. Доставчикът построява частна IP-базирана мрежа и предлага връзка на множество клиенти между техните местоположения в мрежата. Технологията позволява на отделни клиенти да гледат на MPLS услугата като на частна IP мрежа свързваща различните им местоположения. По този начин се предлагат на клиентите предимства като частните мрежи от каналния слой, като при стандартите Frame Relay и ATM, но с възможност за лесното управление на мрежите от мрежовия слой. Тъй като MPLS функционира чрез частна IP-базирана мрежа вместо Internet, доставчикът може да предостави обособени нива на услугите на своите клиенти: QoS (Quality of Service – качество на услугите) и SLA (Service-level Agreements – споразумения за нивата на услугите). MPLS е базирана на частна мрежа на определен доставчик, достъпността на услугата е ограничена до обхвата, в който функционира доставчика.

5.12.5. Изисквания към VPN мрежите

Необходимо да се осигури контролиран достъп на отдалеченото мрежово решение до ресурсите и информацията на организацията, тъй като се разрешава се на отдалечения клиент да се свързва към ресурсите на локалната мрежа. Решението трябва да позволява на отдалечените офиси да се свързват един с друг, да споделят ресурси и информация, да се осигурява цялостност и неделимост на данните при преминаването им през Интернет. VPN решението трябва да отговаре на следните изисквания: Автентификация на потребителя – проверка на идентичността на VPN клиента, ограничаване на VPN достъпа само на упълномощени потребители; Управление на адресите – назначаване на VPN клиенти на адрес в Интранет и да осигурява, използваните в Интранет адреси съхранение като частни; Криптиране на данните - данни трябва да се пренасят като криптирани през Интернет; Управление на ключовете - генериране и обновяване на декриптиращи ключове за криптираните данни.

5.12.6. Изграждане на VPN мрежи

Виртуалните частни мрежи могат да бъдат реализирани по няколко начина най-използваните, от които са: За осигуряване на отдалечен достъп до мобилни служители или служители работещи от дома си; За осигуряване на екстранет мрежа, до която да имат достъп служители, клиенти или партньори; За осъществяване на контакт между два офиса в различни местоположения без за целта да е необходимо специална директна връзка.

5.12.6.1. VPN мрежи за отдалечен достъп

Използването на VPN за осигуряване на отдалечен достъп до потребители е най-често използвания метод за изграждане. Реализацията може да бъде усложнена от фактори като: използване на различни операционни системи и протоколите, които са инсталирани от страната на клиентите.

VPN клиентът трябва да може да използва протоколи, поддържани от VPN сървъра - тунелни, мрежови и транспортни протоколи както и протоколи за криптиране. След инсталиране и конфигуриране на компонентите на VPN, се установява връзката, както е показано на Фиг. 92. Редът за изграждане и пускане в експлоатация на такава мрежа е следният: Мобилният потребител набира локален ISP (Internet Server Provider) доставчик и влиза с потребителски акаунт и парола, за да изгради Интернет връзка, ако клиентът използва наета или постоянна връзка; След установяване на Интернет връзката, клиентът извиква сървъра за отдалечен достъп, конфигуриран да приема VPN връзки като използва IP адреса на отдалечения сървър и по този начин се изгражда тунела.; Потребителят трябва да се автентифицира в частната мрежа, за да му се разреши определен достъп и права.

Фиг. 92. Схема на връзките във VPN

5.12.6.2. Виртуален частен екстранет

Виртуален частен екстранет се създава, като част от LAN мрежата на организацията или на определеното нейно звено се разрешава достъп от отдалечени потребители по VPN връзка.

Един от основните проблеми е защитата на останалата част от вътрешната мрежа от външен достъп. Създава се отделна подмрежа за екстранет мрежата а останалата част от


Отдалечен потребител Сървър за

отдалечен достъп на ISP


Сървър на LAN

Интернет

Отдалечен потребител

Отдалечен потребител

Сървър за отдалечен достъп

на ISP

LAN мрежата се скрива зад защитна стена, за да може да и се осигури необходимата защита. Потребителите на екстранет осъществяват достъп до данни през Web браузър, затова в подмрежата с връзка към VPN трябва да се инсталира Web сървър, също така там могат да бъдат разположени и файлови сървъри.

Съществуващите перспективни стандарти улесняват организациите в използването по екстранет общи данни и приложения. Някои от тези стандарти са следните: Hypertext Markup Language (HTML) - Позволява споделянето на документи през всеки Web браузър. На потребителите не е нужно да се инсталира конкретна програма за текстообработка или друга програма, за да отварят файловете; Extensible Markup Language (XML) и Commerce XML (CXML) - Предлага между- платформена съвместимост; Open Buying on the Internet (OBI) - Създава стандарти за транзакции на електронната търговия.

5.12.7. VPN връзки между филиални офиси

При създаването връзки между различни офиси се използва виртуална частна мрежа за свързване на двата офиса във VPN конфигурация от тип маршрутизатор-маршрутизатор. VPN сървърът може да функционира като маршрутизатор с разрешено IP препращане, както е показано на Фиг. 93.

Фиг. 93. VPNвръзка между офиси на фирма

LAN във всеки филиален офис има маршрутизирана връзка към Интернет. Тази връзка може да бъде комутируема или постоянно изградена.



Интернет





При използване на комутируема връзка, маршрутизаторът, иницииращ връзката, използва dialup Интернет комуникация. Маршрутизаторът, който се извиква, трябва да има постоянна Интернет връзка и трябва да бъде конфигуриран за приемане на връзки от този вид (набиране при необходимост). На извикващия маршрутизатор се конфигурират две връзки с набиране при необходимост - едната за набиране на ISP и другата за свързване към VPN. Ако и двата маршрутизатора имат постоянни връзки към Интернет, VPN връзката може да бъде установена и оставена непрекъснато открита.

VPN връзки от типа маршрутизатор-маршрутизатор може да бъде конфигурирани така, че единият маршрутизатор да действа като клиент и да инициира връзката, а другият да функционира като VPN сървър. По този начин се реализира еднопосочна връзка и представлява добър избор за постоянни връзки. При двупосочната връзка всеки от маршрутизаторите може да инициира връзката. В този случай и двата маршрутизатора трябва да имат постоянна връзка към Интернет и трябва да бъдат настроени като LAN и WAN маршрутизатори.

При връзката маршрутизатор-маршрутизатор, маршрутните таблици и на двата маршрутизатора трябва да бъдат конфигурирани с необходимите маршрути, за да препращат пакети през връзката. Маршрутите могат да бъдат добавени ръчно или може да бъде използван протокол за динамична маршрутизация, ако интерфейсът за набиране има постоянна връзка. Може да бъде използван софтуер като vpnd (VPNdaemon) за свързване на две локални мрежи, използващи Linux или FreeBSD за защита на данните, преминаващи през съответната връзка и да се използва алгоритъмът за криптиране Blowfish.

5.12.8. Обосновка на VPN протоколите

Във VPN мрежите се използват три типа протоколи: Тунелни протоколи - понякога означавани като VPN протоколи, те се из ползват за изграждане на тунели; Протоколи за криптиране - означавани като протоколи за сигурност, използват се за криптиране на данните; Мрежови/транспортни протоколи - означавани още като LAN протоколи, използват се за комуникация на съобшенията по частната мрежа.

Тунелните протокол капсулират данните така, че хедърите на протоколните единици от оригиналния протокол се обвиват в тунелни капсулиращите хедъри. За да могат VPN клиентът и сървърът да комуникират, на техните компютри е необходимо да се инсталира еднакъв стек от мрежови-транспортни протоколи. Тунелните протоколи се класифицират като стандартни и нестандартни. Стандартните тунелни VPN протоколи са следните: Point-to-Point Protocol (PPP ); Secure Shell (SSH) и Secure Shell 2 (SSH2); Протокол IP Sec; Point-to-Point Tunneling Protocol (PPTP); Layer 2 Forwarding (L2F); Layer 2 Tunneling Protocol (L2TP).

Прoтоколът PPP – е протокол за комуникация между два компютъра използващи сериен интерфейс. Типичен е за персоналните компютърни връзки по телефонна линия към

сървър. PPP връзката се осигурява на каналния слой на OSI модела. Протокола РРР включва в себе си автентификации с помощта на PAP (Password Authentication Protocol), автентификация на парола и CHAP (Challenge Handshake Authentication Protocol) – протокол за автентификация чрез използване на съгласуване от двете крайни точки.

Протоколът SSH - представлява Unix базиран команден интерфейс и протокол за получаване на сигурен достъп на отдалечен компютър. Тази технология се използва широко от мрежовите администратори за WEB отдалечен контрол. SSH всъщност служи за няколко цели: slogin, ssh, и scp. SSH командите са криптирани и са подсигурени няколко пъти. Двете крайни точки на клиент-сървър връзката са автентични те използват цифров сертификат и паролите са защитени. SSH използва RSA криптиращ алгоритъм за двете връзки и автентикации. Другите криптиращите алгоритми, които могат да се използват са DES, Blowfish, и IDEA.

Първоначално SSH е предназначен за осигуряване на сигурна алтернатива на UNIX команди за отдалечен достъп, като rsh, rlogin и rep. SSH използва надеждно криптиране и автентикация. SSH2 е развит в сигурен тунелен протокол, който може да се използва за създаване на VPN мрежа, работеща под операционни системи Linux или UNIX. Типът на VPN мрежата, изградена с помощта на SSH2, се нарича VPN на ниво верига. Kлиентски софтуер на SSH е достъпен и за операционна система Windows.

Шлюзовете на ниво верига работят в сесийния слой на референтния OSI модел. Когато данните се предават до отдалечен компютър по шлюз на ниво верига, изглежда, че се предават от самия шлюз. Това позволява да се замаскира информация за защитени мрежи.

SSH може да бъде инсталиран на защитната стена, а тунелът да бъде изграден от SSH клиент с dail-up Интернет достъп до защитната стена. Тя може да бъде конфигурирана да препраща трафика до сървър по вътрешната мрежа. Това е лесно решение за VPN връзки, когато не се цели постигане на висока производителност. SSH изисква акаунт за логване, затова е най-подходящ в такива ситуации, като разрешаване на доверени служители да се свържат към малка офис мрежа от домовете им.

Протокол IPSec, може да бъде използван за криптиране на данни, които минават през тунела, изграден от друг VPN протокол. Той може да бъде използван също за изграждане на тунел, когато действа в режим на тунелиране, тогава IPSec може да бъде конфигуриран за защита на данните или между два IP адреса, или между две IP подмрежи. IPSec е разширение на IP протокола, което гарантира сигурност на IP и протоколите от по-висок ред.

IPSec може да използва един или и двата протокола: Authentication Header (AH) и Encapsulating Security Payload (ESP) за да осигури автентикация, цялостност и поверителност на комуникацията. Той може да защитава или целия IP дейтаграм - тунелна форма, или само протоколите от по-висок ред - транспортна форма. Използването на комбинация от криптографско базирани алгоритми и ключове прави информацията много сигурна. Алгоритъмът на Дафи-Хелман позволява сигурен обмен на споделен ключ без изпращане на самия ключ по мрежовата връзка.

Протоколът PPTP е на Microsoft с установен стандарт, той представлява разширение на протокола РРР, който се използва за изграждане на WAN връзка с отдалечен достъп. Принципа на работа на PPTP протокола е следния: РРТР капсулира РРР клетка, която може да бъде IP, IPX или NetBEUI пакет, във вътрешността на Generic Routing Encapsulation (GRE) хедър. Добавя IP хедър за осигуряване на IP адресите на източника и

местоназначението. Адресът на източника е този на VPN клиента, а адресът на местоназначението е на VPN сървъра. Данните в оригиналната дейтаграма обикновено са криптирани, за да не могат да бъдат прочетени от неоторизирани лица. VPN мрежите на Microsoft използват протокола МРРЕ заедно с РРТР за осигуряване на сигурни комуникации.

PPTP-Linux е клиентски софтуер, който се изпълнява на Linux и UNIX машини, позволяващ да се установяви връзка към РРТР сървъри. Софтуерът на РРТР сървъра (РоРТоР) е достъпен за Linux, Sun Solaris, FreeBSD и други реализации на UNIX, също така той поддържа и Windows клиенти, както и РРТР-linux клиенти, и се разпространява безплатно.

PPTP се състои от два компонента: контролна връзка между всяка двойка PPTP Access концентратори (PAC) и PPTP Network Server (PNS) и IP тунел действащ между тази PAC-PNS двойка. Тунела служи да транспортира капсулирани PPP пакети за потребителски сесии между PPTP двойката. Контролната връзка е стандартна TCP сесия, отговаряща за установяването, управлението и освобождаването на тунела, това става с помощта на контролни съобщения, изпращани между PAC и PNS като контролни пакети в TCP дейтаграми. След като се създаде PPTP тунелът, данните на потребителя се изпращат от PAC и PNS във вид на IP дейтаграми, съдържащи PPP пакети.

МРРЕ се използва с РРТР-базирани VPN връзки (или РРР dial-up връзки) и може да използва криптиращ алгоритъм с 40, 56 или 128-битов ключ. 128 битовият ключ се използва за надеждно криптиране и може да бъде използван само в САЩ и Канада.

Протоколът L2F е разработен по технологията от Cisco през 1996 г. и включва в нея софтуер IOS – също разработен от Cisco. Като алтернатива на РРТР, L2F има възможност да използва протоколите на стандартите ATM и Frame Relay за тунелиране в глобални комуникационни мрежи. За да работи РРТР е необходима да е инсталиран и IP стека. При L2F това изискване не е задължително. L2F технологията осигурява автентификация на крайните точки на тунела във VPN.

Протоколът L2TP е разработен от Microsoft и Cisco. Комбинират се възможностите на РРТР и L2F и се създадава L2TP, който капсулира данните за изпращане по IP както РРТР, като L2TP може да капсулира данни за изпращане по стандарти ATM, Frame Relay и Х.25. По този начин той може да бъде използван за изграждане на тунел през Интернет, или може да бъде използван по конкретна WAN среда без необходимост от протокола IP. Някои от предимствата на L2TP пред РРТР са следните: L2TP поддържа множество тунели между крайните точки. Това позволява създаването на отделни тунели, осигуряващи различни качества на услугите; L2TP поддържа компресиране на хедъри, с което се намалява обема на допълнителната информация в протоколните единици; L2TP за разлика от РРТР има възможност за тунелна автентификация; L2TP работи на мрежи не изискващи протокола IP, изградени по ATM или Frame Relay стандарти.

L2TP комбинира най-доброто от решението на Microsoft Point-to-Point Tunneling Protocol (PPTP) и Layer 2 Forwarding (L2F) на Cisco Systems. Отдалеченият потребител установява PPP връзка към мрежата на ISP. L2TP ползва два типа съобщения: контролни съобщения и съобщения за данни. Контролните съобщения се използват при установяването, поддържането и премахването на тунела, а съобщенията за данни капсулират PPP клетките, пренасяни по тунела. Контролните съобщения се изпращат по надежден контролен L2TP канал, за да се гарантира тяхното получаване. Контролните съобщения имат пореден номер,

осигуряващ сигурното им транспортиране по контролния канал. Пореден номер се използва и при предаване на клетките от съобшенията, за да се подреждат в приемния пункт и да се установява евентулната загуба на пакети.

Нестандартни протоколи за изграждане на VPN мрежи са следните: Протокол VTUN; Crypto IP Encapsulation протокол (CIPE).

Протоколът VTun позволява да се ограничи входната и изходната скорост на тунелите за избягване на претоварвания на сървъра при наличие на голямо количество клиенти. Системата работи чрез уникалните драйвери tun и tap. Tun се използва за тунелиране на IP-пакети, а tap при тунелиране на Ethernet мрежи.

Протоколът CIPE представлява драйвер за ядрото на Linux, който може да бъде използван за осигуряване на сигурен тунел между две IP подмрежи. Данните се криптират в мрежовия слой на референтния OSI модел. Това се нарича криптиране на ниско ниво. То има предимство пред криптирането на високо ниво, защото не трябва да бъдат правени никакви промени на приложния софтуер, когато две мрежи се свързват с помощта на VPN технология. Освен това CIPE е по-прост и по-ефикасен от IPSec .

5.12.9. Класификация на VPN мрежите

VPN мрежата може да бъде реализирана софтуерно или хардуерно. В следващите секции се разглеждат всяка от тези реализации, разликите между тях и начина, по който могат да бъдат комбинирани за повишаване на сигурността.

Софтуерно-базираните VPN мрежи включват използването на разгледаните по-горе тунелните протоколи. Тази категория може да бъде разделена допълнително на продукти на независими производители и VPN софтуер, поддържан от операционната система. Очевидното предимство на последните е тяхната ниска цена. Няма допълнително заплащане, a VPN решенията, включени в модерните операционни системи като Windows 2000, са достатъчни за нуждите на много организации. VPN софтуерните продукти на независимите производители обикновено предлагат допълнителни възможности и разширяват използваемостта на VPN, като често осигуряват повече опции за сигурност и в някои случаи по-лесно реализиране. Някои софтуерно-базирани VPN мрежи позволяват да се предават данни в тунела на базата на протокола или IP адреса. Този тип филтриране обикновено не е достъпен при хардуерно-базираните продукти. Продуктите на независимите производители включват Safeguard VPN, Checkpoint SVN (Secure Virtual Networking) и NetMAX VPN Suite за операционна система Linux.

Хардуерно-базираните VPN мрежи се произвеждат от компании като Shiva, 3Com и VPNet Technologies. Поддръжката на VPN е вградена в маршрутизаторите на Cisco, както и в маршрутизаторите на други компании. NTS Tunnel-Builder осигурява сигурни VPN комуникации за Windows, NetWare и Macintosh. Такива производители като Raptor Systems предлагат VPN мрежи, базирани на защитни стени, които са комбинирани със средства за сигурност. Хардуерните VPN мрежи могат най-общо да бъдат категоризирани в следните две групи: Базирани на маршрутизатори - VPN решения представляващи маршрутизатори с възможности за криптиране. Те предлагат по-добра производителност на мрежата и като цяло са по - лесни за инсталиране и използване;

Базирани на защитна стена - Решенията, базирани на защитна стена, осигуряват допълнителни мерки за сигурност, като сигурна автентификация и детайлно логване. Базираната на VPN защитна стена има възможност да преобразува адреси. Производителността и може да бъде проблем, макар че в някои реализации хардуерните криптиращи процесори решават тази задача.

5.12.10. Надеждност и сигурност на VPN мрежите

Надеждността на една система се определя от надеждността на най-слабия и елемент. Ето защо не е необходимо да се атакуват използваните криптографски алгоритми. Достатъчно е да се атакува един от компонентите на системата. Надеждността на една система зависи от: Условията и външната среда в която тя работи; Режима на работа; Надеждност на елементите от които тя е изградена; Вътрешната и надеждностна структура; Възстановимостта на на съставните и части след отказ.

Сигурността на VPN има три компонента: Автентификация на клиентите; Оторизация на клиентите; Криптиране на данните.

Автентификацията на VPN клиента включва проверката за истинност на самоличността на машината и на потребителя, който инициира VPN връзката. Автентификацията може да бъде осъществена на нивото на машината. Например, когато една VPN връзка, базирана на Windows 2000, използва IPSec за L2TP VPN мрежа, сертификатите на машините се обменят като част от изграждането на IPSec асоциация за сигурност. Потребителят може да бъде автентифициран с помощта на един от няколкото метода за автентификация, като Extensible Authentication Protocol (EAP), Challenge Handshake Authentication Protocol (PAP) или Shiva PAP (SPAP).

Оторизация означава зададените ограничения, на базата на които на едни потребители се предоставя достъп до VPN, a на други се отказва.

Криптирането служи за защита на данните във VPN мрежи. Могат да бъдат използвани най-различни технологии за криптиране. Много VPN реализации позволяват да се избере метода на криптиране, който трябва да бъде приложен. Криптирането осигурява сигурност на данни, които пътуват по VPN мрежата. Без тази сигурност данните биха могли лесно да бъдат прехванати, докато се предават по обществената мрежа.

5.12.11. Предимства и недостатъци на VPN мрежите

Предимствата на VPN мрежите са свързани с намаляване на разходите за междуградски разговори, когато отдалечените потребители се намират извън областта за набиране на локални номера. Тези мрежи изискват по-малко телефонни линии за осигуряване на отдалечен достъп до множество потребители едновременно. Също така изискват по-малко хардуерно оборудване, например банки от модеми. VPN мрежите, базирани на ISP, редуцират цените за администриране и обучение.

Като недостатък може да се приеме изискването за връзка към Internet в двата края на VPN мрежата. Това може да бъде проблем, ако единият или двата края имат ненадеждна връзка към Интернет. Друг недостатък на VPN мрежите се състои в проблемите, свързани с производителността. Те могат да бъдат от незначителни до съществени, в зависимост от типа на реализацията на VPN и от типа на използваните Internet връзки. Проблемите на производителността, свързани с VPN мрежите, могат да бъдат категоризирани по два начина: общи проблеми на производителността и проблеми, които са специфични за конкретни VPN реализации.

Една от алтернативите на VPN мрежата е dial-up комуникацията. В някои случаи dial-up сървърът може да постигне същата цел както VPN мрежата, но при много други обстоятелства виртуалната мрежа има определени предимства пред услугата на dial-up сървъра за отдалечен достъп.

Проблемите свързани с производителността на VPN мрежите, могат да бъдат категоризирани по два начина: общи проблеми на производителността и проблеми, които са специфични за конкретни VPN реализации. Повечето сериозни проблеми на производителността се дължат на глобалната мрежа Интернет. Често възникват прекъсвания на достъпността от регионален и от всеобщ характер. Тежкият трафик може да предизвика забавяния и блокирания на системите. Освен това отделни ISP доставчици могат да се сблъскат с изключвания на сървъри, които обслужват стотици или дори хиляди свои потребители. Технологията на VPN мрежите може също да доведе до различни количества допълнителни служебни данни, които намаляват производителността. VPN мрежи на ниво вериги не могат да постигнат скоростта на виртуалните мрежи на ниво мрежа. Когато се използва обществената мрежа за установяване на връзката, се загубва елемента на контрол, който се реализира при директна входяща dial-up връзка.

ГЛАВА 6. СИГУРНОСТ В КОМПЮТЪРНИТЕ МРЕЖИ

6.1. Компютърна и мрежова сигурност

Сигурността е свойство на една система да противостои на външни или вътрешни дестабилизиращи фактори, които могат да доведат до нейното нежелателно състояние или поведение. Това важи и за сигурността на информационните системи. Базата на съвременните информационни системи – компютърните системи и мрежи, са едни от най-високотехнологичните продукти и въпреки това те не са безотказни. Даже да няма враждебни действия срещу тях, надеждното им функциониране не е неограничено. За да се поддържа то на необходимото ниво, още при проектирането на тези системи се внедряват апаратни, програмни и програмно-технически средства , които са предмет на друго

изложение. В настоящата глава под “компютърна и мрежова сигурност” се разбира свойството на компютърните системи и мрежи да противодействат на опитите за несанкциониран достъп до обработваната и съхраняваната информация, водещи до деструктивни действия и получаване на лъжлива информация.

Не винаги има очевиден отговор на въпроса кои системни ресурси трябва да се защитят и на каква цена. Методите, които са достатъчно ефективни срещу атакуващи през модемите си тинейджери, са безсилни срещу непоколебимите професионални кракери. Друг въпрос е каква е цената на сигурността- има крехък баланс между твърде много и твърде малко сигурност.

Проблемите, свързани със защитата на компютърната информация доведоха до появата на нова научна и практическа дисциплина – информационна сигурност (ИС). Специалистите в тази област трябва да умеят да разработват, реализират и експлоатират системите за осигуряването на информационна сигурност (СИС). Тези системи поддържат цялостността, пригодността , конфиденциалността и достъпността на информацията и осигуряват физическа (на технически средства, свързочни линии, отдалечени компютри) и логическа (на данни, операционни системи, приложни програми) защита на информационните ресурси.

Компютърната и мрежова сигурност се гради върху следните концепции: Идентификация – потребителите използват компютърните приложения чрез

потребителски идентификатор (ID); Автентификация – доказване на самоличността на потребителя; Оторизация – присвояване на права за достъп на всеки потребител (например за

запис, четене или изпълнение на файл); Контрол на достъпа – присвояване на права за достъп до мрежови ресурси и

предпазване на ресурсите чрез лимитиран достъп (кой, как, кога и при какви условия има достъп);

Конфиденционалност – защита на данните (чрез контрол на достъпа и криптиране);

Цялостност на данните (интегритет) – откриване на несанкционирана модификация на данните, обикновено при предаване на съобщението;

Доказване на източника на данните; Управление на отказ от услуги (DoS) – предотвратяване препълването на лентата

на пропускане на канала или блокирането на достъпа;Има три главни аспекта на сигурността на компютърните системи и мрежи - уязвимост,

заплахи и противодействие.

6.2. Заплахи и атаки към мрежите

В контекста на книгата уязвимостта е слабост в компютърната информационна система и в мерките за нейната сигурност, която може да доведе до компрометиране сигурността на системата. Под уязвимо място се разбира всяка точка на компютърната и комуникационната системи и на системата за тяхната защита, където те са слабо защитени срещу заплахи и атаки, свързани с тяхната сигурност. Уязвимите места в една система зависят от конкретната и реализация.

Заплаха е човек, обект, събитие, процес или явление, които могат да нанесат вреда на компютърните системи и мрежи. Примери за заплахи: Използване на известен способ за достъп до системата с цел извършване на забранени действия; Използване на служебно положение с цел достъп до информация;

Физическо разрушаване на системата или нейни компоненти; Изключване на системата за защита или нейни компоненти; Изключване на подсистемите обезпечаващи работата на системата (електроснабдяване, охлаждаща и вентилационна, комуникационна и др.); Промяна на режима на работа на устройства и програми; Подкуп и шантаж на персонала или отделни потребители; Кражба и несанкционирано копиране на информационни носители; Разкриване на шифри за криптозащита на информацията; Включване на апаратни средства и програми, позволяващи несанкциониран достъп; Заразяване с вируси; Незаконно включване към комуникационните линии с цел подмяна на законен потребител и предаване на лъжлива информация от негово име; Използване на подслушвателни устройства и устройства за дистанционно видеонаблюдение; Прехващане на паразитните електромагнитни излъчвания (ПЕМИ); Четене на остатъчна информация от оперативната памет и външни запомнящи устройства; Незаконно използване на терминали и компютри оставени без надзор, и др.

Основните видове заплахи за сигурността на субектите в информационните отношения са: Стихийни бедствия и аварии. Грешки и откази на техническите средства на информационната система; Последствия от грешки при проектиране и изработка на системата; Грешки на персонала при работа със системата; Преднамерени действия на нарушители и зложелатели.

Отелна група заплахи за сигурността на информацията произлизат от различни канали за изтичане на информацията. Канал за изтичане на информацията е метод, позволяващ на нарушител да получи достъп до информацията, обработвана или съхранявана в системата.

Според средството за получаване на информация има: Канали за изтичане, в които средство за получаване на информация са хората; Канали за изтичане, в които средство за получаване на информация е апаратурата.

Канал за изтичане на информацията може да има и заради ПЕМИ, създавани от основните и спомагателните технически средства и системи, индуктиране на информационни сигнали по всевъзможни линии и кабели, излизащи зад границите на контролираната зона и др.

Атаката е целенасочено действие на преднамерен нарушител, състоящо се в търсене и използване на уязвимости с цел сриване сигурността на информационната система.

В резултат на успешна атака се постига: Изтичане на информация; Отказ от обслужване (блокировка); Външна злоупотреба с ресурсите на фирмата, кражба на услуги; Записване и изполване на мрежовия трафик на фирмата от външни лица; Разрушение на информация; Измама с данни;

Инсталиране на вредни програми; Индиректна (непряка) злоупотреба (използване на други системи за създаване на вредни програми); Разбиване на пароли; Влошено администриране.

Формите на организиране на атаките са много разнообразни, но като цяло те се включват в една от следните категории:

Отдалечено проникване в компютърна система или мрежа- програми, които получават неоторизиран достъп до друг компютър през Интернет; Отдалечено блокиране на компютърна система или мрежа - програми, които чрез Интернет блокират работата на отдалечен компютър или на отделна негова програма; Локално проникване в компютър: програми, които получават неоторизиран достъп до компютъра на който работят; Локално блокиране на компютър: програми, които блокират работата на компютъра на който работят; Мрежови скенери: програми, които събират информация за мрежата за да определят кои от компютрите и програмите работещи на тях, са потенциално уязвими от атаки; Скенери за уязвимости: програми, които проверяват големи групи от компютри в търсене на уязвимости към конкретен вид атаки; Разбивачки на пароли: програми, които откриват лесно разгадаеми пароли в зашифрирани файлове с пароли; Мрежови анализатори (снифери): програми, прослушващи мрежовия трафик. Често в тях има възможност за автоматично отделяна на имена на потрбители, пароли и номера на кредитни карти от трафика;

Модификация на предаваните данни или подмяна на информацията; Подмяна на доверения обект или лъжлив обект.

Форма на атака срещу сигурността на системата е и т.нар. “социално инженерство” – получаването на несанкциониран достъп до информация по друг начин, без разбиване на програмното обезпечаване. Целта е да се надхитрят хората, за да се получат паролите за достъп до системата или друга информация, помагаща да се наруши сигурността чрез методи за вземане на информация от индивиди, снемане на информация от документи и други методи и средства от арсенала на специалните служби.

Голямо е разнообразието на мрежовите атаки, които могат да бъдат разделени на две големи групи:

Пасивно подслушване на мрежата – наблюдение на потока от съобщение, без намеса в него; Активно подслушване на мрежата – включва някои вид обработка на съобщенията - селективно промяна, изтриване, забавяне, вмъкване на фалшиво съобщение, IP измама и др.

За получаване на информация, нарушителите могат да използват специални методи и технически средства, които са:

Специално внедрени електронни средства, разрушаващи или изкривяващи информацията;

Средства предаващи обработваната и информационната система информация или речева информация – разговори в помещенията, в които се намират компютрите; Облъчване на техническите средства на информационната система със сондиращи сигнали; Разрушаване на елементите на хардуера чрез подаване на високо напрежение и др.

У нас е приет Закон за специалните разузнавателни средства (СРС) . СРС по смисъла на този закон са технически средства и оперативни способи за тяхното прилагане. Съгласно закона, такива средства могат да се осигуряват и прилагат само от МВР, Националната разузнавателна служба и разузнавателната служба на МО с цел предотвратяване и разкриване на тежки престъпления и при дейности , свързани със защитата на националната сигурност. Всяко използване на такива средства от други физически и юридически лица не е разрешено и се наказва .

Неправилното проектиране и реализация на мрежата може да доведе до сериозно увеличаване на уязвимите места. Почти всички видове заплахи и уязвимости са директно свързани с проектирането и разработката на системата.

Най-чести и най-опасни по размера на нанесените щети се явяват непреднамерените грешки на хората обслужващи системата – потребители, оператори, администратори.

Те могат да бъдат: Действия, водещи до частичен или пълен отказ на системата, в следствие на разрушаване на нейни компоненти; Повреда на носителите на информация; Неправомерно използване на оборудване и програми, водещо до забавяне работата на системата или до нейния срив; Заразяване на компютрите с вируси; Невнимателни действия, водещи до разгласяване на поверителна информация; Разгласяване, предаване или загуба на пароли, пропуски, магнитни карти и др.; Работа в системата без изпълнение на предвидените мерки за сигурност; Некомпетентно използване, настройка или изключване на средствата за защита; Изпращане на данни на грешен адрес; Въвеждане на грешни данни; Неумишлено повреждане на каналите за връзка.

Има четири типични случая, които могат да предизвикат изтриване на данните: Случайно изтриване на данните от неправилна работа с компютър, в това число от външни лица, както и от деца; Апаратни грешки; пожар, наводнения, война и други форс-мажорни обстоятелства; Отказ на програмното осигуряване.

Апаратните грешки са следствие на факта, че апаратурата и твърдите дискове не са вечни. Параметърът средно време за отказ (MTBF) е предположение колко време ще работи твърдия диск, преди с него да стане сбой. Информацията физически се записва върху диска

в сектори върху писти, като един файл обикновено заема много сектори в няколко писти. Върху диска има важен запис, наречен таблица за разположение на файловете. Тази таблица (FAT) пази запис за пистите и секторите, заемани от файла.

При грешка в програмното осигуряване е възможна загуба на данните особено при програми, които се обръщат към части на компютъра, от най-ниско ниво. Такива грешки в програмите могат да запишат данни в сектора MBR или FAT и ефекта от това е както от най-опасния вирус.

Когато файлът бъде изтрит, съдържанието на FAT таблицата се изчиства и се прави достъпно за ново ползване, но физически информацията все още се намира върху диска. Тази информация може да бъде възстановена, ако след изтриването й не е записвана друга информация върху това място.

Възстановяването на изтрита информация се явява и заплаха за сигурността. Нарушител, който има физически достъп до диска и разполага с необходимите технически и програмни средства, би могъл да получи неоторизиран достъп до “изтритата” конфиденциална информация.

За предпазване от подобен вид заплахи, съществуват методи за унищожаване на файлове. Това става чрез програми за физическо изтриване на файловете от диска, след което никаква програма за възстановяване не може да ги върне обратно.

Принципът на действие на подобни програми се състои в трикратен презапис, както на елементите от списъка във файловата таблица FAT, така и на дисковите сектори, заемани от унищожения файл (в хард дисковете няма изтриваща глава, а само записваща и при еднократен запис на файл върху стар, остават слаби следи от предишните символи). Многократния презапис пречи на нарушителя да използва дори специална апаратура, интерпретираща и записваща слабите следи от изтритата информация.

Нарушителите са лица, опитващи се да изпълнят забранени действия поради грешка, невежество, безотговорност или съзнателно (с користни цели). Те извършват преднамерени нарушения за самоутвърждаване или с користни цели. Случаен нарушител няма да може да прихване и декриптира електромагнитно излъчване или да извърши определен криптоанализ. Този вид атаки могат да бъдат проведени от така наречените “висококласни разбивачи”, зад които стоят солидни ресурси (компютърна мощност, пари, време, персонал).

По отношение на атакуваната информационната система преднамерените нарушители могат да бъдат: Вътрешни – оператори и потребители на системата, програмисти, технически персонал, ръководители с различни длъжности, служители по сигурността на информационната система; Външни – клиенти и посетители, бивши служители (твърде опасни са така наречените “обидени” служители ), агенти на конкурентни организации и чужди разузнавания, терористи и престъпници, разрушители.

Разрушителите са три категории високо квалифицирани специалисти, които се стремят да проникнат несанкционирано в чуждите компютри: Хакери, които не винаги нанасят вреда на данните. За някои от тях е просто предизвикателство да разрушат преградите на чуждите секрети. Кракери, които злонамерено създават опасни ситуации около компютърните системи и мрежи. Фийкъри – това са разбивачи, които се специализират в нападение на проводни и мобилни телефонни системи.

В литературата се прави различие между хакер - високо квалифициран копютърен специалист, не участвуващ в криминална дейност, и кракер-хакер, който използва своите способности за пробиване на компютърни системи с користна цел.

Методите на кракерите са различни. Те използват невежеството и благодушието на системните администратори и потребителите на компютри, грешки в програмите, даващи възможност да се заобиколят защитите, създават вредни програми и др.

Хакерите и кракерите никога не атакуват директно, без първо да са извършили известно разузнаване. Типичната последователност в тяхната дейност за разузнаване с цел получаване на достъп е следната:

Получаване на информация за организацията чрез подходящи Web-страници, бюлетин-бордове, справочници и др; Мрежово разузнаване – чрез използване на средства за мрежово администриране да се идентифицират рутерите и защитните стени (например чрез командите traceroute и ping – разглеждат се в Глава 3); Разузнаване на DNS системата (диапазоните на IP адресите, имената на домейните и трансферни зони); Социално инженерство – систематичното следене на атакуваната организация позволява на атакуващите да изградят пълен профил на нейната система за сигурност, като използват комбинация от инструменти и технологии за отваряне на някои врати с цел търсене на уязвимости.

Първата линия на отбраната срещу нарушителите е системата от пароли. Затова постоянния работен инструмент на кракерите е т.нар. програма “Разбивач”. Задачата на тази програма е да се опита да получи достъп до отдаличен компютър с помоща на кодове и пароли докато не бъде намерена комбинацията осигуряваща достъп до системата. След това опитния разбивач вече знае как да повиши нивото си на привилегия до новото на системния администратор.

Вредното програмно осигуряване е общ термин за програми, които умишлено нанасят вреда на компютърните системи и мрежи. Подобно на своите биологични аналози, компютърните вируси носят в техния код от инструкции предписания за направа на техни ефектни копия. Инфекцията се разпространява от потребителите чрез размяна на инфектирани дискове или чрез препращане от един към друг на инфектирани програми. В мрежова среда способността да се получи достъп до приложение и системни услуги от други компютри осигурява перфектни условия за разпространяване на вируси. По въпросите на защитата от вируси има много информационни източници, поради което този проблем тук само се почертава като един от основните за мрежовата сигурност.

6.3. Основни уязвимости в Интернет

Интернет е най-голямата глобална мрежа. Общото за всички компютърни мрежи, обединени в нея е комуникационния протокол TCP/IP.

Приложният софтуер за Internet се базира на модела "клиент-сървър" за обслужване на потребителите. Клиентският софтуер превежда запитването на клиента в разбираем за сървъра вид и прави връзка с него. Сървърният софтуер управлява информационние ресурси на сървъра и обслужва насочените към него заявки.

Всеки път, когато една машина от мрежата поиска услуга от друга, тя посочва конкретен получател и метод на транспортиране. Получателят е посочен чрез IP адреса на

получателя, а методът на транспортиране – чрез транспортния протокол (TCP или UDP). Освен това изпращачът указва приложението (програмата-услуга) на машината получател, към която се обръща. Това става чрез системата за портове. Точно както компютрите в Интернет притежават уникален IP адрес, всяко приложение (FTP, TELNET) има присвоен уникален адрес, наречен порт. Портът може да се разглежда опростено като софтуерна врата през която минава информацията (не трябва да се бърка с хардуерните портове, към които се закачат кабелите на мишката, клавиатурата и др. устройства). Портовете дефинират типовете на услугата, която се иска или предоставя. Те могат да бъдат отворени или затворени, през тях информацията може да се въвежда или извежда. Ако всички портове на компютъра за затворени, никой не може да проникне в него през мрежата, но и потребителя няма да може да използва услугите на мрежата.

В Интернет сървър има хиляди портове, макар че повече от тях не са активни. За тяхното по-удобно и ефективно използване е утвърдена стандартна номерация. Комплектът протоколи TCP/IP има 65535 порта. Портовете с номера от 1 до 1023 се наричат широко известни портове. В таблицата по-долу са дадени някои широко известни портове и приложенията, които обикновено се асоциират с тях.

Порт Услуга или приложениепорт 20 и 21 File Transfer Protocol (FTP)порт 22 Secure Shell (SSH)порт 23 Telnetпорт 25 Simple Mail Transfer Protocol

(SMTP)порт 42 Host name serverпорт 43 Who isпорт 53 Domain Name System (DNS)порт 80 Hypertext Transfer Protocol

(HTTP)порт 88 Kerberos

Всеки от описаните в таблицата портове има присвоена услуга или протокол от приложното ниво на модела TCP/IP, т.е. те са видими за потребителя и той може да общува с тях. Портовете с номера от 1024 до 49151 се наричат регистрирани портове, а тези от 49152 до 65535 се смятат за динамични или частни. Номерата на портовете и предназначението им, могат да се намерят на адрес: http://www.iana.org/assignments/port-numbers

Има програми, които разпознават кои портове са отворени и кои са затворени. Те се наричат скенери за портове.

Портът и IP-адреса съвместно образуват сокет (socket). Двойка сокети еднозначно идентифицира едно ТСР-съединение. Един сокет може да участва в няколко съединения едновременно.

Следните протоколите, използвани в компютърните мрежи, които могат да станат заплаха в ръцете на нарушителите са ТСР, UDP, IP spoofing, IP Етикети за сигурност, ARP, ICMP и Електронна поща.

Протоколът TCP осигурява надеждни виртуални вериги и загубените или развалените пакети се предават отново. Всеко пакет съдържа пореден номер който се потвърждава при установяване на връзката. Подреждането се обслужва от поредните номера, съдържащи се във всеки пакет. Загубените или повредени пакети в мрежата се предават отново, кето

означава че пристигащите пакети може да е нужно да бъдат отново размесени с цел да бъдат отново съгласувани, подредени правилно. TCP съгласуващия номер има и друга функция. Тъй като първоначалния съгласуващ номер се променя с всяка нова връзка, това позволява на TCP протокола да открие остарял пакет от предишни версии на същата верига. Това е скромна придобивка за сигурността - връзката няма да може да бъде установена докато и двете страни не са съгласили за началния съгласуващ номер. Обаче, ако атакуващия може да познае началната точка, той може да накара приемащия да повярва че работи с истинския предавател( това се нарича атака тип "съгласуваш номер"). Всеки TCP пакет съдържа идентификатор, състоящ се от номерата на локалния хост, локалния порт, отдалечения хост и отдалечения порт. По този начин всяко виртуално съединение се идентифицира еднозначно. Във всеки момент може да има някои виртуални съединения, използващи същия порт, но докато останалата част на идентификатора еразлична, дотогава тт ще бъде уникално определено. Сървърите , които осигуряват услуги следят съотетните портове ( обикновено те имат малки номера).

Непотвърждаването на тази конвенция може да предизвика проблеми в сигурността. Сървърите могат да имат повече от един IP адрес, така че тези портове, които " слушат" може да се смятат за наполовина отворени, докато се знаят номерата на локалния порт и хост.

Клиентите използват предложени услуги, те рядко търсят специфични портове ( обикновено присвоени от ОС). Повечето версии на UDP и TCP за UNIX- системи налагат правилото, че само суперпотребителя ( корена) може да създава портове, номерирани по-малко от 1024 ( превилигировани портове). Отдалечената система е необходимо да бъде способна да вярва на автентичността на информацията, която постъпва на такъв порт. Тази конвенция не е правило, но подразбирането е ясно: на истинността на номерирането на порта трябва да се вярва ако сте сигурни,че конвенцията е приложена.

Протоколът UDP е свързан с доставянето на фрагментите на съобщението. В този протокол липсва установяване на връзка между абонатите и не може да се използва, предложена защита от протокола TCP -"ръкостискане". Обикновено се използва за малки заявки и отговори и когато са използвани за големи масиви той се държи много зле. Липсва му контрола на потока от данни и може да залее хостовете и рутерите с излишни данни, предизвиквайки загубата на пакети . UDP използва същите номера на портовете и сървърни конекции като TCP. Много по-лесно е да са spoof UDP пакети, тъй като те нямат ръкостискане и съгласуващи номера. Трябва да се проявява изключително внимание при използването на адреси от UDP пакет ( автентификация).

IP spoofing пакетът се изпраща с подправен IP адрес. Хакера е направил това, за да не се знае неговият идентификатор. Подправянето на адреса е прост начин да се скрие идентичността на машината, от която идва атаката. подправянето на адреса е относително лесно и има инструменти които позволяват ръчното конструиране и изпращане на пакети. Чрез тях Вие можете да установите който си искате IP адрес. Този адрес може да се промени и на Вашата машина ( чрез control panel). Следователно IP адресите могат лесно да бъдат променяни, така че да изглежда, че идват от друга машина.

IP Етикети за сигурност. IP - пакетът има определен брой от опционни полета - от тях важни са етикета за сигурност и полето за рутиране. Опцията се използвала от военните сайтове известно време, и има също и търговски вариант. Етикетите индицират нивото на сигурност при процеса на изпращане и приемането, като процеса може да не записва в среда с по-малко ниво на сигурност от неговата, защото те биха разрешили разкриването на конфендиционална информация. По очевидни причини той не може да чете от среда с по-висока сигурност от своята.

В мрежите етикетите на сигурност се използват за подтискане на маршрутизиращи решения. Пакетите, маркирани като строго секретни могат да не бъдат изпратени по несекретни линии за несекретен трафик. Втората полза е да се контролира криптографското оборудване - същите пакети могат да се изпратят по несекретни линии ако са добре зашифровани.

Протокол ARP. Често IP пакетите се изпращат по мрежите Ethernet и 32- битовите IP- адреси трябва да бъдат преобразувани в 48- битови Ethernet адреси. Това се извършва от протокола ARP, който изпраща пакети Ethernet , съдържащи желаният IP адрес. Той се кешира от изпращача за намаляване на ARP трафика. Това води до риск ако фалшиви възли получат достъп до местната мрежа. Изпратените ARP съобщения могат да се излъчат и целия трафик може да се отклони. След това това може да сеобезличат машините, или просто да модифицират потоците от данни. Механизъма ARP е обикновено автоматичен , но в някои специални секретни мрежи ARP мапинга може да бъде апаратен и да бъде забранен автоматичния протокол.

Протоколът ICMP има механизъм на ниско ниво за въздействие върху поведението на TCP и UDP връзки. Изпозва се да информира хостовете за по-добри маршрути, или да докладва за проблеми по маршрута или да спира връзката поради проблеми в мрежата. Също поддържа програмата PING. Много съобщения ICMP на даден хост са специфични за определени връзки. Следователно пренасоченото съобщение или съобщението недосегаемо направление трябва да се свързват специфично. По-старите ICMP приложения не изпълняват тази конвенция. Когато съобщението Destination Unreachable се появи всички връзки между такава двойка от хостове се провалят, даже ако съобщението е било пуснато от специфичния портов филтър на защитната стена.

Електронната поща се предлага от сички търговски мрежи, както е в Интернет. Независимо от това дали се намирате в локална или глобална мрежи, трябва да се знае, че всеки администратор на мрежата с неговите права, има достъп до абсолютно всичко в мрежата, или поне до трафика, който преминава през неговата мрежа. Ако вашата поща не е интересна за професионалния шпионаж най-опасни са любопитните и хакерите. Безпринципните системни администратори също могат да четат електронната поща.

В правителствените и университетски организации в САЩ има строги правила за контрол върху съобщенията. Там съществува закон за секретността на електронните комуникации. На провайдерите е разрешено да четат съобщенията само в случаи, когато е необходимо за изпълнение на тяхната работа. Полицията в САЩ има право да чете електронна поща само след съдебно решение. Що се отнася до правото на работодателите да наблюдават за дейността на работниците, то в САЩ действа общото право: правото на собственост преобладава над другите права, т.е. правото за секретност на работника е вторично по отношение на правото на собственост на собственика на предприятието. За малката фирма в САЩ отговора на въпроса на кого принадлежи електронната поща, на работника или на работодателя е прост. Ако работодателя осигурява средствата за електронна поща, то той контролира и всички съобщения.

Интернет провайдерите използват протоколите за електронна поща POP (Post office Protocol) и SMTP.

Най-уязвимите места на електронната поща са вашата изходяща поща и пощенската кутия на получателя. Най-малко са защитени електронните съобщения, очакващи ред на сървъра на получателя, за да бъдат разтоварвани към крайния компютър на потребителя. Това е така, защото съобщенията останали без движение на едно място са любима мишена за хакерите. Така те избягват проблема свързан със скъпото установяване на снифер (sniffer).

Снифера е инструмент на системния администратор, чрез него той има възможност да контролира трафика и да проверява мрежовите съединения. Снифера може да бъде използван за прихващане на целия трафик и за генериране на отчети при появяване на пощенски съобщения, откривани по някакви критерии, например специфични ключови думи или фрази, а също така съобщение към/от конкретен адрес или група адреси.

Монтирането на снифер е скъпа процедура, изисква голямо майсторство и лесно се открива, защото този прибор трябва да бъде включен в общата мрежа. За да се избегне използването на снифер, хакера се опитва да получи статус на супервайзор, така той ще може да преглежда всичко в системата в това число и електронната поща, която е съхранена или чакаща изпращане в сървъра.

Едно от средствата да се попречи на хакерите е да се използва опцията на програмата за четене на електронна поща “да се премахне четената поща от сървъра”, но ако има дублиране на входяща поща от друг сървър на провайдера с цел резервиране, хакера получавайки статут на супервайзор може няколко дена да чете пощата, даже ако потребителя си мисли, че те са били отстранени от сървъра.

Има два способа за скриване на изпращача на електронна поща: фалшива поща и анонимна поща. Тези два способа се различават по-следното: във фалшивата поща (fake mail) изпращача се старае изцяло да скрие своята личност, а използвайки анонимната поща (anonymous mail) изпращача скрива името си от всички освен от получателя. По принцип това е възможно ако се влезе чрез telnet на 25 порт на Unix-машината и се вкарат няколко Unix команди- Hello, Mail from, RCPT to:

Това разиграване се нарича спуфинг. Но ако се влезе чрез telnet в система, в който е натоварен модула RFC 931, предотвратяваща фабрикуването на фалшиви адреси на подателя, то вместо фалшивият ще бъде изпратен вашият адрес.

Проверката за наличие в системата на RFC 931 става, когато изпратите писмо на себе си. Основната причина поради, която може да стане мистификацията с обратния адрес е в реализацията на протоколите за изпращане на електронна поща.

Анонимния ремайлер, това е пощенския сървър разработен за приемане на изпратено до него съобщение, за отстраняване на цялата идентифицираща информация на подателя в заглавието и замяната и с анонимна информация. След това писмото се предава към получателя.

Най-внимателните личности изпращат съобщения чрез множество ремайлери (5 и повече). Може да се получи по подробна информация за ремайлерите от сайта: www.skypoint.com/members/gimonca/anonmail.html.

Интернет създава възможност без усилия да се разпространяват съобщения до хиляди адреси в мрежата. Това улеснява лица или търговски дружества да изпращат рекламни съобщения (spam) или просто безполезни за потребителите послания (junkmail), които затрудняват ефективното изпoлзване на Интернет.

Спам е термин, влязъл в употреба през 90-те години. С него се означават съобщения, които наводняват мрежата и които хората никога не биха искали да получат, ако предварително ги бяха попитали. В тесен смисъл на думата спам е електронно съобщение с търговски или рекламен характер, което съдържа информация за стоки и услуги или приканва адресата да посети уеб-страница с търговско съдържание.

Списъците с адреси, които се използват за спам, се продават от недобросъвестни автори на сайтове, които използват най-разнообразни методи, за да се доберат до ценна маркетингова информация

На някои сървъри се предлага услугата free hosting, но постепенно услугата или се превръща в платена, или “се заплаща” косвено. Някои компании предлагащи тази услуга като

http://www.skypoint.com/members/gimonca/anonmail.html

част от политиката си включват задължителното получаване на рекламни съобщения, като условие за използване на пълният набор от възможностите и.

В редица страни разпространяването на рекламни съобщения, които не съдържат в заглавието си обозначението “реклама”, а в самата поща – името и адреса на изпращача, както и удобен за получателя електронен метод за реакция на получателя, ако не желае да получава повече писма от подобен род, са забранени със закон.

В някои щати на САЩ е забранено масовото изпращане на търговски съобщения до адресати, с които дружеството не е в бизнес отношения. Големите телекомуникационни оператори също водят борба с потоците излишна поща. Самото определяне на една кореспонденция като спам не е лесна задача. Защитата на потребителите на Интернет в разглежданата област ще се развива не толкова със средствата на правните забрани, колкото със средствата на все по-масовото възприемане на етичните правила за поведение в Интернет.

6.4. Популярни мрежови атаки

6.4.1. Анализ на мрежовия трафик в Internet

Един от способите за получаване на пароли и идентификатори на потребителите в Интернет се явява анализа на мрежовия трафик. Този анализ се реализира с помощта на специална програма – анализатор на пакети (снифер), прехващаща всички пакети в сегмент на мрежата, и отделяща от тях тези, в които се предават идентификатора на потребителя и неговата парола.

В много от протоколите данните се предават в открит, нешифрован вид. Анализа на мрежовия трафик позволява прехващане на данните предавани чрез протоколите FTP и TELNET (идентификатори и пароли на потребители), HTTP (предаване на хипертекст между WEB-сървъри и браузъри, в това число и въвежданата във форми информация от потребителите) , SMTP, POP3, IMAP, NNTP (електронна поща и конференции) и IRC (online-разговори, чат). Така могат да бъдат прехванати пароли за достъп до системите за електронна поща с web-интерфейс, номера на кредитни карти при работа със системи за електронна търговия и различна информация от личен характер, разгласяването на която е нежелателно.

За разузнаване в мрежата могат да се използват и тривиални подходи. За да се засече мрежовата активност и научаване на мрежова информация за друг компютър, може да се използва UNIX командата netstat (еквивалентната и в DOS и WINDOWS е netstat). Много от портовете се представят с имената си, а често е необходимо да се знае номера на порта. Тогава просто се комбинират параметрите n и a:netstat –na. Получават се както IP адресите, така и номерата на отворените портове на машината. Съществуват и програми, с които можете да се сканират цели обхвати от IP адреси и след това да се научи почти всичко за тях. Една от тях е Haktek.

Чрез командата nslookup може да се намери в Интернет информация от DNS сървърите цел разпечатването на таблица и намиране на имената и адресите на компютрите в този сървър..

Първичните сървъри са достоверни и зареждат информацията за домейна директно от дисков файл. Те имат пълна информация за техния домейн и техните отговори са винаги точни и правилни. Вторичните сървъри прехвърлят цялата база данни за домейна от първичния сървър периодично. Само чрез кеширане сървърите дават отговори на всички

заявки за услуги по имена, получавани от другите name-сървъри. Те построяват своята информация чрез кеширане на резултатите от заявките.

За защита е добре да се ползва програма като Zone Alarm от http://www.zonelabs.com, която ще затвори всички портове на компютъра, които не се ползват от одобрената от потребителя програма.

С цел намирането на имената и IP- адресите на компютрите, свързани към даден сървър, се използва UNIX-командата nslookup. След намирането на тези адреси, те могат да бъдат “пробити”. Има програми за конвертиране на host адрес. Например може да се напишеnslookup чрез която да се разберат всички host и IP адреси на компютрите в даден домейн. Тази команда дава достъп до информацията в DNS.

Намиране на информация в Интернет.arp –aarp <име на хост>Първата команда изобразява всички елементи на таблицата в която на IP адресите

съответстват МАС адресите.За да се провери връзката с отдалечен компютър се използва командата ping –s [-t ttl] <име на хост> [размер на пакета] [брояч]–s означава, че непрекъснато се изпращат пакети ping <име на хост> проверява дали има такъв отдалечен компютър. Ако съществува,

той отговаря <име на хост> is alive (или подобен текст). Ако не съществува се получава съобщение unknown host (no answer, unreachable)Чрез командата ping може да се изпращат определен брой пакети с различна дължина и

да се “залее” съответния хост.ping –s main.shu-bg.net 20 10,Ако не се зададе размера и броя на пакетите, се подразбира размер 56 В и предаването

им продължава докато не се спре принудително с Ctrl + C. В отговор на командата на екрана се изобразяват: Големината на пакетите, получени обратно (с 8 В повече от изпратените); Броят на изпратените, получените и загубените пакети в проценти; Времето за пътуване на пакета в ms (минимално/средно/максимално); Всички възли, през които преминават пакетите.

Чрез UNIX командата traceroute <име на хост> (WINDOWS еквивалент tracert <име на хост>) се показва маршрута на UDP пакетите от локалния хост до отдалечения хост. Командата отпечатва на екрана символните имената и IP адресите на всички шлюзове по маршрута и се изчислява броя на рутерите и времето за преминаване на всеки пакет.

IP адрес или съответстващото му символно име, може да бъде намерено и чрез командата host. Например

host mail.pv-ma.bg Отговорът е server: mail.pv-ma.bg

Address: 193.68.148.4Със използване на UNIX командата TELNET и порт № 25 може да се имитира ръчно

изпращане на пощенски съобщения чрез командите на протокола SMTP. Този подход се използва понякога от хакерите, ако предварително са разузнали адресите в атакувания пощенски сървър. При използване на пощенския протокол smtp, никога не може да има сигурност в определянето на източника на съобщението.

http://www.zonelabs.com/

Командата vrfy позволява на хакерите да получат полезна информация, защото тя транслира пощенските псевдоними в актуални идентификатори за влизане в система. Командата expn също е полезна за хакерите. Съдържанието на съобщението също може да предизвика проблеми. Автоматичното изпълнение на MIME-кодираните съобщения крие потенциална опасност.

Вече са разработени различни протоколи за обмен, позволяващи защита на мрежовия трафик (например, SSL и TLS, SKIP, S-HTTP и т.н.). За съжаление те още не са сменили старите протоколи и не са станали стандарти за всички потребители. До определена степен на тяхното разпространение пречат съществуващите в редица страни ограничения за експорт на средства за силна криптография. Поради тази причина реализациите на тези протоколи или не са били включени в програмното обезпечаване, или са били значително отслабени (ограничаване на максималната дължина на ключа), което води до практическата им безполезност, тъй като шифрите могат да разкрити за приемливо време.

Заради използваните в мрежите алгоритми за дистанционно търсене е възможна атака тип "фалшив мрежов обект"( фалшив ARP сървър).

6.4.2. Лъжлив ARP-сървър

За адресацията на IP-пакети в Интернет освен IP-адреса на хоста са необходими още и Ethernet-адреса на неговия мрежови адаптер (в случай на адресация в една подмрежа) или Ethernet-адреса на маршрутизатора (в случай на междумрежова адресация). Първоначално хоста може да няма информация за Ethernet-адресите на другите хостове в неговия сегмент на мрежата, а също така и за Ethernet-адреса на маршрутизатора. В Интернет за решаването на този проблем се използва протокола ARP (Address Resolution Protocol). Този протокол позволява да се получи еднозначно съответствие на IP- и Ethernet-адресите на хостовете, намиращи се във вътрешността на един сегмент. Той работи по следния начин: при първото обръщение към мрежата, хоста изпраща ARP-запитване, в което указва IP-адреса на маршрутизатора или хоста, и очаква да му съобщят неговия Ethernet-адрес. Това запитване получават всички станции, в това число и тази, чийто адрес е търсеният. След като получи запитването, хоста записва запитващата станция в своята ARP-таблица и след това изпраща на запитващия хост ARP-отговор със своя Ethernet-адрес. Полученият от ARP-отговора Ethernet-адрес се записва в ARP-таблицата, намираща се в паметта на ОС на запитващия хост. Общата схема на атаката е следната:

Очакване на ARP-запитване; При получаване на ARP-запитване се предава по мрежата на запитващия хост

лъжлив ARP-отговор, в който се указва мрежовия адрес на атакуващата станция (лъжлив ARP-сървър) или този Ethernet-адрес, на който ще се приемат пакетите от лъжливия ARP-сървър;

Прием, анализ, въздействие и предаване на пакетите обменяни между взаимодействащите хостове (въздействане на прехванатата информация);

Най-простото решение за ликвидирането на тази атака – създаване от мрежовия администратор на статична ARP-таблица като файл, където се слага информация за адресите и този файл се слага на всеки хост във вътрешността на мрежовия сегмент.

6.4.3. Лъжлив DNS-сървър

Както е известно, за обръщение към хостовете в Интернет се използват 32-разрядни IP-адреси, които уникално идентифицират всеки мрежови компютър. Използването на IP-адреси не е най-удобният начин за обръщение към хостовете. За това на всички компютри са присвоени имена. Те от своя страна трябва да се преобразуват в IP-адреси, тъй като на мрежово ниво адресацията на пакети не е по имена, а по IP-адреси.

Пътвоначално, когато в Интернет е имало малко компютри, за решаването на проблема с преобразуванието на имена в адреси е съществувал специален файл (така наречения hosts-файл), в който на имената са съпоставяни съответните IP-адреси. Файлът се обновявал регулярно и се разпращал по мрежата. С развитието на мрежата броят на хостовете обединени в нея нараствал и тази схема работела все по-зле. За това била сменена с нова схема за преобразуване на имената, позволяваща на потребителя да получи IP-адреса, сътветстващ на определено име от най-близкия DNS-сървър. За реализацията на тази система е разработен протокола DNS.

Алгоритъм на работа на протокола DNS е следния: Хостът изпраща на IP-адреса на най-близкия DNS-сървър DNS-запитване, в което се указва името на сървъра, чийто IP-адрес трябва да бъде намерен; При получаването на такова запитване, DNS-сървърът търси указаното име в своята база с имена. Ако намери него и съответстващия му IP-адрес, то той изпраща на хоста DNS-отговор, в който указва този адрес. Ако не намери името в своята база с имена, то DNS-сървърът препраща запитването на някой от отговарящите за домейните от по-горно ниво DNS-сървъри. Тази процедура се повтаря, докато името бъде намерено или не бъде намерено.

Както се вижда от алгоритъма, в мрежите използващи протокол DNS, може да се внедри лъжлив обект – лъжлив DNS-сървър.

Тъй като по подразбиране DNS функционира на базата на протокола UDP, който за разлика от TCP не предвижда средства за идентификация на съобщенията, това го прави по-малко защитен. Схемата за работа на лъжлив DNS-сървър е следната:

Очакване на DNS-запитване; Извличане на необходимите сведения от полученото съобщение и предаване към запитващия хост на лъжлив DNS-отговор ит името (IP-адреса) на истинския DNS-сървър и с посочване в този отговор на IP-адреса на лъжливия DNS-сървър; При получаване на пакет от хоста се променя IP-заглавието на пакета и той се предава към сървъра. Лъжливият DNS-сървър работи със сървъра от свое име; При получаването на пакет от сървъра се променя IP-заглавието на пакета и той се предава към хоста. Лъжливият DNS-сървър се явява истински за хоста.

Възможни са два варианта за реализация на тази атака. В първия случай необходимо условие е прехващането на DNS-запитването, което изисква атакуващия да се намира на пътя на основния трафик, или поне да е в един сегмент с DNS-сървъра. В този случай се прави насочена атака от предварително подготвени лъжливи DNS-отговори към атакувания хост.

За затрудняване на тази атака може да се използва протокола TCP вместо UDP, въпреки че не винаги е ясно как точно да се направи, а и TCP не гарантира пълна безопасност.

6.4.4. Използване на протокола ICMP за създаване на лъжлив маршрутизатор

Маршрутизацията в Интернет се осъществява на мрежово ниво (IP-ниво). За нейното обезпечаване в паметта на мрежовата ОС на всеки хост съществуват таблици за маршрутизация, съдържащи данни за възможните маршрути. Всеки сегмент на мрежата е включен към Интернет минимум чрез един маршрутизатор. Всички съобщения адресирани до други сегменти на мрежата се изпращат към маршрутизатора, който ги пренасочва по нататък по указания в пакета IP-адрес, като избира оптималния маршрут.

В Интернет съществува управляващ протокол ICMP, едно от предназначенията на който е динамичното изменение на таблиците за маршрутизация в крайните мрежови системи. Отдалеченото управление на маршрутизацията е реализирано чрез предаване към хоста управляващото ICMP-съобщение Redirect Message.

За осъществяване на тази атака е небходимо да се подготви лъжливо ICMP-съобщение Redirect Datagrams for the Host, където се указва адреса на хоста, маршрута към който е бил изменен, и IP-адреса на лъжливия маршрутизатор. След това то се предва на атакувания хост от името на маршрутизатора. Тази атака позволява да се получи контрол над трафика между този хост и сървъра интересуващ нападателя, ако хоста и нападателя се намират в един сегмент, или да наруши работата на хоста, ако са разположени в различни сегменти.

За защита може да се използва филтрация на ICMP-съобщенията с помощта на Firewall. Друг способ е промяна в мрежовото ядро на ОС, за да се забрани реакцията на ICMP-съобщенията Redirect.

6.4.5. Подмяна на един от субектите в TCP-съединение в Интернет (hijacking)

Протоколът TCP (Transmission Control Protocol) е един от базовите протоколи на транспортно ниво в Интернет. Той позволява поправка на грешки, които могат да възникнат в процеса на предаване на пакетите, установявайки логическо съединение – виртуален канал. За идентификация на TCP-пакета в TCP-заглавието два 32-разрядни идентификатора, които също играят ролята на броячи на пакети. Техните наименования – Sequence Number (номер на последователност) и Acknowledgment Number (номер на потвърждения).

За да формира лъжлив TCP-пакет атакуващият трябва да знае текущите идентификатори за даденото съединение. Това значи, че е достатъчно, подбирайки съответните текущи стойности на идентификаторите в TCP-пакета за TCP-съединения, да изпрати пакета, от който и да е хост в мрежата, от името на един от участващите в съединението, и този пакет ще бъде възприет като верен.

Ако нападателя и обекта на неговата атака се намират в един сегмент, то задачата за получаване на стойностите на идентификаторите се решава чрез анализ на мрежовия трафик. Ако се намират в различни сегменти, налага се да се направи математическо предвиждане за началната стойност на идентификатора чрез екстраполация на неговите предишни стойности.

За защита от такива атаки е необходимо да се използва ОС, в която за началната стойност на идентификатора се генерира действително по случаен начин. Необходимо е също да се използват защитени протоколи от типа на SSL, S-HTTP, Kerberos и т.н.

6.4.6. Атаки от тип “Denial of service” (DoS)

DoS (отказ на услуга) е вид атака, която причинява загуба на услуга или невъзможност на мрежата да функционира. Въпреки че чрез нея не се получава неоторизиран достъп до информацията на жертвата, тя си остава една от най-разпространените мрежови атаки. DoS атаките имат много форми и могат да бъдат насочени срещу всеки потребител на Интернет. По принцип те работят по един от следните начини: Консумират пропускателната лента; Изчерпват ресурсите; Сриват системи и приложения.

DoS атаките блокират работата на търговските сайтове или чрез блокиране на достъпа на потенциалните клиенти (блокиране на достъпа до мрежата) или чрез събаряне на използваните сървъри. За целта има няколко метода:

Изразходване на лентата на пропускане (запълване на трафика); Недостиг на ресурси; Използване на грешки в софтуерните платформи; Грешки в програмите; Атаки срещу DNS и ARP (отравяне на кеша); Манипулация на протоколите, чрез вирусите Melissa, Smurf, SYN flood (многобройни лъжливи заявки за създаване на съединение) и DNS атаки; Дистанционни атаки – използване на програмни грешки в IP протокола; разпределени DoS атаки.

Всяка мрежа може да поддържа само ограничено количество мрежов трафик във всеки момент и това количество зависи от няколко фактора- скорост на мрежата, тип на устройствата и тяхната производителност. Типични линии от Интернет доставчик до организациите са ISDN, DSL, Broadband (чрез кабелен модем), Т1 и Т3. Тези видове линии имат съответните пропускателни възможности. Типичните топологии на LAN използват 10ВАSЕ-Т и 100ВАSЕ-Т.

Консумирането на пропускателната лента е атака срещу мрежовите ресурси и означава пълно натоварване на пропускателната лента на мрежата, като атакува компютър или компютри. Това прави работата на мрежата бавна или спира напълно сървъра, докато продължава атаката, и прави недостъпни услугите Web, E-mail или FTP. Изчерпването на ресурси е насочено към определени компютърни системи, предоставящи услуги като Web, E-mail, DNS и FTР и ги прави бавни или ги спира. Сривът на системи и приложения води до отказ на услуга защото самата система или приложение се срива.

“Отказ на услуга” чрез консумиране на пропускателната лента се получава, когато целият капацитет на мрежовата връзка е зает. Щом се изконсумира целият капацитет на мрежовата линия, не може да се изпращат повече данни. Това означава, че няма да има нови връзки към Интернет, файлови услуги, Web сървъри, мейл сървъри и всякакви други услуги, изискващи мрежова комуникация. Вече създадените връзки ще станат бавни, ще се замразят или ще прекъснат.

Атаки на пропускателната лента се правят чрез специализирани програми и неправилно конфигуриране на мрежова екипировка. Неправилното конфигуриране на мрежова екипировка се отнася до всяко устройство, което се свързва в мрежата – компютърна система, маршрутизатор, ключ и други устройства.

Атаките срещу пропускателната лента са активни - атаката е дотогава докато лентата е напълно натоварена. Веднага щом атакуващата програма спре да изпраща данни или устройството бъде конфигурирано правилно, лентата се освобождава. Повечето мрежови функции се връщат в нормално състояние, освен някои връзки, които се налага да се рестартират.

Типичните атаки се базират на слабости на протокола, като консумират пропускателната лента, изпращайки манипулирани данни. Устройството за достъп, например маршрутизатор, може да пропадне защото се наводнява с повече трафик, отколкото може да обработи. Други форми на консумация на лентата разчитат на това, как реагират на специфични данни някои системи и устройства, свързани с мрежата. Много или всички от компютрите в мрежата – мишена ще бъдат принудени да отговорят едновременно на съобщение, изпратено “до всички” (IP broadcast - IP пакети, изпратени до адреса “broadcast”, а не до конкретна машина), с което ще изконсумират цялата лента.

Атаката “Smurf” е един популярен пример на тази форма на атаката. Тя се базира на изпращане на насочено broadcast ping запитване до мрежа от системи, които ще му отговорят. Насоченото broadcast ping запитване може да се изпрати или до адреса на мрежата или до мрежовия broadcast адрес. Да приемем, че мрежата е от стандартен клас С, то тогава мрежовият адрес ще бъде .0, а мрежовия broadcast адрес ще бъде .255. Насочените broadcasts - кадри обикновено се използват с диагностични цели, за да се види кои са активните адреси, без да се прави ping запитване до всеки в областта.

Smurf атаката се възползва от насочените broadcasts - кадри, използвайки атакуваната мрежа и жертвата. Атакуващият изпраща лъжливи ICMP ECHO пакети на broadcast адреса в мрежата. Сорс адреса, който е използван прави да изглежда така, сякаш системата жертва е инициирала запитването. Broadcast метода кара всички системи в мрежата да отговорят на жертвата. Ако един атакуващ изпрати един ICMP пакет до мрежа със 100 системи, която може да отговори на запитването, то тогава той ефективно е усилил DoS атаката 100 пъти. Това се нарича степен на усилването.

Например – да предположим, че атакуващите изпратят 14К от поддържания ICMP трафик на broadcast адреса на мрежа със 100 системи. Мрежата на атакуващите е свързана с Интернет чрез двуканална ISDN връзка. Атакуваната мрежа е свързана чрез канал с 45 Mbps Т3 връзка. И мрежата на жертвата е свързана чрез 1.544 Mbps Т1 връзка. Очевидно е, че атакуващия може да генерира 14 Mbps трафик и да го изпраща към мрежата на жертвата. Жертвата няма да оцелее след това, защото пропускателната лента на Т1 връзката бързо ще бъде изконсумирана.

Вариант на тази атака е Fraggle атаката. Тук атакуващият използва UDP вместо ICMP. UDP пакетите с лъжливи адреси както преди, обикновено към порт 7 (echo). Всяка система с включено echo ще отговори на хоста жертва, генерирайки голямо количество трафик. Ако echo не е включено системата пак ще отговори, но с неразбираемо ICMP съобщение – също консумирайки пропускателната лента.

6.4.6. Изчерпване на ресурси

Всеки компютър има ограничено множество от ресурси, включително памет, дисково пространство и капацитет на процесора. Изчерпване на ресурса е събитието на заемане на

целия ресурс (един или повече) и няма ресурс за други приложения. SYN наводняването (насочена атака от лъжливи TCP-заявки за създаване на съединение) е популярен пример на атака, която заема всички налични мрежови ресурси на една система.

Всяка система, поддържаща ТСР/IР връзки, може да поддържа ограничен брой връзки едновременно. SYN наводняването експлоатира тристъпковото ръкостискане на ТСР връзката. SYN наводняването успява защото инициира наполовина създадени връзки на порта на сървъра-мишена. Наполовина отворени връзки са тези, при които тристъпковото ръкостискане не е завършено. Нормално, ръкостискането завършва или прекъсва поради изтичане на времето за изчакване, което прекъсва връзката. Всеки порт може да поддържа само ограничен брой наполовина отворени връзки и щом този брой бъде достигнат, не може да се създаде друга нова връзка.

За всяко получено TCP-запитване за създаване на съединение ОС е длъжна да генерира начална стойност на идентификатора ISN и да ги изпрати в отговор на запитващия хост. При това, тъй като в Интернет не е предвиден контрол за IP-адреса на изпращача на съобщение, невъзможно е да се проследи маршрута преминат от IP-пакета, и следователно крайните абонати на мрежата нямат възможност да ограничат броя на възможните заявки, получавани от един хост за единица време. Поради тази причина е възможно да се осъществи атака от типа “отказ от обслужване”, при която се предават към атакувания хост колкото се може повече лъжливи TCP-заявки за създаване на съединение от името на който и да е хост в мрежата. Така атакуваната мрежова ОС в зависимост от изчислителната мощност на компютъра или зависва, или престава да реагира на легални заявки за осъществяване на съединение (отказ от обслужване).

Това се получава, защото за всички получени лъжливи заявки системата трябва първо да съхрани в паметта получената информация от всяко запитване, и второ да изпрати отговор на всяко запитване. По този начин всички ресурси на системата се “изяждат” от лъжливите заявки: запълва се опашката от заявки и системата се занимава само с тяхната обработка.

Има и друга разновидност на атаката SYN наводняване. Вместо използването на една машина за препълването на буфера за пакети на корпоративните рутери, хакерите използват хиляди компютри-зомби. Такива атаки са способни да блокират канали с мощност до Т3 (44.736 Мбит/с). А отказа на канал на провайдър ще доведе не просто до изключване на отделни потребители, а до блокиране на работата на цели корпорации.

В този случай е трудно да се определи източника на атаката – лъжливите пакети пристигат от различни, неповтарящи се IP-адреси. При тези “зомби-атаки” на една жертва се нахвърлят цяла армия и всяко зомби удря само веднъж.

Друг пример за изчерпване на ресурс има при използване на външни програми, например Common Gateway Interface (CGI) програми, във Web сървъра. Програми, записващи данни във файлове на Web сървъра, могат да се използват да запълнят твърдия диск на сървъра. Сървърната операционна система използва файлове при нормалното си функциониране, а пълният диск пречи на работата им. Аналогично, могат да се използват приложения, заемащи много памет или изискващи много процесорна мощ за сложни изчисления, за да заемат изцяло тези ресурси, с което предотвратяват работата на нови процеси и приложения. Тези атаки могат да се приложат не само срещу Web сървър.

6.4.7. Срив на система или приложение

Сривът на система или приложение е бърз и лесен похват за “отказ на услуга”, когато недостатък в програмирането го прави възможен. Широко известен пример за

такъв срив е атаката “Ping of Death”, която използва прекомерно големи заявки ICMP_ECHO. Мишената ще се срине поради неподходящата реализация на обработването на тези мрежови данни.

Тези атаки обикновено са насочени срещу мрежови устройства за достъп, като IР маршрутизатори, кабелни маршрутизатори, управляеми Ethernet ключове, VPN и други специфични устройства. Тези устройства обикновено поддържат някакъв управляващ интерфейс, включително Command Line Interface (CLI) или управляващ Web интерфейс. Чрез различни методи, включително голям брой едновременни връзки, препълване на буфери на въвежданото от потребителя и неправилно валидиране на данни, тези устройства се довеждат до срив. Атаката “отказ на услуга” срещу устройства за достъп е по-тежка отколкото атака срещу единична машина защото тези устройства обикновено работят като шлюз към много мрежи.

Много от тези атаки могат да се предотвратят чрез сигурно конфигуриране на мрежовото устройство. Част от него е промяната на фабрично зададени пароли и конфигуриране на устройството да позволява управляване само през избрана група машини.

6.4.8.Атаки, използващи грешки в реализацията на мрежовите служби

Съществуват различни атаки срещу конкретни платформи. Например: Атака Land – формира се IP-пакет, в който адреса на изпращача съвпада с адреса на получателя. Тази уязвимост се съдържа във всички версии на ОС Windows до Windows NT 4.0 Service Pack 4 включително. Атаки teardrop и bonk – основна грешка на разработчиците на ОС в модула, отговарящ за събирането на фрагментирани IP-пакети. Получава се копиране на блокове с отрицателна дължина или след събирането на фрагментите в пакета остават дупки – незапълнени с данни места, което също може да доведе до сбой в ядрото на ОС. Тези уязвимости присъстват в ОС Windows 95/NT до Service Pack 4 включително и в ранните версии на ОС Linux(2.0.0). WinNuke – атака на Windows-системите за предаване на TCP/IP пакети с флаг Out Of Band (OOB) на открития (обикновено 139-и) TCP-порт. Тази атака е вече стара. Ранните версии на ОС Windows95/NT зависваха.

6.5. Сигурност на Web- трафика

В реализацията на услугата WWW- изпращане на хипертекстови документи (Web страници) участват два вида компютри- клиенти (това са браузърите, които изобразяват на екрана страниците), и сървърите, които пазят web-сайтовете, от които клиентите искат да ползват информация. Всеки web-сайт има сървърен процес, който “слуша” TCP порт 80 за идващи заявки за връзка от клиенти. След установяване на връзката, клиента изпраща една заявка и сървъра му връща един отговор, по този начин се разрешава връзката. Протоколът, който дефинира легалните заявки и отговори, се нарича HTTP.

С бурното развитие на World Wide Web силно се увеличи броя на атаките през Web. Като цяло типовете атаки през Web могат да се разделят на две големи групи:

Атака срещу клиент; Атака срещу сървър.

В своето развитие браузърите отидоха доста далеч от първоначалните версии, предназначени само за разглеждане на хипертекстови документи. Функционалността им постоянно се увеличава, те вече са пълноценен компонент на ОС. Паралелно с това възникват и многобройни проблеми с безопасността на използваните технологии, като допълнителните модули (plug-ins), елементите ActiveX, Java приложенията, средствата за подготовка на сценарии JavaScript, VBScript, PerlScript, Dynamic HTML.

Безопасността на сървърното програмно осигуряване се определя от отсъствието на следните типове грешки: Грешки в сървъра - грешки, водещи до загуба на конфиденциалност, такива, водещи до атаки “отказ от обслужване” и такива, водещи до изпълнение на сървъра на неоторизиран код; Грешки в спомагателните програми; Грешки при администриране.

Към настоящия момент най-широко разпространение имат т.н. web пробиви. Този вид атаки се извършват от автоматично изпълними програми, чието предназначение е отново кражба или разрушаване на данните в компютъра. Те могат да бъдат инсталирани в компютъра Ви докато Вие сърфирате в Интернет, правите download на необходими файлове от чужди сайтове или сте в ICQ сесия. Този тип програми могат да бъдат Java аплети, ActivX обекти, Java скриптове, Visual Basic скриптове или практически всеки нов програмен език, предназначен за проектиране на Web страници. Те могат да бъдат скрити в компютъра Ви и истинската жертва да не сте Вие, а някой друг конкретен потребител на Интернет, като активирането им в такъв случай става или автоматично, или с команда от техния създател. Използват се често за компроментиране на конкретни мрежи или компании.

Неправилната настройка на Web-сървъра може да бъде използвана за несанкциониран достъп до информацията на него, както и за активно вмешателство в работата му от страна на браузъра. Възможните рискове зависят, както от операционната система, върху която той е инсталиран, така и от избраната програма за реализация на Web-сървъра.

Точна класификация на този тип атаки не може да бъде направена, тъй като с развитието на компютърните технологии се създават все повече нови начини за атака. Ето няколко от най-разпространените web пробиви: Java аплети ; ActivX програми; Скриптове; Cookies.

Java аплетите са програми предназначени да се изпълняват от Интернет клиенти, съдържащи т.н. Java Virtual Machine (JVM)- обикновено Internet Explorer или Netscape Navigator. Езикът Java бе създаден от фирмата Sun Microsystems и в него има вградени защитни функции, но вече много от действуващите в Интернет JVM не са създадени от Sun. В резултат на това в Интернет съществуват стотици аплети, които могат да причинят сериозни проблеми въпреки защитните функции на езика Java, като:

отказ от обслужване (Denial-of-Service) - задръстване на конкретния сървер с огромен поток от пакети, които го блокират изцяло и го правят недостъпен за обикновенните му потребители (спомнете си случая със сърверите на Yahoo, Microsoft и др. от 02.2000г.); крадене на пароли или други системни ресурси на потребителите на атакувания сървер. Java аплетите се инсталират автоматично и се изпълняват

незабавно без да подозирате за разрушителните им функции, ако не разполагате с необходимата "защитна стена".

ActivX програмите са предназначени са за изпълнение от Windows-базирани приложения, поддържащи ActivX, най-често Internet Explorer. За разлика от Java аплетите, тези програми нямат специфичен програмен език. ActivX няма вградени защитни функции и програмите от този тип могат да правят всичко, което един програмист може да пожелае: да модифицират информацията в бази-данни, да копират файлове от диска и ги препращат където авторът им пожелае, да изключват компютъра, да предизвикват Denial-of-Service (DoS) атака, да изтриват файлове, да форматират дискове и пр.

Скриптовете се създават се чрез съществуващите скрипт-ориентирани езици, като JavaScript, VBScript и др. Вграждат се в HTML кода на Интеренет страниците и се изпълняват от почти всички Интернет приложения. По принцип те са по-слаби от Java аплетите и ActivX програмите, но като тях могат да модифицират файлове или да предизвикват DoS атаки. Опасността им за Интернет потребителите нараства заради една допълнителна тяхна функция - възможността чрез тях да се изпълняват Java аплети, ActivX програми и други програмни файлове без потребителят да усеща това.

Cookies могат да се нарекат “кукита” вместо буквалният им превод – “бисквити”. По принцип това са текстови файлове, които се записват в локалния диск, когато посещавате един сайт в Интернет. Те се използват впоследствие, като улесняват повторното посещение на същия сайт, но освен това всяко куки съдържа конкретна информация, попълнена от посетения Интернет сайт. Някои примери за такива данни, записани в диска на компютъра Ви: паролата Ви за достъп до сайта (ако той е защитен), покупателните Ви навици (ако сте пазарували чрез този сайт), посетените страници (т.е. от какво се интересувате) и пр.

Понеже кукитата не съдържат изпълними програми, самите те не могат да предизвикат някаква атака, но тъй като те съдържат поверителна информация относно Вашите навици, тя би могла да бъде прочетена от друг Интернет сайт посредством подходящо направен скрипт или ActivX програма.

Най-често разпространението на основните типове вируси става на базата на тези атаки, но съществуват и други начини. Например използване на заразени дискети, обмен на заразени файлове по мрежата, предаване на заразени файлове чрез електронната поща.Точна класификация на компютърните вируси не може да бъде направена, тъй като всеки един момент се появяват нови вируси, а също така и различни модификации (мутации) на вече съществуващи такива.

6.6. Противодействие и защита

Смисъла на всяка компютърна защита е да изглежда внушителна, за да накара потенциалния вредител да избере друга мишена. Както прожекторите и сигнализациите правят съответните здания по-малко привликателни за крадци, така и сравнително простите мерки за сигурност могат да възпират “лошите” от разбиване на паролите. Начините за защита на компютърната система се наричат противодействия. В зависимост от уязвимостите и заплахите, противодействията могат да се разделят на:

Физически противодействия – осигуряват защита на компютърното оборудване от повреди, предизвикани от природни бедствия и злоумишленици; Компютърни противодействия – осигуряват защита на информацията, съхранявана в компютърните системи; Комуникационни противодействия – осигуряват защита на информацията по време на предаването и по възможните различни начини.

Изборът на конкретните мерки и средства, както и разработването на съответните механизми за физическа и техническа защита са част от проекта за изграждане на цялостната система за защита.

Aкo персоналният компютър се използва само от един човек, важно е да се предотврати несанкционирания достъп до него от други лица във времето, когато в него се намира защитавана информация и да се осигури защита на данните върху информационни носители от обир. В персоналния компютър изчислителни ресурси са оперативната памет, процесорът, вградените твърди или гъвкави магнитни дискове, клавиатурата, дисплеят, принтерът, периферните устройства. Защитата на оперативната памет и процесора предполагат контрол за появяването в оперативната памет на така наречените резидентни програми, защита на системните данни, изчистване на остатъци от секретна информация в неизползваемите области на паметта. Достатъчно е да се използва програма за тестване на оперативната памет, която да контролира състава на резидентните програми и тяхното разположение.

Много по-важна е защитата чрез вграждане. Има няколко типа програмни средства, които могат да решат тази задача: Защита на диска от запис и четене; Контрол върху ползването на диска; Нначини за отстраняване на остатъците от секретна информация.

Ако персоналният компютър се използва от група лица, то освен това може да възникне необходимост да се предотврати несанкционираният достъп на тези ползватели до информацията на другите лица от групата.

При разработването на системите за информационна сигурност и оценка на защитеността на информационните системи се използват редица стандарти. BS7799/ISO 17799 е международно признат, изключително подробен и широкоприложим стандарт, чиято основна цел е постигане на сигурност и защита на информацията в една организация. Неговото предназначение е да служи за единствена отправна точка за идентифициране на набор от методи за контрол, необходими за правилното прилагане на информационни системи в промишлеността и търговията. Той може да бъде използван от всяка организация или фирма, която обработва чувствителна информация или просто иска да въведе високо ниво на сигурност при обработка на данните. През 1995 г. във Великобритания е публикувана първата версия на BS7799, а през 1998 г. втората част на този стандарт. През декември 2000 г. е направена първата публикация на този стандарт като ISO, понякога той се обозначава и като ISO/IEC 17799:2000. През септември 2002 г. е публикувана редактираната версия на стандарта BS7799-2.

Стандартът се състои от две части - код на практиката - ISO 17799 и спецификация за система за управление на информационната сигурност и защита - BS 7799-2. Първата част е ръководство с препоръки как организацията да осигури сигурността на своята информация. Втората част предлага мерки за ефективно управление на информационната сигурност. Тази част помага на организациите за създаването на Система за управление на информационната сигурност (ISMS) и по този начин я подготвя за одит на сигурността.

Изграждането на система за информационна сигурност в съответствие с изискванията на двойката стандарти ISO 17799:2000/BS7799-2 е един от най-подходящите начини за управление на рисковете, свързани с информацията във всяка една компания. Стандартът съдържа препоръки за управление на информационната сигурност. Той покрива различни аспекти на сигурността като:

Планиране на кризисни ситуации; Физическа сигурност; Въпроси на сигурността, свързани с персонала; Контрол на достъпа до информационните системи; Сигурност при разработка и поддръжка на информационни системи.

Стандартът е организиран в 10 основни раздела, като всеки покрива различни теми или области:

Непрекъснато бизнес планиране; Система за контрол върху достъпа; Разработване и поддържане на системата; Физическа и екологична защита; Съответствие; Защита на персонала; Защита на организацията; Управление на компютрите и операциите; Класификация и контрол на активите; Политика на сигурност и защита.

Сертифицирането на дадена фирма по стандарта дава следните предимства: Съвместимост с приетите правила за управление на риска; По-добра защита на конфединциалната информация на компанията; Намаляване риска от кракерски атаки; По-бързо и по-лесно възстановяване след атаки; Използване на структурирана методология за сигурност, която е получила

международно признание; Нараснало доверие между партньорите; Потенциални по-ниски премии за застраховки от компютърни рискове; Подобрени защитени практики и съвместимост със законите и разпоредбите

за защита на информацията.

Компания, която желае сертифициране по стандарта ISO 17799, трябва де се съобрази с изискванията на този стандарт и след това да бъде одитирана и сертифицирана по стандарта BS7799-2:2002. Процесът на одит може да бъде документиран при вътрешния одит, външния одит (писмо с мнение) и накрая BSI регистрация (официална сертификация).

Мерките за физическа и техническа защита на съоръженията и ресурсите се определят от типа на системата (военна, банкова, промишлена и др.) и от нейната конкретна реализация. Тези мерки имат класически характер и са насочени към : Защита на съоръженията и ресурсите срещу евентуално физическо проникване на нелегални обекти; Ограничаване на физическия достъп на операторите в системата до необходимата достатъчност; Екраниране на техническите средства от електромагнитните излъчвания; Ограничаване на възможностите за дистанционно наблюдение на съоръженията и работата на операторите; Защита срещу пожари и други злоумишлени повреди; Поддържане на резервни аварийни съоръжения и др.

Освен това във всички случаи трябва да се защити информацията от повреждане в резултат на грешки в програмата и оборудването, и заразяване на компютъра с вируси. Провеждането обаче на защитни мероприятия е задължително за всички ползватели на компютъра без изключение и не се отнася непосредствено към проблема за защитата на информацията от конкурентите.

Политиката на сигурност е множество от правила, които определят как една организация управлява, защитава и разпределя класифицирана и друга важна информация. Това е рамката, в която една система осигурява защитата. Комбинацията от всички защитни механизми (или целостта им) в една компютърна система, включваща хардуер, фирмуер и софтуер, реализира политиката на сигурност. Политиката на сигурност за компютърните мрежи на една организация трябва да обхваща мерки най-малко в следните области:

Физическа защита на отделните работни места и мрежата; Организационни мерки, определяне на правата и задълженията на персонала; Мерки за документална сигурност; Политика на достъп до ресурсите (нива на достъп, пароли); Използване на системи за кодиране на информацията; Мониторинг и санкции за нарушенията на политиката на сигурност и др.

Средствата за реализиране на тези мерки са:Административни – обхващат подбора на персонал, всички нареждания, правила и практики за сигурността;Организационни – осигуряват защитата при проектиране и разработка на системата, както и функциите, правата и задълженията на персонала в организацията;Технически и програмни – осигуряват защита на данните при глобалните комуникации, сървърите, локалните мрежи и работните станции, тук влизат и средствата за документална сигурност, мониторинг и физическа защита на елементите на системата.

Физическият достъп на неоторизирани лица до компютърните системи и мрежи е основен проблем при тяхната защитата. Избора на подходящи помещения до голяма степен намалява риска както от физическо проникване на неоторизирани лица, така и от природни бедствия и аварии, но не винаги това е достатъчно. За това за критичните от гледна точка на сигурността места трябва да бъдат използвани допълнителни технически средства за защита. Техническите методи за защита на информацията могат да бъдат:

Пасивни методи, намаляващи интензивността на нежелателните излъчвания и полета – екраниране (на цели помещения, или частично на апаратурата); филтрация на сигналите в различните стъпала на апаратурата, филтрация на сигналите в захранващите електроизточници, в сигналните и пожарните сигнализации; заземяване (допълнително); използване на поглъщащи и неотразяващи покрития и съгласувани товари; Активни методи, създаващи шумови полета (“заглушаване”, “зашумяване”) във възможния диапазон за прехват на информацията – базират се на създаване на маскиращи и имитиращи шумове за енергетично заглушаване на опасните сигнали, или на кодово зашумяване. Има линийно зашумяване (кабели, проводници и др.) чрез генератори на шумови сигнали,

включени в съответните вериги, и пространствено зашумяване (чрез антени се излъчват маскиращи шумове в околното пространство); Използване на високозащитени физически елементи и технологии (например оптически влакна в линиите за свръзка).

Възможни са три решения за изолиране на паразитните електромагнитените излъчвания (ПЕМ):

Компютърът да се намира в специално оборудвана екранирано помещение (т.нар. Фарадеев кафез); Използване на генератор на шум; Добро решение е използването на защитен компютър. Защитения компютър по външния си дизайн, по нищо не се различава от обикновения стандартен компютър. Технологията на защита решава комплексно проблема за прехващане на информацията от екрана, клавиатурата, твърдия диск.

За осигуряване на защита на автономен компютър чрез пароли, трябва да имаме: Парола за BIOS; Пароли за отделните файлове; Защитени с пароли архивни ZIP-файлове.

Една от първите задачи на потребителя при пускане на нова компютърна система е създаване на план за аварийно възстановяване на данните. Решението за тези случаи е едно - резервиране (резервно копиране) на информацията. Графикът за резервно копиране трябва да се базира на оценка на вероятността за повреждания и на възможностите на използвания софтуер за копиране. Архивирането (резервното копиране) и неговото периодично изпълнение е необходимо за осигуряване на информационната защита и трябва да стане част от плана за аварийното възстановяване на данните. Как и какво да се архивира зависи от конкретната ситуация. Общото правило е такова, че колкото повече данни се създават и колкото по-ценни са те толкова по-често трябва да се прави резервно копие.

При резервното копиране е важно създаването на добра и балансирана процедура за резервиране. Като правило такива процедури са неприятни за потребителите и за работещите с компютри. Тази дейност трябва да се планира от администратора и да се изпълнява от всички работещи със системата. Съществуват три вида резервно копиране: Пълно резервно копиране на твърдия диск; Частично резервно копиране, само на избрани директории (папки); Инкрементно – резервно копиране на файлове, които са били изменени след последното резервно копиране. При такъв вид резервиране програмното осигуряване разглежда атрибутите на файлове и проверява дали е включен атрибута “Архив”. Ако това е така то променения файл се записва и атрибута се изключва.

При резервното копиране трябва да се вземат предвид и следните фактори: Възрастта на компютърното оборудване; Вида на съхраняваните данни (критични (важни), некритични (неважни)); Спецификата на работа (приемливо ниво на риск).

Важно правило е при резервното копиране е да се проверява верността на копието и то да се съхранява на безопасно място. Резервното копиране също така е способ да се възстанови информацията след външно нападение (от хакер или вирус).

Средствата, използвани за архивиране на данните са тривиални в сравнение с ефективността на процедурите за резервиране. За архивиране на данните най-често се използваха т.нар. стримери (запомнящи устройства с магнитни ленти) поради ниската цена на носителите. Поради бързото намаление на цените на оптическите записващи запомнящи устройства и оптическите носители (CD, CD-WR, DVD) архивирането се извършва основно с тях.

В зависимост от важността на информацията трябва да се организира ежедневно, ежеседмично или ежемесечно архивиране на информацията върху оптични дискове. Съхраняването на носителите на информация трябва да става в специализирани помещения или каси. За по-голяма сигурност могат да се използват архивиращи програми, разрешаващи използването на пароли (WinRar, WinZip, WinAce и др.).

Използването на криптографията е един от най-разпространените методи за защита на информацията при предаването на данни в компютърните мрежи, и при обмен на информация в свързочни канали между отдалечени обекти.

Науката за секретността на връзките е наречена криптология. Тя има две части - криптография и криптоанализ. Втората се занимава с разбиването на криптографски ключове и кодове.

Криптографските средства за защита са специални методи и средства за преобразуване на информацията, в резултат на които се маскира нейното съдържание. Чрез криптографски преобразувания се изменят съставните части на съобщенията (думи, букви, думи от букви, цифри) в неявен вид чрез специални алгоритми, кодови ключове или апаратни решения. Елементите на защитаваните сведения (отделните букви, цифри, думи и групи думи) и техните условни означения се представят във вид на кодови таблици или книги. За запознаване със съдържанието на шифрованата информация се използва обратният процес дешифриране (декодиране). За криптографска защита се използват три основни метода - шифриране, цифров подпис и имитозащита на съобщението.

Цифровият подпис осигурява удостоверяване на автентичността на източника на съобщението, неговата цялост и юридическа значимост (цифровият подпис е еквивалентен на собственоръчния подпис).

Имитозащитата се състои във формиране на контролна сума, добавяна към съобщението чрез симетричен криптоалгоритъм.

Има два основни метода за криптографска защита - кодиране и шифриране. При кодирането защитаваните данни се разделят на блокове, имащи смислово значение и всеки блок се заменя с цифров, буквен или комбиниран код. За криптографско скриване на информацията в системите за обработка на данните най-голямо разпространение е получило шифрирането.

При шифрирането на самостоятелно преобразуване се подлага всеки символ на началното съобщение. Има няколко метода за шифриране - замяна (субституция), размяна (транспозиция), гамиране и аналитични преобразувания. За шифриране обикновено се използват някакъв алгоритъм или устройство, реализиращо даден алгоритъм, който трябва да бъде известен само на определен кръг лица. Процесът на управление на шифрирането се извършва чрез периодично променящ се код на ключа, осигуряващ всеки път оригинално представяне на информацията. Знанието на ключа позволява просто и надеждно разшифриране на текста. Без да се знае ключът обаче, дешифрирането може да бъде практически невъзможно даже при известен алгоритъм за шифриране.

Към криптографските методи се отнасят и методите "разсичане - разнасяне" и "свиване - разширяване". Първият метод се заключава в това, че масивът от защитавани данни се разделя на такива части, всяка от които отделно не може да разкрие съдържанието

на защитената информация. Тези части от информацията могат да се предават от няколко източника и предаването се разнася по време или по място на запис в запомнящото устройство. "Свиване - разширяване" на информацията е замяна на често срещащи се еднакви последователности от символи с предварително избрани символи или смесване с допълнителна информация.

Криптосистемите се делят на две групи: Симетрични; Асиметрични.

В симетричните системи за шифрирането и дешифрирането на съобщенията се използва един и същ секретен ключ, който е известен както на подателя, така и на получателя на съобщението. Има два вида симетрично шифриране - поточно и блоково. При поточното всеки символ от изходния текст се преобразува независимо от другите, което позволява едновременното шифриране и предаване на данните по свързочните канали. При блоковото шифриране изходният текст се преобразува по блокове, при това преобразуването на символите в границите при блока е взаимно зависимо. Най-широко използуваният метод за шифриране с блоков алгоритъм е приетият като национален стандарт американски алгоритъм DES. DES използва 64-битов ключ, 8 бита са за проверка на грешки при предаването, затова реално дължината на ключа за криптиране е 56 бита. С него се криптират блокове с дължина 64 бита. Всеки блок минава през 16 цикъла, а всеки цикъл ефективно генерира различен ключ.

DES за Windows поддържа както единично, така и тройно шифриране. Последното се смята за най-трудно разбиваемо. Triple DES осигурява надеждно или даже по-добро шифриране, отколкото военното кодиране. Чрез него могат да се шифрират отделни файлове и съобщения на електронната поща. Предимства на метода са:

бързо шифриране/дешифриране - в рамките на секунди, докато другите методи изискват минути; трудно е да се "разбие" съобщението, ако ключът е дълъг; удостоверява, че подателят е един от тези, които имат достъп до ключа.

Недостатъци на този метод са: всички потребители трябва да пазят ключа в тайна; дестрибуцията на нов ключ е много трудна; невъзможно е секретна комуникация с някой, който не притежава ключа.

През последните 20 години няма съобщение за нито един случай на разбиване на DES, но може би правителството на САЩ има метод за разбиване на документи за шифроване с помощта на DES. Проблемът тук е, че ключът тайно трябва да се предаде на получателя. Шифрирането с DES е достатъчно надеждно и затова правителството на САЩ все още го използва като стандартен метод за всичко, освен за най-секретните данни.

Колкото повече битове съдържа един ключ, толкова е по-трудно да се открие кодът. Счита се, че при слабо криптиране дължината на ключа е до 40 бита, а за силно криптиране - над 40 бита.

Примери за дължина на такива ключове са: IBM Data Encryption Standart (DES) (112-бита); Commercial Data Masking Facility (CDMF) (56-бита); International Data Encryption Algorithm (IDEA) (128-бита);

RC2 and RC4 (56-бита); Pretty Good Prvacy (PGP) (1024-бита).

В асиметричните системи или системи с публичен ключ всеки потребител има двойка ключове, състояща се от ключ за шифриране (публичен ключ) и ключ за дешифриране, наречен частен ключ. Развръщането на инфраструктура с публични ключове (PKI) има важно значение не само за защита на обмена на информацията, но и за създаване на защитена система за идентификация в мрежата. Публичните и частните ключове представляват математически свързана двойка криптографски ключове (public/private key pair), така че: съобщение, криптирано с единия ключ, може само да бъде дешифрирано с другия; едно съобщение не може да бъде шифрирано и дешифрирано с един и същ ключ; нито един ключ не може да бъде определен, ако се знае другият ключ.

Криптографските алгоритми, работещи с публични и частни ключове, се използват за цифрово подписване на документи, проверка на цифров подпис, шифриране и дешифриране на документи. За целите на криптографията с публични ключове се използват такива криптографски алгоритми, че практически не е по силите на съвременната математика и съвременната изчислителна техника да открият частният ключ на лице, за което е известен публичният ключ. Всъщност откриването на частен ключ, който съответства на даден публичен ключ, е теоретически възможно, но времето и изчислителната мощ, необходими за целта, правят такива действия безсмислени.

Най-популярната асиметрична система за криптиране на информацията при работа в интернет е PGP. В миналото използването на PGP беше проблематично заради използването на шифриране, забранено за експорт от САЩ. Търговската версия на PGP има в себе си plug-in-и за няколко популярни програми за електронна поща, което я прави удобна за включване в писмото на електронен подпис и криптиране. Последните версии на PGP използват лицензирана версия на алгоритъма за шифриране с отворени ключове RSA.

Типичният сценарий за използване на двойката ключове може да се разгледа при изпращането на съобщение от един потребител - Иван, на друг - Светла. Иван иска да изпрати секретно съобщение (написано на "компютърен" английски - I luv U. I don’t care who knows) на Светла. Светла има публичен и частен ключ. Иван изисква нейния публичен ключ и тя му го изпраща. Иван криптира съобщението с публичния ключ на Светла и изпраща шифрирания текст. Светла дешифрира съобщението, като използва своя частен ключ (Фиг.94.).

Фиг.94..

Как Светла може да бъде сигурна, че съобщението на Иван не променено от хакер? Криптирането отнема много време на комуникациите, поради това понякога е по-добре да

се изпрати открит текст, но да се вземат мерки за неизкривяване на съобщението. За целта помага т.нар. имитозащита с използване на контролна сума. Специален алгоритъм, наречен "хеш алгоритъм", обработва съдържанието на съобщението, за да получи 128-битово число, което е уникално за даденото съобщение. Това число, наречено контролна сума (message digest), може да бъде получено чрез различни начини, най-известните от които са MD5, SHA-1, HMAC, RIPEMD-60.

Фиг. 95

Тъй като всяко съобщение има уникална контролна сума, то при промяна на изходното съобщение контролната сума, образувана при приемането на съобщението, ще покаже дали то е било променено. Понякога контролната сума може да бъде криптирана чрез използване на частния ключ на подателя. Крайният резултат е т.нар. електронен подпис (цифров подпис) на документ (цифровият подпис може да съдържа също така време, дата и идентификатори на личността), фиг. 96.

Фиг. 96.

Получателят прилага същия хеш алгоритъм към открития текст на съобщението, за да изчисли оригиналната контролна сума и след това дешифрира цифровия подпис, използвайки публичния ключ на подателя, за да открие каква е била оригиналната контролна сума. Оригиналната контролна сума и изчислената контролна сума трябва да бъдат едни и същи. Ако не са, значи оригиналното съобщение или цифровият подпис (или и двете) по някакъв начин са били подправени.

Стеганографията се различава от криптографията- докато при криптографията се вижда текст, който обаче е неразбираем, ако липсва подходящия код, за да се разчете, то при стеганографията изобщо няма да се разбере, че този текст съществува, ако това не се знае предварително – например, ако това е текст написан със симпатично мастило.

Компютърната стеганография е сравнително младо развиващо се направление в науката и практиката. Има редица фирми, които предлагат за използване през Интернет стеганографски програмни продукти. Според ФБР дори членовете на терористичната мрежа на Осамма бин Ладен са поддържали връзка помежду си, използвайки стеганографски методи.

Стеганографската система или стегосистема е съвкупност от средства и методи, които се използват за формиране на скрит канал за предаване на информация (данни). В качество на данни може да се използва всякаква информация: текст, съобщение, изображение и др., като различните видове стегосистеми скриват тези данни в различни видове “носещи” файлове (аудио, видео, графични и др.). При построяването на всяка стегосистема трябва да се отчетат следните фактори:

“Противникът” трябва да има пълна представа за стегосистемата и детайлите на нейната реализация. Единственото, което той не трябва да знае е “ключа”, който позволява само на собственика да установи наличието и четенето на скритата информация; Ако “противникът” по някакъв начин установи наличието на скрита информация, конструкцията и не трябва да му позволи да разбере за наличието на друга вече предадена скрита информация; Стегосистемата трябва да бъде направена така че да ограничи възможностите на “противника” за евентуално разкриване на скритата информация.

Компютърната стеганография се базира на два принципа. Първият е, че файлове, съдържащи дигитални изображения или звук могат да бъдат променени без да се нарушат функциите им, за разлика от други видове данни, чието съдържание трябва да бъде подредено по точно определен начин, за да функционират нормално. Другият принцип е свързан с неспособността на човека да различи минимални разлики в цвета на едно изображение или качеството на звука, което позволява използването на излишната информация в тези файлове.

Има няколко начина да се скрие информация в една картинка. Единият начин е тя да бъде скрита в хедърите и футърите на изображенията. Другият начин е данните да се прикачат към файла, но големината им може да ги издаде. Най-разпространената технология е промяната на най-маловажния бит за всеки един пиксел. Тъй като тази процедура манипулира съществуващата информация, а не прибавя нова, това не увеличава големината на файла, а и промяната в изображението няма да бъде забележима за човешкото око.

Днес всеки може да се възползва от предимствата на стеганографията – както за да скрие определена информация, така и за да запази авторските си права. Съществуват много стеганографски програми, имащи различни възможности и използващи най-разнообразни стегосистеми. Те позволяват на потребителя не само да криптира документи, но и да ги скрива в различни типове файлови формати. Тези системи проявяват достатъчна интелигентност, като премахват хиляди битове от носещия файл, без да нарушава общото му качество, и ги заменят с нулите и единиците на криптирания електронен документ, който трябва да бъде скрит.

Методи за защита от отдалечени атаки в Интернет

Най-прости и евтини са административните методи за защита, като използване на силна криптография в мрежата, статични ARP-таблици, host-файлове вместо отдалечени DNS-сървъри, използване или неизползване на определени ОС и др.

Най - добрата антивирусна защита е превантивната дейност по спиране на заразяването на компютърните системи. За целта администраторът ( потребителят) трябва:

Да използва антивирусен софтуер за сканиране на всички пристигащи дискети, файлове, изпълними програми и файлове, прикачени към e-mail, преди да ги отвори в компютър, свързан в мрежата; Да използва защитната стена на мрежата за защита от вируси, така че заразените файлове да не могат да се прехвърлят в мрежата; Да инсталира антивирусен софтуер на всяка машина в мрежата, за да я защити от вируси, прехвърлящи се от заразени компютри; Да се актуализира антивирусния софтуер.

При корпоративните мрежи защитата е възложена на системните администратори. С помощта на специални средства проверяват всеки входящ и изходяш файл за вируси.

За защита на потребителите от евентуални неприятности, в езика Java е предвиден модел за сигурност, наречен пясъчна кутия (Sandbox), в който са въведени ограничения върху възможностите на аплетите за достъп до ресурсите на потребителските компютри. Също така повечето браузъри предоставят възможност и за забрана на изпълнението на Java-аплети.

Друг проблем при обмяна на данни между Web-браузърите и Web-сървърите е свързан с това, че могат да бъдат прослушани и прехващани от нарушители. За това през последните години се обръща сериозно внимание на осигуряването на необходимата секретност на обмена. Като подгрупа на методите за защита могат да се отделят програмните методи. Към тях се включват защитените криптопротоколи, чието използване може да повиши надеждността на защита на съединенията. Могат да се отбележат две основни предложения за създаване на безопасни WWW-връзки, протоколите SHTTP и SSL.

SHTTP е защитена версия на протокола HTTP, осигуряваща секретност и проверка за автентичност на HTTP-транзакциите, обменяни между клиентите и Web-сървърите. SHTTP създава съобщения със SHTTP – заглавна част, придружена евентуално с цифров подпис, и същностна част в шифрован вид. Ключовете за шифриране могат да бъдат предварително договорени или да се генерират за всеки сеанс на връзка, като втория подход е по-разпространен. При него клиентът изпраща заявка за връзка със сървъра и получава положителен отговор, след което клиентския браузър изпраща на сървъра публичния си ключ и названието на алгоритъма за криптиране. Ако сървъра може да работи с посочения алгоритъм, генерира сесиен ключ, шифрира го с публичния ключ на клиента и му го

изпраща. Изпращаните по време на сеанса съобщения се шифрират автоматично с установения сесиен ключ.

Решението SSL реализира шифриране на потока от транзакции на протоколите HTTP, FTP и др. както и проверка на автентичността на сървъра и клиента. В TCP/IP защитеният протокол SSL е разположен между транспортното и приложното нива. Използва се класическия подход за шифриране на данните със симетричен алгоритъм и секретен ключ, като сесийния ключ се шифрира с публичния ключ на клиента и му се изпраща. За автентикация на SSL-сървърите се използват сертификати, издавани от независими органи. Има няколко протокола, които осигуряват защита на предаването на информацията SSL (Secure Sockets Layer) и SET (Secure Electronic Transaction). За се осъществи плащането номера на кредитната карта трябва да е утвърден от банката за номера на кредитни карти.

SET e протокол, който улеснява автентификацията на транзакциите с кредитни карти, разработен от VISA и MasterCard. SET дефинира формата на съобщенията, формата на сертификата и процедурата за обменяне на съобщение. Има 4 полета – клиент, търговец, сертифицираща организация и шлюз за плащане, който свързва Интернет със съответните мрежи на банките. Всяко поле изисква свой собствен сертификат, а клиента трябва да има цифров портфейл. SSL – проектиран за използване от TCP за осигуряване на надеждна и сигурна услуга “точка – точка”, осигурява основни услуги за сигурност на различни протоколи от по-високо ниво, в особеност за HTTP например S-HTTP, който протокол осигурява сигурност и шифриране. S-HTTP използва SSL между сървъра и браузъра, за да може клиента да изпрати засекретена информация за заявката си. Разликата между протоколите SSL и SET се състои в следното:

SSL не включва сертификат на клиента, изискващ специален софтуер (цифров портфейл) на клиентската страна, а SET използва цифров портфейл; SSL е вграден в браузъра и не се изисква специален софтуер, SET е много по-сложен от него; SET е построен върху SSL и скрива информация за клиентска кредитна карта от търговец и информация за заявката от банката, а пък SSL не го прави.

Защитата на нивото на междумрежовия протокол IP предполага защита на пренасяните между източниците и получателите IP-дейтаграми. Тя трябва да осигури: автентикационна процедура за удостоверяване на самоличността на източника, проверка за цялостност на съдържанието на дейтаграмата, секретност на това съдържание, както и препятствия срещу анализ на трафика. С такава цел са разработени криптографските алгоритми АН и ESP. АН обезпечава автентикация и проверка за цялостност на IP-дейтаграмите, а ESP – и секретност на тяхното съдържание. При втория механизъм е възможно засекретяване на цялата IP-дейтаграма или на нейното данново поле. Тези два механизма не осигуряват защита на трафика срещу анализ. Тази задача може да се изведе извън нивото на IP. Контролът на достъпа до ресурсите на сървърите може да се реализира с използване на различни автентикационни признаци: потребителско име и парола; IP-адрес, адрес на подмрежа или име на област. При контрол с потребителско име и парола трябва да се има в предвид, че WWW-сървърите не реагират на многократно повтарящи се неуспешни опити за достъп, което облекчава атаката с изпробване на възможните пароли. Освен това при всяко обръщение към защитен ресурс браузърът изпраща паролата отново към сървъра. Такова многократно предаване на паролата улеснява нейното прехващане от евентуален нарушител. За противодействие паролите трябва да се шифрират.

Достъпът до ресурсите на сървърите може да се разреши само за компютри със зададени IP-адреси или принадлежащи към определена подмрежа или област. Съществуват, обаче, възможности за преодоляване на тези ограничения, а и няма гаранция, че на някой от

тези компютри не работят нарушители. За това ограниченията по мрежови адреси трябва да се комбинират с ограничения по потребителско име и парола.

Някои от автентикационните схеми се базират на използването на цифрови сигнатури и цифрови подписи. Определянето им се реализира с помощта на сигурни еднопосочни хеш-функции и на асиметрични криптографски алгоритми. Следващата група методи за защита от отдалечени атаки са така наречените програмно-апаратни методи. В тях се включват: Програмно-апаратни шифратори на мрежовия трафик; Методиката Firewall; Защитните мрежови криптопротоколи; Програмни средства за откриване на атаки (IDS – Intrusion Detection Systems или ICE – Intrusion Countermeasures Elecktronics); Програмни средства за анализ на защитеността; Защитени мрежови ОС.

Целта на защитната стена е да защити мрежата от външни атаки. Тя следи и управлява трафика към и от защитената мрежа. Нормално се намира на шлюза на мрежата между организацията и външния свят, но може също така да се намира и в точките за достъп до хост. С помощта на Firewalls могат да се забранят сайтовете по името на домейна или IP-адреса. Съществуват различни варианти на такава защита, които са следните:

Маршрутизаторите с вградени Firewalls за явяват отразяващи рутери. В случая Firewalls осигуряват защита на мрежовото ниво на OSI-модела, като филтрират IP-пакетите и отхвърлят забранените такива; Firewall компютър с две мрежови карти – едната за връзка с подмрежата, а другата за връзка с Интернет. Такъв подход е възможен и за защита на достъпа до компютрите на различни отдели във вътрешната мрежа на потребителя; Когато даден сървър е защитен с Firewall се инсталира Proxy. Тази програма ще приема заявките от вън и ще ги препраща към съответния сървър. По принцип Proxy-сървърите осъществяват връзки от името на потребителите на една мрежа със сървърите в Интернет и могат да контролират трафика по потребители и мрежови протоколи. Firewalls с Proxy се явяват защитни стени на приложно ниво.

В общия случай методиката Firewall реализира следните основни функции: Филтрация на мрежовия трафик на много нива; Proxy-схема с допълнителна идентификация и автентификация на потребителите на Firewall-хоста. Идеята на proxy-схемата се сътои в създаването на съединения с крайни адресати през междинен proxy-сървър на Firewall-хоста; Създаване на частни мрежи с виртуални IP-адреси. Използва се за скриване на истинската топология на вътрешните IP-мрежи.

Защитна стена може да бъде всяко устройство, използвано като механизъм за контрол на достъпа до конкретна мрежа или набор от мрежи. В повечето случаи защитните стени служат да предотвратят достъпа на външни лица до вътрешната мрежа. Но защитните стени могат да служат за създаване на по-сигурни участъци вътре във вътрешната локална мрежа за особено важни функции като ведомости, разплащания и R&D системи. Те могат да се разполагат не само по външните граници. Самите

устройства “защитни стени” обикновено са отделни компютри, маршрутизатори или защитни приспособления. Защитните приспособления обикновено са специфични хардуерни устройства, често работещи под специфична операционна система. Защитните стени са проектирани да служат като контролно-пропускателна точка към и от мрежата Ви. Те обработват пристигащите заявки. Проверяват дали трябва да бъде пропуснат или не мрежовият трафик, на базата на предварително дефинирани правила или “политики”. Пропускат се само заявките за връзка от оторизирани хостове към оторизирани дестинации, останалите заявки се отхвърлят.

Защитните стени могат да анализират входящите пакети от различни протоколи. На базата на този анализ, защитната стена може да предприеме различни действия. Следователно защитната стена може да изпълнява действия в зависимост от дадено условие. Тези условни конструкции се наричат правила. По принцип, когато издигате защитна стена, вие я обзавеждате с правила, отразяващи политиката за достъп на вашата организация. В това отношение, защитните стени са за мрежите това, което са схемите на потребителските привилегии за операционните системи. Но проверката за право на достъп е само част от това, което могат съвременните защитни стени. През последните две години създателите на защитни стени започнаха да прилагат подхода “кухненска мивка” – т.е. добавят в стената всичко, ОСВЕН кухненска мивка. Някои от допълнителните възможности са следните:

Филтриране на съдържанието. Филтрирането на съдържанието помага за блокиране на някои сайтове, а също и защитава от някои видове опасни аплети и код на ActiveX и Java;

Виртуални частни мрежи (VPN). VPN се използват за сигурнопренасяне на трафика от точка А до точка В, обикновено през враждебна мрежа (като Интернет);

Транслиране на мрежови адреси (Network Address Translation – NAT). Транслирането на мрежовите адреси често се използва за асоцииране на забранени или резервирани блокове адреси с валидни такива (например, асоцииране на 10.0.100.3 с 206.246.131.227). Макар че NАТ не е непременно защитно средство, първите NАТ устройства, появили се в корпоративните мрежи, обикновено са част от защитна стена.

Балансиране на натоварването. Балансирането на натоварването е изкуството на сегментиране и разпределяне на трафика. Някои защитни стени сега могат да Ви помогнат да насочите Web и FТР трафика по разпределен начин;

Устойчивост на срив. Някои от съвременните защитни стени поддържат някои много хитроумни средства за справяне със сривове. Често наричани Нigh-Аvаilability (НА), усъвършенстваните средства за устойчивост на срив често позволяват защитните стени да работят на чифтове, като едното устройство стои в готовност и може да поеме работата, ако другото се срине;

Откриване на проникване. Терминът “откриване на прониква не” може да означава много неща, но в случая, някои производители започват да интегрират продукт от съвсем различен тип в своите защитни стени. Това само по себе си не създава проблем,

но хората трябва да знаят какво допълнително натоварване може да представлява това за защитната стена.

Макар да е привлекателна мисълта да да управляват всички тези средства от един продукт, трябва да се гледа скептчно към подхода “кухненска мивка”. Защитните стени винаги се поставят като ключово звено в защитата.

6.7. Защита на електронната поща

Основната идея на защитата на електронната поща е да се създаде за хакерите и любопитните максимално неудобства.

Всички потребители и системни администратори се стремят към максимална сигурност, но разработката на единна криптографска технология среща затруднения, поради различната политика в тази сфера на страните по света. Цялостната архитектура за сигурност в Интернет би трябвало да обхваща всички нива протоколи от протоколния стек TCP/IP, върху който се базират мрежите Интернет и Интранет. Защитата от прeхват на информацията се изпълнява с помощта на шифриране на съобщението. Бяха предложени различни схеми за шифриране на електронната поща, но нито една не стана масова. Една от най-популярните приложения е PGP. В миналото използването на PGP беше проблематично заради използването на шифриране, забранено за експорт от САЩ. Търговската версия на PGP има в себе си plug-in-и за няколко популярни програми за електронна поща, което я прави удобна за включване в писмото на електронен подпис и криптиране. Последните версии на PGP използват лицензирана версия на алгоритъма за шифриране с отворени ключове RSA.

Политиката на сигурност за електронната поща включва следните елементи: Електронната поща на дадена организация се предоставя на сътрудниците и само за изпълнение на своите служебни задължения. Поради това всички служители трябва да използват по същия начин, както и всяко друго официално средство на организацията; Трябва да се използват само утвърдени пощенски програми; Конфиденциалната информация не трябва да се изпраща с помощта на електронната поща. Ако все пак се налага трябва да бъде изпратена, трябва да бъде зашифрирана така, че да може да я прочете този за когото е предназначен; На служещите е забранено да използват анонимни римейлери; Всички електронни писма, създавани и съхранявани в компютрите на информацията са собственост на организацията и не са персонални. Организацията има право на достъп до електронната поща на служещите си, ако за това има сериозни причини;

Съдържанието на електронното писмо не може да бъде разкрито освен с цел осигуряване на сигурността или по искане на съдебни органи; Електронната поща на организацията трябва да осигурява само един елекронен адрес за всеки служител; Каталозите за електронните адреси на служителите не трябва да са общо достъпни; Служителите не трябва да позволяват на никого да изпращат писма с използване на техните собствени идентификатори. Никой от външните посетители няма право да използва електронната поща на организацията;

Всички входящи писма трябва да се проверяват за вируси; Пощенските клиенти трябва да бъдат конфигурирани така, че всяко съобщение да бъде подписано с цифровия подпис на подателя; Пощенските сървъри трябва да бъдат конфигурирани така, че да отхвърлят посмата, които не са адресирани до организацията; Изходните писма могат да бъдат избирателно проверявани за да се гарантира спазването на политиката на сигурност; Трябва да се води дневник за раздадените електронни адреси на служителите и своевременно да се обновяват. Съхраняването на официалните документи, изпращани чрез електронната поща става в срокове указани от ръководителя на организацията. 16. За предотвратяване на случайно изтриване на писма, служителите изпращат копие на съобщенията в официалния архив на информационната система. Съхраняват се входящите и изходящите писма заедно с приложенията.

6.9. Проблеми на сигурността в електронната икономика

Електронната икономика е общ термин за обозначение на стопанска дейност, която се извършва в условията на информационното общество. Информационните технологии силно влияят върху традиционните начини за прогнозиране, планиране, производство, маркетинг, продажби. Електронна икономика ( е-икономика) е най-общото понятие, в което се включват и електронните сделки ( е-сделки).

Електронната търговия е процес, при който търговските операции се извършват по електронен път. За разлика от реалните сделки, при е-сделките се извършва информационен обмен чрез компютърни мрежи. Напоследък под електронна търговия се разбират главно сделки в Интернет.

Сигурността е основен проблем за електронната търговия. Двете страни в едина сделка трябва да се познават или да могат да намерят достатъчно информация една за друга, за да са уверени в коректността си. В допълнение на това трябва да имат надежден начин за разплащане и за предпазване на компютърните им системи от външни нападения - особено когато са част от мрежа.

С развитието на комуникационните и информационните технологии се увеличава риска от разбиване на системите за криптиране и неоторизиран достъп до информацията защитавана от тях. С достатъчно мощен компютър и знания за алгоритмите на криптиране е възможно да се атакуват и разкрият тайните ключове. Времето, необходимо за това, зависи от дължината на ключа, поради което се налага дължините на ключовете непрекъснато се увеличават.

При предаването на важни документи по електронен път често се налага да се удостовери по надежден начин кой в действителност е изпращач (автор) на даден документ. Един от подходите за удостоверяване на произхода на документи и файлове е чрез използването на т. нар. електронен подпис (цифров подпис). Цифровото подписване на документи използва като математическа основа криптографията, базирана на публични ключове.

Цифровото подписване представлява механизъм за удостоверяване на произхода и целостта на информация, предавана по електронен път. При процеса на цифрово подписване на даден документ към него се добавя допълнителна информация, наречена цифров подпис, която се изчислява на базата па съдържанието на този документ и някакъв личен ключ.

На по-късен етап тази допълнителна информация може да се използва за да се провери произхода на подписания документ.

Цифровият подпис (цифрова сигнатура) представлява число (последователност от битове), което се изчислява математически при подписването на даден документ (съобщение). Това число зависи от съдържанието на съобщението, от използвания алгоритъм за подписване и от личния ключ, с който е извършено подписването. Цифровият подпис позволява на получателя да провери истинския произход на информацията и нейната цялостност.

Инфраструктурата на публичния ключ (public key infrastructure – PKI) предоставя архитектурата, организацията, техниките, практиките и процедурите, които подпомагат чрез цифрови сертификати приложението на криптографията, базирана на публични ключове (public key cryptography) за целите на сигурната обмяна на информация по несигурни мрежи и преносни среди. За издаването и управлението на такива цифрови сертификати инфраструктурата на публичния ключ разчита на т. нар. сертифициращи организации, които позволяват да се изгради доверие между непознати страни, участнички в защитена комуникация, базирана на публични и лични ключове.

Цифровите сертификати свързват определен публичен ключ с определено лице. Те се издават от специални организации, на които се има доверие (сертифициращи организации) при строги мерки за сигурност, които гарантират тяхната достоверност. Цифровите сертификати можем да възприемаме като електронни документи, удостоверяващи, че даден публичен ключ е собственост на дадено лице. В практиката за целите на електронния подпис най-масово се използват Х.509 сертификати. Х.509 е широко възприет стандарт за цифрови сертификати. Един Х.509 цифров сертификат съдържа публичен ключ на дадено лице, информация за това лице (име, организация и т.н.), информация за сертифициращата организация, която е издала този сертификат, информация за срока му на валидност, информация за използваните криптографски алгоритми и различни други детайли.

Сертифицираща организация (certification authority – СА) е институция, която е упълномощена да издава цифрови сертификати и да ги подписва със своя личен ключ. Целта на сертификатите е да потвърдят, че даден публичен ключ е притежание на дадено лице, а целта на сертифициращите организации е да потвърдят, че даден сертификат е валиден и може да му се вярва. В този смисъл сертифициращите организации се явяват безпристрастна доверена трета страна, която осигурява висока степен на сигурност при компютърно-базирания обмен на информация. Ако една сертифицираща организация е издала цифров сертификат на дадено лице и се е подписала, че този сертификат е наистина на това лице, можем да вярваме, че публичният ключ, който е записан в сертификата, е наистина на това лице, при условие, че имаме доверие на тази сертифицираща организация. В зависимост от степента на сигурност, която е необходима, се използват сертификати с различно ниво на доверие. За издаването на някои видове сертификати е необходим само е-mail адрес на собственика им, а за издаването на други е необходимо лично присъствие на лицето-собственик, което полага подпис върху документи на хартия в някой от офисите на сертифициращата организация.

В света на цифровата сигурност утвърдените световни сертифициращи организации разчитат на много строги политики и процедури за издаване на сертификати и благодарение на тях поддържат доверието на своите клиенти. За по-голяма сигурност тези организации задължително използват специален хардуер, който гарантира невъзможността за изтичане на важна информация, като например лични ключове. Сред най-известните утвърдени

световни сертифициращи организации са компаниите: VeriSign Inc., Thawte Consulting, GlobalSign NV/SA, Baltimore Technologies, TC TrustCenter AG, Entrust Inc. и др.

Всяка сертифицираща организация има свой сертификат и съответстващ на него личен ключ, с който подписва сертификатите, които издава на своите клиенти. Една сертифицираща организация може да бъде от първо ниво (top-level certification authority; root СА) или да бъде от някое следващо ниво.

Криптографията, базирана на публични ключове осигурява надежден метод за цифрово подписване, при който се използват двойки публични и лични ключове. Едно лице полага цифров подпис под дадено електронно съобщение (файл, документ, е-mail и др.) чрез личния си ключ. Разгледано технически цифровото подписване на едно съобщение се извършва на две стъпки: Алгоритъм за хеширане. Входно съобщение. Хеш-стойност (МD5, SНА1, . . . ) ; Алгоритъм за цифров подпис (DSА, RSA, . . . ) . Цифров подпис Личен ключ.

Цифровият подпис позволява на получателя на дадено подписано съобщение да провери истинския му произход и неговата цялостност (интегритет). Процесът на проверка (верификация) на цифров подпис има за цел да установи дали дадено съобщение е било подписано с личния ключ, който съответства на даден публичен ключ. Проверката на цифров подпис не може да установи дали едно съобщение е подписано от дадено лице. За да проверим дали едно лице е подписало дадено съобщение, е необходимо да се сдобием с истинския публичен ключ на това лице. Това е възможно или чрез получаване на публичния ключ по сигурен път (например на дискета или СD) или с помощта на инфраструктурата на публичния ключ чрез използване на цифрови сертификати. Без да имаме сигурен начин за намиране на истинския публичен ключ на дадено лице не можем да имаме гаранция, че даден документ е подписан наистина от него.

Има три възможности за получаване на невалиден цифров подпис: Ако цифровият подпис е подправен (не е истински), при дешифрирането му с

публичния ключняма да се получи оригиналната хеш-стойност на съобщението, а някакво друго число;

Ако документът е бил променян (подправян) след подписването му, текущата хеш-стойност,изчислена от подправения документ, ще бъде различна от оригиналната хеш-стойност, защото наразлични документи съответстват различни хеш-стойности;

Ако публичният ключ не съответства на личния ключ, който е използван за подписването, получената от цифровия подпис при дешифрирането с неправилен ключ оригинална хеш-стойност няма да е вярната.

У нас е приет Закон за електронния документ и електронния подпис, който урежда всички въпроси по използването на електронните документи и електронните подписи. Регистрирани са два доставчика на удостоверителни услуги (ДУУ) за универсален електронен подпис- „Информационно обслужване“ АД и „БАНКСЕРВИЗ“ АД . Решенията за регистрирането на ДУУ са взети на основание чл.35, ал.1, т.1 от Закона за електронния

документ и електронния подпис (ЗЕДЕП). Удостоверенията за универсален електронен подпис на регистрираните ДУУ могат да бъдат изтеглени и от уеб сайтовете им или получени на място от съответната фирма.

http://www.crc.bg/v2/files/bg/294.htm

http://www.crc.bg/v2/files/bg/294.htm

През последните години у нас се наблюдава значително нарастване на броя на националните дебитни карти. Това доведе до необходимост от създаване на Система за електронни плащания на стоки и услуги чрез Интернет с банкови карти, която да има достатъчно сигурност за участниците в платежния процес.

Основната разлика между системите в България еРау.bg и BGРАУ е коренно различната архитектура на стоящите в основите им платформи - едната (еРау.bg) разчита на идентификация, подходяща за дебитни карти с потребителско име и парола, докато другата (BGРАY) е пригодена за разплащания с кредитни карти, при които в оф-лайн търговията не се изисква идентификация с парола. От тук произтичат и принципните раличия в софтуерните решения, финансовите инструменти и протоколите за сигурност.

. 6.10. Администриране на мрежите и управление на системата за защита.

6.10.1 Администриране на мрежите

Целта на администрирането (управлението) на мрежата е да осигури нейната ефективна и надеждна работа. Управлението трябва да осигури на администраторите възможност да планират, организират , управляват и регистрират процесите, протичащи в мрежата, като при това се осигури и защитата на информацията. Управляваните обекти са сървъри, приложен софтуер, маршрутизатори и др.. В международния стандарт ISO са препоръчани следните видове администриране на компютърните мрежи: Администриране на локализирането, коригирането и възстановяването на грешките; Администриране на ресурсите на мрежата; Администриране на конфигурирането на мрежата и потребителските акаунти; Администриране на ефективността на мрежата; Администриране на защитата на информацията.

Всички теэи категории на мрежовото администриране се нуждаят от информация , за да се разбере какво става в мрежата. По тази причина мрежовото администриране изисква голям запас от данни за всеки компонент на мрежата. Такива могат да бъдат: информация эа текущото състояние на компонента, водене на бележки за това какво се е случило, сигурност и контрол на достъпа и др. Тази информация трябва да е достъпна за да може да се осъществява мрежово администриране. За това биха спомогнали:

Достъпа до информация за мрежовите компоненти позволява тяхното преглеждане и променяне; Привлекателен интерфейс на наличната информация / картини, диаграми и др. ; Инструменти за събиране и анализиране на статистическата информация /прекъсвания- причини/.

Администрирането на ресурси започва с определяне на метода за именоване на сървъри, работни станции, принтери и др. Тук както и при администриранито на акаунти е подходящо използването на значещи имена. След като ресурса е бил инсталиран следва да бъде осигурен достъп на потребителите, които ще го използват, и да им бъде проведен инструктаж.

Хардуерните ресурси са най- скъпите мрежови ресурси. Те включват принтери, скенери, модеми, камери и др. Освен това трябва да бъде приложена и някаква политика за управление на дисковото пространство. Ако не се организира правилно тази дейност е възможно запълване на дисковото пространство.

Преди да започне използването на мрежата администратора, трябва да реши как ще се осъществява достъпа до нея. За управление на достъпа се използват два типа мрежови акаунти – потребителски и групови. Важно за управлението на мрежата е именуването на потребителите и техните групи. Груповите акаунти се използват за организиране на потребителите в логически множества за достъп до мрежата.Потребителите получават необходимите им права на базата на групата в която участват, а не на индивидуална основа.Всеки потребител член на дадена група има правата за достъп на тази група. Това не само улеснява работата при промяна на правата на групата, но и намалява възможността за забравяне да бъдат дадени права на някого. Съществуват локални и глобални групи.

Един от най-важните аспекти на мрежовата защита е използването на пароли. Ако паролите са уникални и трудни за налучкване, тогава системата е сравнително добре защитена. Важен е и избора на антивирусна програма. Тя трябва да може да работи почти без поддръжка и да осигурява сканирането на сървърите и работните станции. Освен това тя трябва да осигурява и методи за записване на значими събития, както и възможност за генериране на отчети.При администрирането на грешките се проверявя има ли грешка (срив) в мрежата. Ако има такъв къде е той и каква е причината за този него. Извършва се откриване, преглед на щетите и отстраняване на грешката. Проверява се каква част от мрежата може да бъде изолирана до отстраняване на повредата. Проверява се възможността за недопускане повторението на тази грешка и т.н.

Седемслойният модел за комуникация OSI регламентира три нива на управление на ресурсите на мрежите: Управление на системата; Управление на съответното ниво на модела; Управление чрез протоколите на съответното ниво.

Управлението на системата включва компонентите: SMAP- средства за наблюдение, управление и координация на работата на всички ресурси ( чрез протокола на приложно ниво SNMP ) и неговата част SAME за управление на други мрежи; MIB- управляваща информационна база, съдържаща данни за системата за управление на мрежата; Управлението на всяко ниво на модела ( LM) осигурява средства за наблюдение , управление и координация на ресурсите на отделно ниво ( слой) на модела; Управлението чрез протоколите на съответното ниво ( РЕ ) позволява управлението само на сеансовите връзки между два абоната на мрежата.

Компонентите за управление взаимодействат чрез протоколите за управление. Протоколът SNMP е дефиниран като протокол за TCP/IP мрежи, като се придържа възможно близо до OSI модела. Неговите основни фумкции са: Наблюдение и контрол – оборудване от различни производители може да бъде наблюдавано и контролирано от общо управляващо устройство; Динамично превключване на каналите при изчерпване капацитета на даден канал за връзка;

Конфигуриране на управляващата система за реакция на всякакви събития в мрежата.

Основните компоненти на протокола SNMP са: SNNP агент- софтуер, реагиращ на заявки от SNNP управлението; MIB – база данни, в която са описани обектите, предоставяни на всеки управляван възел от SNNP- агентите.

Съвременните операционни системи имат повечето от функциите, необходими за

управлението на мрежата. Всички съвременни мрежови устройства се продават с вграден софтуер за диагностика и управление на мрежата. Чрез него те могат да се конфигурират за оптималната им работа в състава на конкретна мрежа. Освен тези средства, на пазара се предлага разнообразен специализиран софтуер за управление на мрежи.

6.10.2. Управление на системата за защита.

Както във всички развити страни, в нашата страна системи за компютърна сигурност са въведени предимно в държавните организации. Нормативната база за тях са приетите редица документи - Закон за защита на класифицираната информация (http://im.cablebg.net/clients/zzki-

02.htm), Закон за достъп до обществената информация (http://im.cablebg.net/clients/zdoi-00.htm) и др. Законът за защита на класифицираната информация регламентира конкретно кои въпроси, свързани с отбраната, външната политика, вътрешната и икономическата сигурност на страната подлежат на класификация като държавна тайна. Когато информационните системи обработват класифицирана информация, те трябва да отговарят на изискванията на приетата от Министерския съвет “Наредба за задължителните общи условия за сигурност на автоматизираните информационни системи или мрежи, в които се създава, обработва, съхранява и пренася класифицирана информация” (http://im.cablebg.net/clients/nsaiski3.htm). Според тази наредба единственият орган, който акредитира сигурността на АИС и мрежите е дирекция “Защита на средствата за връзка” (ДЗСВ) на МВР (http://www.mvr.bg/). Общият контрол по защита на класифицираната информация обработвана в АИС се осъществява от Държавната комисия по сигурността на информацията (ДКСИ) към МС (http://dksi.bg/bg/).

Управлението на защитата е контрол върху разпределението на информацията в информационните системи. Целта на управлението е контрол на цялоста на системата за защита на информацията и повишаване на ефективността на мероприятията за тази цел, откриване и отстраняване на каналите за изтичане на информация. Изборът на надеждни средства за защита, отговарящи на изискванията е само част от работата. По нататък те трябва да се настроят, така че да изпълняват всички изисквания заложени в политиката на сигурност. Това зависи и от конкретните условия. Ако потребителят работи автономно (решава само индивидуални задачи) и обработва само собствени данни, то изолирането на потребителите и индивидуалната защита позволяват надеждно да се защити обработваната информация. На практика обаче винаги съществува необходимост от съвместно решение на задачи, което означава, че информацията в системата може да се използва от много потребители. Задачите по управление и контрол се решават от група хора чиито състав зависи от съответните условия.

В организация, в която има чувствителна информация към ограничен достъп, трябва да има административна група, съставена от администратор по сигурността, мениджър по сигурността на мрежата и други служители. Целесъобразно е в организацията, в която се

http://im.cablebg.net/clients/zdoi-00.htm

http://im.cablebg.net/clients/zzki-02.htm

http://im.cablebg.net/clients/zzki-02.htm

обработва такава информация да се организира цялостна система за защита на информацията.

Съгласно [Наредбата] се назначава и администратор по сигурността на АИС или мрежата, който трябва да има ясно разграничени задължения от тези на администратора на мрежата. В неговите задължения влиза изготвяне на експлоатационна документация по сигурността, периодичното информиране на обслужващия персонал по въпросите на сигурността, осигуряване и контрол на потребителския достъп до ресурсите, да следи за спазването на мерките и процедурите за сигурност и др.

Само чрез комплексен подход към построяването на системи за информационна сигурност може успешно да се реши въпроса за защита на информацията в съвременните информационни системи.

Системите за сигурност трябва да осигуряват одит на работата на системата, включващ: запис на дейността на потребителите, автоматично събиране и съхраняване на информация, информация регистрирана от системния администратор (например опити на нарушител да влезе в системата чрез използване на различни пароли и използване на стари потребителски акаунд).

С помощта на одитните записи може да бъде открита и идентифицирана несанкционирана или необичайна дейност в системата. Одитния запис непрекъснато проверяван срещу нарушителски прагове и профили.

Профилите характеризират поведението на субекти или група от субекти и на обекти или група от обекти (например дейност по влизане и работа в системата, изпълнение на команди или програми, достъп до файлове).

За осигуряване на пълна защита на мрежите на дадена организация, специализираните консултантски компании извършват следните услуги: Чрез анализ на компютърните системи и технологиите за обработка на информацията се откриват заплахите по сигурността им, оценява се вероятността и последиците от тях и се изработват препоръки за вида и начина на използване на средствата за защита; Разработват организационно разпоредителни документи, осигуряващи необходимата юридическа база на службите за сигурност и отделите за защита на информацията за провеждане на целия спектър от защитни мероприятия, взаимодействие с външни организации, привличане към отговорност на нарушителите и др.; Монтаж и настройка на препоръчаните на предните етапи средства за защита на информацията (системи за защита от несанкциониран достъп, системи за криптографска защита, защитни стени, системи за анализ на защитеността и други).

Едновременно с това се извършва обучение с цел повишаване на квалификацията на работещите в дадена организация. След внедряване на защитните системи, консултатнските компании извършват периодично преглед на разработените нормативни документи, обследване на компютърните мрежи, обучават нов персонал, своевременно информират своите клиенти за остарелите средства за защита, за появата на нови версии на системите за информационна сигурност, за намерените уязвимости и атаки и др. и при необходимост обновяват средствата за защита.

Редица чуждестранни фирми предлагат различни по функционални възможности и цена програмно-апаратни системи за защита. Много от тези системи отговарят на изискванията за защита на информацията в държавните нормативни документи, а някои от тях даже ги превъзхождат.

ЛИТЕРАТУРА :

1. Асенов Б., Крипов П., Теория на контраразузнаването, Труд, София 2000.2. Тарас А., Наръчник по разузнаване и сигурност, София, 19993. Антонов П., Малчев С., Криптография в компютърните комуникации, ТУ, Варна, 2000.4. Ганчев И., Компютърни мрежи и комуникации. Пловдив, ИМН, 1999.5. Зюко А.Г., Кловский Д.Д., Назаров М.В.. Финк Л.М. Теория передачи сигналов, Москва, Радио и связ, 1986.6. Кент П., Да научим Netskape Communicator 4, С., Инфодар ООД, 1998.7. Кориган П., Гай А. Изграждане на локални мрежи с Net Ware v.2.2. и 3.x. на Novell, София, Техника, 1993.8. Мардон Т., Локални мрежи с равноправен достъп, София, Техника, 1995.9. Мизин И. А. , БогатьIрев В. А. , Кулешов А. П. Сети коммутации пакетов, Москва, Радио и Связь, 1986.10. Соколов А., Шпионские штучки. Новое и лучшее, Полигон, Санкт-Петербург, 2000.11. An introduction to PGP version 7.1.12. Стърлинг Б., Удар срещу хакерите, У.И. “Св. Климент Охридски”София, 2000.13. Бенкс М., Как да защим компютъра си, Софт Прес, София, 2001.14. Дънам К., Компютърните вируси, Алекс Софи, София, 2001.15. Петров Р., Защита на информацията в компютрите и мрежите, Корени, София, 2002.16. Огнянова Н., Право и етика на информационното общество, Нова звезда, София, 2002.17. Максимална защита (Хакерско ръководство...), Инфодар, София, 2003.18. Домарев, В., Безопасность инфомационных технологий, Диасофт, Москва,200219. Антонов, П., Комплексен подход към надеждността, безопасността и сигурността на компютърните и комуникационните системи и мрежи.”Компютърни науки и технологии”, брой1,2004 г., ТУ-Варна, стр. 4-11.20. Максимална защита (хакерско ръководство за защита на вашия сайт и мрежа – Книга 1), ИнфоДар, София, 200221. Максимална защита (хакерско ръководство за защита на вашия сайт и мрежа – Книга 2), ИнфоДар, София, 200222. Тужаров, Хр. Компютърни мрежи, ПИК,В.Търново, 2000.23. Шиндър, Д., Компютърни мрежи, Софтпрес, С.,200324. Станев, Ст., Железов, Ст., Компютърна и мрежова сигурност, Шумен, 2005.25. Microsoft Corporation, Компютърни мрежи – превод от англ., СофтПрес, Artech House Inc., 1994.26. Onvural R., Asynchronous Transfer Mode Networks. Performance Issues, Artech House Inc., 1994.27. Simmonds A. Data Communications and Transmission Princciples. Macmillan Press LTD, 1997.28. Stallings W., Data and Computer Communications. 5 ed., Prentice – Hall, Inc., 1997.29. Stallings W., ISDN and Broadband ISDN with Frame Relay and ATM, 3 ed., Prentice – Hall, Inc., 1995.30. http://www.weca.net

19

referati org kompiutyrni mreji

Documents

generic routing

routing information

password authentication

protocol data

address resolution

transmission

media access

point tunneling