рефераты рефераты
Домой
Домой
рефераты
Поиск
рефераты
Войти
рефераты
Контакты
рефераты Добавить в избранное
рефераты Сделать стартовой
рефераты рефераты рефераты рефераты
рефераты
БОЛЬШАЯ ЛЕНИНГРАДСКАЯ БИБЛИОТЕКА
рефераты
 
МЕНЮ
рефераты Корпоративные сети рефераты

БОЛЬШАЯ ЛЕНИНГРАДСКАЯ БИБЛИОТЕКА - РЕФЕРАТЫ - Корпоративные сети

Корпоративные сети

1. Введение. В чем состоит планирование сети

Корпоративная сеть - это сложная система, включающая тысячи самых

разнообразных компонентов: компьютеры разных типов, начиная с настольных и

кончая мейнфремами, системное и прикладное программное обеспечение, сетевые

адаптеры, концентраторы, коммутаторы и маршрутизаторы, кабельную систему.

Основная задача системных интеграторов и администраторов состоит в том,

чтобы эта громоздкая и весьма дорогостоящая система как можно лучше

справлялась с обработкой потоков информации, циркулирующих между

сотрудниками предприятия и позволяла принимать им своевременные и

рациональные решения, обеспечивающие выживание предприятия в жесткой

конкурентной борьбе. А так как жизнь не стоит на месте, то и содержание

корпоративной информации, интенсивность ее потоков и способы ее обработки

постоянно меняются. Последний пример резкого изменения технологии

автоматизированной обработки корпоративной информации у всех на виду - он

связан с беспрецедентным ростом популярности Internet в последние 2 - 3

года.

Изменения, причиной которых стал Internet, многогранны. Гипертекстовая

служба WWW изменила способ представления информации человеку, собрав на

своих страницах все популярные ее виды - текст, графику и звук. Транспорт

Internet - недорогой и доступный практически всем предприятиям (а через

телефонные сети и одиночным пользователям) - существенно облегчил задачу

построения территориальной корпоративной сети, одновременно выдвинув на

первый план задачу защиты корпоративных данных при передаче их через в

высшей степени общедоступную публичную сеть с многомиллионным "населением".

Стек TCP/IP сразу же вышел на первое место, потеснив прежних лидеров

локальных сетей IPX и NetBIOS, а в территориальных сетях - Х.25.

Популярность Internet оказывает на корпоративные сети не только техническое

и технологическое влияние. Так как Internet постепенно становится

общемировой сетью интерактивного взаимодействия людей, то Internet начинает

все больше и больше использоваться не только для распространения

информации, в том числе и рекламной, но и для осуществления самих деловых

операций - покупки товаров и услуг, перемещения финансовых активов и т.п.

Это в корне меняет для многих предприятий саму канву ведения бизнеса, так

как появляются миллионы потенциальных покупателей, которых нужно снабжать

рекламной информацией, тысячи интересующихся продукцией клиентов, которым

нужно предоставлять дополнительную информацию и вступать в активный диалог

через Internet, и, наконец, сотни покупателей, с которыми нужно совершать

электронные сделки. Сюда нужно добавить и обмен информацией с предприятиями-

соисполнителями или партнерами по бизнесу. Изменения схемы ведения бизнеса

меняют и требования, предъявляемые к корпоративной сети. Например,

использование технологии Intranet сломало привычные пропорции внутреннего и

внешнего трафика предприятия в целом и его подразделений - старое правило,

гласящее, что 80% трафика является внутренним и только 20% идет вовне,

сейчас не отражает истинного положения дел. Интенсивное обращение к Web-

сайтам внешних организаций и других подразделений предприятия резко

повысило долю внешнего трафика и, соответственно, повысило нагрузку на

пограничные маршрутизаторы и межсетевые экраны (firewalls) корпоративной

сети. Другим примером влияния Internet на бизнес-процессы может служить

необходимость аутентификации и авторизации огромного числа клиентов,

обращающихся за информацией на серверы предприятия извне. Старые способы,

основанные на заведении учетной информации на каждого пользователя в базе

данных сети и выдаче ему индивидуального пароля, здесь уже не годятся - ни

администраторы, ни серверы аутентификации сети с таким объемом работ не

справятся. Поэтому появляются новые методы проверки легальности

пользователей, заимствованные из практики организаций, имеющих дело с

большими потоками клиентов - магазинов, выставок и т.п. Влияние Internet на

корпоративную сеть - это только один, хотя и яркий, пример постоянных

изменений, которые претерпевает технология автоматизированной обработки

информации на современном предприятии, желающем не отстать от конкурентов.

Постоянно появляются технические, технологические и организационные

новинки, которые необходимо использовать в корпоративной сети для

поддержания ее в состоянии, соответствующем требованиям времени. Без

внесения изменений корпоративная сеть быстро морально устареет и не сможет

работать так, чтобы предприятие смогло успешно выдерживать жесткую

конкурентную борьбу на мировом рынке. Как правило, срок морального старения

продуктов и решений в области информационных технологий находится в районе

3 - 5 лет.

Как же нужно поступать, чтобы предприятию не нужно было бы полностью

перестраивать свою корпоративную сеть каждые 3 - 5 лет, что безусловно

связано с огромными расходами? Ответ простой - нужно постоянно следить за

основными тенденциями развития мира сетевых и информационных технологий и

постоянно вносить в сеть (в программы, сервисы, аппаратуру) такие изменения

, которые позволили бы сети плавно отрабатывать каждый резкий поворот. То

есть нужно правильно видеть стратегическое направление развития вашей

корпоративной сети, постоянно коррелировать его с направлением развития

всего сетевого мира и тогда меньше шансов завести корпоративную сеть в

такой тупик, откуда нет иного выхода, кроме полной перестройки сети. По

крайней мере, нельзя вкладывать большие деньги и силы в решения, в

будущности которых имеются большие сомнения. Например, весьма рискованно

строить сегодня новую сеть исключительно на сетевой операционной системе

NovellNetWare, которая переживает всеми признаваемый кризис. Если в вашей

сети уже работает с десяток серверов NetWare, то добавление к ним нового

сервера IntranetWare может быть и целесообразно, так как дает возможность

старым серверам возможность работы с Internet и сетями TCP/IP. Но

построение новой сети за счет покупки нескольких десятков копий

IntranetWare трудно назвать стратегически верным решением, WindowsNT и Unix

сейчас дают гораздо больше гарантий относительно своей жизнеспособности.

Стратегическое планирование сети состоит в нахождении компромисса между

потребностями предприятия в автоматизированной обработке информации, его

финансовыми возможностями и возможностями сетевых и информационных

технологий сегодня и в ближайшем будущем.

При стратегическом планировании сети нужно принять решения по четырем

группам вопросов:

1. Какие новые идеи, решения и продукты являются стратегически важными?

Какие решения в стратегически важных областях являются перспективными?

Какие из них могут оказаться полезными в вашей корпоративной сети?

2. Каким образом новые решения и продукты нужно внедрять в существующую

сеть? На какие этапы нужно разбить процесс перехода на новые решения и

продукты, как обеспечить максимально безболезненное взаимодействие

новых и старых частей и компонентов сети?

3. Как рационально выбрать внешних соисполнителей для внедрения в сеть

новых решений и продуктов? Как выбрать интеграторов, производителей и

поставщиков программных и аппаратных продуктов, провайдеров услуг

территориальных сетей?

4. Как организовать процесс обучения своих сотрудников новым технологиям

и продуктам? Стоит ли набирать уже обученных специалистов со стороны?

Рассмотрим эти вопросы более подробно.

1.1. Многослойное представление корпоративной сети

Корпоративную сеть полезно рассматривать как сложную систему, состоящую из

нескольких взаимодействующих слоев. В основании пирамиды, представляющей

корпоративную сеть, лежит слой компьютеров - центров хранения и обработки

информации, и транспортная подсистема (рис. 1.1), обеспечивающая надежную

передачу информационных пакетов между компьютерами.

[pic]

Рис. 1.1. Иерархия слоев корпоративной сети

Над транспортной системой работает слой сетевых операционных систем,

который организует работу приложений в компьютерах и предоставляет через

транспортную систему ресурсы своего компьютера в общее пользование.

Над операционной системой работают различные приложения, но из-за особой

роли систем управления базами данных, хранящих в упорядоченном виде

основную корпоративную информацию и производящих над ней базовые операции

поиска, этот класс системных приложений обычно выделяют в отдельный слой

корпоративной сети.

На следующем уровне работают системные сервисы, которые, пользуясь СУБД,

как инструментом для поиска нужной информации среди миллионов и миллиардов

байт, хранимых на дисках, предоставляют конечным пользователям эту

информацию в удобной для принятия решения форме, а также выполняют

некоторые общие для предприятий всех типов процедуры обработки информации.

К этим сервисам относится служба WorldWideWeb, система электронной почты,

системы коллективной работы и многие другие.

И, наконец, верхний уровень корпоративной сети представляют специальные

программные системы, которые выполняют задачи, специфические для данного

предприятия или предприятий данного типа. Примерами таких систем могут

служить системы автоматизации банка, организации бухгалтерского учета,

автоматизированного проектирования, управления технологическими процессами

и т.п.

Конечная цель корпоративной сети воплощена в прикладных программах верхнего

уровня, но для их успешной работы абсолютно необходимо, чтобы подсистемы

других слоев четко выполняли свои функции.

Стратегические решения, как правило, влияют на облик сети в целом,

затрагивая несколько слоев сетевой "пирамиды", хотя первоначально касаются

только одного конкретного слоя или даже отдельной подсистемы этого слоя.

Такое взаимное влияние продуктов и решений нужно обязательно учитывать при

планировании технической политики развития сети, иначе можно столкнуться с

необходимостью срочной и непредвиденной замены, например, сетевой

технологии, из-за того, что новая прикладная программа испытывает острый

дефицит пропускной способности для своего трафика.

1.2. Стратегические проблемы построения транспортной системы корпоративной

сети

Из-за того, что транспортная система создает основу для взаимосвязанной

работы отдельных компьютеров, ее часто отождествляют с самим понятием

"корпоративная сеть", считая все остальные слои и компоненты сети просто

надстройкой. В свою очередь, транспортная система корпоративной сети

состоит из ряда подсистем и элементов. Наиболее крупными составляющими

транспортной системы являются такие подсистемы как локальные и глобальные

сети корпорации, опять же понимаемые как чисто транспортные средства. В

свою очередь каждая локальная и глобальная сеть состоит из периферийных

подсетей и магистрали, которая эти подсети связывает воедино. Например,

крупная локальная сеть, приведенная на рисунке 1.2, состоит из подсетей,

объединенных магистралью, включающих два кольца FDDI и четыре

маршрутизатора. Каждая подсеть также может иметь иерархическую структуру,

образованную своими маршуртизаторами, коммутаторами, концентраторами и

сетевыми адаптерами. Все эти коммуникационные устройства связаны

разветвленной кабельной системой.

[pic]

Рис. 1.2.Структура локальной сети

Глобальная сеть, объединяющая отдельные локальные сети, разбросанные по

большой территории, также имеет, как правило, иерархическую структуру с

высокоскоростной магистралью (например, АТМ), более медленными

периферийными сетями (например, framerelay) и каналами доступа локальных

сетей к глобальным. Эти составляющие глобальной сети представлены на

рисунке 1.3.

[pic]

Рис. 1.3. Структура глобальной сети

При создании и модернизации транспортной системы стратегически значимыми

сегодня являются в первую очередь следующие проблемы.

1.2.1. Создание транспортной инфраструктуры с масштабируемой

производительностью для сложных локальных сетей

Сегодня все чаще и чаще возникают повышенные требование к пропускной

способности каналов между клиентами сети и серверами. Это происходит по

разным причинам: из-за повышения производительности клиентских компьютеров,

увеличения числа пользователей в сети, появления приложений, работающих с

мультимедийной информацией, которая хранится в файлах очень больших

размеров, увеличением числа сервисов, работающих в реальном масштабе

времени. Особенно резко возросла нагрузка на серверы, которые публикуют

корпоративные данные в Internet. Хотя такой трафик большую часть пути между

сервером и клиентом проходит по глобальным каналам Internet, последний

отрезок пути приходится на сегменты локальной сети предприятия, которые

должны справляться с такой повышенной нагрузкой.

Требования к пропускной способности каналов связи к тому же очень

неоднородны для различных сегментов и подсетей крупной локальной сети. Так

как очень маловероятно, что все клиенты с одинаковой интенсивностью

обмениваются данными со всеми серверами предприятия и внешними серверами,

то часть сегментов загружена больше, а часть - меньше (рис. 1.4).

[pic]

Рис. 1.4. Интенсивности потоков данных в разных сегментах локальной сети

Следовательно, имеется потребность в экономичном решении, предоставляющем

сегментам и подсетям ту пропускную способность, которая им требуется.

Тем не менее, 10-Мегабитный Ethernet устраивал большинство пользователей на

протяжении около 15 лет. Это объясняется тем, что пропускная способность в

10 Мб/с с большим запасом перекрывала потребности клиентских и серверных

компьютеров сетей тех лет. До появления персональных компьютеров в

локальную сеть объединялись миникомпьютеры, которых на предприятиях было не

так уж и много, поэтому подсети включали по 5 - 20 компьютеров. Трафик

состоял в основном из алфавитно-цифровых данных, интенсивность которых

обычно не превышала нескольких десятков Кбайт в секунду для одного

компьютера. Персональные компьютеры, массово появившиеся в середине 80-х,

были весьма маломощными, с медленными дисками, и также не создавали проблем

для 10-Мегабитных каналов.

Большая избыточность 10-Мегабитных каналов также не очень беспокоила

специалистов, так как технология Ethernet была достаточно дешевой,

коммуникационное оборудование сети состояло из одного-двух маршрутизаторов,

коаксиального кабеля и сетевых адаптеров, стоимость которых была весьма

небольшой по сравнению со стоимостью компьютеров, в которые они

устанавливались.

Однако в начале 90-х годов начала ощущаться недостаточная пропускная

способность каналов Ethernet. Для компьютеров на процессорах Intel 80286

или 80386 с шинами ISA (8 Мбайт/с) или EISA (32 Мбайт/с) пропускная

способность сегмента Ethernet составляла 1/8 или 1/32 канала "память -

диск", и это хорошо согласовывалось с соотношением объемов локальных данных

и внешних данных для компьютера. Теперь же у мощных клиентских станций с

процессами Pentium или PentiumPRO и шиной PCI (133 Мбайт/с) эта доля упала

до 1/133, что явно недостаточно. Еще больший недостаток в пропускной

способности стали ощущать серверы, как на основе RISC-, так и на основе

Intel-процессоров. Основным решением в этой области стало использование

нескольких сетевых адаптеров, работающих на разные подсети.

В начале 90-х годов наметились сдвиги и в характере передаваемой по сети

информации. Наряду с алфавитно-цифровыми данными появились графические,

звуковые и видеоданные, хранящиеся в многомегабайтных файлах. Это еще

больше усугубило ситуацию, так как теперь даже несколько персональных

компьютеров, работающих с мультимедийной информацией, могли перегрузить 10-

Мегабитный сегмент сети.

Поэтому многие сегменты 10 Мегабитного Ethernet'а стали перегруженными,

реакция серверов в них значительно упала, а частота возникновения коллизий

существенно возросла, еще более снижая номинальную пропускную способность.

Самое простое решение - повышение битовой скорости единственного протокола,

работающего во всех сегментах сети, как происходило ранее с сетями на

основе Ethernet - не является уже рациональным для скоростей больших чем 30

- 40 Мб/с. Это стало ясно после разработки и применения первого

высокоскоростного протокола локальных сетей - протокола FDDI, работающего

на битовой скорости 100 Мб/с. Стоимость сегментов FDDI оказалась для этого

слишком высокой, поэтому протокол FDDI стал применяться в основном только

для построения магистралей крупных локальных сетей и подключения

централизованных серверов предприятия. Для связи сегментов Ethernet с

сегментами FDDI потребовалось применение маршрутизаторов или транслирующих

коммутаторов.

Такая схема построения локальной сети, когда в ней существует несколько

сегментов (в случае применения коммутаторов) или подсетей (в случае

применения маршрутизаторов или умеющих маршрутизировать коммутаторов), в

каждом из которых применяется один из двух протоколов в зависимости от той

пропускной способности, которая нужна компьютерам, работающих в этой части

сети, является прообразом схемы, к которой сегодня стремятся производители

сетевого оборудования и сетевые интеграторы.

Более совершенная схема построения локальной сети должна опираться не на

две доступные скорости, а на более дробную иерархическую линейку скоростей

для компьютеров сети. Тогда можно будет более точно и с меньшими затратами

учесть потребности каждой группы компьютеров, объединенных в сегмент, или

даже каждого отдельного компьютера. Для согласования скоростей работы

каналов между сегментами сети необходимо применять устройства,

обрабатывающие трафик с буферизацией пакетов - коммутаторы или

маршрутизаторы, но не концентраторы, которые организуют побитную передачу

данных из сегмента в сегмент.

1.2.2.Предоставление индивидуального качества обслуживания для различных

типов трафика и различных приложений в локальных сетях

Можно пойти и дальше в детализации требований к пропускной способности. В

конце концов пропускная способность каналов связи нужна не компьютеру в

целом, а отдельным приложениям, которые выполняются на этом компьютере. У

файлового сервиса одни требования к пропускной способности, у электронной

почты - другие, а у сервиса интерактивных видеоконференций - третьи.

Особенно остро эти различия стали ощущаться с начала 90-х годов, когда

наряду с традиционным файловым сервисом и сервисом печати в локальных сетях

стали использоваться новые виды сервисов, порождающих трафик реального

времени, очень чувствительного к задержкам. Типичным представителем такого

сервиса является компьютерная телефония. Каждый телефонный разговор двух

абонентов порождает в сети трафик, имеющий постоянную битовую скорость,

чаще всего 64 Кб/с (рис.1.5), когда источник голосовой информации порождает

поток байт с частотой 8 КГц.

Более сложные методы кодирования могут уменьшить интенсивность голосового

трафика до 9.6 Кб/с, и даже до 4 - 5 Кб/с.

Независимо от способа кодирования и интенсивности трафика, качество

воспроизводимого на приемном конце голоса очень зависит от задержек

поступления байт, несущих замеры амплитуды голоса. Вся техника передачи

голоса в цифровой форме основана на том, что замеры должны поступать на

воспроизводящее устройство через те же интервалы, через которые они

производились на приемном устройстве, которое преобразовывало голос в

последовательность чисел. Задержка поступления очередного байта более чем

на 10 мс может привести к появлениям эффекта эха, большие задержки могут

исказить тембр голоса до неузнаваемости или привести к затруднениям в

распознавании слов. Компьютерные сети - как локальные, так и глобальные -

это сети с коммутацией пакетов, в которых задержки передачи пакетов трудно

предсказать. В силу самого способа буферизации пакетов в промежуточных

коммутаторах и маршрутизаторах задержки в компьютерных сетях имеют

переменный характер, так как пульсирующий характер файлового сервиса, Web-

сервиса и многих других популярных компьютерных сервисов создают постоянно

меняющуюся загрузку коммутаторов и маршрутизаторов.

[pic]

Рис. 1.5. Трафик, порождаемый в сети при передаче телефонного разговора

Особенно большие проблемы создает интерактивный обмен голосовыми

сообщениями, проще говоря - обычный разговор. При передаче голоса только в

одну сторону, например, при воспроизведении заранее записанной музыки, на

приемном конце можно поставить буфер, в котором будут накапливаться

неравномерно поступающие замеры звука, которые с некоторой задержкой затем

будут извлекаться из буфера строго с частотой 8 КГц (рис.1.6).

[pic]

Рис. 1.6. Сглаживание неравномерности задержек, вносимых сетью

Такой буфер обычно называется устройством эхоподавления и используется в

протяженных цифровых телефонных сетях. При интерактивном обмене постоянные

значительные задержки, вносимые буфером в разговор, становятся очень

неудобными для собеседников - приходится долго ждать ответа, как при

разговоре с космонавтами.

Аналогичные требования к передаче своих данных предъявляет и трафик,

переносящий видеоизображение. Трафик, требующий, чтобы его данные поступали

к приемному узлу через строго определенные промежутки времени, называется

синхронным в отличие от асинхронного трафика, мало чувствительного к

задержкам его данных. Почти весь трафик традиционных сервисов компьютерных

сетей является асинхронным - задержка передачи части файла даже на 200 мс

будет мало заметна для пользователя.

Как правило, асинхронный и синхронный виды трафика существенно отличаются и

еще в одном важном отношении - чувствительности к потере пакетов.

Асинхронный трафик очень чувствителен к таким потерям, так как потеря даже

небольшой части файла делает всю операцию передачи файла по сети

бессмысленной - файл или его потерянную часть обязательно нужно передавать

заново. Потеря же одного замера голоса или одного кадра изображения не

очень заметно сказывается на качестве воспроизводимого сигнала, так как

инерционный характер физических процессов приводит к тому, что два

последовательных замера не очень отличаются друг от друга, поэтому

воспроизводящему устройству не составляет труда восстановить, хотя и

приблизительно, потерянную информацию.

Использование мультимедийной информации и интерактивных сервисов в

компьютерных сетях создало сложную проблему совмещения двух очень разных по

требованиям к характеру передачи пакетов через сеть типов данных. Сложности

совмещения синхронного и асинхронного трафика в одной сети коммутации

пакетов иллюстрирует рисунок 1.7.

[pic]

Рис. 1.7. Проблема совмещения синхронного и асинхронного трафика в одной

сети с коммутацией пакетов

При передаче синхронных данных в обычных пакетах и кадрах локальной сети,

такие пакеты будут встречаться во внутренних очередях коммутаторов и

маршрутизатров с пакетами обычного асинхронного компьютерного трафика. Если

коммутатор или маршрутизатор не делает различий между пакетами синхронного

и асинхронного трафика, то задержки могут быть очень большими и очень

неравномерными, особенно при загрузке коммуникационного устройства, близкой

к его максимальным возможностям обработки пакетов. Естественным выходом из

этой ситуации является приоритетная обработка пакетов синхронного трафика -

и это очень распространенный прием, применяемый многими производителями

коммутаторов, маршрутизаторов, а также разработчиками новых протоколов

локальных сетей, например, протокола 100VG-AnyLAN, в котором существует два

уровня приоритетов.

Однако, даже при приоритетной обработке пакеты синхронного трафика могут

задерживаться в коммуникационных устройствах, так как в них можно

реализовать только алгоритмы обработки с относительными приоритетами, а не

с абсолютными. Это значит, что если низкоприоритетный пакет уже начал

передаваться в сеть, то устройство не может прервать его передачу при

приходе в это время высокоприоритетного пакета. Поэтому максимальное время

ожидания синхронного пакета всегда равно времени передачи пакета

максимальной длины, которую допускает тот или иной протокол или действующая

конфигурация сети.

Так, для классического 10-Мегабитного Ethernet'а максимальный размер пакета

равен 1526 байт (со всеми служебными полями и преамбулой). Значит,

максимальное время его передачи составит 1.2 мс. Это не так много для

большинства видов синхронного мультимедийного трафика. Хуже обстоят дела в

сетях TokenRing, где кадры могут достигать размера в 16 Кбайт. При скорости

в 16 Мб/с это может привести к задержке в 8 мс, уже оказывающей заметное

влияние на качество голоса или изображения. Для сетей FDDI с битовой

скоростью 100 Мб/с и максимальным размером кадра 4500 байт задержка

составит всего 0.36 мс, для сетей Fast Ethernet - 0.12 мс, GigabitEthernet

- 0.012 мс, а АТМ при скорости 155 Мб/c и размере ячейки в 53 байта - всего

2.7 мкс.

Однако, этот идеальный случай соответствует полностью свободной в любой

момент времени среде передачи данных на выходном порту коммутатора или

маршрутизатора. Такая ситуация встречается в локальных сетях не часто, так

как микросегментация, когда каждый компьютер связан с сетью своей

индивидуальной линией связи, пока еще слишком дорогое удовольствие для

применения его во всех сегментах сети. При использовании в сегменте

разделяемой среды высокоприоритетный пакет должен ждать не только

завершения передачи низкоприоритетного пакета, но и освобождения

разделяемой среды, а это составляющая является чисто случайной и с ней

бороться можно только уменьшая загрузку сегмента.

Разделяемые среды передачи данных традиционно использовались в локальных

сетях для уменьшения стоимости сетевого оборудования. Практически все

протоколы локальных сетей - от Ethernet до 100VG-AnyLAN и GigabitEthernet

(АТМ не относится к протоколам, разработанным для локальных сетей, эта

технология в гораздо большей степени близка к технологиям передачи данных в

глобальных сетях) могут работать на разделяемых средах передачи данных.

В разных протоколах локальных сетей реализованы разные методы доступа к

разделяемой среде. В некоторых новых протоколах предусмотрен механизм

приоритетного предоставления доступа к среде. Обычно, разработчики

протокола ограничиваются двумя уровнями приоритетов - один, низкий, для

асинхронного трафика, и второй, высокий, для синхронного. Так поступили

разработчики протоколов FDDI и 100VG-AnyLAN. В протоколе TokenRing

существует 8 уровней приоритетов, а во всех протоколах семейства Ethernet -

FastEthernet - GigabitEthernet понятие приоритета кадра отсутствует.

Безусловно, приоритетное предоставление доступа к разделяемой среде намного

уменьшает задержки доставки пакетов к узлу назначения.

Однако, какой бы метод доступа к разделяемой среде передачи данных не

использовался, возможна ситуация, когда несколько узлов с высоким

приоритетом будут требовать одновременный доступ к разделяемой среде.

Протоколы локальных сетей, даже самые последние, не решают задачу

предоставления каких-то гарантий в распределении полосы пропускания общего

канала передачи данных между равноприоритетными узлами. И, если все узлы

сети будут иметь равные приоритеты, то разделяемая среда по-прежнему будет

предоставлять каждому узлу заранее неизвестную часть своей пропускной

способности.

Обеспечение для абонентов сети требуемого уровня задержек - это частный

случай обеспечения нужного качества обслуживания - QualityofService, QoS.

Анализ типов трафика, создаваемого современными приложениями, позволил

выделить несколько основных типов, для которых понятие QoS имеет различный

смысл и характеризуется различными параметрами.

Трафик реального времени с постоянной битовой скоростью обычно требует

предоставления ему постоянной полосы пропускания, причем в понятие качества

обслуживания входит не только величина предоставляемой ему пропускной

способности, но и величина задержек передачи каждого пакета - обычно

среднее время задержки и величина ее вариации. Типичный представитель этого

типа трафика - голосовой трафик.

Существует также тип трафика реального времени, создающий поток данных с

пульсирующей битовой скоростью, но так же чувствительный к задержкам

передачи пакетов. Такой трафик создают источники, выполняющие компрессию

голоса или видеоизображения, когда, например, при неизменной картинке

интенсивность потока данных резко уменьшается. Для такого трафика в понятие

качества обслуживание по прежнему входят средняя величина и вариация

задержек, а вместо одного параметра пропускной способности обычно от сети

требуется обеспечить два - среднюю скорость передачи данных и передачу

всплеска трафика до определенной величины в течение оговоренного периода

времени.

Для пульсирующего компьютерного трафика, который не является трафиком

реального времени, так как нечувствителен к задержкам, обычно достаточно

обеспечить аналогичные предыдущему случаю параметры пропускной способности,

а о величинах задержек не заботиться.

Для случая, когда трудно точно оценить среднюю скорость передачи данных

приложением и максимальный всплеск интенсивности, применяют упрощенное

толкование понятия качества обслуживания - как верхний и нижний пределы

пропускной способности, предоставляемой сетью абоненту в течение достаточно

длительного промежутка времени.

В предыдущих примерах качество обслуживания трактовалось только

относительно временных характеристик работы сети. Однако, вероятность

успешной доставки данных абоненту также, естественно, может учитываться в

качестве обслуживания. Для многих видов компьютерного сервиса, где потери

пакетов ведут к существенному снижению полезной пропускной способности

сети, надежность доставки пакета - существенная составляющая качественного

обслуживания абонента сетью.

До сих пор мы больше говорили о предоставлении определенного уровня

качества обслуживания узлам сети, то есть компьютерам в целом. Однако, на

самом деле источником трафика с определенными требованиями к качеству его

обслуживания является не компьютер, а отдельное приложение, работающее на

этом компьютере. Вполне реальной является ситуации когда на одном

компьютере одновременно в режиме разделения времени выполняются несколько

приложений и у каждого имеются свои требования к передаче его данных через

сеть. Большинство современные ОС поддерживают режим мультипрограммирования,

так что сосуществование фонового приложения рассылки электронной почты или

факсов с сессией видеоконференции вполне возможно. Поэтому современная сеть

должна допускать обслуживание с разными классами качества и с разными

параметрами качества приложений одного и того же компьютера.

Совмещенная передача голоса и данных и гарантированное качество

обслуживания в глобальных сетях

В глобальных сетях проблема совмещения голоса и данных, или, в более

широкой постановке задачи, обеспечение гарантированного качества

обслуживания для различных классов трафика стоит еще более остро. Это

объясняется тем, что глобальные каналы связи существенно дороже локальных,

поэтому гораздо сильнее стимулы для использования одной и той же

транспортной инфраструктуры для передачи компьютерного трафика и трафика,

который обычно передается через телефонные сети.

Попытки обеспечить приемлемое качество обслуживания для голосового и

компьютерного трафика делались в территориальных сетях уже давно -

практически с самого начала внедрения глобальных компьютерных сетей.

Компьютерный трафик при отсутствие специальных каналов связи передавали по

телефонным каналам с помощью модемов. Телефонные сети всегда работали по

технологии коммутации каналов, поэтому проблема задержек голосовых данных

длинными компьютерными пакетами здесь не возникала - после коммутации

составной канал оказывался полностью в распоряжении либо компьютерного,

либо голосового трафика.

Однако, при этом определенные неудобства испытывали компьютерные абоненты

сети - канал с постоянной пропускной способностью не может хорошо

передавать пульсации трафика. Если нужно передать трафик со средней

интенсивностью 10 Кб/с и пульсацией до 500 Кб/с на протяжении одной

секунды, то, очевидно, что канал с пропускной способностью 28.8 Кб/с не

сможет хорошо справиться с этой задачей. Пакеты, принадлежащие периоду

всплеска трафика, будут ждать в очереди, которая образуется на входе такого

канала. В то же время в периоды трафика низкой интенсивности (а они,

безусловно, будут иметь место, так как средняя интенсивность трафика всего

10 Кб/c) канал будет использоваться всего на небольшую долю своей

пропускной способности, а так как в сетях с коммутацией каналов оплата

всегда осуществляется на повременной основе, то и платить компьютерные

абоненты всегда будут не только за полезную пропускную способность канала,

но и за неиспользуемую часть времени его работы.

Такое положение дел всегда сохраняется при использовании сетей с

коммутацией каналов, в том числе и сетей ISDN. Сети ISDN изначально

проектировались как сети с интегральными услугами, в которых компьютерный

трафик должен передаваться наравне с телефонным, трафиком факсов, службы

телетекста и трафиками других служб. Однако первая попытка построения

интегральной территориальной сети удалась далеко не в полной мере. Сервис

коммутации пакетов, так нужный для качественной и экономной передачи

пульсаций трафика, оказался в этих сетях пасынком. Только немногие

провайдеры сетей ISDN предоставляют такой вид услуг своим абонентам, да и

то на медленных каналах типа D в 16 Кб/с или 64 Кб/с, а такие скорости вряд

ли удовлетворят пользователей современных корпоративных сетей. Поэтому для

передачи компьютерного трафика через сети ISDN используется сервис

коммутации каналов со скоростью до 2 Мб/с, а значит все проблемы с

передачей пульсаций остаются.

При использовании же для передачи голосового и других видов трафика

реального времени сетей, разработанных как чисто компьютерные, пользователи

сталкиваются с той же проблемой неравномерных и значительных задержек

пакетов с мультимедийными данными, которая присуща и локальным сетям. При

более низких скоростях передачи данных задержки могут быть достаточно

чувствительными. Даже в ненагруженной сети framerelay при скорости передачи

данных по каналу в 1.5 Мб/с передача пакета компьютерных данных длиной 4096

байт может задержать пакет голосовых данных на 22 мс, что скорее всего

очень сильно снизит качество передачи голоса.

Большие размеры пакетов, которые выгодны для передачи компьютерных данных,

так как увеличивают полезную пропускную способность канала за счет снижения

доли служебных данных в заголовках, вредно влияют на качество передачи

трафика реального времени не только за счет задержек в промежуточных узлах,

то есть коммутаторах и маршрутизаторах. Большое влияние на качество

обслуживания может оказывать так называемая задержка пакетизации, которая

тем больше, чем больше размер пакета, используемого для передачи

мультимедийных данных. Механизм возникновения задержки пакетизации

иллюстрирует рисунок 1.8.

[pic]

Рис. 1.8. Задержка пакетизации голосовых данных при передаче через сети

коммутации пакетов

Пусть мы хотим использовать для передачи голоса сеть framerelay с

максимальным размером пакета 4096 байт. Оцифрованные замеры голоса

поступают на вход устройства доступа к глобальной сети -

FrameRelayAccessDevice, FRAD, с частотой 8 КГц. FRAD упаковывает каждый

байт в пакет, при этом первый байт, попавший в какой-либо пакет, должен

ждать отправки в сеть 4095 интервалов по 125 мкс (период следования байт

при частоте 8 КГц), пока пакет на заполнится полностью. Эта задержка и

называется задержкой пакетизации, в данном случае она составит 511 мс, то

есть полсекунды, что совершенно недопустимо. Поэтому обычно FRAD

настраивается на отправку в сеть голосовых данных в пакетах гораздо меньшей

длины, например, 128 байт, но и при этом задержка составит порядка 16 мс и

для ее компенсации нужно устройство эхоподавления на приемном конце.

Из-за задержек пакетизации в сетях с коммутацией пакетов при необходимости

совмещать передачу голоса и данных применяют пакеты небольших размеров,

которые также уменьшают и задержки ожидания в коммутаторах сети. Однако,

при этом уменьшается полезная пропускная способность сети для компьютерных

данных.

В глобальных сетях обычно не ставится задача поддержки качества

обслуживания для всех возможных типов трафика, которые были рассмотрены

выше. Чаще всего, глобальная сеть считается очень хорошей, если она может

дифференцированно обслуживать по крайней мере два вида трафика, голосовой и

компьютерный, прием с очень упрощенной поддержкой качества обслуживания для

каждого типа.

Более тонкая поддержка качества обслуживания для всех основных типов

трафика обеспечивается сегодня только в сетях АТМ, и то часто потенциально,

так как не все провайдеры АТМ предлагают абонентам своих сетей все

возможные способы поддержки качества обслуживания, определенные в стандарте

технологии АТМ.

1.2.3. Выбор технологии магистрали для крупных локальных сетей предприятия

Технология определяется используемыми протоколами нижнего уровня, такими

как Ethernet, TokenRing, FDDI, FastEthernet и т.п. и существенно влияет на

типы используемого в сети коммуникационного оборудования. Магистраль - это

одна из наиболее дорогостоящих частей любой сети. Кроме того, так как через

нее проходит значительная часть трафика сети, то ее свойства сказываются

практически на всех сервисах корпоративной сети, которыми пользуются

конечные пользователи. Поэтому решение о технологии работы магистрали явно

относится к разряду стратегических решений.

Кроме протокола, который будет работать на магистрали, необходимо также

выбрать рациональную структуру магистрали. Эта структура будет затем

положена в основу структуры кабельной системы, стоимость которой может

составлять 15% и более процентов всей стоимости сети. Рациональная

структура магистрали должна обеспечить компромисс между качеством передачи

трафика (пропускная способность, задержки, приоритеты для ответственных

приложений) и стоимостью. На структуру магистрали сильнейшее влияние

оказывает выбранная технология, так как она определяет максимальные длины

кабелей, возможность использования резервных связей, типы кабелей и т.п.

Так как магистраль крупной сети строится практически всегда на основе

активного коммуникационного оборудования - коммутаторов и маршрутизаторов -

фильтрующего и перераспределяющего трафик между подсетями, то в понятие

рациональной структуры входит и выбор активного оборудования. При этом

вопрос состоит не столько в выборе определенной модели оборудования от

определенного производителя, а в основном в выборе типа оборудования -

маршрутизатор, коммутатор - и режима работы этого оборудования по

объединению подсетей и установлению барьеров от нежелательного межсетевого

трафика.

Сегодня существует несколько режимов работы маршрутизаторов и коммутаторов,

отличающихся от стандартных: образование виртуальных сетей коммутаторами,

ускоренная маршрутизация для долговременных потоков данных (IPswitching,

tagswitching и т.п.), спуффинг широковещательного трафика и некоторые

другие. Пока что эти режимы, часто весьма полезные для работы на

магистралях современных сетей, каждый производитель реализует по-своему,

хотя работы по стандартизации идут, и некоторые приемы и алгоритмы уже

близки к тому, чтобы обрести свое стандартное выражение.

1.2.4. Организация высокоскоростного и экономичного доступа удаленных

пользователей и сетей филиалов к центральной сети предприятия

Организация удаленного доступа сотрудников предприятия к информационным

ресурсам, сосредоточенным в центральных базах данных компьютеров

корпоративной сети, перешла в последнее время в разряд вопросов

стратегически важных для большинства предприятий. Быстрый доступ к

корпоративной информации из любой географической точки определяет для

многих видов деятельности качество принятия решений его сотрудниками.

Важность этого фактора растет с увеличением числа сотрудников, работающих

на дому (telecommuters - телекоммьютеров), сотрудников, часто находящихся в

командировках, и с ростом количества небольших филиалов предприятий,

находящихся в различных городах и, может быть, разных странах.

Количество сотрудников предприятий, которым нужен регулярный компьютерный

доступ к корпоративной сети, с каждым годом увеличивается. Так, по данным

нью-йоркской исследовательской компании FIND/SVP, количество

телекоммьютеров в 1995 году во всем мире составило 9.1 миллионов человек.

В качестве отдельных удаленных узлов могут также выступать банкоматы или

кассовые аппараты, требующие доступ к центральной базе данных о легальных

клиентах банка, пластиковые карточки которых необходимо авторизовать на

месте. Банкоматы или кассовые аппараты обычно рассчитаны на взаимодействие

с центральным компьютером по сети Х.25, которая в свое время специально

разрабатывалась как сеть для удаленного доступа неинтеллектуального

терминального оборудования к центральному компьютеру.

Качественный скачок в расширении возможностей удаленного доступа произошел

в связи со стремительным ростом популярности и распространенности сети

Internet. Транспортные услуги Internet дешевле, чем услуги междугородных и

международных телефонных сетей, а их качество быстро улучшается. Кроме

транспортных услуг, Internet предоставляет средствам удаленного доступа

единую технологию доступа к корпоративной информации, основанную на

технологии Web-серверов и Web-броузеров и названную технологией Intranet.

Технология Intranet как единый для всех типов сетей и операционных систем

стандарт, удешевляет развертывание систем удаленного доступа, что в свою

очередь, дает дополнительный стимул для широкого их использования на

предприятиях.

Подтверждением роста популярности средств удаленного доступа является

быстрый рост доходов, получаемых в этом секторе рынка.

Анализ мирового рынка коммуникационного оборудования и услуг, проведенный

редакцией журнала "DataCommunicationsInternational" совместно с ведущими

исследовательскими компаниями (IDC, Dell'OroGroup, IDG, YankeyGroup и др.)

показал, что в 1996 году рост доходов от продаж оборудования удаленного

доступа составил 151% (в абсолютном исчислении доходы этого сектора

составили 2.157 миллиарда долларов), что уступает темпам роста только

коммутаторов локальных сетей (216%) и высокоскоростных сетевых адаптеров

(160%). Прогноз на 1997 год также очень благоприятен - ожидается дальнейший

рост продаж аппаратных средств удаленного доступа на 100% при достижении

абсолютной цифры доходов в 4.308 миллиардов долларов.

Ввиду массовости клиентов, пользующихся сервисом удаленного доступа,

основным видом телекоммуникационного транспорта, подходящего для этих целей

остаются телефонные сети - как аналоговые, так и ISDN. Для быстрой передачи

данных сети ISDN подходят в гораздо большей степени, чем узкополосные и

зашумленные каналы аналоговых сетей. В секторе услуг ISDN также имеется

устойчивый рост. В 1996 году он составил 102% (доходы от продажи сервисов

ISDNBRI составили 1.230 миллиардов долларов), и прогнозируется рост на 99%

в 1997 году.

Чуть меньшие темпы роста зафиксированы в 1996 году в секторе коммерческих

услуг Internet - 78% (при абсолютной цифре доходов в 2.395 миллиардов

долларов), но в 1997 году ожидается их повышение до 98%.

Сегодня разработчики средств и систем удаленного доступа преследуют

следующие стратегические цели:

. Повышение скорости доступа для домашних и мобильных пользователей.

Скорости модемов, работающих по коммутируемым телефонным каналам,

сейчас для многих видов приложений уже оказывается недостаточным.

Максимальная скорость модема последнего стандарта V.34+ составляет

33.6 Кб/c и то только в случае очень хорошего качества телефонного

канала. В то же время считается, что такой популярный для удаленного

доступа сервис, как WWW, требует в среднем скорости 64 Кб/c или даже

128 Кб/с. Для телекоммьютеров могут потребоваться и более высокие

скорости доступа, если они используют корпоративные приложения,

перекачивающие к клиенту значительные объемы данных. Поэтому остро

стоит проблема доведения высокоскоростных каналов 125 Кб/с - 10 Мб/с

до каждого здания и каждой квартиры по крайней мере в крупных городах.

Телефонные сети ISDN - хорошее решение этой проблемы, но не

долговременное, так как их скорость доступа для массовых абонентов

ограничена порогом в 128 Кб/с. Большие надежды специалисты по

удаленному доступу возлагают на новые технологии "последней мили",

использующие существующую инфраструктуру каналов связи квартир с АТС

или центрами кабельного телевидения для несимметричной

высокоскоростной передачи компьютерных данных.

. Создание интегрированных серверов удаленного доступа, способных

принимать данные от большого числа пользователей по нескольким

высокоскоростным каналам. При большом числе пользователей сервер

удаленного доступа, построенный по обычной схеме пула аналоговых

модемов становится слишком сложным в обслуживании - слишком большим

становится необходимое число модемов, кабелей, кроссовых средств,

телефонных номеров и т.п. Интегрированный сервер должен одновременно

обслуживать несколько сотен соединений по таким высокоскоростным

каналам как T1/E1, ISDNPRI или SONET/SDH.

. Создание централизованной системы аутентификации удаленных

корпоративных пользователей, взаимодействующей с системой

аутентификации провайдеров территориальных сетей (POTS, ISDN) и с

системами аутентификации и авторизации сетевых ОС - NDS, Kerberos и

т.п.

Конечно, кроме перечисленных, существуют и другие задачи, которые могут

быть отнесены к стратегическим для транспортной системы корпоративной сети

того или иного предприятия.

1.3. Стратегические проблемы выбора сетевой операционной системы и СУБД

При принятии стратегического решения относительно используемых в

корпоративной сети сетевых операционных систем, необходимо учитывать, что

все сетевые ОС делятся по своим функциональным возможностям на два четко

различимых класса: сетевые ОС масштаба отдела и корпоративные сетевые ОС.

При выборе корпоративной сетевой ОС в первую очередь нужно учитывать

следующие критерии:

. Масштабируемая в широких пределах производительность, основанная на

хорошей поддержке многопроцессорных и кластерных платформ (здесь

сегодня лидерами являются фирменные версии Unix, показывающие рост

производительности близкий к линейному при росте числа процессоров до

64).

. Возможность использования данной ОС в качестве сервера приложений. Для

этого ОС должна поддерживать несколько популярных универсальных API,

таких, которые позволяли бы, например, выполняться в среде этой ОС

приложениям Unix, Windows, MSDOS, OS/2. Эти приложения должны

выполняться эффективно, а это означает, что данная ОС должна

поддерживать многонитевую обработку, вытесняющую многозадачность,

мультипроцессирование и виртуальную память.

. Наличие мощной централизованной справочной службы (такой, например,

как NDS компании Novell или StreetTalk компании Banyan). Справочная

служба должна обладать масштабируемостью, то есть хорошо работать при

очень большом числе пользователей и разделяемых ресурсов, а для этого

необходимо, чтобы база справочных данных была распределенной. Нужно

учитывать, что справочные службы, также как и многие другие сетевые

сервисы, сейчас часто поставляются не встроенными в конкретную ОС, а в

виде отдельного продукта, например, StreetTalkforWindowsNT (компания

Novell планирует выпуск NDS для WindowsNT).

И, хотя существует еще ряд не менее важных характеристик, которые надо

учитывать при выборе сетевой ОС, таких, например, как степень стабильности

и безопасности ОС, наличие программных средств удаленного доступа,

способность работать в гетерогенной среде и т.д., реальная жизнь упрощает

задачу выбора. Сегодня рынок корпоративных ОС поделен между несколькими

операционными системами: примерно по одной трети имеют NetWare и WindowsNT,

10% приходится на разные версии Unix и 20% представлены остальными типами

ОС.

Похожая ситуация складывается и на рынке СУБД. Число явных лидеров не так

велико, если рассматривать наиболее распространенные классы компьютерных

платформ - RISC-серверы и RISC-рабочие станции, а также многочисленную

армию серверов и рабочих станций на платформе процессоров Intel. Однако,

более тонкий подбор подходящей СУБД и ее версии для используемых на

предприятии прикладных задач и технологий хранения и обработки данных

требует знания основных сегодняшних свойств каждой СУБД и представления о

том, какие новые свойства, желательные для вашей сети, можно ожидать от

данной СУБД в ближайшем будущем.

1.4. Стратегические проблемы создания корпоративных приложений

Для слоя приложений чаще всего важен выбор не самого приложения, а той

технологии, в соответствии с которой приложение создается. Это связано с

тем, что большая часть приложений создается силами сотрудников предприятия

или же силами сторонней организации, но по конкретному техническому заданию

для этого предприятия. Случаи использования готовых крупных приложений,

настраиваемых на потребности данного предприятия, например SAPR/3, более

редки по сравнению с созданием специальных приложений. Специальные

приложения часто модифицируются, добавляются, снимаются с работы, поэтому

важно, чтобы технология их создания допускала быструю разработку (например,

на основе объектного подхода) и быстрое внесение изменений при

возникновении такой необходимости. Кроме того, важно, чтобы технология

позволяла строить распределенные системы обработки информации, использующие

все возможности транспортной подсистемы современной корпоративной сети.

Технология Intranet удовлетворяет этим требованиям, являясь одновременно и

самой перспективной технологией создания приложений на ближайшие несколько

лет. Однако, и при выборе Intranet для создания корпоративных приложений,

остается немало проблем, которые можно отнести к стратегическим, так как

существует несколько вариантов реализации этой технологии - вариант

Microsoft, варианты Sun, IBM, Netscape и другие.

В конечном итоге свойства приложений определяют требования, предъявляемые к

остальным слоям и подсистемам корпоративной сети. Объемы хранимой

информации, их распределение по сети, тип и интенсивность трафика - все эти

параметры, влияющие на выбор СУБД, операционной системы и коммуникационного

оборудования и т.п. являются следствием того, какие приложения работают в

сети. Поэтому знание свойств приложений и их сознательное формирование

разработчиком корпоративной сети позволяют более рационально планировать

развитие остальных ее слоев.

1.5. Защита корпоративной информации при использовании публичных глобальных

сетей (в том числе и Internet)

Корпоративные сети более подвержены вторжениям, чем локальные сети меньшего

масштаба или централизованные информационные системы предприятия,

построенные на базе мэйнфреймов. Все главные особенности корпоративной сети

обуславливают повышенную опасность этого типа сетей.

И первой такой особенностью является наличие глобальных связей. По своей

природе глобальные связи, простирающиеся на много десятков и тысяч

километров, не позволяют воспрепятствовать злонамеренному доступу к

передаваемым по этим линиям связи данным. Нельзя дать никаких гарантий, что

в некоторой, недоступной для контроля точке пространства, некто, используя,

например, анализатор протокола, не подключится к передающей среде для

захвата и последующего декодирования пакетов данных. Такая опасность

одинакова присуща всем видам территориальных каналов связи и не связана с

тем, используются ли собственные, арендуемые каналы связи или услуги

общедоступных территориальных сетей, подобные Internet.

Однако использование общественных сетей (речь в основном идет об Internet)

еще более усугубляет ситуацию, хотя бы потому, что в такой сети для доступа

к корпоративным данным в распоряжении злоумышленника имеются более

разнообразные и удобные средства, чем выход в чистое поле с анализатором

протоколов. Кроме того, огромное число пользователей увеличивают

вероятность попыток несанкционированного доступа.

Другая особенность корпоративной сети - масштабность, она заключается в

том, что имеется очень большое количество рабочих станций, серверов,

пользователей, мест хранения данных и т.п. В таких условиях администратору

оказывается гораздо труднее построить надежную защиту сети,

предусматривающую адекватную реакцию на все возможные попытки взлома

системы.

Гетерогенность - это еще одна особенность корпоративной сети, которая

усложняет работу администратора по обеспечению ее безопасности.

Действительно, в программно и аппаратно неоднородной среде гораздо сложнее

проверить согласованность конфигурации разных компонентов и осуществлять

централизованное управление. К тому же надо учесть, что в большой

гетерогенной сети резко возрастает вероятность ошибок как пользователей,

так и администраторов.

По сравнению с сетями масштаба отдела или небольшого предприятия

обеспечение безопасности в корпоративной сети является задачей не только

более сложной, но и более важной: огромные материальные потери, к которым

может привести доступность некоторых данных для заинтересованных в этом

людей, переводит безопасность из разряда чисто технических вопросов в

разряд самых приоритетных бизнес-проблем.

Поэтому защита данных в корпоративной сети в любом случае является

стратегически важной задачей, а при использовании публичных территориальных

сетей ее важность увеличивается многократно.

Проблема защиты данных при передачи их через публичные сети осложняется и

тем обстоятельством, что во многих странах правительства вводят ограничения

на использование основных средств защиты данных, а именно, средств их

шифрации. Практически любой метод защиты данных основан на том или ином

виде шифрации. Правительственные ограничения на использование средств

шифрации преследуют несколько целей:

. предотвращение утечек государственных секретов, которые могут иметь

место при использовании в государственных учреждениях непроверенных

средств шифрации данных при отправке их в публичные сети (телефонные

или компьютерные);

. возможность расшифровки данных, пересылаемых лицами или организациями,

подозреваемыми в преступных действиях;

. защита отечественных производителей средств шифрации;

. контроль за рынком средств шифрации.

Правительственные ограничения особенно осложняют решение задачи защиты

корпоративных данных при создании интернациональных корпоративных сетей,

так как на одном конце сети могут действовать одни ограничения, диктующие

использование определенных средств шифрации, а на другом - другие.

Повсеместное распространение сетевых продуктов массового потребления,

имеющих встроенные средства защиты данных, например, сетевых операционных

систем WindowsNT и Windows 95 c протоколом защиты данных PPTP , с одной

стороны упрощает защиту данных, а с другой стороны часто создает только

видимость надежной защиты. Эта видимость - следствие того, что в

соответствии с ограничениями правительства США допускается экспорт

продуктов шифрации только с ключами длиной до 40 бит. Поэтому, внутри США

используются те же операционные системы или другие продукты с ключами 56и

бит и выше, а за пределы страны американские продукты поставляют версии с

усеченными возможностями. В то же время мощности компьютеров, в том числе и

персональных, выросли настолько, что расшифровать сообщение, зашифрованное

с помощью 40-битного ключа, можно за один день, даже не имея в распоряжении

мощных суперкомпьютеров (и такие случаи зафиксированы).

Поэтому, использование для защиты данных тех средств, которые имеются под

рукой, защищает данные только от просто любопытствующих людей.

Заинтересованный в прочтении этих данных человек может достаточно легко их

расшифровать, потратив на это не так уж много сил и средств.

Подобная ситуация складывается не только с недорогими встроенными

средствами защиты, так как большая часть профессиональных и достаточно

дорогих систем также производится в США и также подвержена

правительственным ограничениям. Выход - использование средств защиты,

произведенных или адаптированных в России или же в европейских странах, в

которых нет аналогичных ограничений на экспорт.

Надежная шифрация - не единственная проблема, возникающая при защите

корпоративных данных. Достаточно сложно решить и проблему надежной

аутентификации пользователей.

Аутентификация - это получение уверенности в том, что данный пользователь

является тем индивидуумом, за кого себя выдает. Использование средств

удаленного доступа к корпоративной сети существенно усложняет эту задачу.

При аутентификации пользователей локальной сети успешно решить эту задачу

помогают организационные меры - отсечение посторонних пользователей от

клиентских компьютеров и терминалов, контроль за подключениями к кабельной

системе здания и т.п. При удаленном доступе эти средства не работают, а

пароли, передаваемые легальными пользователями по сети в открытом виде по

публичной сети, могут быть перехвачены и использованы впоследствии

нелегальными пользователями. Даже при использовании более сложных схем

аутентификации, не передающих пароли по сети, в схеме аутентификации

имеется уязвимое звено - процедура передачи удаленному пользователю его

пароля. Хотя эта процедура, в отличие от процедуры входа в сеть,

выполняется редко, использование для нее электронных средств коммуникаций

или обычной почты не дает хороших гарантий от перехвата пароля.

Новые проблемы создает проблема аутентификации пользователей при ведении

бизнеса через Internet. Число пользователей вырастает настолько, что

количество переходит в качество, и старые методы аутентификации на основе

индивидуальных паролей начинают работать плохо - слишком большой объем

работы падает на администратора, раздающего пароли, и средства

аутентификации, эти пароли проверяющие. Нужны новые механизмы идентификации

категорий пользователей, например, при издании журнала через Internet,

нужно различать: пользователей, вообще не оформивших подписку, которым

нужно предоставлять доступ только к небольшому списку избранных статей,

рекламирующих журнал; пользователей, оформивших подписку только на

определенную рубрику журнала; пользователей, оформивших полную подписку.

Кроме этого, нужно проверять срок окончания действия подписки.

Ведение бизнеса через Internet выдвигает на первый план и такую проблему,

как обеспечение целостности переданных через сеть данных. Пользователь,

купивший через Internet новую программу, должен быть уверен, что он получил

оригинальную копию этой программу, а не подделку от нечестного продавца.

1.6. Создание интегрированной системы управления

Корпоративная сеть - это очень сложная система, включающая большое

количество систем разного типа и назначения: от кабельной системы до

программной системы коллективной работы. Кроме того, в сети обычно

сосуществуют элементы одного типа, но разных производителей, например,

маршрутизаторы Cisco и BayNetworks, СУБД Oracle и DB2 и т.п.

Из-за этого очень трудно создать единую интегрированную систему управления

корпоративной сетью, которая бы контролировала все процессы и все системы

сети (сеть здесь понимается в широком смысле, как объединение всех слоев -

от компьютеров до приложений). Тем не менее потребность в такой системе

управления имеется, так как все подсистемы сети тесно взаимосвязаны и при

управлении коммуникационным оборудованием могут потребоваться данные об

установленных в операционных системах приложениях или о конфигурационных

параметрах коммуникационных протоколов в стеках сетевых операционных

систем.

Идеальная система управления корпоративной сетью должна состоять из

нескольких подсистем, каждая из которых контролирует и управляет своим

типом оборудования или программных систем: подсистема управления локальной

сетью, подсистема управления глобальной сетью, подсистема управления

компьютерами и сетевыми операционными системами, подсистема управления

СУБД, подсистема управления приложениями. Все эти подсистемы должны быть

интегрированы общей платформой управления, поддерживающей удобный

графический интерфейс с администраторами сети и обеспечивающей общую базу

данных управляющей информации, а также обмен данными между подсистемами.

К сожалению, реальная ситуация в этой области далека от идеала. Даже для

более узкой области, а именно для транспортной системы, сейчас отсутствует

система управления, которая бы хорошо справлялась с контролем и управлением

разнородным коммуникационным оборудованием локальных и глобальных сетей.

Работы по созданию интегрированных систем управления ведутся, но даже

лучшие образцы пока справляются с поддержкой вполне определенного вида

оборудования, например, только одного или максимум нескольких

производителей, а при управлении оборудованием другого типа могут выполнять

только самые примитивные функции.

Сами по себе существуют и так называемые системы управления системами,

область действия которых ограничена операционными системами. Еще один

обособленный вид систем управления - системы администрирования СУБД, не

говоря уже о специальных приложениях.

Задача интеграции разрозненных систем - это задача номер один в такой

важной для больших корпоративных сетей области как централизованное

управление. Второй по важности задачей является создание масштабируемой

системы управления, которая может управлять сетью любого масштаба.

1.7. Планирование этапов и способов внедрения новых технологий в

существующие сети

Важно не только принять стратегически верное решение, но и правильно

внедрить его в существующую сеть. Так как это решение долговременное, то

оно совсем не обязательно одномоментно должно найти свое воплощение в новых

программных или аппаратных средствах сети. Например, внедрение технологии

Intranet не означает быстрый отказ от всех приложений другого типа.

Возможность поэтапного и как можно менее болезненного способа постепенного

перехода на новый продукт или новую технологию - это тоже обязательное

свойство хорошего стратегического решения. Если же новое решение технически

очень привлекательно, но путей его постепенного внедрения в существующую

сеть нет, то от него лучше отказаться. Примером может служить технология

АТМ до разработки таких стандартов как LANEmulation или ClassicalIP.

Красивое с технической точки зрения решение требовало полной замены всего

коммуникационного оборудования локальной сети и поэтому не находило

применения до тех пор, пока на появились коммутаторы АТМ, которые за счет

реализации в них клиентов и серверов LANEmulation могут теперь без проблем

взаимодействовать с традиционными сетями Ethernet или TokenRing.

Обычно процесс внедрения нового продукта или новой технологии в сеть

разбивается на несколько этапов. На первом этапе в сети появляется

небольшая подсеть или даже несколько компьютеров, работающих по-новому. На

этом этапе специалисты, обслуживающие сеть, и пользователи знакомятся с

принципиальными свойствами нового подхода и оценивают возможность

сосуществования его с остальной частью сети. При положительной оценке

новинки ее область применения постепенно расширяется, захватывая новые

подсети, серверы или другие компоненты сети. Постепенность внедрения

позволяет вовремя отказаться от новинки, не затратив при этом вхолостую

большие средства.

1.8. Выбор интеграторов, производителей и поставщиков программных и

аппаратных продуктов, провайдеров услуг территориальных сетей

При внедрении в сеть принципиально новых технологий или продуктов

желательно привлечение внешних организаций, уже имеющих опыт работы с этими

технологиями и продуктами. В такой ситуации слишком рискованно уповать

только на свои собственные силы и осваивать все с нуля. Правильный выбор

соисполнителей работ по модернизации корпоративной сети также является

необходимой компонентой стратегического планирования сети.

Вариантов привлечения сил сторонних организаций может быть несколько. Новая

технология или новый продукт - это плод трудов какой-нибудь компании-

производителя. Наиболее верный путь получения хорошего конечного результата

состоит в получении консультаций или даже выполнения внедренческих работ

специалистами компании-производителя. Однако такие услуги обычно

предоставляются только достаточно крупным и интересным заказчикам, так как

специалисты таких компаний как, например, Oracle или BayNetworks, заняты в

основном разработкой и не могут тратить слишком много сил на внедрение

своих продуктов. Тем не менее практика привлечения такого сорта

специалистов существует и, если это возможно, то ей желательно

пользоваться.

Гораздо более распространенным является привлечение специалистов фирм,

основной специализацией которых является системная или сетевая

(транспортная) интеграция. В этом случае нужно быть уверенным, что

специалисты этой фирмы действительно хорошо знают продукты, которые

внедряют.

Выбор производителя нового продукта определяется многими факторами.

Обязательными требованиями при выборе производителя стратегически важного

продукта или технологии являются стабильность его технической репутации и

устойчивость финансового положения. Почти беспроигрышным является

приобретение продуктов у признанных лидеров определенного сектора рынка,

например, Oracle, Cisco, Netscape, Sun и т.п. Часто хорошие новинки

появляются у малоизвестных компаний, но через некоторое время лидеры

обязательно применяют эти новинки в своих продуктах, так что ставка на

лидера и в этих случаях оказывается правильной, так как небольшой

инкубационный период позволяет определить качество и перспективность нового

решения. Примером может служить новая технология IPswitching, которую

компания Ipsilon применила для ускоренной передачи IP-пакетов через

магистрали АТМ. Через полгода компания Cisco разработала аналогичную

технологию tagswitching, внеся в исходную идею некоторые

усовершенствования. Единственным недостатком ставки на лидеров является

более высокая стоимость их продуктов по сравнению с компаниями второго

эшелона.

1.9. Обучение и набор персонала

Для того, чтобы новое решение прижилось в корпоративной сети и заработало

так, как планировали его разработчики, необходимо, чтобы обслуживающий сеть

персонал хорошо понимал технические особенности нового продукта или

технологии. Для решения этой задачи существуют два способа - обучения своих

сотрудников и набор уже обученного персонала со стороны.

И тот и другой подходы имеют свои плюсы и минусы. Обучение своих

сотрудников - более длительный процесс и часто он связан со значительными

затратами на оплату обучения. Зато вы имеете дело с проверенными людьми.

Наем новых уже обученных сотрудников дает более быстрый результат, но при

этом человеческие качества нового сотрудника могут заставить в скором

времени отказаться от его услуг. Да и уровень профессиональных знаний может

оказаться не тем, на который вы рассчитывали.

Результаты опроса, проведенного журналом DataCommunications среди

посетителей Web-узла журнала, дали следующие результаты.

На вопрос "Испытываете ли вы сложности при подборе специалистов для

построения и обслуживания вашей сети" 26% опрошенных ответило "Нет" и 74%

ответило "Да". На вопрос "Что вы делаете для решения проблемы со

специалистами" были получены следующие ответы:

22% - нанимаем новых сотрудников;

50% - переобучаем своих сотрудников;

34% - обращаемся к внешним консультантам;

25% - нанимаем внешних специалистов на временную работу.

Переобучение своих сотрудников имеет обратную сторону медали - именно эти

люди часто и являются теми специалистами, которых нанимает другое

предприятие для решения аналогичных проблем. Поэтому некоторые предприятия

очень неохотно платят деньги за переобучение своих сотрудников, особенно в

новых модных областях, например, создания собственных Web-узлов. Слишком

велика, по их мнению, вероятность перехода таких сотрудников на новое место

работы, где им предлагают более высокий уровень заработка.

После принятия решения об обучении своих сотрудников руководителю

соответствующего подразделения предприятия нужно принять решения по ряду

вопросов: Какой учебный центр выбрать? Должен ли этот учебный центр быть

авторизован производителем продукта или это может быть независимый учебный

центр ? Насколько необходима дальнейшая сертификация специалиста после

прохождения обучения? Повышать ли зарплату сотрудникам, успешно прошедшим

обучение и, возможно, сертификацию, для их закрепления на предприятии ?

2. Главные тенденции развития локальных сетей

Ранее были описаны основные проблемы, которые нужно решить сетевым

специалистам для того, чтобы локальные сети успешно выполняли возлагаемые

на них в корпоративных сетях задачи. В данном разделе излагаются способы

решения этих проблем, появившиеся в последнее время в продуктах и

технологиях ведущих производителей коммуникационного оборудования для

локальных сетей.

2.1. Обеспечение иерархии скоростей и качества обслуживания

К началу 90-х стало ясно, каким требованиям должны удовлетворять новые

транспортные технологии для локальных сетей:

. Поддержка иерархии скоростей от 10 Мб/с до нескольких сотен Мб/с.

. Обеспечение гарантий требуемого качества транспортного обслуживания

для каждого приложения, работающего в сети. В понятие качества

обслуживания должны включаться такие параметры как средняя пропускная

способность, пиковая пропускная способность, допускаемая в течение

небольшого периода времени, максимальная величина задержек пакетов,

вариация задержек пакетов.

. Наличие дешевых решений для нетребовательных сегментов сети и более

дорогих, но и более высокопроизводительных решений для сегментов,

поддерживающих трафик реального времени. Обычно удешевление локальной

сети всегда достигалось за счет использования разделяемых сред

передачи данных между всеми компьютерами сегмента. По такому пути шли

авторы стандарта Ethernet в 70-е годы, по такому же пути пошли и

авторы практически всех новых технологий для локальной сети.

. Возможность поэтапного внедрения новой технологии в существующие сети,

не требующего чрезмерных разовых вложений.

Все работы по созданию технологий, удовлетворяющих этим требованиям, можно

разделить на три большие группы:

1. Создание масштабируемой по скорости технологии на основе технологии

Ethernet: линия Ethernet - FastEthernet - GigabitEthernet. Качество

обслуживания не обеспечивается ни одной из входящих в триаду

технологий, поэтому для его поддержки необходима реализация

дополнительных механизмов в коммутаторах и маршрутизаторах.

2. Создание технологии с масштабируемой скоростью, частично совместимой с

Ethernet, и имеющей встроенные возможности для обеспечения начального

уровня качества обслуживания для трафика реального времени: линия

100VG-AnyLAN - 1000VG.

3. Использование в локальных сетях технологии АТМ, изначально

разработанной для поддержки тонкой градации качества обслуживания для

соединений "приложение - приложение" и обеспечения иерархии скоростей

в рамках одной и той же технологии. Так как технология АТМ существенно

отличается от остальных технологий локальных сетей и не имеет дешевого

варианта работы на разделяемой среде, то основные усилия разработчиков

сосредоточены на реализации механизмов наименее болезненного внедрения

этой технологии в существующие локальные сети и удешевлении АТМ-

оборудования.

Необходимо подчеркнуть, что появление в начале 90-х годов быстродействующих

многопортовых мостов, которыми в сущности являются современные коммутаторы

локальных сетей, резко расширило функциональные возможности протоколов

локальных сетей. Использование микросегментации, когда в сети отсутствуют

разделяемая среда между конечными узлами и портами коммутаторов, снимает

многие ограничения, свойственные тому или иному протоколу. Крайней формой

отхода от классического использования разделяемой во времени среды нужно

считать полнодуплексные версии протоколов локальных сетей, которые работают

исключительно в микросегментах.

В полнодуплексной версии из протокола локальной сети удаляются все

алгоритмы, связанные с предоставлением доступа к разделяемой среде, а они

обычно влияют на значительную часть микросхем сетевых адаптеров и их

драйверов, а также соответствующих схем портов коммутаторов. От протокола

остается только метод физического кодирования сигналов (ман- честерский код

или избыточные коды типа 4B/5B), формат пакета и, возможно, способ

тестирования работоспособности связей и узлов, а также организация обхода

отказавших элементов сегмента (эти процедуры развиты только в протоколе

FDDI, а также присутствуют в рудиментарной форме в протоколе TokenRing).

Зато взамен ненужных процедур доступа в полнодуплексной версии

соответствующего протокола должны присутствовать новые процедуры -

процедуры управления потоком кадров, так как теперь ничто не мешает

станциям сети посылать кадры в коммутаторы с максимальной скоростью и

создавать на определенных портах перегрузки, которые могут привести к

потерям кадров и к существенному замедлению работы локальной сети. Таким

образом, локальная сеть, использующая полнодуплекесную версию протокола, по

принципам работы становится очень близкой к глобальной сети (например, Х.25

или framerelay), в которой узлы всегда использовали канал связи с

коммутатором в полнодуплексном режиме.

Ввиду большой популярности коммутаторов и, соответственно, полнодуплексных

режимов работы протоколов в локальных сетях при сравнении протоколов и

выборе наиболее перспективного для вашей сети необходимо всегда учитывать

существование двух режимов работы каждого протокола - полудуплексного (в

сети с концентраторами-повторителями) и полнодуплексного (в сети на основе

коммутаторов). Сравнение возможностей и стоимости только полудуплексных

версий не даст правильной картины, так как эти показатели могут отличаться

значительно. Так, например, максимальный диаметр сегмента FastEthernet даже

при использовании оптоволокна составляет менее 400 метров в полудуплексном

режиме, а при использовании полнодуплексного режима увеличивается до 2-х

километров, как и у других технологий, таких как FDDI, ATM и100VG-AnyLAN.

2.1.1. От Ethernet к Fast и Gigabit Ethernet

2.1.1.1. Причины создания стандарта Fast Ethernet и его основные

характеристики

Первая высокоскоростная технология - FDDI - была создана в середине 80-х

годов для работы на магистралях крупных сетей и для подключения серверов и

мощных компьютеров, которым не хватало пропускной способности в 10 Мб/с,

обеспечиваемой самой популярной технологией локальных сетей - Ethernet.

Поэтому разработчики заботились в первую очередь о повышении пропускной

способности и отказоустойчивости, так как эти свойства наиболее важны для

магистрали сети. Разработанная технология действительно удовлетворяет

поставленным требованиям - двойное оптоволоконное кольцо гарантирует

работоспособность сети при одиночных обрывах кабеля и одиночных отказах

оборудования конечных узлов, обеспечивает высокую (для середины 80-х -

очень высокую) скорость передачи данных в 100 Мб/c. Уже тогда стала

понятной необходимость обеспечения в локальных сетях поддержки трафика

реального времени, и разработчики стандарта включили в него механизм

предоставления приоритетного доступа к разделяемому между всеми узлами

кольцу для синхронного трафика реального времени. Кроме того, использование

оптоволокна позволило даже для такой высокой скорости обеспечить расстояние

между узлами сети до 2-х километров, а общий диаметр - до 100 километров,

что вывело сети FDDI из класса чисто локальных сетей в класс сетей масштаба

крупного города (MetropolitanAreaNetwork).

В дальнейшем технология FDDI развивалась незначительно и, несмотря на

попытки ее удешевления за счет использования высококачественной витой пары,

осталась технологией магистралей и серверных парков. Механизм приоритетов

для поддержки синхронного трафика также остался в зачаточном состоянии, без

предоставления узлам сети возможности автоматически и гибко распределять

полосу пропускания кольца между приложениями с синхронным трафиком.

Поэтому со временем все больше ощущалась потребность в технологии, которая

бы предоставляла большие, чем Ethernet скорости передачи данных для

массовых недорогих компьютеров, таких как персональные компьютеры конца 80-

х годов. Особенно остро эта проблема встала перед сетевым сообществом в

начале 90-х, когда пропускная способность канала диск-память многих моделей

персональных компьютеров превзошла рубеж в 1 Мбайт/c, уже недоступный для

сетевых адаптеров Ethernet.

Так как поддержку всех необходимых механизмов качества обслуживания тогда

обещала быстро приобретающая черты реального стандарта технология АТМ, то

решено было вдохнуть новую жизнь в такую знакомую и проверенную технологию

как Ethernet, не занимающуюся вопросами обслуживания трафика разного типа

ни в коей степени, но хорошо и эффективно обслуживающую многие виды

приложений. Несмотря на постоянные упоминания о мультимедийных приложениях,

доля их в общей смеси приложений многих сетей не так уж велика и до сих

пор, поэтому отсутствие средств поддержки качества обслуживания не казалось

разработчикам нового Ethernet'а чем-то трагическим. Многие специалисты

оправдывали перенос недостатков технологии Ethernet в новый стандарт его

временным сроком жизни - 5 - 8 лет, сроком, который по их мнению был нужен

технологии АТМ для завоевания рынка локальных сетей.

Пользователи с большим энтузиазмом восприняли сообщения, появившиеся в 1992

году о начале работ по разработке высокоскоростного Ethernet'а, обещавшие

им продление жизни привычной и недорогой технологии. Однако вскоре сетевой

мир разделился на два соперничающих лагеря, что и привело в конце концов к

появлению двух различных технологий - FastEthernet и100G-AnyLAN.

Сторонники первого подхода считали, что новая технология должна в

максимальной степени быть похожа во всем на Ethernet - за исключением

только битовой скорости передачи данных.

Сторонники второго подхода призывали воспользоваться удобным случаем для

устранения недостатков, связанных со слишком "случайным" механизмом

предоставления доступа к разделяемой среде CSMA/CD, используемым в

Ethernet.

И у них были достаточно веские причины для критики алгоритма CSMA/CD. Его

основное преимущество - простота реализации, за счет чего Ethernet и

является самой дешевой технологией. Но простота метода доступа к

разделяемой среде имеет и несколько отрицательных последствий. Наиболее

важны следующие два:

1. Столкновения кадров нескольких станций - коллизии - являются

допустимыми событиями в сегменте Ethernet, и при достаточно низком

коэффициенте загрузки сегмента мало сказываются на пропускной

способности канала. Однако, при повышении загруженности сегмента,

которое обычно со временем наблюдается во всех сетях, коллизии

начинают "отбирать" все больше и больше полезной пропускной

способности сети (рис. 2.1), так как каждая коллизия связана с

непроизводительным использованием сегмента. Метод CSMA/CD не

гарантирует для узла получения доступа к среде даже за весьма большой

интервал времени, и такие ситуации иногда случаются в сетях Ethernet в

реальной жизни, когда постоянно генерирующая ошибочные кадры станция

не дает возможности системе управления передать на нее управляющие

кадры.

[pic]

Рис. 2.1. Уменьшении полезной пропускной способности сегмента Ethernet

при повышении коэффициента загрузки

2. Длина сегмента Ethernet всегда ограничена очень жестким соотношением,

которое вряд ли можно преодолеть за счет технического прогресса. Для

того, чтобы конечные узлы сети всегда четко распознавали коллизии и

автоматически организовывали повторную передачу искаженного в

результате коллизии кадра, нужно, чтобы время передачи кадра всегда

было больше времени двойного оборота сигнала по сегменту Ethernet

(рис.2.2). Так как время распространения сигнала ограничено скоростью

света, то максимальная длина сегмента Ethernet для битовой скорости 10

Мб/c составляет примерно 2500 м. При увеличении битовой скорости в 10

раз и сохранении минимального размера кадра в 64 байта максимальный

размер сегмента сокращается соответственно в 10 раз, то есть

становится равным 250 метрам, а при увеличении битовой скорости еще в

10 раз - 25 метрам.

[pic]

Рис.2.2. Ограничение накладываемое методом доступа CSMA/CD на длину

сегмента Ethernet

Правда, ситуация улучшается при использовании коммутаторов и

полнодуплексного режима работы, но при этом теряется низкая стоимость

сегмента.

Тем не менее, недостатки, связанные с методом доступа CSMA/CD, не испугали

сторонников "чистого" Ethernet'а и они в 1992 году образовали неформальное

объединение FastEthernetAlliance, куда первоначально вошли такие лидеры

технологии Ethernet как SynOptics, 3Com и ряд других.

Одновременно были начаты работы в институте IEEE по стандартизации новой

технологии - там была сформирована исследовательская группа для изучения

технического потенциала высокоскоростных технологий. За период с конца 1992

года и по конец 1993 года группа IEEE изучила 100-Мегабитные решения,

предложенные различными производителями. Наряду с предложениями

FastEthernetAlliance группа рассмотрела также и другой подход к созданию

недорогого высокоскоростного стандарта, предложенный компаниямиHewlett-

Packard и AT&T.

В 1995 году комитет IEEE принял спецификацию FastEthernet в качестве

стандарта, и сетевой мир получил технологию, с одной стороны решающую самую

болезненную проблему - нехватку пропускной способности на нижнем уровне

сети, а с другой стороны очень легко внедряющуюся в существующие сети

Ethernet, которые и сегодня дают миру около 80% всех сетевых соединений.

Легкость внедрения FastEthernet объясняется следующими факторами:

. общий метод доступа позволяет использовать в сетевых адаптерах и

портах FastEthernet до 80% микросхем адаптеров Ethernet;

. драйверы также содержат большую часть кода для адаптеров Ethernet, а

отличия вызваны новым методом кодирования (4B/5B или 8B/6T) и наличием

полнодуплексной версии протокола;

. формат кадра остался прежним, что дает возможность анализаторам

протоколов применять к сегментам FastEthernet те же методы анализа,

что и для сегментов Ethernet, лишь механически повысив скорость

работы.

Отличия FastEthernet от Ethernet сосредоточены в основном на физическом

уровне. Разработчики стандарта FastEthernet учли тенденции развития

структурированных кабельных систем и реализовали физический уровень для

всех популярных типов кабелей, входящих в стандарты на структурированные

кабельные системы (такие как EIA/TIA 568A) и реально выпускаемые кабельные

системы.

Существует три варианта физического уровня FastEthernet:

1. 100Base-TX для двухпарного кабеля на неэкранированной витой паре

UTPCategory 5 (или экранированной витой паре STPType 1);

2. 100Base-T4 для четырехпарного кабеля на неэкранированной витой паре

UTPCategory 3,4 или 5;

3. 100Base-FXдля многомодового оптоволоконного кабеля.

При создании сегментов FastEthernet с разделяемой средой нужно использовать

концентраторы, при этом максимальный диаметр сети колеблется от 136 до 205

метров, а количество концентраторов в сегменте ограничено одним или двумя,

в зависимости от типа концентратора. При использовании двух концентраторов

расстояние между ними не может превышать 5 - 10 метров, так что

существование 2-х устройств мало что дает, кроме увеличения количества

портов - расстояние между компьютерами сегмента от добавления второго

концентратора практически не изменяется.

В разделяемом сегменте FastEthernet нет возможности обеспечить какие-либо

преимущества при обслуживании трафика приложений реального времени, так как

любой кадр получает равные шансы захватить среду передачи данных в

соответствии с логикой алгоритма CSMA/CD.

2.1.1.2. В каких случаях рекомендуется использовать Fast Ethernet

У технологии FastEthernet есть несколько ключевых свойств, которые

определяют области и ситуации ее эффективного применения. К этим свойствам

относятся:

. большая степень преемственности по отношению к классическому 10

мегабитному Ethernet'у;

. высокая скорость передачи данных - 100 Mб/c;

. возможность работать на всех основных типах современной кабельной

проводки - UTPCategory 5, UTPCategory 3, STPType 1, многомодовом

оптоволокне.

Наличие многих общих черт у технологий FastEthernet и Ethernet дает простую

общую рекомендацию - FastEthernet следует применять в тех организациях и в

тех частях сетей, где до этого широко применялся 10 Мегабитный Ethernet, но

сегодняшние условия или же ближайшие перспективы требуют в этих частях

сетей более высокой пропускной способности. При этом сохраняется весь опыт

обслуживающего персонала, привыкшего к особенностям и типичным

неисправностям сетей Ethernet. Кроме того, можно по-прежнему использовать

средства анализа протоколов, работающие с агентами MIB-II, RMONMIB и

привычными форматами кадров.

FastEthernet в сетях рабочих групп

Область применения разделяемых сегментов FastEthernet достаточно ясна - это

объединение близко расположенных друг от друга компьютеров, трафик которых

имеет ярко выраженный пульсирующий характер с большими, но редкими

всплесками. Большие всплески хорошо передаются незагруженным каналом 100

Мб/c, а редкое их возникновение приводит к возможности совместного

использования канала без частого возникновения коллизий. Типичным примером

такого трафика является трафик файлового сервиса, электронной почты,

сервиса печати.

Поэтому основная область использования FastEthernet с общей средой - это

настольные компьютеры, сети рабочих групп и отделов, где компьютерам

требуется пиковая пропускная способность выше 100 Мб/c. Такими компьютерами

чаще всего являются файловые серверы, но и клиентским компьютерам может

понадобиться скорость выше 10 Мб/c.

При этом целесообразно совершать переход к FastEthernet постепенно,

оставляя Ethernet там, где он хорошо справляется со своей работой. Одним из

очевидных случаев, когда Ethernet не следует заменять FastEthernet'ом,

является подключение к сети старых персональных компьютеров с шиной ISA -

их пропускная способность канала "сеть - диск" не позволит пользователю

ощутить выгоды от повышения в 10 раз скорости сетевой технологии. Для

устранения узких мест для сетей, состоящих из таких компьютеров, больше

подходит использование коммутаторов с портами 10 Мб/с, так как в этом

случае узлам гарантированно предоставляется по 10 Мб/с - как раз столько,

сколько им нужно при их архитектуре и параметрах производительности.

Новые клиентские компьютеры с процессором PentiumPro и шиной PCI -

очевидные претенденты на использование скорости 100 Мб/c. Поэтому даже при

весьма неопределенных требованиях их пользователей к пропускной способности

сети имеет смысл покупать для них сетевые адаптеры FastEthernet, которые

могут работать на скорости 10 Мб/c, пока у организации не появятся

концентраторы или коммутаторы с портами FastEthernet. Переход к скорости

100 Мб/c будет для пользователей практически безболезненным, так как

большинство сетевых адаптеров не нужно конфигурировать для перехода на

FastEthernet.

FastEthernet в магистралях зданий и кампусов

Создание достаточно крупных сетей, к которым относятся сети зданий и

кампусов с количеством узлов в несколько сотен, также возможно с

использованием технологии FastEthernet. Эта технология может использоваться

в таких сетях как в "чистом" виде, так и в сочетании с другими

технологиями, например, FDDI или ATM.

Сети зданий и даже крупных этажей сейчас практически не строятся без

использования коммутаторов, поэтому ограничения на максимальный диаметр

сети в 250 - 272 метра легко преодолеваются, так как соединение коммутатор-

коммутатор позволяет удлинить сеть до 412 м при полудуплексной связи на

оптоволокне, и до 2 км при аналогичной полнодуплексной связи.

Отсутствие стандартного резервирования на уровне повторителей также мало

ограничивает построения отказоустойчивых магистралей - поддержка

коммутаторами алгоритма SpanningTree позволяет автоматически переходить с

основной отказавшей связи на резервную.

Основными двумя факторами, сдерживающими применение технологии FastEthernet

на магистралях, являются:

. широкое использование в настоящее время для этой цели технологии FDDI;

. отсутствие у технологии FastEthernet средств поддержки трафика

реального времени.

Поэтому, если эти факторы не относятся к вашей сети, то ее магистраль можно

успешно строить и на коммутируемой технологии FastEthernet, особенно на ее

полнодуплексной версии. Правда при этом все равно остаются нерешенными

некоторые проблемы, присущие сети, построенной на коммутаторах.

Большая часть производителей коммуникационного оборудования для локальных

сетей поддерживают технологию FastEthernet во всем спектре своих изделий -

сетевых адаптерах, повторителях, коммутаторах и маршрутизаторах.

Наиболее распространенный тип физического интерфейса - 100Base-TX, а

интерфейсы 100Base-T4 распространены в меньшей степени (по прогнозам

компании SMC, внесшей большой вклад в разработку этой версии физического

уровня, доля оборудования T4, которое может работать на обычной витой паре

категории 3, составит в недалеком будущем 25% от всего рынка оборудования

FastEthernet). Интерфейсы 100Base-FX часто поддерживаются не

непосредственно, а через интерфейс MII и соответствующий оптоволоконный

трансивер.

Стоимость технологии FastEthernet при использовании разделяемой среды

передачи данных составляет около $100 - $160 на узел (стоимость сетевого

адаптера и порта концентратора), что приближает эту технологию к

классическому 10 Мегабитному Ethernet'у по стоимости.

2.1.1.3. Переход Ethernet на гигабитные скорости

Достаточно быстро после появления на рынке продуктов FastEthernet сетевые

интеграторы и администраторы почувствовали определенные ограничения при

построении корпоративных сетей на базе этих двух технологий. Во многих

случаях серверы, подключенные по 100-Мегабитному каналу, перегружали

магистрали сетей, работающие также на скорости 100 Мб/c - магистрали FDDI и

FastEthernet. Ощущалась потребность в следующем уровне иерархии скоростей.

В 1995 году более высокий уровень скорости могли предоставить только

коммутаторы АТМ, а при отсутствии в то время удобных средств миграции этой

технологии в локальные сети (хотя спецификация LANEmulation - LANE, была

принята в начале 1995 года, практическая ее реализация была впереди)

внедрять их в локальную сеть почти никто не решался.

Поэтому логичным выглядел следующий шаг, сделанный IEEE - через 5 месяцев

после окончательного принятия стандарта FastEthernet в июне 1995

исследовательской группе по изучению высокоскоростных технологий IEEE было

предписано заняться изучением возможности выработки стандарта Ethernet с

еще более высокой битовой скоростью.

Летом 1996 было объявлено о создании группы 802.3z для разработки

протокола, максимально подобного Ethernet, но с битовой скоростью 1000

Мб/c. Как и в случае FastEthernet, сообщение было воспринято сторонниками

Ethernet с большим энтузиазмом, а лагерь приверженцев технологии АТМ это

сообщение насторожило.

Основной причиной энтузиазма была перспектива такого же плавного перевода

магистралей сетей на GigabitEthernet, подобно тому, как были переведены на

FastEthernet перегруженные сегменты Ethernet, расположенные на нижних

уровнях иерархии сети.

Образованный для согласования усилий в этой области GigabitEthernetAlliance

сразу же включал таких флагманов отрасли как BayNtworks, CiscoSystems и

3Com. За год своего существования GigabitEthernetAlliance существенно вырос

и насчитывает сейчас более 100 членов.

Основная идея разработчиков стандарта GigabitEthernet состоит в

максимальном сохранении идей классической технологии Ethernet при

достижении битовой скорости в 1000 Мб/с. GigabitEthernet также как и его

менее скоростные собратья не будет на уровне протокола поддерживать:

. качество обслуживания;

. избыточные связи;

. тестирование работоспособности узлов и оборудования (в последнем

случае - за исключением тестирования связи порти - порт, как это

делается для Ethernet и FastEthernet).

По-прежнему будут существовать полудуплексная версия протокола,

поддерживающая метод доступа CSMA/CD, и полнодуплексная версия, работающая

с коммутаторами.

Основные проблемы, которые решают разработчики стандарта GigabitEthernet,

сосредоточены в следующих областях:

. В связи с ограничениями, накладываемыми методом CSMA/CD на длину

кабеля, версия GigabitEthernet для разделяемой среды допускала бы

длину сегмента всего в 25 метров. Так как существует большое

количество применений, когда нужно повысить диаметр сегмента хотя бы

до 100 метров, то сейчас предпринимаются усилия по использованию всего

потенциала современных технологий для преодоления "врожденного"

ограничения метода CSMA/CD.

Одно из предложений состоит в расширении минимального размера кадра с 64 до

512 байт. Если поле данных состоит из меньшего количества байт, то кадр

дополняется до 512 байт служебными символами. Такой подход позволяет

увеличить диаметр сети до 100 м, но снижает полезную пропускную способность

сети.

Второе предложение основано на применении для соединения узлов в сегмент

буферизующего полнодуплексного повторителя. Такой повторитель разрешает

станциям работать со своими портами по полнодуплексной схеме, снимая

реализацию метода доступа CSMA/CD с сетевых адаптеров компьютеров. Однако,

повторитель по прежнему реализует разделяемую среду в 2 Гб/c за счет

применения алгоритма CSMA/CD к кадрам, поступившим в буфер порта. Такой

подход позволяет строить связи между узлом и повторителем той же длины, что

и в случае использования коммутатора. Сам же полнодуплексный повторитель

оказывается дешевле коммутатора, так как его внутренняя производительность

должна составлять всего 2 Гб/c вместо N/2x2 Гб/c при построении коммутатора

с N портами GigabitEthernet. Полнодуплексный повторитель позволяет

соединять сегменты GigabitEthernet с сегментами Ethernet и FastEthernet.

. Достижение битовой скорости 1000 Мб/c на основных типах кабелей. Даже

для оптоволокна достижение такой скорости представляет некоторые

проблемы, так как технология FibreChannel, физический уровень которой

был взят за основу для оптоволоконной версии GigabitEthernet,

обеспечивает скорость передачи данных всего в 800 Мб/c (битовая

скорость на линии равна в этом случае примерно 1000 Мб/c, но при

методе кодирования 8B/10B полезная битовая скорость на 20% меньше

скорости на линии). Разработчики стандарта считают, что на

многомодовом оптоволокне им удастся обеспечить расстояние между узлами

для полнодуплексного режима работы в 550 м, а для одномодового волокна

- до 3000 м.

. Поддержку кабеля на витой паре. Отдельный комитет 802.3ab был создан

для разработки стандарта GigabitEthernet на витой паре 5 категории. У

председателя группы 802.3z Говарда Фрэйзера, специалиста из компании

Cisco, есть оптимизм относительно возможностей техники кодирования при

использовании всех четырех пар кабеля категории 5. При использовании

всех четырех пар (это возможно при отказе от применения алгоритма

CSMA/CD на отрезке сети между конечным узлом и повторителем или же при

работе с коммутатором) задача все равно остается непростой, так как по

каждой паре нужно передать данные со скоростью 250 Мб/c - максимальная

скорость работы на витой паре категории 5 в 155 Мб/c достигается в

настоящее время технологией АТМ. Так что задача чрезвычайно непростая.

Использование же двух пар витой пары категории 6 вызывает сомнения -

экранирование при скорости передачи по одной 1000 Мб/c необходимо как

средство защиты людей от вредного излучения, а экранирование связано с

решением проблем заземления, часто весьма сложных, кроме того,

стоимость кабельной системы на экранированной витой паре категории 6

будет сравнима со стоимостью оптоволоконной кабельной системы.

Первый проект стандарта GigabitEthernet был представлен на рассмотрение

группы 802.3z в январе 1997 года, а окончательное принятие ожидается в

начале 1998 года.

GigabitEthernetAlliance предполагает, что стоимость одного порта

концентратора GigabitEthernet в 1998 году составит от $920 до $1400, а

стоимость одного порта коммутатора GigabitEthernet составит от $1850 до

$2800.

Как и в случае с FastEthernet, оборудование GigabitEthernet появилось на

рынке задолго до окончательного принятия стандарта. 13 компаний производили

летом 1997 года коммутаторы GigabitEthernet, 3 компании - концентраторы

GigabitEthernet, 6 - сетевые адаптеры GigabitEthernet. Небольшое количество

моделей концентраторов GigabitEthernet связано с трудностями реализации

этой технологии на разделяемой среде. Коммутаторы на оптоволокне

реализовать проще - для этого нужно взять микросхемы FibreChannel,

разогнать их до тактовой скорости 1.2 Ггц и снабдить устройство

коммутирующим ядром достаточной производительности.

Для технологии GigabitVG предлагается реализовать скорость 500 Мб/с для

витой пары и 1 Гб/с для оптоволокна. Предельные расстояния между узлами

ожидаются следующие: для витой пары - 100 м, для многомодового оптоволокна

- 500 м и для одномодового оптоволокна - 2 км.

2.1.2. Технология 100VG-AnyLAN - улучшенное качество обслуживания за ту же

стоимость

В качестве альтернативы технологии FastEthernet фирмы AT&T и HP выдвинули

проект новой недорогой технологии со скоростью передачи данных 100 Мб/с -

100Base-VG (VoiceGrade - технология, способная работать на кабеле категории

3, предназначенном первоначально для передачи голоса). В этом проекте было

предложено усовершенствовать метод доступа с учетом потребности

мультимедийных приложений, а для формата пакета сохранить совместимость с

форматом пакета сетей 802.3. В сентябре 1993 года по инициативе фирм IBM и

HP был образован комитет IEEE 802.12, который занялся стандартизацией новой

технологии. Проект был расширен за счет поддержки в одной сети кадров не

только формата Ethernet, но и формата TokenRing. В результате новая

технология получила название 100VG-AnyLAN, то есть технология для любых

сетей, где под любыми сетями понимаются сети Ethernet и TokenRing.

Летом 1995 года технология 100VG-AnyLAN получила статус стандарта IEEE

802.12.

В технологии 100VG-AnyLAN определен новый метод доступа DemandPriority с

двумя уровнями приоритетов - для обычных приложений и для мультимедийных, а

также новая схема квартетного кодирования QuartetCoding, использующая

избыточный код 5В/6В, и позволяющая передавать по каждой из 4-х пар

категории 3 данные с полезной скоростью 25 Мб/c.

Пропускная способность и качество обслуживания

Метод доступа DemandPriority основан на передаче концентратору функций

арбитра, решающего проблему доступа к разделяемой среде. Концентратор

отличается от обычных повторителей за счет того, что он изучает адреса

присоединенных к нему узлов (в момент физического подключения) и поэтому не

передает принятый от узла кадр на все порты, а только на тот, на который

нужно. Среда по-прежнему разделяемая, так как концентратор за один цикл

опроса портов принимает в свой буфер только один кадр - от приоритетного

порта или же при равных приоритетах от первого по порядку. Однако,

некоторые этапы работы с разными узлами совмещаются во времени, и за счет

этого ускоряется передача кадров.

Работа сети 100VG-AnyLAN не дает гарантий приложениям по поддержанию для

них определенного качества обслуживания, как это делает технология АТМ.

Приоритеты только уменьшают задержки трафика реального времени, но это

сервис по принципу besteffort, то есть обслуживание "по возможности"

лучшее, но без каких-либо количественных гарантий.

Метод DemandPriority повышает коэффициент использования пропускной

способности сети - до 95% по утверждению компании Hewlett-Packard.

Используемые кабельные системы и максимальный диаметр сети

Отсутствие требования распознавания коллизий позволяет без проблем строить

протяженные сегменты сети без коммутаторов, только на концентраторах - до 2-

х километров между узлами на оптоволокне и до 100 метров на витой паре.

Общий диаметр сети, построенной на концентраторах, может составлять при

использовании многомодового оптоволокна до 5000 м.

Связь, соединяющая концентратор и узел, может быть образована:

. 4 парами неэкранированной витой пары категорий 3,4 или 5 (4-UTPCat

3,4,5);

. 2 парами неэкранированной витой пары категории 5 (2-UTPCat 5);

. 2 парами экранированной витой пары типа 1 (2-STPType 1);

. 2 парами многомодового оптоволоконного кабеля.

Хотя могут использоваться любые варианты кабельной системы, наиболее

распространен вариант 4-UTP, который был разработан первым, кроме того, его

популярность объясняется тем, что он работает на витой паре категории 3,

установленной во многих существующих локальных сетях.

Совместимость с существующими локальными сетями

Сегменты 100VG-AnyLAN достаточно просто могут быть внедрены в существующие

сети. Каждый концентратор может быть сконфигурирован на поддержку либо

кадров 802.3 Ethernet либо кадров 802.5 TokenRing. Все концентраторы,

расположенные в одном и том же логическом сегменте (не разделенном мостами,

коммутаторами или маршрутизаторами), должны быть сконфигурированы на

поддержку кадров одного типа. Для связи сегмента 100G-AnyLAN сегментами

Ethernet или TokenRing нужно использовать коммутатор или маршрутизатор, так

как частота передачи бит и способ их кодирования отличаются, и концентратор

не может справиться с такими проблемами. Коммутатор может достаточно быстро

передавать кадры из сегмента 100VG-AnyLAN в сегмент традиционной технологии

и обратно, так как трансляция формата кадра и пересчет контрольной суммы не

требуется.

Перспективы и области применения 100VG-AnyLAN

Технология 100VG-AnyLAN имеет меньшую популярность среди производителей

коммуникационного оборудования, чем конкурирующее предложение - технология

FastEthernet. Компании, которые не поддерживают технологию 100VG-AnyLAN,

объясняют это тем, что для большинства сегодняшних приложений и сетей

достаточно возможностей технологии FastEthernet, которая не так заметно

отличается от привычной большинству пользователей технологии Ethernet. В

более далекой перспективе эти производители предлагают использовать для

мультимедийных приложений технологию АТМ, или же GigabitEthernet, а не

100VG-AnyLAN.

Тем не менее, число сторонников технологии 100VG-AnyLAN растет и

насчитывает около 30 компаний. Среди них находятся не только копании

Hewlett-Packard и IBM, но и такие лидеры как CiscoSystems, Cabletron, D-

Link и другие. Все эти компании поддерживают обе конкурирующие технологии в

своих продуктах, выпуская модули с портами как FastEthernet, так и 100VG-

AnyLAN.

Наиболее очевидным случаем применения технологии 100VG-AnyLAN является

модернизируемые сети TokenRing. Технология TokenRing широко используется на

протяжении многих компанией IBM и некоторыми другими (Madge, Thomas-Conrad)

для построения сегментов локальных сетей, решающих ответственные бизнес-

задачи. Эта технология популярна в западных банках, использующих мейнфреймы

и миникомпьютеры производства IBM, и многих других отраслях бизнеса. Кроме

мощной поддержки компанией IBM, популярность TokenRing объясняется наличием

у нее встроенных в протокол (и, соответственно, в оборудование и сетевые

адаптеры) процедур самотестирования сети, не таких развитых как у FDDI, но

тем не менее позволяющих обнаружить источник неисправности кольца.

Однако, перспектив дальнейшего развития у технологии TokenRing практически

нет - это признают многие ведущие специалисты (смотрите заметки Ника

Липписа "TheTokenRingTrap" в февральском номере DataCommunications и Робина

Лейланда "TimetoMoveOnThePriceofEthernetSwitching" в июльском номере того

же журнала). Предел скорости в 16 Мб/c не дает возможности масштабирования

производительности сетей TokenRing в широких масштабах, а сеть, построенная

на коммутаторах TokenRing может оказаться дороже сети, построенной на

концентраторах и коммутаторах FastEthernet. В примере, рассмотренном в

статье Робина Лейланда, сравнивается стоимость коммутируемой сети TokenRing

и коммутируемой сети Ethernet/FastEthernet/GigabitEthernet для сети 7-

этажного здания. Этот пример более подробно рассмотрен в разделе 2.2.4, а

здесь приведем только окончательные результаты - общая стоимость полностью

коммутируемой сети TokenRing составила $415 625, в то время как

иерархически построенная сеть Ethernet/FastEthernet/GigabitEthernet

"потянула" всего лишь на $270 000.

Но на полную одномоментную замену оборудования TokenRing решится мало

предприятий, поэтому в условиях необходимости сосуществования со старыми

сетями TokenRing технология 100VG-AnyLAN может найти свое место.

Гигабитные сети 1000VG

Комитет 802.12, ведомый специалистами компании Hewlett-Packard, также ведет

работы по разработке варианта этой технологии для скорости передачи данных

в 1 Гигабит в секунду. Вариант этой технологии также ориентируется на

физический уровень стандарта FibreChannel, а в качестве метода доступа

предполагается использовать метод DemandPriority.

К энтузиастам перевода технологии VG на гигабитные скорости относятся также

компании CompaqComputer, TexasInstrument и Motorola.

2.5. Выбор технологии для построения магистрали крупной локальной сети

Магистраль крупной локальной сети - это очень ответственный участок, во

многом определяющий все свойства сети в целом. Причина - через магистраль

проходят все основные пути взаимодействия между сетями рабочих групп,

отделов и подразделений в том случае, если требуемые клиенту ресурсы

находятся за пределами сети его рабочей группы, отдела и т.п. Применение

технологии Intranet, поиск нужной информации в Internet приводят к тому,

что все чаще и чаще нужные пользователю ресурсы находятся за пределами его

сегмента сети, а это в свою очередь резко повышает интенсивность трафика,

проходящего через магистраль сети. У разных клиентских сессий могут быть

существенно разные требования к качеству обслуживания - интерактивное

телевидение предъявляет самые жесткие требования к задержкам и вариации

задержек предаваемых пакетов при постоянной скорости обмена, передача

больших графических файлов менее чувствительна к задержкам передачи

отдельных пакетов, но требует большой пропускной способности и быстрой

реакции магистрали на значительные пульсации трафика.

Резко возросшие объемы передаваемых данных и разнородность требований

клиентов к качеству обслуживания делают реализацию магистрали современной

корпоративной локальной сети очень непростой задачей. Сегодня у

администратора такой сети имеется несколько вариантов ее решения:

. улучшение традиционной схемы построения магистрали на основе колец

FDDI с подсетями, подключенными через маршрутизаторы, за счет

применения высокопроизводительных маршрутизаторов нового поколения,

отличающихся внутренним параллелизмом операций и ускоренной передачей

долговременных потоков данных;

. использование на магистрали стандартной технологии АТМ;

. использовании на магистрали технологий ускоренной передачи IP-трафика

через нестандартные коммутаторы АТМ, например, технологии IPswitching

компании Ipsilon;

. применение на магистрали технологии GigabitEthernet.

2.5.1. Построение магистрали с использованием технологии FDDI и

высокопроизводительных маршрутизаторов

Этот вариант связан с сохранением существующей магистрали, построенной как

правило на технологии FDDI, и подключением подсетей с помощью традиционных

маршрутизаторов. У этого решения имеется два узких места - сама скорость

технологии FDDI в 100 Мб/c и значительные задержки, создаваемые

маршрутизаторами при обработке пакетов. Если скорость в 100 Мб/c сама по

себе достаточна для передачи в среднем всего магистрального трафика, то

сейчас существуют решения, позволяющие ускорить работу маршрутизаторов, а

значит и оставить общую структуру магистрали в неизменном виде, не применяя

каких-либо революционных решений. Ускорение же работы маршрутизаторов

многие производители обеспечивают двумя способами. Во-первых, за счет

распараллеливания обработки пакетов мультипроцессорными маршрутизаторами,

подобными Cisco 7500 или BayNetworksBCN, или переноса процедур

маршрутизации с процессорного уровня на уровень заказных БИС (ASIC), как

это сделано в маршрутизаторе GRF 400 компании AscendCommunications,

способном обрабатывать около 2.8 миллионов IP-пакетов в секунду.

Во-вторых, за счет сокращения числа операций при маршрутизации пакетов,

образующих в сети стабильные потоки данных - dataflow. Многие производители

разработали и внедрили в свои маршрутизаторы частные схемы, у которых есть

общая черта - они выявляют в сети долговременные соединения между двумя

определенными узлами и приложениями, кэшируют маршрутную информацию,

необходимую для обработки пакетов каждого потока, а затем не тратят много

времени на обработку каждого пакета потока, так как такой пакет помечается

на входе магистрали специальной меткой потока, а все маршрутизаторы

магистрали оказываются уже настроенными на обработку помеченных пакетов без

необходимости анализа IP-заголовка пакета и просмотра всей таблицы

маршрутизации. Примером такого частного решения является техника NetFlow

компании Cisco, которая позволяет ускорить обработку потоков данных не

только для протокола IP, но и других протоколов, например, IPX.

2.5.2. Построение магистрали на основе технологии АТМ

Данный вариант построения магистрали основан на переходе в магистрали сети

к такой новой технологии как АТМ. В этом случае магистраль будет обладать

не только более высокой скоростью по сравнению с вариантом, основанным на

FDDI, но и очень хорошей масштабируемостью, так как большинство

коммутаторов АТМ для локальных сетей имеют интерфейсы не только 155 Мб/с,

но и 622 Мб/c, а в недалеком будущем возможно появление интерфейсов и в

1.28 Гб/c - стандарт АТМ поддерживает всю иерархическую лестницу скоростей

технологии SONET/SDH. Кроме иерархии скоростей, позволяющей модернизировать

магистраль без замены оборудования, АТМ обладает наиболее развитым на

сегодняшний день механизмом поддержания требуемого качества обслуживания

для трафика разного типа, от голосового трафика и трафика видеоконференций

с постоянной битовой скоростью до пульсирующего трафика Web-узлов с

гарантированной средней пропускной способностью.

Однако, переход на магистрали к АТМ требует замены традиционных

коммутаторов и маршрутизаторов с интерфейсами Ethernet, FastEthernet или

FDDI на коммутаторы АТМ со сложной системой сигнализации и существенно

более высокой стоимостью за порт. Такой переход требует как значительных

инвестиционных вложений, так и обучения обслуживающего сеть персонала.

Кроме того, сегодня до конца не решена проблема взаимодействия магистрали

АТМ с подсетями, работающими на основе традиционных протоколов локальных

сетей. В этой области определенно ощущается недостаток стандартов, на

основе которых могло бы работать в одной сети оборудование разных

производителей. Два стандарта из этой области - LANE и ClassicalIP - только

частично решают проблему. Спецификация LANE (LANEmulation) превращает

магистраль, построенную из АТМ коммутаторов в распределенный коммутатор,

поддерживающий традиционные протоколы локальных сетей, например, Ethernet

или FDDI. Но это не решает проблемы работы через магистраль подсетей,

подключенных через маршрутизаторы, так как механизмы LANE работают на

канальном уровне. Отказ от маршрутизаторов при создании магистрали крупной

сети невозможен, так как надежная защита от широковещательного шторма, а

также решение некоторых других проблем только средствами канального уровня

невозможно - это известный факт, подтверждающийся опытом эксплуатации

локальных сетей, построенных только на коммутаторах.

Стандарт ClassicalIP описывает работу маршрутизаторов через магистраль АТМ

только для протокола IP. Кроме того, он был разработан достаточно давно как

первый вариант механизма сосуществования маршрутизируемых сетей и сетей

АТМ, и потому не решает всех задач автоматизации процесса работы

маршрутизатора через сеть, не поддерживающую широковещательность.

Спецификация MPOA (MultiprotocolOverATM), которая должна определить, как

должны работать многопротокольные маршрутизаторы через магистраль АТМ и

быть одновременно совместимой с LANE, пока все еще не нашла окончательного

одобрения в ATMForum из-за несовместимости позиций некоторых ключевых

участников согласительного процесса, таких, например, как Cisco и

BayNetworks.

Даже при наличии стандарта на работу многопротокольных маршрутизаторов

через АТМ и достаточной производительности самих маршрутизаторов,

особенности работы системы сигнализации коммутаторов АТМ затрудняют сегодня

использование АТМ в качестве магистрали крупной локальной сети. Эти

особенности, описанные выше, приводят к слишком большому времени

установления новых соединений на магистрали, измеряемому единицами

милисекунд.

2.5.3. Применение на магистрали методов ускоренной передачи IP-трафика типа

IP switching и tag switching

Для устранения замедления работы магистрали, вносимого коммутаторами АТМ

при установлении и разрыве динамических виртуальных соединений (SVC),

компания Ipsilon предложила свой собственный подход использования

технологии АТМ, названный ею IP-switching, который затем подхватили и

развили многие компании, породив большое количество частных и несовместимых

решений (Tag-switching компании Cisco, ARIS компании IBM и т.п.). Все

вместе эти решения позволяют говорить о третьем вариантепостроения

магистрали.

Этот вариант связан с нестандартным способом работы коммутаторов АТМ.

Формат ячеек АТМ, способы разбиения пакетов на ячейки и последующей сборки

ячеек в пакеты локальных сетей, а также использование небольшого поля

номера виртуального канала VPI/VCI для принятия коммутатором решения о

передаче ячейки с порта на порт остаются теми же. Изменяется способ

прокладки нового виртуального соединения через сеть АТМ. Для этого не

требуется прохождение запроса через все коммутаторы на пути нового

виртуального канала. Каждый коммутатор строит таблицу номеров VPI/VCI для

продвижения ячеек через свои порты относительно автономно от других

коммутаторов, так что для образования виртуального пути не требуется

согласия всех коммутаторов, через которые он проходит. Процесс создания

таблиц VPI/VCI может быть растянут во времени, так что часть коммутаторов

уже готова к быстрой коммутации ячеек нового виртуального пути, а часть -

еще нет.

Виртуальные пути прокладываются через магистраль только для долговременных

потоков пакетов данных. Для одиночных пакетов, которые не образуют потока

(например, для пакетов сервиса DNS), коммутаторы АТМ работают как обычные

IP-маршрутизаторы, то есть обрабатывают каждый пакет в соответствии с его

IP-заголовком и просматривают обычную таблицу маршрутизации для принятия

решения о продвижении пакета через сеть АТМ. Как только коммутатор выявляет

устойчивый поток, проходящий через его порты, он устанавливает для него

новое виртуальное соединение и присваивает ему новый адрес VPI/VCI. Затем

все пакеты, приходящие в пограничный АТМ-коммутатор магистрали, при

разбиении на ячейки АТМ помечаются этим адресом VPI/VCI и коммутируются без

задержек на выполнение маршрутизации всеми коммутаторами магистрали АТМ,

встречающимися на пути маршрута.

Ускорение передачи потоков данных достигается за счет сокращения времени

образования виртуальных каналов в коммутаторах АТМ по сравнению со

стандартной процедурой. Однако при этом коммутаторы, используемые на

магистрали сети, уже трудно назвать стандартными АТМ-коммутаторами. Они

выполняют и функции обычных маршрутизаторов, так как для обработки IP-

пакетов строят таблицы маршрутизации, для чего поддерживают стандартные

протоколы обмена маршрутной информацией, такие как RIP или OSPF. Они также

поддерживают частный протокол распространения маршрутной информации по ATM-

сети для построения таблиц VPI/VCI номеров потоков (например, протокол IFMP

для коммутаторов Ipsilon). Для поддержки стандартных АТМ-сетей такие

коммутаторы могут создавать виртуальные пути и стандартным способом, с

помощью системы сигнализации, предложенной АТМ Forum.

К сожалению, техника ускоренной передачи IP-трафика через АТМ-магистрали

остается пока нестандартной, хотя в комитет IETF поступило ряд предложений

по выработке общего стандарта (в том числе и от пионера этого подхода

Ipsilon, а также от лидера в области маршрутизации - компании Cisco, чья

схема Tag-switching позволяет передавать через магистраль не только IP-

пакеты, но и пакеты других популярных протоколов, например, IPX).

2.5.4. Магистраль на базе технологии GigabitEthernet

Четвертый вариантпостроения магистрали связан с использованием на ней новой

технологии GigabitEthernet. При этом скорость отдельных частей магистрали

может гибко подстраиваться под нужды трафика, так как наряду с

GigabitEthernet может использоваться и FastEthernet.

GigabitEthernet, очевидно, будет сильным конкурентом для технологии АТМ при

построении магистралей больших локальных сетей. Он превосходит существующие

коммутаторы АТМ по битовой скорости (1000 Мб/c против 622 Мб/c), является

более дешевым решением, и, кроме того, не требует существенного

переобучения персонала. Основной недостаток технологии GigabitEthernet по

сравнению с АТМ - как и ее предшественники Ethernet и FastEthernet, она не

поддерживает такое понятие как качество обслуживания пользовательского

трафика. Этот недостаток может быть существенным, если в сети действительно

передаются чувствительные к задержкам данные. Если же основной поток данных

составляют данные файлового сервиса (или аналогичного по требованиям к

задержкам сервиса), то отсутствие гарантий качества обслуживания

практически не будет сказываться на работе пользователей сети. Кроме того,

высокая скорость передачи данных в какой-то степени компенсирует отсутствие

механизмов гарантии пропускной способности и задержек, так как пакет 1500

байт передается через незагруженную магистраль GigabitEthernet всего за 12

мкс. При коэффициенте загрузки в 30% - 50%, характерном для многих сетей

Ethernet, задержка будет составлять в среднем 30 мкс, что намного меньше

уровня в 20 мс, при котором участники видеоконференции начинают замечать

ухудшение качества изображения.

Тем не менее, приверженцы технологии GigabitEthernet заботятся и о

поддержке качества обслуживания. Они рассчитывают использовать для этой

цели такие внешние по отношению к этой технологии протоколы ,как протокол

резервирования пропускной способности IP-маршрутизаторов для потоков данных

RSVP, а также протоколы 802.1q и 802.1p, обеспечивающие приоритезацию

трафика в локальных сетях на основе коммутаторов. Очевидно, что такая смесь

различных протоколов хотя и улучшит обслуживание трафика разных классов, но

не сможет конкурировать со стройной системой поддержки качества

обслуживания в сетях АТМ.

Недостатком технологии GigabitEthernet является на сегодняшний день и тот

факт, что принятие для нее окончательного стандарта планируется в комитете

802.3 института IEEE только в середине 1998 года, так что нет никаких

гарантий, что выпускаемое сейчас различными производителями гигабитное

оборудование будет полностью совместимо со стандартом.

2.5.5. Сравнение различных вариантов построения магистрали крупной

локальной сети

В целом необходимо отметить, что выбор определенного способа построения

магистрали корпоративной локальной сети сейчас представляет достаточно

сложное дело. Очевиден только тот факт, что традиционно используемая на

магистралях крупных локальных сетей технология FDDI начинает постепенно

сдавать свои позиции. Свидетельством этому является опрос, проведенный

SageResearchInc. среди 200 американских компаний, применяющих FDDI в своих

корпоративных сетях. Вопрос звучал так: "Собирается ли ваша компания в

ближайшие 3 года перейти на другую высокоскоростную технологию?".

Результаты опроса, представленные на диаграмме (рис. 2.22.), показывают,

что популярность FDDI падает, так как больше половины компаний хотят

заменить оборудование FDDI на оборудование, поддерживающее другую

высокоскоростную технологию. Возможно, популярность FDDI падала бы еще

более быстрыми темпами, но присущая ей внутренняя отказоустойчивость,

которой нет ни в сетях АТМ, ни в сетях FastEthernet или GigabitEthernet,

продолжает привлекать сетевых администраторов и интеграторов.

Выбор же технологии для замены FDDI на магистрали пока не очевиден,

особенно ввиду отсутствия стандарта на большинство перспективных вариантов.

Во многом выбор определяется требованиями приложений к качеству

обслуживания их трафика. Во многих случаях для не очень чувствительных к

задержкам приложений хорошим выбором будет GigabitEthernet, а для трафика

реального времени - АТМ, возможно с модификациями стандартного варианта

технологии для ускоренной передачи стандартных потоков данных типа IP-

switching или Tag-switching. При использовании GigabitEthernet достигается

хорошая совместимость с подсетями Ethernet и FastEthernet, то есть с

внутренними подсетями корпорации, а при использовании АТМ нет проблем при

подключении к территориальной магистрали провайдера, также все чаще

использующей технологию АТМ как основной вид транспорта.

[pic]

Рис. 2.22. Результаты опроса о замене технологии FDDI в ближайшие 3 года

Приведем основные доводы в пользу построения магистрали корпоративной сети

на GigabitEthernet или АТМ двух авторитетных и заинтересованных

собеседников. По просьбе редакции журнала DataCommunications о перспективах

двух технологий спорят Джо Скорупа (JoeSko- rupa) - представитель одного из

лидеров технологии ATM компании ForeSystems, и Джордж Продан

(GeorgeProdan), сотрудник компании ExtremeNetworks, пионера технологии

GigabitEthernet (DataCommunications, April 97).

Скорупа обосновывает хорошие шансы технологии АТМ ее способностью дать

высокую и гарантированную пропускную способность для приложений различных

типов, и критикует GigabitEthernet за отсутствие механизмов для

предоставления потребителям определенных параметров пропускной способности,

а также за то, что до появления стандартов еще нужно ждать еще как минимум

год, в то время как продукты АТМ давно имеются на рынке. Продан в свою

очередь приводит в пользу GigabitEthernet такие доводы, как плавность и

легкость перехода, трехступенчатую иерархию скоростей 10 - 100 - 1000 (в

сочетании с Ethernet и FastEthernet), обеспечение совместимости продуктов

разных производителей за счет усилий GigabitEthernetAlliance, насчитывающем

более чем 100 членов. Замечание Скорупы о том, что у продуктов FastEthernet

есть проблемы с совместимостью даже через год после принятия стандарта,

Продан парирует фактами о несовместимости АТМ-продуктов. Значительная часть

дебатов посвящена проблеме обеспечения качества сервиса обеими

технологиями. Скорупа не соглашается с утверждением Продана о том, что

протокол RSVP сможет обеспечить в сетях GigabitEthernet требуемое качество

обслуживания, так как он разработан совсем для других целей. Продан же в

свою очередь считает, что нужное качество обслуживания для конечных

пользователей дает в сетях АТМ только сервис ABR, а так как многие

коммутаторы пока не поддерживают ABR, то о хорошем качестве обслуживания в

сетях АТМ пока говорить рано. Дискуссия заканчивается выражением общего

мнения о том, что технология GigabitEthernet будет играть заметную роль в

ближайшем будущем, однако ее место в сетях собеседники видят по разному -

Скорупа в качестве сети доступа к магистрали на основе АТМ, а Продан - в

качестве самой магистрали.

2.6. Перспективы развития кабельных систем

Вопросы построения физической инфраструктуры сети, а именно кабельной

системы, без всякого сомнения также могут быть отнесены к стратегическим

моментам создания сети. Являясь фундаментом сети, кабельная система в

конечном счете определяет предельно возможную пропускную способность,

предоставляемую в распоряжение приложений. Не менее важной характеристикой

сети является отказоустойчивость. Согласно зарубежным исследованиям (журнал

LANTechnologies), 70% времени простоев обусловлено проблемами, возникшими

вследствие низкого качества применяемых кабельных систем. Правильное

проектирование кабельной системы является необходимым условием не только

для достижения необходимой производительности и надежности сети, но и для

обеспечения ее гибкости, способности к развитию. На самых первых этапах

внедрения какого-либо новшества в сети руководитель проекта должен

убедиться, допускает ли кабельная система подобные изменения.

Вот почему так важно правильно построить фундамент сети - кабельную

систему. Задача создания эффективной кабельной системы все чаще решается

путем использования структурированной кабельной системы. Структурированная

кабельная система (StructuredCablingSystem, SCS) - это набор коммутационных

элементов (кабелей, разъемов, коннекторов, кроссовых панелей и шкафов), а

также методика их совместного использования, которая позволяет создавать

регулярные, легко расширяемые структуры связей в вычислительных сетях. Если

внутри здания или в пределах комплекса зданий установлена структурированная

кабельная система, то путем перекоммутации кабелей в специальных кроссовых

секциях и шкафах можно гибко и без больших дополнительных затрат

приспосабливаться в течение 5 - 10 лет к изменяющейся структуре сети и

появляющимся новым протоколам.

Кабельная система такого типа должна обладать некоторой долей избыточности.

Так, в каждой комнате здания должно быть разведено достаточное количество

оконечных розеток, к которым подключаются сетевые адаптеры компьютеров,

даже если в настоящее время в таком количестве розеток и нет необходимости.

Эти ненужные розетки могут никуда не подключаться, но быть подведенными к

ближайшему кроссовому шкафу, чтобы подключиться к новому концентратору,

когда это станет необходимо. Начальная избыточность структурированной

кабельной системы окупится достаточно быстро, так как стоимость наращивания

кабелей и розеток в действующей кабельной системе всегда выше, чем их

установка в период установки всей кабельной системы. К избыточности

приводит также желание получить ясную структуру кабельной системы, так как

здесь иногда приходится жертвовать элегантным, но отклоняющимся от общей

схемы решением, в пользу избыточного, но единообразного решения.

Преимущества структурированной кабельной системы:

. Универсальность. Структурированная кабельная система при продуманной

организации может стать единой средой для передачи компьютерных данных

в локальной вычислительной сети, организации локальной телефонной

сети, передачи видеоинформации и даже передачи сигналов от датчиков

пожарной безопасности или охранных систем. Это позволяет

автоматизировать многие процессы по контролю, мониторингу и управлению

хозяйственными службами и системами жизнеобеспечения.

. Увеличение срока службы. Срок морального старения хорошо

структурированной кабельной системы может составлять 8-10 лет.

. Уменьшение стоимости добавления новых пользователей и изменения их

мест размещения. Стоимость кабельной системы в основном определяется

не стоимостью кабеля, а стоимостью работ по его прокладке (затраты на

выполнение работ по инсталляции кабельной системы зачастую в 2-3 раза

превосходят стоимость материалов и оборудования). Поэтому более

выгодно провести однократную работу по прокладке кабеля, возможно с

большим запасом по длине, чем несколько раз выполнять прокладку,

наращивая длину кабеля. Это помогает быстро и дешево изменять

структуру кабельной системы при перемещениях персонала или смене

приложений.

. Возможность легкого расширения сети. Структурированная кабельная

система является модульной, поэтому ее легко наращивать, что позволяет

легко и ценой малых затрат переходить на более совершенное

оборудование, удовлетворяющее растущим требованиям к системам

коммуникаций.

. Обеспечение более эффективного обслуживания. Структурированная

кабельная система облегчает обслуживание и поиск неисправностей по

сравнению с шинной кабельной си- стемой.

. Надежность. Структурированная кабельная система имеет повышенную

надежность поскольку обычно производство всех ее компонентов и

техническое сопровождение осуществляется одной фирмой-производителем.

Большинство стандартных сетевых технологий, как старых (Ethernet,

TokenRing, FDDI), так и новых (FastEthernet, 100VG-AnyLAN, ATM), использует

три основных типа кабелей - неэкранированную витую пару (UTP),

экранированную витую пару (STP) и многомодовый оптоволоконный кабель. В

состав любой кабельной системы входят кабели различных типов, каждый из

которых имеет свою область или области назначения.

Для определения областей назначения того или иного типа кабеля полезно

выделять в кабельной системе отдельные подсистемы. В типичную иерархическую

структурированную кабельную систему входят горизонтальные и вертикальные

подсистемы, а также подсистема кампуса. Горизонтальные подсистемы работают

в пределах отдела и соединяют кроссовый шкаф этажа с розетками

пользователей. Подсистемы этого типа соответствуют этажам здания.

Вертикальные подсистемы работают внутри здания, соединяют кроссовые шкафы

каждого этажа с центральной аппаратной здания. Кампусовская система,

работающая в пределах территории между зданиями, соединяет несколько зданий

с главной аппаратной всего кампуса. Эта часть кабельной системы обычно

называется backbone (или магистралью).

Помимо технических характеристик при выборе кабеля нужно учитывать, какая

кабельная система уже установлена на вашем предприятии, и какие тенденции и

перспективы существуют на рынке в данный момент.

В России СКС нашли коммерческое применение сравнительно недавно - в начале

90-х годов в результате рыночных реформ и появления частного бизнеса. До

этого локальные сети и учрежденческие АТС, как правило, были не

интегрированы друг с другом.

Хотя в настоящее время наибольшее число инсталляций СКС осуществляются в

мелких локальных сетях (с числом ПК от 10 до 20), многие крупные

предприятия, учреждения и банки в последние годы также проявляют

заинтересованность в установке у себя структурированных кабельных систем.

Благодаря отсутствию унаследованного оборудования, в России, как правило,

используются самые современные системы от ведущих производителей.

Наибольшая доля рынка принадлежит таким известным западным маркам, как

LucentTechnologies, BICCBrand-Rex, MOD-TAP, Alcatel, Siemens, AMP, IBM, а

также российским маркам, как "АйТи".

Среди российских компаний-системных интеграторов, способных реализовать

крупные проекты кабельных систем, специалисты отмечают IBS, "АйТи",

"Черус", "Демос", R-Style, "Ланит", LVC, "Крок", "Руслан". Они располагают

отделами, специализирующимися по локальным сетям, структурированным

кабельным системам и голосовой связи.

Основная доля рынка СКС принадлежит LucentTechnologies. Около 73%

установленных систем используют проводку UTP.

Решения на основе экранированного кабеля связываются главным образом с

системами TokenRing, но все большее число заказчиков в России предпочитает

использовать эти кабели и в других сетях передачи данных. Коаксиальный

кабель для горизонтальной проводки пользовался популярностью 2 года назад,

но в последнее время он был вытеснен кабелями с витыми парами.

В последние два года существенные изменения произошли и в распределении

рынка между кабелями разных категорий. Доля кабелей Категории 3 уменьшилась

с двух третьих в 1994 до 37% в 1996 году.

Согласно прогнозам, весь рынок кабелей для передачи данных будет расти на

14,7% ежегодно, и в 2001 году его объем составит 29,9 млн. долларов.

Наиболее быстрые темпы роста ожидаются на рынке STP - 33,6% ежегодно в

денежном исчислении, далее следуют оптические кабели и UTP - 22,1% и 16,2%

соответственно. Доля коаксиального кабеля будет неуклонно снижаться.

Сегодня в мире существуют три весьма сходных между собой стандарта на

кабельные системы для ЛВС:

1. американский стандарт TIA/EIA 568A;

2. международный стандарт ISO/IEC 11801;

3. европейский стандарт EN50173.

Все эти стандарты кабельных систем определяет основные параметры

неэкранированной витой пары UTP, экранированной витой пары STP и волоконно-

оптического кабеля, то есть тех видов кабелей, которые покрывают все

разнообразие физических уровней современных стандартов для локальных сетей.

Необходимо отметить, что стандарт EIA/TIA 568A относится только к сетевому

кабелю. Но реальные системы, помимо кабеля, содержат также коннекторы,

розетки, распределительные панели и др., т.е. все, что в совокупности

составляет понятие кабельной системы. Использование только кабеля типа 5 не

гарантирует создание кабельной системы этой категории. Все составные части

кабельной системы также должны удовлетворять требованиям соответствующей

категории, то есть работать без ухудшения электрических параметров

передаваемых сигналов в заданных частотах. Важное значение имеет также

технология инсталляции всех компонентов системы, нарушение которой приведет

к снижению категории.

К числу наиболее распространенных стандартизованных структурированных

кабельных систем относятся кабельная система CablingSystem, разработанная

компанией IBM, кабельные системы PremisesDistributedSystem и SYSTIMAX,

разработанные AT&T, а также кабельная система OPENDECсonnect корпорации

DigitalEquipment. Различные производители дают своим кабельным системам

различные названия, но общие принципы их организации остаются одинаковыми.

Наряду с кабельными системами, соответствующими этим стандартам, в

настоящее время имеется ряд проектов новых широкополосных кабелей,

например, медных кабелей категории 6. Появились сообщения о гарантированных

скоростях передачи данных 350 и 622 Мб/с обеспечиваемых новыми продуктами.

Но стандартов на новые широкополосные кабели пока не существует.

Специалисты высказывают большие сомнения в рыночном успехе этого проекта:

во-первых, проблема совместимости с огромным числом уже установленных

кабельных систем категорий 3 и 5, во-вторых, высокая стоимость, сравнимая

со стоимостью сетей на основе волоконно-оптического кабеля, в-третьих,

необходимость надежного заземления, которую не всегда просто реализовать.

Еще далеко не исчерпаны возможности кабельных систем категории 5. Вполне

вероятно, они смогут поддерживать и сети GigabitEthernet. Если же говорить

о высокоскоростных сетях (ATM и GigabitEthernet на скоростях 622 и 1000

Мбит/с соответственно), то для их реализации хорошо подходит волоконно-

оптический кабель.

Поэтому, если вы думаете над тем, как улучшить работу кабельной системы, то

естественным решением является ее модернизация путем прокладки

горизонтального кабеля (проводки на этажах) категории 5, а в качестве

магистрали оптического кабеля. В любом случае необходимо получить гарантию

на кабельную систему и предусмотреть возможность последующей ее

модернизации в будущем.

4. Стратегии защиты данных

4.1. Комплексный подход - необходимое условие надежной защиты корпоративной

сети

Построение и поддержка безопасной системы требует системного подхода. В

соответствии с этим подходом прежде всего необходимо осознать весь спектр

возможных угроз для конкретной сети и для каждой из этих угроз продумать

тактику ее отражения. В этой борьбе можно и нужно использовать самые

разноплановые средства и приемы - организационные и законодательные,

административные и психологические, защитные возможности программных и

аппаратных средств сети.

Законодательные средства защиты - это законы, постановления правительства и

указы президента, нормативные акты и стандарты, которыми регламентируются

правила использования и обработки информации ограниченного доступа, а также

вводятся меры ответственности за нарушения этих правил.

Административные меры - это действия общего характера, предпринимаемые

руководством предприятия или организации. Администрация предприятия должна

определить политику информационной безопасности, которая включает ответы на

следующие вопросы:

какую информацию и от кого следует защищать;

кому и какая информация требуется для выполнения служебных обязанностей;

какая степень защиты требуется для каждого вида информации;

чем грозит потеря того или иного вида информации;

как организовать работу по защите информации.

К организационным (или процедурным) мерам обеспечения безопасности

относятся конкретные правила работы сотрудников предприятия, например,

строго определенный порядок работы с конфиденциальной информацией на

компьютере.

К морально-этическим средствам защиты можно отнести всевозможные нормы,

которые сложились по мере распространения вычислительных средств в той или

иной стране (например, Кодекс профессионального поведения членов Ассоциации

пользователей компьютеров США).

К физическим средствам защиты относятся экранирование помещений для защиты

от излучения, проверка поставляемой аппаратуры на соответствие ее

спецификациям и отсутствие аппаратных "жучков" и т.д.

К техническим средствам обеспечения информационной безопасности могут быть

отнесены:

системы контроля доступа, включающие средства аутентификации и авторизации

пользователей;

средства аудита;

системы шифрования информации;

системы цифровой подписи, используемые для аутентификации документов;

средства доказательства целостности документов (использующие, например,

дайджест-функции);

системы антивирусной защиты;

межсетевые экраны.

Все указанные выше средства обеспечения безопасности могут быть реализованы

как в виде специально разработанных для этого продуктов (например,

межсетевые экраны), так и в виде встроенных функций операционных систем,

системных приложений, компьютеров и сетевых коммуникационных устройств.

4.2. Усугубление проблем безопасности при удаленном доступе. Защитные

экраны - firewall'ы и proxy-серверы

Обеспечение безопасности данных при удаленном доступе - проблема если и не

номер один, то, по крайней мере, номер два, после проблемы обеспечения

приемлемой для пользователей пропускной способности. А при активном

использовании транспорта Internet она становится проблемой номер один.

Неотъемлемым свойством систем удаленного доступа является наличие

глобальных связей. По своей природе глобальные связи, простирающиеся на

много десятков и тысяч километров, не позволяют воспрепятствовать

злонамеренному доступу к передаваемым по этим линиям данным. Нельзя дать

никаких гарантий, что в некоторой, недоступной для контроля точке

пространства, некто, используя, например, анализатор протокола, не

подключится к передающей среде для захвата и последующего декодирования

пакетов данных. Такая опасность одинаково присуща всем видам

территориальных каналов связи и не связана с тем, используются ли

собственные, арендуемые каналы связи или услуги общедоступных

территориальных сетей, подобные Internet.

Однако использование общественных сетей (речь в основном идет об Internet)

еще более усугубляет ситуацию, хотя бы потому, что в такой сети для доступа

к корпоративным данным в распоряжении злоумышленника имеются более

разнообразные и удобные средства, чем выход в чистое поле с анализатором

протоколов. Кроме того, огромное число пользователей увеличивает

вероятность попыток несанкционированного доступа.

Безопасная система - это система, которая, во-первых, надежно хранит

информацию и всегда готова предоставить ее своим пользователям, а во-

вторых, система, которая защищает эти данные от несанкционированного

доступа.

Межсетевой экран (firewall, брандмауэр) - это устройство, как правило,

представляющее собой универсальный компьютер с установленным на нем

специальным программным обеспечением, который размещается между защищаемой

(внутренней) сетью и внешними сетями, потенциальными источниками опасности.

Межсетевой экран контролирует все информационные потоки между внутренней и

внешними сетями, пропуская данные, в соответствии с заранее установленными

правилами. Эти правила являются формализованным выражением политики

безопасности, принятой на данном предприятии.

Межсетевые экраны базируются на двух основных приемах защиты:

1. пакетной фильтрации;

2. сервисах-посредниках (proxyservices).

Эти две функции можно использовать как по отдельности, так и в комбинации.

Пакетная фильтрация. Использование маршрутизаторов в качестве firewall

Фильтрация осуществляется на транспортном уровне: все проходящие через

межсетевой экран пакеты или кадры данных анализируются, и те из них,

которые имеют в определенных полях заданные ("неразрешенные") значения,

отбрасываются.

Пропуск во внутреннюю сеть пакетов сетевого уровня или кадров канального

уровня по адресам (MAC-адреса, IP-адреса, IPX-адреса) или номерам портов

TCP, соответствующих приложениям. Например, для того, чтобы трафик telnet

не пересекал границу внутренней сети, межсетевой экран должен

отфильтровывать все пакеты, в заголовке TCP которых указан адрес порта

процесса-получателя, равный 23 (этот номер зарезервирован за сервисом

telnet). Сложнее отслеживать трафик FTP, который работает с большим

диапазоном возможных номеров портов, что требует задания более сложных

правил фильтрации.

Конечно, для фильтрации пакетов может быть использован и обычный

маршрутизатор, и действительно, в Internet 80% пакетных фильтров работают

на базе маршрутизаторов. Однако маршрутизаторы не могут обеспечить ту

степень защиты данных, которую гарантируют межсетевые экраны.

Главные преимущества фильтрации межсетевым экраном по сравнению с

фильтрацией маршрутизатором состоят в следующем:

. межсетевой экран обладает гораздо более развитыми логическими

способностями, поэтому он в отличие от маршрутизатора легко может,

например, обнаружить обман по IP-адресу;

. у межсетевого экрана большие возможности аудита всех событий,

связанных с безопасностью.

Сервисы - посредники (Proxy-services)

Сервисы-посредники не допускают возможности непосредственной передачи

трафика между внутренней и внешней сетями. Для того, чтобы обратиться к

удаленному сервису, клиент-пользователь внутренней сети устанавливает

логическое соединение с сервисом-посредником, работающим на межсетевом

экране. Сервис-посредник устанавливает отдельное соединение с "настоящим"

сервисом, работающим на сервере внешней сети, получает от него ответ и

передает по назначению клиенту - пользователю защищенной сети.

Для каждого сервиса необходима специальная программа: сервис-посредник.

Обычно, защитный экран включает сервисы-посредники для FTP, HTTP, telnet.

Многие защитные экраны имеют средства для создания программ-посредников для

других сервисов. Некоторые реализации сервисов-посредников требуют наличия

на клиенте специального программного обеспечения. Пример: Sock - широко

применяемый набор инструментальных средств для создания программ-

посредников.

Сервисы-посредники не только пересылают запросы на услуги, например,

разработанный CERN сервис-посредник, работающий по протоколу HTTP, может

накапливать данные в кэше межсетевого экрана, так что пользователи

внутренней сети могут получать данные с гораздо меньшим временем доступа.

Журналы событий, поддерживаемые сервисами-посредниками, могут помочь

предупредить вторжение на основании записей о регулярных неудачных

попытках. Еще одним важным свойством сервисов-посредников, положительно

сказывающимся на безопасности системы, является то, что при отказе

межсетевого экрана защищаемый посредником сервис-оригинал остается

недоступным.

Трансляция сетевых адресов - новый вид сервиса-посредника. Трансляторы

адресов заменяют "внешние" IP-адреса серверов своих сетей на "внутренние".

При таком подходе топология внутренней сети скрыта от внешних

пользователей, вся сеть может быть представлена для них одним-единственным

IP-адресом. Такая непрозрачность сети усложняет задачу несанкционированного

доступа. Кроме этого, трансляция адресов дает еще одно преимущество -

позволяет иметь внутри сети собственную систему адресации, не согласованную

с Internet, что снимает проблему дефицита IP-адресов.

Сервисы-посредники намного надежнее фильтров, однако они снижают

производительность обмена данными между внутренней и внешней сетями, они

также не обладают той степенью прозрачности для приложений и конечных

пользователей, которая характерна для фильтров.

4.3. Использование сертификатов для аутентификации массовых пользователей

при ведении бизнеса через Internetи другие публичные сети

Обеспечение безопасности при работе в Internet стало особенно важной

проблемой в условиях массового интереса к построению частных виртуальных

сетей с использованием транспортных средств Internet, а также использования

методов Internet для хранения, представления и поиска информации в

локальных сетях предприятий. Все это можно назвать одним словом - intranet.

Специфика Internet сказывается и на используемых средствах обеспечения

безопасности. Остановимся на некоторых из них.

При организации доступа к некоторым ресурсам Internet все чаще возникает

необходимость во введении некоторых ограничений. Это означает, что среди

множества пользователей Internet, владелец ресурса должен определить

некоторые правила определения тех, кому доступ разрешен, и предоставить им

способ, с помощью которого они могли бы доказывать свою принадлежность к

легальным пользователям. Следовательно, необходима процедура

аутентификация, пригодная для использования в Internet.

Аутентификация с применением сертификатов является альтернативой

использованию паролей и представляется естественным решением в условиях,

когда число пользователей сети измеряется миллионами, что мы имеем в

Internet. В таких обстоятельствах процедура предварительной регистрации

пользователей, связанная с назначением и хранением их паролей становится

крайне обременительной, опасной, а иногда и просто нереализуемой. При

использовании сертификатов сеть, которая дает пользователю доступ к своим

ресурсам, не хранит никакой информации о своих пользователях - они ее

предоставляют сами в своих запросах в виде сертификатов, удостоверяющих

личность пользователей. Сертификаты выдаются специальными уполномоченными

организациями - центрами сертификации. Поэтому задача хранения секретной

информации (закрытых ключей) возлагается теперь на самих пользователей, что

делает это решение гораздо более масштабируемым, чем вариант с

использованием паролей.

Аутентификация личности на основе сертификатов происходит примерно так же,

как на проходной большого предприятия. Вахтер пропускает людей на

территорию на основании пропуска, который содержит фотографию и подпись

сотрудника, удостоверенных печатью предприятия и подписью лица, выдавшего

пропуск. Сертификат является аналогом пропуска и выдается по запросам

специальными сертифицирующими центрами при выполнении определенных условий.

Он представляет собой электронную форму, в которой имеются такие поля, как

имя владельца, наименование организации, выдавшей сертификат, открытый ключ

владельца. Кроме того, сертификат содержит электронную подпись выдавшей

организации - зашифрованные закрытым ключом этой организации все остальные

поля сертификата.

Использование сертификатов основано на предположении, что сертифицирующих

организаций немного, и их открытые ключи могут быть всем известны каким-

либо способом, например, с помощью тех же публикаций в журналах.

Когда пользователь хочет подтвердить свою личность, он предъявляет свой

сертификат в двух формах - открытой, то есть такой, в которой он получил

его в сертифицирующей организации, и в зашифрованной с применением своего

закрытого ключа. Сторона, проводящая аутентификацию, берет из открытого

сертификата открытый ключ пользователя и расшифровывает с помощью него

зашифрованный сертификат. Совпадение результата с открытым сертификатом

подтверждает факт, что предъявитель действительно является владельцем

закрытого ключа, парного с указанным открытым.

Затем с помощью известного открытого ключа указанной в сертификате

организации проводится расшифровка подписи этой организации в сертификате.

Если в результате получается тот же сертификат с тем же именем пользователя

и его открытым ключом - значит он действительно прошел регистрацию в

сертификационном центре, является тем, за кого себя выдает, и указанный в

сертификате открытый ключ действительно принадлежит ему.

Сертификаты можно использовать не только для аутентификации, но и для

предоставления избирательных прав доступа. Для этого в сертификат могут

вводиться дополнительные поля, в которых указывается принадлежность его

владельца к той или иной категории пользователей. Эта категория указывается

сертифицирующей организацией в зависимости от условий, на которых выдается

сертификат. Например, организация, поставляющая через Internet на

коммерческой основе информацию, может выдавать сертификаты определенной

категории пользователям, оплатившим годовую подписку на некоторый

бюллетень, а Web-сервер будет предоставлять доступ к страницам бюллетеня

только пользователям, предъявившим сертификат данной категории.

При использовании сертификатов отпадает необходимость хранить на серверах

корпораций списки пользователей с их паролями, вместо этого достаточно

иметь на сервере список имен и открытых ключей сертифицирующих организаций.

Может также понадобится некоторый механизм отображений категорий владельцев

сертификатов на традиционные группы пользователей для того, чтобы можно

было использовать в неизменном виде механизмы управления избирательным

доступом большинства операционных систем или приложений.

Механизм получения пользователем сертификата хорошо автоматизируется в сети

в модели клиент-сервер, когда браузер выполняет роль клиента, а в

сертифицирующей организации установлен специальный сервер выдачи

сертификатов. Браузер вырабатывает для пользователя пару ключей, оставляет

закрытый ключ у себя и передает частично заполненную форму сертификата

серверу. Для того, чтобы неподписанный еще сертификат нельзя было подменить

при передаче по сети, браузер зашифровывает сертификат выработанным

закрытым ключом. Сервер сертификатов подписывает полученный сертификат,

фиксирует его в своей базе данных и возвращает его каким-либо способом

владельцу. Очевидно, что при этом может выполняться еще и неформальная

процедура подтверждения пользователем своей личности и права на получение

сертификата, требующая участия оператора сервера сертификатов. Это могут

быть доказательства оплаты услуги, доказательства принадлежности к той или

иной организации - все случаи жизни предусмотреть и автоматизировать

нельзя.

После получения сертификата браузер хранит его вместе с закрытым ключом и

использует при аутентификации на тех серверах, которые поддерживают такой

процесс.

В настоящее время существует уже большое количество протоколов и продуктов,

использующих сертификаты. Например, компания NetscapeCommunications

поддерживает сертификаты стандарта X.509 в браузерах NetscapeNavigator и

своих информационных серверах, а также выпустила сервер сертификатов,

который организации могут у себя устанавливать для выпуска своих

собственных сертификатов. Microsoft реализовала поддержку сертификатов в

версии InternetExplorer 3.0 и в сервере InternetInformationServer.

4.4. Технологии защищенного канала

Технология защищенного канала призвана обеспечивать безопасность передачи

данных по открытой транспортной сети, например, по сети Internet.

Защищенный канал включает в себя выполнение трех основных функций:

1. взаимная аутентификация абонентов;

2. защита передаваемых по каналу сообщений от несанкционированного

доступа;

3. подтверждение целостности поступающих по каналу сообщений.

Взаимная аутентификация обеих сторон при установлении соединения может быть

выполнена, например, путем обмена сертификатами.

Секретность может быть обеспечена каким-либо методом шифрации, например,

передаваемые сообщения шифруются с использованием симметричных сессионных

ключей, которыми стороны обмениваются при установлении соединения.

Сессионные ключи передаются также в зашифрованном виде, при этом они

шифруются с помощью открытых ключей. Использование для защиты сообщений

симметричных ключей связано с тем, что скорость процессов шифрации и

дешифрации на основе симметричного ключа существенно выше, чем при

использовании несимметричных ключей.

Целостность передаваемых сообщений достигается за счет того, что к

сообщению (еще до его шифрации сессионным ключом) добавляется дайджест,

полученный в результате применения односторонней функции к тексту

сообщения.

Защищенный канал в публичной сети часто называют также виртуальной частной

сетью - VirtualPrivateNetwork, VPN. Существует два способа образования VPN

(рисунок 4.1):

1. с помощью специального программного обеспечения конечных узлов;

2. с помощью специального программного обеспечения шлюзов, стоящих на

границе между частной и публичной сетями.

[pic]

Рис. 4.1. VPN - частные виртуальные сети

В первом случае (рисунок 4.1, a) программное обеспечение, установленное на

компьютере удаленного клиента, устанавливает защищенный канал с сервером

корпоративной сети, к ресурсам которого клиент обращается. Преимуществом

этого подхода является полная защищенность канала вдоль всего пути

следования, а также возможность использования любых протоколов создания

защищенных каналов, лишь бы на конечных точках канала поддерживался один и

тот же протокол. Недостатки заключаются в избыточности и

децентрализованности решения. Избыточность состоит в том, что уязвимыми для

злоумышленников обычно являются сети с коммутацией пакетов, а не каналы

телефонной сети или выделенные каналы. Поэтому установка специального

программного обеспечения на каждый клиентский компьютер и каждый сервер

корпоративной сети не является необходимой. Децентрализация процедур

создания защищенных каналов не позволяет вести централизованное управление

доступом к ресурсам сети. В большой сети необходимость отдельного

администрирования каждого сервера и каждого клиентского компьютера с целью

конфигурирования в них средств защиты данных - это трудоемкая процедура.

Во втором случае клиенты и серверы не участвуют в создании защищенного

канала - он прокладывается только внутри публичной сети с коммутацией

пакетов, например внутри Internet. Канал создается между сервером

удаленного доступа провайдера услуг публичной сети и пограничным

маршрутизатором корпоративной сети. Это хорошо масштабируемое решение,

управляемого централизованно как администратором корпоративной сети, так и

администратором сети провайдера. Для клиентских компьютеров и серверов

корпоративной сети канал прозрачен - программное обеспечение этих конечных

узлов остается без изменений. Реализация этого подхода сложнее - нужен

стандартный протокол образования защищенного канала, требуется установка

программного обеспечения, поддерживающего такой протокол, у всех

провайдеров, необходима поддержка протокола производителями серверов

удаленного доступа и маршрутизаторов.

4.5. Правовая регламентация деятельности в области защиты информации

Правовая регламентация деятельности в области защиты информации имеет целью

защиту информации, составляющей государственную тайну, обеспечение прав

потребителей на получение качественных продуктов, защиту конституционных

прав граждан на сохранение личной тайны, борьбу с организованной

преступностью.

Те, кто несут ответственность за корпоративную сеть, при приобретении тех

или иных продуктов обеспечения безопасности, особенно связанных с

шифрацией, должны выяснить некоторые правовые вопросы, например, может ли

данный продукт быть экспортирован в другие страны или импортирован из

других стран.

Регламентация может выражаться в следующей форме:

. обязательное лицензирование некоторых видов деятельности;

. необходимость иметь разрешение на некоторые виды деятельности;

. требование сертификации некоторых видов продуктов.

Лицензия является официальным документом, который разрешает осуществление

на определенных условиях конкретного вида деятельности в течение

установленного срока.

Разрешение выдается на некоторые виды разовых работ, независимо имеется ли

у данной организации лицензия. Например, организация которая имеет лицензию

на разработку шифровальных средств, должна получить разрешение на их

экспорт.

Сертификат - официальный документ, удостоверяющий, что продукт прошел

тестирование и соответствует требованиям нормативных документов.

В настоящее время правовая база, регулирующая отношения субъектов в области

защиты информации, включает следующие основные документы:

. Конституция РФ, согласно которой "каждый гражданин имеет право

заниматься любыми видами деятельности свободно и по своему выбору,

кроме тех, которые запрещены законом, или для занятия которыми

требуется наличие специального разрешения (лицензии).

. Гражданский кодекс РФ, в Части первой которого в ст.49 говорится:

"Отдельными видами деятельности, перечень которых определяется

законом, юридическое лицо может заниматься только на основании

специального разрешения (лицензии)".

. Федеральные законы РФ ("Об информации, информатизации и защите

информации" от 25 января 1995 года, "О государственной тайне" и др.).

. Постановление правительства РФ (например, постановление N 758 "О мерах

по совершенствованию государственного регулирования экспорта товаров и

услуг" от 1 июля 1994 г., постановление N1418 от 24.12.94 и др.).

. Указы президента (например, указ N1268 "О контроле за экспортом из

Российской Федерации товаров и технологий двойного назначения" от 26

августа 1996 года, указ N334 "О мерах по соблюдению законности в

области разработки, производства, реализации и эксплуатации

шифровальных средств, а также услуг в области шифрования информации"

от 3 апреля 1995 года.).

. Уголовный кодекс, в котором в разделе IX главы 28 "Преступления в

сфере компьютерной информации" предусматривается наказания за

"уничтожение, блокирование, модификацию и копирование информации,

нарушение работы ЭВМ, системы ЭВМ или их сети".

С последними законодательными актами в области безопасности можно

ознакомиться на сервере www.alpha.ru.

Работу по регламентации деятельности в области защиты информации проводит

также Государственная техническая комиссия при президенте Российской

федерации, издающая так называемые руководящие документы (РД). Один из этих

РД, например, оценивает степень защищенности межсетевых экранов (firewall).

Виды деятельности, лицензии на которые выдаются ФАПСИ:

. В области шифровальных средств:

. разработка;

. производство;

. монтаж, наладка и установка;

. ремонт и сервисное обслуживание;

. реализация;

. предоставление услуг по шифрованию;

. предоставление консультационных услуг;

. эксплуатация.

. Те же виды деятельности, относящиеся к системам, использующим

шифровальные средства и предназначенным для телекоммуникаций. Лицензии

должны получать все предприятия и организации, независимо от их

ведомственной принадлежности и прав собственности.

. Проведение сертификационных испытаний.

. Проведение работ по выявлению электронных устройств перехвата

информации в технических средствах предприятий, банков и других

учреждений, расположенных в Российской Федерации, независимо от их

ведомственной принадлежности и форм собственности, на которых

осуществляется обработка информации, составляющей государственную

тайну.

Виды деятельности, на которые выдаются разрешения ФАПСИ:

. экспорт и импорт шифровальных средств, предназначенных для

использования при обработке, хранении и передаче информации по каналам

связи;

. экспорт и импорт закрытых (с помощью шифровальных средств) систем и

комплексов телекоммуникаций;

. экспорт услуг в области шифрования;

. открытие учебных специальностей, курсов для организаций, имеющих

лицензию на работу по подготовке кадров;

Виды деятельности, на которые не нужны лицензии и разрешения ФАПСИ:

. эксплуатация шифровальных средств физическими лицами и

негосударственными организациями для защиты информации, не

составляющей государственную тайну, во внутренних сетях без выхода в

сети общего пользования или для связи с зарубежными партнерами;

. выявление электронных устройств перехвата информации в помещениях и

устройствах негосударственных предприятий, если это не связано с

обработкой информации, составляющей государственную тайну;

. издательская, рекламная и выставочная деятельность.

4.6. Продукты, сертифицированные для использования в России

Пока существует не так уж много продуктов, имеющих сертификат

Гостехкомиссии, удостоверяющий пригодность этого продукта для применения в

России в целях защиты данных. Ниже приводится описание некоторых из них.

4.6.1. BlackHole компании MilkywayNetworks

BlackHole (продукт компании MilkywayNetworks) - это firewall, работающий на

proxy-серверах протоколов прикладного уровня (TELNET, FTP и т.д.). Он

служит для разграничения доступа между локальной и глобальной сетью

(INTERNET) или между двумя подразделениями локальной сети (ИНТРАНЕТ).

BlackHole построен на принципе "Все что не разрешено, запрещено", т.е.

любой вид доступа должен быть описан явно.

BlackHole поддерживает TELNET, FTP, Web-сервис, почту SMTP и некоторые

другие виды сервисов.

Кроме этого, в состав BlackHole входят proxy-сервер уровня TCP и proxy

сервер для UDP протокола. BlackHole осуществляет мониторинг всех 65 535

TCP/UDP портов и сбор статистики по попыткам доступа к этим портам. Правила

доступа могут использовать в качестве параметров адрес источника, адрес

назначения, вид сервиса (FTP, TELNET, и т.д.), дату и время доступа,

идентификатор и пароль пользователя.

BlackHole поддерживает строгую аутентификацию как с использованием обычных

паролей, так и различных типов одноразовых паролей S/Key,

EnigmaLogicSafeword, SecurityDynamicsSecureID, при этом аутентификация

может быть включена для любого вида сервиса.

Система выдачи предупреждений о попытках НСД в реальном времени в BlackHole

позволяет администратору системы описывать опасные события и реакцию на них

системы (вывод на консоль, звонок на пейджер и т.д.).

BlackHole предоставляет сервис для создания групп пользователей, сервисов,

хостов и сетей и позволяет создавать правила для этих групп, что дает

возможность легко описывать и администрировать большое количество

пользователей.

BlackHole имеет удобную и дружественную графическую оболочку под X-Windows,

так что настройкой системы может заниматься неискушенный в UNIX человек.

Все административные функции могут быть выполнены из этой оболочки. Ядро ОС

модифицировано для защиты графического интерфейса от внешнего доступа.

BlackHole предоставляет следующие возможности по конвертации адреса

источника пакета при прохождении через firewall:

. адрес может быть заменен на адрес firewall;

. адрес может быть оставлен без изменения;

. адрес может быть заменен на выбранный администратором.

Последняя опция позволяет для пользователей INTERNET представлять

внутреннюю сеть как состоящую из набора подсетей.

Для хранения и обработки статистической информации BlackHole использует

реляционную базу данных с языком запросов SQL. BlackHole функционирует на

PC и SunSparc платформах под управлением модифицированных версий

операционных систем BSDI и SunOS.

BlackHole имеет сертификат Национального Агентства Компьютерной

Безопасности США (NCSA), гарантирующий его высокую надежность и уровень

защиты, но, что еще более важно этот продукт сертифицирован Государственной

Технической Комиссией при Президенте России. Ниже приводится выдержка из

сертификата N79:

"Выдан 30 января 1997г.

Действителен до 30 января 2000г."

Автоматизированная система разграничения доступа BlackHole версии BSDI-OS,

функционирующая под управлением операционной системы BSDIBSD/OSv2.1,

является программным средством защиты информации от НСД в сетях передачи

данных по протоколу TCP/IP, обеспечивает защиту информационных ресурсов

защищаемого участка локальной сети от доступа извне, не снижая уровня

защищенности участка локальной сети, соответствует "Техническим условиям на

Автоматизированную систему разграничения доступа BlackHole версии BSDI-OS"

N 5-97 и требованиям Руководящего документа Гостехкомиссии России "Автомати-

зированные системы. Защита от несанкционированного доступа к информации.

Классификация автоматизированных систем и требования по защите информации"

в части администрирования для класса 3Б."

4.6.2. Пандора (Gaumtlet) компании TIS

Система Пандора, имеющая оригинальное название Gauntlet, это firewall

(межсетевой экран), разработанный фирмой TIS. Этот продукт предоставляет

возможность безопасного доступа и сетевых операций между закрытой,

защищенной сетью и публичной сетью типа Internet.

Gauntlet представляет собой наиболее эффективный с точки зрения защиты

вариант firewall - фильтр на уровне приложений, при этом обеспечивает

максимальную прозрачность при использовании, возможность создания VPN и

простое управление всем этим. Этот firewall позволяет пользоваться только

теми протоколами, которые описал оператор и только в случае их безопасного

использования.

Безопасность обеспечивается при работе через firewall в обоих направлениях

в соответствии с политикой безопасности, определенной для данной

организации. Продукт доступен в предустановленном виде на Pentium машинах,

а также как отдельный пакет для BSD/OS, SunOS4*, HP-UX, IRIX и других UNIX-

систем. Открытый продукт фирмы - FWTK - на сегодняшний день является

стандартом де-факто для построения firewall на уровне приложений.

Система Gauntlet получила сертификат Национального Агентства Компьютерной

Безопасности США и была проверена Агентством Национальной безопасности США

(NCSA). Продукт имеет сертификат Гостехкомиссии при президенте РФ номер 73,

выдан 16 января 1997 года, действителен 3 года. На основании

сертификационных испытаний системе присвоен класс 3Б.

4.6.3. Застава (Sunscreen) компании "Элвис -Плюс"

24 сентября 1997 года компания "Элвис-Плюс" анонсировала завершение бета-

тестирования и начало промышленных поставок первого отечественного

программного firewall'а "Застава". Одновременно объявлено о начале

проведения сертификационных испытаний продукта Гостехкомиссией при

Президенте РФ. К концу года будет предложена версия "Заставы" для платформы

WindowsNT.

"Застава" относится к категории фильтрующих firewall'ов и функционирует на

платформах Solaris/SPARC и Solaris/Intel и предназначен для использования в

качестве первого эшелона защиты ресурсов корпоративных сетей от вторжения

из Internet.

В настоящее время лабораторией средств сетевой безопасности "Элвис-Плюс"

ведется интенсивная подготовка к производству аппаратно-программного

варианта "Заставы" на базе системной платы SPARCengineUltraAXMotherboard

производства компании SunMicroelectronics, по отношению к которой "Элвис-

Плюс" выступает в качестве OEM-производителя. Гораздо более

производительная по сравнению с программным аналогом новая версия "Заставы"

будет включать модуль создания корпоративных VPN на базе протокола SKIP, а

также поддерживать защищенное конфигурирование и управление с удаленного

рабочего места администратора безопасности, реализованного по технологии

Java.

По мнению сотрудников компании "Элвис-Плюс", семейство "Застава" может с

успехом использоваться при создании комплексных систем защиты

распределенных сетей федеральных агентств и ведомств при условии интеграции

в продукты компании криптографических модулей легальных российских

производителей.

Разработчики межсетевого экрана "Застава" ставили перед собой задачу не

просто создать первый российский firewall, но, прежде всего, учесть

быстрорастущие требования и современные приоритеты рынка защиты информации

в IP сетях. Главными задачами при разработке межсетевого экрана были

обеспечение "жесткой" и быстрой фильтрации, а также реализация эффективного

proxy-модуля для обработки трафика электронной почты, представляющей в

современных условиях серьезную потенциальную угрозу безопасности сети - по

сравнению с прочими "внешними" сервисами.

На сервере компании "Элвис-Плюс" по адресу http://www.elvis.ru можно найти

демонстрационные копии firewall'а "Застава".

4.6.4. Продукты компании АНКАД

Фирма "АНКАД" предлагает семейство программно-аппаратных средств

криптографической защиты информации КРИПТОН, использующее ключ длиной 256

бит и алгоритмы шифрования и электронной подписи, которые соответствуют

российским стандартами. В частности, шифр оплаты серии КРИПТОН для IBM-

совместимых компьютеров широко применяются для защиты данных при передаче

по открытым каналам связи.

Московская фирма "АНКАД" недавно получила от Федерального агентства

правительственной связи и информации (ФАПСИ) лицензию на деятельность в

сфере защиты информации. Лицензия предоставляет право заниматься

разработкой, производством и реализацией средств криптографической защиты

информации в коммерческом и государственном секторах экономики, включая

работы в интересах зарубежных заказчиков. Эта деятельность осуществляется в

рамках научно-технического сотрудничества и по согласованию с ФАПСИ.

6. Борьба сетевых операционных систем за корпоративный рынок

6.1. Что такое сетевая операционная система

Прежде, чем приступить к обсуждению вопросов о положении на рынке сетевых

операционных систем и о проблеме их выбора, надо договориться о том, что

собственно понимается под термином "сетевая операционная система". Одни

считают, что это операционная система со встроенными сетевыми функциями,

позволяющим пользователям совместно использовать ресурсы сети. Другие

полагают, что сетевая операционная система - это просто набор сетевых

служб, способных согласованно работать в общей операционной среде. При этом

не имеет особого значения, входит ли эта служба в состав дистрибутива

операционной системы или приобретена отдельно, поставляется ли она в виде

дополнительного динамически загружаемого модуля ОС или в виде обычного

приложения, разработана ли данная служба компанией-производителем ОС или

какой-либо третьей фирмой. В многозначности термина "сетевая ОС" нет ничего

страшного, важно только каждый раз, употребляя его отдавать себе отчет, что

под этим понимается.

Каждая сетевая служба предоставляет пользователям сети некоторый вид

сервиса, как правило, связанный с доступом к ресурсам сети. Например,

файловый сервис - обеспечивает доступ пользователей сети к разделяемым

файлам сети, факс- и принт-сервис - доступ к принтеру и факсу

соответственно, сервис удаленного доступа - позволяет пользователям,

связанным с основной сетью коммутируемыми каналами, получать доступ ко всем

ресурсам сети, сервис электронной почты - предоставляет пользователям сети

возможность обмениваться сообщениями.

Среди сетевых служб можно выделить такие, которые в основном ориентированы

не на простого пользователя, а на администратора. Такие службы необходимы

для организации правильной работы сети в целом, например, служба

администрирования учетных записей о пользователях DomainUserManager в

WindowsNT, которая позволяет администратору вести общую базу данных о

пользователях сети. Более прогрессивным является подход с созданием

централизованной справочной службы, или по-другому службы каталогов,

которая предназначена для ведения базы данных не только обо всех

пользователях сети, но и обо всех ее программных и аппаратных компонентах.

В качестве примеров службы каталогов часто приводятся NDS компании Novell и

StreetTalk компании Banyan. Другими примерами сетевых служб,

предоставляющих сервис администратору, являются служба мониторинга сети,

позволяющая захватывать и анализировать сетевой трафик, служба

безопасности, в функции которой может входить в частности выполнение

процедуры логического входа с проверкой пароля, служба резервного

копирования и архивирования.

Если сетевые службы встроены в операционную систему, то есть

рассматриваются как неотъемлемые ее части, то такая операционная система

называется сетевой. Например, сетевая ОС WindowsNT, Unix, NetWare, OS/2

Warp. Все внутренние механизмы такой операционной системы оптимизированы

для выполнения сетевых функций.

Другой вариант реализации сетевых служб - объединение их в виде некоторого

набора (оболочки), при этом все службы такого набора должны быть между

собой согласованы, то есть в своей работе они могут обращаться друг к

другу, могут иметь в своем составе общие компоненты, например, общую

подсистему аутентификации пользователей или единый пользовательский

интерфейс. Для работы оболочки необходимо наличие некоторой локальной

операционной системы, которая бы выполняла обычные функции, необходимые для

управления аппаратурой компьютера, и в среде которой выполнялись бы сетевые

службы, составляющие эту оболочку. Примером сетевой оболочки служат,

например, LANServer, LANManager.

Естественно, что оболочка должна строится с учетом специфики той

операционной системы, над которой она будет работать. Так LANServer,

например, существует в различных вариантах: для работы над операционными

системами VMS, VM, OS/400, AIX, OS/2.

Сетевые оболочки часто подразделяются на клиентские и серверные. Поскольку

при реализации любого сетевого сервиса естественно возникает источник

запросов (клиент) и исполнитель запросов (сервер), то и любая сетевая

служба содержит в своем составе две несимметричные части - клиентскую и

серверную. Оболочка, которая преимущественно содержит клиентские части

сетевых служб называется клиентской. Например, типичным набором

программного обеспечения рабочей станции в сети NetWare является MSDOS с

установленной над ней клиентской оболочкой NetWare, состоящей из клиентских

частей файлового сервиса и сервиса печати, а также компоненты,

поддерживающие пользовательский интерфейс.

Серверная сетевая оболочка, примерами которой могут служить тот же

LANServer и LANManager, а также NetWareforUnix,

FileandPrintServiceforNetWare, ориентирована на выполнение серверных

функций. Серверная оболочка, как минимум содержит серверные компоненты двух

основных сетевых сервисов - файлового сервиса и печати, именно такой набор

серверов реализован в упомянутых выше NetWareforUnix и

FileandPrintServiceforNetWare. Некоторые же оболочки содержат настолько

широкий набор сетевых служб, что их называют сетевыми операционными

системами. Так, ни один обзор сетевых операционных систем не будет

достаточно полным, если в нем отсутствует информация о LANServer,

LANManager, ENS, являющихся сетевыми оболочками.

С одним типом ресурсов могут быть связаны разные сервисы, отличающиеся

протоколом взаимодействия клиентских и серверных частей. Так, например,

встроенный файловый сервис в WindowsNT реализует протокол SMB, используемый

во всех ОС компании Microsoft, а дополнительный файловый сервис, входящий в

состав оболочки FileandPrintServiceforNetWare для этой же WindowsNT,

работает по протоколу NCP, "родному" для сетей NetWare. Кроме того, в

стандартную поставку WindowsNT входит сервер FTP, реализующий файловый

сервис Unix-систем. Ничто не мешает приобрести и установить для работы в

среде WindowsNT и другие файловые сервисы, такие, например, как NFS, кстати

имеющий несколько реализаций, выполненных разными фирмами. Наличие

нескольких видов файлового сервиса, позволяет работать в сети приложениям,

разработанным для разных операционных систем.

Сетевые оболочки создаются как для локальных операционных систем, так и для

сетевых операционных систем. Действительно, почему бы не дополнить набор

сетевых служб, встроенных в сетевую ОС, другими службами, составляющими

некоторую сетевую оболочку. Например, сетевая оболочка ENS

(EnterpriseNetworkServices) - содержащая базовый набор сетевых служб

BanyanVines, может работать над сетевыми ОС Unix и NetWare (конечно, для

каждой из этих операционных систем имеется соответствующий вариант ENS).

Существует и третий способ реализации сетевой службы - в виде отдельного

продукта. Например, сервер удаленного управления WinFrame - продукт

компании Citrix, предназначен для работы в среде WindowsNT, он дополняет

возможности встроенного в WindowsNT сервера удаленного доступа

RemoteAccessServer. Аналогичную службу удаленного доступа для NetWare также

можно приобрести отдельно, купив программу NetWareConnect.

С течением времени сетевая служба может получить разные формы реализации.

Так, например, компания Novell планирует поставлять справочную службу NDS,

первоначально встроенную в сетевую ОС NetWare, для других ОС, для чего эта

служба будет переписана в виде отдельных продуктов, каждый из которых будет

учитывать специфику соответствующей ОС. Уже имеются версии NDS для работы в

средах SCOUnix и HP-UX, а к концу года ожидаются версии для Solaris 2.5 и

WindowsNT. А справочная служба StreetTalk уже давно существует и в виде

встроенного модуля сетевой ОС BayanVines, и в составе оболочки ENS, и в

виде отдельного продукта для различных операционных систем.

Таким образом, выбор сетевой операционной системы сводится к анализу

возможностей всей совокупности сетевых служб (не только встроенных в ОС),

способных работать в этой операционной среде. Насколько функционально полон

этот набор, насколько он удовлетворяет требованиям пользователей и

администраторов сети по производительности, по удобству использования, по

безопасности - от всего этого и зависит выбор сетевой операционной системы.

6.2. Критерии выбора корпоративной ОС

Сетевые ОС могут быть разделены на две группы: масштаба отдела и масштаба

предприятия (корпоративные ОС). От операционной системы отдела требуется,

чтобы она обеспечивала некоторый набор сетевых сервисов, включая разделение

файлов, приложений и принтеров. Она также должна обеспечивать свойства

отказоустойчивости, такие как зеркальное отображение серверов и зеркальное

отображение дисков. Обычно сетевые ОС отделов более просты в установке и

управлении по сравнению с сетевыми ОС предприятия, но у них меньше

функциональных свойств, они меньше защищают данные и имеют более слабые

возможности по взаимодействию с другими типами сетей, а также худшую

производительность. К числу наиболее популярных ОС для сетей отделов и

рабочих групп могут быть отнесены ОС NetWare 3.x, PersonalWare,

ArtisoftLANtastic.

В качестве корпоративных операционных систем чаще всего называют такие

сетевые ОС, как BanyanVines, NovellNetWare 4.x, IBMLANServer,

MicrosoftLANManager и WindowsNTServer, SunNFS, SolarisUnix и многие другие

ОС семейства Unix.

Среди основных требований, которым должна отвечать корпоративная ОС можно

указать следующие:

. функциональная полнота - разнообразие поддерживаемых сервисов;

. производительность - запросы к серверам должны обрабатываться с

преемлемым уровнем задержек;

. масштабируемость - характеристики производительности сетевой ОС должны

сохраняться неизменными в широком диапазоне изменения параметров

системы, то есть сеть должна хорошо работать, и тогда, когда число

пользователей и рабочих станций измеряется тысячами, число серверов -

сотнями, объемы обрабатываемой информации - терабайтами;

. возможность работы на мощной аппаратной платформе: поддержка

многопроцессорности, больших объемов оперативной и внешней памяти, а

также широкой номенклатуры внешних устройств, включая разнообразные

виды глобальных связей;

. способность работать в гетерогенной среде: поддержка разных стеков

коммуника- ционных протоколов, поддержка разнообразных ОС на рабочих

станциях, наличие средств взаимодействия с сервисами других сетевых

ОС, аппаратная многоплатфор- менность, то есть способность работы на

компьютерах разных типов;

. возможность использования в качестве сервера приложений, наличие

большого коли- чества приложений для данной операционной среды;

. поддержка распределенных вычислений;

. эффективная поддержка удаленного доступа;

. развитая справочная служба;

. широкая поддержка Internet;

. стабильность и безопасность.

Ниже некоторые из этих требований обсуждаются более подробно.

6.2.1. Поддержка многопроцессорности и многонитевости

Непременным требованием для компьютера, претендующего на роль сервера

корпоративной сети, является наличие нескольких процессоров. Чаще всего

такое требование связано с необходимостью обеспечения высокой

производительности, реже - для того, чтобы повысить надежность путем

резервирования процессоров. В любом случае операционная система должна

предоставить программные средства для управления несколькими процессорами.

Все популярные ОС корпоративного уровня: BanyanVines, NovellNetWare 4.x,

IBMLANServer, MicrosoftWindowsNTServer, SunNFS, SolarisUnix, AIX, HP-UX -

поддерживают мультипроцессорную обработку.

При выполнении некоторых приложений на многопроцессорной системе повышения

производительности может и не произойти, необходимо, чтобы приложение

допускало параллельное выполнение различных его частей. Внутренний

параллелизм приложений наилучшим образом выявляется путем использования

механизма нитей (или потоков). В большинстве современных ОС поддерживается

многонитевость, которая позволяет выполнять приложение сразу на нескольких

процессорах, в результате чего многонитевые серверы, например, могут

одновременно обслуживать более одного клиента.

Отсюда следует, что для достижения высокой производительности мало

приобрести мультипроцессорный компьютер и установить мультипроцессорную ОС,

необходимо убедиться в том, что для этой мультипроцессорной программно-

аппаратной платформы имеется достаточно многонитевых приложений, которые

могут в полной мере реализовать имеющийся потенциал производительности.

Кроме повышения производительности, мультипроцессорность используется для

обеспечения надежности за счет процессорной избыточности - отказ одного

процессора снижает производительность, но не вызывает отказа системы.

Однако из того, что ОС является мультипроцессорной вовсе не следует, что

она обязательно поддерживает резервирование на уровне процессоров. Так,

например, хотя в WindowsNT реализовано симметричное мультипроцессирование,

при отказе одного из процессоров система останавливается и требует

перезапуска.

Следует иметь ввиду, что разные ОС на одной и той же аппаратной платформе

могут показать различную степень масштабируемости. В данном случае

масштабируемость характеризуется тем, насколько линейно зависит

производительность от числа процессоров. Известно, что наилучшей

масштабируемостью обладают операционные системы семейства Unix, например,

ОС Solaris демонстрировала линейный рост производительности при увеличении

числа процессоров до 64.

Летом этого года было сообщено, что последняя корпоративная редакция

WindowsNTServer 4.0 EnterpriseEdition будет стандартно поддерживать 8-

процессорные SMP-конфигурации, но что OEM-производители смогут предлагать

собственные изделия с большим числом процессоров. К сожалению нам не

удалось получить количественные данные о масштабируемости новой версии,

поэтому приводим результаты тестирования мультипроцессорных версий

WindowsNT и NetWare, взятые из журнала DataCommunications годичной давности

(рисунок 6.1).

Тестирование проводилось путем измерения числа транзакций, выполненных в

минуту. В качестве приложения была выбрана СУБД Oracle, поскольку это

типичное приложение, для которого может потребоваться мультипроцессорная

платформа. Источником запросов являлись 32 клиента, работающих на ПК. В

качестве сервера был выбран Tricord, имеющий следующую конфигурацию: 6

Pentium-процессоров, 1 Гб памяти, 24 Гб дисковой памяти. Измерения

проводились для конфигураций с 2, 4 и 6 процессорами. За единицу

производительности принято значение максимальной производительности,

показанное в эксперименте.

[pic]

Рис. 6.1.

Из рисунка видно, что ОС NetWare показала хорошую масштабируемость, в то

время как производительность WindowsNT с увеличением числа процессоров

росла очень несущественно: при переходе с 2 процессоров к 4 она выросла

только на 5%, а при переходе с 4 к 6 - на 4%. (Конечно, WindowsNT могла

показать гораздо лучшие результаты, если бы в качестве базы данных был

выбран MicrosoftSQLServer.)

Сравнивая возможности мультипроцессирования WindowsNT и NetWare, следует

отметить также, что в то время как для приложений WindowsNT совершенно не

важно, будут ли они выполняться на компьютере с одним или несколькими

процессорами, приложения NetWare для того, чтобы иметь возможность

выполняться в мультипроцессорной среде NetWare, должны быть написаны

специальным образом, то есть уже существующие однопроцессорные приложения

необходимо переписывать заново.

6.2.2. Не только файловый сервер, но и сервер приложений

Для того, чтобы ОС подходила на роль сервера приложений, она должна

поддерживать несколько популярных универсальных API таких, которые

позволяли бы, например, выполняться в среде этой ОС приложениям UNIX,

Windows, MS-DOS, OS/2. Эти приложения должны выполняться эффективно, а это

означает, что в данная ОС должна поддерживать многонитевую обработку,

вытесняющую многозадачность, мультипроцессирование и виртуальную память.

Сервер приложений должен базироваться на мощной аппаратной платформе

(мультипроцессорные системы, часто на базе RISC-процессоров,

специализированные кластерные архитектуры).

Учитывая все это, Unix и WindowsNT можно отнести к хорошим серверам

приложений, а NetWare - только с большими оговорками. Действительно, сервер

NetWare разрабатывался так, чтобы минимизировать среднее время доступа к

данным на диске, что делает наиболее целесообразным его использование в

качестве специализированного файл-сервера. Ради высокой производительности

файловых операций разработчики пожертвовали некоторыми другими полезными

свойствами, необходимыми для сервера приложений.

Так, в NetWare планирование процессов осуществляется в соответствии с

алгоритмом невытесняющей многозадачности. Это означает, что каждое

приложение берет на себя функции по распределению процессорного времени.

Для этого в программах, написанных для выполнения в среде NetWare, должны

быть предусмотрены специальные операторы, с помощью которых они по своей

инициативе должны отдавать управление операционной системе. Такие

программы, написанные с использованием специализированного прикладного

программного интерфейса NetWare, называются загружаемыми модулями (NLM).

Таким образом, для того, чтобы приложение могло быть выполнено на сервере

NetWare, оно должно быть разработано в виде NLM. Приложения для NetWare

нужно писать тщательно, осознавая последствия их совместной работы на

сервере, чтобы одно приложение не подавляло другие из-за слишком

интенсивного захвата процессорного времени. NLM, который слишком долго не

отдает управление, может дезорганизовать работу сервера. Все это требует от

разработчика приложений для NetWare высокой квалификации.

Универсальные прикладные программные интерфейсы в NetWare отсутствуют. Это

затрудняет выполнение уже имеющихся и разработку новых приложений. Следует

учесть, однако, что чрезвычайная популярность NetWare привела к тому, что к

настоящему моменту имеется богатейший выбор программного обеспечения для

NetWare.

Специализированность NetWare заключается также и в том, что все приложения

выполняются в 0-ом кольце защиты процессора, так же как выполняются все

модули ядра NetWare. Другими словами, каждое приложение NetWare можно

считать частью операционной системы. Любое некорректно разработанное

приложение может испортить код ядра. Отсюда следует, что к приложениям

NetWare должны предъявляться такие же высокие требования по надежности и

качеству исполнения, что и к модулям операционной системы.

Вместе с тем выполнение всех программ в привилегированном режиме

значительно ускоряет работу ОС, так как время переключения процессора из

одного режима защиты в другой гораздо больше времени перехода на

подпрограмму внутри одного и того же режима защиты.

Как уже было сказано, компьютер, на котором установлен сервер NetWare, не

может быть использован для запуска обычных приложений. Для маленьких сетей,

в которых каждый компьютер на счету, это, возможно и является недостатком,

однако гораздо чаще администратор сети, не зависимо от того, какая

операционная система установлена на файл-сервере, при возникновении

малейшей возможности стремится разгрузить его от выполнения всех других

системных и пользовательских приложений. Такая изоляция сервера от конечных

пользователей повышает безопасность хранимых на сервере данных и надежность

системы в целом.

Все выше перечисленные особенности ОС NetWare, связанные с ее

специализированностью, делают эту операционную систему не очень

хорошимсервером приложений.

Но поскольку необходимость в наличии сервера приложений все же возникает и

в сетях NetWare, то для решения этой проблемы на какой-либо из рабочих

станций сети устанавливается такая операционная система, которая хорошо

подходила бы на роль сервера приложений. Для этой цели компанией Novell

одно время позиционировалась операционная система UnixWare - вариант ОС

Unix, совместимый с NetWare. В последнее время в качестве сервера

приложений в сетях NetWare часто используют WindowsNT.

6.2.3. Справочная служба - грозное оружие в борьбе за корпоративный рынок

Для большой сети, состоящей из сотен серверов и тысяч клиентов, очень важно

наличие мощной централизованной справочной службы (DirectoryServices), в

которой в упорядоченном виде хранится информация о пользователях сети (их

имена, пароли, разрешенные часы входа в сеть, разрешенные клиентские

компьютеры) и ее ресурсах - серверах, томах файловой системы, базах данных,

принтерах, системных приложениях. Необходимая справочная информация о

ресурсах в зависимости от его типа включает разные данные, например,

программный сервер может характеризоваться типом сервиса, версией,

символьным именем и сетевым адресом.

Очевидно, что любая ОС ведет подобную справочную информацию, но она часто

представляется в виде разрозненных файлов или баз данных. Эта

разрозненность существует как в рамках отдельного компьютера (например,

данные о пользователях хранятся и в ОС, и в различных приложения: СУБД,

почте, сервисе удаленного доступа), так и в рамках всей сети, когда каждый

сервер ведет свою базу данных пользователей и администрируется независимо

от других, как это сделано, например, в NetWare 3.x. Из-за этого возникает

избыточность и несогласованность справочной информации, которые усложняют

работу администратора и приводят к ошибкам, создающим иногда прорехи в

системе защиты сети от несанкционированного доступа.

Хорошая справочная служба предоставляет всем системным приложениям общую

базу справочных данных, которой они могут пользоваться в своих целях: почта

- для нахождения сетевых адресов ее абонентов, СУБД - для выполнения

процедур аутентификации и авторизации, а также для нахождения таблиц

распределенной базы данных.

Справочная служба должна обеспечивать единую процедуру логического входа в

сеть. Аутентифицируясь с ее помощью один раз, пользователь получает доступ

ко всем ресурсам сети. При этом пользователь избавляется от необходимости

запоминать несколько идентификаторов, паролей и имен серверов, а

администратор - поддерживать несколько пользовательских бюджетов на разных

серверах.

Справочная служба должна обладать масштабируемостью, то есть хорошо

работать при очень большом числе пользователей и ресурсов. Для этого

необходимо, чтобы база справочных данных была распределенной, то есть части

ее располагались на разных компьютерах. Действительно, хранение данных для

большой сети в одном компьютере ненадежно и непроизводительно, так как

обращения всех клиентов к одному компьютеру делают его узким местом, кроме

того разбиение базы данных на части и хранение этих частей на разных

компьютерах позволяет приблизить данные к источнику запросов, делая эти

данные доступнее.

Поскольку справочная служба является централизованным элементом сети, она

должна обладать отказоустойчивостью. Для этого справочная база данных

должна быть не только распределенной, но и реплицируемой.

Примерами распределенных справочных служб, в наибольшей степени

удовлетворяющих этим требованиям, являются службы NetWareDirectoryServices

(NDS) компании Novell и служба StreetTalk компании Banyan.

Компания Banyan, не без основания предполагая, что ее справочная служба

может составить сильную конкуренцию NDS компании Novell, даже отказалась от

продвижения своей сетевой ОС Vines 7.0 и сконцентрировалась на развитии

StreetTalk для WindowsNT, NetWare, Solaris и SCOUnix. Проблемы же

StreetTalk заключаются в том, что на рынке пока ощущается дефицит

приложений, поддерживающих эту справочную службу.

Известны также справочные службы NIS, NIS+, DCE, поддерживаемые ОС Unix, и

доменная справочная служба DirectoryServicesWindowsNT. В виду того, что

справочная служба, основанная на доменах плохо масштабируется, сложна в

управлении и имеет ограниченные функциональные возможности, компания

Microsoft предлагает новую глобальную справочную службу - ActiveDirectory .

Эта служба должна появиться в начале 1998 года составе WindowsNT 5.0.

6.2.4. Стабильность и отказоустойчивость

Корпоративная ОС должна быть стабильной и устойчивой, для этого она, как

минимум, должна работать в защищенном режиме и поддерживать вытесняющую

многозадачность. Эти два условия не позволят некорректно работающим

приложениям нарушить работу операционной системы и других приложений.

Стабильность ОС обуславливается также использованием прогрессивных

технологий и архитектурных решений, таких как микроядерный подход к

структурной организации ОС или использование объектов на уровне

операционной системы.

Стабильности ОС способствует реализация вытесняющей

многозадачности.Вытесняющая многозадачность - это такой способ разделения

процессорного времени, который позволяет пользователю-программисту при

разработке приложений не заботиться о том, чтобы приложение отдавало

управление через определенный промежуток времени, что обязательно при

использовании алгоритма невытесняющей многозадачности, реализованного,

например, в NetWare. В системах с вытесняющей многозадачностью планирование

процессов или нитейвыполняется централизованно, средствами ОС.

Универсальность и независимость алгоритма планирования от конкретного

набора прикладных программ делает систему более надежной и защищенной от

неправильно работающих приложений, так как ни одно из них не сможет слишком

долго занимать процессор и, следовательно, не сможет привести к сбою

системы по этой причине.

На стабильность системы в целом влияет насколько хорошо ОС поддерживает

аппаратные средства обеспечения надежности и отказоустойчивости. И прежде

всего, необходимо поинтересоваться, обеспечивает ли ОС резервирование

процессоров, то есть возможность продолжения работы при отказе одного из

процессоров. Статистика показывает, что наиболее частой причиной отказа

компьютера являются проблемы с источниками питания и отказы дисковых

подсистем. Поэтому так важны для корпоративной ОС возможности по поддержке

источников бесперебойного питания UPS, а также дисковых массивов типа RAID.

6.2.5. Насколько важна сертифицированность ОС по критериям безопасности

Каждая сетевая ОС имеет набор средств для обеспечения безопасности данных,

их целостности, доступности и конфиденциальности. Для этого в ней

предусмотрены средства проведения процедур аутентификации и авторизации

пользователей, а также аудита (отслеживания) всех событий, потенциально

опасных для системы. Для характеристики степени безопасности ОС

используются различные стандарты.

Основы стандартов на безопасность были заложены изданными в 1983 году

"Критериями оценки надежных компьютерных систем". Этот документ, изданный в

США национальным центром компьютерной безопасности (NCSC -

NationalComputerSecurityCenter), часто называют Оранжевой Книгой.

Утвержденная в 1985 году в качестве правительственного стандарта, Оранжевая

Книга определяет основные требования и специфицирует классы для оценки

уровня безопасности готовых и коммерчески поддерживаемых компьютерных

систем.

В соответствии с требованиями Оранжевой книги, безопасной считается такая

система, которая "посредством специальных механизмов защиты контролирует

доступ к информации таким образом, что только имеющие соответствующие

полномочия лица или процессы, выполняющиеся от их имени, могут получить

доступ на чтение, запись, создание или удаление информации".

Иерархия надежных систем, приведенная в Оранжевой Книге, помечает низший

уровень безопасности как С, высший как А, промежуточный как B. В класс D

попадают системы, оценка которых выявила их несоответствие требованиям всех

других классов.

Основные свойствами, характерными для С-систем, являются: наличие

подсистемы учета событий, связанных с безопасностью, избирательный контроль

доступа. Избирательный контроль заключается в том, что каждый пользователь

в отдельности наделяется или лишается привилегий доступа к ресурсам.

Уровень С делится на 2 подуровня: С1 и С2. Уровень С2 предусматривает более

строгую защиту, чем С1. В соответствии с этим уровнем требуется

отслеживание событий, связанных с нарушениями защиты, детальное определение

прав и видов доступа к данным, предотвращение случайной доступности данных

(очистка освобожденной памяти). На уровне С2 должны присутствовать средства

секретного входа, которые позволяют пользователям идентифицировать себя

путем ввода уникального идентификатора (ID) входа и пароля перед тем, как

им будет разрешен доступ к системе. Избирательный контроль доступа,

требуемый на этом уровне, позволяет владельцу ресурса определить, кто имеет

доступ к ресурсу и что он может с ним делать. Владелец делает это путем

предоставляемых прав доступа пользователю или группе пользователей.

Средства учета и наблюдения (auditing) - обеспечивают возможность

обнаружить и зафиксировать важные события, связанные с безопасностью, или

любые попытки создать, получить доступ или удалить системные ресурсы. Эти

средства используют идентификаторы, чтобы зафиксировать того пользователя,

который выполняет эти действия. Защита памяти - предохраняет от чтения

информации, записанной кем-нибудь в память, после того, как структуры

данных будут возвращены ОС. Память инициализируется перед тем, как повторно

используется.

Требования уровней В и А гораздо строже и редко предъявляются к массово

используемым продуктам.

Различные коммерческие структуры (например, банки) особо выделяют

необходимость аудита, службы, соответствующей рекомендации С2. Любая

деятельность, связанная с безопасностью, может быть отслежена и тем самым

учтена. Это как раз то, что требует С2, и то, что обычно нужно банкам.

Однако, коммерческие пользователи, как правило, не хотят расплачиваться

производительностью за повышенный уровень безопасности. Уровень

безопасности А занимает своими управляющими механизмами до 90% времени

компьютера. Более безопасные системы не только снижают эффективность, но и

существенно ограничивают число доступных прикладных пакетов, которые

соответствующим образом могут выполняться в подобной системе. Например, для

ОС Solaris (версия UNIX) есть несколько тысяч приложений, а для его аналога

В-уровня - только сотня.

Операционные системы, которые сертифицировались в соответствии с

требованиями Оранжевой книги, тестировались как локальные операционные

системы, с отключенными сетевыми функциями. Для сетевых ОС предусмотрена

сертификация по так называемой Красной книге, в которой критерии С2

конкретизируются по отношению к системам, работающим в сети. Таким образом,

нет никаких формальных гарантий, что ОС, сертифицированные по Оранжевой

книге, надежно защищают информацию и при работе в сети. Однако это не

означает, что такие ОС не могут быть использованы для построения безопасных

сетей.

К настоящему времени WindowsNT 3.51 прошла сертификацию по уровню С2

Оранжевой книги. Тестирование выполнялось с отключенными сетевыми

функциями. Серверная ОС NetWare прошла сертификацию с учетом требований

Красной книги (понятно, что как автономная операционная система она в

принципе не может функционировать).

Отдавая должное наличию сертификата у того или иного продукта, не стоит все

же преувеличивать важность этого факта, особенно в области безопасности.

Сертификация вовсе не означает, что данный продукт никогда не сможет быть

взломан; она просто говорит о том, что при использовании продукта,

сертифицированного авторитетной организацией, риск может быть значительно

уменьшен.

Сертификация в области безопасности всегда связана с тестированием продукта

для вполне определенного и наиболее часто встречающегося набора угроз и

атак. А так как человечество постоянно изобретает все новые и новые способы

взлома информационных систем, то даже те ограниченные гарантии, которые

были даны системе в момент сертификации, постепенно теряют свое значение.

Кроме того, необходимо учитывать, что процедура сертификации продолжается

примерно 2 года, и каждая новая версия должна заново проходить эту

процедуру.

6.2.6. Способность работать в гетерогенной среде

Это свойство операционной системы, называемое иногда совместимостью, имеет

много аспектов, и одним из них является способность операционной системы

поддерживать разнообразные аппаратные платформы: серверы и суперсерверы на

основе процессоров Intel, RISC-серверы, миникомпьютеры и мэйнфреймы.

Многоплатформенность позволяет уменьшить гетерогенность сети за счет

использования на компьютерах разного типа одной и той же ОС.

Другим аспектом совместимости является интеграция сервисов различных

операционных систем в рамках одной ОС. В корпоративной сети разные клиенты

привыкли пользоваться разными вариантами реализации файлового сервиса.

Клиенты, работающие с серверами NetWare, пользуются файловым сервисом NCP,

клиенты Unix работают с файловым сервисом NFS. С другой стороны, в

корпоративной сети у клиентов может возникнуть необходимость обращения к

"чужим" файлам, то есть файлам, хранящимся на сервере, который

предоставляет недоступный для них файловый сервис. Например, когда клиент

Unix хочет получить доступ к файлам NetWare, он не может этого сделать, так

как у него нет в распоряжении клиентской части этого сервиса. Поэтому очень

важно, чтобы ОС могла в разной форме предоставлять доступ к хранящимся в

ней файлам - и в стиле Unix, и в стиле NetWare.

Гетерогенность сети выражается и в многообразии операционных систем

конечных пользователей. Корпоративная ОС должна иметь набор сетевых

клиентских оболочек для широкого перечня операционных систем,

устанавливаемых на клиентские станции, среди которых, конечно должны быть

DOS, Windows, Windows 95, UNIX, OS/2, Mac.

В состав операционной системы входят программные средства, используемые при

решении задачи транспортировки сообщений. К таким средствам относятся

драйверы сетевых адаптеров, реализующие протоколы канального уровня, и

разнообразные транспортные протоколы. Современная корпоративная ОС должна

поддерживать сетевое оборудование стандартов Ethernet, TokenRing, FDDI,

FastEthernet, 100VG-AnyLAN, ATM. На более высоких уровнях должны

поддерживаться протоколы стеков TCP/IP, IPX/SPX, NetBIOS, AppleTalk.

6.3. Тенденции рынка сетевых ОС

631

6.3.1. NT оттесняет Unix в мир 64-разрядных серверов

В борьбе на рынке сетевых операционных систем можно выделить много фронтов,

один из них пролегает между WindowsNT и Unix. В последнее время все чаще и

острее проходят дискуссии на тему "Что лучше WindowsNT или Unix?" Не будучи

фанатиком той или иной системы, нельзя дать однозначный ответ на этот

некорректный вопрос, но вполне возможно очертить нишу, занимаемую каждой из

систем, проследить тенденции, отметить достоинства и недостатки. Именно

этому посвящен данный раздел.

Unix насчитывает 25 лет своей истории, а WindowsNT еще вполне молодая

система. Отсюда во многом проистекают как достоинства, так и недостатки

обоих систем. Надежность и стабильность любой технологии повышается с

накоплением опыта использования: Unix прошел "шлифовку" в течение 25 лет.

За четверть века трудом миллионов талантливых программистов был создан

огромный багаж программного обеспечения, работающего в среде Unix. Но за

эти годы многое, что изменилось в компьютерном мире, появлялись новые идеи,

совершенствовалась технология, возникали новые задачи, появлялась новая

аппаратура, которую необходимо было поддерживать, изменялись требования,

предъявляемые к операционным системам. "Вызовы" времени отрабатывались,

путем внесения изменений в программный код, создавались и согласовывались

многочисленные версии. В результате Unix приобрел некоторый налет

эклектичности, что в общем-то происходит со всеми развивающимися системами.

В некоторых версиях Unix сосуществуют в одной системе сразу два вида

программного кэша диска, иногда встречается реализация механизма нитей в

виде библиотеки программ пользовательского режима, что не очень эффективно,

можно привести примеры реализаций монолитного ядра с невыгружаемыми

драйверами. (Утверждать или, не дай Бог, критиковать что-либо, связанное с

внутренним устройством Unix - дело неблагодарное, ибо для любого недостатка

одной версии, всегда можно найти другую версию из многочисленного семейства

Unix, в которой этот недостаток отсутствует. Таким образом,

противопоставляя какую-либо систему Unix'у мы противопоставляем ее

огромному и разнообразному семейству операционных систем.) Тем не менее

сейчас уже трудно говорить об академической стройности и логической ясности

семейства Unix в целом.

С другой стороны, Unix привнесла в мир операционных систем множество новых

идей, адаптацию которых мы наблюдаем во всех современных ОС, в том числе,

конечно, и в WindowsNT. Эта операционная система с самого начала

разрабатывалась с учетом переносимости, многопроцессорности и других

свойств, которые должны быть присущи современной ОС. Разработчики WindowsNT

уже имели в своем распоряжении опыт, наработанный Unix-системами. Но, к

сожалению, не только в человеческой жизни невозможно научиться на чужих

ошибках. За короткую жизнь WindowsNT ее разработчиками было сделано немало

собственных ошибок, и сейчас для нормальной работы системы требуется

постоянно следить за сообщениями, регулярно появляющимися на серверах

Internet и в прессе о новых обнаруженных "багах" и не забывать вовремя

перезапускать ServicePack соответствующей версии.

Конкуренция между этими двумя операционными системами наблюдается не только

в области технических идей, но и прежде всего в коммерческой области. В

1996 году мировой объем продаж Unix-систем, включая ПК, рабочие станции,

серверы ЛВС, системы среднего уровня и большие системы, вырос на 12%,

достигнув 34,3 млрд. долл. Этот отрадный факт был омрачен для сторонников

Unix-систем другим сообщением: по предварительным данным IDC мировые

продажи лицензий на WindowsNTServer впервые превысили продажи лицензий на

Unix: 725 и 602 тысячи соответственно. И хотя многие связывают рыночный

успех WindowsNT не столько с техническими достижениями, сколько с

маркетинговыми талантами Билла Гейтса, не возможно игнорировать тот факт,

что на сцене сетевых операционных систем появился новый сильный игрок,

претендующий на первые роли во всех секторах.

К настоящему моменту в результате борьбы WindowsNT и Unix на рынке

сложилась ситуация, которую схематично можно представить в следующем виде:

|сетевые операционные системы персональных|преимущественно WindowsNT |

|компьютеров | |

|серверные системы младшего класса |Unix и все активнее внедряется|

| |WindowsNT |

|высокопроизводительные серверы |преимущественно Unix |

Именно в области высокопроизводительных серверов для самых крупных и

требующих наивысшей надежности бизнес-приложений Unix доказала свою

ценность. Эту нишу WindowsNT пока что не в состоянии занять. Unix остается

операционной системой крупных серверов, хранилищ больших баз данных, мощных

вычислителей, интеграционных машин крупных проектов и т. п. В одних случаях

это обусловлено наличием соответствующего ПО, в других - тем простым

фактом, что мощные серверы, построенные на базе RISC-процессоров,

оснащаются только Unix. Ведь распространение WindowsNT вне мира Intel

крайне незначительно и системе Unix здесь просто нет альтернативы.

В последние четыре года была проделана большая работа по расширению

масштабируемости Unix. Поскольку Unix все шире применяется на машинах с

симметричной мультипроцессорной обработкой (SMP), для массивно параллельных

суперкомпьютеров и кластеров из большого числа машин не остается сомнений в

возможностях дальнейшего развития Unix по мере роста требований

промышленности. Аналитики предсказывают, что в ближайшие два года Unix-

серверы останутся более масштабируемыми, чем NT-серверы. Они также будут

лучше приспособлены для создания кластеров, применяемых для обеспечения

высокого уровня надежности.

Важным этапом развития Unix является его перенос на машины с 64-разрядной

архитектурой. Ожидается, что в ближайшее время Hewlett-Packard, IBM и Sun

выпустят 64-разрядные версии своих Unix-систем для RISC-платформ. Для

успеха 64-разрядных ОС Unix необходимо, чтобы независимые разработчики

приложений усилили ее поддержку. Без качественных высокопроизводительных

приложений преимущество любой ОС - только теоретическое.

В последнее время корпорация Microsoft ведет активное наступление на рынке

средних и младших моделей серверов, затрагивая и традиционно принадлежащий

Unix'у рынок рабочих станций. В результате давления серверов на платформе

Intel под управлением WindowsNT на рынок младших моделей рабочих станций на

базе RISC под Unix, в прошлом году произошел спад продаж в этом сегменте.

Но в то же время объем продаж серверных Unix-систем среднего уровня

значительно вырос, в основном за счет повышенного спроса на Unix-серверы

как платформы для реляционных СУБД.

Хотя сегодня предлагается немало систем для архитектуры Intel - OpenDeskTop

компании SCO, Solaris фирмы Sun, BSD/386 фирмы BSDI, бесплатные Linux,

FreeBSD, Unix не сумела занять достойного места на рынке персональных

компьютеров. Сказались недостаточное внимание к персональным компьютерам со

стороны основных компаний-производителей Unix, недостаточно дружественный

интерфейс приложений в среде Unix, ориентированный на профессионального

пользователя. Система Unix изначально создавалась программистами для

программистов. Однако в последнее время поставщики Unix-систем (IBM, в

частности) стали серьезно относиться к удобству пользовательского

интерфейса, к упрощению процедур администрирования.

Особая тема - историческая и нынешняя роль ОС Unix в Internet, но об этом в

следующем разделе. 632

6.3.2. Движение операционных систем в сторону Internet

Рейтинг сетевых операционных систем во многом определяется тем, насколько

полно они осуществляют поддержку Internet. Все наиболее популярные ОС в

ответ на это требование рынка предложили целый спектр новых возможностей и

продуктов. Как минимум, операционная система должна поддерживать стек

коммуникационных протоколов TCP/IP (TCP, UDP, IP, OSPF и др.), основные

сервисы прикладного уровня стека TCP/IP (FTP, Telnet, DNS, DHCP и др.),

протокол HTTP и сервис WWW.

Unix

Всем известно, что Internet представляет собой сеть из сетей, построенных

на Unix, поэтому позиции Unix в Internet непоколебимы. Internet

сформировалась и завоевала миллионы подписчиков задолго до эпохи ее

коммерциализации и во многом благодаря системе Unix и мировому сообществу

ее разработчиков. Основные службы Internet приобрели современный вид именно

в системе Unix.

С началом коммерческого использования Internet к ней стали подключаться

миллионы и миллионы непрофессионалов. Поскольку непрофессиональные

пользователи, как правило, использовали ПК на базе процессора Intel с

операционной системой Windows, вся клиентская часть Internet совершенно

естественно стала стремительно переходить на Windows. Мелкие узлы Internet

на базе Intel-систем с операционной системой WindowsNT дешевле как по

начальным затратам, так и в ежедневном обслуживании.

Несколько другая картина наблюдается с серверной частью Internet. Здесь

использование Unix продолжается и оно оправдано. Во-первых, Internet-

провайдеры, на своих серверах используют в основном Unix. Это обусловлено

объективными причинами, такими, как большой объем сетевого трафика, для

которого архитектура Unix более приспособлена, и субъективными -

образованием и профессиональной подготовкой руководителей подобных

компаний. Большие по сравнению с Windows затраты времени и средств на

администрирование оправдываются значительно большей производительностью.

Во-вторых, крупные узлы Сети, опять-таки по соображениям

производительности, реализуются в среде Unix.

WindowsNT

Поддержка стека TCP/IP была заложена в WindowsNT изначально и усиливалась

от версии к версии. Существенные изменения в этом плане произошли и в

последней версии. В комплект поставки вошли новые Internet-ориентированные

компоненты:

. InternetInformationServer (IIS) версии 2.0 предоставляющий услуги Web-

, ftp- и gopher-сервера. Возможности InternetInformationServer

сравнимы, а по ряду тестов и превосходят аналогичный популярный

продукт ServerNetscape;

. DNS/WINSServer, который позволяет легко находить в Internet или

Intranet-сетях нужные Web-узлы;

. средства реализации технологии создания защищенного канала PPTP (point-

to-pointtunnelingprotocol), которая предназначена для создания частных

сетей (VPN) в Internet;

. программа FrontPage, которая позволяет создавать Web-страницы на

основе разнообразных шаблонов, проверять правильность ссылок и

осуществлять общее управление создаваемыми Web-узлами;

. индексный сервер MicrosoftSearchServer (кодовое название - "Tripoli"),

который позволяет легко находить информацию на распределенных серверах

Intranet-сети в рамках любых документов, в том числе и созданных в

MicrosoftOffice.

Технология индексации и поиска информации для WindowsNTServer 4.0,

разработанная Microsoft, осуществляет автоматическую индексацию содержимого

HTML-страниц и других документов, хранящихся на корпоративных Intranet-

серверах (например, документов созданных в MicrosoftOffice). SearchServer

является одним из элементов технологии Microsoft, известной под кодовым

названием "Cairo": таким образом, благодаря тесной интеграции с

WindowsNTServerDirectory обеспечивается безопасность поиска, а благодаря

интеграции с файловой системой WindowsNT - высокая эффективность. Этот

продукт позволяет индексировать содержимое нескольких серверов, причем

обеспечивается поддержка нескольких языков. SearchServer также поддерживает

для каждого языка возможности углубленного лингвистического анализа, то

есть пользователи могут находить документы или свойства документов с учетом

грамматических форм ключевого слова.

Два средства новой системы, предназначенные для работы в Internet,

представляют особый интерес для администраторов. Во-первых, это

интегрированная служба имен DNS/WINS. Теперь когда клиенту WINS нужно

определить IP-адрес, соответствующий символьному NetBIOS-имени, он

обращается сначала к базе данных WINS, а затем - собственно к DNS. Таким

образом, в системе на равных можно применять и динамически распознаваемые

имена WINS, и статические имена DNS.

Кроме того, в состав WindowsNT 4.0 вошла Web-ориентированная утилита

администрирования, открывающая доступ к средствам администрирования

WindowsNT из любого Web-браузера. Из соображений безопасности для

удаленного администрирования следует использовать Web-браузеры, способные

регистрировать пользователя непосредственно на сервере WindowsNT (т. е.

такие, как InternetExplorer) или поддерживать протокол защищенного канала

SSL.

Одно из усовершенствований связано с тем, что повышающаяся роль Internet'а

и клиент-серверных систем ведет к росту числа мобильных пользователей.

Microsoft в связи с этим улучшила RAS ( улучшила поддержку ISDN) и

предоставила средства безопасной работы с RAS через Internet. В RAS

реализованы протоколы PPTP (создает зашифрованный трафик через Internet) и

MultilinkPPP (позволяет объединять несколько каналов в один). Клиентами

могут быть WindowsNT 4.0 Workstation или Windows 95.

Использовать TCP/IP с NTServer или Workstation можно в сочетании с Point-to-

PointTunnelingProtocol. PPTP позволяет туннелировать IPX, TCP/IP и/или

NetBEUI через стандартные соединения InternetPoint-to-PointProtocol.

Содержимое пакетов (например сетевые данные) шифруется в этих соединениях

по умолчанию. В целом, PPTP дает пользователям шифрованный туннель сквозь

Internet для удаленного доступа на NTServer. В настоящее время PPTP

работает только между машинами Windows 95 и NT.

PPTP не является пока стандартным протоколом, и, хотя несколько поставщиков

вместе с Microsoft обратились с RFC в Группу инженерной поддержки Internet,

его принятие в качестве стандарта может занять от нескольких месяцев до

нескольких лет.

Распределенная модель объектной компоновки

(DistributedComponentObjectModel) - еще одно ключевое дополнение к

WindowsNTServer 4.0. Модель объектной компоновки (COM) позволяет

разработчикам программ создавать приложения, состоящие из отдельных

компонент. Распределенная модель (DCOM) в WindowsNTServer 4.0 расширяет COM

таким образом, что позволяет отдельным компонентам взаимодействовать через

Internet. DCOM является растущим стандартом Internet, опубликованным в

соответствии с форматом, определенным в спецификациях RFC 1543.

NetWare

Novell, по-прежнему являющаяся основным поставщиком серверов файлов и

печати, по-прежнему обладающая крупнейшей инсталлированной базой клиентов

службы каталогов и по-прежнему занимающая лидирующую позицию в разработке

решений по обмену сообщениями и программного обеспечения коллективной

работы,осознала важность Internet с опозданием.

Однако надо помнить, что до 1995 года компания имела крупнейшую в мире

инсталлированную базу клиентов TCP/IP - продукты LANWorkplace и

LANWorkgroup. Уже давно серверы NetWare умели маршрутизировать IP-трафик,

поэтому пользователи могли иметь доступ в Internet и выполнять приложения

Internet, даже когда они применяли IPX для доступа к файлам и печати, если

стек протоколов IPX был установлен вместе со стеком TCP/IP. Продукты Novell

поддерживали также и такие протоколы Internet, как NetworkFileSystem (NFS)

и SNMP.

Но вот появление WorldWideWeb не было оценено в полной мере. Практически

отсутствовали популярные приложения Internet для среды NetWare. Здесь

отрицательно сказалась специализированность сервера NetWare.

Несмотря на катаклизмы реорганизации и бурю критики извне, в 1996 году

Novell добилась значительных успехов в деле освоения Internet - была

представлена IntranetWare, наследница NetWare 4.1.

Пакет IntranetWare состоит из набора средств создания сетей Intranet, а

также доступа к Internet и интеграции с Unix-системами. Прежде всего,

следует упомянуть NetWareWebServer 2.51, отвечающий большинству требований,

предъявляемых к серверу Web. Novell уверяет, что по производительности

данный продукт значительно опережает аналогичные серверы компаний Microsoft

и Netscape. Обращает на себя внимание только отсутствие в составе сервера

Web некоторых важных вспомогательных средств, в частности редактора HTML.

Это тем более странно, поскольку Novell выпускает комплект

InnerWebPublisher, имеющий такие инструменты. Особенность сервера Web

компании Novell в том, что он дает возможность пользователям получать

доступ к базе NDS, правда, в режиме просмотра. Другим недостатком

NovellWebServer является отсутствие в нем поддержки протокола защищенного

канала SecureSocketLayer (SSL), используемого при организации безопасного

обмена данными между браузерами и серверами.

IntranetWare поддерживает удаленный и локальный общие шлюзовые интерфейсы

(CGI) для создания динамических страниц Web, например посредством

выполнения сценария поиска записи в базе данных. Инструментарий

IntranetWare для написания сценариев включает интерпретаторы NetBasic

(лицензирован у HiTecSoft), Perl и Basic. Набор инструментов для быстрого

установления связи IntranetWareWebServer с другой программой пока отстает

от возможностей аналогичных средств в средах NT и Unix, но все же Novell

продвинулась здесь далеко вперед.

Важное значение имеют и другие добавления к NetWare:

. Доступ клиентов NetWare к сетям TCP/IP через шлюз IPX/IP. На

клиентские машины загружается только стек IPX/SPX. Основным минусом

такой схемы является недостаточная надежность подключения к TCP/IP,

поскольку при выходе из строя шлюза клиенты лишаются Web- и FTP-

сервисов. Возможны и перегрузки шлюзов, т.к. все потоки к Web и FTP

идут через них. Кроме того, для клиентов становятся недоступны

некоторые службы сетей TCP/IP. Однако такой подход обеспечивает более

высокую, чем в других схемах, безопасность.

. Поддержка протокола динамической конфигурации хоста DHCP позволяет

системе выделять IP-адреса клиентам по мере необходимости, благодаря

чему адресное пространство используется более эффективно, а

администрирование становится проще.

. С помощью нового сервера ftp можно разделять файлы с любым клиентом

TCP/IP, а не только с клиентами IntranetWare.

. IntranetWare включает многопротокольный маршрутизатор

NetWareMultiprotocolRouter (раньше он продавался отдельно),

позволяющий серверу IntranetWare связываться непосредственно с

Internet или другими глобальными сетями.

Большие перспективы для новой жизни Novell в Internet открывает ей

справочная служба NDS. Действительно, с увеличением числа пользователей в

любой сети возрастает потребность в хорошей справочной службе, что же

говорить об Internet с ее миллионами пользователей. Весьма возможно, что

именно NDS окажется по плечу роль службы каталогов Internet. NDS может

оказаться полезной и для нахождения программных компонентов при организации

распределенных вычислений в Internet.

7. Влияние Internet на мир корпоративных сетей

Стек TCP/IP сегодня представляет собой один из самых распространенных

стеков транспортных протоколов вычислительных сетей. Стремительный рост

популярности Internet привел и к изменениям в расстановке сил в мире

коммуникационных протоколов - протоколы TCP/IP, на которых построен

Internet, стали быстро теснить бесспорного лидера прошлых лет - стек

IPX/SPX компании Novell. Сегодня общемировое количество компьютеров, на

которых установлен стек TCP/IP, сравнялось с общим количеством компьютеров,

на которых работает стек IPX/SPX, и это говорит о резком переломе в

отношении администраторов локальных сетей к протоколам, используемым на

настольных компьютерах, так как именно они составляют подавляющее число

мирового компьютерного парка и именно на них раньше почти везде работали

протоколы компании Novell, необходимые для доступа к файловым серверам

NetWare. Процесс становления стека TCP/IP стеком номер один в любых типах

сетей продолжается и сейчас любая промышленная операционная система

обязательно включает программную реализацию этого стека в своем комплекте

поставки.

Хотя протоколы TCP/IP неразрывно связаны с Internet, и каждый из

многомиллионной армады компьютеров Internet работает на основе этого стека,

однако, существует большое количество локальных, корпоративных и

территориальных сетей, непосредственно не являющихся частями Internet,

которые также используют протоколы TCP/IP. Чтобы отличать их от Internet,

эти сети называют сетями TCP/IP или просто IP-сетями.

Локальные и корпоративные сети все шире используют протоколы TCP/IP для

передачи своего внутреннего трафика. До недавнего времени это были в

основном сети, построенные на основе операционной системы Unix. Причина

заключалась в исторической связи Unix и TCP/IP - впервые протоколы стека

TCP/IP были реализованы в среде UnixBSD в университете Berkeley. Однако

сейчас, когда протоколы TCP/IP имеются в каждой сетевой операционной

системе, появились локальные сети TCP/IP и на основе других операционных

систем, например, WindowsNT, Windows 95, OS/2 Warp или NetWare. Конечно,

одной из очевидных причин использования стека TCP/IP в локальных и

корпоративных сетях является легкость присоединения таких сетей к Internet

при первой необходимости. Однако, гибкость и открытость стека сами по себе

являются достаточно вескими причинами для использования протоколов TCP/IP в

автономных локальных и корпоративных сетях.

Параллельно с Internet существуют и другие публичные территориальные сети,

работающие на основе протоколов TCP/IP. Это сети крупных провайдеров

транспортных сервисов, таких как MCI, Sprint, AT&T и многих других,

предоставляющих услуги по объединению локальных IP-сетей заказчика.

Публичные IP-сети предоставляют заказчику более высокий уровень сервиса по

сравнению с Internet - более низкий уровень задержек пакетов, защиту от

несанкционированного доступа, высокий коэффициент готовности. С помощью

сервисов публичных IP-сетей предприятие может строить транспортную

магистраль своей корпоративной сети, не подвергая себя риску атак

многочисленных хакеров, работающих и живущих в Internet.

7.1. Транспорт Internet приспосабливается к новым требованиям

В начале 90-х годов, после более чем десяти лет относительно спокойной

жизни протокол IP столкнулся с серьезными проблемами. Именно в это время

началось активное промышленное использование Internet: переход к построению

сетей предприятий на основе транспорта Internet, применение Web-технологии

для получения доступа к корпоративной информации, ведение электронной

коммерции с помощью Internet, внедрение Internet в индустрию развлечений

(распространение видеофильмов, звукозаписей, интерактивные игры).

Все это привело к резкому росту числа узлов сети, изменению характера

трафика и к ужесточению требований, предъявляемых к качеству обслуживания

сетью ее пользователей.

Динамика роста Internet такова, что сегодня трудно привести вполне

достоверные сведения о числе сетей, узлов и пользователей Internet. Быстрый

рост сети усугубляет уже давно ощущаемый дефицит IP-адресов, вызывает

перегрузку маршрутизаторов, которые должны уже сегодня обрабатывать в своих

таблицах маршрутизации информацию о нескольких десятках тысяч номеров

сетей, а также ведет к резкому увеличению суммарного объема передаваемого

по Internet трафика.

Все более широкое использование Internet в качестве общемировой

широковещательной сети, заменяющей сети радио и телевидения, приводит к

изменению характера передаваемого трафика. Наряду с традиционными

компьютерными данными все большую долю трафика составляют мультимедийные

данные. Синхронный характер мультимедийного трафика предъявляет

нетрадиционные для Internet требования по качеству обслуживания -

предоставления гарантированной полосы пропускания с заданным уровнем

задержки передаваемых пакетов.

Промышленное использование Internet предполагает определенный уровень

защиты данных - аутентификацию абонентов, обеспечение конфиденциальности и

целостности данных. Особенно это важно при ведении в Internet электронной

торговли, а также при построении частных виртуальных сетей.

Рост популярности Internet привел к появлению новых категорий

пользователей. Во-первых, в сеть пришло много непрофессиональных

пользователей - сотрудников предприятий, работающих на дому, людей,

использующих Internet как средство развлечения или как неисчерпаемый

источник информации. Многие из них желали бы работать как мобильные

пользователи, не расставаясь со своим компьютером в поездках, вдали от

своей "родной" сети. В этих случаях очень важной оказывается возможность

автоконфигурирования стека TCP/IP, когда все параметры стека (в основном

это касается IP-адресов компьютера, DNS-сервера и маршрутизаторов)

автоматически сообщаются компьютеру при его подключении к сети.

Для того, чтобы в новых условиях протокол IP смог также успешно работать,

как и в предыдущие годы, сообщество Internet после достаточно долгого

обсуждения решило подвергнуть IP серьезной переработке.

7.1.1. Защита данных

Защита информации - ключевая проблема, которую нужно решить для превращения

Internet в публичную всемирную сеть с интеграцией услуг. Без обеспечения

гарантий конфиденциальности передаваемой информации бум вокруг Internet

быстро утихнет, оставив ей роль поставщика интересной информации.

Сегодня защиту информации в Internet обеспечивают различные нестандартные

средства и протоколы - firewall'ы корпоративных сетей и специальные

прикладные протоколы, типа S/MIME, которые обеспечивают аутентификацию

сторон и шифрацию передаваемых данных для какого-либо определенного

прикладного протокола, в данном случае - электронной почты.

Существуют также протоколы, которые располагаются между прикладным и

транспортным уровнями стека TCP/IP. Наиболее популярным протоколом такого

типа является протокол SSL (SecureSocketLayer), предложенный компанией

NetscapeCommunications, и широко используемый в серверах и браузерах службы

WWW. Протоколы типа SSL могут обеспечить защиту данных для любых протоколов

прикладного уровня, но недостаток их заключается в том, что приложения

нужно переписывать заново, если они хотят воспользоваться средствами

защиты, так как в приложения должны быть явно встроены вызовы функций

протокола защиты, расположенного непосредственно под прикладным уровнем.

Проект IPv6 предлагает встроить средства защиты данных в протокол IP.

Размещение средств защиты на сетевом уровне сделает их прозрачными для

приложений, так как между уровнем IP и приложением всегда будет работать

протокол транспортного уровня. Приложения переписывать при этом не

придется.

В протоколе IPv6 предлагается реализовать два средства защиты данных.

Первое средство использует дополнительный заголовок "AuthenticationHeader"

и позволяет выполнять аутентификацию конечных узлов и обеспечивать

целостность передаваемых данных. Второе средство использует дополнительный

заголовок "EncapsulatingSecurityPayload" и обеспечивает целостность и

конфиденциальность данных.

Разделение функций защиты на две группы вызвано практикой, применяемой во

многих странах на ограничение экспорта и/или импорта средств,

обеспечивающих конфиденциальность данных путем шифрации. Каждое из

имеющихся двух средств защиты данных может использоваться как

самостоятельно, так и одновременно с другим.

В проектах протоколов защиты данных для IPv6 нет привязки к определенным

алгоритмам аутентификации или шифрации данных. Методы аутентификации, типы

ключей (симметричные или несимметричные, то есть пара "закрытый-открытый"),

алгоритмы распределения ключей и алгоритмы шифрации могут использоваться

любые. Параметры, которые определяют используемые алгоритмы защиты данных,

описываются специальным полем SecurityParametersIndex, которое имеется как

в заголовке "AuthenticationHeader", так и в заголовке

"EncapsulatingSecurityPayload".

Тем не менее, для обеспечения совместимой работы оборудования и

программного обеспечения на начальной стадии реализации протокола IPv6

предложено использовать для аутентификации и целостности широко

распространенный алгоритм хеш-функции MD5 с секретным ключом, а для

шифрации сообщений - алгоритм DES.

Ниже приведен формат заголовка AuthenticationHeader.

|Следующий |Длина аутентификационных |Зарезервированное |

|заголовок |данных |поле |

|Индекс параметров безопасности (SPI) |

|Аутентификационные данные |

Протокол обеспечения конфиденциальности, основанный на заголовке

"EncapsulatingSecurityPayload", может использоваться в трех различных

схемах.

В первой схеме шифрацию и дешифрацию выполняют конечные узлы. Поэтому

заголовок пакета IPv6 остается незашифрованным, так как он нужен

маршрутизаторам для транспортировки пакетов по сети.

Во второй схеме шифрацию и дешифрацию выполняют пограничные маршрутизаторы,

которые отделяют частные сети предприятия от публичной сети Internet. Эти

маршрутизаторы полностью зашифровывают пакеты IPv6, получаемые от конечных

узлов в исходном виде, а затем инкапсулируют (эта операция и дала название

заголовку - Encapsulating) зашифрованный пакет в новый пакет, который они

посылают от своего имени. Информация, находящаяся в заголовке

"EncapsulatingSecurityPayload", помогает другому пограничному

маршрутизатору-получателю извлечь зашифрованный пакет, расшифровать его и

направить узлу-получателю.

В третьей схеме один из узлов самостоятельно выполняет операции шифрации-

дешифрации, а второй узел полагается на услуги маршрутизатора-посредника.

7.1.2. Гарантированная пропускная способность

Многие аналитики считают, что сеть Internet сможет приспособиться к

требованиям времени только в том случае, если она сможет предложить своим

абонентам такие же гарантии по предоставляемой пропускной способности,

которые сегодня являются обычными для пользователей сетей framerelay и ATM.

Это значит, что сети IP должны достаточно тонко различать классы трафика и,

в зависимости от класса, гарантировать либо определенную постоянную

пропускную способность (например, для голосового трафика), либо среднюю

интенсивность и максимальную пульсацию трафика (например, для передачи

компрессированного видеоизображения), либо предоставлять полосу пропускания

не ниже определенного уровня (для пульсирующего компьютерного трафика).

Для обеспечения заданного качества обслуживания в протокол IPv6 введено

такое понятие как "метка потока" (flowlabel). Метка потока - это признак,

размещаемый в основном заголовке IP-пакета и указывающий принадлежность

данного пакета к последовательности пакетов - потоку, для которого

требуется обеспечить определенные параметры обслуживания, отличные от

принятых по умолчанию.

Для того, чтобы конечные узлы могли сообщить маршрутизаторам сети

требования к качеству обслуживания своих потоков, необходим дополнительный

протокол. Именно для этой цели разработан протокол резервирования ресурсов

RSVP (ResourcereSerVationProtocol). Этот протокол имеет пока статус проекта

стандарта (draft) и состоит в следующем.

Узел-источник, который собирается передавать данные, требующие

определенного нестандартного качества обслуживания, например постоянной

полосы пропускания для передачи видеоинформации, посылает по сети по

протоколу RSVP специальное сообщение. Это сообщение, называемое сообщением

о пути, содержит данные о том, какую информацию собирается пересылать по

образуемому потоку узел-отправитель, и какая пропускная способность нужна

для получения ее с хорошим качеством. Это сообщение передается от

маршрутизатора к маршрутизатору, при этом определяется последовательность

маршрутизаторов, в которых нужно зарезервировать определенную пропускную

способность.

Когда узел назначения получает сообщение о пути, то он извлекает из него

данные о том, какую пропускную способность он должен зарезервировать и в

каких маршрутизаторах. Узлов назначения может быть и несколько, если узел-

отправитель хочет начать мультивещательную сессию. На основании полученной

информации каждый узел назначения отправляет по протоколу RSVP сообщение, с

помощью которого он запрашивает у сети определенную пропускную способность

для определенного потока. Это сообщение передается каждому маршрутизатору

на пути от узла-отправителя до узла назначения.

Маршрутизатор, который получает такое сообщение, проверяет свои ресурсы для

того, чтобы выяснить, может ли он выделить требуемую пропускную

способность. Если нет, то маршрутизатор запрос отвергает. Если же да, то

маршрутизатор настраивает алгоритм обработки пакетов таким образом, чтобы

указанному потоку всегда предоставлялась требуемая пропускная способность,

а затем передает запрос конечного узла следующему маршрутизатору вдоль

пути.

По мере передачи запроса о резервировании пропускной способности по

направлению к узлу-источнику он может слиться с аналогичным запросом от

другого узла назначения (если сессия мультивещательная). Слияние запросов

исключает ненужное дублирование потоков. При слиянии запросов

удовлетворяются потребности в максимальной пропускной способности,

найденной в нескольких запросах. При этом ни один из узлов-приемников не

получит обслуживания с качеством ниже того, что он запросил.

Кроме протокола RSVP, существует также проект протокола RTP (Real-

TimeProtocol), который должен использоваться на транспортном уровне вместо

протоколов TCP и UDP в том случае, когда необходимо передавать по Internet

трафик реального времени. Протокол RTP будет переносить в своем заголовке

временные отметки, необходимые для успешного восстановления голоса или

видеоизображения в приемном узле, а также данные о типе кодирования

информации (JPEG, MPEG и т.п.).

7.2. Internet-провайдинг. Типовые услуги

В конце прошлого года число фирм, предоставляющих услуги доступа к

информационным ресурсам Internet в нашей стране едва превышало десяток. При

этом спектр услуг был достаточно однотипным (электронная почта, терминал и,

как исключение, IP). Объявление компанией SovamTeleport своего проекта

Россия-OnLine вызвало широкий резонанс, т.к. по сути впервые было заявлено

о появлении настоящей информационной службы: построенной на основе

технологии IP.

Прошло всего полгода и ситуация в корне изменилась. По всей стране созданы

информационные центры, которые в настоящее время предлагают практически

полный спектр услуг по информационному обслуживанию пользователей и

подключению в различных режимах к сети Internet.

Прежде чем приступить к обзору этих фирм, рассмотрим предлагаемые

технологии подключения и обслуживания. Это необходимо для отчетливого

представления о том, что реально стоит за каждой строкой прайс-листа и на

что пользователи могут рассчитывать.

Виды сервиса и схемы подключения

Для начала попробуем отклассифицировать схемы подключения и типы сервиса с

точки зрения различных типов пользователей, протоколов взаимодействия

(программного обеспечения) и технических средств подключения. Представить

такую классификацию можно в виде таблицы:

| |индивидуальные пользователи|коллективные пользователи |

|Тех. пом. |установка и настройка |установка и настройка |

| |оборудования |оборудования |

|Обуч. |консультации |учебные курсы для пользователей и|

| | |администраторов |

|UUCP |почта (инд. почт.ящик), |почта (группа почт. ящиков), |

| |доступ к информационным |подписка на ресурсы по почте для |

| |ресурсам по почте |каждого пользователя |

|Режим |почтовый ящик, telnet, FTP,| |

|терминала |news, WWW и др. ресурсы, но| |

| |только в алфавитно-цифровом| |

| |режиме | |

|IP |почта telnet WWW |IP-сети, маршрутизация, DNS, |

| |News(Usenet) FTP |рассылка почты. |

|WWW |домашняя страница |Домашняя страница организации, |

| |пользователя |виртуальный www-сервер, реклама, |

| | |регистрация www-серверов |

| | |организаций, помощь в подготовке |

| | |страниц. |

Конечно, никакая классификация не дает полного представления обо всем

спектре услуг, но перед ней и не ставится такой задачи. Главное - получить

некоторую структуру интересующей предметной области и потом заполнять

клеточки этой структуры. Отчасти данная схема дает объяснение тому, что

речь идет об Internet-провайдерах, а не об IP-провайдерах, так как круг

предоставляемых услуг гораздо шире простого подключения и маршрутизации по

протоколу IP.

Теперь рассмотрим основные схемы подключения пользователей к Internet-

провайдерам. Начнем с индивидуальных пользователей.

Подключение индивидуальных пользователей

В общем виде схема подключения индивидуального пользователя показана на

рисунке 7.1.

[pic]

Рис. 7.1. Схема подключения индивидуального пользователя

На обоих концах коммутируемого канала ставятся модемы. Скорость обмена

данными определяется качеством канала и модемом. Вообще говоря, можно

использовать и другие линии связи, но реально индивидуальные пользователи в

99 случаях из ста используют обычный телефон. Аренда телефонных номеров

модемного пула осуществляется в этом случае провайдером.

Индивидуальный пользователь обычно дозванивается на модемный пул

провайдера, который в зависимости от числа пользователей и ресурсов

последнего управляется либо персональным компьютером, либо маршрутизатором.

Типовое решение для узла провайдера можно найти на домашней странице Relcom-

Alpha (http://www.dtk.net.kiae.su).

Пользователь же имеет на своем конце персональный компьютер с модемом и

больше ничего. В зависимости от типа протокола устанавливается либо

программное обеспечение UUCP, либо стек TCP/IPc прикладными программами,

либо, если доступ осуществляется в режиме удаленного терминала, не ставится

вообще ничего. В последнем случае можно дозвониться на модемный пул

провайдера при помощи любой коммуникационной программы, например, TERM95 из

коллекции NortonCommander. Единственная проблема, которую приходится при

этом решать - проблема кодировки. До последнего времени основной

транспортной кодировкой оставалась кодировка KOI8, но мне уже приходилось

получать почту и в кодировках Windows и ISO. И если в WorldWideWeb

практически все провайдеры перешли к дублированию или перекодировке "на

лету", то с почтой все еще приходится бороться самостоятельно. Тем не менее

лучше работать в KOI8 и использовать пакеты провайдера.

Считается, что UUCP лучше подходит для работы по плохим линиям связи и для

режимов обмена электронной почтой. При этом многие провайдеры не учитывают

времени соединения по протоколу UUCP, полагая, что это время мало и

практически полностью используется для передачи данных без простоя. Однако,

при современных средствах связи и программном обеспечении такое суждение

кажется несколько архаичным. Современные стеки TCP/IP можно настроить таким

образом, что дозвон будет осуществляться только по требованию прикладной

программы на момент передачи информации. Тем самым можно существенно

сократить время простоев, а для режима электронной почты это время будет

просто равно времени взаимодействия по UUCP. Кроме того, все большую

популярность у наших зарубежных коллег получают attachments, т.е.

закодированные в Latin 1 (USASCII) двоичные файлы. Это довольно большие

послания, которые для своей пересылки требуют много времени, а платить, как

правило, приходится и за приходящий трафик тоже.

Следует признать, что режим удаленного терминала - это полноценный доступ к

ресурсам Internet. Единственным его недостатком является то, что вся

информация получается пользователем в алфавитно-цифровом режиме. Ряд

возможностей этого метода не используется нашими провайдерами вообще,

например специальное программное обеспечение доступа с компьютера

пользователя к ресурсам WorldWideWeb.

Но конечно самым полным из всех способов подключения является доступ по

TCP/IP. Здесь возможно подключение либо по SLIP, либо по PPP. Провайдеры

больше любят PPP, т.к. он дает возможность контроля за процессом установки

соединения, раздаче IP-адресов по DHCP и аутентификации. Управлять этими

параметрами на порте CISCO довольно легко, чего не скажешь о

пользовательском конце соединения. Скажем, TCP/IP стек TrumpetWinsock

позволяет использовать PPP, но параметров, которыми можно управлять там

явно не хватает. Кроме этого довольно трудно протрассировать процесс

соединения, что важно на медленных линиях. Гораздо проще это получается во

FreeBSD при использовании демона pppd. Тем не менее в большинстве случаев

PPP работает очень надежно.

Как правило, существует три типа ресурсов, которые доступны индивидуальному

пользователю. Это локальные ресурсы провайдера, ресурсы сети или региона,

например, региональный провайдер сети Релком предоставляет доступ к

ресурсам московских узлов, и ресурсы всего Internet. Все сказанное

относится к любому из протоколов доступа (UUCP, IP, ASCII (Терминал)).

Разница заключается только в способах контроля и ограничения прав доступа,

которые носят чисто административный характер, т.е., например, для

подключения по протоколам TCP/IP маршрутизация пакетов присутствует всегда,

но тариф на пересылку почты в рамках ответственности провайдера, сети или

Internet - различный.

Коллективные пользователи

В качестве коллективных пользователей выступают обычно бюджетные

организации и коммерческие фирмы. Общая схема подключения здесь выглядит

несколько иначе (рисунок 7.2).

[pic]

Рис. 7.2. Схема подключения коллективных пользователей

В качестве линии связи могут использоваться обычные телефонные каналы,

выделенные телефонные линии, каналы системы Искра-2, наземные оптические

линии связи и, в последнее время, спутниковые каналы связи (см. рекламу

Demos и компании Контакт (Дубна)). При этом аренда канала связи, как и

оплата оконечного оборудования связи, обычно осуществляется пользователем.

Кроме того пользователь еще арендует и порт на маршрутизаторе провайдера.

Стоимость этой аренды зависит от скорости обмена и типа порта.

Вообще говоря, наличие локальной IP-сети необязательно. Так в самом начале

развития сети Relcom, когда ни о каком TCP/IP еще и речи не было, поддержка

групповых пользователей уже осуществлялась. Программные средства UUPC и BML

для персональных компьютеров позволяли (собственно прошедшее время

применять для них еще рано) организовать иерархию почтовых ящиков для

многих пользователей и специальный ящик администратора.

Конечно, рассматривать 286-ю машину с MS-DOS в качестве системы

коллективного пользования несколько странно, но так было и во многих

случаях есть до сих пор.

Существуют еще более интересные организационные реликты времен

коллективного использования вычислительных ресурсов и пакетной обработки

заданий. Обычно, когда речь идет о доступе к ресурсам Internet, то

предполагается, что пользователь непосредственно работает с этими ресурсами

со своего компьютера. В ряде случаев коллективные пользователи создают

специальные компьютерные классы, из которых сотрудники этих организаций

получают доступ к ресурсам сети, но организация такого сорта услуги самим

провайдером - явление достаточно редкое. Тем не менее в Симбирске такого

сорта услуга компанией MVC оказывается. Это следует из специального раздела

прейскуранта: тарифы на базовые услуги пункта коллективного пользования

ТТС. В этом прейскуранте предусмотрен набор текста в файл, распечатка

текста письма, копирование письма на дискету пользователя. Вообще создается

впечатление, что существует специальная служба, при которой пользователь

реально не имеет доступа к компьютеру и общается только с оператором.

Следует признать, что такая форма обслуживания в ряде случаев имеет право

на существование и может быть выходом для пользователей, которые никогда не

пользовались компьютером, но нуждаются в оперативном почтовом обслуживании.

Но все же самое интересное при обслуживании коллективных пользователей -

это взаимодействие локальной сети пользователя и сети провайдера. В данном

обзоре мы намеренно опускаем взаимодействие пользователей и провайдеров по

протоколам, отличным от семейства TCP/IP, хотя такие формы доступа к

ресурсам Internet и практикуются, например, РоСпринт или SovamTeleport и

даже закладываются в качестве одного из базовых способов подключения в

проект "Деловая сеть России" (ФАПСИ, ИНФОТЕЛ и AORelcom). Но при IP-подклю-

чении возможны различные варианты.

Самый органичный вариант, когда локальная сеть пользователя и провайдера -

это IP-сети. В этом случае пользователь должен иметь адрес в сети

провайдера для своего шлюза и свою IP-сеть. Обычно это сеть класса C.

Пример такого подключения показан на рисунке 7.3.

[pic]

Рис. 7.3. Схема подключения локальной сети к провайдеру

Обычно, номер локальной сети следует получать у своего провайдера. При

смене провайдера иногда номер остается у пользователя, но чаще возвращается

провайдеру, как это делается, например, в Demos или в GlasNet. При этом

одни провайдеры выдают эти номера бесплатно (Demos, AORelcom), а некоторые

за дополнительную плату (Узел Sable в Красноярске).

После получения номера сети и подключения к провайдеру следует позаботится

о маршрутизации. Так например, в компании МАРК-ИТТ (Ижевск) существует

понятие "доступности". Существует доступность в пределах сети МАРК-ИТТ и

подключение без ограничения доступности. В принципе, существуют технические

возможности ограничить маршрутизацию сообщений из/в локальную сеть

пользователя путем соответствующих настроек маршрутизаторов, чем некоторые

провайдеры и пользуются.

Кроме маршрутизации необходимо позаботиться и о доменной адресации. В

принципе можно переложить заботы о назначении доменных имен на плечи

провайдера, но можно получить и свою зону. В последнем случае надо

зарегистрировать у провайдера "прямую" и "обратную" зоны для своей сети.

Провайдеры предлагают также поддерживать и вторичные серверы для зон

пользователей. Какие могут быть причины, которые реально должны подвигнуть

пользователя на регистрацию и размещение вторичных серверов DNS. Во-первых,

неполадки со своим собственным сервером, а во-вторых, время разрешения

запроса на IP-адрес по доменному имени. Регистрация обратных зон нужна хотя

бы для того, чтобы нормально работать со всеми серверами FTP, например, для

установки программного обеспечения FreeBSD с сервера АО Relcom.

7.2.1. Режим электронной почты, подписка на телеконференции, файл-серверы и

удаленный терминал

Доступ по протоколу UUCP - это в первую очередь электронная почта. Вообще

говоря, UUCP - это главным образом электронная почта, хотя есть возможность

и доступа к Usenet. Однако, надо сказать, что электронная почта - это не

мало. Современная электронная почта Internet позволяет работать не только с

текстовой информацией, но и с графикой, и со звуком, и с изображением.

Через электронную почту доступны все телеконференции Usenet (в данном

случае конференции Relcom, Demos и т.п.). Через электронную почту можно

передавать двоичные файлы, например, файлы программ или документы,

подготовленные в форматах MS-Word или Postscript. По электронной почте

доступны ftp-архивы, ресурсы WorldWideWeb и многое другое. Даже поисковые

запросы к Wais можно отправлять по электронной почте. Таким образом,

пользователю, подключенному по UUCP к Internet, доступен практически весь

мир информационных ресурсов последней, но есть маленькое "но": все эти

ресурсы доступны в режиме отложенного просмотра.

Фактически, пользователь получает их через промежутки времени равные

времени заполнения его почтового ящика на почтовом сервере провайдера,

если, конечно, связь с провайдером устойчивая. А эти промежутки равны,

например, периодам просмотра очередей программой sendmail, которые обычно

устанавливаются в пределах 30-60 минут. Конечно, при доступе к Usenet или

файловым архивам это не имеет большого значения. В Usenet сообщения

хранятся обычно в течении 5 дней, а в файловых архивах практически вечно.

Но если пользователь предпринял путешествие по гипертекстовым ссылкам

WorldWideWeb, то использование электронной почты для этой цели занятие

довольно утомительное, порождающее при этом совершенно бесполезный трафик,

за который еще надо платить.

Но следует также принять во внимание тот факт, что при качестве нашей

телефонной сети многие отечественные пользователи не могут добиться

устойчивой связи с сервером провайдера. В этом случае полный IP-сервис -

это просто недоступная роскошь. Можно иметь даже собственный IP-адрес, но

что в этом толку, если каждые 15-20 минут коммуникационная программа будет

снова дозваниваться до сервера, а, например, ftp-соединение за это время

будет оборвано из-за превышения лимита на неактивность пользователя.

При использовании протокола UUCP соединение устанавливается только на время

передачи данных, и хотя другие способы подключения тоже дают эту

возможность, например, и при IP-соединении можно добиться автоматического

восстановления связи, с точки зрения передачи электронной почты реализовано

оно в UUCP достаточно эффективно.

Очень часто можно встретить рекомендации по ограничению размера почтового

сообщения. Цифры при этом называют разные, но все они обычно не превышают

1Мб. Здесь собственно следует руководствоваться следующими соображениями:

во-первых, надежностью соединения, а во-вторых, ограничениями провайдера.

Второй фактор важнее первого. Если провайдер ограничил размер сообщения до

1Мб, то как не старайся, больше передать просто не удастся. А на второе

место поставили его по той причине, что во многих случаях ограничения

установленные провайдером на много превосходят реальные возможности

пользователей. За тот промежуток времени, пока держится связь, пользователь

не успевает принять или отправить длинное сообщение, которое тем не менее

не достигает установленного лимита. В свою очередь это вызывает новую

попытку соединения, и отправка почты повторяется. Так будет происходить до

тех пор пока, либо сообщение будет полностью передано, либо удалено.

На самом деле описанная процедура, с точки зрения бюджета, отведенного на

оплату услуг электронной почты, не безобидна. Как только начинается

прием/передача сообщений, сразу включается счетчик, как в такси. В

результате платить за одну и ту же информацию придется многократно, а это

просто расточительство.

Заговорив о затратах, мы вплотную подошли к вопросу о стоимости услуг по

доступу к ресурсам Internet по электронной почте, к ее структуре и политике

различных провайдеров в этой области.

8. Системы хранения и поиска данных

В основе всех современных информационных приложений находятся системы

хранения данных во внешней памяти и их эффективного поиска. В зависимости

от специфики приложений используются разные технологии хранения и поиска

данных. Если проводить грубую классификацию таких технологий, то можно

выделить два основных направления - системы управления базами данных (СУБД)

и информационно-поисковые системы (ИПС). Эти направления взаимно дополняют

друг друга и в совокупности обеспечивают возможность построения приложений

в разных архитектурах, с разной функциональной ориентированностью, с

разными требованиями к доступу к данным и т.д.

Основными характеристиками среды хранения данных, управляемой СУБД,

являются:

. структурированная природа хранимых данных, причем описание структуры

является частью самой базы данных, т.е. известна СУБД (соответствующую

часть базы данных иногда называют метабазой данных);

. существенно частое обновление данных, эффективно поддерживаемое СУБД и

производимое многими пользователями, одновременно подключенными к базе

данных;

. автоматическое поддержание целостного состояния базы данных на основе

механизма управления транзакциями и хранимого в метабазе данных набора

ограничений целостности и/или триггеров;

. поддержка структурированных языков доступа к базе данных, в которых

условие поиска представляет собой логическую связку разнообразных

простых условий, накладываемых на содержимое требуемых записей.

Среду хранения данных, управляемую ИПС, характеризует в основном следующее:

. отсутствие структуризации данных, известной ИПС; как правило, в таких

системах хранятся полнотекстовые документы, структура которых (если

речь идет о структурированных документах) известна соответствующим

приложениям;

. редкое обновление данных, уже включенных в среду хранения; в

частности, во многих ИПС обновление среды хранения данных (изменение,

удаление, добавление документов) производится только в специальном

режиме, не допускающем одновременную выборку информации;

. отсутствие встроенного в систему механизма поддержания целостности

данных; необходимые механизмы контроля вводимой информации должны

являться частью приложения;

. наличие развитых механизмов выборки информации, основанных на

логических связках простых условий, накладываемых на содержание

искомых документов; примерами простых условий является указание

ключевых слов, характеризующих документ, или контекста, относящегося к

содержимому документа.

ИПС по естественным причинам никогда не претендовали на роль СУБД. Однако

обратное неверно, и многие производители СУБД пытаются ввести в состав

своих продуктов возможности, позволяющие использовать их в качестве систем

информационного поиска. Нужно заметить, что особых успехов в этой

деятельности не видно. Главным образом, это связано с реляционной

спецификой современных серверов баз данных, с их ориентацией на обеспечение

эффективного доступа к структурированной информации. С другой стороны,

многие возможности серверов баз данных в действительности не требуются для

поддержки полнотекстовой информации. К таким возможностям можно отнести

развитые средства управления транзакциями, организацию развитых средств

динамического обновления данных, реализацию структурированных языков

запросов и т.д.

В дальнейшем в этом разделе курса мы не будем затрагивать специфические

свойства ИПС. Это связано не с тем, что мы считаем это направление

недостаточно существенным для организации информационных систем. Все дело в

том, что в настоящее время основной областью применения ИПС являются

распределенные информационные системы, базирующиеся на Web-технологии.

Естественно, имеются смежные вопросы, касающиеся, например, возможностей

доступа к традиционным базам данных в среде Internet. Тем не менее, однако,

обе эти области достаточно широки по отдельности, чтобы можно было

рассматривать их независимо.

8.1. Новые веяния в области серверов реляционных баз данных

Начнем с того, что текущее поколение программных продуктов, предназначенных

для управления базами данных, практически полностью базируется на

классической реляционной модели данных, которая в той или иной степени

развивается и модифицируется в разных системах. Реляционная модель данных

обладает большим числом достоинств и, конечно, многими недостатками. К

числу достоинств можно отнести простую и вместе с тем мощную математическую

основу модели, базирующейся на наиболее прочных аппаратах теории множеств и

формальной логике первого порядка. Пожалуй, реляционная модель является

исключительным примером соразмерности используемых математических средств и

получаемых от этого преимуществ. Достоинством реляционного подхода является

и его интуитивная ясность. Для того, чтобы начать грамотно использовать

реляционную СУБД, совсем не требуется глубокое погружение в формальную

математику. Достаточно понять житейский смысл объектов реляционных баз

данных и научиться ими пользоваться. Проводятся интуитивные аналогии, не

нарушающие смысл понятий, между отношениями-таблицами-файлами, атрибутами-

столбцами-полями записей, кортежами-строками-записями файла и т.д.

Как всегда бывает в жизни, отрицательные качества реляционного подхода

представляют обратную сторону его достоинств. Очень просто представлять

информацию в виде регулярных плоских таблиц, в которых каждая строка имеет

одну и ту же структуру, а в столбцах могут храниться только простые данные

атомарной структуры. Но одновременно, при использовании реляционных баз

данных для хранения сложной информации возникают сложности. Известный

консультант и аналитик Эстер Дайсон сравнивает использование реляционных

баз данных для хранения сложных объектов (объектов, для представления

которых недостаточно использовать плоские таблицы) с необычным

использованием гаража, когда каждый раз, устанавливая автомобиль в гараж,

шофер полностью его разбирает, а утром выполняет полную процедуру сборки.

На самом деле, соответствующие процедуры сборки (соединения нескольких

таблиц) являются наиболее трудоемкими в реляционных СУБД. Другая проблема

состоит в том, что упрощенная структура реляционных баз данных не позволяет

сохранить в базе данных ту семантическую информацию (знания), которыми

располагал ее создатель при проектировании. Реально ситуация выглядит

следующим образом. На первой, наиболее интеллектуальной фазе проектирования

базы данных имеется существенный запас данных, почерпнутых проектировщиком

в процессе анализа предметной области. Однако по мере перехода к

определению реально хранимых структур эти знания теряются, оставаясь в

лучшем случае в виде бумажной или не привязанной к базе данных электронной

информации, использование которой необходимо в жизненном цикле базы данных

и соответствующей информационной системы, но сильно затруднено.

Перечисленные положительные и отрицательные качества реляционных баз данных

в большой степени влияли на развитие индустрии баз данных в последние годы.

Несколько лет тому назад казалось, что перевешивают отрицательные качества.

В результате появилось несколько новых направлений архитектур баз данных,

каждое из которых принесло новые методы и алгоритмы, а также

экспериментальные реализации. Мы не будем глубоко вдаваться в обсуждение

этих подходов, но все же приведем их краткую характеристику.

В классической реляционной модели данных содержимым столбцов могут быть

только значения базовых типов данных (целые и плавающие числа, строки

символов и т.д.). Не допускается хранение в столбце таблицы массивов,

множеств, записей и т.п. Собственно, это и означает, что таблицы

классической реляционной модели являются абсолютно плоскими (по-другому это

называется представлением таблиц в первой нормальной форме). Вся сложность

структур предметной области уходит в динамику; требуется непрерывная сборка

сложных объектов из их элементарных составляющих. Один из подходов к

расширению возможностей реляционной модели данных заключается в отказе от

требования первой нормальной формы. Значением столбца таблицы может быть

любой объект, представляемый в виде строки, массива, списка и даже таблицы.

Понятно, что при использовании таким образом расширенной модели, в качестве

строки таблицы может храниться уже собранный объект с произвольно сложной

(иерархической) структурой. Причиной того, что реляционные системы с

отказом от требования первой нормальной формы не вошли в широкую практику,

является прежде всего необходимость полного пересмотра внутренней

организации СУБД (начиная со структур хранения). Кроме того, если для

классических реляционных баз данных давно и тщательно отработана технология

и методология проектирования, то проектирование ненормализованных

реляционных баз данных недостаточно хорошо изучено даже на уровне теории.

Тем не менее, на рынке СУБД имеется продукт UniVerse компании VMark, в

которой в ограниченных масштабах поддерживается хранение ненормализованными

реляционными данными.

Понятно, что ограничением ненормализованных реляционных баз данных является

обязательность иерархической организации хранимой информации. Конечно, это

совсем другой уровень построения информации, чем тот, который поддерживался

в дореляционных иерархических системах. Между элементами данных отсутствуют

явно проводимые физические ссылки. Упрощена процедура реструктуризации

данных (в частности, в ненормализованной реляционной модели предполагается

наличие пары операций nest/unnest, позволяющих сделать существующую таблицу

элементом, хранимым в столбце другой таблицы, или "вытянуть" на верхний

уровень некоторую вложенную таблицу). Тем не менее, общая структура

остается иерархической. Во многих случаях этого достаточно (в частности,

для решения проблемы, упоминавшегося выше примера Эстер Дайсон).

Однако существуют потребности, выходящие за пределы возможностей

иерархических организаций данных. Стандартным примером является

необходимость в моделировании сложных объектов, в которые входит один и тот

же подобъект. Например, объект "человек" может являться подобъектом объекта

"отдел", подобъектом объекта "семья" и т.д. Для определения требуемых

структур недостаточна чисто иерархическая организация, требуется

возможность построения сетевых структур. Соответствующее направление

получило название "базы данных сложных объектов". Поскольку трудно сказать,

насколько сложные структуры потребуются при реальном моделировании

предметных областей, должен поддерживаться механизм произвольно сложной

структуризации с поддержкой возможности определения структурных типов

данных, типов массивов, списков и множеств, а также развитыми средствами

использования указателей. Конечно, с учетом опыта реляционных баз данных в

базах данных сложных объектов никогда не предполагалось использование

адресных указателей физического уровня. Одним из естественных требований

было наличие возможности взятия из базы данных произвольно сложного объекта

с возможностью его перемещения в другую область внешней памяти или вообще в

память другого компьютера. Основной проблемой баз сложных объектов являлось

отсутствие простого и мощного интерфейса доступа к данным, хотя бы частично

сравнимого с простотой и естественностью реляционных интерфейсов.

Возникновение направления объектно-ориентированных баз данных (ООБД)

определялось прежде всего потребностями практики: необходимостью разработки

сложных информационных прикладных систем, для которых технология

предшествующих систем баз данных не была вполне удовлетворительной. Как мы

видели, определенными недостатками обладали и классические реляционные

системы, и системы, основанные на ненормализованной реляционной модели, и

базы данных сложных объектов.

Конечно, ООБД возникли не на пустом месте. Соответствующий базис

обеспечивался как предыдущими работами в области баз данных, так и давно

развивающимися направлениями языков программирования с абстрактными типами

данных и объектно-ориентированных языков программирования.

Что касается связи с предыдущими работами в области баз данных, то наиболее

сильное влияние на работы в области ООБД оказали проработки реляционных

СУБД и следующего хронологически за ними семейства БД, в которых

поддерживалось управление сложными объектами. Эти работы обеспечили

структурную основу организации OOБД.

Среди языков и систем программирования наибольшее первичное влияние на ООБД

оказал Smalltalk. Этот язык сам по себе не являлся полностью пионерским,

хотя в нем была введена новая терминология, являющаяся теперь наиболее

распространенной в объектно-ориентированном программировании. На самом

деле, Smalltalk основан на ряде ранее выдвинутых концепций.

В наиболее общей и классической постановке объектно-ориентированный подход

базируется на следующих концепциях:

1. объекта и идентификатора объекта;

2. атрибутов и методов;

3. классов;

4. иерархии и наследования классов.

Любая сущность реального мира в объектно-ориентированных языках и системах

моделируется в виде объекта. Любой объект при своем создании получает

генерируемый системой уникальный идентификатор, который связан с объектом

во все время его существования и не меняется при изменении состояния

объекта.

Каждый объект имеет состояние и поведение. Состояние объекта - набор

значений его атрибутов. Поведение объекта - набор методов (программный

код), оперирующих над состоянием объекта. Значение атрибута объекта - это

тоже некоторый объект или множество объектов. Состояние и поведение объекта

инкапсулированы в объекте; взаимодействие объектов производится на основе

передачи сообщений и выполнении соответствующих методов.

Множество объектов с одним и тем же набором атрибутов и методов образует

класс объектов. Объект должен принадлежать только одному классу (если не

учитывать возможности наследования). Допускается наличие примитивных

предопределенных классов, объекты-экземпляры которых не имеют атрибутов:

целые, строки и т.д. Класс, объекты которого могут служить значениями

атрибута объектов другого класса, называется доменом этого атрибута.

Допускается порождение нового класса на основе уже существующего класса -

наследование. В этом случае новый класс, называемый подклассом

существующего класса (суперкласса) наследует все атрибуты и методы

суперкласса. В подклассе, кроме того, могут быть определены дополнительные

атрибуты и методы. Различаются случаи простого и множественного

наследования. В первом случае подкласс может определяться только на основе

одного суперкласса, во втором случае суперклассов может быть несколько.

Если в языке или системе поддерживается единичное наследование классов,

набор классов образует древовидную иерархию. При поддержании множественного

наследования классы связаны в ориентированный граф с корнем, называемый

решеткой классов. Объект подкласса считается принадлежащим любому

суперклассу этого класса.

Одной из более поздних идей объектно-ориентированного подхода является идея

возможного переопределения атрибутов и методов суперкласса в подклассе

(перегрузки методов). Эта возможность увеличивает гибкость, но порождает

дополнительную проблему: при компиляции объектно-ориентированной программы

могут быть неизвестны структура и программный код методов объекта, хотя его

класс (в общем случае - суперкласс) известен. Для разрешения этой проблемы

применяется, так называемый, метод позднего связывания, означающий, по сути

дела, интерпретационный режим выполнения программы с распознаванием деталей

реализации объекта во время выполнения посылки сообщения к нему. Введение

некоторых ограничений на способ определения подклассов позволяет добиться

эффективной реализации без потребностей в интерпретации.

Видимо, наиболее важным новым качеством ООБД, которое позволяет достичь

объектно-ориентированный подход, является поведенческий аспект объектов. В

прикладных информационных системах, основывавшихся на БД с традиционной

организацией (вплоть до тех, которые базировались на семантических моделях

данных), существовал принципиальный разрыв между структурной и

поведенческой частями. Структурная часть системы поддерживалась всем

аппаратом БД, ее можно было моделировать, верифицировать и т.д., а

поведенческая часть создавалась изолированно. В частности, отсутствовали

формальный аппарат и системная поддержка совместного моделирования и

гарантирования согласованности этих структурной (статической) и

поведенческой (динамической) частей. В среде ООБД проектирование,

разработка и сопровождение прикладной системы становится процессом, в

котором интегрируются структурный и поведенческий аспекты. Конечно, для

этого нужны специальные языки, позволяющие определять объекты и создавать

на их основе прикладную систему.

С точки зрения разработчиков информационных систем подход OOБД кажется

очень заманчивым. Более того, на рынке программных продуктов управления

базами данных сегодня существует около двух десятков коммерческих систем,

которые более или менее успешно продаются (примерами таких систем являются

O2 компании O2 Technology (www.o2tech.com), ObjectStore компании

ObjectDesignInc., (www.odi.com), Objectivity/DB компании Objectivity, Inc.,

Versant компании VersantObjectTechnology (www.versant.com), ONTOSDB

компании ONTOS, Inc., (www.ontos.com) и т.д.). Во всех этих системах

поддерживается возможность распределенного хранения баз данных; имеется

возможность написания приложений и/или методов объектов на одном или

нескольких языках объектно-ориентированного программирования (как правило,

в минимальный набор языков входят Си++ и Java); обеспечиваются удобные

средства доступа к базам данных в среде Internet и т.д. Тем не менее,

объектно-ориентированные системы оказались не в состоянии конкурировать с

реляционными системами, поставляемыми ведущей шестеркой поставщиков

программных средств управления базами данных.

Прежде чем перейти к краткому обзору современных продуктов ведущих

компаний, попробуем понять, почему же большинство заказчиков предпочитает

использовать именно эти продукты, а не объектно-ориентированные СУБД. Мы

можем привести несколько соображений, некоторые из которых являются в

большей степени эмоциональными, а другие - чисто техническими. Во-первых,

компьютерное сообщество уже пережило техническую революцию при переходе от

дореляционных СУБД к реляционным. Как и любая революция, эта техническая

революция была пережита непросто. Хотя и очень простые, идеи реляционного

подхода воспринимались широкими массами пользователей и разработчиков

информационных систем на протяжении нескольких лет. Переход к новым

технологиям вызвал необходимость в реинжиниринге, а иногда и полной

переделке существующих и используемых практически информационных систем. В

результате, конечно, были получены более качественные продукты, но

одновременно с этим обострилась известная проблема "унаследованных"

("legacy") систем, которые являются морально устаревшими, плохо

сопровождаемыми, но необходимыми для успешного функционирования

предприятия. Переход к объектно-ориентированной технологии баз данных

означал бы новую революцию. Потребовалась бы качественная, основанная на

иных понятиях переделка прикладного программного обеспечения. Естественно,

это отпугнуло пользователей и разработчиков от объектно-ориентированных баз

данных.

Во-вторых, любая развитая система управления базами данных является

предельно сложным программным продуктом, для эффективной реализации

которого требуется привлечение правильным образом разработанного или

выбранного из числа готовых набора методов, алгоритмов, протоколов и

структур данных. Кроме того, для достижения должного уровня эффективности

СУБД должна пройти длительный процесс отладки, обкатки и настройки. Ведущие

производители реляционных СУБД в той или иной степени успешно решили эти

проблемы за счет больших денежных и временных затрат. Конечно, сегодня

невозможно говорить о какой-либо объектно-ориентированной СУБД, которая

была бы настолько же хорошо отлажена и настроена, которая могла настолько

же эффективно обрабатывать большие объемы данных, как продукты ведущей

шестерки.

В-третьих, одним из основных преимуществ реляционного подхода по отношению

к дореляционным системам является наличие ненавигационного интерфейса

доступа к базам данных. Отсутствие явной навигации в базе данных позволяет

освободить прикладную программу от технических деталей ассемблерного уровня

(можно проводить аналогию между явным переходом по ссылке в структуре

внешних данных и безусловным переходом в языках уровня ассемблера), а также

дает возможность более эффективного по сравнению с ручным выполнения

операций доступа к данным (когда способ выполнения непроцедурно заданного

оператора выбирается в компиляторе соответствующего языка, то используется

гораздо больший объем знаний, чем тот, которым располагает отдельно взятый

человек). Отрицательным свойством ненавигационного, основанного на

манипуляциях с таблицами способа доступа к базам данных является так

называемая потеря соответствия (impedancemismatch) языков программирования

и языков баз данных. Классические, наиболее используемые на практике языки

программирования ориентированы на работу с атомарными значениями встроенных

типов данных. Даже если в языке содержатся средства определения массивных

типов данных (структур, массивов, множеств, списков и т.д.), то перед

выполнением любой обрабатывающей операции необходимо выбрать атомарный

элемент соответствующего массивного типа. Языки реляционных баз данных

ориентированы на работу с таблицами: операндами любой операции являются

таблицы, и в результате выполнения операции формируется новая таблица.

Фактически, языки программирования и языки реляционных баз данных

ортогональны:

[pic]

Рис. 8.1. Ортогональность языков программирования и языков баз данных

То, что предлагается в языке SQL относительно возможности встраивания его

конструкций в традиционный язык программирования - это попытка сгладить эту

ортогональность. (Имеются в виду средства встраиваемого SQL для

развертывания операций обработки результата запроса к базе данных в

последовательность или цикл обработки ее строк.)

[pic]

Рис. 8.2. Сглаживание ортогональности средствами языка SQL

Одной из задач, которую ставили перед собой разработчики подхода ООБД,

состояла в том, чтобы добиться отсутствия потери соответствия между языками

объектно-ориентированного программирования и языками объектно-

ориентированных баз данных. Идеалом представлялось то, чтобы один и тот же

язык использовался и для программирования приложений (и написания методов

объектов), и для обеспечения доступа к базе данных. Поскольку природа

объектно-ориентированных языков не изменилась по сравнению с их

предшественниками, средства доступа к базе данных естественно стали снова

навигационными. Конечно, это другой уровень навигации с использованием

логических ссылок, но навигация есть навигация - за одно обращение к базе

данных можно получить возможность работы с одним объектом. Естественно, и

это отпугнуло разработчиков и пользователей.

Заметим, что в последнее время ситуация изменилась. В результате

деятельности международного консорциума ObjectDatabaseManagementGroup

(ODMG) был выработан стандарт языка запросов (OQL - ObjectQueryLanguage) к

ООБД (в июле 1997 г. опубликована его вторая версия). Этот язык

ненавигационный и синтаксически близок к языку SQL. Но для текущего

поколения объектно-ориентированных СУБД язык OQL появился слишком поздно, и

с этим связана вторая причина неудачи объектно-ориентированных СУБД на

рынке.

До возникновения стандартов ODMG существовало столько же разных

представлений о природе ООБД, сколько разных соответствующих продуктов.

Если реляционные системы с самого начала основывались на одной и достаточно

точной модели, то для ООБД такой общей модели не было вообще. Все попытки

создать такую модель требовали привлечения весьма трудного математического

аппарата, обычно непонятного даже профессиональным математикам. Группа

ODMG, включающая всех основных поставщиков объектно-ориентированных СУБД,

смогла предложить общую объектную модель баз данных, но и эта модель

появилась слишком поздно, а кроме того, она слишком неточна и является

результатом многочисленных компромиссов. Естественно, необоснованные

теоретически объектно-ориентированные СУБД не могли вызвать слишком

большого доверия.

Повторим, что ситуация меняется. Если раньше между ODMG и сообществом

реляционных баз данных (в частности, комитетом по стандартизации языка SQL)

существовали принципиальные разногласия, то сегодня обе стороны стремятся к

сближению позиций. Тем не менее, на сегодняшний день рынок объектно-

ориентированных систем по крайней мере на порядок уже рынка реляционных

систем и, возможно, еще более сузится в связи с возникновением нового

сектора коммерческих объектно-реляционных систем, поставку которых начинают

ведущие компании.

8.1.1. Обзор современного состояния рынка серверов баз данных

РЕКЛАМА

рефераты НОВОСТИ рефераты
Изменения
Прошла модернизация движка, изменение дизайна и переезд на новый более качественный сервер


рефераты СЧЕТЧИК рефераты

БОЛЬШАЯ ЛЕНИНГРАДСКАЯ БИБЛИОТЕКА
рефераты © 2010 рефераты