Шпаргалка по дисциплине "Информационные системы"

 

Тегирование – процесс добавления метки VLAN’a (он же тег) к фреймам трафика.

Как правило, конечные хосты  не тегируют трафик (например, компьютеры пользователей). Этим занимаются коммутаторы, стоящие в сети. Более того, конечные хосты и не подозревают о том, что они находятся в таком-то VLAN’е. Строго говоря, трафик в разных VLAN’ах чем-то особенным не отличается.

Если через  порт коммутатора может прийти трафик разных VLAN’ов, то коммутатор должен его как-то различать. Для этого каждый кадр должен быть помечен какой-либо меткой.

Наибольшее  распространение получила технология, описанная в спецификации  IEEE 802.1Q.

802.1q – это открытый стандарт, описывающий процедуру тегирования трафика.

Для этого в тело фрейма помещается тег, содержащий информацию о принадлежности к VLAN’у. Т.к. тег помещается в тело, а не в заголовок фрейма, то устройства, не поддерживающие VLAN’ы, пропускают трафик прозрачно, то есть без учета его привязки к VLAN’у.

Размер метки (тега) всего 4 байта. Состоит из 4-х  полей:

• Tag Protocol Identifier (TPID, идентификатор протокола тегирования). Размер поля — 16 бит. Указывает на то, какой протокол используется для тегирования. Для 802.1Q используется значение 0×8100.
• Priority (приоритет). Размер поля — 3 бита. Используется стандартом IEEE 802.1p для задания приоритета передаваемого трафика.
• Canonical Format Indicator (CFI, индикатор канонического формата). Размер поля — 1 бит. Указывает на формат MAC-адреса. 0 — канонический, 1 — не канонический. CFI используется для совместимости между сетями Ethernet и Token Ring.
• VLAN Identifier (VID, идентификатор VLAN). Размер поля — 12 бит. Указывает на то, какому VLAN принадлежит фрейм. Диапазон возможных значений — от 0 до 4095.

Если трафик теггируется, или наоборот — метка убирается, то контрольная сумма фрейма пересчитывается(CRC).

Стандарт 802.1q также предусматривает обозначение  VLAN’ом трафика, идущего без тега, т.е. не тегированного. Этот VLAN называется нативный VLAN, по умолчанию это VLAN 1. Это позволяет считать тегированным трафик, который в реальности тегированным не является.

Обозначение членства в VLAN:

• по порту (англ. port-based, 802.1Q): порту коммутатора вручную назначается одна VLAN. В случае, если одному порту должны соответствовать несколько VLAN (например, если соединение VLAN проходит через несколько сетевых коммутаторов), то этот порт должен быть членом транка. Только одна VLAN может получать все пакеты, не отнесённые ни к одной VLAN (в терминологии 3Com, Planet, D-Link, Zyxel, HP — untagged, в терминологии Cisco — native VLAN). Сетевой коммутатор будет добавлять метки данной VLAN ко всем принятым кадрам не имеющим никаких меток. VLAN, построенные на базе портов, имеют некоторые ограничения.
• по MAC-адресу (MAC-based): членство в VLANe основывается на MAC-адресе рабочей станции. В таком случае сетевой коммутатор имеет таблицу MAC-адресов всех устройств вместе с VLANами, к которым они принадлежат.
• по протоколу (Protocol-based): данные 3-4 уровня в заголовке пакета используются чтобы определить членство в VLANe. Например, IP-машины могут быть переведены в первую VLAN, а AppleTalk-машины во вторую. Основной недостаток этого метода в том, что он нарушает независимость уровней, поэтому, например, переход с IPv4 на IPv6 приведет к нарушению работоспособности сети.
• методом аутентификации (англ. authentication based): устройства могут быть автоматически перемещены в VLAN основываясь на данных аутентификации пользователя или устройства при использовании протокола 802.1x.

22. Технология VPN. Принцип работы технологии VPN. Варианты реализации технологии VPN. Туннелирование. Протоколы для организации VPN-туннеля.

VPN (виртуальная частная сеть)— обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет). Несмотря на то, что коммуникации осуществляются по сетям с меньшим или неизвестным уровнем доверия, уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений).

В зависимости от применяемых  протоколов и назначения, VPN может  обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть. 

Уровни реализации

Обычно VPN развёртывают на уровнях не выше сетевого, так  как применение криптографии на этих уровнях позволяет использовать в неизменном виде транспортные протоколы (такие как TCP, UDP).

Пользователи  Microsoft Windows обозначают термином VPN одну из реализаций виртуальной сети — PPTP, причём используемую зачастую не для создания частных сетей.

Чаще всего  для создания виртуальной сети используется инкапсуляция протокола PPP в какой-нибудь другой протокол — IP. Технология VPN в  последнее время используется не только для создания собственно частных  сетей, но и некоторыми провайдерами «последней мили» на постсоветском  пространстве для предоставления выхода в Интернет.

При должном  уровне реализации и использовании  специального программного обеспечения  сеть VPN может обеспечить высокий  уровень шифрования передаваемой информации. При правильной настройке всех компонентов  технология VPN обеспечивает анонимность  в Сети.

 

Туннелирование обеспечивает передачу данных между двумя точками - окончаниями туннеля - таким образом, что для источника и приемника данных оказывается скрытой вся сетевая инфраструктура, лежащая между ними.

Транспортная  среда туннеля, как паром, подхватывает пакеты используемого сетевого протокола  у входа в туннель и без  изменений доставляет их к выходу. Построения туннеля достаточно для  того, чтобы соединить два сетевых  узла так, что с точки зрения работающего  на них программного обеспечения  они выглядят подключенными к  одной (локальной) сети. Однако нельзя забывать, что на самом деле «паром»  с данными проходит через множество  промежуточных узлов (маршрутизаторов) открытой публичной сети.

Такое положение  дел таит в себе две проблемы. Первая заключается в том, что  передаваемая через туннель информация может быть перехвачена злоумышленниками. Если она конфиденциальна (номера банковских карточек, финансовые отчеты, сведения личного характера), то вполне реальна  угроза ее компрометации, что уже  само по себе неприятно. Хуже того, злоумышленники имеют возможность модифицировать передаваемые через туннель данные так, что получатель не сможет проверить  их достоверность. Последствия могут  быть самыми плачевными. Учитывая сказанное, мы приходим к выводу, что туннель  в чистом виде пригоден разве что  для некоторых типов сетевых  компьютерных игр и не может претендовать на более серьезное применение. Обе  проблемы решаются современными средствами криптографической защиты информации. Чтобы воспрепятствовать внесению несанкционированных изменений  в пакет с данными на пути его  следования по туннелю, используется метод  электронной цифровой подписи (ЭЦП). Суть метода состоит в том, что  каждый передаваемый пакет снабжается дополнительным блоком информации, который  вырабатывается в соответствии с  асимметричным криптографическим  алгоритмом и уникален для содержимого  пакета и секретного ключа ЭЦП  отправителя. Этот блок информации является ЭЦП пакета и позволяет выполнить  аутентификацию данных получателем, которому известен открытый ключ ЭЦП отправителя. Защита передаваемых через туннель  данных от несанкционированного просмотра  достигается путем использования  сильных алгоритмов шифрования.

Протоколы для организации VPN-туннеля.

На канальном уровне могут использоваться протоколы туннелирования данных L2TP и PPTP, которые используют авторизацию и аутентификацию

L2TP (протокол туннелирования второго уровня) — в компьютерных сетях туннельный протокол, использующийся для поддержки виртуальных частных сетей. Главное достоинство L2TP состоит в том, что этот протокол позволяет создавать туннель не только в сетях IP, но и в таких, как ATM, X.25 и Frame Relay.

Несмотря  на то, что L2TP действует наподобие  протокола Канального уровня модели OSI, на самом деле он является протоколом Сеансового уровня и использует зарегистрированный UDP-порт 1701.

PPTP — туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети. PPTP помещает (инкапсулирует) кадры PPP в IP-пакеты для передачи по глобальной IP-сети, например Интернет. PPTP может также использоваться для организации туннеля между двумя локальными сетями. РРТР использует дополнительное TCP-соединение для обслуживания туннеля.

23. DNS. Структура DNS. Домен. Процесс преобразования доменного имени. Корневые DNS-сервера.

DNS (англ. Domain Name System — система доменных имён) — распределённая система, способная по запросу, содержащему доменное имя хоста (компьютера или другого сетевого устройства), сообщить IP адрес или (в зависимости от запроса) другую информацию. DNS работает в сетях TCP/IP. Как частный случай, DNS может хранить и обрабатывать и обратные запросы определения имени хоста по его IP адресу.

 

Структура DNS:

Основой DNS является представление об иерархической  структуре доменного имени и  зонах. Каждый сервер, отвечающий за имя, может делегировать ответственность  за дальнейшую часть домена другому  серверу, что позволяет возложить  ответственность за актуальность информации на серверы различных организаций (людей), отвечающих только за «свою» часть  доменного имени.

В DNS для преобразования имен применяется иерархический  подход, при котором информация передается по иерархии доменных имен вверх и  вниз до тех пор, пока не будет найден нужный компьютер. Каждый уровень в  этой иерархии отделяется от других точкой (.), которая символизирует разделение.

Доме́н — узел в дереве имён, вместе со всеми подчинёнными ему узлами (если таковые имеются), то есть именованная ветвь или поддерево в дереве имен. Структура доменного имени отражает порядок следования узлов в иерархии; доменное имя читается слева направо от младших доменов к доменам высшего уровня (в порядке повышения значимости), корневым доменом всей системы является точка ('.'), ниже идут домены первого уровня (географические или тематические), затем — домены второго уровня, третьего и т. д. (например, для адреса ru.wikipedia.org. домен первого уровня — org, второго wikipedia, третьего ru). На практике точку в конце имени часто опускают ("ru.wikipedia.org" вместо "ru.wikipedia.org."), но она бывает важна в случаях разделения между относительными доменами и FQDN (англ. Fully Qualifed Domain Name, полностью определённое имя домена).

Процесс преобразования доменного  имени

Процесс преобразования доменного  имени в IP-адрес называется разрешением  доменного имени.

Служба доменных имен поддерживает распределенную базу данных, которая хранится на специальных  компьютерах – DNS-серверах. Термин «распределенная» означает, что вся информация не хранится в одном месте, её части  распределены по отдельным DNS-серверам. Например, за домены первого уровня отвечают 13 корневых серверов, имеющих имена от A.ROOT-SERVERS.NET до M.ROOT-SERVERS.NET, расположенных по всему миру (большинство в США). Такие части пространства имен называются зонами (zone).

Служба DNS построена  по модели «клиент-сервер», т. е. в процессе разрешения имен участвуют DNS-клиент и DNS-серверы. Системный компонент DNS-клиента, называемый DNS-распознавателем, отправляет запросы на DNS-серверы. Запросы бывают двух видов:

– итеративные – DNS-клиент обращается к DNS-серверу с просьбой разрешить имя без обращения  к другим DNS-серверам;

– рекурсивные – DNS-клиент перекладывает всю работу по разрешению имени на DNS-сервер. Если запрашиваемое имя отсутствует в базе данных и в кэше сервера, он отправляет итеративные запросы на другие DNS-серверы. В основном DNS-клиентами используются рекурсивные запросы.

 

Процесс разрешения имени:

Сначала DNS-клиент осуществляет поиск в собственном локальном кэше DNS-имен. Это память для временного хранения ранее разрешенных запросов. В эту же память переносится содержимое файла HOSTS (каталог windows/system32/drivers/etc). Утилита IPconfig с ключом /displaydns отображает содержимое DNS-кэша. Если кэш не содержит требуемой информации, DNS-клиент обращается с рекурсивным запросом к предпочитаемому DNS-серверу (Preferred DNS server), адрес которого указывается при настройке стека TCP/IP. DNS-сервер просматривает собственную базу данных, а также кэш- память, в которой хранятся ответы на предыдущие запросы, отсутствующие в базе данных. В том случае, если запрашиваемое доменное имя не найдено, DNS-сервер осуществляет итеративные запросы к DNS-серверам верхних уровней, начиная с корневого DNS-сервера.

Иногда оказывается, что предпочитаемый DNS-сервер недоступен. Тогда происходит запрос по той же схеме к альтернативному DNS-серверу, если, конечно, при настройке стека TCP/IP был указан его адрес.

 

Корневые серверы DNS — DNS-серверы, содержащие информацию о доменах верхнего уровня, указывающую на DNS-серверы, поддерживающие работу каждого из этих доменов. Основные корневые серверы DNS размещены в домене root-servers.net и обозначаются латинскими буквами от A до М[1]. Они управляются различными организациями, действующими по согласованию с ICANN. Количество серверов ограничено в связи с максимальным объёмом UDP-пакета (большее количество серверов потребовало бы перехода на TCP-протокол для получения ответа, что существенно бы увеличило нагрузку).

У многих корневых серверов DNS существуют зеркала. Ближайший (к пользователю) адрес «зеркала»  корневого сервера выбирается автоматически  благодаря IP AnyCast.

24. Протокол динамического конфигурирования хостов. Протокол DHCP. Принцип работы протокола DHCP. Основные характеристики назначаемые хосту по протоколу DHCP. Аренда DHCP.

DHCP (протокол  динамической настройки узла) —  сетевой протокол, позволяющий компьютерам  автоматически получать IP-адрес  и другие параметры, необходимые  для работы в сети TCP/IP. Данный  протокол работает по модели  «клиент-сервер». Для автоматической  конфигурации компьютер-клиент на  этапе конфигурации сетевого  устройства обращается к так  называемому серверу DHCP, и получает  от него нужные параметры. Сетевой  администратор может задать диапазон  адресов, распределяемых сервером  среди компьютеров. Это позволяет  избежать ручной настройки компьютеров  сети и уменьшает количество  ошибок. Протокол DHCP используется в  большинстве сетей TCP/IP.

DHCP является  расширением протокола BOOTP, использовавшегося  ранее для обеспечения бездисковых  рабочих станций IP-адресами при  их загрузке. DHCP сохраняет обратную  совместимость с BOOTP.

 

Протокол DHCP предоставляет три  способа распределения IP-адресов:

• Ручное распределение. При этом способе сетевой администратор сопоставляет аппаратному адресу (для Ethernet сетей это MAC-адрес) каждого клиентского компьютера определённый IP-адрес. Фактически, данный способ распределения адресов отличается от ручной настройки каждого компьютера лишь тем, что сведения об адресах хранятся централизованно (на сервере DHCP), и потому их проще изменять при необходимости.
• Автоматическое распределение. При данном способе каждому компьютеру на постоянное использование выделяется произвольный свободный IP-адрес из определённого администратором диапазона.
• Динамическое распределение. Этот способ аналогичен автоматическому распределению, за исключением того, что адрес выдаётся компьютеру не на постоянное пользование, а на определённый срок. Это называется арендой адреса. По истечении срока аренды IP-адрес вновь считается свободным, и клиент обязан запросить новый (он, впрочем, может оказаться тем же самым). Кроме того, клиент сам может отказаться от полученного адреса.

Некоторые реализации службы DHCP способны автоматически обновлять  записи DNS, соответствующие клиентским компьютерам, при выделении им новых  адресов. Это производится при помощи протокола обновления DNS.

Получение адреса: Обнаружение DHCP --> Предложение DHCP --> Запрос DHCP --> Подтверждение DHCP.