Межсетевое взаимодействие. Различия сетей. Межсетевое взаимодействие при организации
виртуальных каналов, межсетевая передача без соединений. Тунеллирование. Межсетевая
маршрутизация. Фрагментация. Firewall.
На рис.5.33 показаны различные сценарии соединений между сетями:
0. LAN-LAN: научный сотрудник передает файл в рамках локальной сети кампуса;
1. LAN-WAN: научный сотрудник посылает письмо коллеги;
2. WAN-WAN: два гуманитария обмениваются мнениями;
3. LAN-WAN-LAN: научные сотрудники разных университетов общаются между собой.
Название средства, соединяющего сети между собой, зависит от того на каком уровне это происходит.
• Уровень 1: репитор копирует биты одного кабельного сегмента в другой;
• Уровень 2: мост передает пакеты канального уровня из одной ЛВС в другую;
• Уровень 3: мультипротокольный маршрутизатор передает пакеты между разными сетями;
• Уровень 4: транспортный шлюз соединяет байтовые потоки на транспортном уровне;
• Над уровнем 4: прикладной шлюз соединяет приложения в разных сетях.
Напомним, что термин шлюз мы используем для обозначения устройства, соединяющего разные сети.
Репитор - устройство обеспечивающее усиление и очистку сигнала. На МАС уровне трансивер обеспечивает передачу в пределах 500 метров. Репитор обеспечивает передачу на 2.5 км.
Мост способен хранить и маршрутизировать пакеты на канальном уровне. Он получает канальный пакет целиком и решает по какой линии его передать дальше.
Мультипротокольные маршрутизаторы - примерно то же , что и мосты, но работают на сетевом уровне. Они получают пакеты сетевого уровня и определяют куда их передать.
На рис.5.34 показаны разные схемы включения шлюза.
Чем различаются сети
На рис.5.35 перечислены основные различия, которые могут встречаться на сетевом уровне.
Стыковка виртуальных каналов
Есть два общих приема для межсетевого взаимодействия: стыковка, ориентированная на соединения, подсетей с виртуальными каналами, и взаимодействие подсетей через дейтаграммы. На рис.5.36 показана модель стыковки виртуальных каналов. Абонентская машина одной сети устанавливает виртуальное соединение не только внутри своей сети, но и в другой, вплоть до получателя. Внутри своей сети соединение прокладывается по правилам этой сети вплоть до мультипротокольного маршрутизатора, ближайшего к сети получателя. Затем от этого шлюза до получателя по правилам сети получателя. (Рассмотреть прохождение пакетов вдоль соединения.)
На рис.5.36 показано решение с использованием полного шлюза. Однако, такое же решение возможно и с полу шлюзом. Это решение хорошо работает для сетей с примерно одинаковыми характеристиками.
Межсетевое взаимодействие без соединений
На рис.5.37 показано решение на основе соединения сетей на уровне дейтаграмм. В этом подходе единственный сервис, какой сетевой уровень предоставляет транспортному - "впрыскивание" дейтаграмм в подсеть. Дальше приходиться надеяться на удачу. Такое соединение возможно, если соединяемые подсети используют одни и те же сетевые или, очень близкие, протоколы. Вспомним проблемы мостов между подуровнями 802.х.
Другая проблема - адресация. Различия в адресации могут быть столь велики, что соединение станет не возможным. Например, в ТСР/IP используется 32 разрядный адрес, а в OSI - десятичный номер, подобный телефонному. Выход - распространять каждую адресацию на все машины в мире. Однако, очевидно, что это не работает.
Другой выход - создать универсальный пакет, который понимали бы разные сети то же не работает. Проблема - всех уговорить признать один формат как универсальный не возможно.
Соединение виртуальных каналов (достинства): буфера можно резервировать заранее, порядок пакетов сохраняется, проще управлять повторной передачей из-за задержки, короткие заголовки пакетов.
Соединение виртуальных каналов (недостатки): хранение таблицы соединения, сложности в изменении маршрута при перегрузках, высокая надежность маршрутизаторов вдоль соединения.
Основное достоинство дейтаграммного подхода - он может использоваться между сетями, которые не поддерживают виртуальных соединений. Категория таким сетей весьма велика.
Тунелирование
Это соединение двух одинаковых сетей через третью. Например так как показано на рис.5.38. Решение проблемы межсетевого соединения в этом случае - тунелирование.
Межсетевая маршрутизация
рис.5.40. На этом рисунке внутри каждой сети также происходит маршрутизация. Она происходит и на межсетевом уровне. Так мы приходим к двум уровням маршрутизации: внутреннему межшлюзовому протоклу и внешнему. Поскольку каждая сеть в определенном смысле автономна, то часто используют термин - автономная система.
Главная сложность, опасность отличающая внутри сетевую маршрутизацию от межсетевой - государственные границы. Здесь возникают различия в законах разных стран, различия в оплате трафиков, принятые на территориях разных стран и т.д.
Фрагментация
В каждой сети есть свой максимальный размер пакетов. Это ограничение имеет несколько причин:
1. Аппаратура ( например максимальный TDM слот)
2. Операционная система (все буфера по 512 байтов)
3. Протоколы (например, размер поля длины пакета)
4. Совместимость с некоторыми национальными и международными стандартами
5. Стремление сократить ошибку, наводимую повторной передачей
6. Желание предотвратить захват канала на долго одним пакетом.
Максимальный размер пакета колеблется от 48 байтов у АТМ до 65 515 байтов у IP ( у протоколов более верхних уровней он еще больше).
Очевидно, первая же проблема возникает при попытке передать большой пакет через сеть, у которой максимальный размер пакета меньше. Одно из решений проложить маршрут для таких пакетов так, чтобы избежать таких ситуаций. Однако, что делать если эта сеть - сеть где расположен получатель?
Единственное решение - разрешить шлюзу разбивать пакет на фрагменты и отправлять каждый фрагмент независимо. В этом случае возникает проблема сборки фрагментов.
Есть два подхода для этого. Первый делать фрагменты столь малыми, что любая сеть на их пути будет прозрачна для них. Это решение показано на рис.5.41(а). Когда большой пакет поступает, его разбивают на малые и всех их отправляют на один и тот же выходной шлюз, где они собираются в большой пакет снова.
У такой фрагментации есть трудности: как узнать что все фрагменты достигли выходного шлюза, как выбирать маршрут для фрагментов, накладные расходы на разбиение на фрагменты и сборку из фрагментов пакета.
Другой подход - разбив пакет на фрагменты трактовать каждый из них как обычный пакет. Это решение показано на рис.5.41(в). Сборка фрагментов происходит только в узле назначения. Однако, при таком подходе каждый хост должен уметь собирать пакеты из фрагментов.
Firewall
Способность соединяться любому компьютеру, где бы он ни был с любым другим компьютером - благо для пользователя, но сущее наказание для службы безопасности любой организации. Здесь кроме угрозы потери информации есть угроза притока всякой гадости типа вирусов, червей и прочих цифровых паразитов. Надо заметить, что согласно результатам исследований 50% опасности таится из вне сети, а 50% изнутри от сотрудников.
Итак нужен механизм, который бы различал "чистые" биты от "не чистых". Один способ шифровать данные. Так поступают при передаче данных. Со способами шифрования мы познакомимся позднее. Но шифрование бессильно против вирусов, хакеров и проч. нечести. Одним из средств борьбы с ними служат барьеры (firewall).
Барьер - современная форма крепостного рва. Компания может иметь сколь угодно сложную сеть, объединяющую много ЛАН. Однако, весь трафик в сеть и из этой сети идет только через один шлюз, где происходит проверка пакета на соответствие определенным требованиям. Если пакет не удовлетворяет этим требованиям, то он не допускает в или из сети.
Барьер состоит из двух маршрутизаторов, фильтрующих пакеты и шлюза приложений. Фильтры содержат таблицы сайтов, от которых можно принимать пакеты и которым можно передавать пакеты. Шлюз приложений ориентированы на конкретные приложения. Например, шлюз для эл.почты. Этот шлюз анализирует поле данных и принимает решение сбросить пакет или нет.