Принципи побудови корпоративних мереж 1. Особливості стека TCP/IP 2. Віртуальні мережі 3. Віртуальні приватні мережі VPN 4. Структура корпоративної мережі 1

Особливості стека TCP/IP Усі організації подібні між собою. Структура кожної, незалежно від виду діяльності має підрозділи, які безпосередньо здійснюють виробничу діяльність, а також дирекція, бухгалтерія, канцелярія і т.д. Між підрозділами існують звязки. Деякі підрозділи взаємодіють із зовнішнім середовищем – дирекція, фінанси, постачання… 2 1

Особливості стека TCP/IP Таким чином будь-яка організація – це сукупність взаємодіючих елементів (підрозділів), кожен із яких може мати власну структуру. Елементи звязані між собою функціонально, тобто вони виконують окремі види робіт в межах єдиного бізнес- процесу, а також інформаційно, обмінюються документами, факсами, письмовими и усними розпорядженнями. 3 1

Особливості стека TCP/IP TCP/IP – це абревіатура терміну Transmission Control Protocol/Internet Protocol (Протокол управління передачею/Протокол Internet). У термінології обчислювальних мереж протокол – це наперед погоджений стандарт, який дає можливість двом компютерам обмінюватись даними. Фактично TCP/IP це не один протокол, а декілька. 4 1

Особливості стека TCP/IP Програмне забезпечення для TCP/IP, є специфічною для кожної платформи реалізацією TCP, IP та інших складових сімейства TCP/IP. Зазвичай у цьому сімействі є такі високорівневі прикладні програми, як FTP (File Transfer Protocol - протокол передачі файлів), які дають можливість через командний рядок керувати обміном файлами по мережі. 5 1

Особливості стека TCP/IP Стек TCP/IP зародився в результаті досліджень, які фінансувалися Управлінням перспективних науково-дослідних розробок ARPA (Advanced Research Project Agency) уряду США у х роках. Цей протокол було розроблено з метою обєднання обчислювальних мереж дослідницьких центрів по усьому світу. Мета - створити в усьому світі віртуальну мережу мереж" (Internetwork). Початкова Internet була створена в результаті перетворення існуючого конгломерату обчислювальних мереж, які мали назву ARPAnet, і які використовували TCP/IP. 6 1

Особливості стека TCP/IP Причина, завдяки якій TCP/IP є настільки важливим сьогодні, полягає у тому, що він дозволяє самостійним мережам підключатися до Internet або обєднуватися для створення приватних інтрамереж. Обчислювальні мережі, які складають інтрамережу, фізично підключаються через пристрої, які мають назву маршрутизатори. Маршрутизатор – це компютер, який передає пакети даних із однієї мережі в іншу. В інтрамережі, яка працює на основі TCP/IP, інформація передається у вигляді дискретних блоків, які мають назву IP-пакетів (IP packets) або IP-дейтаграмами (IP datagrams). 7 1

Особливості стека TCP/IP Фактично ПЗ TCP/IP приховує маршрутизатори і базову архітектуру мереж і робить так що усе це виглядає як одна велика мережа. Так само, як підключення до мережі Ethernet розпізнаються по 48-розрядним ідентифікаторам Ethernet, підключення до інтрамережі ідентифікуються 32-розрядними IP-адресами, які ми записуємо у вигляді десяткових чисел, разділених точками (наприклад, ). Отримавши IP-адресу віддаленого компьютера, компьютер в інтрамережі або в Internet може відправити дані на нього так, начебто вони є частиною однієї фізичної мережі. 8 1

Особливості стека TCP/IP IP – найбільш фундаментальний протокол з комплекту TCP/IP – він передає IP- дейтаграми по інтрамережі і виконує важливу функцію, яка має назву маршрутизації. Фактично – це є вибір маршруту, по якому дейтаграма буде переміщуватися з пункту А до пункту B, і використання маршрутизаторів для переміщень між мережами. 9 1

Особливості стека TCP/IP TCP - це протокол більш високого рівня, який дозволяє прикладним програмам, які запущені на різних компьютерах мережі, обмінюватися потоками даних. TCP розділяє потоки даних на ланцюжки, які мають назви TCP-сегментів, і передає їх за допомогою IP. У більшості випадків кожен TCP-сегмент пересилається у одній IP-дейтаграмі. При необхідності TCP буде розщіплювати сегменти на декілька IP-дейтаграм, які розміщуються у фізичні кадри даних, і які використовують для передачі інформації між компьютерами у мережі. 10 1

Особливості стека TCP/IP Оскільки IP не гарантує, що дейтаграми будуть отримані у тій же послідовності, у якій вони надсилалися, TCP здійснює нову збірку TCP-сегментів на іншому кінці маршруту, щоб мати безперервний потік даних. FTP и Telnet - це два приклади популярних прикладних програм TCP/IP, які спираються на використання TCP. 11 1

Особливості стека TCP/IP Інша важлива складова TCP/IP - UDP (User Datagram Protocol - протокол користувацьких дейтаграм), який схожий на TCP, але більш примітивний. TCP – надійний протокол, тому що він забезпечує перевірку на вміст помилок і обмін підтверджувальними повідомленнями, щоб дані досягали свого місця призначення без ушкоджень. UDP – ненадійний протокол, тому що не гарантує, що дейтаграми будуть приходити у тому порядку, в якому були надіслані, і навіть того, що вони надійдуть взагалі. Якщо надійність – бажана властивість, для її реалізації потрібне ПЗ. Але UDP займає своє місце у світі TCP/IP, і використовується в багатьох програмах. Прикладна програма SNMP (Simple Network Management Protocol - простий протокол управління мережами), що реалізований у багатьох версіях TCP/IP, - це один з прикладів програм UDP. 12 1

Особливості стека TCP/IP Інші протоколи відіграють меншу роль у роботі мереж. Протокол визначення адрес ARP (Address Resolution Protocol) перетворює IP-адресу в фізичну мережеву адресу, таку, як ідентифікатори Ethernet. Споріднений протокол - протокол зворотнього перетворення адрес RARP (Reverse Address Resolution Protocol) - виконує зворотню дію, перетворення фізичної адреси у IP-адресу. 13 1

Віртуальні мережі Ідеальним варіантом для корпоративної мережі було б створення каналів звязку тільки на тих ділянках, де це необхідно, і передача по ним будь-яких протоколів, які потрібні для роботи додатків. На перший погляд, це повернення до арендованих ліній звязку. Але існують технології побудови мереж передачі даних, які дають можливість організувати всередині них канали, які виникають тільки в потрібний час в потрібному місці. Такі канали мають назву віртуальних. 14 2

Віртуальні мережі Сьогодні існують дві головні технології віртуальних мереж - мережі із комутацією каналів і мережі з комутацією пакетів. До перших належить звичайна телефонна мережа, ISDN та низка інших, більш екзотичних технологій. Мережі з комутацією пакетів представлені технологіями X.25, Frame Relay і – останнім часом - ATM. 15 2

Віртуальні мережі Мережі з комутацією каналів забезпечують абоненту декілька каналів звязку з фіксованою пропускною здатністю на кожне підключення. Телефонна мережа дає один канал звязку між абонентами. Для збільшення кількості одночасно доступних ресурсів потрібно встановлювати додаткові телефонні номери, що обходиться недешево. 16 2

Віртуальні мережі Альтернативою мережам із комутацією каналів є мережі із комутацією пакетів. Коли використовується пакетна комутація - один канал звязку використовується у режимі разділення часу багатьма користувачами – приблизно так само, як і в Internet. На відміну від мереж типу Internet, де кожен пакет маршрутизується окремо, мережі пакетної комутації перед передачею інформації потребують встановлення зєднання між кінцевими ресурсами. 17 2

Віртуальні мережі Після встановлення зєднання мережа "запамятовує" маршрут (віртуальний канал), по якому повинна передаватися інформація між абонентами и памятає його, доки не отримає сигналу про розривання звязку. Для застосувань, які працюють у мережі пакетної комутації, віртуальні канали виглядають як звичайні лінії звязку - із тією тільки різницею, що їх пропускна здатність та затримки у роботі змінюються в залежності від завантаженості мережі. 18 2

Віртуальні приватні мережі VPN VPN (Virtual Private Network) узагальнена назва технологій, які забезпечують одне або декілька мережевих зєднань (логічну мережу) поверх іншої мережі (наприклад Інтернету).Інтернету В залежності від протоколів, що використовуються та призначення, VPN може забезпечувати зєднання трьох видів: вузол-вузол, вузол-мережа та мережа- мережа. 19 3

Віртуальні приватні мережі VPN Незважаючи на те, що комунікації здійснюються по мережам із меншим невідомим рівнем довіри (наприклад, по публічним мережам), рівень довіри до побудованої логічної мережі не залежить від рівня довіри до базових мереж завдяки використанню засобів криптографії (шифрування, аутоідентифікації, інфраструктури публічних ключів, засобам для захисту від змін повідомлень, що передаються по логічним мережам). 20 3

Віртуальні приватні мережі Структура VPN VPN складається із двох частин: внутрішньої підконтрольної (їх може бути декілька) і зовнішньої по якій відбувається інкапсуляція зєднання. Підключення віддаленого користувача виконується сервером доступу, який підключений як до внутрішньої так і до зовнішньої мереж. 21 3

Віртуальні приватні мережі Структура VPN Під час підключення віддаленого користувача (або при встановленні зєднання з іншою захищеною мережею) сервер доступу потребує проходження процесу ідентифікації, а пізніше процесу аутентифікації. Після успішного проходження обох процесів, віддаленому користувачу (віддаленій мережі) надаються повноваження для роботи у мережі, тобто виконується процес авторизації. 22 3

Віртуальні приватні мережі Класифікація VPN 24 3

Віртуальні приватні мережі Класифікація VPN За ступенем захищеності середовища мережі Захищені Це найбільш розповсюджені варіанти VPN. Можна створити надійну захищену підмережу на основі ненадійної мережі (Інтернету). Приклади: PPTP, CiscoVPN, OpenVPN, IPSec Довірительні Використовуються у випадках коли зовнішня мережа може вважатися надійною і потрібно тільки вирішити задачу створення віртуальної підмережі у рамках великої мережі. 24 3

Віртуальні приватні мережі Класифікація VPN за способом реалізації Як програмно-апаратне забезпечення. Така реалізація забезпечує високу продуктивність та захищеність. Приклад: CiscoVPN. У вигляді програмного рішення – приклад OpenVPN Інтегроване рішення – зазвичай забезпечує комплекс фільтрації мережевого трафіка, організації мережевого екрану та підтримку якості обслуговування користувачів. 25 3

Віртуальні приватні мережі Класифікація VPN за призначенням Intranet VPN Для обєднання в єдину захищену мережу декількох філій підприємства з використанням відкритих каналів звязку. Remote Access VPN Для створення захищеного каналу між офісом та окремим користувачем із компютера, ноутбука, смартфону… Internet VPN Використовується провайдерами для надання доступу коли по одному фізичному каналу підключається декілька користувачів – щоб розділити між ними цей канал 26 3

Віртуальні приватні мережі Класифікація VPN за призначенням Extranet VPN Використовують для мереж, до яких підключаються зовнішні користувачі (наприклад замовники чи клієнти). Рівень довіри до них набагато нижчий ніж до співробітників і потрібно відділити їх від конфіденційної інформації. Client/Server VPN Забезпечує захист даних які передаються всередині мережі між різними департаментами – для створення логічних мереж. Наприклад для розділення трафіків департаменту фінансів і департаменту роботи із кадрами. 27 3

Технології функціонування VPN Мережа VPN складається із 4-х компонентів: Сервер VPN. Алгоритми шифрування. Системи аутентифікації. Протокол VPN. Ці компоненти реалізують відповідність вимогам безпеки, продуктивності і здатності взаємодіяти. 28 3

Технології функціонування VPN Визначення вимог повинно вміщувати у собі: Кількість часу на протязі якого слід забезпечувати захист. Кількість одночасних зєднань користувачів. Очікувані типи зєднань. Кількість зєднань з віддаленим сервером. Типи мереж VPN яким потрібне зєднання. Очікуваний обєм трафіка на віддалених вузлах. Політика безпеки, яка визначає налаштування безпеки. 29 3

Структура корпоративної мережі Для побудови територіально розгалуженої мережі можуть використовуватися будь які відомі технології. Для підключення віддалених користувачів найпростішим і доступним варіантом є використання телефонного звязку. Там, де це можливо, можуть використовуватися мережі ISDN. Головне призначення ISDN передача даних із швидкістю до 64 кбіт/с по 4-кілогерцовій дротовій лінії і забезпечення інтегрованих телекомунікаційних послуг (телефон, факс, та ін.). Використання для цієї мети телефонних дротів має дві переваги: вони вже існують і можуть використовуватися. 30 4

Структура корпоративної мережі Принцип роботи ISDN Для обєднання в мережі ISDN різних типів трафіку використовується технологія TDM (Time Division Multiplexing). Для кожного типу даних виділяється окрема смуга, що має назву елементарного каналу. Для цієї смуги гарантується фіксована доля смуги пропускання. 31 4

Структура корпоративної мережі Навіть там, де можлива прокладка виділених ліній (наприклад, у межах одного міста) використання технологій пакетної комутації дозволяє зменшити кількість необхідних каналів звязку і - що важливо – забезпечити сумісність системи із існуючими глобальними мережами. 32 4

Структура корпоративної мережі Для забезпечення звязку для географічно віддалених вузлів вартість оренди каналів стає астрономічною, а якість і надійність не на належному рівні. Тому природнім є використання існуючих глобальних мереж тільки слід забезпечити каналами відстань від офісів до найближчих вузлів глобальної мережі. 33 4

Структура корпоративної мережі Достатній рівень розкриття цього питання є у статті Михаила Шестакова на ресурсі k.shtml k.shtml 34 4