Модуль_3. Модуль системы и сети передачи данных
Скачать 1.93 Mb.
|
Используемые протоколы В сетях хранения данных используются низкоуровневые протоколы: • Fibre Channel Protocol (FCP), транспорт SCSI через Fibre Channel. Наиболее часто используемый на данный момент протокол. Существует в вариантах 1 Gbit/s, 2 Gbit/s, 4 Gbit/s, 8 Gbit/s и 10 Gbit/s. • iSCSI, транспорт SCSI через TCP/IP. • FCoE, транспортировка FCP/SCSI поверх "чистого" Ethernet. • FCIP и iFCP, инкапсуляция и передача FCP/SCSI в пакетах IP. • HyperSCSI, транспорт SCSI через Ethernet. • FICON транспорт через Fibre Channel (используется только мейнфреймами). • ATA over Ethernet, транспорт ATA через Ethernet. • SCSI и/или TCP/IP транспорт через InfiniBand (IB). Преимущества • Высокая надёжность доступа к данным, находящимся на внешних системах хранения. Независимость топологии SAN от используемых СХД и серверов. • Централизованное хранение данных (надёжность, безопасность). • Удобное централизованное управление коммутацией и данными. • Перенос интенсивного трафика ввода-вывода в отдельную сеть – разгрузка LAN. 20 • Высокое быстродействие и низкая латентность. • Масштабируемость и гибкость логической структуры SAN • Географические размеры SAN, в отличие от классических DAS, практически не ограничены. • Возможность оперативно распределять ресурсы между серверами. • Возможность строить отказоустойчивые кластерные решения без дополнительных затрат на базе имеющейся SAN. • Простая схема резервного копирования – все данные находятся в одном месте. • Наличие дополнительных возможностей и сервисов (снапшоты, удаленная репликация). • Высокая степень безопасности SAN. Совместное использование систем хранения как правило упрощает администрирование и добавляет изрядную гибкость, поскольку кабели и дисковые массивы не нужно физически транспортировать и перекоммутировать от одного сервера к другому. Другим приемуществом является возможность загружать сервера прямо из сети хранения. При такой конфигурации можно быстро и легко заменить сбойный сервер, переконфигурировав SAN таким образом, что сервер-замена, будет загружаться с LUN'а сбойного сервера. Эта процедура может занять, например, полчаса. Идея относительно новая, но уже используется в новейших датацентрах. Также сети хранения помогают более эффективно восстанавливать работоспособность после сбоя. В SAN может входить удаленный участок со вторичным устройством хранения. В таком случае можно использовать репликацию - реализованную на уровне контроллеров массивов, либо при помощи специальных аппаратных устройств. Поскольку каналы WAN на основе протокола IP встречаются часто, были разработаны протоколы Fibre Channel over IP (FCIP) и iSCSI с целью расширить единую SAN средствами сетей на основе протокола IP. Спрос на такие решения значительно возрос после событий 11 сентября 2001 года в США. Недостатки Все минусы сводятся только к высокой стоимости подобного рода решений. Российский рынок СХД в целом отстает от рынка западных развитых стран, особенно – в широком использовании сетей хранения данных. В частности, определенное влияние продолжают оказывать дефицит и высокая стоимость скоростных каналов связи. 21 6. NAT Что такое НАТ — NAT NAT — это специальный механизм, реализованный в сетях TCP/IP, который позволяет изменять айпи адреса пересылаемых пакетов, т. е. тех внутренних IP, которые присылаются на сетевой шлюз — в глобальные для дальнейшей отправки во внешний интернет. Также, такие пакеты называют транзитными. Реализуется через маршрутизатор на программном уровне или настраивается самим провайдером. Полностью расшифровывается, как Network Address Translation и переводится на русский, как Преобразование Сетевых Адресов. Простыми словами, работает это так. При создании сетей обычно используются частные IP вида: 10/8, 172.16/12, 192.168/16. Обмен пакетами между этими айпи внутри такой сети происходит напрямую. Но, чтобы выйти в глобальную паутину, такой IP должен быть преобразован в глобальный/публичный — именно этим и занимается NAT. Именно НАТ позволяет вам из частной сети общаться с внешними ip адресами, за ее пределами. А между прочем, даже ваш роутер и подсоединенные к нему ПК, ноутбук, телевизор, смартфон и т. д. — это уже локальная частная сеть. Интересно! Вот таким вот простыми способом, была решена проблема нехватки уникальных айпи IPv4 для каждого устройства. Т. е. в своей сети — свой IP, а во всемирной паутине — публичный, другой IP. 22 Типы NAT Статический, Static NAT Берется один IP-адрес из внутренней сети и преобразовывается во внешний/публичный и все запросы, которые будут на него посылаться извне, будут пересылаться именно на этот внутренний айпи. Т. е. для всемирной паутины он будет выглядеть полностью, как белый/публичный IP. Используется чаще всего в корпоративных сетях, когда необходимо, чтобы какой-либо IP всегда был доступен из глобальной паутины. Работает это так: • Есть во внутренней сети айпи 172.15.4.3, он обращается ко внешнему серверу на 198.2.6.2, отправляет пакет данных вначале естественно на шлюз. • Шлюз 172.15.4.1, на котором настроен NAT преобразует его в белый/внешний 198.1.12.8. • По глобальном интернете пакеты передаются по этому IP-адресу и обратно приходят к нему же. • На маршрутизаторе с НАТ есть указание, все пакеты данных, которые приходят на 198.1.12.8 перенаправлять на 172.15.4.3. Вот и все. Если у вас несколько роутеров, то такую процедуру можно проделать со всеми ними. Динамический, Dynamic NAT Если вы имеете определенное количество белых/внешних IP, например, ваш поставщик интернета предоставил вам сеть 199.49.101.0/28 — с 16 айпи. Первый и конечный адреса всегда заняты. Еще два мы возьмем для оборудования на функционирование маршрутизации. И остается их 12, которые можно применять для NAT и пускать посредством них свои устройства. Тут все практически также, как и со статичным НАТ, также 1 внутренний айпи привязан к 1 внешнему, но с той лишь разницей, что адреса теперь будут 23 выдаваться динамически каждому нуждающемуся пользователю во внутренней сети, а не одному определенному узлу. Все бы хорошо, но, если, например, адресов 12, а пользователей 300? Те, кто успел, те и смогут их использовать. NAT Overload Этот вид еще имеет другие названия такие как: Many-to-One NAT, Port Address Translation (PAT) и IP Masquerading. Как вы знаете, чаще всего провайдер выдает вам лишь один IP адрес, который может быть статическим или динамическим. Но дома могут быть множества устройств с разными программами, которым необходим доступ во всемирную паутину и как определить, какое из них отправило запрос, какое приложение? Проблема эта решается использованием портов, по этой ссылке очень подробно описана эта тема. Важно! Порт пишется сразу после айпи через двоеточие, например: 176.57.209.9:443. И такая связка называется — сокет. Как это будет выглядеть, когда NAT подменяет один IP на другой? Так, например, с двух устройств с внутренними адресами 173.52.6.7 и 173.52.4.5, которые должны заменяться на: 198.50.100.9 и 198.50.100.11 будет выполнен запрос на какой-либо сервер в интернете — это будет смотреться так: Устройство 1 — отправитель: IP — 173.52.6.7, порт: 21784; получатель: IP — 192.16.5.3, порт: 80 Устройство 2 — отправитель: IP — 173.52.4.5, порт: 32714; получатель: IP — 192.16.5.3, порт: 80 Что происходит дальше? NAT берет IP-пакет первого узла, вынимает его TCP сегмент, при этом узнавая порт. У этого айпи внешний адрес 198.50.100.9 — на него он меняется при выходе в глобальный интернет. Далее происходит выбор порта, к примеру, 11837 и все данные уровня приложений упаковываются в новый TCP сегмент. Порт адресата естественно остается — 24 80, а вот того, кто отправляет заменяется с 21784 на 11837. TCP сегмент вставляется в новый IP-пакет со сменой самого адреса на 198.50.100.9. Такая же процедура происходит и со вторым хостом только отбирается следующий незанятый PORT. Теперь данные, отправляемые в интернет, будут выглядеть так: Устройство 1 — отправитель: IP — 198.50.100.9, порт: 11837; получатель: IP — 192.16.5.3, порт: 80 Устройство 2 — отправитель: IP — 198.50.100.11, порт: 27289; получатель: IP — 192.16.5.3, порт: 80 В NAT-таблицу записываются значения отправителя и получателя: Локальный сокет отправителя 1: 173.52.6.7:21784; сокет получателя: 192.16.5.3:80 Глобальный сокет отправителя 1: 198.50.100.9:11837; сокет получателя: 192.16.5.3:80 Локальный сокет отправителя 2: 173.52.4.5:32714; сокет получателя: 192.16.5.3:80 Локальный сокет отправителя 2: 198.50.100.11:27289; сокет получателя: 192.16.5.3:80 Когда приходит ответ от сервера происходит сопоставление данных с таблицей и пакеты данных доставляются именно тому, кто совершил запрос. Преимущества NAT Под одним внешним IPv4 адресом может сидеть в глобальной паутине множество пользователей одновременно. Скрывает ваш настоящий внутренний IP в частной сети и показывает лишь внешний. Так, все устройства из вне видят только ваш общедоступный айпи. В определенной степени выполняет функции файрвола, не позволяя соединениям извне достигать основного компьютера. Т. е. если на устройство с НАТ извне приходит пакет, который не ожидался — то он категорически не будет допущен. Роутер с поддержкой НАТ может быть настроен сразу с несколькими внешними/белыми IP, это еще называется — пул НАТ. Недостатки NAT Невысокая скорость передачи данных для протоколов реального времени, например, для VoIP. Т. к. когда НАТ переделывает заголовки у каждого IPv4 адреса — происходят задержки. Проблемы с идентификацией, т. к. под одним IP может находиться сразу несколько человек. 25 Для пиринговых сетей нужна дополнительная настройка маршрутизации, т. к. приложению еще нужно и принимать соединения. Если много пользователей с одним айпи зайдут на какой-либо сервис — это может вызывать подозрение на Do S-атаку. 7. Виртуальные частные сети (VPN): OpenVPN, L2TP/Ipsec, SSTP, PPTP Что такое VPN Виртуальная частная сеть защищает личные или корпоративные данные при их передаче через интернет или другие сети. Для этого VPN использует виртуальный туннель, а передаваемые данные зашифровывает. Сам VPN действует как сетевой интерфейс для клиента и прозрачен для операционной системы, приложений и пользователей, получающих к нему доступ. Для чего используется VPN Прежде всего, виртуальная частная сеть обеспечивает конфиденциальную передачу данных. VPN защищает информацию во время ее передачи через общедоступную сеть. Если злоумышленники каким-то образом перехватят данные, то не смогут их расшифровать и использовать в своих целях. VPN также используется в компаниях, где сотрудники работают удаленно — на дому, в публичных местах и даже в транспорте. Домашние сети 26 и личные устройства не так хорошо защищены, как офисные сети и рабочие места. Вдобавок работники используют публичные сети, которые пересылают данные незашифрованными. Использование VPN предоставляет безопасное подключение к внутренним системам организации. Все конфиденциальные файлы или интеллектуальная собственность защищены при передаче через интернет. VPN обязателен для любой организации, чьи сотрудники выезжают за границу по работе. В целях безопасности многие компании ограничивают доступ к своей внутренней сети списком определенных IP-адресов. Вдобавок в ряде стран некоторые необходимые для работы веб-сайты блокируются. VPN решает эту проблему. Еще одна распространенная проблема безопасности — DNS-утечки. Из- за неправильной настройки запросы могут отправляться в незашифрованном виде в обход VPN. Благодаря этому злоумышленник способен получить информацию об IP-адресе устройств или сети, посещенных веб-сайтах и их IP- адресах. Эта информация поможет мошеннику создать фишинговую кампанию, чтобы украсть данные для входа в систему. Недостатки VPN Основной недостаток один — скорость. VPN-соединение — это еще одна остановка на пути передаваемых данных. Вдобавок шифрование требует дополнительного времени. В результате каждое VPN-соединение немного замедляет скорость работы. В целом скорость VPN-соединения зависит от скорости соединения обеих конечных точек. Например, пользователь, получающий доступ к корпоративной сети через VPN, ограничен скоростью: подключения своей рабочей машины к интернету, подключения интернета к серверу VPN, подключения сервера VPN к доступным ресурсам. Низкая скорость VPN-сервиса может привести к значительному падению пропускной способности. Как устроена виртуальная частная сеть Есть несколько типов VPN, каждый из них может использовать разные протоколы и способы шифрования. Выбор зависит от целей использования VPN. 27 Типы организации VPN-соединения Основных типов организации виртуальной частной сети три: Remote Access VPN (шлюз защищенного удаленного доступа), Site to Site VPN (соединение точка-точка или роутер-роутер) и Client to Provider. Remote Access VPN Этот тип VPN позволяет отдельным пользователям устанавливать безопасные соединения с удаленной компьютерной сетью. Они получают доступ к защищенным ресурсам в этой сети через интернет, как если бы подключались напрямую к серверам сети. Такой способ подходит организациям, где работают сотни удаленных сотрудников. Другое название этого типа VPN — виртуальная частная сеть с коммутируемым доступом (VPDN). Слово «коммутируемый» напоминает, что в своей самой ранней форме VPN с удаленным доступом требовал подключения к серверу с использованием аналоговой телефонии. Как работает Для этого типа нужны два компонента. Первый — сервер доступа к сети NAS. Он может быть выделенным сервером или одним из нескольких программных приложений, работающих на общем сервере. NAS требует, чтобы пользователь предоставил свои учетные данные для входа в VPN. Аутентификацию NAS проводит самостоятельно или использует для этого отдельный сервер. Второй компонент виртуальных частных сетей удаленного доступа — клиентское ПО. Оно устанавливается на компьютеры пользователей. Большинство операционных систем сегодня имеют встроенное ПО для подключения к VPN. Однако, некоторые VPN могут потребовать от пользователей установки специального приложения. Клиентское ПО устанавливает туннелированное соединение с NAS-сервером. Оно также управляет шифрованием, необходимым для обеспечения безопасности соединения. Крупные корпорации или предприятия с квалифицированным ИТ- персоналом обычно развертывают и обслуживают свои собственные виртуальные частные сети Remote Access VPN. Site to site VPN Такой тип VPN подходит крупным корпорациям с филиалами по всей стране или миру. Как работает Существует два типа Site to Site VPN — интранет и экстранет. Интранет 28 Если у компании есть один или несколько географически удаленных офисов, которые надо объединить в единую частную сеть, то создается интрасеть VPN. Она подключает каждую отдельную локальную сетку к общей сети организации. Экстранет Он создается для работы нескольких компаний, которые хотят совместно использовать часть ресурсов, а другую часть оставить приватной. На основе экстрасети каждая организация подключается к VPN и выбирает ресурсы, которые хочет сделать доступным для другой компании. Такая сеть VPN позволяет организациям работать вместе в безопасной общей сетевой среде, предотвращая доступ к их отдельным интрасетям. Client-to-provider Это способ подключения для пользователей, использующих небезопасную общедоступную сеть Wi-Fi — например, в кафе, аэропорту или отеле. Также этот способ подключения предназначен для тех, кому важно сохранить конфиденциальность своих данных. Благодаря ему пользователь шифрует трафик от своего интернет-провайдера. Как работает Для предотвращения перехвата трафика пользователь устанавливает VPN-соединение с провайдером VPN, а тот уже перенаправляет трафик в интернет. Легко перехватываемый локальный беспроводной трафик шифруется на всем пути к провайдеру, который затем безопасно подключается к Интернету. Это снижает вероятность атаки посредника (MITM) или сниффера. VPN-клиенты Для подключения к защищенной сети нужен VPN-клиент — программное обеспечение, работающее на выделенном устройстве. Оно действует как туннельный интерфейс для нескольких подключений и избавляет каждый компьютер от необходимости запускать собственное клиентское ПО VPN. Выбор способа подключения зависит от целей использования. Автономный На удаленной конечной точке устанавливается специализированное ПО. При запуске оно создает зашифрованное соединение с виртуальной частной сетью. Чтобы установить VPN-соединение, конечная точка должна запустить VPN-клиент и подключиться к другой конечной точке. Такой тип подключения 29 часто встречается в общедоступных VPN-сервисах. Обычно пользователь самостоятельно загружает VPN-клиент для подключения. Встроенный в операционную систему Операционные системы Windows, iOS, MacOS, Android и Linux, позволяют подключаться к удаленному VPN-серверу при условии, что удаленная конечная точка поддерживает тот же протокол и конфигурацию VPN. VPN-сервер действует как шлюз и роутер на границе локальной сети, либо на границе интернета. Он отвечает за развертывание пакетов и их переупаковку для передачи в локальной сети или в интернете. Этот вариант подключения обычно используется в корпоративной среде. В крупных компаниях есть штатные ИТ-специалисты, которые способны устанавливать, настраивать и поддерживать инсталляцию клиентов и серверы VPN. Router VPN Решения для частных пользователей, у которых роутер поддерживает функцию настройки VPN. Такой способ позволяет подключить к VPN несколько устройств сразу. Минус такого подхода — сложность настройки, требующая хороших технических знаний. VPN-расширение браузера Несмотря на название, такие расширения не являются VPN-сервисами. Они не поддерживают защиту трафика — ключевую функцию VPN. Она обеспечивается оборудованием, а не браузером. Браузерное расширение только может при помощи прокси-сервера подменить IP-адрес пользователя. Этого достаточно, чтобы заходить на сайты, заблокированные Роскомнадзором. А вот скрыться от слежки не получится. Например, руководитель легко узнает на каких сайтах сидит сотрудник. |