Учебник для вузов в. Олифер Н. Олифер Компьютерные Принципы, технологии, протоколы

14
Оглавление
Шифрование................................................................................................................................... 847
Симметричные алгоритмы шифрования................................................................................. 848
Алгоритм DES............................................................................................................................ 849
Несимметричные алгоритмы шифрования..............................................................................850
Алгоритм RSA............................................................................................................................ 853
Односторонние функции шифрования..................................................................................... 854
Аутентификация, авторизации, аудит.............................................................................................856
Понятие аутентификации......................................................................................................... 856
Авторизация доступа.................................................................................................................858
Аудит...........................................................................................................................................859
Строгая аутентификация на основе многоразового пароля в протоколе CHAP.................... 860
Аутентификация на основе одноразового пароля.................................................................. 861
Аутентификация на основе сертификатов............................................................................... 863
Аутентификация информации..................................................................................................869
Антивирусная защита...................................................................................................................... 871
Сканирование сигнатур............................................................................................................. 872
Метод контроля целостности....................................................................................................873
Сканирование подозрительных команд................................................................................... 874
Отслеживание поведения программ................................................................................. ....... 874
Сетевые экраны............................................................................................................................... 875
Типы сетевых экранов разных уровней..................................................................................... 878
Реализация............................................................................................................................... 879
Архитектура............................................................................................................................... 880
Прокси-серверы................................................................................. ............................................882
Функции прокси-сервера......................................................................................................... 882
Прокси-серверы прикладного уровня и уровня соединений..................................................885
«Проксификация» приложений................................................................................................ 886
Системы обнаружения вторжений............................................................................................ 887
Протоколы защищенного канала. IPsec.........................................................................................887
Иерархия технологий защищенного канала............................................................................. 889
Распределение функций между протоколами IPSec...............................................................890
Безопасная ассоциация........................................................................................................... 891
Транспортный и туннельный режимы..........................................................................................893
Протокол А Н ..............................................................................................................................895
Протокол ESP.............................................................................................................................. 896
Базы данных SAD И SP D ..............................................................................................................898
Сети VPN на основе шифрования....................................................................................................900
Выводы............................................................................................................................................ 902
Вопросы и задания.............................................................................................................................903
Ответы на вопросы....................................................................................................................... 905
Рекомендуемая и использованная литература.........................................................................9Л7
Алфавитный указатель...............................................................................................................

Посвящаем нашей дочери Анне

От авторов
Эта книга является результатом многолетнего опыта преподавания авторами курсов сетевой тематики в аудиториях государственных вузов, коммерческих учебных центров, а также учебных центров предприятий и корпораций.
Основу книги составили материалы курсов «Проблемы построения корпоративных се­
тей», «Основы сетевых технологий», «Организация удаленного доступа», «Сети TCP/IP»,
«Стратегическое планирование сетей масштаба предприятия» и ряда других. Эти материа­
лы прошли успешную проверку в бескомпромиссной и сложной аудитории, состоящей из слушателей с существенно разным уровнем подготовки и кругом профессиональных интересов. Среди них были студенты и аспиранты вузов, сетевые администраторы и инте­
граторы, начальники отделов автоматизации и преподаватели. Учитывая специфику ауди­
тории, курсы лекций строились так, чтобы начинающий получил основу для дальнейшего изучения, а специалист систематизировал и актуализировал свои знания. В соответствии с такими же принципами написана и эта книга — она является фундаментальным курсом по компьютерным сетям, который сочетает широту охвата основных областей, проблем и технологий этой быстро развивающейся области знаний с основательным рассмотрением деталей каждой технологии и особенностей оборудования.
Для кого эта книга
Книга предназначена для студентов, аспирантов и технических специалистов, которые хотят получить базовые знания о принципах построения компьютерных сетей, понять особенности традиционных и перспективных технологий локальных и глобальных сетей, изучить способы создания крупных составных сетей и управления такими сетями.
Книга будет полезна начинающим специалистам в области сетевых технологий, которые имеют только общие представления о работе сетей из опыта общения с персональными компьютерами и Интернетом, но хотели бы получить фундаментальные знания, позво­
ляющие продолжить изучение сетей самостоятельно.
Сложившимся сетевым специалистам книга может помочь в знакомстве с теми технология­
ми, с которыми им не приходилось сталкиваться в практической работе, систематизировать

18
От авторов имеющиеся знания, стать справочником, позволяющим найти описание конкретного про­
токола, формата кадра и т. п. Кроме того, книга дает необходимую теоретическую основу для подготовки к сертификационным экзаменам таких компаний, как Cisco CCNA, CCNP,
CCDP и CCIR
Студенты высших учебных заведений, обучающиеся по направлению «220000. Инфор­
матика и вычислительная техника» и по специальностям «Вычислительные машины, комплексы, системы и сети», «Автоматизированные машины, комплексы, системы и сети»,
«Программное обеспечение вычислительной техники и автоматизированных систем», могут использовать книгу в качестве рекомендованного Министерством образования
Российской Федерации учебного пособия.
Изменения в четвертом издании
Прошло ровно 10 лет со времени публикации первого издания этой книги. И с каждым новым изданием она существенно обновлялась. Не стало исключением и это, четвертое, издание. Одни разделы претерпели значительные изменения, а другие, которые потеряли свою актуальность и стали интересны лишь узкому кругу специалистов, были вовсе ис­
ключены из книги и перенесены на веб-сайт поддержки этой книги.
И, конечно, в книге появилось много нового. Так, в книге появилось три новые главы.
□ Глава 21, «Ethernet операторского класса». Технология, давшая название этой главе, известная также как Carrier Ethernet, появилась совсем недавно, но ее популярность быстро растет. Выход Ethernet за пределы локальных сетей является знаковым собы­
тием, обещающим новые возможности как для пользователей, так и для провайдеров.
В этой главе рассматриваются две основные ветви данной технологии: на базе MPLS и на базе усовершенствованной версии Ethernet.
□ Глава 23, «Сетевые службы». В ответ на пожелания многих наших читателей мы расши­
рили освещение сетевых средств прикладного уровня, добавив описания таких служб, как электронная почта, WWW и ІР-телефония.
□ Глава 24, «Сетевая безопасность». Появление этой главы отражает всевозрастающую обеспокоенность интернет-сообщества проблемами информационной защиты. В этой главе приведены описания различных угроз безопасности компьютерных сетей, свя­
занных с внедрением вредоносных программ (вирусов, червей, троянских и шпионских программ), DoS-атаками, ответвлением трафика. Также рассматриваются методы и средства предупреждения и обнаружения атак: шифрование, аутентификация, автори­
зация, антивирусная защита, сетевые экраны, прокси-серверы, протоколы защищенного канала и виртуальные частные сети на основе шифрования.
Помимо отдельных глав в книге появилось несколько новых разделов.
В главу 7 добавлен раздел «Работа в недогруженном режиме». В нем описывается широко распространенная практика обеспечения временных характеристик передачи пакетов за счет поддержания избыточной пропускной способности.
В главу 11, посвященную первичным сетям, добавлено описание технологии оптических транспортных сетей (OTN), которая обеспечивает мультиплексирование и коммутацию высокоскоростных потоков данных в волновых каналах DWDM. В эту главу включено также описание новых функций технологии SDH, направленных на более эффективную

Структура книги
19
передачу трафика компьютерных сетей, таких как виртуальная конкатенация (VCАТ), схе­
ма динамического изменения пропускной способности линии (LCAS) и общая процедура инкапсуляции данных (GFP).
Важным дополнением главы 18 стал раздел «Групповое вещание», освещающий очень перспективное направление в развитии технологии TCP/IP. Групповое вещание лежит в основе бурно развивающихся широковещательных сервисов Интернета, таких как
ІР-телевидение, аудиовещание, видеоконференции.
Переработанный и дополненный материал о технологии MPLS, которая утвердила себя в качестве надежного фундамента для построения разнообразных транспортных сервисов, выделен в отдельную главу (главу 20).
И наконец, были исправлены мелкие ошибки и опечатки в тексте и рисунках, замеченные читателями и самими авторами.
Структура книги
Книга состоит из 24 глав, объединенных в 5 частей.
В первой части, «Основы сетей передачи данных», состоящей из 7 глав, описаны основные принципы и архитектурные решения, которые лежат в основе всех современных сетевых технологий, рассматриваемых в последующих частях книги. В главе 1, рассказывающей об эволюции компьютерных сетей, особый акцент делается на конвергенции разных видов телекоммуникационных сетей. В главе 2 даются фундаментальные понятия коммутации, мультиплексирования, маршрутизации, адресации и архитектуры сетей. В следующей, третьей, главе обсуждаются два основных подхода к коммутации — коммутация каналов и пакетов. Глава 4 фокусируется на иерархической организации сетей и семиуровневой модели OSI. В главе 5 приводится классификация компьютерных сетей, в ней читатель найдет также описание основных типов сетей: сетей операторов связи, корпоративных се­
тей и глобальной сети Интернет. Завершают первую часть книги главы 7 и 8, относящиеся к анализу работы сети.
Вторая часть, «Технологии физического уровня», состоит из четырех глав, из которых первые две носят вспомогательный характер. В них описываются различные типы ли­
ний связи, детально излагаются современные методы передачи дискретной информации в сетях. Наличие этого материала в учебнике дает возможность читателю, не тратя время на просмотр большого количества литературы, получить необходимый минимум знаний в таких областях, как теория информации, спектральный анализ, физическое и логическое кодирование данных, обнаружений и коррекция ошибок. Глава 10 посвящена беспроводной передаче данных, которая приобретает все большую популярность. Высокий уровень по­
мех и сложные пути распространения волн требуют применения в беспроводных каналах особых способов кодирования и передачи сигналов. В главе 11 изучаются технологии
PDH, SDH/SONE'J DWDM и OTN, создающие инфраструктуру физических каналов для глобальных телекоммуникационных сетей. На основе каналов, образованных первичными сетями, работают наложенные компьютерные и телефонные сети.
Третья часть, «Локальные вычислительные сети», включает три главы. В главе 12 рас­
сматриваются технологии локальных сетей на разделяемой среде: основное внимание уделено классическим вариантам Ethernet со скоростью 10 Мбит/с на коаксиале и витой

20
От авторов паре; также здесь кратко рассмотрены принципы работы основных соперников Ethernet в 80-е и 90-е годы — технологий Token Ring и FDDI. Приводится описание двух наиболее популярных беспроводных технологий локальных сетей — IEEE 802.11 (LAN) и Bluetooth
(PAN). Глава 13 посвящена коммутируемым локальным сетям. В ней рассматриваются основные принципы работы таких сетей: алгоритм функционирования коммутатора ло­
кальной сети, дуплексные версии протоколов локальных сетей, особенности реализации коммутаторов локальных сетей. В главе 14 изучаются расширенные возможности коммути­
руемых локальных сетей этого типа: резервные связи на основе алгоритма покрывающего дерева, агрегирование каналов, а также техника виртуальных локальных сетей, позволяю­
щая быстро и эффективно выполнять логическую структуризацию сети.
Следуя логике, диктуемой моделью OSI, вслед за частями, в которых были рассмотрены технологии физического и канального уровней, четвертую часть, «Сети TCP/IP», мы посвящаем средствам сетевого уровня, то есть средствам, которые обеспечивают возмож­
ность объединения множества сетей в единую сеть. Учитывая, что бесспорным лидером среди протоколов сетевого уровня является протокол IP, ему в книге уделяется основное внимание. В главе 15 описываются различные аспекты ІР-адресации: способы отображения локальных, сетевых и символьных адресов, использование масок и современных методов агрегирования IP-адресов, а также способы автоматического конфигурирования
1
Р-узлов.
В главе 16 детально рассмотрена работа протокола IP по продвижению и фрагментации пакетов, изучается общий формат таблицы маршрутизации и примеры ее частных реали­
заций в программных и аппаратных маршрутизаторах различных типов. При обсуждении особенностей новой версии IPv
6
подробно обсуждается схема модернизации адресации, а также изменение формата заголовка IP. Глава 17 начинается с изучения протоколов
TCP и UDP, исполняющих посредническую роль между приложениями и транспортной инфраструктурой сети. Далее подробно описываются протоколы маршрутизации RIP,
OSPF и BGP, анализируются области применимости этих протоколов и возможности их комбинирования. Завершает главу рассмотрение протокола ICMP, являющегося средством оповещения отправителя о причинах недоставки его пакетов адресату. В главе 18 содер­
жится описание тех функций маршрутизаторов, которые хотя и фигурируют в названии главы как «дополнительные», но без которых трудно представить существование совре­
менных компьютерных сетей. К таким функциям относятся трансляция сетевых адресов, фильтрация трафика, поддержка QoS, IPv
6
и группового вещания. В завершении этой главы приводится классификация маршрутизаторов на основе их внутренней организации и областей использования. Всестороннее изучение в этой части протоколов стека T C P/IP придает ей самостоятельное значение введения в 1Р-сети.
Пятая часть, «Технологии глобальных сетей», состоит из шести глав. В главе 19 анали­
зируются три основных типа транспортных услуг, предоставляемых операторами связи: доступ в Интернет, виртуальные частные сети и услуги выделенных каналов. Кроме того, в этой главе рассматривается многоуровневая структура сети оператора связи, включающая уровни первичной сети, канального уровня и уровня IP. Также дается обзор технологий
Frame Relay и ATM. Глава 20 посвящена основным принципам и базовым элементам тех­
нологии MPLS, тагёим как протокол LDP, многоуровневая организация соединений, меха­
низмы защиты соединений и тестирования их состояния. В главе 21 описаны различные варианты технологий, объединенных под общим названием Ethernet операторского класса
(Carrier Ethernet). В главе 22 рассматриваются схемы и технологии удаленного доступа.
Наиболее эффективными являются технологии, в которых используется существующая кабельная инфраструктура (например, линии ADSL, работающие на абонентских окон-

Веб-сайт поддержки книги
21
чаниях телефонной сети) или кабельные модемы, опирающиеся на системы кабельного телевидения. Альтернативным решением является беспроводной доступ, как мобильный, так и фиксированный. Прикладные службы глобальных сетей рассматриваются в гла­
ве 23. Именно информационные службы, такие как электронная почта и WWW, сделали в свое время Интернет столь популярным. И сегодня популярность Интернета растет благодаря появлению новых сервисов, среди которых в первую очередь нужно отметить
IP-телефонию и видеоконференции. Часть, а вместе с ней и книга, завершается главой 24, посвященной сетевой безопасности. Уязвимость Интернета является оборотной стороной его открытости, так как в Интернете каждый может не только общаться с каждым, но и атаковать каждого. Вирусы, черви, распределенные атаки и, наконец, спам — все это, к со­
жалению, ежедневно мешает «жителям» Интернета нормально жить и работать. В главе 24 анализируются основные типы угроз, присущих глобальным сетям, и изучаются базовые механизмы и технологии защиты от этих угроз.
Авторы стремились сделать работу читателя с книгой максимально эффективной. Подроб­
ный индексный указатель позволяет быстро найти интересующий материал по одному из многочисленных терминов, используемых в сетевой индустрии. Каждая глава завершается выводами, которые призваны сконцентрировать внимание читателя на основных идеях, темах и терминах главы, помогая ему не упустить из виду главное за обилием, хотя и по­
лезных, но частных фактов и деталей. В конце каждой главы помещены вопросы и упраж­
нения для проверки степени усвоения основных концепций, а в отдельных случаях и для углубления понимания некоторых идей.
Веб-сайт поддержки книги
Дополнительную информацию по этой и другим книгам авторов читатели могут найти на сайте www.olifer.co.uk. В данный момент на сайте размещены следующие материалы, относящиеся к этому изданию книги:
□ Дополнительные разделы, ссылки на которые помещены в тексте книги.
□ Все иллюстрации из книги.
□ Дополнительные вопросы и задания, а также ответы на них.
□ Презентации в форматах Power Point и HTML последовательно по всем главам книги.
□ Путеводитель по книге (road map) призван помочь преподавателю при создании учеб­
ных курсов на базе этой книги, таких, например, как «Беспроводные системы», «Введе­
ние в ІР», «Качество обслуживания», «Удаленный доступ» и т. п. В этом путеводителе авторы перечисляют последовательность глав (маршрут), в которых содержится соот­
ветствующий материал, и по мере необходимости дают методические советы.
□ Дополнительные примеры (case studies) могут быть использованы как темы для кур­
совых проектов.
□ Информационные ресурсы Интернета связаны с темами книги.
□ И наконец, мнения, замечания и вопросы читателей, замеченные опечатки и ошибки.
Мы с благодарностью примем ваши отзывы по адресу victor@olifer.co.uk и natalia@olifer.co.uk.

22
От авторов
Благодарности
Мы благодарим наших читателей за их многочисленные пожелания, вопросы и заме­
чания.
Мы признательны также всем сотрудникам издательства «Питер», которые принимали участие в создании этой книги. Особая благодарность президенту издательства «Питер»
Вадиму Усманову, руководителю проектной группы «Компьютерная литература» Андрею
Сандрыкину, ведущему специалисту этой группы Андрею Юрченко и нашему неизменному литературному редактору Алексею Жданову.
Виктор Олифер, к.тм., CCIP
Наталья Олифер, к.тм., доцент
От издательства
Подробную информацию о наших книгах вы найдете на веб-сайте издательства
www. piter. com. Там же вы можете оставить ваши отзывы и пожелания.

Часть I
Основы сетей передачи
данных
Процесс познания всегда развивается по спирали. Мы не можем сразу понять и осознать сложное
явление, мы должны рассматривать его с разных точек зрения, в целом и по частям, изолирован­
но и во взаимодействии с другими явлениями, накапливая знания постепенно, время от времени
возвращаясь к уже, казалось бы, понятому и с каждым новым витком все больше проникая в суть
явления. Хорошим подходом является первоначальное изучение общих принципов некоторой об­
ласти знаний с последующим детальным рассмотрением реализации этих принципов в конкретных
методах, технологиях или конструкциях.
Первая часть книги является таким «первым витком» изучения компьютерных сетей. В этой части,
состоящей из семи глав, описаны основные принципы и архитектурные решения, которые лежат
в основе всех современных сетевых технологий, рассматриваемых в последующих частях книги. Сле­
дуя процессу конвергенции сетей, мы рассматривали принципы коммутации, мультиплексирования,
маршрутизации, адресации и архитектуры сетей с наиболее общих позиций, сравнивая принципы
организации компьютерных сетей с аналогичными принципами других телекоммуникационных се­
тей — телефонных, первичных, радио и телевизионных.
Завершает часть глава, посвященная проблемам качества обслуживания в пакетных сетях. Новая
роль компьютерных сетей как основы для создания следующего поколения публичных сетей, предо­
ставляющих все виды информационных услуг и переносящих данные, а также аудио- и видеотрафик,
привела к проникновению методов обеспечения качества обслуживания практически во все комму­
никационные технологии. Таким образом, концепции качества обслуживания, которые достаточно
долго рассматривались как нетривиальное направление сетевой отрасли, вошли в число базовых
принципов построения компьютерных сетей.
□ Глава 1. Эволюция компьютерных сетей
□ Глава 2. Общие принципы построения сетей
□ Глава 3. Коммутация каналов и пакетов
□ Глава 4. Архитектура и стандартизация сетей
□ Глава 5. Примеры сетей
□ Глава 6. Сетевые характеристики
□ Глава 7. Методы обеспечения качества обслуживания