Учебник для вузов в. Олифер Н. Олифер Компьютерные Принципы, технологии, протоколы
Скачать 22.28 Mb.
|
сервер удаленного доступа (Remote Access Server, RAS). Можно встретить и другие названия, например концентратор удаленного доступа (Remote Access Concentrator, RAC), мульти плексор доступа или терминальная система. Будем для определенности называть здесь такое устройство сервером удаленного доступа. Обычно оно содержит большое количество модемов, которые выполняют обратные операции по отношению к модемам пользова телей, то есть модулируют нисходящий трафик и демодулируют восходящий. Помимо модемов, RAS включает маршрутизатор, который собирает трафик от модемов и передает его в локальную сеть POP. Из этой локальной сети трафик передается обычным способом в Интернет или в определенную корпоративную сеть. Мы рассмотрели обобщенную схему доступа, которая в зависимости от выбранного типа абонентского окончания и типа модема требует различных технологий доступа. Нужно под черкнуть, что в терминах модели OSI все они являются технологиями физического уровня, так как создают поток битов между компьютером клиента и локальной сетью поставщика услуг. Для работы протокола IP поверх этого физического уровня должен использоваться один из протоколов канального уровня. Сегодня наиболее часто при удаленном доступе применяется протокол РРР, который поддерживает такие важные функции, как назначение IP-адреса клиентскому компьютеру, а также аутентификацию пользователя. Режим удаленного узла Наиболее распространенной услугой сегодня является предоставление доступа к общедо ступному домену Интернета. При этом подразумевается, что поставщик услуг обеспечива ет маршрутизацию IP-трафика между компьютером и любым сайтом Интернета, имеющим публичный адрес (или же имеющим частный адрес и обеспечивающим публичный доступ посредством техники NAT). Когда клиент располагает одним компьютером, для предостав ления такой услуги поставщик услуг обычно использует режим удаленного узла. Режим удал^миого узл^позволяет кбмпьютеру клиента стать узлом удаленной локальной сети, что означает для его пользователя возможность получения всего спектра услуг обычного поль зователя узла, физине£#й раСПОЛОЖвННОГО в локальной срти. Для этого поставщик услуг резервирует для своих клиентов удаленного доступа пул ІР-адресов из диапазона адресов одной из своих подсетей. Для тех клиентов, которые не 766 Глава 22. Удаленный доступ нуждаются в постоянном доступе к Интернету, услуга предоставляется как коммутируемая, и IP-адрес им назначается динамически только на время подключения клиента. Режим удаленного узла позволяет экономить адреса подсетей, так как в стандартном режиме IP-маршрутизатор должен назначить каждому своему порту адрес отдельной подсети, что для одного узла, из которого состоят сети многих клиентов, явно избыточно. Для тех же клиентов, которым требуется постоянное соединение, адрес может назначаться как на постоянной основе, так и динамически на время активности клиента. Для обеспечения режима удаленного узла RAS поставщика услуг поддерживает протокол Proxy-ARP, рассмотренный в главе 15. Эта особенность отличает сервер удаленного доступа от обычного IP-маршрутизатора (рис. 22.3). 1Р-адрес MAC-aflp.RAS 200.25.10.5 MAC Р1 200.25.10.6 MAC Р2 200.25.10.6 Рис. 22.3. Использование протокола Proxy-ARP при организации удаленного доступа Для удаленных узлов в локальной сети поставщика услуг, имеющей адрес 200.25.10.0/24, выделен пул адресов от 200.25.10.5 до 200.25.10.254. Если клиент пользуется коммутируе мым сервисом, то при его соединении с сетью поставщика услуг (например, по протоколу РРР), ему временно назначается адрес из этого пула. Так, компьютеру первого клиента был назначен адрес 200.25 10Д а компьютеру второго клиента — адрес 200.25.10.6. При под ключении к сети этих удаленных узлов сервер удаленного доступа заносит в специальную таблицу, являющуюся аналогом ARP-таблицы, следующие записи: 200.25.10.5 - MAC - Р1 200.25.10.6 — MAC — Р2 Схемы удаленного доступа 767 Здесь MAC обозначает адрес внутреннего интерфейса сервера удаленного доступа, а Р1 и Р2 — номера портов, к которым подключены клиенты удаленного доступа. Если, например, сервер 2 (см. рис. 22.3), подключенный к сети одного из поставщиков услуг, посылает пакет компьютеру первого клиента, то маршрутизатор поставщика услуг считает, что пакет направлен к одному из узлов, принадлежащих непосредственно при соединенной подсети 200.25.10.0/24. Поэтому маршрутизатор посылает ARP-запрос, содержащий адрес 200.25.10.5. На этот запрос отвечает не компьютер первого клиента, a RAS, сообщая в ARP-ответе маршрутизатору собственный МАС-адрес. После этого маршрутизатор направляет ІР-пакет, упакованный в кадр Ethernet с МАС-адресом RAS. RAS извлекает ІР-пакет из пришедшего кадра Ethernet и по IP-адресу определяет в таблице номер порта, на который ему нужно направить пакет. В данном случае это порт PI. RAS инкапсулирует пакет в кадр РРР, используемый для работы на абонентском окончании, соединяющем RAS с компьютером первого клиента. В том случае, когда у клиента имеется своя локальная сеть, узлы которой имеют зареги стрированные публичные IP-адреса, RAS работает как обычный маршрутизатор, и такой режим уже не называют режимом удаленного узла. Режим удаленного управления и протокол telnet Режим удаленного управления, называемый также режимом терминального доступа, предполагает, что пользователь превращает свой компьютер в виртуальный терминал другого компьютера, к которому он получает удаленный доступ. В период становления компьютерных сетей, то есть в 70-е годы, поддержка такого режима была одой из главных функций сети. Устройства PAD сетей Х.25 существовали именно для того, чтобы обеспечить удаленный доступ к мэйнфреймам для пользователей, находивших ся в других городах и работавшее за простыми алфавитно-цифровыми терминалами. Режим удаленного управления обеспечивается специальным протоколом прикладного уровня, работающим поверх протоколов, реализующих транспортное соединение удален ного узла с компьютерной сетью. Существует большое количество протоколов удаленного управления, как стандартных, так и фирменных. Для ІР-сетей наиболее старым протоколом этого типа является telnet (RFC 854). Протокол telnet, который работает в архитектуре «клиент-сервер», обеспечивает эмуляцию алфавитно-цифрового терминала, ограничивая пользователя режимом командной строки. При нажатии клавиши соответствующий код перехватывается клиентом telnet, поме щается в TCP-сообщение и отправляется через сеть узлу, которым пользователь хочет управлять. При поступлении на узел назначения код нажатой клавиши извлекается из TCP-сообщения сервером telnet и передается операционной системе (ОС) узла. ОС рас сматривает сеанс telnet как один из сеансов локального пользователя. Если ОС реагирует на нажатие клавиши выводом очередного символа на экран, то для сеанса удаленного пользователя этот символ также упаковывается в TCP-сообщение и по сети отправляется удаленному узлу. Клиент telnet извлекает символ и отображает его в окне своего терминала, эмулируя терминал удаленного узла. 768 Глава 22. Удаленный доступ Протокол telnet был реализован в среде Unix и наряду с электронной почтой и FTP- доступам к архивам файлов был популярным сервисом Интернета. Сегодня этот протокол редко используется в публичных доменах Интернета, так как никто не хочет предостав лять посторонним лицам возможность управлять собственным компьютером. Хотя для защиты от несанкционированного доступа в технологии telnet применяются пароли, они передаются через сеть в виде обычного текста, поэтому могут быть легко перехвачены и ис пользованы. Поэтому telnet применяется преимущественно в пределах одной локальной сети, где возможностей для перехвата пароля гораздо меньше. Сегодня основной областью применения telnet является управление не компьютерами, а коммуникационными устрой ствами: маршрутизаторами, коммутаторами и хабами. Таким образом, он уже скорее не пользовательский протокол, а протокол администрирования, то есть альтернатива SNMP. Тем не менее отличие между протоколами telnet и SNMP принципиальное. Telnet преду сматривает обязательное участие человека в процессе администрирования, так как, по сути, он только транслирует команды, которые вводит администратор при конфигурировании или мониторинге маршрутизатора или другого коммуникационного устройства. Протокол SNMP наоборот рассчитан на автоматические процедуры мониторинга и управления, хотя и не исключает возможности участия администратора в этом процессе. Для устранения опасности, порождаемой передачей паролей в открытом виде через сеть, коммуникацион ные устройства усиливают степень своей защиты. Обычно применяется многоуровневая схема доступа, когда открытый пароль дает возможность только чтения базовых характе ристик конфигурации устройства, а доступ к средствам изменения конфигурации требует другого пароля, который уже не передается в открытом виде. Удаленное управление также возможно и в графическом режиме. Для Unix стандартом де-факто является система X Window, являющаяся разработкой Массачусетсского техноло гического института (Massachusetts Institute of Technology, MIT). Для Windows существует ряд фирменных протоколов управления, например VNC ( http://www.realvnc.com); свободно распространяемая реализация этого протокола существует и для Unix. Удаленное управление имеет свои достоинства и недостатки. Для пользователя часто удоб но задействовать более мощный компьютер, установленный в сети предприятия, а не свой домашний. Кроме того, получив терминальный доступ, он может запустить на удаленном компьютере любое приложение, а не только сервис WWW или FTP. Еще одно преимуще ство заключается в том, что пользователь фактически получает все права пользователя внутренней сети предприятия, в то время как в режиме удаленного узла его права обычно ограничены администратором. Удаленное управление также очень экономично потребляет пропускную способность сети, особенно при эмуляции режима командной строки. Действительно, в этом случае по сети передаются только коды клавиш и экранные символы, а не файлы или страницы веб-документов. Недостаток удаленного управления состоит в его опасности для сети предприятия при несанкционированном доступе. Кроме того, администратору трудно контролировать по требление ресурсов компьютера, находящегося под удаленным управлением. Коммутируемый аналоговый доступ Основная идея коммутируемого доступа состоит в том, чтобы задействовать имеющуюся сеть PSTN для коммутируемого соединения между компьютером домашнего пользователя Коммутируемый аналоговый доступ 769 и сервером удаленного доступа, установленным на границе телефонной и компьютерной сетей. Компьютер пользователя подключается к телефонной сети с помощью коммутируе мого модема, который поддерживает стандартные процедуры набора номера и имитирует работу телефонного аппарата для установления соединения с RAS. Коммутируемый доступ может быть аналоговым или цифровым, в зависимости от типа абонентского окончания сети. В этом разделе мы рассмотрим доступ через аналоговые окончания, а в следующем — через цифровые. Принцип работы телефонной сети Первые телефонные сети были полностью аналоговыми, так как в них абонентское устройство (телефонный аппарат) преобразовывало звуковые колебания, являющиеся аналоговыми сигналами, в колебания электрического тока (также аналоговые сигналы). Коммутаторы телефонной сети тоже передавали пользовательскую информацию в ана логовой форме, перенося эти сигналы в другую область частотного спектра с помощью методов частотного уплотнения (FDM), описанных в главе 9. Сегодня в телефонных сетях голос между коммутаторами все чаще передается в цифровой форме по каналам PDH/SDH с помощью технологии TDM. Однако абонентские оконча ния остаются в основном аналоговыми, что позволяет пользоваться теми же сравнительно простыми и недорогими аналоговыми телефонными аппаратами, что и раньше. Типичная структура телефонной сети представлена на рис. 22.4. Сеть образована некото рым количеством телефонных коммутаторов, которые соединены между собой цифровыми или, в редких случаях, аналоговыми каналами. Топология связей между телефонными коммутаторами в общем случае носит произвольный характер, хотя часто имеет место многоуровневая иерархия, когда несколько коммутаторов нижнего уровня подключаются к коммутатору более высокого уровня и т. п. К коммутаторам нижнего уровня с помощью абонентских окончаний, которые представ ляют собой медные пары, подключаются телефонные аппараты абонентов. Обычно длина абонентского окончания не превышает одного-двух километров, однако иногда оператор вынужден использовать и более протяженные окончания, до 5 -6 км, если имеется не сколько удаленных абонентов, для которых строительство отдельной точки присутствия экономически неоправданно. Телефонная сеть, как и любая сеть с коммутацией каналов, требует обязательной про цедуры предварительного установления соединения между абонентскими устройствами. В случае успеха этой процедуры в сети устанавливается канал между абонентами, через который они могут вести разговор. Процедура установления соединения реализуется с по мощью сигнального протокола. Напомним, что в аналоговых телефонных сетях каждому абонентскому соединению выделяется полоса пропускания шириной в 4 кГц. Из этой по лосы 3,1 кГц предназначается для передачи собственно голоса, а оставшиеся 900 Гц служат для передачи сигнальной информации между аналоговыми коммутаторами, а также в каче стве защитной полосы частот между каналами, выделенными различным пользователям. Существует большое количество различных сигнальных протоколов, разработанных за долгие годы существования телефонных сетей. Они делятся на два класса: сигнальные протоколы UNI работают между телефоном пользователя и первым коммутатором сети, а сигнальные протоколы NNI — между коммутаторами сети. Так как модем подключается к телефонной сети в качестве абонентского устройства, то он должен поддерживать только протокол UNI. 770 Глава 22. Удаленный доступ Аналоговый телефон — это достаточно примитивное устройство, поэтому поддерживае мый им сигнальный протокол также предельно прост. Процедура вызова абонента обычно представляет собой последовательность замыканий и размыканий электрической цепи, образуемой проводами абонентского окончания. В ответ на первое замыкание телефонный коммутатор подает на абонентскую цепь некоторое напряжение, которое воспроизводится в виде постоянного гудка динамика телефонной трубки. Человек активно участвует в про цедуре вызова, набирая в ответ на гудок цифры вызываемого номера. Существует два способа передачи номера в сеть. При импульсном наборе каждая цифра передается соответствующим числом последовательных импульсов размьпсания-замыкания частотой 10 или 20 Гц. При тоновом наборе (Dual Tone Multi Frequency, DTMF) для кодирования цифр и симво лов используется комбинация сигналов двух групп: низкочастотной (697,770,852 и 941 Гц) и высокочастотной (1209,1336,1477 и 1633 Гц). Сочетания этих частот дают 16 комбинаций кодирования, как показано в табл. 22.1. Частота 1633 Гц является расширением стандарта DTMF, с помощью которого кодируются дополнительные символы А, В, С и D, отсутствующие на стандартной клавиатуре теле фонов, но используемые модемами и некоторыми приложениями. Коммутируемый аналоговый доступ 771 Таблица 2 2.1 . Кодирование цифр и символов при тоновом наборе 1209 ГЦ 1336 Гц 1477 ГЦ 1633 Гц 1 2 3 А 697 Гц 4 5 6 В 770 ГЦ 7 8 9 С 852 Гц * 0 # D 941 ГЦ Тоновый набор выполняется с частотой 10 Гц сигналами длительностью в 50 мс с паузами также в 50 мс. После приема такого условного «сообщения» от телефонного аппарата первый коммута тор телефонной сети маршрутизирует сообщение дальше. Если этот коммутатор является цифровым, то он преобразует поступающий от абонента аналоговый сигнал в цифровую форму. Чтобы добиться развитой логики обработки вызовов, современные телефонные коммута торы используют протоколы сигнальной системы 7 (Signaling System 7, SS7), в которых применяется техника коммутации пакетов. Эти протоколы построены в соответствии с моделью OSI, покрывая уровни от физического до прикладного. И хотя мы еще не раз будем упоминать SS7, подробное рассмотрение этих протоколов выходит за рамки темы данной книги, их описание можно найти в учебниках, посвященных телефонии. Нужно подчеркнуть, что пользовательские данные по-прежнему передаются в телефонных сетях с помощью техники коммутации каналов, а техника коммутации пакетов требуется сигнальным протоколам только для установления соединения. Наряду с протоколами SS7 в телефонной сети может задействоваться большое количество более старых сигнальных протоколов, в том числе аналоговых. Удаленный доступ через телефонную сеть Для того чтобы получить доступ в Интернет или корпоративную сеть через телефонную сеть, модем пользователя должен выполнить вызов по одному из номеров, присвоенному модемам, находящимся на сервере удаленного доступа. После установления соединения между модемами в телефонной сети образуется канал с полосой пропускания около 4 кГц. Точное значение ширины имеющейся в распоряжении модемов полосы зависит от типа телефонных коммутаторов на пути от модема пользователя до модема RAS и от поддер живаемых ими сигнальных протоколов. В любом случае, эта полоса не превышает 4 кГц, что принципиально ограничивает скорость передачи данных модемом. 772 Глава 22. Удаленный доступ Очевидно, что такие скорости нельзя назвать приемлемыми для большинства современ ных приложений, которые широко используют графику и другие мультимедийные формы представления данных. Модемы RAS обычно устанавливаются в точке присутствия поставщика услуг, при этом, естественно, совсем не обязательно, чтобы это был тот же самый поставщик услуг, кото рый предоставляет доступ данному удаленному пользователю. В 80-е годы и в первой половине 90-х, когда Интернет еще не был столь популярен, многие крупные корпорации самостоятельно предоставляли удаленный доступ своим сотрудникам. В этом случае сер вер удаленного доступа устанавливался в ближайшей к локальной сети штаб-квартиры корпорации точке присутствия или же в помещении самой штаб-квартиры. Сотрудники корпорации, работающие дома или находящиеся в командировке, присоединяли свои модемы к локальному поставщику услуг и звонили на модем сервера удаленного доступа корпорации. Иногда это был и международный звонок, если сотрудник находился в ко мандировке в другой стране. Компьютерный трафик проходил основную часть пути по телефонной сети, и стоимость такого доступа зависела от расстояния, что характерно для телефонных сетей. Сегодня Интернет позволяет использовать телефонную сеть гораздо экономичнее. Она нужна теперь не для соединения с RAS предприятия, а для соединения с RAS поставщика услуг Интернета. Если же целью пользователя является доступ не в Интернет, а в кор поративную сеть, то он задействует Интернет как промежуточную сеть, которая ведет к корпоративной сети (также подключенной к Интернету). Поскольку плата за доступ в Интернет не зависит от расстояния до узла назначения, удаленный доступ к ресурсам корпорации стал сегодня намного дешевле даже с учетом оплаты за локальный телефонный звонок и доступ в Интернет. Правда, при такой двухступенчатой схеме доступа пользова телю приходится выполнять аутентификацию дважды — при доступе к RAS поставщика услуг и при доступе к RAS предприятия. Существуют протоколы, которые исключают по добное дублирование, например |