Корпоративные сети

Именно в области высокопроизводительных серверов для самых крупных и требующих наивысшей надежности бизнес-приложений Unix доказала свою ценность. Эту нишу WindowsNT пока что не в состоянии занять. Unix остается операционной системой крупных серверов, хранилищ больших баз данных, мощных вычислителей, интеграционных машин крупных проектов и т. п. В одних случаях это обусловлено наличием соответствующего ПО, в других - тем простым фактом, что мощные серверы, построенные на базе RISC-процессоров, оснащаются только Unix. Ведь распространение WindowsNT вне мира Intel крайне незначительно и системе Unix здесь просто нет альтернативы.

В последние четыре года была проделана большая работа по расширению масштабируемости Unix. Поскольку Unix все шире применяется на машинах с симметричной мультипроцессорной обработкой (SMP), для массивно параллельных суперкомпьютеров и кластеров из большого числа машин не остается сомнений в возможностях дальнейшего развития Unix по мере роста требований промышленности. Аналитики предсказывают, что в ближайшие два года Unix-серверы останутся более масштабируемыми, чем NT-серверы. Они также будут лучше приспособлены для создания кластеров, применяемых для обеспечения высокого уровня надежности.

Важным этапом развития Unix является его перенос на машины с 64-разрядной архитектурой. Ожидается, что в ближайшее время Hewlett-Packard, IBM и Sun выпустят 64-разрядные версии своих Unix-систем для RISC-платформ. Для успеха 64-разрядных ОС Unix необходимо, чтобы независимые разработчики приложений усилили ее поддержку. Без качественных высокопроизводительных приложений преимущество любой ОС - только теоретическое.

В последнее время корпорация Microsoft ведет активное наступление на рынке средних и младших моделей серверов, затрагивая и традиционно принадлежащий Unix'у рынок рабочих станций. В результате давления серверов на платформе Intel под управлением WindowsNT на рынок младших моделей рабочих станций на базе RISC под Unix, в прошлом году произошел спад продаж в этом сегменте. Но в то же время объем продаж серверных Unix-систем среднего уровня значительно вырос, в основном за счет повышенного спроса на Unix-серверы как платформы для реляционных СУБД.

Хотя сегодня предлагается немало систем для архитектуры Intel - OpenDeskTop компании SCO, Solaris фирмы Sun, BSD/386 фирмы BSDI, бесплатные Linux, FreeBSD, Unix не сумела занять достойного места на рынке персональных компьютеров. Сказались недостаточное внимание к персональным компьютерам со стороны основных компаний-производителей Unix, недостаточно дружественный интерфейс приложений в среде Unix, ориентированный на профессионального пользователя. Система Unix изначально создавалась программистами для программистов. Однако в последнее время поставщики Unix-систем (IBM, в частности) стали серьезно относиться к удобству пользовательского интерфейса, к упрощению процедур администрирования.

Особая тема - историческая и нынешняя роль ОС Unix в Internet, но об этом в следующем разделе. 632

6.3.2. Движение операционных систем в сторону Internet

Рейтинг сетевых операционных систем во многом определяется тем, насколько полно они осуществляют поддержку Internet. Все наиболее популярные ОС в ответ на это требование рынка предложили целый спектр новых возможностей и продуктов. Как минимум, операционная система должна поддерживать стек коммуникационных протоколов TCP/IP (TCP, UDP, IP, OSPF и др.), основные сервисы прикладного уровня стека TCP/IP (FTP, Telnet, DNS, DHCP и др.), протокол HTTP и сервис WWW.

Unix

Всем известно, что Internet представляет собой сеть из сетей, построенных на Unix, поэтому позиции Unix в Internet непоколебимы. Internet сформировалась и завоевала миллионы подписчиков задолго до эпохи ее коммерциализации и во многом благодаря системе Unix и мировому сообществу ее разработчиков. Основные службы Internet приобрели современный вид именно в системе Unix.

С началом коммерческого использования Internet к ней стали подключаться миллионы и миллионы непрофессионалов. Поскольку непрофессиональные пользователи, как правило, использовали ПК на базе процессора Intel с операционной системой Windows, вся клиентская часть Internet совершенно естественно стала стремительно переходить на Windows. Мелкие узлы Internet на базе Intel-систем с операционной системой WindowsNT дешевле как по начальным затратам, так и в ежедневном обслуживании.

Несколько другая картина наблюдается с серверной частью Internet. Здесь использование Unix продолжается и оно оправдано. Во-первых, Internet-провайдеры, на своих серверах используют в основном Unix. Это обусловлено объективными причинами, такими, как большой объем сетевого трафика, для которого архитектура Unix более приспособлена, и субъективными - образованием и профессиональной подготовкой руководителей подобных компаний. Большие по сравнению с Windows затраты времени и средств на администрирование оправдываются значительно большей производительностью.

Во-вторых, крупные узлы Сети, опять-таки по соображениям производительности, реализуются в среде Unix.

WindowsNT

Поддержка стека TCP/IP была заложена в WindowsNT изначально и усиливалась от версии к версии. Существенные изменения в этом плане произошли и в последней версии. В комплект поставки вошли новые Internet-ориентированные компоненты:

• InternetInformationServer (IIS) версии 2.0 предоставляющий услуги Web-, ftp- и gopher-сервера. Возможности InternetInformationServer сравнимы, а по ряду тестов и превосходят аналогичный популярный продукт ServerNetscape;
• DNS/WINSServer, который позволяет легко находить в Internet или Intranet-сетях нужные Web-узлы;
• средства реализации технологии создания защищенного канала PPTP (point-to-pointtunnelingprotocol), которая предназначена для создания частных сетей (VPN) в Internet;
• программа FrontPage, которая позволяет создавать Web-страницы на основе разнообразных шаблонов, проверять правильность ссылок и осуществлять общее управление создаваемыми Web-узлами;
• индексный сервер MicrosoftSearchServer (кодовое название - "Tripoli"), который позволяет легко находить информацию на распределенных серверах Intranet-сети в рамках любых документов, в том числе и созданных в MicrosoftOffice.

Технология индексации и поиска информации для WindowsNTServer 4.0, разработанная Microsoft, осуществляет автоматическую индексацию содержимого HTML-страниц и других документов, хранящихся на корпоративных Intranet-серверах (например, документов созданных в MicrosoftOffice). SearchServer является одним из элементов технологии Microsoft, известной под кодовым названием "Cairo": таким образом, благодаря тесной интеграции с WindowsNTServerDirectory обеспечивается безопасность поиска, а благодаря интеграции с файловой системой WindowsNT - высокая эффективность. Этот продукт позволяет индексировать содержимое нескольких серверов, причем обеспечивается поддержка нескольких языков. SearchServer также поддерживает для каждого языка возможности углубленного лингвистического анализа, то есть пользователи могут находить документы или свойства документов с учетом грамматических форм ключевого слова.

Два средства новой системы, предназначенные для работы в Internet, представляют особый интерес для администраторов. Во-первых, это интегрированная служба имен DNS/WINS. Теперь когда клиенту WINS нужно определить IP-адрес, соответствующий символьному NetBIOS-имени, он обращается сначала к базе данных WINS, а затем - собственно к DNS. Таким образом, в системе на равных можно применять и динамически распознаваемые имена WINS, и статические имена DNS.

Кроме того, в состав WindowsNT 4.0 вошла Web-ориентированная утилита администрирования, открывающая доступ к средствам администрирования WindowsNT из любого Web-браузера. Из соображений безопасности для удаленного администрирования следует использовать Web-браузеры, способные регистрировать пользователя непосредственно на сервере WindowsNT (т. е. такие, как InternetExplorer) или поддерживать протокол защищенного канала SSL.

Одно из усовершенствований связано с тем, что повышающаяся роль Internet'а и клиент-серверных систем ведет к росту числа мобильных пользователей. Microsoft в связи с этим улучшила RAS ( улучшила поддержку ISDN) и предоставила средства безопасной работы с RAS через Internet. В RAS реализованы протоколы PPTP (создает зашифрованный трафик через Internet) и MultilinkPPP (позволяет объединять несколько каналов в один). Клиентами могут быть WindowsNT 4.0 Workstation или Windows 95.

Использовать TCP/IP с NTServer или Workstation можно в сочетании с Point-to-PointTunnelingProtocol. PPTP позволяет туннелировать IPX, TCP/IP и/или NetBEUI через стандартные соединения InternetPoint-to-PointProtocol. Содержимое пакетов (например сетевые данные) шифруется в этих соединениях по умолчанию. В целом, PPTP дает пользователям шифрованный туннель сквозь Internet для удаленного доступа на NTServer. В настоящее время PPTP работает только между машинами Windows 95 и NT.

PPTP не является пока стандартным протоколом, и, хотя несколько поставщиков вместе с Microsoft обратились с RFC в Группу инженерной поддержки Internet, его принятие в качестве стандарта может занять от нескольких месяцев до нескольких лет.

Распределенная модель объектной компоновки (DistributedComponentObjectModel) - еще одно ключевое дополнение к WindowsNTServer 4.0. Модель объектной компоновки (COM) позволяет разработчикам программ создавать приложения, состоящие из отдельных компонент. Распределенная модель (DCOM) в WindowsNTServer 4.0 расширяет COM таким образом, что позволяет отдельным компонентам взаимодействовать через Internet. DCOM является растущим стандартом Internet, опубликованным в соответствии с форматом, определенным в спецификациях RFC 1543.

NetWare

Novell, по-прежнему являющаяся основным поставщиком серверов файлов и печати, по-прежнему обладающая крупнейшей инсталлированной базой клиентов службы каталогов и по-прежнему занимающая лидирующую позицию в разработке решений по обмену сообщениями и программного обеспечения коллективной работы,осознала важность Internet с опозданием.

Однако надо помнить, что до 1995 года компания имела крупнейшую в мире инсталлированную базу клиентов TCP/IP - продукты LANWorkplace и LANWorkgroup. Уже давно серверы NetWare умели маршрутизировать IP-трафик, поэтому пользователи могли иметь доступ в Internet и выполнять приложения Internet, даже когда они применяли IPX для доступа к файлам и печати, если стек протоколов IPX был установлен вместе со стеком TCP/IP. Продукты Novell поддерживали также и такие протоколы Internet, как NetworkFileSystem (NFS) и SNMP.

Но вот появление WorldWideWeb не было оценено в полной мере. Практически отсутствовали популярные приложения Internet для среды NetWare. Здесь отрицательно сказалась специализированность сервера NetWare.

Несмотря на катаклизмы реорганизации и бурю критики извне, в 1996 году Novell добилась значительных успехов в деле освоения Internet - была представлена IntranetWare, наследница NetWare 4.1.

Пакет IntranetWare состоит из набора средств создания сетей Intranet, а также доступа к Internet и интеграции с Unix-системами. Прежде всего, следует упомянуть NetWareWebServer 2.51, отвечающий большинству требований, предъявляемых к серверу Web. Novell уверяет, что по производительности данный продукт значительно опережает аналогичные серверы компаний Microsoft и Netscape. Обращает на себя внимание только отсутствие в составе сервера Web некоторых важных вспомогательных средств, в частности редактора HTML. Это тем более странно, поскольку Novell выпускает комплект InnerWebPublisher, имеющий такие инструменты. Особенность сервера Web компании Novell в том, что он дает возможность пользователям получать доступ к базе NDS, правда, в режиме просмотра. Другим недостатком NovellWebServer является отсутствие в нем поддержки протокола защищенного канала SecureSocketLayer (SSL), используемого при организации безопасного обмена данными между браузерами и серверами.

IntranetWare поддерживает удаленный и локальный общие шлюзовые интерфейсы (CGI) для создания динамических страниц Web, например посредством выполнения сценария поиска записи в базе данных. Инструментарий IntranetWare для написания сценариев включает интерпретаторы NetBasic (лицензирован у HiTecSoft), Perl и Basic. Набор инструментов для быстрого установления связи IntranetWareWebServer с другой программой пока отстает от возможностей аналогичных средств в средах NT и Unix, но все же Novell продвинулась здесь далеко вперед.

Важное значение имеют и другие добавления к NetWare:

• Доступ клиентов NetWare к сетям TCP/IP через шлюз IPX/IP. На клиентские машины загружается только стек IPX/SPX. Основным минусом такой схемы является недостаточная надежность подключения к TCP/IP, поскольку при выходе из строя шлюза клиенты лишаются Web- и FTP-сервисов. Возможны и перегрузки шлюзов, т.к. все потоки к Web и FTP идут через них. Кроме того, для клиентов становятся недоступны некоторые службы сетей TCP/IP. Однако такой подход обеспечивает более высокую, чем в других схемах, безопасность.
• Поддержка протокола динамической конфигурации хоста DHCP позволяет системе выделять IP-адреса клиентам по мере необходимости, благодаря чему адресное пространство используется более эффективно, а администрирование становится проще.
• С помощью нового сервера ftp можно разделять файлы с любым клиентом TCP/IP, а не только с клиентами IntranetWare.
• IntranetWare включает многопротокольный маршрутизатор NetWareMultiprotocolRouter (раньше он продавался отдельно), позволяющий серверу IntranetWare связываться непосредственно с Internet или другими глобальными сетями.

Большие перспективы для новой жизни Novell в Internet открывает ей справочная служба NDS. Действительно, с увеличением числа пользователей в любой сети возрастает потребность в хорошей справочной службе, что же говорить об Internet с ее миллионами пользователей. Весьма возможно, что именно NDS окажется по плечу роль службы каталогов Internet. NDS может оказаться полезной и для нахождения программных компонентов при организации распределенных вычислений в Internet.

Стек TCP/IP сегодня представляет собой один из самых распространенных стеков транспортных протоколов вычислительных сетей. Стремительный рост популярности Internet привел и к изменениям в расстановке сил в мире коммуникационных протоколов - протоколы TCP/IP, на которых построен Internet, стали быстро теснить бесспорного лидера прошлых лет - стек IPX/SPX компании Novell. Сегодня общемировое количество компьютеров, на которых установлен стек TCP/IP, сравнялось с общим количеством компьютеров, на которых работает стек IPX/SPX, и это говорит о резком переломе в отношении администраторов локальных сетей к протоколам, используемым на настольных компьютерах, так как именно они составляют подавляющее число мирового компьютерного парка и именно на них раньше почти везде работали протоколы компании Novell, необходимые для доступа к файловым серверам NetWare. Процесс становления стека TCP/IP стеком номер один в любых типах сетей продолжается и сейчас любая промышленная операционная система обязательно включает программную реализацию этого стека в своем комплекте поставки.

Хотя протоколы TCP/IP неразрывно связаны с Internet, и каждый из многомиллионной армады компьютеров Internet работает на основе этого стека, однако, существует большое количество локальных, корпоративных и территориальных сетей, непосредственно не являющихся частями Internet, которые также используют протоколы TCP/IP. Чтобы отличать их от Internet, эти сети называют сетями TCP/IP или просто IP-сетями.

Локальные и корпоративные сети все шире используют протоколы TCP/IP для передачи своего внутреннего трафика. До недавнего времени это были в основном сети, построенные на основе операционной системы Unix. Причина заключалась в исторической связи Unix и TCP/IP - впервые протоколы стека TCP/IP были реализованы в среде UnixBSD в университете Berkeley. Однако сейчас, когда протоколы TCP/IP имеются в каждой сетевой операционной системе, появились локальные сети TCP/IP и на основе других операционных систем, например, WindowsNT, Windows 95, OS/2 Warp или NetWare. Конечно, одной из очевидных причин использования стека TCP/IP в локальных и корпоративных сетях является легкость присоединения таких сетей к Internet при первой необходимости. Однако, гибкость и открытость стека сами по себе являются достаточно вескими причинами для использования протоколов TCP/IP в автономных локальных и корпоративных сетях.

Параллельно с Internet существуют и другие публичные территориальные сети, работающие на основе протоколов TCP/IP. Это сети крупных провайдеров транспортных сервисов, таких как MCI, Sprint, AT&T и многих других, предоставляющих услуги по объединению локальных IP-сетей заказчика. Публичные IP-сети предоставляют заказчику более высокий уровень сервиса по сравнению с Internet - более низкий уровень задержек пакетов, защиту от несанкционированного доступа, высокий коэффициент готовности. С помощью сервисов публичных IP-сетей предприятие может строить транспортную магистраль своей корпоративной сети, не подвергая себя риску атак многочисленных хакеров, работающих и живущих в Internet.

В начале 90-х годов, после более чем десяти лет относительно спокойной жизни протокол IP столкнулся с серьезными проблемами. Именно в это время началось активное промышленное использование Internet: переход к построению сетей предприятий на основе транспорта Internet, применение Web-технологии для получения доступа к корпоративной информации, ведение электронной коммерции с помощью Internet, внедрение Internet в индустрию развлечений (распространение видеофильмов, звукозаписей, интерактивные игры).

Все это привело к резкому росту числа узлов сети, изменению характера трафика и к ужесточению требований, предъявляемых к качеству обслуживания сетью ее пользователей.

Динамика роста Internet такова, что сегодня трудно привести вполне достоверные сведения о числе сетей, узлов и пользователей Internet. Быстрый рост сети усугубляет уже давно ощущаемый дефицит IP-адресов, вызывает перегрузку маршрутизаторов, которые должны уже сегодня обрабатывать в своих таблицах маршрутизации информацию о нескольких десятках тысяч номеров сетей, а также ведет к резкому увеличению суммарного объема передаваемого по Internet трафика.

Все более широкое использование Internet в качестве общемировой широковещательной сети, заменяющей сети радио и телевидения, приводит к изменению характера передаваемого трафика. Наряду с традиционными компьютерными данными все большую долю трафика составляют мультимедийные данные. Синхронный характер мультимедийного трафика предъявляет нетрадиционные для Internet требования по качеству обслуживания - предоставления гарантированной полосы пропускания с заданным уровнем задержки передаваемых пакетов.

Промышленное использование Internet предполагает определенный уровень защиты данных - аутентификацию абонентов, обеспечение конфиденциальности и целостности данных. Особенно это важно при ведении в Internet электронной торговли, а также при построении частных виртуальных сетей.

Рост популярности Internet привел к появлению новых категорий пользователей. Во-первых, в сеть пришло много непрофессиональных пользователей - сотрудников предприятий, работающих на дому, людей, использующих Internet как средство развлечения или как неисчерпаемый источник информации. Многие из них желали бы работать как мобильные пользователи, не расставаясь со своим компьютером в поездках, вдали от своей "родной" сети. В этих случаях очень важной оказывается возможность автоконфигурирования стека TCP/IP, когда все параметры стека (в основном это касается IP-адресов компьютера, DNS-сервера и маршрутизаторов) автоматически сообщаются компьютеру при его подключении к сети.

Для того, чтобы в новых условиях протокол IP смог также успешно работать, как и в предыдущие годы, сообщество Internet после достаточно долгого обсуждения решило подвергнуть IP серьезной переработке.

7.1.1. Защита данных

Защита информации - ключевая проблема, которую нужно решить для превращения Internet в публичную всемирную сеть с интеграцией услуг. Без обеспечения гарантий конфиденциальности передаваемой информации бум вокруг Internet быстро утихнет, оставив ей роль поставщика интересной информации.

Сегодня защиту информации в Internet обеспечивают различные нестандартные средства и протоколы - firewall'ы корпоративных сетей и специальные прикладные протоколы, типа S/MIME, которые обеспечивают аутентификацию сторон и шифрацию передаваемых данных для какого-либо определенного прикладного протокола, в данном случае - электронной почты.

Существуют также протоколы, которые располагаются между прикладным и транспортным уровнями стека TCP/IP. Наиболее популярным протоколом такого типа является протокол SSL (SecureSocketLayer), предложенный компанией NetscapeCommunications, и широко используемый в серверах и браузерах службы WWW. Протоколы типа SSL могут обеспечить защиту данных для любых протоколов прикладного уровня, но недостаток их заключается в том, что приложения нужно переписывать заново, если они хотят воспользоваться средствами защиты, так как в приложения должны быть явно встроены вызовы функций протокола защиты, расположенного непосредственно под прикладным уровнем.

Проект IPv6 предлагает встроить средства защиты данных в протокол IP. Размещение средств защиты на сетевом уровне сделает их прозрачными для приложений, так как между уровнем IP и приложением всегда будет работать протокол транспортного уровня. Приложения переписывать при этом не придется.

В протоколе IPv6 предлагается реализовать два средства защиты данных. Первое средство использует дополнительный заголовок "AuthenticationHeader" и позволяет выполнять аутентификацию конечных узлов и обеспечивать целостность передаваемых данных. Второе средство использует дополнительный заголовок "EncapsulatingSecurityPayload" и обеспечивает целостность и конфиденциальность данных.

Разделение функций защиты на две группы вызвано практикой, применяемой во многих странах на ограничение экспорта и/или импорта средств, обеспечивающих конфиденциальность данных путем шифрации. Каждое из имеющихся двух средств защиты данных может использоваться как самостоятельно, так и одновременно с другим.

В проектах протоколов защиты данных для IPv6 нет привязки к определенным алгоритмам аутентификации или шифрации данных. Методы аутентификации, типы ключей (симметричные или несимметричные, то есть пара "закрытый-открытый"), алгоритмы распределения ключей и алгоритмы шифрации могут использоваться любые. Параметры, которые определяют используемые алгоритмы защиты данных, описываются специальным полем SecurityParametersIndex, которое имеется как в заголовке "AuthenticationHeader", так и в заголовке "EncapsulatingSecurityPayload".

Тем не менее, для обеспечения совместимой работы оборудования и программного обеспечения на начальной стадии реализации протокола IPv6 предложено использовать для аутентификации и целостности широко распространенный алгоритм хеш-функции MD5 с секретным ключом, а для шифрации сообщений - алгоритм DES.

Ниже приведен формат заголовка AuthenticationHeader.

1	2	3	4	5	6	7	8	9	10	11	12