Модульные корпоративные концентраторы представляют собой многофункциональные устройства, которые могут включать несколько десятков модулей различного назначения: повторителей разных технологий, коммутаторов, удаленных мостов, маршрутизаторов и т.п., которые объединены в одном устройстве с модулями-агентами протокола SNMP, и, следовательно, позволяют, централизовано, объединять, управлять и обслуживать большое количество устройств и сегментов, что очень удобно в сетях большого размера.
Основная идея разработчиков таких устройств заключается в создании программно настраиваемой конфигурации сети. Модульный концентратор масштаба предприятия обычно обладает внутренней шиной или наоборот шин очень высокой производительности – до нескольких десятков гигабайт в секунду, что позволяет реализовать одновременные соединения между модулями с высокой скоростью, гораздо быстрее, чем скорость внешних интерфейсов модулей (Рис. 26). Ввиду того, что отказ корпоративного модульного концентратора приводит к очень тяжелым последствиям, в их конструкцию вносится большое количество средств обеспечения отказоустойчивости.
Рис.26. Структура корпоративного модульного концентратора.
Примерами корпоративных концентраторов могут служить устройства System 5000 компании Nortel Networks, MMAC-Plus компании Cabletron Systems, CoreBuilder 6012 компании 3Com.
Шлюзом называется любое сетевое устройство, которое одновременно подключено к нескольким сетям при помощи нескольких сетевых интерфейсов, имеет в каждой сети свой адрес сетевого уровня и занимается продвижением пакетов между этими сетями.
Например, шлюзом является компьютер, одна сетевая карта которого подключена к сети 192.168.28.10.0 и имеет там IP-адрес 192.168.28.10.1, а другая сетевая карта подключена к сети 172.16.0.0 и имеет там IP-адрес 172.16.0.1.
Шлюзом также будет являться и маршрутизатор, выполненный в виде специализированного устройства. Даже обычный домашний компьютер, имеющий сетевую карту и модем, можно рассматривать как шлюз, т.к. он имеет два интерфейса: один интерфейс – это интерфейс сетевой карты (локальной сети), IP-адрес которого может быть произвольным, а второй интерфейс – это интерфейс удаленного доступа (Internet), IP-адрес которого определяется провайдером, при подключению к нему по протоколу PPP.
Шлюз выполняет функции маршрутизации и продвижения пакетов между интерфейсами. Шлюзы также позволяют объединять разнородные (гетерогенные) сети, преобразуя, например, кадры Ethernet в кадры FDDI.
Межсетевые экраны с фильтрацией пакетов просты, и в ряде случаев входят в состав самой оперативной системы (например, IPChains в операционной системе Linux). Однако межсетевые экраны с фильтрацией пакетов имеют и ряд недостатков:
- возможность задавать правила фильтрации по IP-адресам компьютеров, но не по имени пользователя;
- подсеть «видна» (маршрутизируется) извне;
- при выходе из строя межсетевого экрана подсеть становится незащищенной.
Для преодоления этих недостатков, в качестве межсетевого экрана используют прокси-сервер (proxy server). Прокси-сервер – это сервер посредник. Однако из назначений прокси-сервера – это ускорение работы сети, при подключении ее к Internet. Так, например кэширующий прокси-сервер Squid в операционной системе Linux сохраняет в достаточно большом КЭШе на диске Web-странице, просмотренные разными пользователями, так что если какой-либо пользователь обратится к просмотренной кем-либо ранее странице, то эта страница не будет заново загружаться через Internet, а будет взята из КЭШа Squid.
Прокси-сервер может использоваться для сокрытия личности пользователя, путешествующего по Internet. Для этого пользователь сначала соединяется с анонимным прокси-сервером (например, в Новой Зеландии), который получает пакеты от пользователя и перенаправляет их дальше от своего имени.
Установка прокси-сервера на шлюзе позволяет скрыть структуру подсети от внешней сети и реализовать гибкий межсетевой экран.
При запрете продвижения IP-пакетов между интерфейсами шлюза, вся подсеть, с точки зрения внешней сети, представлена только одним IP-адресом – адресом прокси-сервера.
Пользователь внешней сети, который хочет соединиться с компьютером внутри подсети, должен пройти следующую процедуру:
- Установить соединение с определенным портом прокси-сервера и указать имя компьютера внутри подсети, с которым необходимо соединиться. Для каждого вида сервиса (http, ftp, smtp и т.д.) должна существовать своя программа-посредник, «прослушивающая» свой порт. Может существовать и универсальная программа-посредник, обслуживающая несколько сервисов. При установлении соединения возможно, хотя и необязательно, проведение аутентификации (подтверждении личности) пользователя по его имени, паролю, IP-адресу. Возможна также и регистрация факта и времени подключения в специальном журнале;
- Прокси-сервер создает соединение с компьютером внутри подсети, а затем обеспечивает обмен пакетами между внешней сетью и подсетью, подменяя адреса в проходящих через него пакетах. Возможно протоколирование соединения и фильтрация передаваемых данных (поскольку программа-посредник «понимает» протокол прикладного уровня своего сервиса).
Аналогичным образом происходит и соединение подсеть - внешняя сеть.
Другой технологией, позволяющей скрыть сеть предприятия, является NAT (Network Address Translation – трансляция сетевых адресов). NAT также позволяет компьютерам локальной сети работать с Internet через один IP-адрес. Технология осуществляет подмену IP-адресов отправителя и получателя, в проходящих через шлюз пакетах.
После того, как протокол NAT подменил адрес в IP-пакете, он передает его от своего имени, и, пользуется номером порта для того, чтобы «запомнить» какому компьютеру надо будет вернуть ответ на это шлюз.
При использовании NAT возникает следующая проблема: пакеты, содержащие IP-адрес только в заголовке пакета, правильно преобразовываются протоколом NAT, однако пакеты, содержащие IP-адрес в поле данных, могут неправильно преобразовываться при помощи NAT.
