Урбанович Компьютерные Сети 2022

Учреждение образования
«БЕЛОРУССКИЙ ГОСУДАРСТВЕННЫЙ
ТЕХНОЛОГИЧЕСКИЙ УНИВЕРСИТЕТ»
П. П. Урбанович, Д. М. Романенко
КОМПЬЮТЕРНЫЕ СЕТИ
И СЕТЕВЫЕ ТЕХНОЛОГИИ
Допущено
Министерством образования Республики Беларусь
в качестве учебного пособия для студентов
учреждений высшего образования
по техническим специальностям
Минск 2022
УДК 004.7(075.8)
БКК 32.971.35я73
У69
Рецензенты:
кафедра программного обеспечения информационных технологий
учреждения образования «Белорусский государственный
университет информатики и радиоэлектроники»;
доцент кафедры многопроцессорных систем и сетей
Белорусского государственного университета
кандидат физико-математических наук, доцент Т. В. Соболева
Все права на данное издание защищены. Воспроизведение всей книги или
ее части не может быть осуществлено без разрешения учреждения образо-
вания «Белорусский государственный технологический университет».
Урбанович, П. П.
У69 Компьютерные сети и сетевые технологии : учеб. пособие
для студентов технических специальностей / П. П. Урбанович,
Д. М. Романенко. – Минск : БГТУ, 2022. – 608 с.
ISBN 978-985-530-967-4.
В учебном пособии описаны сетевые компоненты, приведены наи-
более распространенные виды топологий, используемые для физического
соединения компьютеров в сети, основные методы доступа к каналу связи,
рассмотрены применяемые на практике физические среды передачи дан-
ных. Определены общие принципы, лежащие в основе построения всех
локальных сетей, разъясняющие правила обмена. Описаны типы сетевого
оборудования, их назначение и принципы функционирования под управ-
лением современных сетевых операционных систем. Анализируются ба-
зовые технологии построения беспроводных сетей, а также структура
Bluetooth и сотовых сетей. Рассмотрены методы и средства обеспечения
надежного и безопасного функционирования сетей.
Пособие предназначено для студентов технических специальностей.
Может быть полезно магистрантам и аспирантам, изучающим вопросы
проектирования, эксплуатации и администрирования компьютерных се-
тей и систем.
УДК 004.7(075.8)
ББК 32.971.35я73
ISBN 978-985-530-967-4 © УО «Белорусский государственный

технологический университет», 2022
© Урбанович П. П., Романенко Д. М., 2022
ОГЛАВЛЕНИЕ
ПРЕДИСЛОВИЕ ....................................................................... 12
1. ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ.

КЛАССИФИКАЦИЯ СЕТЕЙ ................................................... 16
1.1. Основные термины и определения ................................ 16
1.2. Историческая информация о развитии компьютерных
и вычислительных сетей и средств ....................................... 21
1.2.1. Многотерминальные системы .............................. 22
1.2.2. Зарождение глобальных сетей ............................. 23
1.2.3. Первые локальные сети......................................... 28
1.2.4. Стандарты технологий локальных сетей............. 30
1.2.5. Основные тенденции развития компьютерных
вычислительных сетей .................................................... 31
1.3. Классификации компьютерных сетей............................ 32
1.4. Вычислительные сети – частный случай
распределенных систем.......................................................... 35
1.5. Основные программные и аппаратные
компоненты сети ..................................................................... 38
1.6. Преимущества и проблемы использования сетей ........ 39
Выводы .................................................................................... 43
Контрольные вопросы ............................................................ 44
2. ОСНОВНЫЕ ПРИНЦИПЫ ПОСТРОЕНИЯ СЕТЕЙ......... 45

2.1. Архитектура сетей ........................................................... 45
2.1.1. Архитектура «терминал – главный компьютер» 45
2.1.2. Одноранговая архитектура ................................... 46
2.1.3. Архитектура «клиент-сервер» .............................. 48
2.1.4. Выбор архитектуры сети....................................... 50
Выводы .................................................................................... 51
2.2. Топологии компьютерной сети ...................................... 52
2.2.1. Виды топологий ..................................................... 52
2.2.2. Топология «общая шина» ..................................... 53
2.2.3. Кольцевая топология ............................................. 53
4 ОГЛАВЛЕНИЕ
2.2.4. Топология «звезда» ............................................... 55

2.2.5. Другие типы топологии ........................................ 56
2.2.6. Многозначность понятия топологии ................... 61
Выводы .................................................................................... 63
2.3. Основные параметры и характеристики сетей.............. 64
2.3.1. Производительность сети ..................................... 64
2.3.2. Прозрачность сети ................................................. 66
2.3.3. Поддержка разных видов трафика ....................... 67
2.3.4. Управляемость сети............................................... 68
2.3.5. Совместимость сети .............................................. 71
2.3.6. Надежность и безопасность.
Введение в проблематику ............................................... 73
2.3.7. Расширяемость и масштабируемость сети .......... 76
Выводы .................................................................................... 76
3. ОСНОВЫ ПЕРЕДАЧИ ДАННЫХ ПО СЕТИ ..................... 79

3.1. Пакеты и их структура .................................................... 79
3.1.1. Назначение пакетов ............................................... 79
3.1.2. Структура пакетов ................................................. 82
3.1.3. Правила обмена и управления пакетами ............. 84
Выводы .................................................................................... 87
3.2. Методы доступа в сетях .................................................. 87
3.2.1. Множественный доступ с прослушиванием
несущей ............................................................................ 88
3.2.2. Централизованный метод доступа ....................... 90
3.2.3. Множественный доступ с передачей
полномочия ...................................................................... 91
3.2.4. Множественный доступ с разделением
во времени ........................................................................ 93
3.2.5. Множественный доступ с разделением
частоты ............................................................................. 94
Выводы .................................................................................... 95
3.3. Семиуровневая модель OSI ............................................ 96
3.3.1. Взаимодействие уровней модели OSI ................. 97
3.3.2. Прикладной уровень ............................................. 102
3.3.3. Уровень представления данных ........................... 104
3.3.4. Сеансовый уровень................................................ 105
3.3.5. Транспортный уровень.......................................... 107
5
3.3.6. Сетевой уровень .................................................... 108

3.3.7. Канальный уровень ............................................... 111
3.3.8. Физический уровень .............................................. 113
Выводы .................................................................................... 116
4. ПОНЯТИЕ ПРОТОКОЛА.
СТЕК ПРОТОКОЛОВ TCP/IP ................................................ 120
4.1. Спецификации стандартов канального
и физического уровней ........................................................... 120
4.2. Протоколы и стеки протоколов ...................................... 126
4.2.1. Протоколы сетевого уровня ................................. 127
4.2.2. Протоколы транспортного уровня ....................... 127
4.2.3. Протоколы прикладного уровня .......................... 128
4.3. Стек OSI ............................................................................ 128
4.4. Архитектура стека протоколов TCP/IP .......................... 130
4.4.1. Уровень приложения ............................................. 131
4.4.2. Транспортный уровень.......................................... 132
4.4.3. Межсетевой уровень ............................................. 133
4.4.4. Уровень сетевого интерфейса .............................. 137
4.4.5. Недостатки модели TCP/IP ................................... 137
Выводы .................................................................................... 138
5. АДРЕСАЦИЯ И МАРШРУТИЗАЦИЯ
В ТСР/IP-СЕТЯХ ...................................................................... 141
5.1. Физический адрес ............................................................ 141
5.2. Сетевой адрес ................................................................... 143
5.2.1. Представление IP-адреса ...................................... 143
5.2.2. Классы IP-адресов ................................................. 148
5.2.3. Использование масок ............................................ 150
5.2.4. Особые IP-адреса ................................................... 153
5.2.5. Распределение IPv4-адресов. Частные
и публичные адреса ......................................................... 154
5.2.6. Общие сведения о протоколе IPv6 ....................... 156
5.2.7. Архитектура адресации IPv6 ................................ 156
5.2.8. Модель адресации ................................................. 157
5.2.9. Представление записи IPv6-адресов .................... 157
5.2.10. Представление типа IPv6-адреса ........................ 159
5.2.11. Unicast IPv6-адреса .............................................. 160

5.2.12. Multicast IPv6-адреса ........................................... 162
5.2.13. Автоматизация назначения IP-адресов
узлам сети – протокол DHCP ......................................... 164
5.3. Символьный адрес ........................................................... 174
5.3.1. Система доменных имен ....................................... 174
5.3.2. Служба DNS ........................................................... 176
5.3.3. Процесс разрешения имен .................................... 178
5.3.4. Записи о ресурсах .................................................. 179
5.3.5. Настройка DNS-адресации ................................... 180
5.3.6. Имена NetBIOS ...................................................... 187
5.3.7. Процесс разрешения имен
в пространстве NetBIOS.................................................. 189
5.4. Утилиты диагностики TCP/IP и DNS............................. 190
5.5. Маршрутизация в IP-сетях .............................................. 197
5.5.1. Задача маршрутизации .......................................... 197
5.5.2. Таблица маршрутизации ....................................... 198
5.5.3. Принципы маршрутизации в TCP/IP ................... 200
5.5.4. Настройка таблиц маршрутизации ...................... 203
5.5.5. Протоколы обмена маршрутной информацией .... 204
Выводы .................................................................................... 206
6. БАЗОВЫЕ ТЕХНОЛОГИИ ЛОКАЛЬНОЙ СЕТИ ............ 209

6.1. Сети Ethernet и Fast Ethernet ........................................... 209
6.1.1. Основные характеристики сетей Ethernet ........... 209
6.1.2. Структура пакета в сетях Ethernet........................ 213
Выводы .................................................................................... 215
6.2. Сеть Token Ring ............................................................... 216
6.2.1. Основные характеристики сетей Token Ring ...... 216
6.2.2. Форматы кадров Token Ring ................................. 222
6.2.3. Приоритетный доступ к кольцу ........................... 226
6.2.4. Физический уровень технологии Token Ring ..... 227
Выводы .................................................................................... 230
6.3. Сети FDDI......................................................................... 231
6.3.1. Основные характеристики сетей FDDI................ 231
6.3.2. Структура сети FDDI ............................................ 233
6.3.3. Структура пакета в сетях FDDI ............................ 237
Выводы .................................................................................... 239
7
6.4. Сети 100VG-AnyLAN ...................................................... 239

6.4.1. Основные характеристики сетей 100VG-AnyLAN 239
6.4.2. Структура сети 100VG-AnyLAN .......................... 240
6.4.3. Метод доступа в сетях 100VG-AnyLAN ............. 242
6.4.4. Кодирование информации
в сетях 100VG-AnyLAN .................................................. 244
Выводы .................................................................................... 246
7. ФИЗИЧЕСКАЯ СРЕДА ПЕРЕДАЧИ ДАННЫХ ............... 248

7.1. Кабели, линии и каналы связи ........................................ 248
7.2. Кабельные системы ......................................................... 249
7.2.1. Типы кабелей и структурированные
кабельные системы .......................................................... 249
7.2.2. Стандарты кабелей ................................................ 251
7.2.3. Кабель «витая пара» .............................................. 253
7.2.4. Коаксиальные кабели ............................................ 258
7.2.5. Оптоволоконный кабель. Общие принципы ....... 260
7.2.6. Виды оптоволоконных кабелей............................ 264
7.3. Параметры кабельных систем Ethernet .......................... 270
7.3.1. Параметры систем на основе неэкранированной
витой пары ....................................................................... 270
7.3.2. Стандартные разводки кабеля типа «витая пара» 271
7.3.3. Реализация сетевых топологий на основе
стандартной разводки ..................................................... 272
7.3.4. Кросс-разводка кабеля типа «витая пара» .......... 274
7.4. Беспроводные технологии передачи данных ................ 274
7.4.1. Требования к беспроводным локальным сетям .... 276
7.4.2. Стандарты беспроводных сетей IEEE 802.11 ..... 278
7.4.3. Принципы организации беспроводных сетей ..... 283
Выводы .................................................................................... 286
8. СЕТЕВЫЕ ОПЕРАЦИОННЫЕ СИСТЕМЫ ....................... 289

8.1. Структура сетевой операционной системы ................... 290
8.2. Клиентское программное обеспечение .......................... 291
8.2.1. Редиректоры ........................................................... 292
8.2.2. Распределители ...................................................... 292
8.2.3. Имена UNC ............................................................ 293
8.3. Серверное программное обеспечение............................ 293

8.4. Одноранговые и серверные сетевые операционные
системы .................................................................................... 295
Выводы .................................................................................... 297
9. АППАРАТНЫЕ СРЕДСТВА ДЛЯ ПЕРЕДАЧИ

ДАННЫХ................................................................................... 299
9.1. Сетевые адаптеры ............................................................ 299
9.1.1. Назначение и настройка ........................................ 300
9.1.2. Функции сетевых адаптеров ................................. 301
9.1.3. Типы сетевых адаптеров ....................................... 303
Выводы .................................................................................... 307
9.2. Повторители и концентраторы ....................................... 307
9.2.1. Планирование сети с концентратором ................ 309
9.2.2. Преимущества концентратора .............................. 310
9.2.3. Многосегментные концентраторы ....................... 311
9.2.4. Конструктивное исполнение
концентраторов ................................................................ 312
Выводы .................................................................................... 314
9.3. Мосты и коммутаторы .................................................... 315
9.3.1. Мосты ..................................................................... 315
9.3.2. Коммутаторы ......................................................... 317
9.3.3. Техническая реализация и дополнительные
функции коммутаторов ................................................... 320
Выводы .................................................................................... 321
9.4. Маршрутизаторы и шлюзы ............................................. 322
9.4.1. Структура маршрутизатора .................................. 322
9.4.2. Различие между маршрутизаторами
и мостами ......................................................................... 323
9.4.3. Шлюзы .................................................................... 324
Выводы .................................................................................... 325
9.5. Оборудование для сетей Wi-Fi ....................................... 325
9.5.1. Wi-Fi-точки доступа .............................................. 326
9.5.2. Wi-Fi-антенны ........................................................ 330
9.5.3. Принципы организации беспроводных
сетей .................................................................................. 331
Выводы .................................................................................... 332
9
10. СОВРЕМЕННЫЕ И ПЕРСПЕКТИВНЫЕ СЕТЕВЫЕ

ТЕХНОЛОГИИ ......................................................................... 334
10.1. Беспроводные сотовые сети.......................................... 334
10.1.1. Организация сотовой сети .................................. 334
10.1.2. Многократное использование частот
и увеличение пропускной способности сети ................ 336
10.1.3. Функционирование сотовой системы ................ 338
10.1.4. Архитектура глобальной системы мобильной
связи .................................................................................. 343
10.1.5. Сотовые системы первого и второго поколения 346
10.1.6. Сотовые системы третьего поколения 3G ......... 349
10.1.7. Сотовые системы четвертого поколения 4G ..... 351
10.1.8. Сотовые системы пятого поколения 5G ............ 353
Выводы .................................................................................... 355
10.2. Сети Bluetooth ................................................................ 356
10.2.1. Топология, адресация и особенности
эксплуатации сети Bluetooth........................................... 357
10.2.2. Области применения Bluetooth .......................... 359
10.2.3. Стандарты Bluetooth и структура протоколов .... 361
10.2.4. Модели использования Bluetooth ....................... 363
Выводы .................................................................................... 364
10.3. Сверхвысокоскоростные сети....................................... 365
10.3.1. Общая характеристика стандарта Gigabit Ethernet 365
10.3.2. Спецификации физической среды
стандарта 802.3z .............................................................. 366
10.3.3. Gigabit Ethernet..................................................... 367
10.3.4. 10-Gigabit Ethernet ............................................... 370
10.3.5. Сети на основе технологии ATM ....................... 372
Выводы .................................................................................... 376
10.4. Удаленный доступ и виртуальные частные сети ........ 377
10.4.1. Виды коммутируемых линий ............................. 378
10.4.2. Протоколы удаленного доступа ......................... 378
10.4.3. Протоколы аутентификации удаленных
клиентов ........................................................................... 380
10.4.4. Общая характеристика виртуальных сетей.
Сети VLAN и VPN .......................................................... 381
10.4.5. Протоколы виртуальных частных сетей............ 387
Выводы .................................................................................... 394
11. ОСНОВНЫЕ ЭЛЕМЕНТЫ СОВРЕМЕННЫХ

КОМПЬЮТЕРНЫХ СЕТЕЙ И СЕТЕВЫХ ТЕХНОЛОГИЙ .... 396
11.1. Сетевые экосистемы ...................................................... 396
11.2. Ethernet, Wi-Fi и сотовые сети 4G/5G .......................... 404
11.2.1. Особенности современных сетей Ethernet ........ 404
11.2.2. Эволюция Wi-Fi ................................................... 408
11.2.3. Технологии 4G/5G ............................................... 413
11.3. Сетевые технологии и облачные вычисления ............. 417
11.4. Интернет вещей ............................................................. 422
11.5. Большие данные ............................................................. 426
11.6. Виртуализация сетевых функций ................................. 433
11.7. Система сигнализации ОКС-7 ...................................... 439
11.8. Качество взаимодействия (восприятия) ...................... 441
Выводы .................................................................................... 449
12. НАДЕЖНОСТЬ И БЕЗОПАСНОСТЬ

КОМПЬЮТЕРНЫХ СЕТЕЙ И СИСТЕМ ............................... 452
12.1. Основные понятия и определения
из предметной области ........................................................... 452
12.2. Методы обеспечения надежности компьютерных сетей 456
12.2.1. Численные характеристики надежности ........... 456
12.2.2. Основные методы повышения надежности ИВС 458
12.3. Методы помехоустойчивого кодирования информации 462
12.4. Линейные блочные коды............................................... 464
12.4.1. Теоретические основы линейных блочных кодов 464
12.4.2. Избыточный код простой четности ................... 466
12.4.3. Код Хемминга ...................................................... 467
12.4.4. Циклический код ................................................. 470
12.5. Основы информационной безопасности
компьютерных сетей .............................................................. 477
12.5.1. Характеристика основных угроз
информационной безопасности сетей ........................... 477
12.5.2. Основные методы и средства нейтрализации
угроз сетевой безопасности ............................................ 491
12.6. Программно-аппаратные методы и средства
обеспечения сетевой безопасности ....................................... 495
Выводы .................................................................................... 500
11
13. КРИПТОГРАФИЧЕСКИЕ И СТЕГАНОГРАФИЧЕСКИЕ

МЕТОДЫ В СЕТЕВЫХ ТЕХНОЛОГИЯХ ............................. 502
13.1. Принципы криптографической защиты информации 502
13.1.1. Симметричные криптосистемы .......................... 503
13.1.2. Ассиметричные криптосистемы ........................ 504
13.2. Эффективность использования пароля
для защиты информации ........................................................ 511
13.3. Методы и средства защиты от удаленных атак
через сеть Интернет ................................................................ 515
13.3.1. Межсетевые экраны ............................................ 515
13.3.2. Программные методы защиты соединений....... 518
13.4. Безопасность беспроводных сетей и IoT ..................... 526
13.4.1. Безопасность Wi-Fi-сетей ................................... 526
13.4.2. Особенности обеспечения безопасности
IoT-сетей........................................................................... 531
Выводы .................................................................................... 534
13.5. Использование стеганографии в сетевых технологиях 535
13.5.1. Общая характеристика стеганографических
преобразований................................................................ 535
13.5.2. Стеганографические методы на основе
модификации контента ................................................... 539
13.5.3. Стеганографические методы на основе
использования структуры сетевых протоколов ............ 544
Выводы .................................................................................... 557
ЛИТЕРАТУРА .......................................................................... 560
ПРЕДМЕТНЫЙ УКАЗАТЕЛЬ ................................................ 565
РУССКОЯЗЫЧНЫЕ ТЕРМИНЫ И ПОНЯТИЯ .................... 569
АНГЛОЯЗЫЧНЫЕ ТЕРМИНЫ И ПОНЯТИЯ ...................... 583
АНГЛОЯЗЫЧНЫЕ СОКРАЩЕНИЯ ...................................... 594

ПРЕДИСЛОВИЕ
Термин «инновация» принято ассоциировать с трансформацией

созданного научно-технического потенциала в новые технологии и
материальные ресурсы. Современные инновационные технологии
базируются на все более широком использовании компьютеров и
компьютерных сетей. К тому же люди стали хранить гораздо больше
данных в сети, работать онлайн и пользоваться корпоративными сер-
висами с личных устройств.
Стандарты связи и беспроводного интернета, с одной стороны,
помогают работать удаленно с передачей данных на высокой скоро-
сти, использовать технологические возможности в корпоративном
обучении, способствуют развитию интернета вещей и искусствен-
ного интеллекта. А с другой стороны, появляются новые угрозы, свя-
занные с безопасностью передачи данных.
Трендом совершенствования образовательных технологий ста-
новится использование видеоконференцсвязи и онлайн-курсов, ко-
торые реализуются на основе компьютерных сетей и сетевых тех-
нологий.
Указанные обстоятельства повышают роль специалистов, разра-
батывающих данные технологии, что, в свою очередь, увеличивает
значение соответствующих учебных дисциплин, направленных на
подготовку таких специалистов.
Дисциплины учебных планов подготовки специалистов на пер-
вой и второй ступенях получения высшего образования, объединен-
ные общим названием «Компьютерные сети и сетевые технологии»,
представляют собой введение в сетевую тематику и дают базовые зна-
ния и умения по проектированию, используемым стандартам, органи-
зации и функционированию сетей на заданном уровне надежности и
информационной безопасности.
Из опыта преподавания данной и других смежных дисциплин
известно, что структура одно- или двухсеместрового курса сильно
отличается от структуры краткого курса по тому же предмету. В дан-
ном пособии основные понятия, общие подходы в проектировании
компьютерных сетей, особенности различных видов и топологий
13
сетей, их программного и аппаратного обеспечения и практического

использования авторы пытались изложить в контексте унифициро-
ванной структуры. При этом предполагалось, что читатель знаком
с основами информационных технологий.
Основная задача пособия – дать обучаемым общие системати-
зированные сведения об организации и структуре важной отрасли,
затрагивающей профессиональные, бытовые, познавательно-развле-
кательные сферы жизнедеятельности человека, которая интенсивно
меняется и развивается.
В целом в учебном пособии в простой и доступной форме даны
общие понятия компьютерных сетей, их структуры и сетевых ком-
понентов, а также перспективы развития, виды топологий, исполь-
зуемые для физического соединения компьютеров в сети, методы до-
ступа к каналу связи, физические среды передачи данных. Передача
данных в сети рассмотрена на базе эталонной базовой модели, раз-
работанной Международной организацией по стандартам взаимодей-
ствия открытых сетей. Описаны правила и процедуры передачи дан-
ных между информационными системами. Приведены типы сетевого
оборудования, их назначение и принципы работы. Дана характери-
стика сетевого программного обеспечения, используемого для орга-
низации сетей. Изучены наиболее популярные сетевые операцион-
ные системы, их достоинства и недостатки. Рассмотрены принципы
межсетевого взаимодействия, основные понятия из области надеж-
ности сетевой безопасности, а также методы и средства обеспечения
надежности сетей и безопасного взаимодействия пользователей по-
средством компьютерных сетей.
Для лучшего зрительного восприятия материала было исполь-
зовано различное стилевое оформление наиболее важных опреде-
лений понятий, детализации этих понятий, примеров.
Содержание важных выводов выделяется графически с воскли-
цательным знаком.
Основой данной книги является существенно переработанный и
дополненный материал учебного пособия [1]. В настоящем издании
он излагается в той последовательности, которая, по нашему мнению,
является оптимальной с методической точки зрения при изучении его
в полном объеме. Хотя, конечно, такая точка зрения не претендует на
бесспорность. В то же время мы старались оформить каждую главу в
определенной степени автономной, что может повысить эффектив-
ность изучения избранных глав.
14 ПРЕДИСЛОВИЕ
После разделов даны вопросы для самостоятельного контроля

знаний либо контроля знаний обучаемого преподавателем. На осно-
ве сформулированных вопросов и заданий могут быть составлены
тесты для компьютерного (дистанционного) контроля знаний. Наш
опыт показывает, что такая форма контроля достаточно эффективна
для студентов, обучающихся не только по заочной (или дистанци-
онной), но и по дневной форме обучения. Это особенно актуально
в свете последних тенденций, обусловленных эпидемиологической
обстановкой.
Книга предназначена для студентов технических специально-
стей учреждений высшего образования, получающих знания в обла-
сти информационных технологий. Может быть полезна магистран-
там и аспирантам, изучающим вопросы проектирования, эксплуата-
ции и администрирования компьютерных сетей и систем, а также для
выполнения заданий на занятиях по дисциплинам «Компьютерные
сети», «Программирование и безопасность сетевых приложений»,
«Администрирование информационных систем и web-порталов»,
«Администрирование и безопасность Интернет-систем», а также
учебных дисциплин, схожих по содержанию учебных планов.
Пособие рекомендуется также студентам учреждений среднего
специального образования, изучающим компьютерные сети и сете-
вые технологии. В этом случае авторы рекомендуют ограничиться
материалами глав 1–3, 6, 8, 10, 12 и подглав 5.1, 5.2.
Известной особенносью литературы по сетевой тематике явля-
ется использование большого числа русско- и англоязычных аббре-
витур. Чтобы читатель не испытывал в связи с этим естественных
затруднений, основной материал пособия дополнен тремя прило-
жениями, в которых приведены предметный указатель, содержащий
отнесенные к соответствующим страницам книги термины, поня-
тия и определения из предметной области, краткие пояснения к ос-
новным русско- и англоязычным терминам и понятиям, а также до-
вольно обширный список пояснений к основным аббревиатурам,
используемым в англоязычной литературе из анализирумой пред-
метной области. По мнению авторов, эта информация поможет чи-
тателю снять вопросы, которые могут возникнуть из-за довольно
часто встречающихся в разных источниках несовпадений в опреде-
лениях понятий и терминов.
Книга написана и подготовлена к изданию в рамках научно-
технического сотрудничества между Белорусским государственным
15
технологическим университетом и Люблинским Католическим уни-

верситетом Яна Павла II, Польша (The John Paul II Catholic University
of Lublin), а также Люблинским техническим университетом (Lublin
University of Technology).
Соавтором раздела 13.5 является доцент кафедры информатики
и веб-дизайна Белорусского государственного технологического уни-
верситета Шутько Н. П.
Авторы выражают признательность и благодарность официаль-
ным рецензентам: сотрудникам кафедры программного обеспечения
информационных технологий Белорусского государственного уни-
верситета информатики и радиоэлектроники (заведующий кафедрой
кандидат технических наук, доцент Лапицкая Н. В.) и доценту кафе-
дры многопроцессорных систем и сетей Белорусского государствен-
ного университета кандидату физико-математических наук, доценту
Соболевой Т. В., а также проректору по научной работе Гомельского
государственного университета имени Франциска Скорины доктору
технических наук, профессору Демиденко О. М. и заведующему ка-
федрой информационных радиотехнологий Белорусского государ-
ственного университета информатики и радиоэлектроники доктору
технических наук, профессору Листопаду Н. И., чьи благожелатель-
ная критика, замечания и рекомендации способствовали, на наш взгляд,
не только исправлению отдельных неточностей, но и, главным обра-
зом, повышению методологического и методического уровня пособия.
1
ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ.
КЛАССИФИКАЦИЯ СЕТЕЙ
1.1. Основные термины и определения
Международная организация по стандартизации (International

Organization for Standardization, ISO) определила компьютер-
ную сеть как последовательную бит-ориентированную пере-
дачу информации между связанными друг с другом независи-
мыми устройствами.
В общем случае различают два типа сетей: коммуникационную и

информационную (рис. 1.1).
Коммуникационная сеть (КС) предназначена для передачи
данных, она также выполняет задачи, связанные с преобразованием
данных. Коммуникационные сети различаются по типу используе-
мых физических средств соединения.
Информационная сеть № 1
Информационная Информационная
система № 1 система № n
Коммуникационная
сеть
система № 1 система № m
Информационная сеть № 2
Рис. 1.1. Информационные и коммуникационные сети

1.1. Основные термины и определения 17
Информационная сеть предназначена для хранения информа-

ции и состоит из информационных систем. На базе коммуникаци-
онной сети может быть построена группа информационных сетей.
Под информационной системой (ИС) следует понимать систе-
му, которая является поставщиком или потребителем информации.
Вычислительная сеть (ВС) – это одна из разновидностей рас-
пределенных систем, предназначенная для распараллеливания вы-
числений, за счет чего может быть достигнуто повышение произво-
дительности и отказоустойчивости системы.
Сеть передачи данных (СПД) – совокупности оконечных
устройств (терминалов) связи, объединенных каналами передачи
данных и коммутирующими устройствами (узлами сети), обеспе-
чивающими обмен сообщениями между всеми оконечными устрой-
ствами.
В общем, компьютерная сеть состоит из информационных си-
стем и каналов связи.
Под информационной системой в данном случае следует по-
нимать объект, способный осуществлять хранение, обработку или
передачу информации. В состав информационной системы входят
компьютеры, программы, пользователи и другие составляющие, пред-
назначенные для процесса обработки и передачи данных.
В дальнейшем информационная система, предназначенная для
решения задач пользователя, будет называться рабочей станцией
(client). Рабочая станция в сети отличается от обычного персональ-
ного компьютера (ПК) наличием сетевой карты (сетевого адап-
тера), канала для передачи данных и сетевого программного обес-
печения.
Информационная технология (ИТ) или информационно-ком-
муникационная технология (ИКТ) – это процессы, методы поиска,
сбора, хранения, обработки, распространения, предоставления инфор-
мации и способы осуществления данных процессов и методов с по-
мощью информационно-вычислительных систем.
Под каналом связи следует понимать путь или средство, по ко-
торому передаются сигналы. Средство передачи сигналов называют
физическим каналом.
Абонентский канал – это физический канал, соединяющий ком-
муникационную сеть с абонентской системой. Параметры и харак-
теристики абонентского канала в точке подключения системы опре-
деляются абонентским интерфейсом.
18 1. ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ. КЛАССИФИКАЦИЯ СЕТЕЙ
Каналы связи создаются по линиям связи при помощи сетевого

оборудования и физических средств связи.
Физические средства связи построены на основе витых пар,
коаксиальных кабелей, оптических каналов или эфира. Между вза-
имодействующими информационными системами через физические
каналы коммуникационной сети и узлы коммутации устанавлива-
ются логические каналы.
Ошибка (информационная) – это несоответствие между пере-
данным и принятым символами сообщения или между записанным
в память компьютера и считанным символами (по одному и тому
же адресу).
Логический канал – это путь для передачи данных от одной си-
стемы к другой. Логический канал прокладывается по маршруту в
одном или нескольких физических каналах. Логический канал можно
охарактеризовать как маршрут, проложенный через физические ка-
налы и узлы коммутации.
Информация в сети передается блоками данных по процедурам
обмена между объектами. Эти процедуры называют протоколами
передачи данных.
Протокол – это совокупность правил, устанавливающих фор-
мат и процедуры обмена информацией между двумя или несколь-
кими устройствами.
Интерфейс – совокупность средств и методов взаимодействия
между элементами или устройствами системы. Интерфейсы явля-
ются основой взаимодействия всех современных информационных
систем. Если интерфейс какого-либо объекта (рабочей станции, се-
тевой карты, программы и т. д.) не изменяется (стандартизирован),
это дает возможность модифицировать сам объект, не перестраивая
принципы его взаимодействия с другими объектами.
Загрузка сети характеризуется параметром, который называется
трафиком.
Трафик – это поток сообщений в сети передачи данных. Под ним
понимают количественное измерение в выбранных точках сети чис-
ла проходящих блоков данных и их длины, выраженное в битах в
секунду.
Существенное влияние на характеристику сети оказывает метод
доступа.
Метод доступа – это способ определения того, как сеть управ-
ляет доступом к каналу связи (кабелю), что существенно влияет на
1.1. Основные термины и определения 19
ее характеристики. В сети все рабочие станции физически соединены

между собой каналами связи по определенной структуре, называе-
мой топологией.
Топология – это описание соединений в сети, например фи-
зических, указывающее, какие рабочие станции могут связываться
между собой.
Необходимо отметить, что в настоящее время также использу-
ются следующие термины: физическая топология, логическая то-
пология, информационная топология и топология управления обме-
ном, которые будут более подробно рассмотрены в пункте 2.2.6.
Тип топологии определяет производительность, работоспособ-
ность и надежность эксплуатации рабочих станций, а также время
обращения к файловому серверу. В зависимости от топологии сети
используется тот или иной метод доступа.
Состав основных элементов в сети зависит от ее архитектуры.
Архитектура – это концепция, определяющая взаимосвязь, струк-
туру и функции взаимодействия рабочих станций в сети. Она преду-
сматривает логическую, функциональную и физическую организацию
технических и программных средств сети. Архитектура определяет
принципы построения и функционирования аппаратного и програм-
много обеспечения элементов сети.
Трехуровневая, или трехзвенная, архитектура (Three-Tier) –
архитектурная модель комплекса, предполагающая наличие в нем
трех компонентов: клиента, сервера приложений (к которому под-
ключено клиентское приложение) и сервера баз данных (с которым
работает сервер приложений).
К важнейшим техническим характеристикам сетей и сетевого

оборудования относятся:
− производительность;
− защищенность от несанкционированного доступа или без-
опасность;
− надежность.
Производительность компьютерной сети определяет ско-

рость (бит/с) выполнения внутренних операций сети, связанных
обычно с поиском, сбором, обработкой и передачей информации
между узлами сети через коммутационные устройства и каналы.
Безопасность информации (в сети) – защищенность информа-

ции от нежелательного ее разглашения (нарушения конфиденциаль-
ности), искажения (нарушения целостности), утраты или снижения
степени доступности информации, а также незаконного ее тиражи-
рования.
Безопасность любого ресурса информационной системы скла-

дывается из обеспечения трех его характеристик:
− конфиденциальности;
− целостности;
− доступности.
Иначе: информационная безопасность – все аспекты, связанные

с определением, достижением и поддержанием конфиденциальности,
целостности, доступности информации или средств ее обработки.
Конфиденциальность (Confidentiality) компонента системы
заключается в том, что он доступен только тем субъектам доступа
(пользователям, программам, процессам), которым предоставлены
на то соответствующие полномочия.
Целостность (Integrity) компонента предполагает, что он мо-
жет быть модифицирован только субъектом, имеющим для этого со-
ответствующие права; целостность является гарантией корректно-
сти (неизменности, работоспособности) компонента в любой момент
времени.
Доступность (Availability) компонента означает, что имеющий
соответствующие полномочия субъект может в любое время без
особых проблем получить доступ к необходимому компоненту си-
стемы (ресурсу).
Надежность системы – это характеристика способности про-
граммного, аппаратного, аппаратно-программного средства (напри-
мер, компьютерной сети) выполнять при определенных условиях
требуемые или заданные в спецификации функции в течение опре-
деленного периода времени.
Мы вернемся к данной характеристике предметной области –
надежности и безопасности компьютерных сетей и систем – при бо-
лее углубленном ее изучении в главе 12. С некоторыми специфиче-
скими понятиями и терминами будем знакомиться по ходу изучения
соответствующих разделов курса.
1.2. Историческая информация о развитии компьтерных и вычислительных сетей и средств 21
1.2. Историческая информация

о развитии компьютерных и вычислительных
сетей и средств
Концепция вычислительных сетей является логическим резуль-

татом эволюции компьютерных технологий (КТ) или информаци-
онных технологий (ИТ). Первые компьютеры 1950-х годов были боль-
шими, громоздкими и достаточно дорогими. Такие компьютеры не
были предназначены для интерактивной работы, а использовались
в режиме пакетной обработки.
Системы пакетной обработки, как правило, строились на базе
мейнфрейма (Mainframe) – мощного и надежного компьютера уни-
версального назначения. В Советском Союзе производительные си-
стемы этого класса проектировались и создавались в Минске. В 1959 г.
начал действовать Минский завод счетных машин имени Орджони-
кидзе, известный своими мейнфреймами класса «Минск» (Минск-1,
1960 г.; Минск-23, 1966 г.), позднее – Минский завод электронно-
вычислительных машин имени Орджоникидзе (ЭВМ третьего поко-
ления ЕС-1020, 1971 г.; ЕС – Единая Серия); Минское производствен-
ное объединение вычислительной техники (ЕС-1022, 1975 г.; ЕС-1060,
1976 г.; позже – ЕС-1061, ЕС-1065, ЕС-1066 и др.).
Основным носителем информации, а также кодов программ для
перечисленных ЭВМ являлись бумажные и магнитные ленты, а также
перфокарты (перфорированные карты, 187,325×82,55 мм – стан-
дарт IBM) – небольшие картонные пластинки, на которых можно
было разместить примерно 80 символов. Операторы вводили эти
карты в компьютер, а распечатанные результаты пользователи по-
лучали обычно только на следующий день. Таким образом, одна не-
верно «набитая» карта означала примерно суточную задержку вы-
полнения программы.
Конечно, интерактивный режим (Online Mode) работы, при
котором можно с терминала оперативно руководить процессом об-
работки своих данных, был бы гораздо удобней. Но интересами про-
граммистов и пользователей на первых этапах развития вычисли-
тельных систем в значительной степени пренебрегали, поскольку
пакетный режим (Batch Mode) – это самый эффективный режим
использования вычислительной мощности, так как он позволяет
выполнить в единицу времени больше задач, чем любые другие ре-

жимы. Во главу угла ставилась эффективность работы самого важ-
ного и дорогого устройства вычислительной машины – процессора,
в ущерб эффективности работы использующих его специалистов.
1.2.1. Многотерминальные системы
По мере удешевления процессоров в начале 1960-х годов по-

явились новые способы организации вычислительного процесса, ко-
торые позволили учесть интересы пользователей. Начали развивать-
ся интерактивные многотерминальные системы разделения времени
(рис. 1.2).
Вычислительный центр
на базе мейнфрейма
Удаленное
подразделение
Рис. 1.2. Многотерминальная система – прообраз вычислительной сети
В таких системах компьютер использовали сразу несколько про-

граммистов-пользователей. Причем время реакции вычислительной
системы было достаточно мало для того, чтобы пользователю была
не слишком заметна параллельная работа с компьютером и других
программистов-пользователей.
Терминалы, выйдя за пределы вычислительного центра, рассре-
доточились по всему предприятию. И хотя вычислительная мощность
оставалась полностью централизованной, некоторые функции – та-
кие как ввод и вывод данных – стали распределенными. Такие мно-
готерминальные централизованные системы внешне уже были очень
похожи на локальные вычислительные сети (ЛВС). Действительно,

рядовой программист-пользователь работу за терминалом мейнфрей-
ма воспринимал примерно так же, как сейчас он воспринимает ра-
боту за подключенным к сети персональным компьютером.
Многотерминальные системы, работающие в режиме раз-

деления времени, стали первым шагом на пути создания ло-
кальных вычислительных сетей.
Но до появления локальных сетей нужно было пройти еще боль-

шой путь, так как многотерминальные системы, хотя и имели внешние
черты распределенных систем, все еще сохраняли централизованный
характер обработки данных. К тому же потребность предприятий в со-
здании локальных сетей в это время еще не созрела – в одном здании
просто нечего было объединять в сеть, так как из-за высокой стоимо-
сти вычислительной техники предприятия не могли себе позволить
роскошь приобретения нескольких компьютеров. В этот период был
справедлив так называемый закон Гроша, который эмпирически отра-
жал уровень технологии того времени. В соответствии с этим законом
производительность компьютера была пропорциональна квадрату его
стоимости, отсюда следовало, что за одинаковую сумму было выгод-
нее купить одну мощную машину, чем две менее мощных – их суммар-
ная мощность оказывалась намного ниже мощности дорогой машины.
1.2.2. Зарождение глобальных сетей
Тем не менее потребность в соединении компьютеров, находя-

щихся на большом расстоянии друг от друга, к этому времени вполне
назрела.
В 1958 г. Американское агентство перспективных исследова-
тельских проектов Министерства обороны США (Advanced Research
Projects Agency of the U.S. Department of Defense, ARPA) начало ре-
ализацию проекта, который позднее получил название ARPANET и
из которого позднее вырос современный Интернет (Internet).
В 1962 г. важные исследования были начаты в ряде учебных
заведений США и прежде всего в Массачусетском технологическом
институте (MIT). Именно в 1962 г. молодой американский ученый из
MIT Дж. С. Ликлидер написал работу, где высказал идею глобаль-

ной сети, которая обеспечивала бы каждому жителю земли доступ к
данным и программам из любой точки земного шара. В это же время
другой ученый, Л. Клейнрок, закончил работу над своей докторской
диссертацией в области теории коммуникационных сетей. В 1963 г.
происходит важное событие: появляется первый универсальный стан-
дарт ASCII (American Standard Code for Information Interchange) –
схема кодирования, назначающая численные значения-коды буквам,
цифрам, знакам пунктуации и некоторым другим символам, в ре-
зультате чего возникает возможность обмена информацией между
компьютерами от различных изготовителей.
В 1964 г. практически одновременно в MIT, RAND Corporation и
Great Britain National Physical Laboratory (GBNPL) были развернуты
работы по надежной передаче информации. Появилась идея комму-
тации пакетов, суть которой сводилась к тому, что любая информа-
ция, передаваемая по сети, разбивается на несколько частей (пакетов),
которые затем независимо друг от друга перемещаются различными
путями (маршрутами), пока не достигнут адресата. П. Бэран, Д. Дэ-
вис, Л. Клейнрок параллельно вели исследования в этой области.
П. Бэран был одним из первых, кто опубликовал свои исследования
в статье «Передача данных в сетях».
В 1967 г. произошло событие, которое сыграло важную роль в
развитии сетевых технологий: модем, изобретенный в начале шести-
десятых, был существенно усовершенствован Дж. ван Гином из Стан-
фордского научно-исследовательского института (Stanford Research
Institute, SRI). Отметим, что само название прибора (модем) состоит
из начальных букв двух слов: модулятор и демодулятор; в нашем слу-
чае первый выполняет операцию преобразования цифрового сигнала
в аналоговый (ЦАП), второй – преобразование аналогового в циф-
ровой (АЦП).
Дж. ван Гин предложил приемник, который мог надежно распоз-
навать биты информации на фоне шумовых помех, создаваемых меж-
дугородними телефонными линиями. В 1967 г. Л. Робертс организо-
вал научную конференцию в Анн-Арборе (штат Мичиган), на которую
он пригласил основных разработчиков сетевого проекта. Конферен-
ция имела огромное значение – параллельно проводимые работы на-
чали объединяться. Термин ARPANET впервые упоминался в ходе
выступления Л. Робертса именно на этой конференции. На этой же
конференции другой выдающийся ученый У. Кларк впервые высказал
идею и предложил термин IMP – Interface Message Processors, обо-

значающий устройства для управления трафиком в сети, которые
впоследствии эволюционировали в современные маршрутизаторы.
В 1968 г. началась работа по созданию IMP и уже через один год,
в 1969 г., заработала сеть ARPANET, охватившая все Западное по-
бережье США.
В 1970 г. наблюдается рост сети – каждый месяц добавляется
новый узел. В этом же году произошло еще два важных события.
Во-первых, Д. Ритчи и К. Томпсон из BelLabs закончили работу над
созданием операционной системы UNIX. Во-вторых, в этом же году
рабочая группа NWG (Network Working Group) под руководством
С. Крокера завершила работу над протоколом NCP (Network Control
Protocol), а еще годом позже закончила работу над протоколом эму-
ляции терминала (Telnet) и существенно продвинулась в работе над
протоколом передачи файлов (FTP). В 1971 г. BBN разработала но-
вую платформу – так называемые TIP-устройства (Terminal IMP,
Terminal Interface Processor), что обеспечило возможность входить
на удаленные хосты, сделав, таким образом, ARPANET доступной
большему числу пользователей.
В 1972 г. сеть ARPANET была публично продемонстрирована.
Однако в этом же году также произошло еще, по крайней мере, два со-
бытия, которые оказали огромное влияние на развитие компьютерных
технологий: Р. Томильсон написал программу, позволяющую отправ-
лять электронную почту по ARPANET, ввел обозначение user@host
и использовал символ @ (коммерческое эт; commercial at), который
позднее (с 1980 г.) был закреплен в международном стандарте адресов
электронной почты. Постепенно сеть ARPANET расширялась, и среди
клиентов появились такие частные организации, как BBN, Xerox PARC
и MITRE Corporation, а также государственные – NASA’s Ames Research
Laboratories, National Bureau of Standards и Air Force Research Facilities.
В 1973 г. фирма ARPA переименовывается в DARPA, где бук-
ва «D» указывает на Defense (защита, оборона). DARPA (Defense Ad-
vanced Research Projects Agency) – агенство перспективного плани-
рования оборонных научно-исследовательских работ, центральная
научно-исследовательская организация Министерства обороны США,
основной целью которой является выдача рекомендаций по внедре-
нию принципиально новых технологий для военной промышленно-
сти. Под руководством Б. Кана начинается весьма сложная работа по
объединению сетей, имеющих разные интерфейсы, скорости передачи
данных и размеры пакетов. По сути дела, это была работа по созда-

нию межсетевого протокола. В сентябре 1973 г. появилась первая
публикация по новому протоколу TCP (Transmittion Control Protocol).
TCP/IP со временем стал одним из наиболее популярных протоко-
лов сетевого взаимодействия и стандартом для реализации глобаль-
ных сетевых соединений в силу открытости, масштабируемости и за
счет предоставления одинаковых возможностей глобальным и ло-
кальным сетям.
В 1977 г. был анонсирован компьютер Apple II, и появление нас-
тольных компьютеров с потенциальной возможностью коммуника-
ций при помощи модемного подключения дало новый толчок раз-
витию сетевых технологий и модемной индустрии. К началу 1978 г.
эксперимент ARPANET был практически закончен. Годом позже по-
явилась служба USENET4, которая стала одним из первых примеров
клиент-серверной организации.
К концу семидесятых годов архитектура и протоколы TCP/IP
приобрели современный вид. К этому времени агентство DARPA
стало признанным лидером в разработке сетей с коммутацией па-
кетов. Дальнейшее развитие сетевых технологий, в том числе бес-
проводных радиосетей и спутниковых каналов связи, стимулировало
активность DARPA в исследовании проблем межсетевого взаимодей-
ствия и реализации принципов Интернета в ARPANET. DARPA не
делало тайны из своей деятельности в области развития технологий
Интернета, поэтому различные научные группы проявляли интерес
к разработкам технологии глобальной сети.
Свое начало Интернет берет от сети ARPANET, но чаще всего

Интернет называют наследником NSFNET – американской
сети, которая объединила ученых NSF (National Science Foun-
dation) и сначала сотрудничала с сетью ARPANET, а затем сли-
лась с ней и поглотила.
Многие эксперты называют временем зарождения Интернета на-

чало 1980-х годов. В это время агентства DARPA инициировало пере-
вод машин, подсоединенных к его исследовательским сетям, на исполь-
зование стека TCP/IP. В 1981 г. IWG (Internet Working Group) в DARPA
публикует документ, в котором говорится о полном переходе с про-
токола NCP (Network Control Protocol) на протокол TCP/IP. С этих
пор ARPANET становится магистральной сетью Интернет и активно

используется для многочисленных экспериментов с TCP/IP. Оконча-
тельный переход к технологии Интернет произошел в январе 1983 г.:
в этом году протокол TCP/IP был принят Министерством обороны
США, а сеть ARPANET была разбита на две независимые части. Одна
из них (предназначенная для научных целей) сохранила название
ARPANET, а вторая, большая по масштабу сеть MILNET, отошла к
военному ведомству.
Для того чтобы стимулировать использование новых протоколов
в учебных заведениях, агентство DARPA сделало реализацию TCP/IP
широко доступной для университетских кругов. В это время многие
исследователи использовали версию ОС Unix университета Беркли
(штат Калифорния), называемую BSD Unix (от Berkeley Software
Distribution). Благодаря тому что DARPA в свое время субсидировало
компанию BBN и университет в Беркли с целью реализации прото-
колов TCP/IP для использования вместе с популярной ОС Unix, бо-
лее 90% компьютерных факультетов университетов адаптировали
новую сетевую технологию, и версия BSD стала фактическим стан-
дартом для реализаций стека протоколов TCP/IP. Было выпущено
несколько версий BSD, каждая из которых добавляла в TCP/IP но-
вые возможности, в том числе 4.2BSD (1983 г.), 4.3BSD (1986 г.),
4.3BSD Tahoe (1988 г.), 4.3BSD Reno (1990 г.), 4.4BSD (1993 г.).
С 1985 г. сеть NSF реализовала программу создания сетей вокруг
своих суперкомпьютерных центров. И в 1986 г. создание опорной
сети (56 Кбит/с) между суперкомпьютерными центрами NSF привело
к появлению целого ряда региональных сетей, таких как JVNCNET,
NYSERNET, SURANET, SDSCNET, BARRNET и др. Так появилась
магистральная сеть NSFNET, которая в конце концов объединила
все эти научные центры и связала их с ARPANET. Таким образом,
NSFNET связала пять суперкомпьютерных центров и открыла до-
ступ к мощным вычислительным ресурсам для широкого круга ис-
следователей. Для уменьшения платы за использование междуго-
родних линий связи решено было развивать систему региональных
сетей, которая объединяет компьютеры внутри какого-то региона
и имеет выходы на подобные сети поблизости. При такой конфи-
гурации все компьютеры являются равноправными и имеют связь
«по цепочке» через соседние компьютеры как друг с другом, так и
с суперкомпьютерами NSF. Таким образом, начиная с 1986 г. можно
говорить о становлении глобальной компьютерной сети Интернет.
В 1988 г. Интернет становится международной сетью – к нему

присоединяются Канада, Дания, Финляндия, Франция, Норвегия и
Швеция. Годом позже сеть уже насчитывала 80 000 узлов, а в ноябре
еще присоединились Австрия, Германия, Израиль, Италия, Япония,
Мексика, Нидерланды, Новая Зеландия и Великобритания – и вскоре
количество узлов в сети выросло до 160 000. В том же году появи-
лась технология FDDI (Fiber Distributed Data Interface) – распределен-
ный интерфейс передачи данных по волоконно-оптическим каналам.
Если Интернет – изобретение коллективное, то идею гипертек-
ста и WWW связывают с именем конкретного человека.
В 1989 г. Т. Бернерс-Ли высказал идею гипертекста, которая

и послужила толчком к созданию World Wide Web.
Т. Бернерс-Ли написал программу Eniquire, которая стала про-

образом будущей WWW. В том же 1989 г. Т. Бернерс-Ли начал ра-
боту над глобальным проектом Всемирной паутины, и всего два года
спустя (в 1991 г.) первые WWW-объекты были помещены в Интернет.
1.2.3. Первые локальные сети
В начале 1970-х годов произошел технологический прорыв в

области производства компьютерных компонентов – появились боль-
шие интегральные схемы (БИС). Их сравнительно невысокая стои-
мость и высокие функциональные возможности привели к созданию
мини-компьютеров, которые стали реальными конкурентами мейн-
фреймов. Закон Гроша перестал соответствовать действительности,
так как десяток мини-компьютеров выполнял некоторые задачи (как
правило, хорошо распараллеливаемые) быстрее одного мейнфрейма,
а стоимость такой мини-компьютерной системы была меньше.
Даже небольшие подразделения предприятий получили возмож-
ность покупать для себя компьютеры. Мини-компьютеры выпол-
няли задачи управления технологическим оборудованием, складом
и другие задачи уровня подразделения предприятия. Таким образом,
появилась концепция распределения компьютерных ресурсов по
всему предприятию. Однако при этом все компьютеры одной орга-
низации по-прежнему продолжали работать автономно (рис. 1.3).
Мини-ЭВМ Терминалы Мини-ЭВМ Терминалы
Мини-ЭВМ Терминалы Мини-ЭВМ Терминалы
Рис. 1.3. Автономное использование

нескольких мини-компьютеров
на одном предприятии
Позднее предприятия и организации стали соединять свои мини-

компьютеры вместе и разрабатывать программное обеспечение, не-
обходимое для их взаимодействия. В результате появились первые
локальные вычислительные сети (ЛВС) (рис. 1.4). Они еще во мно-
гом отличались от современных локальных сетей, в первую очередь
своими устройствами сопряжения.
Устройство
сопряжения Мини-ЭВМ
Мини-ЭВМ
Терминалы
Терминалы
Мини-ЭВМ
ПК ПК ПК ПК ПК
Рис. 1.4. Различные типы связей

в первых локальных сетях
На первых порах для соединения компьютеров друг с другом

использовались самые разнообразные нестандартные устройства со
своим способом представления данных на линиях связи, своими ти-
пами кабелей и т. п.
1.2.4. Стандарты технологий локальных сетей
В середине 1980-х гг. положение дел в локальных сетях стало

кардинально меняться. Утвердились стандартные технологии объ-
единения компьютеров в сеть – Ethernet, ARCnet, Token Ring. Мощ-
ным стимулом для их развития послужили персональные компьюте-
ры, которые стали преобладать в локальных сетях, причем не только
в качестве клиентских компьютеров, но и как центры хранения и об-
работки данных, т. е. сетевые серверы, потеснившие со своих при-
вычных ролей мини-компьютеры и мейнфреймы.
Стандартные сетевые технологии превратили процесс постро-
ения локальной сети из искусства в рутинную работу. Для создания
сети достаточно было приобрести сетевые адаптеры соответству-
ющего стандарта, например Ethernet, стандартный кабель, присо-
единить адаптеры к кабелю стандартными разъемами и установить
на компьютер одну из популярных сетевых операционных систем,
например NetWare.
Локальные сети в сравнении с глобальными внесли много нового
в способы организации работы пользователей. Доступ к разделяемым
ресурсам стал гораздо удобнее – пользователь мог просто просматри-
вать списки имеющихся ресурсов, а не запоминать их идентифика-
торы или имена. После соединения с удаленным ресурсом можно было
работать с ним с помощью уже знакомых пользователю по работе с
локальными ресурсами команд. Реализацию всех нововведений раз-
ботчики локальных сетей получили в результате появления качествен-
ных кабельных линий связи, на которых даже сетевые адаптеры пер-
вого поколения обеспечивали скорость передачи данных до 10 Мбит/с.
Наибольшее распространение на тот момент получили телефон-
ные каналы связи, но они были плохо приспособлены для высокоско-
ростной передачи дискретных данных – скорость в 1200 бит/с была
для них хорошим достижением. Поэтому экономное расходование
пропускной способности каналов связи часто являлось основным кри-
терием эффективности методов передачи данных в глобальных сетях.
1.2.5. Основные тенденции развития компьютерных

вычислительных сетей
Компьютерные сети и сетевые технологии стали определяющим

фактором и важнейшим инструментом инноваций практически во
всех областях человеческой деятельности.
Разрыв между локальными и глобальными сетями сократился во
многом из-за появления высокоскоростных территориальных кана-
лов связи, не уступающих по качеству кабельным системам локаль-
ных сетей.
Возродился интерес к крупным компьютерам в основном из-за
того, что после спада эйфории по поводу легкости работы с пер-
сональными компьютерами выяснилось, что системы, состоящие
из сотен серверов, обслуживать сложнее, чем несколько больших
компьютеров. Поэтому на новом витке эволюционной спирали мейн-
фреймы стали возвращаться в корпоративные вычислительные си-
стемы, но уже в качестве полноправных сетевых узлов, поддержи-
вающих Ethernet или Token Ring, а также стек протоколов TCP/IP,
ставший благодаря глобальной сети Интернет сетевым стандартом
де-факто.
Обработка и передача в сетях различных видов мультимедий-
ной информации (голоса, видеоизображений, рисунков, текста) по-
требовали внесения изменений в работу протоколов, сетевых опе-
рационных систем и коммуникационного оборудования. Сложность
передачи такой мультимедийной информации по сети связана с ее чув-
ствительностью к задержкам при передаче пакетов данных. Задержки
обычно приводят к искажению такой информации в конечных узлах
сети. Так как традиционные службы вычислительных сетей (пере-
дача файлов или электронная почта) создают малочувствительный к
задержкам трафик и все элементы сетей разрабатываются в расчете
на него, то появление трафика реального времени приводит к боль-
шим проблемам.
Эти проблемы решаются различными способами, в том числе
и с помощью специально рассчитанной на передачу различных ти-
пов трафика технологии АТМ (Asynchronous Transfer Mode – асин-
хронный способ передачи данных).
В последнее время, особенно в период вынужденного перехода к
дистанционной работе сотен миллионов человек по всему миру, роль
компьютерных сетей и сетевого оборудования неизмеримо возросла.
От базового сетевого оборудования, в равной мере пригодного

для установки дома или на небольшом предприятии, до недавних пор
не так уж много требовалось: обеспечить работу локальной сети да
предоставить каждому ее узлу доступ к облачным сервисам и Ин-
тернету в целом. Теперь ситуация меняется принципиально: живые
контакты с клиентами массированно переходят в онлайн, офис стано-
вится существенно распределенным, деловые переговоры, совеща-
ния проводятся по видеоконференцсвязи.
В последнее время специалисты отмечают 5 ключевых техноло-
гий, преобразующих сети:
− программно-определяемые (или программно-реконфигурируе-
мые) сети (Software-Defined Networking, SDN);
− облачные сервисы (Cloud Computing Services, CCS);
− интернет вещей (Internet of Things, IoT);
− виртуализация сетевых функций (Network Functions Virtualiza-
tion, NFV);
− качество взаимодействия (восприятия) (Quality of Experien-
ce, QoE).
Важнейшие особенности указанных технологий будут рассмо-
трены ниже.
1.3. Классификации компьютерных сетей
Чаще всего термин локальные сети (Local Area Network, LAN),

а также локальные вычислительные сети понимают буквально,
т. е. это такие сети, которые имеют небольшие, локальные размеры
и соединяют близко расположенные компьютеры. Однако некоторые
локальные сети легко обеспечивают связь на расстоянии нескольких
десятков километров. С другой стороны, по глобальной сети (WAN,
Wide Area Network или GAN, Global Area Network) вполне могут
связываться компьютеры, находящиеся на соседних столах в одной
комнате.
Как правило, локальная сеть связывает от двух до нескольких
десятков компьютеров. Но предельные возможности современных
локальных сетей гораздо выше: максимальное число абонентов мо-
жет достигать тысячи. Называть такую сеть малой неправильно.
1.3. Классификации компьютерных сетей 33
В пределах одной сети могут использоваться как электрические

кабели различных типов (витая пара, коаксиальный кабель), так и
оптоволоконные кабели.
По сути, компьютеры, связанные локальной сетью, объединя-
ются в один виртуальный компьютер, ресурсы которого могут быть
доступны всем пользователям, причем этот доступ не менее удобен,
чем к ресурсам, входящим непосредственно в каждый отдельный
компьютер. Под удобством в данном случае понимается высокая
реальная скорость доступа, скорость обмена информацией между
приложениями, практически незаметная для пользователя.
Таким образом, главное отличие локальной сети от любой дру-
гой – высокая скорость передачи информации по сети. Но это еще
не все, не менее важны и другие факторы. В частности, принципи-
ально необходим низкий уровень ошибок передачи, вызванных как
внутренними, так и внешними факторами. Ведь даже очень быстро
переданная информация, которая искажена ошибками, просто не
имеет смысла, ее придется передавать еще раз, что в итоге будет про-
являться как снижение интегральной скорости передачи по сети.
Особое значение имеет и такая характеристика сети, как возмож-
ность работы с большими нагрузками, т. е. с высокой интенсивно-
стью обмена (или, как еще говорят, с большим трафиком). Ведь если
механизм управления обменом, используемый в сети, не слишком
эффективен, то компьютеры могут подолгу «ждать своей очереди»
на передачу.
Механизм управления обменом может гарантированно успеш-
но работать только в том случае, когда заранее известно, сколько
компьютеров (или, как еще говорят, абонентов, узлов) допустимо
подключить к сети. Иначе всегда можно включить столько абонен-
тов, что вследствие перегрузки замедлится любой механизм управ-
ления. Наконец, сетью можно назвать только такую систему пере-
дачи данных, которая позволяет объединять до нескольких десятков
компьютеров, но никак не два, как в случае связи через стандартные
порты.
Таким образом, сформулировать отличительные признаки ло-
кальной сети можно следующим образом:
− высокая скорость передачи информации, большая пропуск-
ная способность сети;
− низкий уровень ошибок передачи или информационных ошибок
(обеспечивается, прежде всего, высококачественными каналами связи).
2 П. П. Урбанович, Д. М. Романенко
Считается, что допустимая вероятность ошибок передачи данных не

должна превышать 10–6 (практика показывает, что обычно уровень
ошибок выше; каналы связи, особенно проводные каналы большой
протяженности и радиоканалы, обеспечивают вероятность ошибки
на уровне 10–3−10–4);
− эффективный, быстродействующий механизм управления об-
меном по сети;
− заранее четко ограниченное количество компьютеров, подклю-
чаемых к сети.
При таком определении очевидно отличие глобальных сетей от
локальных, которое состоит в том, что они рассчитаны на неогра-
ниченное число абонентов. Кроме того, они используют (или могут
использовать) не слишком качественные каналы связи и сравнитель-
но низкую скорость передачи. А механизм управления обменом в них
не может быть гарантированно быстрым. В глобальных сетях гораздо
важнее не качество связи, а сам факт ее существования.
Нередко выделяют еще один класс компьютерных сетей – го-
родские, региональные или муниципальные сети (MAN, Metro-
politan Area Network), которые обычно по своим характеристикам
ближе к глобальным сетям, хотя иногда все-таки имеют некоторые
черты локальных сетей, например высококачественные каналы связи
и сравнительно высокие скорости передачи. В принципе городская
сеть может быть локальной со всеми ее преимуществами.
Сейчас нельзя провести четкую границу между локальными и
глобальными сетями. Большинство локальных сетей имеет выход в
глобальную. Но характер передаваемой информации, принципы ор-
ганизации обмена, режимы доступа к ресурсам внутри локальной
сети, как правило, сильно отличаются от тех, что приняты в глобаль-
ной сети.
По локальной сети может передаваться самая разная цифровая
информация: данные, изображения, телефонные разговоры, элек-
тронные письма и т. д. Кстати, именно задача передачи изображе-
ний, особенно полноцветных динамических, предъявляет самые вы-
сокие требования к быстродействию сети.
Чаще всего локальные сети используются для разделения (сов-
местного использования) таких ресурсов, как дисковое пространство,
принтеры и выход в глобальную сеть, но это всего лишь незначи-
тельная часть тех возможностей, которые предоставляют средства
локальных сетей.
1.4. Вычислительные сети – частный случай распределенных систем 35
1.4. Вычислительные сети – частный случай

распределенных систем
Компьютерные сети относятся к распределенным (или децен-

трализованным) вычислительным системам. Поскольку основным
признаком распределенной вычислительной системы является на-
личие нескольких центров обработки данных, то наряду с компью-
терными сетями к распределенным системам относят также мульти-
процессорные компьютеры.
В мультипроцессорных компьютерах имеется несколько про-
цессоров, каждый из которых может относительно независимо от
остальных выполнять свою программу.
В мультипроцессоре существует общая для всех процессоров
операционная система, которая оперативно распределяет вычисли-
тельную нагрузку между процессорами. Взаимодействие между от-
дельными процессорами организуется наиболее простым способом –
через общую оперативную память.
Сам по себе процессорный блок не является законченным ком-
пьютером и поэтому не может выполнять программы без остальных
блоков мультипроцессорного компьютера – памяти и периферийных
устройств. Все периферийные устройства являются для всех про-
цессоров мультипроцессорной системы общими. Территориальную
распределенность мультипроцессор не поддерживает – все его блоки
располагаются в одном или нескольких близко расположенных кон-
структивах, как и у обычного компьютера. Основное достоинство
мультипроцессора – его высокая производительность, которая до-
стигается за счет параллельной работы нескольких процессоров.
Еще одним важным свойством мультипроцессорных систем явля-
ется отказоустойчивость, т. е. способность к продолжению работы
при отказах некоторых элементов (процессоров или блоков памяти).
Многомашинная система – это вычислительный комплекс, вклю-
чающий в себя несколько компьютеров (каждый из которых рабо-
тает под управлением собственной операционной системы), а также
программные и аппаратные средства связи компьютеров, которые обес-
печивают работу всех компьютеров комплекса как единого целого.
Работа любой многомашинной системы определяется двумя глав-
ными компонентами: высокоскоростным механизмом связи процессо-
ров и системным программным обеспечением, которое предоставляет
пользователям и приложениям прозрачный доступ к ресурсам всех

компьютеров, входящих в комплекс. В состав средств связи входят
программные модули, занимающиеся распределением вычислительной
нагрузки, синхронизацией вычислений и реконфигурацией системы.
Если происходит отказ одного из компьютеров комплекса, его задачи
могут быть автоматически переназначены и выполнены на другом ком-
пьютере. Если в состав многомашинной системы входят несколько
контроллеров внешних устройств, то в случае отказа одного из них
другие контроллеры автоматически подхватывают его работу. Таким
образом достигается высокая отказоустойчивость комплекса в целом.
Многомашинные системы позволяют достичь высокой произ-

водительности за счет организации параллельных вычислений.
По сравнению с мультипроцессорными системами возможности

параллельной обработки в многомашинных системах ограничены:
эффективность распараллеливания резко снижается, если параллель-
но выполняемые задачи тесно связаны между собой по данным.
В вычислительных сетях программные и аппаратные связи яв-
ляются более слабыми, а автономность обрабатывающих блоков про-
является в наибольшей степени – основные элементы сети (стан-
дартные компьютеры) не имеют ни общих блоков памяти, ни общих
периферийных устройств. Связь между компьютерами осуществля-
ется с помощью специальных периферийных устройств – сетевых
адаптеров, соединенных относительно протяженными каналами связи.
Каждый компьютер работает под управлением собственной опе-
рационной системы, а какая-либо «общая» операционная система,
распределяющая работу между компьютерами сети, отсутствует.
Взаимодействие между компьютерами сети происходит за счет пере-
дачи сообщений через сетевые адаптеры и каналы связи. С помощью
этих сообщений один компьютер обычно запрашивает доступ к ло-
кальным ресурсам другого компьютера. Такими ресурсами могут
быть как данные, хранящиеся на диске, так и разнообразные пери-
ферийные устройства – принтеры, модемы, факс-аппараты и т. д.
Разделение локальных ресурсов каждого компьютера между всеми
пользователями сети – основная цель создания вычислительной сети.
На тех компьютерах, ресурсы которых должны быть доступны
всем пользователям сети, необходимо добавить модули (приложения),
1.4. Вычислительные сети – частный случай распределенных систем 37
которые постоянно будут находиться в режиме ожидания запросов,

поступающих по сети от других компьютеров.
Обычно такие модули называются серверными приложениями
или программными серверами (Server), так как их главная задача –
обслуживать запросы на доступ к ресурсам своего компьютера.
На компьютерах, пользователи которых хотят получать доступ
к ресурсам других компьютеров, также нужно добавить к операци-
онной системе некоторые специальные программные модули, кото-
рые должны вырабатывать запросы на доступ к удаленным ресурсам
и передавать их по сети на нужный компьютер.
Такие модули обычно называют клиентскими приложениями
или программными клиентами (Client).
Сетевые адаптеры и каналы связи решают в сети достаточно
простую задачу – они передают сообщения с запросами и ответами
от одного компьютера к другому, а основную работу по организации
совместного использования ресурсов выполняют клиентские и сер-
верные части операционных систем.
Пара модулей клиент-сервер обеспечивает совместный доступ
пользователей к определенному типу ресурсов, например к файлам.
В этом случае говорят, что пользователь имеет дело с файловой служ-
бой (Service). Обычно сетевая операционная система поддерживает
несколько видов сетевых служб для своих пользователей – файловую
службу, службу печати, службу электронной почты, службу удален-
ного доступа и т. п.
Термины «клиент» и «сервер» используются для обозначения не
только программных модулей, но и компьютеров, подключенных к
сети. Если компьютер предоставляет свои ресурсы другим компью-
терам сети, то он называется сервером, а если он их потребляет –
клиентом (более подробно это описано в п. 2.1.3). Иногда (в распре-
деленных системах) один и тот же компьютер может одновременно
выполнять роль и сервера, и клиента.
Сетевые службы всегда представляют собой распределенные
программы.
Распределенная программа – это программа, которая состоит
из нескольких взаимодействующих частей, причем каждая часть, как
правило, выполняется на отдельном компьютере сети.
В сети могут выполняться и распределенные пользовательские
программы – приложения. Распределенное приложение также со-
стоит из нескольких частей, каждая из которых выполняет какую-то
определенную законченную работу по решению прикладной задачи.

Например, одна часть приложения, выполняющаяся на компьютере
пользователя, может поддерживать специализированный графиче-
ский интерфейс, вторая – работать на мощном выделенном компь-
ютере и заниматься статистической обработкой введенных пользо-
вателем данных, а третья – заносить полученные результаты в базу
данных на компьютере с установленной стандартной СУБД (систе-
мой управления базами данных). Распределенные приложения в пол-
ной мере используют потенциальные возможности распределенной
обработки, предоставляемые вычислительной сетью, и поэтому ча-
сто называются сетевыми приложениями.
1.5. Основные программные

и аппаратные компоненты сети
Вычислительная сеть – это сложный комплекс взаимосвязан-

ных и согласованно функционирующих программных и аппаратных
компонентов.
Изучение сети в целом предполагает знание принципов работы
ее отдельных элементов:
− компьютеров;
− коммуникационного оборудования;
− операционных систем;
− сетевых приложений.
Весь комплекс программно-аппаратных средств сети может быть
описан многослойной моделью. В основе любой сети лежит аппарат-
ный слой стандартизованных компьютерных платформ.
В настоящее время в сетях широко и успешно применяются ком-
пьютеры различных классов – от персональных до мейнфреймов и
суперЭВМ. Набор компьютеров в сети должен соответствовать на-
бору разнообразных задач, решаемых сетью.
Второй слой – это коммуникационное оборудование. Хотя ком-
пьютеры и являются центральными элементами обработки данных
в сетях, в последнее время не менее важную роль стали играть ком-
муникационные устройства. Кабельные системы, повторители, мо-
сты, коммутаторы, маршрутизаторы и модульные концентраторы из
1.6. Преимущества и проблемы использования сетей 39
вспомогательных компонентов сети превратились в основные наря-

ду с компьютерами и системным программным обеспечением как
по влиянию на характеристики сети, так и по стоимости. Сегодня
коммуникационное устройство может представлять собой сложный
специализированный мультипроцессор, который нужно конфигури-
ровать, оптимизировать и администрировать. Изучение принципов
работы коммуникационного оборудования требует знакомства с боль-
шим количеством протоколов, используемых как в локальных, так и
глобальных сетях.
Третьим слоем, образующим программную платформу сети, яв-
ляются операционные системы (ОС). От того, какие концепции управ-
ления локальными и распределенными ресурсами положены в основу
сетевой ОС, зависит эффективность работы всей сети. При проек-
тировании сети важно учитывать, насколько просто данная опе-
рационная система может взаимодействовать с другими ОС сети,
насколько она обеспечивает безопасность и защищенность данных,
до какой степени она позволяет наращивать число пользователей,
можно ли перенести ее на компьютер другого типа и многие другие
соображения.
Самым верхним слоем сетевых средств являются различные сете-
вые приложения, такие как сетевые базы данных, почтовые системы,
средства архивирования данных, системы автоматизации коллектив-
ной работы и др. Очень важно представлять диапазон возможностей
приложений для различных областей применения, а также знать, на-
сколько они совместимы с другими сетевыми приложениями и опе-
рационными системами.
1.6. Преимущества и проблемы

использования сетей
Основные преимущества сетей вытекают из их принадлежности

к распределенным системам.
Концептуальным преимуществом распределенных систем (а зна-
чит, и сетей) перед централизованными системами является их спо-
собность выполнять параллельные вычисления. За счет этого в си-
стеме с несколькими обрабатывающими узлами в принципе может
быть достигнута производительность, превышающая максимально

возможную на данный момент производительность любого отдель-
ного, сколь угодно мощного процессора. Распределенные системы
потенциально имеют лучшее соотношение производительность –
стоимость, чем централизованные системы.
Еще одно очевидное и важное достоинство распределенных си-
стем – это их принципиально более высокая отказоустойчивость
или надежность. Основой повышенной надежности распределенных
систем является избыточность.
Различают информационную (на основе помехоустойчивого

кодирования данных), временную ́ и аппаратную (структур-
ную) избыточность. Избыточность обрабатывающих узлов
(процессоров в многопроцессорных системах или компьюте-
ров в сетях) позволяет при отказе одного узла переназначать
приписанные ему задачи на другие узлы.
С этой целью в распределенной системе могут быть предусмот-

рены процедуры динамической или статической реконфигурации.
В вычислительных сетях некоторые наборы данных могут дубли-
роваться на внешних запоминающих устройствах нескольких ком-
пьютеров сети, так что при отказе одного их них данные остаются
доступными.
Для пользователя, кроме вышеназванных, распределенные систе-
мы дают еще и такие преимущества, как возможность совместного
использования данных и устройств, а также возможность гибкого
распределения работ по всей системе. Такое разделение дорогостоя-
щих периферийных устройств, таких как дисковые массивы большой
емкости, цветные принтеры, графопостроители, модемы, оптические
диски, во многих случаях является основной причиной развертыва-
ния сети на предприятии.
В последнее время стал преобладать другой побудительный
мотив развертывания сетей, гораздо более важный в современных
условиях, чем экономия средств за счет разделения между сотруд-
никами корпорации дорогой аппаратуры или программ. Этим моти-
вом стало стремление обеспечить сотрудникам оперативный доступ
к обширной корпоративной информации. В условиях жесткой кон-
курентной борьбы в любом секторе рынка выигрывает в конечном
1.6. Преимущества и проблемы использования сетей 41
счете та компания, сотрудники которой могут быстро и правильно от-

ветить на любой вопрос клиента: о возможностях их продукции, об ус-
ловиях ее применения, о решении любых возможных проблем и т. п.
Имеющиеся сейчас технологии поддерживают достаточно про-
стой способ представления текстовой и графической информации
в виде гипертекстовых страниц, что позволяет быстро поместить
самую свежую информацию на WWW-серверы корпорации. Кроме
того, она унифицирует просмотр информации с помощью стандарт-
ных программ – web-браузеров, работа с которыми несложна даже
для неспециалиста.
Корпоративная сеть, которая интегрирует данные и мультиме-
дийную информацию, может использоваться для организации аудио-
и видеоконференций. Кроме того, на ее основе может быть создана
собственная внутренняя телефонная сеть.
Корпоративная сеть (Corporate Network) – коммуникаци-

онная система, принадлежащая и/или управляемая единой
организацией в соответствии с правилами этой организации.
Корпоративная сеть отличается от сети, например, интернет-
провайдера тем, что правила распределения IP-адресов, ра-
боты с интернет-ресурсами и т. д. едины для всей корпора-
тивной сети, в то время как провайдер контролирует только
ее магистральный сегмент, позволяя своим клиентам само-
стоятельно управлять сегментами, которые могут являться
как частью адресного пространства провайдера, так и быть
скрытым механизмом сетевой трансляции адресов за одним
или несколькими адресами провайдера. Корпоративную сеть,
основанную на компьютерных технологиях, называют Ин-
транетом.
Конечно, вычислительные сети имеют (а может быть, создают!)

и свои проблемы. Эти проблемы в основном связаны с организацией
эффективного взаимодействия отдельных частей распределенной
системы.
Во-первых, это сложности, связанные с программным обеспе-
чением – операционными системами и приложениями. Програм-
мирование для распределенных систем принципиально отличается
от программирования для централизованных систем. Так, сетевая
операционная система, выполняя в общем случае все функции по

управлению локальными ресурсами компьютера, сверх того решает
многочисленные задачи по предоставлению сетевых служб. Разра-
ботка сетевых приложений осложняется из-за необходимости орга-
низовать совместную работу их частей, выполняющихся на разных
машинах.
Во-вторых, много проблем связано с транспортировкой сообще-
ний по каналам связи между компьютерами. Основные задачи здесь –
обеспечение надежности (чтобы передаваемые данные не терялись
и не искажались) и производительности (чтобы обмен данными про-
исходил с приемлемыми задержками). В структуре общих затрат на
вычислительную сеть расходы на решение транспортных вопросов
составляют существенную часть, в то время как в централизованных
системах эти проблемы полностью отсутствуют.
В-третьих, это вопросы, которые связаны с обеспечением без-
опасности.
Глoбaлизaция и виpтyaлизaция пpивeли к пoявлeнию yгpoз
и вызывов, кoтopыe пpинято связывать с киберпространством и
кибербезопасностью. Об этой проблеме можно получить достаточ-
но полную информацию из книги известного специалиста по ком-
пьютерной безопасности Кевина Митника «Искусство быть неви-
димым».
На рис. 1.5 показана взаимосвязь понятий из анализируемой
предметной области.
Кибер- Безопасность
преступность Информационная безопасность работы в кибер-
пространстве
Безопасность приложений
Кибер-
безопасность
Безопасность Безопасность
сетей работы в сети
Интернет
Защита информации в ключевых системах
информационной структуры
Рис. 1.5. Взаимосвязь понятий из области кибербезопасности

Выводы 43
Выводы
1. Компьютерная сеть – это совокупность компьютеров, соеди-

ненных линиями связи. Линии связи образованы кабелями (или по-
строены на основе беспроводных технологий), сетевыми адаптерами
и другими коммуникационными устройствами. Все сетевое обору-
дование работает под управлением системного и прикладного ПО.
2. Основная задача сети – обеспечить пользователям потенци-
альную возможность совместного использования ресурсов всех ком-
пьютеров.
3. Вычислительная сеть – это одна из разновидностей распре-
деленных систем, достоинством которых является возможность рас-
параллеливания вычислений, за счет чего может быть достигнуто
повышение производительности и отказоустойчивости системы.
4. Компьютерные сети и сетевые технологии стали определяю-
щим фактором и важнейшим инструментом инноваций практически
во всех областях человеческой деятельности.
5. Важнейший этап в развитии сетей – появление стандартных
сетевых технологий типа Ethernet, позволяющих быстро и эффек-
тивно объединять компьютеры различных типов.
6. Отмечают 5 ключевых технологий, преобразующих сети:
− виртуализация сетевых функций (Network Functions Virtualiza-
tion, NFV);
− качество взаимодействия (восприятия) (Quality of Experien-
ce, QoE).
7. Использование сетей дает следующие возможности:
− разделение дорогостоящих ресурсов;
− совершенствование коммуникаций;
− улучшение доступа к информации;
− быстрое и качественное принятие решений;
− свобода в территориальном размещении компьютеров.
8. К важнейшим техническим характеристикам сетей и сетевого
оборудования относятся производительность, защищенность от не-
санкционированного доступа или безопасность и надежность.
9. Безопасность любого ресурса информационной системы скла-

дывается из обеспечения трех его характеристик: конфиденциально-
сти, целостности, доступности.
Контрольные вопросы
1. Дайте определение сети.

2. Чем отличается коммуникационная сеть от информационной?
3. Как разделяются сети по территориальному признаку?
4. Что такое информационная система?
5. Что такое каналы связи?
6. Дайте определение физического канала связи.
7. Дайте определение логического канала связи.
8. Как называется совокупность правил обмена информацией
между двумя или несколькими устройствами?
9. Что такое метод доступа?
10. Что такое совокупность правил, устанавливающих процедуры
и формат обмена информацией?
11. Чем отличается рабочая станция в сети от обычного персо-
нального компьютера?
12. Как называется описание физических соединений в сети?
13. Что такое архитектура сети?
14. Как называется способ определения, какая из рабочих стан-
ций будет следующей использовать канал связи?
15. Перечислите преимущества использования сетей.
16. Чем отличается одноранговая архитектура от клиент-сервер-
ной архитектуры?
17. Каковы преимущества крупномасштабной сети с выделен-
ным сервером?
18. Какие сервисы предоставляет клиент-серверная архитектура?
19. Как называются рабочие станции, использующие ресурсы сервера?
20. Что такое сервер?
21. Опишите особенности современных сетевых технологий.
22. Дайте определение основных понятий, относящихся к надеж-
ности и безопасности компьютерных сетей.
23. Как следует понимать термины «информационная избыточ-
ность», «временная ́ избыточность», «структурная избыточность»?
2
ОСНОВНЫЕ ПРИНЦИПЫ
ПОСТРОЕНИЯ СЕТЕЙ
2.1. Архитектура сетей
Архитектура сети определяет основные элементы сети, харак-

теризует ее общую логическую организацию, техническое и програм-
мное обеспечение, описывает методы кодирования.
Архитектура также определяет принципы функционирования и
интерфейс пользователя.
В данном пособии будут рассмотрены три вида архитектур:
− архитектура терминал – главный компьютер;
− одноранговая архитектура;
− архитектура клиент-сервер.
2.1.1. Архитектура «терминал – главный компьютер»
Архитектура «терминал – главный компьютер» (Terminal –

Host Computer Architecture) – это концепция информационной сети,
в которой вся обработка данных осуществляется одним или группой
главных компьютеров (рис. 2.1).
Рассматриваемая архитектура предполагает два типа оборудования:
− главный компьютер, где осуществляется управление сетью,
хранение и обработка данных;
− терминалы, предназначенные для передачи главному компью-
теру команд на организацию сеансов и выполнение заданий, ввода
данных и получения результатов.
Главный компьютер взаимодействует с терминалами через муль-
типлексоры передачи данных (МПД), как представлено на рис. 2.1.
Классический пример архитектуры сети с главными компьютерами –
системная сетевая архитектура (System Network Architecture, SNA).
46 2. ОСНОВНЫЕ ПРИНЦИПЫ ПОСТРОЕНИЯ СЕТЕЙ
Главный
компьютер
МПД МПД
Терминал Терминал Терминал Терминал

Рис. 2.1. Архитектура «терминал – главный компьютер»
По сути, данная архитектура предлагает максимально закрытую

концепцию информационной сети, что и находит применение, на-
пример, в банковских системах.
2.1.2. Одноранговая архитектура
Одноранговая архитектура (Peer-to-Peer Architecture) – это кон-

цепция информационной сети, в которой ее ресурсы рассредоточе-
ны по всем взаимодействующим между собой системам (рис. 2.2).
Данная архитектура характеризуется тем, что в ней все системы рав-
ноправны.
К одноранговым сетям относятся малые сети, где любая ра-

бочая станция может выполнять одновременно функции фай-
лового сервера и рабочей станции. В одноранговых ЛВС дис-
ковое пространство и файлы на любом компьютере могут быть
общими.
Чтобы ресурс стал общим, его необходимо отдать в общее поль-

зование, используя службы удаленного доступа сетевых одноран-
говых операционных систем.
В зависимости от того, как будет установлена защита данных,
другие пользователи смогут пользоваться файлами сразу же после
2.1. Архитектура сетей 47
их создания. Одноранговые ЛВС достаточно хороши только для

небольших рабочих групп, где не требуется централизованное уп-
равление.
Информационная
система B
Информационная
система A Информационная
система C
Коммуникационная сеть
система D система E
Рис. 2.2. Одноранговая архитектура
Одноранговые ЛВС являются наиболее легким и дешевым ти-

пом сетей для установки. Они требуют на компьютере, кроме сете-
вой карты и сетевого носителя, наличие пользовательской операци-
онной системы. При соединении компьютеров пользователи могут
предоставлять ресурсы и информацию в совместное пользование.
Одноранговые сети имеют следующие особенности:
− они легки в установке и настройке;
− отдельные ПК не зависят от выделенного сервера;
− пользователи в состоянии контролировать свои ресурсы;
− малая стоимость и легкая эксплуатация;
− минимум оборудования и программного обеспечения;
− нет необходимости в администраторе;
− хорошо подходят для сетей с небольшим числом пользовате-
лей ввиду неприменения средств централизованного управления.
Проблемой одноранговой архитектуры является ситуация, когда
компьютеры отключаются от сети. При этом из сети исчезают виды
сервиса, которые они предоставляли. Сетевую безопасность одновре-
менно можно применить только к одному ресурсу, и пользователь
должен помнить столько паролей, сколько сетевых ресурсов. При по-
лучении доступа к разделяемому ресурсу ощущается падение произ-
водительности компьютера. Существенным недостатком одноранго-
вых сетей является отсутствие централизованного администрирования.
Использование одноранговой архитектуры не исключает при-

менения в той же сети архитектуры «терминал – главный компьютер»
или архитектуры «клиент-сервер».
2.1.3. Архитектура «клиент-сервер»
Архитектура «клиент-сервер» (Client-Server Architecture) – это

концепция информационной сети, в которой основная часть ее ре-
сурсов сосредоточена в серверах, обслуживающих своих клиентов
(рис. 2.3). Рассматриваемая архитектура определяет два типа ком-
понентов: серверы и клиенты.
Сервер – это объект, предоставляющий сервис другим объектам
сети по их запросам.
Сервис – это процесс обслуживания клиентов.
Сервер работает по заданиям клиентов и управляет выполнением
их заданий. После выполнения каждого задания сервер отправляет
полученные результаты клиенту, пославшему это задание.
Сервисная функция в архитектуре «клиент-сервер» описыва-
ется комплексом прикладных программ, в соответствии с которым
выполняются разнообразные прикладные процессы.
Сервер
Коммуникационная сеть
Рабочая станция Рабочая станция

(клиент) (клиент)
Рис. 2.3. Архитектура «клиент-сервер»
Процесс, который вызывает сервисную функцию с помощью оп-

ределенных операций, называется клиентом. Им может быть про-
грамма или пользователь.
На рис. 2.4 приведен перечень сервисов в архитектуре «клиент-

сервер».
Прикладной
Прикладной Сервис
Сервис
сервис
сервис печати
печати
Сервис
Сервис Сетевой
Сетевой
файлов
файлов сервис
сервис
Сервис
Сервис Сервис
Сервис
дисков
дисков безопасности
безопасности
Сервер
Сервер
Клиенты
Клиенты
Рис. 2.4. Модель «клиент-сервер»
Клиенты – это рабочие станции, которые используют ресурсы

сервера и предоставляют удобные интерфейсы пользователя.
Интерфейсы пользователя – это процедуры взаимодействия
пользователя с системой или сетью.
Клиент является инициатором и использует электронную по-
чту или другие сервисы сервера. В этом процессе клиент запраши-
вает вид обслуживания, устанавливает сеанс, получает нужные ему
результаты и сообщает об окончании работы.
В сетях с выделенным файловым сервером на выделен-

ном автономном персональном компьютере (ПК) устанав-
ливается серверная сетевая операционная система. Этот ПК
становится сервером. Программное обеспечение (ПО), уста-
новленное на рабочей станции, позволяет ей обмениваться
данными с сервером.
Наиболее распространенные сетевые операционные системы:

− NetWare фирмы Novel;
− Windows фирмы Microsoft;
− UNIX фирмы AT&T;
− Linux.
Помимо сетевой операционной системы необходимы сетевые
прикладные программы, реализующие преимущества, предоставля-
емые сетью.
Сети на базе серверов имеют лучшие характеристики и повы-
шенную надежность. Сервер владеет главными ресурсами сети, к ко-
торым обращаются остальные рабочие станции.
В современной клиент-серверной архитектуре выделяется че-
тыре группы объектов: клиенты, серверы, данные и сетевые службы.
Клиенты располагаются в системах на рабочих местах пользовате-
лей. Данные в основном хранятся на серверах. Сетевые службы явля-
ются совместно используемыми серверами и данными. Кроме того,
службы управляют процедурами обработки данных.
Преимущества сети на основе клиент-серверной архитектуры:
− позволяют организовывать сети с большим количеством ра-
бочих станций;
− обеспечивают централизованное управление учетными запи-
сями пользователей, безопасностью и доступом, что упрощает сете-
вое администрирование;
− предоставляют эффективный доступ к сетевым ресурсам;
− пользователю нужен один пароль для входа в сеть и получения
доступа ко всем ресурсам, на которые распространяются его права.
Наряду с преимуществами сети на основе клиент-серверной ар-
хитектуры имеют и ряд недостатков:
− неисправность сервера может сделать сеть неработоспособ-
ной либо как минимум приведет к потере сетевых ресурсов;
− требуют квалифицированного персонала для администриро-
вания;
− имеют более высокую стоимость сетей и сетевого оборудования.
2.1.4. Выбор архитектуры сети
Выбор архитектуры сети зависит от назначения сети, количества

рабочих станций и от выполняемых на ней действий.
Следует выбирать одноранговую сеть, если:

− имеют место небольшие финансовые возможности;
− нет необходимости в специализированном сервере, таком как
сервер БД, факс-сервер или какой-либо другой;
− нет возможности или необходимости в централизованном ад-
министрировании (последнее чаще всего применимо для малого ко-
личества пользователей сети).
Следует выбирать клиент-серверную сеть, если:
− количество пользователей достаточно большое, что, как пра-
вило, влечет за собой необходимость централизованного управле-
ния сетью;
− требуется повышенный уровень надежности и безопасности,
управление ресурсами или резервное копирование;
− необходим специализированный сервер;
− требуется разделять ресурсы на уровне пользователей.
Выводы
1. Существует три основные архитектуры сети: терминал – глав-

ный компьютер, одноранговая и клиент-серверная.
2. В настоящее время наибольшее распространение получили
одноранговая и клиент-серверная архитектуры.
3. Под одноранговой архитектурой подразумевается концепция
информационной сети, в которой ее ресурсы рассредоточены по всем
взаимодействующим между собой системам. Данная архитектура ха-
рактеризуется тем, что в ней все системы равноправны.
4. Под клиент-серверной архитектурой подразумевается концеп-
ция информационной сети, в которой основная часть ее ресурсов
сосредоточена в серверах, обслуживающих своих клиентов. В клиент-
серверной архитектуре выделяется четыре группы объектов: клиен-
ты, серверы, данные и сетевые службы. Клиенты располагаются в
системах на рабочих местах пользователей. Данные в основном хра-
нятся в серверах. Сетевые службы являются совместно используе-
мыми серверами и данными. Кроме того, службы управляют про-
цедурами обработки данных.
5. Выбор архитектуры сети осуществляется в зависимости от на-
значения сети, количества узлов и выполняемых на ней действий.
2.2. Топологии компьютерной сети
2.2.1. Виды топологий
Понятие топологии широко используется при создании сетей.

Одним из подходов в классификации топологий ЛВС является вы-
деление двух основных классов: широковещательные и последова-
тельные топологии.
В широковещательных топологиях ПК передает сигналы, ко-
торые могут быть восприняты остальными ПК. К таким топологиям
относятся общая шина, дерево, звезда и др.
В последовательных топологиях информация передается только
одному ПК. Примерами таких топологий являются: произвольная
(произвольное соединение ПК), кольцо, цепочка.
При выборе топологии преследуются три основные цели:
− обеспечение альтернативной маршрутизации и максималь-
ной надежности передачи данных;
− выбор оптимального маршрута передачи блоков данных;
− предоставление приемлемого времени ответа и нужной про-
пускной способности.
При выборе конкретного типа сети важно учитывать ее топо-
логию. Основными сетевыми топологиями являются: шинная (ли-
нейная) топология, звездообразная, кольцевая и древовидная.
Например, в конфигурации сети ARCNet используется одно-
временно и линейная, и звездообразная топология. Сети Token Ring
физически выглядят как звезда, но логически их пакеты передаются
по кольцу. Передача данных в сети Ethernet происходит по линейной
шине, так что все станции видят сигнал одновременно.
Также возможны комбинации нескольких различных сетевых
топологий.
Существуют пять основных топологий компьютерных сетей:

− общая шина (Bus);
− кольцо (Ring);
− звезда (Star);
− древовидная (Tree);
− ячеистая (Mesh).
2.2. Топологии компьютерной сети 53
2.2.2. Топология «общая шина»
Общая шина – это тип сетевой топологии, в которой рабочие

станции расположены вдоль одного участка кабеля, называемого
сегментом (рис. 2.5).
Рис. 2.5. Топология «общая шина»
Топология «общая шина» предполагает использование одного

кабеля, к которому подключаются все компьютеры сети. При этом
кабель используется всеми станциями по очереди. Для уменьшения
зашумленности среды отраженными сигналами, мешающими пере-
даче данных, используют так называемые терминаторы – специаль-
ные резисторы на концах кабеля, предотвращающие появление «от-
раженной волны».
Все сообщения, посылаемые отдельными компьютерами, при-
нимаются и прослушиваются всеми остальными компьютерами, под-
ключенными к сети. Рабочая станция отбирает адресованные ей со-
общения, пользуясь адресной информацией. Надежность здесь выше,
так как выход из строя отдельных компьютеров не нарушит работо-
способность сети в целом. Поиск неисправности в сети затруднен.
Кроме того, так как используется только один кабель, в случае об-
рыва нарушается работа всей сети. Шинная топология – это наибо-
лее простая топология сети.
Примерами использования топологии «общая шина» являются
сети 10Base-5 (соединение ПК толстым коаксиальным кабелем) и
10Base-2 (соединение ПК тонким коаксиальным кабелем).
2.2.3. Кольцевая топология
Кольцо – это топология ЛВС, в которой каждая рабочая стан-

ция соединена с двумя другими рабочими станциями, образуя коль-
цо (рис. 2.6). Данные передаются от одной рабочей станции к другой
в одном направлении (по кольцу).
Рис. 2.6. Топология «кольцо»
Каждая рабочая станция выполняет роль повторителя, ретран-

слируя сообщения к следующей рабочей станции, т. е. данные пе-
редаются от одного компьютера к другому по очереди. Если ком-
пьютер получает данные, предназначенные для другого компьютера,
он передает их дальше по кольцу, в ином случае они дальше не пе-
редаются.
Основная проблема при кольцевой топологии заключается в том,
что каждая рабочая станция должна активно участвовать в пересыл-
ке информации, и в случае выхода из строя хотя бы одной из них,
вся сеть парализуется. Подключение новой рабочей станции тре-
бует краткосрочного выключения сети, так как во время установ-
ки кольцо должно быть разомкнуто. Топология «кольцо» имеет хо-
рошо предсказуемое время отклика, определяемое числом рабочих
станций.
Чистая кольцевая топология используется редко. Вместо этого
кольцевая топология играет транспортную роль в схеме метода до-
ступа. Кольцо описывает логический маршрут, а пакет передается
от одной станции к другой, совершая в итоге полный круг.
В сетях Token Ring кабельная ветвь из центрального концентра-
тора называется MAU (Multiple Access Unit – устройство с множе-
ственным доступом). MAU имеет внутреннее кольцо, соединяющее
все подключенные к нему станции, и используется как альтернатив-
ный путь, когда оборван или отсоединен кабель одной рабочей стан-
ции. Когда кабель рабочей станции подсоединен к MAU, он просто
образует расширение кольца: сигналы поступают к рабочей станции,
а затем возвращаются обратно во внутреннее кольцо.
Также стоит упомянуть в качестве отдельной топологию «це-
почка», представляющую «разомкнутое кольцо» (рис. 2.7).
Рис. 2.7. Топология «цепочка»
В данной топологии сохраняются все особенности и правила

топологии «кольцо».
2.2.4. Топология «звезда»
Звезда – это топология ЛВС (рис. 2.8), в которой все рабочие

станции присоединены к центральному узлу (например, к концен-
тратору), который устанавливает, поддерживает и разрывает связи
между рабочими станциями.
Центральное
устройство
Рис. 2.8. Топология «звезда»
Преимуществом такой топологии является возможность про-

стого исключения неисправного узла. Однако если неисправен цен-
тральный узел, вся сеть выходит из строя. В этом случае каждый
компьютер через специальный сетевой адаптер подключается от-
дельным кабелем к объединяющему устройству.
При необходимости можно объединять вместе несколько сетей
с топологией «звезда», при этом получаются разветвленные конфи-
гурации сети. В каждой точке ветвления необходимо использовать
специальные соединители (распределители, повторители или устрой-
ства доступа).
В звездообразных топологиях наибольшее применение нашел

кабель витая пара (Twisted Pair, в соответствии со стандартами пе-
редачи 10BASE-T, 100BASE-T и т. д.). Центром звезды обычно яв-
ляется Hub (хаб, концентратор) либо Switch (коммутатор).
Если в качестве центрального устройства в топологии «звезда»
выступает коммутатор или компьютер, то ее называют активной
звездой, если же используется устройство типа концентратор, то пас-
сивной звездой.
Звездообразная топология обеспечивает защиту от разрыва ка-
беля. Если кабель рабочей станции будет поврежден, это не приве-
дет к выходу из строя всего сегмента сети. Она позволяет также легко
диагностировать проблемы подключения, так как каждая рабочая
станция имеет свой собственный кабельный сегмент, подключенный
к концентратору. Для диагностики достаточно найти разрыв кабеля,
который ведет к неработающей станции. Остальная часть сети про-
должает нормально работать.
Однако звездообразная топология имеет и недостатки. Во-пер-
вых, она требует для организации сети большого количества кабеля.
Во-вторых, концентраторы довольно дороги. В-третьих, кабельные
концентраторы при большом количестве кабеля трудно обслуживать.
Но в большинстве случаев в такой топологии используется недоро-
гой кабель «витая пара». В некоторых случаях можно даже использо-
вать существующие телефонные кабели. Кроме того, для диагностики
и тестирования выгодно собирать все кабельные концы в одном месте.
Еще одним недостатком можно назвать ограниченность расши-
рения сети на основе топологии «звезда», так как и концентраторы,
и коммутаторы в определенной степени ограничены по числу пор-
тов. Возможно последовательное соединение нескольких «звезд» че-
рез центральные устройства, но при большом числе соединенных
«звезд» могут возникнуть сложности с передачей между удаленны-
ми узлами.
2.2.5. Другие типы топологии
Кроме трех рассмотренных базовых топологий нередко приме-

няется также сетевая топология дерево (Tree), которую можно рас-
сматривать как комбинацию нескольких «звезд». Причем как и в слу-
чае «звезды», «дерево» может быть активным или истинным (рис. 2.9).
Рис. 2.9. Топология «активное дерево»
Также «дерево» может быть пассивным (рис. 2.10).

При активном дереве в центрах объединения нескольких линий
связи находятся центральные компьютеры, а при пассивном – кон-
центраторы (хабы).
К
Рис. 2.10. Топология «пассивное дерево» (К – концентратор)
Однако в отличие от варианта сетевой топологии с последова-

тельным объединением нескольких «звезд», все древовидные топо-
логии предполагают иерархическую структуру со строго выделен-
ной вершиной «дерева». При этом надо отметить, что использовать
древовидную топологию, как активную, так и пассивную, целесооб-
разно при большом числе узлов (при малом числе узлов эффективна
будет и топология «звезда»). Так, например, активное и пассивное
дерево в таком случае может выглядеть, как показано на рис. 2.11 и
2.12 соответственно.
Рис. 2.11. Топология «активное дерево» с большим числом узлов

К К
К К
Рис. 2.12. Топология «пассивное дерево»

с большим числом узлов
Также отметим, что на практике концентратор не может эффек-

тивно исполнять роль вершины дерева в пассивном варианте топо-
логии, целесообразно использовать коммутатор.
Сетевая топология Fat Tree (утолщенное дерево), изобретен-
ная Ч. Лейзорсоном, является дешевой и эффективной для суперком-
пьютеров (рис. 2.13).
Рис. 2.13. Топология Fat Tree
В отличие от классической топологии «дерево», в которой все

связи между узлами одинаковы, связи в «утолщенном дереве» ста-
новятся более широкими (производительными по пропускной спо-
собности) с каждым уровнем по мере приближения к корню дерева.
Часто используют удвоение пропускной способности на каждом
уровне. Сети с топологией Fat Tree являются предпочтительными
для построения кластерных межсоединений.
В сеточной (ячеистой) (Mesh) топологии компьютеры связы-

ваются между собой не одной, а многими линиями связи, образую-
щими сетку (рис. 2.14).
а б
Рис. 2.14. Сеточная топология: полная (а) и частичная (б)
В полной сеточной топологии каждый компьютер напрямую

связан со всеми остальными компьютерами. В этом случае при уве-
личении числа компьютеров резко возрастает количество линий
связи. Кроме того, любое изменение в конфигурации сети требует
внесения изменений в сетевую аппаратуру всех компьютеров, по-
этому полная сеточная топология не получила широкого распро-
странения.
Частичная сеточная топология предполагает прямые связи
только для самых активных компьютеров, передающих максималь-
ные объемы информации. Остальные компьютеры соединяются че-
рез промежуточные узлы.
Сеточная топология позволяет выбирать маршрут для доставки
информации от абонента к абоненту, обходя неисправные участки.
С одной стороны, это увеличивает надежность сети, с другой же – тре-
бует существенного усложнения сетевой аппаратуры, которая должна
выбирать маршрут.
В заключение несколько слов о решетчатой топологии, в которой
узлы образуют регулярную многомерную решетку. При этом каждое
ребро решетки параллельно ее оси и соединяет два смежных узла
вдоль этой оси.
Одномерная решетка – это цепь, соединяющая два внешних
узла (имеющие лишь одного соседа) через некоторое количество
внутренних (у которых по два соседа – слева и справа). При соеди-
нении обоих внешних узлов получается топология кольцо. Двух- и
трехмерные решетки используются в архитектуре суперкомпьюте-
ров (рис. 2.15).
а б
Рис. 2.15. Пример сетевых топологий:
а – двухмерная решетка; б – трехмерная решетка
Многомерная решетка, соединенная циклически в более чем од-

ном измерении, называется тор.
Основным достоинством топологии «решетка» является вы-

сокая надежность, а недостатком – сложность реализации.
Довольно часто применяются комбинированные топологии, сре-

ди которых наиболее распространены звездно-шинная (Star-Bus)
(рис. 2.16) и звездно-кольцевая (Star-Ring) (рис. 2.17).
Концентратор
Рис. 2.16. Пример звездно-шинной топологии
Рис. 2.17. Пример звездно-кольцевой топологии

В звездно-шинной топологии используется комбинация шины

и пассивной звезды. К концентратору подключаются как отдельные
компьютеры, так и целые шинные сегменты. На самом деле реали-
зуется физическая топология «шина», включающая все компьютеры
сети. В данной топологии может использоваться и несколько кон-
центраторов, соединенных между собой и образующих так называ-
емую магистральную, опорную шину. К каждому из концентрато-
ров при этом подключаются отдельные компьютеры или шинные
сегменты. В результате получается «звездно-шинное дерево». Таким
образом, пользователь может гибко комбинировать преимущества
шинной и звездной топологий, а также легко изменять количество
компьютеров, подключенных к сети. С точки зрения распростране-
ния информации данная топология равноценна классической шине.
В случае звездно-кольцевой топологии в кольцо объединяются не
сами компьютеры, а специальные концентраторы (прямоугольник на
рис. 2.17), к которым в свою очередь подключаются компьютеры с по-
мощью звездообразных двойных линий связи. В действительности все
компьютеры сети включаются в замкнутое кольцо, так как внутри кон-
центраторов линии связи образуют замкнутый контур. Данная топология
дает возможность комбинировать преимущества звездной и кольцевой
топологий. Например, концентраторы позволяют собрать в одно место
все точки подключения кабелей сети. Если говорить о распространении
информации, данная топология равноценна классическому кольцу.
2.2.6. Многозначность понятия топологии
Топология сети указывает не только на физическое распо-

ложение компьютеров, как часто считают, но, что гораздо
важнее, на характер связей между ними, особенности распро-
странения информации, сигналов по сети.
Именно характер связей определяет степень отказоустойчиво-

сти сети, требуемую сложность сетевой аппаратуры, наиболее под-
ходящий метод управления обменом, возможные типы сред пере-
дачи (каналов связи), допустимый размер сети (длина линий связи
и количество абонентов) необходимость электрического согласова-
ния и многое другое.
Более того, физическое расположение компьютеров, соединяе-

мых сетью, почти не влияет на выбор топологии. Как бы ни были
расположены компьютеры, их можно соединить с помощью любой
заранее выбранной топологии (рис. 2.18).
Рис. 2.18. Примеры использования разных топологий

для соединения компьютеров
В том случае если соединяемые компьютеры расположены по

контуру круга, они могут соединяться, как звезда или шина. Когда
компьютеры расположены вокруг некоего центра, их допустимо со-
единить с помощью топологий «шина» или «кольцо».
Наконец, когда компьютеры расположены в одну линию, они
могут соединяться звездой или кольцом. Другое дело, какова будет
требуемая длина кабеля.
Строго говоря, при упоминании о топологии сети могут подра-
зумеваться четыре совершенно разных понятия, относящихся к раз-
личным уровням сетевой архитектуры.
Физическая топология – географическая схема расположения
компьютеров и прокладки кабелей. При этом, например, пассивная
Выводы 63
звезда ничем не отличается от активной, поэтому ее нередко назы-

вают просто звездой.
Логическая топология – структура связей, характер распро-
странения сигналов по сети. Это наиболее правильное определение
топологии.
Топология управления обменом, или метод доступа, – это прин-
цип и последовательность передачи права на использование сети для
передачи данных между отдельными компьютерами.
Информационная топология – направление потоков информа-
ции, передаваемой по сети.
Например, сеть с физической и логической топологией «шина»
может в качестве метода управления использовать эстафетную пере-
дачу права захвата сети (быть в этом смысле кольцом) и одновременно
передавать всю информацию через выделенный компьютер (т. е. быть
звездой). Или сеть с логической топологией «шина» может иметь фи-
зическую топологию «звезда» (пассивная) или «дерево» (пассивное).
Сеть с любой физической топологией, логической топологией,

топологией управления обменом может считаться звездой в
смысле информационной топологии, если она построена на
основе одного сервера и нескольких клиентов, общающихся
только с этим сервером.
В данном случае справедливы все рассуждения о низкой отка-

зоустойчивости сети к неполадкам центра (сервера). Точно так же
любая сеть может быть названа шиной в информационном смысле,
если она построена из компьютеров, являющихся одновременно и
серверами, и клиентами. Такая сеть будет малочувствительна к от-
казам отдельных компьютеров.
Выводы
1. Топология сети определяет как физическое расположение ком-

пьютеров, так и характер связей между ними, особенности распро-
странения информации, сигналов по сети. Именно характер связей
определяет степень отказоустойчивости сети, требуемую сложность
сетевой аппаратуры, наиболее подходящий метод управления об-

меном, возможные типы сред передачи (каналов связи), допустимый
размер сети (длина линий связи и количество абонентов) необходи-
мость электрического согласования и многое другое.
2. Выделяют два основных класса топологий: широковещатель-
ные и последовательные.
3. В широковещательных топологиях передаемые сигналы мо-
гут быть восприняты всеми узлами сети. В последовательных топо-
логиях информация передается только одному сетевому узлу.
4. Выделяются пять базовых топологий: общая шина, дерево,
звезда, сеточная (ячеистая), кольцо.
5. Довольно часто на практике применяются комбинированные
топологии, среди которых наибольшее распространение получили
звездно-шинная и звездно-кольцевая.
2.3. Основные параметры и характеристики сетей
При организации и эксплуатации сети учитываются важные ха-

рактеристики и параметры (некоторые были описаны ранее):
− производительность;
− прозрачность;
− поддержка разных видов трафика;
− управляемость;
− совместимость;
− надежность и безопасность;
− расширяемость и масштабируемость.
Наиболее важными являются производительность, надежность
и безопасность. Далее проанализируем некоторые из перечисленных
характеристик.
2.3.1. Производительность сети
Производительность сети (Network Performance) – это характе-

ристика сети, позволяющая оценить, насколько быстро информация
передающей рабочей станции достигнет до приемной рабочей станции.
2.3. Основные параметры и характеристики сетей 65
На производительность влияют следующие характеристики сети:

− конфигурация;
− скорость передачи данных (пропускная способность);
− метод доступа к каналу;
− топология сети;
− технология.
Если производительность сети перестает отвечать предъявля-

емым к ней требованиям, то администратор сети может при-
бегнуть к различным приемам:
− изменить конфигурацию сети таким образом, чтобы ее струк-
тура более соответствовала структуре информационных по-
токов;
− перейти к другой модели построения распределенных при-
ложений, которая позволила бы уменьшить сетевой трафик;
− заменить коммутирующие устройства на более скоростные.
Но самым радикальным решением в такой ситуации является

переход на более скоростную технологию, например с Fast Ethernet
на Gigabit Ethernet или даже на 10-Gigabit Ethernet, что позволит уве-
личить пропускную способность каналов передачи данных.
Пропускная способность характеризует объем данных, пере-
данных сетью в единицу времени. Измеряется либо в битах в секун-
ду (бит/с), либо в пакетах в секунду (пакет/с). Пропускная способ-
ность может быть мгновенной, максимальной и средней.
Средняя пропускная способность – результат деления общего
объема переданных данных на время их передачи (промежуток вре-
мени – часы или дни, недели и т. д.).
Мгновенная пропускная способность отличается от средней
тем, что промежуток времени соответствует 1 с или ее части.
Максимальная пропускная способность – это наибольшая мгно-
венная пропускная способность, зафиксированная в течение периода
наблюдения.
Иногда полезно оперировать общей пропускной способностью
сети, которая определяется как среднее количество информации, пе-
реданной между всеми узлами сети в единицу времени. Этот показа-
тель характеризует качество сети в целом, не дифференцируя его
по отдельным сегментам или устройствам.
С ростом масштаба сетей возникла необходимость в повыше-

нии их производительности. Одним из способов достижения этого
стала микросегментация. Она позволяет уменьшить число пользо-
вателей на один сегмент, снизить объем широковещательного тра-
фика, а значит, повысить производительность сети.
Первоначально для микросегментации использовались маршрути-
заторы, не очень приспособленные для этой цели. Решения на их осно-
ве были достаточно дорогостоящими и отличались большой временной
задержкой и невысокой пропускной способностью. Более подходящими
устройствами для микросегментации сетей стали коммутаторы. Бла-
годаря относительно низкой стоимости, высокой производительно-
сти и простоте в использовании, они быстро завоевали популярность.
Таким образом, сети стали строить на базе коммутаторов и мар-
шрутизаторов. Первые обеспечивали высокоскоростную пересылку
трафика между сегментами, входящими в одну подсеть, а вторые пе-
редавали данные между подсетями, ограничивали распространение
широковещательного трафика, решали задачи безопасности и т. д.
2.3.2. Прозрачность сети
Прозрачность сети (Network Transparency) – это такое состоя-

ние сети, при котором пользователь воспринимает сеть как отдель-
ный (персональный) компьютер.
Коммуникационная сеть является прозрачной относительно про-
ходящей сквозь нее информации, если выходной поток битов в точ-
ности повторяет входной поток. Но сеть может быть непрозрачной
во времени, если из-за меняющихся размеров очередей блоков дан-
ных изменяется и время прохождения различных блоков через узлы
коммутации. Прозрачность сети по скорости передачи данных ука-
зывает, что данные можно передавать с любой нужной скоростью.
Если в сети по одним и тем же маршрутам передаются инфор-

мационные и управляющие (синхронизирующие) сигналы, то
говорят, что сеть прозрачна по отношению к типам сигналов.
Если передаваемая информация может кодироваться любым
способом, то это означает, что сеть прозрачна для любых ме-
тодов кодировок.
Прозрачная сеть является простым решением, в котором для

взаимодействия локальных сетей, расположенных на значительном
расстоянии друг от друга, используется принцип Plug-and-Play (под-
ключись и работай).
Прозрачное соединение. Служба прозрачных локальных сетей
обеспечивает сквозное (End-to-End) соединение, связывающее между
собой удаленные локальные сети. Привлекательность данного реше-
ния состоит в том, что эта служба объединяет удаленные друг от друга
на значительное расстояние узлы как части локальной сети. Поэтому
не нужно вкладывать средства в изучение новых технологий и созда-
ние территориально распределенных сетей (Wide-Area Network – WAN).
Пользователям требуется только поддерживать локальное соединение,
а провайдер службы прозрачных сетей обеспечит беспрепятственное
взаимодействие узлов через сеть масштаба города (Metropolitan Area
Network – MAN) или сеть WAN. У служб прозрачной локальной сети
много преимуществ. Например, пользователь может быстро и безопас-
но передавать большие объемы данных на значительные расстояния,
не обременяя себя сложностями, связанными с работой в сетях WAN.
2.3.3. Поддержка разных видов трафика
Трафик в сети складывается случайным образом, однако в нем от-

ражены и некоторые закономерности. Как правило, некоторые пользо-
ватели, работающие над общей задачей (например, сотрудники одного
отдела), чаще всего обращаются с запросами либо друг к другу, либо
к общему серверу, и только иногда они испытывают необходимость
доступа к ресурсам компьютеров другого отдела. Желательно, чтобы
структура сети соответствовала структуре информационных потоков.
В зависимости от сетевого трафика компьютеры в сети могут
быть разделены на группы (сегменты сети; Segment of the Network).
Компьютеры объединяются в группу, если большая часть порож-
даемых ими сообщений адресована компьютерам этой же группы.
Для разделения сети на сегменты используются мосты и

коммутаторы. Они экранируют локальный трафик внутри
сегмента, не передавая за его пределы никаких кадров, кроме
тех, которые адресованы компьютерам, находящимся в дру-
гих сегментах.
Таким образом, сеть распадается на отдельные подсети. Это по-

зволяет более рационально выбирать пропускную способность име-
ющихся линий связи, учитывая интенсивность трафика внутри каж-
дой группы, а также активность обмена данными между группами.
Однако локализация трафика средствами мостов и коммутато-
ров имеет существенные ограничения. С другой стороны, исполь-
зование механизма виртуальных сегментов, реализованного в ком-
мутаторах локальных сетей, приводит к полной локализации трафика;
такие сегменты полностью изолированы друг от друга, даже в отно-
шении широковещательных кадров. Поэтому в сетях, построенных
только на мостах и коммутаторах, компьютеры, принадлежащие раз-
ным виртуальным сегментам, не образуют единой сети.
Нетривиальным является совмещение в одной сети традицион-
ного компьютерного и мультимедийного трафика. Передача исклю-
чительно мультимедийного трафика компьютерной сетью вызывает
меньшие трудности. Наиболее близки к этой цели сети на основе
технологии ATM.
Для того чтобы эффективно консолидировать различные виды
трафика в сети АТМ, требуется специальная предварительная под-
готовка (адаптация) данных, имеющих различный характер: кадры –
для цифровых данных, сигналы импульсно-кодовой модуляции –
для голоса, потоки битов – для видео. Эффективная консолидация
трафика требует также учета и использования статистических вариа-
ций интенсивности различных типов трафика.
2.3.4. Управляемость сети
Управляемость сети (Network Manageability) подразумевает воз-

можность централизованно контролировать состояние основных эле-
ментов сети, выявлять и разрешать проблемы, возникающие при работе
сети, выполнять анализ производительности и планировать выделение,
внедрение, координацию и мониторинг ресурсов компьютерной сети.
Модель управления сетью является основным средством для по-
нимания главных функций системы управления сетью.
Система управления элементами сети (Element Management
System, EMS) – программное обеспечение, предназначенное для уп-
равления и контроля отдельного сетевого элемента группы однотип-
ных элементов. Состоит из систем и приложений, которые связаны
с управлением на сетевом уровне модели управления телекоммуни-

кационной сетью.
Эта модель состоит из пяти концептуальных компонент:
− управление эффективностью (Performance Management);
− управление конфигурацией (Configuration Management);
− управление учетом использования ресурсов (Accounting Ma-
nagement);
− управление неисправностями (Fault Management);
− управление защитой данных или безопасностью (Security Ma-
nagement).
Цель управления эффективностью – измерение, обеспече-

ние и поддержание различных аспектов эффективности сети
на приемлемом уровне.
Примерами переменных для определения эффективности явля-

ются пропускная способность сети, время реакции пользователей и
коэффициент использования линии.
Управление эффективностью включает несколько этапов:
− сбор информации об эффективности по тем переменным, ко-
торые представляют интерес для администраторов сети;
− анализ информации для определения нормальных (базовая
строка) уровней;
− определение соответствующих порогов эффективности для
каждой важной переменной таким образом, что превышение этих по-
рогов указывает на наличие проблемы в сети, достойной внимания.
Цель управления конфигурацией – контролирование ин-

формации о сетевой и системной конфигурации для отслежи-
вания происходящего и управления воздействием на работу
различных аппаратных и программных элементов.
Так как все аппаратные и программные элементы имеют экс-

плуатационные отклонения, погрешности (или то и другое вместе),
которые могут влиять на работу сети, такая информация важна для
поддержания гладкой работы сети.
Каждое устройство сети располагает разнообразной информацией
о версиях, ассоциируемых с ним. Чтобы обеспечить легкий доступ,
подсистемы управления конфигурацией хранят эту информацию в

базе данных. Когда возникает какая-нибудь проблема, в этой базе
данных может быть проведен поиск ключей, которые могли бы по-
мочь решить эту проблему.
Цель управления учетом использования ресурсов – изме-

рение параметров использования сети, чтобы можно было
соответствующим образом регулировать ее использование
индивидуальными или групповыми пользователями.
Такое регулирование минимизирует число проблем в сети (так как

ресурсы сети могут быть поделены исходя из возможностей источника)
и максимизирует равнодоступность к сети для всех пользователей.
Цель управления неисправностями – выявить, зафиксиро-

вать, уведомить пользователей и (в пределах возможного) ав-
томатически устранить проблемы в сети для того, чтобы эф-
фективно поддерживать работу сети.
Так как неисправности могут привести к простоям или недопу-

стимой деградации сети, управление неисправностями, по всей ве-
роятности, является наиболее широко используемым элементом мо-
дели управления сети ISO.
Управление неисправностями включает в себя несколько шагов:
− определение симптомов проблемы;
− изолирование проблемы;
− устранение проблемы;
− проверка устранения неисправности на всех важных подси-
стемах;
− регистрация обнаружения проблемы и ее решения.
Цель управления защитой данных – контроль доступа к

сетевым ресурсам в соответствии с установленными руко-
водящими принципами, чтобы сделать невозможными сабо-
таж сети и доступ к конфиденциальной информации лицам,
не имеющим соответствующего разрешения, т. е. несанкцио-
нированный доступ.
Например, одна из подсистем управления защитой данных мо-

жет контролировать регистрацию пользователей ресурса сети, от-
казывая в доступе тем, кто вводит коды доступа, не соответствую-
щие установленным.
Подсистемы управления защитой данных работают путем раз-
деления источников на санкционированные и несанкционированные
области. Для некоторых пользователей доступ к любому источнику
сети является несоответствующим.
Подсистемы управления защитой данных выполняют следую-
щие функции:
− идентифицируют конфиденциальные ресурсы сети (включая
системы, файлы и другие объекты);
− определяют отображения в виде карт между конфиденциаль-
ными источниками сети и набором пользователей;
− контролируют точки доступа к конфиденциальным ресурсам
сети;
− регистрируют несанкционированный доступ к конфиденци-
альным ресурсам сети.
2.3.5. Совместимость сети
Совместимость, или интегрируемость, означает, что сеть

способна включать в себя самое разнообразное программное и ап-
паратное обеспечение, т. е. в ней могут использоваться различные
операционные системы, поддерживающие разные стеки коммуника-
ционных протоколов, и работать аппаратные средства и приложения
от разных производителей.
Сеть, состоящая из разнотипных элементов, называется неод-
нородной или гетерогенной, а если гетерогенная сеть работает без
проблем, то она является интегрированной.
Концепция совместимости сети (Network Compatibility) впер-
вые в широких масштабах была применена разработчиками систе-
мы IBM/360. Основная задача при проектировании всего ряда моде-
лей этой системы заключалась в создании такой архитектуры, которая
была бы одинаковой с точки зрения пользователя для всех моделей
системы независимо от цены и производительности каждой из них.
Огромные преимущества такого подхода, позволяющего сохра-
нять существующий задел программного обеспечения при переходе
на новые (как правило, более производительные) модели, были быстро

оценены как производителями компьютеров, так и пользователями.
Начиная с этого времени практически все фирмы-поставщики ком-
пьютерного оборудования взяли на вооружение данные принципы,
поставляя серии совместимых компьютеров. Следует заметить од-
нако, что со временем даже самая передовая архитектура неизбежно
устаревает и возникает потребность внесения радикальных измене-
ний в архитектуру и способы организации вычислительных систем.
В настоящее время одним из наиболее важных факторов, опре-
деляющих тенденции в развитии информационных технологий, яв-
ляется ориентация компаний-поставщиков компьютерного обору-
дования на рынок прикладных программных средств.
Во-первых, вычислительная среда должна позволять гибко ме-
нять количество и состав аппаратных средств и программного обес-
печения в соответствии с меняющимися требованиями решаемых
задач. Во-вторых, она должна обеспечивать возможность запуска
одних и тех же программных систем на различных аппаратных плат-
формах, т. е. обеспечивать мобильность программного обеспечения.
В-третьих, эта среда должна гарантировать возможность применения
одних и тех же человеко-машинных интерфейсов на всех компьюте-
рах, входящих в неоднородную сеть.
Основной путь построения интегрированных сетей – использо-
вание модулей, выполненных в соответствии с открытыми стандар-
тами и спецификациями.
В условиях жесткой конкуренции производителей аппаратных
платформ и программного обеспечения сформировалась концепция
открытых систем (КОС).
Концепция открытых систем представляет собой совокуп-

ность стандартов на различные компоненты вычислительной
среды, предназначенных для обеспечения мобильности про-
граммных средств в рамках неоднородной распределенной
вычислительной системы.
Открытая система предназначена для взаимодействия с другими

приложениями на локальной и удаленной платформах, а также для
взаимодействия с пользователями в режиме, который облегчает пе-
реход от системы к системе.
Открытая спецификация, по определению POSIX (Portable Ope-

rating System Interface), – общедоступная спецификация, которая
поддерживается открытым, гласным согласительным процессом, на-
правленным на приспособление новой технологии к ее применению,
и которая согласуется со стандартами.
2.3.6. Надежность и безопасность. Введение в пробле-

матику
Чтобы систему можно было отнести к высоконадежным, она

должна обеспечить сохранность данных и защиту их от искажений.
Кроме того, должна поддерживаться согласованность (непротиворе-
чивость) данных. Например, если для повышения надежности (Reli-
ability) на нескольких файловых серверах хранится несколько копий
данных, то нужно постоянно обеспечивать их идентичность.
Как уже отмечалось, цифровые трансформации привели к тому,
что информация стала одним из самых дорогих продуктов в сфере
межличностных отношений. При этом стоимость информации часто
превосходит в сотни и тысячи раз стоимость компьютерной системы,
в которой она обрабатывается. Это обстоятельство приводит к тому,
что именно информация и информационные системы (в том числе
компьютерные сети) все чаще становятся объектами атак (несанк-
ционированного доступа).
В общем случае атака (или сетевая атака) – попытка несанкциони-
рованного преодоления защиты информационной системы или сети.
На рис. 2.19 схематически показаны наиболее уязвимые места
локальной сети.
Некорректное
Неавторизованный использование Неавторизованный
доступ к системам коммуникаци- доступ
онных портов к беспроводной сети
Перехват Несанкционированный
сетевых пакетов доступ ко всему
сетевому трафику
Рис. 2.19. Уязвимые места локальной сети

Все многообразие дестабилизирующих работу сети факторов

можно разделить на два класса: внутренние и внешние.
Внутренние дестабилизирующие факторы влияют:
1) на программные средства (ПС):
− некорректный исходный алгоритм;
− неправильно запрограммированный исходный алгоритм (пер-
вичные ошибки);
2) на аппаратные средства (АС):
− системные ошибки при постановке задачи проектирования;
− отклонения от технологии изготовления комплектующих из-
делий и АС в целом;
− нарушение режима эксплуатации, вызванное внутренним со-
стоянием АС.
Внешние дестабилизирующие факторы оказывают влияние:
1) на программные средства:
− неквалифицированные пользователи;
− несанкционированный доступ к ПС с целью модификации кода;
2) на аппаратные средства:
− внешние климатические условия;
− электромагнитные и ионизирующие помехи;
− перебои в электроснабжении;
− недостаточная квалификация обслуживающего персонала;
− несанкционированный (в том числе – удаленный) доступ с
целью нарушения работоспособности АС – сетевая атака.
Некоторые из перечисленных выше дестабилизирующих фак-
торов влияют на безопасность системы, а некоторые – на ее надеж-
ность. Понятно, что в силу достаточно тонкой грани между надеж-
ностью и безопасностью системы многие из факторов влияют на
оба параметра.
В результате атак злоумышленники могут нарушать работу сети,
изменять права аккаунта, получать персональные данные пользова-
телей и реализовывать другие цели.
Виды сетевых атак и их последствия имеют значительные от-
личия друг от друга. Современная классификация угроз производит-
ся в основном по следующим параметрам:
– характер воздействия, оказываемого на сеть;
– цель оказываемого воздействия;
– наличие обратной связи с сетью, подвергнутой атаке;
– условие начала атаки;
– расположение субъекта по отношению к объекту атаки;

– уровень эталонной модели ISO.
Поэтому вполне естественно возникает необходимость в защите
информации. Однако по сравнению с другими информационно-вы-
числительными системами проблема защиты информации в компь-
ютерных сетях значительно усложняется и происходит это по ряду
следующих причин:
− наличие большого числа пользователей в компьютерной сети и
их переменный состав; защита на уровне имени и пароля пользова-
теля недостаточна для предотвращения входа в сеть посторонних лиц;
− значительная протяженность сети и наличие многих потенци-
альных каналов проникновения в сеть;
− уже отмеченные недостатки в аппаратном и программном обес-
печении, которые зачастую обнаруживаются не на предпродажном
этапе, называемом бета-тестированием, а в процессе эксплуатации.
И еще один один важный момент.
В условиях все большего вовлечения смартфонов и планше-

тов в бизнес-процессы организаций важнейшей задачей ста-
новится управление мобильными устройствами.
Возможность мобильного доступа к корпоративным информа-

ционным ресурсам организации порождает ряд проблем с точки зре-
ния информационной безопасности:
− нарушение конфиденциальности информации в результате
кражи или утери устройства;
− нарушение конфиденциальности информации в результате до-
ступа посторонних лиц к устройству, оставленному без присмотра;
− доступ к конфиденциальной информации внешних нарушите-
лей посредством использования вредоносного программного кода;
− хищение информации работником (инсайдером), имеющим
легитимный доступ к информации и хранящим эту информацию на
своем устройстве (путем отправки через личную почту, выкладыва-
ния в сервисы облачного хранения данных и пр.).
Кроме того, любые дополнительные соединения сегментов ком-
пьютерной сети с другими сегментами или подключение к сети Ин-
тернет порождают новые проблемы в компьютерной сети.
Более подробно вопросы безопасности и надежности сетей бу-
дут рассмотрены в главе 12.
2.3.7. Расширяемость и масштабируемость сети
Расширяемость (Extensibility) – возможность сравнительно

легкого добавления отдельных элементов сети (пользователей, ком-
пьютеров, приложений, служб), наращивания длины сегментов сети
и замены существующей аппаратуры более мощной.
Масштабируемость (Scalability) означает, что сеть позволяет
наращивать количество узлов и протяженность связей в широких
пределах, при этом производительность сети не снижается. Для обес-
печения масштабируемости сети нужно применять дополнительное
коммуникационное оборудование и специальным образом структу-
рировать сеть. Классическим примером хорошо масштабируемой
сети является Интернет. Также хорошей масштабируемостью обла-
дает многосегментная сеть, построенная с использованием комму-
таторов и маршрутизаторов и имеющая иерархическую структуру
связей. Такая сеть может включать тысячи компьютеров и при этом
обеспечивать каждому пользователю сети нужное качество обслу-
живания.
Выводы
1. Информация стала одним из самых дорогих продуктов в сфере

межличностных отношений.
2. Качество работы сети определяется следующими свойствами:
производительность, надежность, совместимость, управляемость, за-
щищенность, расширяемость и масштабируемость.
3. Существует два основных подхода к обеспечению качества
работы сети. Первый состоит в том, что сеть гарантирует пользова-
телю соблюдение некоторой числовой величины показателя качества
обслуживания. Например, сети Frame Relay и АТМ могут гаранти-
ровать пользователю заданный уровень пропускной способности.
При втором подходе сеть «старается» по возможности более каче-
ственно обслужить пользователя, но ничего при этом не гарантирует.
4. К основным характеристикам производительности сети отно-
сятся: время реакции, которое определяется как время между воз-
никновением запроса к какому-либо сетевому сервису и получением
Контрольные вопросы 77
ответа на него; пропускная способность, которая отражает объем

данных, переданных сетью в единицу времени; задержка передачи,
которая равна интервалу между моментом поступления пакета на
вход какого-либо сетевого устройства и моментом его появления на
выходе этого устройства.
5. Для оценки надежности сети используются различные харак-
теристики, в том числе: коэффициент готовности, означающий долю
времени, в течение которого система может быть использована; без-
опасность, т. е. способность системы защитить данные от несанкци-
онированного доступа; отказоустойчивость – способность системы
работать в условиях отказа некоторых ее элементов.
6. Расширяемость означает возможность сравнительно легкого
добавления отдельных элементов сети (пользователей, компьютеров,
приложений, сервисов), наращивания длины сегментов сети и замены
существующей аппаратуры более мощной.
7. Масштабируемость означает, что сеть позволяет наращивать
количество узлов и протяженность связей в очень широких преде-
лах, при этом производительность сети не ухудшается.
8. Прозрачность – свойство сети скрывать от пользователя де-
тали своего внутреннего устройства, упрощая тем самым его рабо-
ту в сети.
9. Управляемость сети подразумевает возможность централизо-
ванно контролировать состояние основных элементов сети, выявлять
и разрешать проблемы, возникающие при работе сети, выполнять
анализ производительности и планировать развитие сети.
10. Совместимость означает, что сеть способна включать в себя
самое разнообразное программное и аппаратное обеспечение.
11. В условиях все большего вовлечения смартфонов и планше-
тов в бизнес-процессы организаций важнейшей задачей становится
управление мобильными устройствами.
1. Поясните понятие архитектуры сети.

2. В каком случае используется одноранговая архитектура?
3. Что характерно для сетей с выделенным сервером?
4. Что такое топология?

5. Основные достоинства и недостатки топологии «общая шина».
6. Основные достоинства и недостатки топологии «кольцо».
7. Основные достоинства и недостатки топологии «звезда».
8. Основные достоинства и недостатки сеточной топологии.
9. В чем заключаются основные различия между активным и
пассивным деревом?
10. Приведите основные различия между полной и частичной
сеточными топологиями.
11. Поясните понятия «надежность» и «безопасность» компью-
терных сетей.
12. Назовите основные технические и эксплуатационные свой-
ства сетей.
13. Перечислите и охарактеризуйте внешние и внутренние де-
стабилизирующие факторы, влияющие на надежность и безопасность
функционирования компьютерной сети.
14. Опишите особенности проблемы безопасности мобильных
сегментов компьютерных сетей.
15. Что такое пропускная способность сети? Каковы ее виды?
16. Какие характеристики влияют на пропускную способность
сети?
17. Что понимают под прозрачностью сети?
18. В чем состоит разница между расширяемостью и масштаби-
руемостью сети?
19. Приведите примеры масштабируемых сетей.
3.3. Семиуровневая модель OSI 79
3
ОСНОВЫ ПЕРЕДАЧИ ДАННЫХ ПО СЕТИ
3.1. Пакеты и их структура
3.1.1. Назначение пакетов
Информация в локальных сетях, как правило, передается отдель-

ными порциями, кусками, называемыми в различных источниках
пакетами (Packets), кадрами (Frames) или блоками (Blocks).
Причем предельная длина этих пакетов строго ограничена (обычно
величиной в несколько килобайтов). Ограничена длина пакета и сни-
зу (как правило, несколькими десятками байтов). Выбор пакетной пе-
редачи связан с несколькими важными соображениями.
Локальная сеть, как уже отмечалось, должна обеспечивать каче-
ственную, прозрачную связь всем абонентам (компьютерам) сети.
Важнейшим параметром является так называемое время до-

ступа к сети (Access Time), которое определяется как вре-
менной интервал между моментом готовности абонента к пе-
редаче (когда ему есть, что передавать) и моментом начала
этой передачи. Это время ожидания абонентом начала своей
передачи.
Естественно, оно не должно быть слишком большим, иначе ве-

личина реальной, интегральной скорости передачи информации между
приложениями сильно уменьшится даже при высокоскоростной связи.
Ожидание начала передачи связано с тем, что в сети не может
происходить несколько передач одновременно (во всяком случае,
при топологиях «шина» и «кольцо»). Всегда есть только один пере-
датчик и один приемник (реже – несколько приемников). В против-
ном случае информация от разных передатчиков смешивается и ис-
кажается. В связи с этим абоненты передают свою информацию по
80 3. ОСНОВЫ ПЕРЕДАЧИ ДАННЫХ ПО СЕТИ
очереди. И каждому абоненту, прежде чем начать передачу, надо

дождаться своей очереди. Вот это время ожидания своей очереди и
есть время доступа.
Если бы вся требуемая информация передавалась каким-то або-
нентом сразу, непрерывно, без разделения на пакеты, то это привело
бы к монопольному захвату сети этим абонентом на довольно продол-
жительное время. Все остальные абоненты вынуждены были бы ждать
окончания передачи всей информации, что в ряде случаев могло бы
потребовать десятков секунд и даже минут (например, при копирова-
нии содержимого целого жесткого диска). С тем чтобы уравнять в пра-
вах всех абонентов, а также сделать примерно одинаковой величину
времени доступа к сети и интегральную скорость передачи информа-
ции, как раз и применяются пакеты (кадры) ограниченной длины.
Важно также и то, что при передаче больших массивов инфор-
мации вероятность ошибки (передана «1» – принимается «0» или
наоборот) из-за помех и сбоев довольно высока. Например, при ха-
рактерной для локальных сетей величине вероятности одиночной
ошибки в 10–8 (в среднем одна ошибка приходится на 100 Мбайт
переданных двоичных символов) пакет длиной 10 Кбит будет иска-
жен с вероятностью 10–4, а массив длиной 10 Мбит – уже с вероят-
ностью 10–1. К тому же выявить ошибку в массиве из нескольких
мегабайтов намного сложнее, чем в пакете из нескольких килобай-
тов, а при обнаружении ошибки придется повторить передачу всего
большого массива. Но и при повторной передаче большого массива
снова высока вероятность ошибки, и процесс этот при слишком боль-
шом массиве может повторяться до бесконечности.
С другой стороны, сравнительно большие пакеты имеют пре-
имущества перед очень маленькими пакетами, например перед по-
байтовой (8 битов) или пословной (16 битов или 32 бита) передачей
информации.
Дело в том, что каждый пакет помимо собственно данных, ко-
торые требуется передать, должен содержать некоторое количество
служебной информации. Прежде всего, это адресная информация,
которая определяет, от кого и кому передается данный пакет (как на
почтовом конверте – адреса получателя и отправителя). Если порция
передаваемых данных будет очень маленькой (например, несколько
байтов), то доля служебной информации станет непозволительно вы-
сокой, что резко снизит интегральную скорость обмена информаци-
ей по сети.
3.1. Пакеты и их структура 81
Существует некоторая оптимальная длина пакета (или опти-

мальный диапазон длин пакетов), при которой средняя скорость
обмена информацией по сети будет максимальна. Эта длина не яв-
ляется неизменной величиной, она зависит от уровня помех, метода
управления обменом, количества абонентов сети, характера пере-
даваемой информации и от многих других факторов. Имеется диа-
пазон длин, который близок к оптимуму.
Процесс информационного обмена в сети представляет со-

бой чередование пакетов, каждый из которых содержит ин-
формацию, передаваемую от абонента к абоненту.
В частном случае (рис. 3.1) все эти пакеты могут передаваться

одним абонентом (когда другие абоненты «не хотят» передавать).
Но обычно в сети чередуются пакеты, посланные разными абонен-
тами (рис. 3.2).
1 2 3 4 5 6
от 2 к 5 от 2 к 5 от 2 к 5
t
Пакеты
Рис. 3.1. Передача пакетов в сети между двумя абонентами
1 2 3 4 5 6
от 2 к 5 от 1 к 4 от 3 к 6
t
Пакеты
Рис. 3.2. Передача пакетов в сети между несколькими абонентами
3.1.2. Структура пакетов
Структура и размеры пакета в каждой сети жестко определены

стандартом на данную сеть и связаны, прежде всего, с аппаратными
особенностями (аппаратной платформой) данной сети, выбранной
топологией и типом среды передачи информации. Кроме того, эти
параметры зависят от используемого протокола (порядка обмена ин-
формацией).
Но существуют некоторые общие принципы формирования
структуры пакета, которые учитывают характерные особенности об-
мена информацией по любым локальным сетям.
Чаще всего пакет содержит в себе следующие основные поля или
части, представленные на рис. 3.3.
Преамбула
Контрольная
Идентификатор
сумма (CRC)
приемника
Начало Конец
пакета пакета
Служебная
информация Данные
Идентификатор Стоповая
передатчика комбинация
Рис. 3.3. Типичная структура пакета
Преамбула, или стартовая комбинация битов, обеспечивает

предварительную настройку аппаратуры адаптера или другого сете-
вого устройства на прием и обработку пакета. Это поле может полно-
стью отсутствовать или же сводиться к единственному стартовому биту.
Идентификатор приемника, или сетевой адрес принимаю-
щего абонента, – индивидуальный или групповой номер, присвоен-
ный каждому принимающему абоненту (компьютеру) в сети.
Этот адрес (или IP-адрес) позволяет приемнику распознать па-
кет, адресованный ему лично, группе, в которую он входит, или всем
абонентам сети одновременно (при широком вещании).
Идентификатор передатчика, или сетевой адрес передающего
абонента, – индивидуальный номер, присвоенный каждому передаю-
щему абоненту.
Этот адрес информирует принимающего абонента, откуда при-

шел данный пакет. Включение в пакет адреса передатчика необхо-
димо в том случае, когда одному приемнику могут попеременно при-
ходить пакеты от разных передатчиков.
Служебная (управляющая) информация – информация, кото-
рая указывает на тип пакета, его номер, размер, формат, маршрут его
доставки, на то, что с ним надо делать приемнику, и т. д.
Данные (поле данных) – это та информация, ради передачи ко-
торой используется пакет.
В отличие от всех остальных полей пакета поле данных имеет
переменную длину, которая, собственно, и определяет полную длину
пакета. Существуют специальные управляющие пакеты, которые не
имеют поля данных. Их можно рассматривать как сетевые команды.
Пакеты, включающие поле данных, называются информационными
пакетами. Управляющие пакеты могут выполнять функцию начала
и конца сеанса связи, подтверждения приема информационного па-
кета, запроса информационного пакета и т. д.
Контрольная сумма пакета – это числовой код, формируемый
передатчиком по определенным правилам и содержащий в сверну-
том виде информацию обо всем пакете.
Приемник, повторяя вычисления, сделанные передатчиком, с
принятым пакетом, сравнивает их результат с контрольной суммой
и делает вывод о правильности или ошибочности передачи пакета.
Если пакет ошибочен, то приемник запрашивает его повторную пе-
редачу. Обычно используется циклическая контрольная сумма (CRC,
Cyclic Redundancy Check).
Стоповая комбинация служит для информирования принима-
ющего абонента об окончании пакета, обеспечивает выход аппара-
туры приемника из состояния приема. Это поле может отсутство-
вать, если используется самосинхронизирующийся код, позволяющий
определять момент окончания передачи пакета.
Нередко в структуре пакета выделяют всего три поля:
− начальное управляющее поле пакета (или заголовок пакета),
т. е. поле, включающее в себя стартовую комбинацию, сетевые ад-
реса приемника и передатчика, а также служебную информацию;
− поле данных пакета;
− конечное управляющее поле пакета (заключение, трейлер),
куда входят контрольная сумма и стоповая комбинация, а также,
возможно, служебная информация.
Структура и вид отдельных полей зависят от применяемой тех-

нологии (Ethernet, Token Ring, ARCNet, FDDI и т. д.) и будут рас-
смотрены в главе 9.
Как уже упоминалось, помимо термина «пакет» (Packet) в лите-
ратуре также нередко встречается термин «кадр» (Frame). Иногда под
этими терминами имеется в виду одно и то же. Но иногда подразу-
мевается, что они различаются: кадр вложен в пакет. В этом случае
все перечисленные поля пакета, кроме преамбулы и стоповой ком-
бинации, относятся к кадру (рис. 3.4). Например, в описаниях сети
Ethernet говорится, что в конце преамбулы передается признак на-
чала кадра. В других, напротив, поддерживается мнение о том, что
пакет вложен в кадр. И тогда под пакетом подразумевается только
информация, содержащаяся в кадре, который передается по сети и
снабжен служебными полями.
Во избежание путаницы в данной книге термин «пакет» будет
использоваться как более понятный и универсальный.
Пакет
Преамбула
Идентификатор Контрольная
приемника сумма
Служебная Данные
информация Стоповая
комбинация
Идентификатор
передатчика
Кадр
Рис. 3.4. Вложение кадра в пакет
3.1.3. Правила обмена и управления пакетами
В процессе сеанса обмена информацией по сети между переда-

ющим и принимающим абонентами происходит обмен информаци-
онными и управляющими пакетами по установленным правилам,
которые называются протоколом обмена. Это позволяет обеспечить

надежную передачу информации при любой интенсивности обмена
по сети.
Пример простейшего протокола показан на рис. 3.5.
Передатчик Приемник
Запрос
Готовность
Данные 1
Подтверждение 1
Данные N
Подтверждение N
Конец
Время
Рис. 3.5. Пример обмена пакетами при сеансе связи
Сеанс обмена начинается с запроса передатчиком готовности

приемника принять данные. Для этого используется управляющий
пакет «Запрос». Если приемник не готов, он отказывается от сеанса
специальным управляющим пакетом. В случае когда приемник го-
тов, он посылает в ответ управляющий пакет «Готовность». Затем
начинается собственно передача данных. При этом на каждый по-
лученный информационный пакет приемник отвечает управляющим
пакетом «Подтверждение».
В случае когда пакет данных передан с ошибками, в ответ на него
приемник запрашивает повторную передачу. Заканчивается сеанс
управляющим пакетом «Конец», которым передатчик сообщает о
разрыве связи.
Существует множество стандартных протоколов, которые ис-
пользуют как передачу с подтверждением (с гарантированной до-
ставкой пакета), так и передачу без подтверждения (без гарантии
доставки пакета). Подробнее о протоколах обмена будет рассказано

в следующей главе.
При реальном обмене по сети применяются многоуровневые

протоколы, каждый из уровней которых предполагает свою
структуру пакета (адресацию, управляющую информацию,
формат данных и т. д.).
Ведь протоколы высоких уровней имеют дело с такими поня-

тиями, как файл-сервер или приложение, которые запрашивают дан-
ные у другого приложения и вполне могут не иметь представления
ни о типе аппаратуры сети, ни о методе управления обменом. Все
пакеты более высоких уровней последовательно вкладываются в
передаваемый пакет, точнее говоря, в поле данных передаваемого
пакета (рис. 3.6).
Процесс последовательной упаковки данных для передачи назы-
вается также инкапсуляцией пакетов (Pakcets Encapsulation).
Пакет третьего
Заголовок Данные Трейлер уровня
Пакет второго
Заголовок Данные Трейлер
уровня
Пакет первого
Заголовок Данные Трейлер
уровня
Рис. 3.6. Многоуровневая система вложения пакетов
Каждый следующий вкладываемый пакет может содержать соб-

ственную служебную информацию, располагающуюся как до данных
(заголовок), так и после них (трейлер), причем ее назначение может
быть различным.
Безусловно, доля вспомогательной информации в пакетах при
этом возрастает с каждым следующим уровнем, что снижает эффек-
тивную скорость передачи данных. Для увеличения этой скорости
предпочтительнее, чтобы протоколы обмена были проще и уровней
этих протоколов было меньше. Иначе никакая скорость передачи
3.2. Методы доступа в сетях 87
битов не поможет, и быстрая сеть будет передавать файл дольше, чем

медленная сеть, которая пользуется более простым протоколом.
Обратный процесс последовательной распаковки данных прием-
ником называется декапсуляцией пакетов (Pakcets Decapsulation).
Выводы
1. Информация в локальных сетях передается отдельными пор-

циями, называемыми пакетами. Причем предельная длина этих паке-
тов ограничена и в основном зависит от сетевой технологии (Ethernet,
Token Ring, FDDI и т. д.).
2. Процесс информационного обмена в сети представляет собой
чередование пакетов, каждый из которых содержит информацию,
передаваемую от абонента к абоненту.
3. Локальная сеть характеризутся таким важнейшим парамет-
ром, как время доступа, которое определяется как временной ин-
тервал между моментом готовности абонента к передаче (когда ему
есть, что передавать) и моментом начала этой передачи.
4. Пакет содержит в себе следующие основные поля: преамбула,
идентификатор передатчика, идентификатор приемника, служебная
информация, данные, контрольная сумма, стоповая комбинация.
3.2. Методы доступа в сетях
В современных сетях в основном используются следующие ме-

тоды доступа:
− множественный доступ с прослушиванием несущей (Carrier
Sense Multiple Access), который будет рассмотрен в двух вариантах:
множественный доступ с прослушиванием несущей и разрешением
коллизий (Carrier Sense Multiple Access with Collision Detection –
CSMA/CD) и множественный доступ с прослушиванием несущей и
предотвращением коллизий (Carrier Sense Multiple Access with With
Collision Avoidance – CSMA/CA);
− централизованный метод доступа (Demand Priority, DP);

− множественный доступ с передачей полномочия (Token Passing
Multiple Access – TPMA), или метод с передачей маркера;
− множественный доступ с разделением во времени (Time Divi-
sion Multiple Access – TDMA);
− множественный доступ с разделением частоты (Frequency
Division Multiple Access – FDMA), или множественный доступ с раз-
делением длины волны (Wavelength Division Multiple Access – WDMA).
3.2.1. Множественный доступ с прослушиванием несущей
В компьютерных сетях могут быть использованы различные ва-

рианты реализации метода множественного доступа с прослушива-
нием несущей (CSMA). Первый из них − CSMA/CD.
Метод множественного доступа с прослушиванием не-

сущей и разрешением коллизий (CSMA/CD) основан на сле-
дующих правилах определения права на передачу: если рабо-
чая станция «хочет» воспользоваться сетью для передачи
данных, она сначала должна проверить состояние канала, на-
чинать передачу рабочая станция может, если канал свободен.
В целом метод доступа CSMA/CD описывается алгоритмом,

представленным на рис. 3.7.
В процессе передачи рабочая станция продолжает прослушива-
ние сети для обнаружения возможных конфликтов (коллизий). Если
возникает конфликт из-за того, что два узла попытаются занять канал,
то обнаружившая конфликт интерфейсная плата соответствующего
компьютера выдает в сеть специальный сигнал и обе станции одно-
временно прекращают передачу. Принимающая рабочая станция от-
брасывает частично принятое сообщение, а все рабочие станции, жела-
ющие передать сообщение, в течение некоторого случайно выбранного
промежутка времени выжидают, прежде чем начать сообщение.
Все сетевые интерфейсные платы запрограммированы на раз-
ные псевдослучайные промежутки времени ожидания. Если кон-
фликт возникнет во время повторной передачи сообщения, этот про-
межуток времени будет увеличен.
Необходимость передачи
Рабочая станция
прослушивает канал
Канал занят
Проверка Рабочая станция
канала ожидает
Канал свободен
начинает передачу
и прослушивает канал
Возник конфликт
Проверка Рабочая станция
канала прекращает передачу
Канал свободен
Рабочая станция Сетевая карта задает
продолжает случайно выбранный
и заканчивает передачу промежуток времени
Освобождение канала
Рис. 3.7. Алгоритм CSMA/CD
Стандарт типа Ethernet определяет сеть с конкуренцией, в ко-

торой несколько рабочих станций должны конкурировать друг с дру-
гом за право доступа к сети.
Метод множественного доступа с прослушиванием не-

сущей и предотвращением коллизий (CSMA/CA) в отличии
от CSMA/CD характеризуется следующими особенностями:
− станция, которая собирается начать передачу, посылает jam
signal (сигнал затора);
− после продолжительного ожидания всех станций, которые
могут послать jam signal, станция начинает передачу;
− если во время передачи станция обнаруживает jam signal от
другой станции, она останавливает передачу на отрезок вре-
мени случайной длины и затем повторяет попытку.
В сущности CSMA/CA отличается от CSMA/CD тем, что узлы

сообщают о намерении передать данные по сети до фактической их
передачи. Узлы постоянно «прослушивают» объявления других уз-
лов и при обнаружении объявления отменяют передачу своих данных.
В таком случае при использовании CSMA/CA коллизиям под-
вержены не пакеты данных, а только jam-сигналы. Избегание кол-
лизий используется для того, чтобы улучшить производительность
CSMA. Улучшение производительности достигается за счет сниже-
ния вероятности коллизий и повторных попыток передачи. Но ожи-
дание jam signal создает дополнительные задержки, поэтому другие
методы доступа позволяют достичь лучших результатов. Избегание
коллизий полезно на практике в тех ситуациях, когда своевременное
обнаружение коллизии невозможно.
3.2.2. Централизованный метод доступа
Развитием метода CSMA/CD является централизованный метод

доступа (Demand Priority, DP), в котором концентратор выступает
в роли «арбитра» − проблема доступа к разделяемой среде решается
через передачу запросов концентратору, циклически прослушива-
ющему всех абонентов по очереди и дающему право передачи або-
ненту, следующему по порядку за тем, который закончил передачу.
Величина времени доступа в таком случае в отличии от обычного
CSMA/CD гарантирована. В данном методе доступа реализованы
два уровня приоритетов: низкий − для обычных приложений и вы-
сокий − для мультимедийных. Запросы с высоким уровнем приори-
тета (высокоприоритетные) обслуживаются раньше, чем запросы с
нормальным приоритетом (низкоприоритетные). Если приходит за-
прос высокого приоритета, то нормальный порядок обслуживания
прерывается, и после окончания приема текущего пакета обслужива-
ется запрос высокого приоритета. Если таких высокоприоритетных
запросов несколько, то возврат к нормальной процедуре обслужива-
ния происходит только после полной обработки всех этих запросов.
Можно сказать, что высокоприоритетные запросы обслуживаются
вне очереди, но они образуют свою очередь. При этом концентратор
следит за тем, чтобы не была превышена установленная величина га-
рантированного времени доступа для низкоприоритетных запросов.
Если высокоприоритетных запросов слишком много, то запросы с
нормальным приоритетом автоматически переводятся им в ранг вы-

сокоприоритетных. Типичная величина времени повышения прио-
ритета равна 200–300 мс (устанавливается при конфигурировании
сети). Таким образом, даже низкоприоритетные запросы не будут
ждать своей очереди слишком долго.
Данный метод доступа разрабатывался специально для сетей
100VG-AnyLAN, ориентированных на передачу мультимедийной ин-
формации. Он обеспечивает более справедливое распределение про-
пускной способности сети.
3.2.3. Множественный доступ с передачей полномочия
Алгоритм множественного доступа с передачей полномочия

(TPMA), или маркера (Token), приведен на рис. 3.8.
Метод с передачей маркера – это метод доступа к среде, в

которой от рабочей станции к рабочей станции передается
маркер, дающий разрешение на передачу сообщения.
При получении маркера рабочая станция может передавать со-

общение, присоединяя его к маркеру, который переносит это сообще-
ние по сети. Каждая рабочая станция между передающей и прини-
мающей станциями видит это сообщение, но только станция-адресат
принимает его. При этом она создает новый маркер.
Маркер, или полномочие, – уникальная комбинация битов, поз-
воляющая начать передачу данных.
Каждый узел принимает пакет от предыдущего, восстанавлива-
ет уровни сигналов до номинального (требуемого) уровня и передает
дальше. Передаваемый пакет может содержать данные или являть-
ся маркером. Когда рабочей станции необходимо передать пакет, ее
адаптер дожидается поступления маркера, а затем преобразует его
в пакет, содержащий данные, отформатированные по протоколу со-
ответствующего уровня, и передает результат далее по ЛВС. Пакет
распространяется по ЛВС от адаптера к адаптеру, пока не найдет
своего адресата, который установит в нем определенные биты для
подтверждения того, что данные достигли адресата, и ретранслирует
его вновь в ЛВС. После чего пакет возвращается в узел, из которого
был отправлен. Здесь после проверки безошибочной передачи па-

кета узел освобождает ЛВС, генерируя новый маркер. Таким образом,
в ЛВС с передачей маркера невозможны коллизии (конфликты).
Необходимость передачи
Станция- Маркер занят

отправитель ждет
маркер
Проверка маркера
На передачу сообщения
присоединяет сообещние
к маркеру, образуя пакет
Анализ
Прием пакета Станция-адресат
пакета
станциями принимает пакет
Пропуск пакета После подтверждения

ретранслирует пакет в сеть
Анализ Прием пакета Станция-отправитель

пакета принимает пакет
станциями и анализирует передачу
После проверки
станция-отправитель
освобождает маркер
Освобождение канала
Рис. 3.8. Алгоритм TPMA
Метод с передачей маркера в основном используется в кольце-

вой топологии.
Данный метод характеризуется следующими достоинствами:
− гарантирует время доставки блоков данных в сети;
− дает возможность предоставления различных приоритетов пе-
редачи данных.
Вместе с тем метод с передачей маркера имеет существенные не-
достатки:
− в сети возможна потеря маркера, а также появление несколь-
ких маркеров, при этом сеть прекращает работу;
− включение новой рабочей станции и отключение связаны с из-
менением адресов всей системы.
3.2.4. Множественный доступ с разделением во времени
Множественный доступ с разделением во времени (TDMA)

основан на распределении времени работы канала между системами
(рис. 3.9).
Интервал
Разграни- Разграни-
читель 1 2 n читель 1 2 n
Цикл
Рис. 3.9. Структура множественного доступа

с разделением во времени
Доступ TDMA основан на использовании специального

устройства, называемого тактовым генератором. Этот ге-
нератор делит время канала на повторяющиеся циклы. Каж-
дый из циклов начинается сигналом-разграничителем. Цикл
включает n пронумерованных временных интервалов, назы-
ваемых ячейками. Интервалы предоставляются для загрузки
в них блоков данных.
Этот способ позволяет организовать передачу данных с комму-

тацией пакетов и коммутацией каналов.
Первый (простейший) вариант использования интервалов за-
ключается в том, что их число (n) делается равным количеству або-
нентских систем, подключенных к рассматриваемому каналу. Тогда
во время цикла каждой системе предоставляется один интервал, в те-
чение которого она может передавать данные. При использовании
рассмотренного метода доступа часто оказывается, что в одном и том
же цикле одним системам нечего передавать, а другим не хватает вы-
деленного времени. В результате наблюдается неэффективное ис-
пользование пропускной способности канала.
Второй более сложный, но высокоэкономичный вариант за-
ключается в том, что система получает интервал только тогда, ко-
гда у нее возникает необходимость в передаче данных, например
при асинхронном способе передачи. Для передачи данных система
может в каждом цикле получать интервал с одним и тем же номе-
ром. В этом случае передаваемые системой блоки данных появля-
ются через одинаковые промежутки времени и приходят с одним
и тем же временем запаздывания. Такой режим называется передачей
данных с имитацией коммутации каналов. Способ особенно удобен
при передаче речи.
3.2.5. Множественный доступ с разделением частоты
Множественный доступ с разделением частоты (FDMA)

заключается в разделении полосы пропускания канала на груп-
пу полос частот, представленных на рис. 3.10, которые обра-
зуют логические каналы.
Широкая полоса
Защитная полоса Узкая полоса
Частота
Рис. 3.10. Схема выделения логических каналов
Широкая полоса пропускания канала делится на ряд узких по-

лос, разделенных защитными полосами. Размеры узких полос могут
быть различными.
При использовании метода доступа FDMA, а также схоже-

го по принципам организации множественного доступа с
разделением длины волны (WDMA), широкая полоса про-
пускания канала делится на ряд узких полос, которые раз-
делены защитными полосами. В каждой узкой полосе со-
здается логический канал. Размеры узких полос могут быть
различными.
Передаваемые по логическим каналам сигналы накладываются

на разные несущие и поэтому в частотной области не должны пере-
секаться. Вместе с этим, несмотря на наличие защитных полос, спек-
тральные составляющие сигнала могут выходить за границы логиче-
ского канала и вызывать шум в соседнем логическом канале.
В оптических каналах разделение частоты осуществляется на-
правлением в каждый из них лучей света с различными частотами.
Благодаря этому пропускная способность физического канала уве-
личивается в несколько раз. При осуществлении этого мультиплек-
сирования в один световод большое число лазеров излучает свет
(на различных частотах). Через световод излучение каждого из них
проходит независимо от другого. На приемном конце разделение ча-
стот сигналов, прошедших физический канал, осуществляется путем
фильтрации выходных сигналов.
Метод доступа FDMA относительно прост, но для его реализа-
ции необходимы передатчики и приемники, работающие на различ-
ных частотах.
Выводы
1. В современных сетях в основном используются следующие

методы доступа: множественный доступ с прослушиванием несущей
и разрешением коллизий; множественный доступ с передачей пол-
номочия или метод с передачей маркера; множественный доступ с
разделением во времени; множественный доступ с разделением ча-

стоты; множественный доступ с разделением длины волны.
2. Множественный доступ с прослушиванием несущей является
самым простым с точки зрения реализации и применяется в техно-
логии Ethernet в качестве базового.
3. Множественный доступ с передачей полномочия гарантирует
определенное время доставки блоков данных в сети, а также дает
возможность предоставления различных приоритетов передачи дан-
ных, но включение новой рабочей станции и (или) ее отключение при-
водит к изменениям адресов всей системы. Применяется в различных
сетевых технологиях, например Token Ring.
4. Множественный доступ с разделением во времени позволяет
организовать передачу данных с коммутацией пакетов и коммута-
цией каналов. Данный метод доступа особенно удобен при передаче
речи или мультимедийной информации в режиме реального времени.
5. Множественный доступ с разделением частоты нашел приме-
нение в беспроводных системах связи, в то же время множественный
доступ с разделением длины волны активно применяется в оптово-
локонных системах.
3.3. Семиуровневая модель OSI
Для единого представления данных в сетях с неоднородными

устройствами и программным обеспечением международная орга-
низация по стандартам ISO (International Standardization Organization)
разработала базовую модель связи открытых систем OSI (Open
System Interconnection).
Модель OSI описывает правила и процедуры передачи данных

в различных сетевых средах при организации сеанса связи.
Основными элементами модели являются уровни, приклад-
ные процессы и физические средства соединения.
На рис. 3.11 представлена структура базовой модели. Каждый

уровень модели OSI выполняет определенную задачу в процессе
передачи данных по сети (см. п. 2.3.5). Базовая модель является осно-

вой для разработки сетевых протоколов. OSI разделяет коммуника-
ционные функции в сети на семь уровней, каждый из которых обслу-
живает различные части процесса взаимодействия открытых систем.
Пользователи Интерфейс
пользователя
Прикладные процессы
интерфейс
7 Прикладной
Уровни
6 Представительский
5 Сеансовый Область
4 Транспортный взаимодействия
открытых
3 Сетевой систем
2 Канальный
1 Физический
Физические средства соединения
Рис. 3.11. Структура модели OSI
Модель OSI описывает только системные средства взаимодей-

ствия, не касаясь приложений конечных пользователей. Приложения
реализуют свои собственные протоколы взаимодействия, обращаясь
к системным средствам. Если приложение может взять на себя функ-
ции некоторых верхних уровней модели OSI, то для обмена данными
оно обращается напрямую к системным средствам, выполняющим
функции оставшихся нижних уровней модели OSI.
3.3.1. Взаимодействие уровней модели OSI
Модель OSI можно разделить на две различных модели (рис. 3.12):

− горизонтальную модель на базе протоколов, обеспечиваю-
щую механизм взаимодействия программ и процессов на различ-
ных машинах;
− вертикальную модель на основе услуг, обеспечиваемых со-

седними уровнями друг другу на одной машине.
Каждый уровень компьютера-отправителя взаимодействует с
таким же уровнем компьютера-получателя, как будто он связан
напрямую. Такая связь называется логической, или виртуальной,
связью. В действительности взаимодействие осуществляется между
смежными уровнями одного компьютера.
Компьютер-отправитель Компьютер-получатель
Виртуальная связь
Прикладной Прикладной
Представительский Представительский
Сеансовый Сеансовый
Транспортный Транспортный
Сетевой Сетевой
Канальный Канальный
Физический Физический
Физическая среда
Рис. 3.12. Схема взаимодействия компьютеров

в базовой эталонной модели OSI
Итак, информация на компьютере-отправителе должна пройти

через все уровни. Затем она передается по физической среде до ком-
пьютера-получателя и опять проходит сквозь все слои, пока не дохо-
дит до того же уровня, с которого она была послана на компьютере-
отправителе.
В горизонтальной модели двум программам требуется общий
протокол для обмена данными. В вертикальной модели соседние
уровни обмениваются данными с использованием интерфейсов прик-

ладных программ API (Application Programming Interface).
Перед подачей в сеть данные разбиваются на пакеты. При от-
правке данных пакет проходит последовательно через все уровни
программного обеспечения. На каждом уровне к пакету добавляется
управляющая информация данного уровня (заголовок), которая не-
обходима для успешной передачи данных по сети, как это показано
на рис. 3.13, где Заг – заголовок пакета, Кон – конец пакета.
На принимающей стороне пакет проходит через все уровни в
обратном порядке. На каждом уровне протокол этого уровня читает
информацию пакета, затем удаляет информацию, добавленную к па-
кету на этом же уровне отправляющей стороной, и передает пакет
следующему уровню. Когда пакет дойдет до Прикладного уровня,
вся управляющая информация будет удалена из него и данные при-
мут свой первоначальный вид.
Каждый уровень модели выполняет свою функцию. Чем выше
уровень, тем более сложную задачу он решает. Отдельные уровни мо-
дели OSI удобно рассматривать как группы программ, предназначен-
ных для выполнения конкретных функций. Один уровень, к примеру,
отвечает за обеспечение преобразования данных из ASCII в EBCDIC
и содержит программы, необходимые для выполнения этой задачи.
Каждый уровень обеспечивает сервис для вышестоящего уровня,
запрашивая, в свою очередь, сервис у нижестоящего уровня. Верхние
уровни запрашивают сервис почти одинаково: как правило, это тре-
бование маршрутизации каких-то данных из одной сети в другую.
Практическая реализация принципов адресации данных возложена
на нижние уровни.
Модель OSI определяет взаимодействие открытых систем

разных производителей в одной сети.
Поэтому она выполняет для них координирующие действия по

следующим аспектам:
− взаимодействие прикладных процессов;
− формы представления данных;
− единообразное хранение данных;
− управление сетевыми ресурсами;
− безопасность данных и защита информации;
− диагностика программ и технических средств.
3.3. Семиуровневая модель OSI 100 100
Пакет Заг 7 Данные Кон 7

7-го уровня
Данные 7-го уровня
Пакет
Заг 6 Заг 7 Кон 7 Кон 6
6-го уровня
Пакет
5-го уровня Заг 5 Заг 6 Заг 7 Кон 7 Кон 6 Кон 5

Пакет
4-го уровня Заг 4 Заг 5 Заг 6 Заг 7 Кон 7 Кон 6 Кон 5 Кон 4
Пакет Данные 4-го уровня

3-го уровня Заг 3 Заг 4 Заг 5 Заг 6 Заг 7 Кон 7 Кон 6 Кон 5 Кон 4 Кон 3
Пакет Данные 3-го уровня
2-го уровня
Заг 2 Заг 3 Заг 4 Заг 5 Заг 6 Заг 7 Кон 7 Кон 6 Кон 5 Кон 4 Кон 3 Кон 2
Пакет
1-го уровня Данные 2-го уровня
Заг 1 Заг 2 Заг 3 Заг 4 Заг 5 Заг 6 Заг 7 Кон 7 Кон 6 Кон 5 Кон 4 Кон 3 Кон 2 Кон 1

Рис. 3.13. Формирование пакета каждого уровня семиуровневой модели
3. ОСНОВЫ ПЕРЕДАЧИ ДАННЫХ ПО СЕТИ
В следующей таблице приведено краткое описание функций всех

уровней.
Краткое описание функций

уровней модели OSI
Тип данных
Наименование
Функция (PDU, protocol
уровня
data units)
Прикладной Представляет набор интерфейсов, позво- Сообщение (message)
ляющих получить доступ к сетевым служ-
бам, согласует требования к процессу пе-
редачи и т. д.
Представления Преобразует данные, например, в общий Сообщение (message)
формат, засекречивает и т. д.
Сеансовый Поддерживает сеанс связи, т. е. взаимо- Сообщение (message)
действие между процессами
Транспортный Управляет передачей данных по сети, Блоки / Дейтаграммы.
обеспечивает требуемый уровень надеж- Разбиение сообщения
ности (исправление ошибок, подтвержде- на блоки фактически
ние передачи и т. д.) является началом про-
цесса формирования
пакета
Сетевой Обеспечивает выполнение задач марш- Пакет (packet)
рутизации, управляет потоками данных,
адресацией сообщений для доставки, пре-
образованием логических сетевых адре-
сов и имен в соответствующие им физи-
ческие
Канальный Управляет формированием кадров (LLC) Кадр (frame)
и доступом к среде (MAC)
Физический Реализует битовые протоколы передачи На «входе» – кадр в
данных, управляет передачей и приемом виде набора битов дан-
потока байтов через физическое устройство, ных, на «выходе» –
выполняет контроль (физический, техни- физический сигнал
ческий) за процессом передачи
Отметим, что дальше рассматривать модель OSI будем от седь-

мого, т. е. прикладного, и до первого, т. е. физического, уровня, так
как именно в данной последовательности «движется» информация
от пользовательского программного обеспечения к процессу пере-
дачи по сети.
3.3.2. Прикладной уровень
Прикладной уровень (Application Layer) обеспечивает приклад-

ные процессы средствами доступа к области взаимодействия, явля-
ется верхним (седьмым) уровнем и непосредственно примыкает к
прикладным процессам. В действительности прикладной уровень –
это набор разнообразных протоколов, с помощью которых пользо-
ватели сети получают доступ к разделяемым ресурсам, таким как
файлы, принтеры или гипертекстовые web-страницы, а также орга-
низуют свою совместную работу, например, с помощью протокола
электронной почты. Специальные элементы прикладного сервиса
обеспечивают сервис для конкретных прикладных программ, таких
как программы пересылки файлов и эмуляции терминалов. Если,
например, программе необходимо переслать файлы, то обязательно
будет использован протокол передачи, доступа и управления фай-
лами, FTAM (File Transfer, Access, and Management). В модели OSI
прикладная программа, которой нужно выполнить конкретную зада-
чу (например, обновить базу данных на компьютере), посылает кон-
кретные данные в виде дейтаграммы (Datagram) на прикладной уро-
вень. Одна из основных задач этого уровня – определить, как следует
обрабатывать запрос прикладной программы. Другими словами, ка-
кой вид должен принять данный запрос.
Единица данных, которой оперирует прикладной уровень, обычно
называется сообщением (Message).
Прикладной уровень выполняет следующие функции:
− описание форм и методов взаимодействия прикладных про-
цессов;
− согласование требований к различным видам работ (например,
передача файлов, управление заданиями, управление системой и т. д.)
и управление ими;
− идентификация пользователей по их паролям, адресам, элек-
тронным подписям;
− выявление функционирующих абонентов и возможности до-
ступа к новым прикладным процессам;
− определение достаточности имеющихся ресурсов;
− организация запросов на соединение с другими прикладными
процессами;
− передача заявок представительскому уровню на необходимые
методы описания информации;
− выбор процедур планируемого диалога процессов;

− управление данными, которыми обмениваются прикладные
процессы, и синхронизация взаимодействия прикладных процессов;
− определение качества обслуживания (время доставки блоков
данных, допустимой частоты ошибок);
− получение соглашения об исправлении ошибок и определении
достоверности данных;
− согласование ограничений, накладываемых на синтаксис (на-
боры символов, структура данных).
Указанные функции определяют виды сервиса, которые при-
кладной уровень предоставляет прикладным процессам. Кроме того,
прикладной уровень передает прикладным процессам сервис, пре-
доставляемый физическим, канальным, сетевым, транспортным, се-
ансовым и представительским уровнями.
На прикладном уровне необходимо предоставить в распо-

ряжение пользователей уже переработанную информацию.
С этим может справиться системное и пользовательское ПО.
Прикладной уровень отвечает за доступ приложений в сеть.
Задачами этого уровня является перенос файлов, обмен поч-
товыми сообщениями и управление сетью.
К числу наиболее распространенных протоколов верхних трех

уровней относятся:
− HTTP (HyperText Transfer Protocol) – протокол прикладного
уровня передачи данных, изначально в виде гипертекстовых доку-
ментов в формате HTML, в настоящее время используется для пе-
редачи произвольных данных;
− FTP (File Transfer Protocol) – протокол передачи файлов по сети;
− TFTP (Trivial File Transfer Protocol) – простейший протокол
пересылки файлов;
− X.400 – электронная почта;
− Telnet – работа с удаленным терминалом;
− SMTP (Simple Mail Transfer Protocol) – простой протокол поч-
тового обмена;
− POP3 (Post Office Protocol, Version 3) – стандартный прото-
кол, используемый клиентами электронной почты для получения
почты с удаленного сервера по TCP-соединению;
− IMAP4 (Internet Message Access Protocol, Version 4) – прото-

кол прикладного уровня для доступа к электронной почте;
− CMIP (Common Management Information Protocol) – общий
протокол управления информацией;
− SNMP (Simple Network Management Protocol) – простой про-
токол сетевого управления;
− FTAM (File Transfer, Access, and Management) – протокол пе-
редачи, доступа и управления файлами.
3.3.3. Уровень представления данных
Уровень представления данных, или представительский уро-

вень (Presentation Layer), представляет данные, передаваемые между
прикладными процессами, в нужной форме.
Этот уровень обеспечивает то, что информация, передаваемая
прикладным уровнем, будет «понятна» прикладному уровню в дру-
гой системе или транспортному уровню той же системы. В случаях
необходимости уровень представления в момент передачи инфор-
мации выполняет преобразование форматов данных в некоторый об-
щий формат представления, а в момент приема, соответственно, вы-
полняет обратное преобразование.
Таким образом, прикладные уровни могут преодолеть, например,
синтаксические различия в представлении данных. Подобная ситуа-
ция может возникнуть в ЛВС с неоднотипными компьютерами (IBM
PC и Macintosh), которым необходимо обмениваться данными. Так, в
полях баз данных информация должна быть представлена в виде букв
и цифр, а зачастую и в виде графического изображения. Обрабатывать
же эти данные нужно, например, как числа с плавающей запятой.
В основу общего представления данных положена единая для всех
уровней модели система ASN.1. Эта система служит для описания
структуры файлов и позволяет решить проблему шифрования данных.
На уровне представления данных может выполняться их шиф-

рование и дешифрование, благодаря которым секретность об-
мена данными обеспечивается сразу для всех прикладных сер-
висов. Примером такого протокола является протокол Secure
Socket Layer (SSL), обеспечивающий секретный обмен сооб-
щениями для протоколов прикладного уровня стека TCP/IP.
Представительный уровень выполняет следующие функции:

− генерация запросов на установление сеансов взаимодействия
прикладных процессов;
− согласование представления данных между прикладными про-
цессами;
− реализация форм представления данных;
− преобразование данных (кодирование, компрессия и т. д.);
− засекречивание данных (шифрование);
− передача запросов при необходимости на прекращение сеансов.
Протоколы уровня представления данных обычно являются со-
ставной частью протоколов трех верхних уровней модели. Отдельно
можно выделить только протокол SSL, который зачастую использует-
ся в паре с НТТР (получается HTTPs) для обеспечения безопасности.
3.3.4. Сеансовый уровень
Сеансовый уровень (Session Layer) – это уровень, определяю-

щий процедуру проведения сеансов между пользователями или прик-
ладными процессами.
Сеансовый уровень обеспечивает управление диалогом для того,
чтобы фиксировать, какая из сторон является активной в настоящий
момент, а также предоставляет средства синхронизации. Последние
позволяют вставлять контрольные точки в длинные передачи, чтобы
в случае отказа можно было вернуться назад к последней контроль-
ной точке, а не начинать все сначала. На практике немногие прило-
жения используют сеансовый уровень, и он редко реализуется.
Сеансовый уровень управляет передачей информации между

прикладными процессами, координирует прием, передачу и
выдачу одного сеанса связи. Кроме того, этот уровень содер-
жит дополнительно функции управления паролями и диало-
гом, синхронизации и отмены связи в сеансе передачи после
сбоя вследствие ошибок в нижерасположенных уровнях.
Функции этого уровня состоят в координации связи между двумя

прикладными программами, работающими на разных рабочих стан-
циях. Это происходит в виде хорошо структурированного диалога.
В число этих функций входит создание сеанса, управление переда-

чей и приемом пакетов сообщений во время сеанса и завершение
сеанса.
На сеансовом уровне определяется, какой будет передача между
двумя прикладными процессами:
− полудуплексной (Half Duplex; процессы или средства будут
передавать и принимать данные по очереди);
− дуплексной (Duplex или Full Duplex; процессы или средства
будут передавать и принимать данные одновременно).
В полудуплексном режиме сеансовый уровень выдает маркер
данных тому процессу, который начинает передачу. Когда второму
процессу приходит время отвечать, маркер данных передается ему.
Сеансовый уровень разрешает передачу только той стороне, которая
обладает маркером данных.
Сеансовый уровень обеспечивает выполнение следующих функций:
− установление и завершение на сеансовом уровне соединения
между взаимодействующими системами;
− управление выполнением нормального и срочного обмена дан-
ными между прикладными процессами;
− управление взаимодействием прикладных процессов;
− синхронизация сеансовых соединений;
− извещение прикладных процессов об исключительных ситуа-
циях, касающихся сеанса связи;
− установление в прикладном процессе меток, позволяющих по-
сле отказа либо ошибки восстановить его выполнение от ближайшей
метки;
− прерывание в нужных случаях прикладного процесса и его кор-
ректное возобновление;
− прекращение сеанса без потери данных;
− передача особых сообщений о ходе проведения сеанса.
Сеансовый уровень отвечает за организацию сеансов обмена дан-
ными между оконечными машинами. Протоколы сеансового уровня
обычно являются составной частью протоколов трех верхних уров-
ней модели. Но есть и отдельные протоколы, относящиеся прежде
всего к сеансовому уровню:
− ADSP (AppleTalk Data Stream Protocol);
− ASP (AppleTalk Session Protocol);
− RPC (Remote Procedure Call);
− PAP (Password Authentication Protocol).
3.3.5. Транспортный уровень
Транспортный уровень (Transport Layer) предназначен для уп-

равления передачей пакетов через коммуникационную сеть. На транс-
портном уровне сообщение (Message), приходящее с вышележащих
уровней, разбивается на блоки. Фактически это является началом фор-
мирования пакета.
На пути от отправителя к получателю пакеты могут быть иска-
жены или утеряны. Хотя некоторые приложения имеют собственные
средства обработки ошибок, существуют и такие, которые предпочи-
тают сразу иметь дело с надежным соединением.
Работа транспортного уровня заключается в том, чтобы обес-

печить приложениям или верхним уровням модели (приклад-
ному и сеансовому) передачу данных с той степенью надеж-
ности, которая им требуется.
Модель OSI определяет пять классов сервиса, предоставляемых

транспортным уровнем. Эти виды сервиса отличаются качеством
предоставляемых услуг: срочностью, возможностью восстановле-
ния прерванной связи, наличием средств мультиплексирования не-
скольких соединений между различными прикладными протокола-
ми через общий транспортный протокол, а главное способностью к
обнаружению и исправлению ошибок передачи, таких как искаже-
ние, потеря и дублирование пакетов.
Этот уровень гарантирует доставку блоков информации адре-
сатам и управляет этой доставкой. Его главной задачей является
обеспечение эффективных, удобных и надежных форм передачи
информации между системами. Когда в процессе обработки нахо-
дится более одного пакета, транспортный уровень контролирует
очередность прохождения пакетов. Если проходит дубликат при-
нятого ранее сообщения, то данный уровень опознает это и игно-
рирует сообщение.
В функции транспортного уровня входят:
− управление передачей по сети и обеспечение целостности па-
кетов данных;
− восстановление передачи после отказов и неисправностей;
− укрупнение или разделение пакетов данных;
− обнаружение ошибок, частичная их ликвидация и сообщение

о неисправленных ошибках;
− предоставление приоритетов при передаче пакетов (нормаль-
ная или срочная);
− подтверждение передачи;
− ликвидация пакетов при тупиковых ситуациях в сети.
Начиная с транспортного уровня, все вышележащие протоколы
реализуются программными средствами, обычно включаемыми в со-
став сетевой операционной системы.
Наиболее распространенные протоколы транспортного уровня
включают в себя:
− TCP (Transmission Control Protocol) – протокол управления пе-
редачей стека TCP/IP;
− UDP (User Datagram Protocol) – пользовательский протокол
дейтаграмм стека TCP/IP;
− NCP (NetWare Core Protocol) – базовый протокол сетей
NetWare;
− SPX (Sequenced Packet eXchange) – упорядоченный обмен па-
кетами стека Novell;
− SCTP (Stream Control Transmission Protocol) – является более
новым протоколом, поэтому SCTP имеет несколько нововведений,
таких как многопоточность, защита от DDoS-атак, синхронное со-
единение между двумя хостами по двум и более независимым фи-
зическим каналам (multi-homing).
3.3.6. Сетевой уровень
Сетевой уровень (Network Layer) служит для образования еди-

ной транспортной системы, объединяющей несколько сетей, при-
чем эти сети могут использовать совершенно различные принципы
передачи сообщений между конечными узлами и обладать произ-
вольной структурой связей.
Сетевой уровень обеспечивает прокладку логических кана-

лов, соединяющих абонентские и административные системы
через коммуникационную сеть, а также выбор наиболее быст-
рого и надежного пути.
Виртуальный, или логический, канал – это такое функцио-

нирование компонентов сети, которое создает взаимодействующим
компонентам иллюзию прокладки между ними нужного тракта.
Кроме того, сетевой уровень сообщает транспортному уровню о по-
являющихся ошибках.
В целом для регулирования доставки данных внутри сети до-
статочно наличия канального уровня и его протоколов (передавать
данные можно по физическому (MAC) адресу), а вот доставкой
данных между сетями занимается именно сетевой уровень, так как
данный процесс требует определения оптимального маршрута пе-
редачи – при этом используется именно сетевой, а не физический
адрес, который состоит из номера сети и номера компьютера в
этой сети. Именно номер сети используется для определения мар-
шрута передачи данных. Соответственно, сетевой уровень должен
уметь выполнять преобразования MAC-адресов в сетевые адреса
и обратно.
Сети соединяются между собой специальными устройствами,
называемыми маршрутизаторами.
Маршрутизатор (Router) – это устройство, которое собирает
информацию о топологии межсетевых соединений и на ее основа-
нии пересылает пакеты сетевого уровня в сеть назначения.
Для того чтобы передать сообщение от отправителя, находяще-
гося в одной сети, получателю, находящемуся в другой сети, нужно
совершить некоторое количество транзитных передач (hops) между
сетями, каждый раз выбирая подходящий маршрут. Таким образом,
маршрут представляет собой последовательность маршрутизаторов,
по которым проходит пакет.
На рис. 3.14 показаны четыре сети, связанные маршрутизато-
рами. Между узлами A и B данной сети пролегают два маршрута:
первый – через маршрутизаторы 1 и 3, а второй – через маршрути-
заторы 1, 2 и 3.
Прокладка наилучшего пути для передачи данных называется
маршрутизацией (Routing), и это является главной задачей сетевого
уровня.
Эта проблема осложняется тем, что самый короткий путь не
всегда самый лучший. Часто критерием при выборе маршрута яв-
ляется время передачи данных по этому маршруту; оно зависит от
пропускной способности каналов связи и интенсивности трафика,
которая может изменяться с течением времени.
Маршрутизаторы
Сеть 1 Сеть 3
Сеть 2
B
Сеть 4
Рис. 3.14. Пример составной сети
Некоторые алгоритмы маршрутизации пытаются приспособить-

ся к изменению нагрузки, в то время как другие принимают решения
на основе средних показателей за длительное время. Выбор маршрута
может осуществляться и по другим критериям, например надежности
передачи.
Сетевой уровень также обеспечивает прозрачную передачу

пакетов на транспортный уровень.
В целом сетевой уровень выполняет следующие функции:

− создание сетевых соединений и идентификация их портов;
− управление потоками пакетов;
− организация (упорядочение) последовательностей пакетов;
− маршрутизация и коммутация;
− сегментирование и объединение пакетов.
На сетевом уровне определяется два вида протоколов. Первый
вид относится к определению правил передачи пакетов с данными
конечных узлов от узла к маршрутизатору и между маршрутизато-
рами. Именно эти протоколы обычно имеют в виду, когда говорят
о протоколах сетевого уровня. Однако часто к сетевому уровню от-
носят и другой вид протоколов, называемых протоколами обмена
маршрутной информацией. С помощью этих протоколов маршрути-
заторы собирают информацию о топологии межсетевых соединений.
Протоколы сетевого уровня реализуются программными

модулями операционной системы, а также программными и
аппаратными средствами маршрутизаторов.
Наиболее часто на сетевом уровне используются протоколы:

− IP (Internet Protocol) – протокол Internet, сетевой протокол сте-
ка TCP/IP, который предоставляет адресную и маршрутную инфор-
мацию;
− IPX (Internetwork Packet Exchange) – протокол межсетевого
обмена пакетами, предназначенный для адресации и маршрутизации
пакетов в сетях Novell;
− X.25 – международный стандарт для глобальных коммуника-
ций с коммутацией пакетов (частично этот протокол реализован на
уровне 2);
− CLNP (Connection Less Network Protocol) – сетевой протокол
без организации соединений.
3.3.7. Канальный уровень
Главная задача канального уровня (Data Link) − брать пакеты,

поступающие с сетевого уровня и готовить их к передаче,
укладывая в кадр соответствующего размера, который далее
передается физическому уровню.
Этот уровень обязан определить, где начинается и где заканчи-

вается блок, а также обнаруживать ошибки передачи. Поэтому еди-
ницей информации канального уровня являются кадры (Frame). Фак-
тически кадры – это логически организованная структура, в которую
можно помещать данные.
На физическом уровне просто пересылаются биты в виде физи-
ческих сигналов. При этом не учитывается, что в некоторых сетях,
в которых линии связи используются попеременно несколькими па-
рами взаимодействующих компьютеров, физическая среда передачи
может быть занята. Поэтому одной из задач канального уровня яв-
ляется определение доступа к среде и управление передачей посред-
ством процедуры передачи данных по каналу. При больших разме-
рах передаваемых блоков данных канальный уровень делит их на
кадры и передает кадры в виде последовательностей. При получении
кадров уровень формирует из них переданные блоки данных. Размер
блока данных зависит от способа передачи, качества канала, по ко-
торому он передается.
Другой задачей канального уровня является реализация ме-

ханизмов обнаружения и коррекции ошибок. Канальный уро-
вень обеспечивает корректность передачи каждого кадра,
помещая специальную последовательность битов в начало и
конец каждого кадра, чтобы отметить его, а также вычисля-
ет контрольную сумму, суммируя все байты кадра определен-
ным способом и добавляя контрольную сумму к кадру.
Когда кадр приходит, получатель снова вычисляет контроль-

ную сумму (CRC) полученных данных и сравнивает результат с кон-
трольной суммой из кадра. Если они совпадают, кадр считается
правильным и принимается. Если же контрольные суммы не совпа-
дают, то фиксируется ошибка. Вместо простой контрольной суммы
могут применяться корректирующие коды, которые не только обна-
руживают факт наличия ошибки, но и могут ее исправить.
На этом же уровне определяются правила использования физи-
ческого уровня узлами сети. Физическое (электрическое) представ-
ление данных в сетях (биты данных, методы кодирования данных и
маркеры) распознаются на этом и только на этом уровне.
Итак, канальный уровень обеспечивает создание, передачу и
прием кадров данных. Этот уровень обслуживает запросы сетевого
уровня и использует сервис физического уровня для приема и пере-
дачи пакетов. Спецификации IEEE 802.Х делят канальный уровень
на два подуровня:
− LLC (Logical Link Control, управление логическим каналом),
который осуществляет логический контроль связи. Подуровень LLC
обеспечивает обслуживание сетевого уровня и связан с передачей
и приемом пользовательских сообщений;
− MAC (Media Assess Control, контроль доступа к среде), который
регулирует доступ к разделяемой физической среде (передача марке-
ра, обнаружение коллизий или столкновений) и управляет доступом
к каналу связи. Подуровень LLC находится выше подуровня МАC.
Канальный уровень может выполнять следующие виды функций:
− организация (установление, управление, расторжение) каналь-
ных соединений и идентификация их портов;
− организация и передача кадров;
− обнаружение и исправление ошибок;
− управление потоками данных;
− обеспечение прозрачности логических каналов (передачи по

ним данных, закодированных любым способом).
Наиболее часто используемые протоколы (или реализуемые тех-
нологии) на канальном уровне включают:
− HDLC (High Level Data Link Control) – протокол управления
каналом передачи данных высокого уровня, для последовательных
соединений;
− IEEE 802.2 LLC (типы I, II) – обеспечивают MAC для сред 802.x;
− Ethernet – сетевая технология по стандарту IEEE 802.3 для се-
тей, использующая шинную топологию и коллективный доступ с
прослушиванием несущей и обнаружением конфликтов;
− Token Ring – сетевая технология по стандарту IEEE 802.5, ис-
пользующая кольцевую топологию и метод доступа к кольцу с пе-
редачей маркера;
− FDDI (Fiber Distributed Date Interface Station) – сетевая техно-
логия по стандарту IEEE 802.6, использующая оптоволоконный но-
ситель;
− X.25 – международный стандарт для глобальных коммуника-
ций с коммутацией пакетов;
− Frame Relay – сеть, организованная из технологий Х.25 и ISDN.
3.3.8. Физический уровень
Физический уровень (Physical Layer) предназначен для сопря-

жения с физическими средствами соединения.
Физические средства соединения (Physical Interconnection Fa-
cility) – это совокупность физической среды, аппаратных и програм-
мных средств, обеспечивающая передачу сигналов между системами.
Физическая среда (Physical Environment) – это материальная
субстанция, через которую осуществляется передача сигналов. Фи-
зическая среда является основой, на которой строятся физические
средства соединения. В качестве физической среды широко исполь-
зуются эфир, металлы, оптическое стекло и кварц.
Физический уровень состоит из подуровня стыковки со средой
и подуровня преобразования передачи. Первый из них обеспечивает
сопряжение потока данных с используемым физическим каналом
связи. Второй осуществляет преобразования, связанные с применя-
емыми протоколами.
Физический уровень обеспечивает физический интерфейс с

каналом передачи данных, а также описывает процедуры пе-
редачи сигналов в канал и получения их из канала. На этом
уровне определяются электрические, механические, функци-
ональные и процедурные параметры для физической связи
в системах. Физический уровень получает пакеты данных от
вышележащего канального уровня и преобразует их в оптиче-
ские или электрические сигналы, соответствующие 0 и 1 би-
нарного потока.
Эти сигналы посылаются через среду передачи на приемный узел.

Механические и электрические/оптические свойства среды передачи
определяются на физическом уровне и включают:
− тип кабелей и разъемов;
− разводку контактов в разъемах;
− схему кодирования сигналов для значений 0 и 1.
Физический уровень выполняет следующие функции:
− установление и разъединение физических соединений;
− передачу и прием сигналов в последовательном коде;
− прослушивание каналов в необходимых случаях;
− идентификацию каналов;
− оповещение о появлении неисправностей и отказов.
Оповещение о появлении неисправностей и отказов связано
с тем, что на физическом уровне происходит обнаружение опре-
деленного класса событий, которые мешают нормальной рабо-
те сети. К ним относятся: столкновение кадров, посланных сразу
несколькими системами, обрыв канала, отключение питания, по-
теря механического контакта и т. д. Виды сервиса, предоставля-
емого канальному уровню, определяются протоколами физиче-
ского уровня. Прослушивание канала необходимо в тех случаях,
когда к одному каналу подключается группа систем, но одновре-
менно передавать сигналы разрешается только одной из них. По-
этому прослушивание канала позволяет определить, свободен ли
он для передачи.
В ряде случаев для более четкого определения структуры фи-
зический уровень разбивается на несколько подуровней. Например,
физический уровень беспроводной сети делится на три подуровня
(рис. 3.15).
Подуровень, не зависимый
1в от физических средств
соединений
1б Переходной подуровень
Подуровень, зависимый
1а от физических средств
соединений
Рис. 3.15. Физический уровень беспроводной локальной сети
Функции физического уровня реализуются во всех устройствах,

подключенных к сети. Со стороны компьютера функции физиче-
ского уровня выполняются сетевым адаптером. Повторители явля-
ются единственным типом оборудования, которое работает только
на физическом уровне.
Выполняется преобразование данных, поступающих от более
высокого уровня, в сигналы, передаваемые по кабелю. В глобальных
сетях на этом уровне могут использоваться модемы и интерфейс
RS-232C. В локальных сетях для преобразования данных применяют
сетевые адаптеры, обеспечивающие скоростную передачу данных в
цифровой форме. Пример протокола физического уровня – это из-
вестный интерфейс RS-232C/CCITT V.2, который является наиболее
широко распространенной стандартной последовательной связью
между компьютерами и периферийными устройствами.
Можно считать этот уровень отвечающим за аппаратное обес-
печение. Физический уровень может обеспечивать как асинхронную
(последовательную), так и синхронную (параллельную) передачу, ко-
торая применяется для некоторых мейнфреймов и мини-компьюте-
ров. На физическом уровне должна быть определена схема кодиро-
вания для представления двоичных значений с целью их передачи
по каналу связи. Во многих локальных сетях используется манчестер-
ское кодирование.
Примером протокола физического уровня может служить спе-
цификация 100Base-T технологии Ethernet, которая определяет в
качестве используемого кабеля неэкранированную витую пару ка-
тегории 5 с волновым сопротивлением 100 Ом, разъем RJ-45, мак-
симальную длину физического сегмента 100 м, манчестерский код
для представления данных на кабеле и другие характеристики среды
и электрических сигналов.
К числу наиболее распространенных спецификаций физического

уровня относятся:
− EIA-RS-232-C, CCITT V.24/V.28 – механические/электрические
характеристики несбалансированного последовательного интерфейса;
− EIA-RS-422/449, CCITT V.10 – механические, электрические
и оптические характеристики сбалансированного последовательного
интерфейса;
− Ethernet – сетевая технология по стандарту IEEE 802.3 для се-
тей, использующая шинную топологию и коллективный доступ с
прослушиванием несущей и обнаружением конфликтов;
− Token Ring – сетевая технология по стандарту IEEE 802.5, ис-
пользующая кольцевую топологию и метод доступа к кольцу с пе-
редачей маркера.
Модель OSI представляет собой хотя и очень важную, но одну
из многих моделей коммуникаций. Эти модели и связанные с ними
стеки протоколов могут отличаться количеством уровней, их функци-
ями, форматами сообщений, сервисами, предоставляемыми на верх-
них уровнях, и прочими параметрами.
Иерархически организованная совокупность протоколов, ре-

шающих задачу взаимодействия узлов сети, называется сте-
ком коммуникационных протоколов (Communication Pro-
tocol Stack).
Протоколы соседних уровней, находящихся в одном узле, вза-

имодействуют друг с другом также в соответствии с четко опреде-
ленными правилами и с помощью стандартизованных форматов со-
общений. Эти правила принято называть интерфейсом. Интерфейс
определяет набор услуг, которые нижележащий уровень предостав-
ляет вышележащему уровню.
Выводы
1. В компьютерных сетях идеологической основой стандарти-

зации является многоуровневый подход к разработке средств сете-
вого взаимодействия.
2. Формализованные правила, определяющие последователь-

ность и формат сообщений, которыми обмениваются сетевые ком-
поненты, лежащие на одном уровне, но в разных узлах, называются
протоколом.
3. Формализованные правила, определяющие взаимодействие
сетевых компонентов соседних уровней одного узла, называются ин-
терфейсом. Интерфейс определяет набор сервисов, предоставляемый
данным уровнем соседнему уровню.
4. Иерархически организованный набор протоколов, достаточ-
ный для организации взаимодействия узлов в сети, называется сте-
ком коммуникационных протоколов.
5. Открытой системой может быть названа любая система, ко-
торая построена в соответствии с общедоступными спецификаци-
ями, соответствующими стандартам и принятыми в результате пуб-
личного обсуждения всеми заинтересованными сторонами.
6. Модель OSI стандартизирует взаимодействие открытых систем.
Она определяет семь уровней взаимодействия: прикладной, пред-
ставительный, сеансовый, транспортный, сетевой, канальный и фи-
зический.
7. Три нижних уровня (физический, канальный и сетевой) яв-
ляются сетезависимыми – протоколы этих уровней тесно связаны с
технической реализацией сети, с используемым коммуникационным
оборудованием.
8. Важнейшим направлением стандартизации в области вычис-
лительных сетей является стандартизация коммуникационных про-
токолов. Наиболее популярными являются стеки: TCP/IP, IPX/SPX,
NetBIOS/SMB, DECnet, SNA и OSI.
1. Дайте определение пакета.

2. В чем заключаются преимущества использования пакетов?
3. Дайте определение времени доступа.
4. Опишите типичную стуктуру пакета.
5. Для чего предназначена преамбула в пакете?
6. Какие функции выполняет служебная информация в пакете?
7. Что такое инкапсуляция пакетов?

8. Что означает понятие «метод доступа» и как он влияет на пе-
редачу данных в сети?
9. Какие существуют методы доступа?
10. Охарактеризуйте метод доступа с прослушиванием несущей
и разрешением коллизий.
11. При каком методе доступа обе станции могут одновременно
начать передачу и войти в конфликт?
12. В каких сетевых технологиях используется метод CSMA/CD?
13. Дайте характеристику метода доступа с разделением во вре-
мени и перечислите, в каких случаях используется данный метод.
14. Что такое маркер?
15. В каком случае рабочая станция может начать передачу дан-
ных при использовании метода доступа с передачей полномочия?
16. Охарактеризуйте метод доступа с передачей полномочия.
17. Охарактеризуйте метод множественного доступа с разделе-
нием частоты.
18. Какие существуют варианты использования множественного
доступа с разделением во времени?
19. Что такое OSI?
20. Каково назначение базовой модели взаимодействия откры-
тых систем?
21. На какие уровни разбивается базовая модель OSI?
22. Что обеспечивает горизонтальная составляющая модели вза-
имодействия открытых систем?
23. Какие элементы являются основными элементами для базо-
вой модели взаимодействия открытых систем?
24. Какие функции выполняются на физическом уровне?
25. Какие вопросы решаются на физическом уровне?
26. Какой уровень модели OSI преобразует данные в общий фор-
мат для передачи по сети?
27. Какое оборудование используется на физическом уровне?
28. Какие известны спецификации физического уровня?
29. Перечислите функции канального уровня.
30. Каковы функции канального уровня?
31. На какие подуровни разделяется канальный уровень? Опи-
шите их функции.
32. Какие протоколы используются на канальном уровне?
33. Какое оборудование используется на канальном уровне?
34. Какие функции выполняются, какие протоколы используются

на сетевом уровне?
35. Какое оборудование используется на сетевом уровне?
36. Перечислите функции транспортного уровня.
37. Какие протоколы используются на транспортном уровне?
38. Перечислите оборудование транспортного уровня.
39. Дайте определение сеансового уровня.
40. Какой уровень отвечает за доступ приложений в сеть?
41. Перечислите задачи уровня представления данных.
42. Назовите функции прикладного уровня.
43. Перечислите протоколы верхних уровней.
4
ПОНЯТИЕ ПРОТОКОЛА.
СТЕК ПРОТОКОЛОВ TCP/IP
4.1. Спецификации стандартов канального

и физического уровней
Спецификации института инженеров-электриков и инженеров-

электронщиков (Institute of Electrical and Electronics Engineers, IEEE)
IEEE 802 определяют стандарты для физических компонентов сети –
сетевой карты (Network Interface Card, NIC) и сетевого носителя
(Network Media). Они относятся к физическому и канальному уров-
ням модели OSI. Спецификации IEEE 802 определяют механизм до-
ступа адаптера к каналу связи и механизм передачи данных. Стандар-
ты IEEE 802 подразделяют канальный уровень на подуровни:
− Logical Link Control (LLC) – подуровень управления логической
связью;
− Media Access Control (MAC) – подуровень управления досту-
пом к устройствам.
Существует более двадцати спецификаций IEEE 802.
Стандарт IEEE 802.1 (Internetworking – межсетевое взаи-
модействие) задает механизмы управления сетью на MAC-уровне.
В разделе 802.1 приводятся основные понятия и определения, общие
характеристики и требования к локальным сетям, а также поведение
маршрутизации на канальном уровне, где логические адреса должны
быть преобразованы в их физические адреса и наоборот.
Стандарт IEEE 802.2 (Logical Link Control – управление логи-
ческой связью) определяет функционирование подуровня LLC на ка-
нальном уровне модели OSI. LLC обеспечивает интерфейс между ме-
тодами доступа к среде и сетевым уровнем.
Стандарт IEEE 802.3 (Ethernet Carrier Sense Multiple Access with
Collision Detection, CSMA/CD LANs Ethernet, множественный доступ
к сетям Ethernet с проверкой несущей и обнаружением конфликтов)
4.1. Спецификация стандартов канального и физического уровней 121
описывает физический уровень и подуровень MAC для сетей, исполь-

зующих шинную топологию и коллективный доступ с прослушива-
нием несущей и обнаружением конфликтов. Прототип этого метода –
метод доступа стандарта Ethernet (10BaseT, 10Base2, 10Base5).
Метод доступа CSMA/CD также включает технологии Fast
Ethernet (100BaseTX, 100BaseFX, 100BaseFX):
− 100Base-TХ – двухпарная витая пара; использует метод MLT-3
(Multi Level Transmission 3 – один из способов линейного кодирова-
ния: физического кодирования, канального кодирования, импульсно-
кодовой модуляции) для передачи сигналов 5-битовых порций кода
4В/5B по витой паре, а также имеется функция автопереговоров (Auto-
negotiation) для выбора режима работы порта;
− 100Base-T4 – четырехпарная витая пара; вместо кодирова-
ния 4B/5В в этом методе используется кодирование 8B/6T.
− 100BaseFХ – многомодовое оптоволокно; определяет работу
протокола Fast Ethernet по многомодовому оптоволокну в полудуп-
лексном и полнодуплексном режимах на основе хорошо проверенной
схемы кодирования и передачи оптических сигналов, использующей-
ся уже на протяжении ряда лет в стандарте FDDI (Fiber Distributed
Data Interface – оптоволоконный интерфейс распределенных данных).
Как и в стандарте FDDI, каждый узел соединяется с сетью двумя оп-
тическими волокнами, идущими от приемника и передатчика.
Этот метод доступа используется в сетях с общей шиной (к ко-
торым относятся и радиосети, породившие этот метод). Все компь-
ютеры такой сети имеют непосредственный доступ к общей шине,
поэтому она может быть использована для передачи данных между
любыми двумя узлами сети.
Простота схемы подключения – это один из факторов, опре-

деливших успех стандарта Ethernet. Говорят, что кабель, к
которому подключены все станции, работает в режиме кол-
лективного доступа (Multiply Access, MA).
Метод доступа CSMA/CD определяет основные временные
и логические соотношения, гарантирующие корректную ра-
боту всех станций в сети.
Передаваемые по сети данные помещаются в кадры определенной

структуры и снабжаются уникальным адресом станции назначения.
122 4. ПОНЯТИЕ ПРОТОКОЛА. СТЕК ПРОТОКОЛОВ TCP/IP
Кадр передается по кабелю. Все станции, подключенные к кабелю,

могут распознать факт передачи кадра, и та станция, которая узнает
собственный адрес в заголовках кадра, записывает его содержимое в
свой внутренний буфер, обрабатывает полученные данные и посыла-
ет по кабелю кадр-ответ. Адрес станции-источника включен в ис-
ходный кадр, поэтому станция-получатель знает, куда послать ответ.
Стандарт IEEE 802.4 (Token Bus LAN – локальные сети Token
Bus) определяет метод доступа к шине с передачей маркера, прото-
тип – ARCNet.
При подключении устройств в ARCNet применяют топологию
«шина» или «звезда». Адаптеры ARCNet поддерживают метод до-
ступа Token Bus (маркерная шина) и обеспечивают производитель-
ность 2,5 Мбит/с. Этот метод предусматривает следующие правила:
− все устройства, подключенные к сети, могут передавать дан-
ные, только получив разрешение на передачу (маркер);
− в любой момент времени только одна станция в сети обладает
таким правом;
− кадр, передаваемый одной станцией, одновременно анализи-
руется всеми остальными станциями сети.
В сетях ARCNet используется асинхронный метод передачи

данных (в сетях Ethernet и Token Ring применяется синхрон-
ный метод), т. е. передача каждого байта в ARCNet выпол-
няется посылкой ISU (Information Symbol Unit – единица пе-
редачи информации), состоящей из трех служебных старто-
вых или стоповых битов и восьми битов данных.
Стандарт IEEE 802.5 (Token Ring LAN – локальные сети Token

Ring) описывает метод доступа к кольцу с передачей маркера, прото-
тип – Token Ring.
Сети стандарта Token Ring, как и сети Ethernet, используют

разделяемую среду передачи данных, которая состоит из отрез-
ков кабеля, соединяющих все станции сети в кольцо. Кольцо
рассматривается как общий разделяемый ресурс, и для досту-
па к нему используется алгоритм, основанный на передаче
станциями права на использование кольца в определенном
порядке. Это право передается с помощью маркера (токена).
Стандарт IEEE 802.6 (Metropolitan Area Network – городские

или муниципальные сети) описывает рекомендации для региональ-
ных сетей.
Стандарт IEEE 802.7 (Broadband Technical Advisory Group –
техническая консультационная группа по широковещательной пе-
редаче) описывает рекомендации по широкополосным сетевым тех-
нологиям, носителям, интерфейсу и оборудованию.
Стандарт IEEE 802.8 (Fiber Technical Advisory Group – тех-
ническая консультационная группа по оптоволоконным сетям) со-
держит обсуждение использования оптических кабелей в сетях со
стандартом 802.3–802.6, а также рекомендации по оптоволоконным
сетевым технологиям, носителям, интерфейсу и оборудованию; про-
тотип – сеть FDDI (Fiber Distributed Data Interface).
Стандарт FDDI использует оптоволоконный кабель и доступ

с применением маркера. Сеть FDDI строится на основе двух
оптоволоконных колец, которые образуют основной и резерв-
ный пути передачи данных между узлами сети.
Использование двух колец – это основной способ повышения от-

казоустойчивости в сети FDDI, и узлы, которые хотят им воспользо-
ваться, должны быть подключены к обоим кольцам. Скорость сети –
до 100 Мбит/с. Данная технология позволяет включать до 500 узлов
на расстоянии 100 км.
Стандарт IEEE 802.9 (Integrated Voice and Data Network – ин-
тегрированные сети передачи голоса и данных) задает архитектуру
и интерфейсы устройств одновременной передачи данных и голоса
по одной линии, а также содержит рекомендации по гибридным се-
тям, в которых объединяют голосовой трафик и трафик данных в од-
ной и той же сетевой среде.
В стандарте IEEE 802.10 (Network Security – сетевая безопас-
ность) рассмотрены вопросы обмена данными, шифрования (на основе
криптографического преобразования информации), управления сетями
и безопасности в сетевых архитектурах, совместимых с моделью OSI.
Стандарт IEEE 802.11 (Wireless Network – беспроводные сети)
описывает рекомендации по использованию беспроводных сетей.
Стандарт IEEE 802.12 описывает рекомендации по использова-
нию сетей 100VG-AnyLAN со скоростью100 Мб/с и методом доступа
по очереди запросов и по приоритету (Demand Priority Queuing, DPQ;

Demand Priority Access, DPA).
Технология 100VG – это комбинация Ethernet и Token Ring со
скоростью передачи 100 Мбит/c, работающая на неэкранированных
витых парах. В проекте 100Base-VG усовершенствован метод досту-
па с учетом потребности мультимедийных приложений. В специфи-
кации 100VG предусматривается поддержка волоконно-оптических
кабельных систем. Технология 100VG использует централизованный
метод доступа (Demand Priority). В этом случае узлам сети предо-
ставляется право равного доступа. Концентратор опрашивает каж-
дый порт и проверяет наличие запроса на передачу, а затем разреша-
ет этот запрос в соответствии с приоритетом. Имеется два уровня
приоритетов – высокий и низкий.
Стандарт IEEE 802.14 определяет функционирование кабель-
ных модемов.
Стандарт IEEE 802.15 (Personal Area Network, PAN – персо-
нальные сети) рассматривает вопросы организации персональных
сетей. В настоящее время уже существует несколько спецификаций
данного стандарта.
1. Стандарт IEEE 802.15.1 базируется на спецификациях Blue-
tooth v1.x и предназначен для построения так называемых персональ-
ных беспроводных сетей (Wireless Personal Area Network, WPAN).
Для работы радиоинтерфейса Bluetooth используется нижний (2,45 ГГц)
диапазон ISM (industrial, scientific, medical), предназначенный для
работы промышленных, научных и медицинских приборов.
2. Стандарт IEEE 802.15.3 предназначен для беспроводных
частных сетей и является прямым наследником Bluetooth (частота
2,4 ГГц). IEEE 802.15.3 обеспечивает скорость передачи данных до
55 Мбит/с на расстоянии до 100 м, одновременно работать в такой сети
могут до 245 пользователей. Шифрование данных в сетях IEEE 802.15.3
может осуществляться по стандарту AES 128.
3. Стандарт IEEE 802.15.4 (ZigBee) ориентирован, главным
образом, на использование в качестве средства связи между автоном-
ными приборами и оборудованием.
4. Стандарт IEEE 802.15.4a (Ultra Wideband, UWB) базирует-
ся на технологии сверхширокополосной связи (Ultra Wideband, UWB)
основана на передаче множества закодированных импульсов негар-
монической формы очень малой мощности и малой длительности в
широком диапазоне частот.
Стандарт IEEE 802.16 предназначен для реализации широко-

полосных каналов в городских сетях (MAN). В отличии от 802.11 он
ориентирован для соединения стационарных, а не мобильных объ-
ектов. Его задачей является обеспечение сетевого уровня между ло-
кальными (IEEE 802.11) и региональными (WAN) сетями, где пла-
нируется применение разрабатываемого стандарта IEEE 802.20. Эти
стандарты совместно со стандартом IEEE 802.15 и 802.17 образуют
взаимосогласованную иерархию протоколов беспроводной связи.
Стандарт IEEE 802.17 называется RPR (Resilient Packet Ring –
адаптивное кольцо для пакетов), и в отличие от FDDI (а также Token
Ring или DQDB) пакеты удаляются из кольца узлом-адресатом, что
позволяет осуществлять несколько обменов одновременно.
Стандарт IEEE 802.18 представляет собой требования и реко-
мендации технической консультативной группы по радиочастотному
регулированию – RTAG (Radio Regulatory Technical Advisory Group).
Стандарт IEEE 802.19 представляет собой требования и ре-
комендации технической консультативной группы по сосущество-
ванию – CTAG (Coexistence Technical Advisory Group).
Стандарт IEEE 802.20 описывает правила беспроводного мо-
бильного широкополосного доступа MBWA (Mobile Broadband Wire-
less Access) для пакетного интерфейса в беспроводных городских се-
тях – WMAN. Этот стандарт должен поддерживать услуги по передаче
данных с IP в качестве транспортного протокола и дополнять стан-
дарт IEEE 802.16 в масштабе WiMAX. Стандарт обеспечит скорость
передачи данных более 1 Мбит/с и позволит получить мобильный
доступ к данным из движущихся транспортных средств (если ско-
рость их не превышает 250 км/ч). Для беспроводного интерфейса
HPI (Highspeed Portable Internet) устанавливаются уровни скорости
передачи и безопасности. Быстродействие HPI выше, чем универсаль-
ной системы мобильной связи UMTS, которая ориентирована на пе-
редачу голоса. Стандарт обеспечивает подключение ПК в небольших
и домашних офисах (SOHO) как альтернативу сетей «последней мили»
по медным или оптическим кабелям, использующим технологии DSL.
Стандарт IEEE 802.21 – стандарт независимой от среды эстафет-
ной передачи соединений – MIHS (Media Independent Handover Services).
Стандарт IEEE 802.22 определяет функционирование беспро-
водных региональных сетей WRAN (Wireless Regional Area Network),
использующих для передачи данных телевизионные частотные диа-
пазоны.
Стандарт IEEE 802.23 определяет независимую от среды струк-

туру в рамках IEEE 802 для обеспечения согласованного доступа к
данным. Сюда входит интерфейс уровня канала передачи данных
для согласованного просмотра сетей IEEE 802 с помощью возмож-
ностей служб экстренной помощи на основе протокола IP.
Стандарт IEEE 802.24 – технологии IEEE 802 применяются
для поддержки вертикальных приложений. В данном контексте стан-
дарт IEEE 802.24 определяет, что делают горизонтальные техноло-
гии в поддержке приложений. Примерами потенциальных категорий
вертикальных приложений могут выступать умные сети, интеллек-
туальные транспортные системы (ITS), умные дома, умные города,
электронное здравоохранение и т. д.
Стандарт IEEE 802.25 (пока не ратифицирован) – затрагивает
вопросы организации Omni-Range Area Network.
4.2. Протоколы и стеки протоколов
Правила взаимодействия двух машин могут быть описаны в

виде набора процедур для каждого из уровней, которые называются
протоколами.
Согласованный набор протоколов разных уровней, достаточный
для организации межсетевого взаимодействия, называется стеком
протоколов.
Для каждого уровня определяется набор функций-запросов для
взаимодействия с вышележащим уровнем, который называется ин-
терфейсом.
Существует достаточно много стеков протоколов, которые ши-
роко применяются в сетях. Это и стеки, являющиеся международ-
ными и национальными стандартами, и фирменные стеки, которые
стали общеизвестными благодаря распространенности оборудова-
ния той или иной фирмы. Примерами популярных стеков прото-
колов могут служить стек IPX/SPX фирмы Novell, стек TCP/IP,
используемый в сети Internet и во многих сетях на основе опера-
ционной системы UNIX, стек OSI международной организации по
стандартизации, стек DECnet корпорации Digital Equipment и неко-
торые другие.
4.2. Протоколы и стеки протоколов 127
В общем случае можно выделить три укрупненных уровня

протоколов, характерных для любых стеков:
− сетевые;
− транспортные;
− прикладные.
4.2.1. Протоколы сетевого уровня
Сетевые протоколы предоставляют следующие услуги: адреса-

цию и маршрутизацию информации, проверку на наличие ошибок,
запрос повторной передачи и установление правил взаимодействия
в конкретной сетевой среде. Ниже приведены наиболее популярные
сетевые протоколы:
− DDP (Datagram Delivery Protocol – протокол доставки дейта-
грамм). Протокол передачи данных Apple, используемый в Apple Talk;
− IP (Internet Protocol – протокол Internet). Протокол стека TCP/IP,
обеспечивающий адресную информацию и информацию о маршру-
тизации;
− IPX (Internetwork Packet eXchange – межсетевой обмен паке-
тами) в NWLink. Протокол Novel NetWare, используемый для мар-
шрутизации и направления пакетов;
− NetBEUI (NetBIOS Extended User Interface – расширенный
пользовательский интерфейс базовой сетевой системы ввода-вывода).
Разработан совместно IBM и Microsoft, обеспечивает транспортные
услуги для NetBIOS.
4.2.2. Протоколы транспортного уровня
Транспортные протоколы предоставляют услуги надежной транс-

портировки данных между компьютерами. Ниже приведены наибо-
лее популярные транспортные протоколы:
− ATP (Apple Talk Protocol – транзакционный протокол Apple
Talk) и NBP (Name Binding Protocol – протокол связывания имен).
Сеансовый и транспортный протоколы Apple Talk;
− NetBIOS (Network Basis Input/Output System – базовая сетевая
система ввода-вывода). NetBIOS устанавливает соединение между
компьютерами, а NetBEUI предоставляет услуги передачи данных

для этого соединения;
− SPX (Sequenced Packet eXchange – последовательный обмен
пакетами) в NWLink. Протокол Novel NetWare, используемый для
обеспечения доставки данных;
− TCP (Transmission Control Protocol – протокол управления пере-
дачей). Протокол стека TCP/IP отвечает за надежную доставку данных.
4.2.3. Протоколы прикладного уровня
Прикладные протоколы отвечают за взаимодействие приложе-

ний. Ниже приведены наиболее популярные прикладные протоколы:
− AFP (Apple Talk File Protocol, файловый протокол Apple Talk) –
протокол удаленного управления файлами Macintosh;
− FTP (File Transfer Protocol, протокол передачи файлов) – протокол
стека TCP/IP, используемый для обеспечения услуг по передаче
файлов;
− NCP (NetWare Core Protocol – базовый протокол NetWare) –
оболочка и редиректоры клиента Novel NetWare;
− SNMP (Simple Network Management Protocol, простой прото-
кол управления сетью – это протокол стека TCP/IP, используемый
для управления и наблюдения за сетевыми устройствами;
− HTTP (Hyper Text Transfer Protocol, протокол передачи гипер-
текста) и другие протоколы.
4.3. Стек OSI
Следует различать стек протоколов OSI и модель OSI (рис. 4.1).

Стек OSI – это набор вполне конкретных спецификаций про-
токолов, образующих согласованный стек протоколов.
Этот стек протоколов поддерживает правительство США в своей
программе GOSIP. Стек OSI, в отличие от других стандартных сте-
ков, полностью соответствует модели взаимодействия OSI и вклю-
чает спецификации для всех семи уровней модели взаимодействия
открытых систем.
4.3. Стек OSI 129
Модель OSI Стек OSI
Прикладной X.500 VT FTAM другие

X.400
Представительский Представительский протокол OSI
Сеансовый Сеансовый протокол OSI
Транспортный Транспортные протоколы OSI (классы 0–4)
Сетевой Сетевые протоколы с установлением

и без установления соединения
Канальный
Ethernet Token Bus Token Ring
FDDI
OSI-8802.3 OSI-8802.4 OSI-8802.5 Другие
Физический IEEE-802.4 IEEE-802.5 ISO-9314
IEEE-802.3
Рис. 4.1. Стек OSI
На физическом и канальном уровнях стек OSI поддерживает спе-

цификации Ethernet, Token Ring, FDDI, протоколы LLC, X.25 и ISDN.
На сетевом уровне реализованы протоколы как без установления,
так и с установлением соединений. Транспортный протокол стека OSI
скрывает различия между сетевыми сервисами с установлением со-
единения и без установления соединения, так что пользователи полу-
чают нужное качество обслуживания независимо от нижележащего
сетевого уровня. Для обеспечения этого транспортный уровень тре-
бует, чтобы пользователь задал нужное качество обслуживания. Оп-
ределено 5 классов транспортного сервиса: от низшего класса (0) до
высшего класса (4), которые отличаются степенью устойчивости к
ошибкам и требованиями к восстановлению данных после ошибок.
Сервисы прикладного уровня включают передачу файлов, эму-
ляцию терминала, службу каталогов и почту. Из них наиболее пер-
спективными являются служба каталогов (стандарт Х.500), элек-
тронная почта (Х.400), протокол виртуального терминала (Virtual
Terminal, VT), протокол передачи, доступа и управления файлами
(File Transfer Access and Management, FTAM), протокол пересылки
и управления работами (JTM). В последнее время ISO сконцентри-
ровала свои усилия именно на сервисах верхнего уровня.
4.4. Архитектура стека протоколов TCP/IP
Стек TCP/IP, представляющий собой набор многоуровневых

протоколов, предназначен для использования в различных вариан-
тах сетевого окружения.
Стек TCP/IP с точки зрения системной архитектуры соот-

ветствует эталонной модели OSI (Open Systems Interconnec-
tion – взаимодействие открытых систем) и позволяет обмени-
ваться данными по сети приложениям и службам, работающим
практически на любой платформе, включая Unix, Windows,
Macintosh и др.
Стандартная реализация TCP/IP (например, фирмы Microsoft)

соответствует четырехуровневой модели вместо семиуровневой, как
показано на рис. 4.2.
Модель OSI Стек TCP/IP

Представительский Уровень
Сокеты Windows NetBIOS приложения
Сеансовый
Интерфейс TDI
Транспортный
Транспортный TCP UDP
уровень
ICMP
ICMP IP ARP
ARP Межсетевой
Сетевой IGMP
IGMP RARP
RARP уровень
Интерфейс NDIS
Драйверы
Канальный сетевых РРР Уровень
Ethernet карт сетевого
FDDI
Сетевые Трансляция интерфейса
Физический
адаптеры кадров
Рис. 4.2. Соответствие семиуровневой модели OSI

и четырехуровневой модели TCP/IP
4.4. Архитектура стека протоколов TCP/IP 131
Модель TCP/IP включает большее число функций на один уро-

вень, что приводит к уменьшению числа уровней. В модели исполь-
зуются следующие уровни:
− уровень приложения модели TCP/IP соответствует приклад-
ному, представительскому и сеансовому уровням модели OSI;
− транспортный уровень модели TCP/IP соответствует анало-
гичному уровню модели OSI;
− межсетевой уровень модели TCP/IP выполняет те же функ-
ции, что и сетевой уровень модели OSI;
− уровень сетевого интерфейса модели TCP/IP соответствует
канальному и физическому уровням модели OSI.
4.4.1. Уровень приложения
Через уровень приложения модели TCP/IP приложения и службы

получают доступ к сети. Доступ к протоколам TCP/IP осуществляется
посредством двух программных интерфейсов API: сокеты Windows
и NetBIOS.
Интерфейс сокетов Windows, или как его называют WinSock,
является сетевым программным интерфейсом, предназначенным для
облегчения взаимодействия между различными TCP/IP – приложе-
ниями и семействами протоколов.
Интерфейс NetBIOS используется для связи между процессами
(IPC – Interposes Communications) служб и приложений ОС Windows.
NetBIOS выполняет три основные функции:
− определение имен NetBIOS;
− служба дейтаграмм NetBIOS;
− служба сеанса NetBIOS.
В табл. 4.1 приведено семейство протоколов TCP/IP.
Таблица 4.1
Назначение протоколов TCP/IP
Название
Описание протокола
протокола
WinSock Сетевой программный интерфейс
NetBIOS Связь с приложениями ОС Windows
TDI Интерфейс транспортного драйвера (Transport Driver Interface); по-
зволяет создавать компоненты сеансового уровня
Окончание табл. 4.1

Название
Описание протокола
протокола
TCP Протокол управления передачей (Transmission Control Protocol)
UDP Протокол пользовательских дейтаграмм (User Datagram Protocol)
ARP Протокол разрешения адресов (Address Resolution Protocol)
RARP Протокол обратного разрешения адресов (Reverse Address Resolution
Protocol)
IP Протокол Internet (Internet Protocol)
ICMP Протокол управляющих сообщений Internet (Internet Control Message
Protocol)
IGMP Протокол управления группами Интернета (Internet Group Manage-
ment Protocol)
NDIS Интерфейс взаимодействия между драйверами транспортных про-
токолов
FTP Протокол пересылки файлов (File Transfer Protocol)
TFTP Простой протокол пересылки файлов (Trivial File Transfer Protocol)
4.4.2. Транспортный уровень
Транспортный уровень TCP/IP отвечает за установление и поддер-

жание соединения между двумя узлами. Основные функции уровня:
− подтверждение получения информации;
− управление потоком данных;
− упорядочение и ретрансляция пакетов.
В зависимости от типа службы используются два протокола:
− TCP (Transmission Control Protocol – протокол управления пе-
редачей);
− UDP (User Datagram Protocol – пользовательский протокол
дейтаграмм).
TCP используют в тех случаях, когда приложению требуется

передать большой объем информации и убедиться, что данные
своевременно получены адресатом. Приложения и службы,
отправляющие небольшие объемы данных и не нуждающиеся
в получении подтверждения, используют протокол UDP, ко-
торый является протоколом без установления соединения.
Протокол управления передачей (TCP) отвечает за надежную

передачу данных от одного узла сети к другому. Он создает сеанс с
установлением соединения, иначе говоря, виртуальный канал между
машинами. Установление соединения происходит в три шага.
1. Клиент, запрашивающий соединение, отправляет серверу па-
кет, указывающий номер порта, который клиент желает использо-
вать, а также код (определенное число) ISN (Initial Sequence Number).
2. Сервер отвечает пакетом, содержащим ISN сервера, а также
ISN клиента, увеличенный на 1.
3. Клиент должен подтвердить установление соединения, вернув
ISN сервера, увеличенный на 1.
Отметим, что для адресации на транспортном уровне используют-
ся так называемые порты. На практике это фактически число от 1 до
65 535, определяющее номер процесса, связанного с обработкой пакета.
Соответсвтенно, на одном хосте номера портов не должны повторять-
ся, иначе будет не понятно, к какому именно процессу должен быть от-
правлен для выполнения последующих действий полученный пакет.
Итак, трехступенчатое открытие соединения устанавливает номер
порта, а также ISN клиента и сервера. Каждый отправляемый TCP-пакет
содержит номера TCP-портов отправителя и получателя, номер фраг-
мента для сообщений, разбитых на меньшие части, и контрольную сум-
му, позволяющую убедиться, что при передаче не произошло ошибок.
В отличие от TCP пользовательский протокол дейтаграмм

UDP не устанавливает соединения. Протокол UDP предна-
значен для отправки небольших объемов данных без установ-
ки соединения и используется приложениями, которые не ну-
ждаются в подтверждении адресатом их получения. UDP также
использует номера портов для определения конкретного про-
цесса по указанному IP-адресу. Однако UDP-порты отлича-
ются от TCP-портов и, следовательно, могут использовать те
же номера портов, что и TCP, без конфликта между службами.
4.4.3. Межсетевой уровень
Межсетевой уровень отвечает за маршрутизацию данных внутри

сети и между различными сетями. На нем работают маршрутизаторы,
которые зависят от используемого протокола и применяются для от-

правки пакетов из одной сети (или ее сегмента) в другую (или другой
сегмент). В стеке TCP/IP на этом уровне используется протокол IP.
Протокол Интернета IP обеспечивает обмен дейтаграм-

мами между узлами сети и является протоколом, не устанав-
ливающим соединения и использующим дейтаграммы для
отправки данных из одной сети в другую.
Данный протокол не ожидает получение подтверждения (ASK,

Acknowledgment) отправленных пакетов от узла адресата. Подтвер-
ждения, а также повторные отправки пакетов осуществляются про-
токолами и процессами, работающими на верхних уровнях модели.
К функциям протокола относится фрагментация дейтаграмм и
межсетевая адресация. Протокол IP предоставляет управляющую
информацию для сборки фрагментированных дейтаграмм. Главной
функцией протокола является межсетевая и глобальная адресация.
В зависимости от размера сети, по которой будет маршрутизировать-
ся дейтаграмма или пакет, применяется одна из трех схем адресации.
Протокол IP действует на сетевом уровне модели OSI, по-

этому IP-адреса называются сетевыми.
Они предназначены для передачи сообщений в составных сетях,

связывающих подсети, построенные на различных локальных или гло-
бальных сетевых технологиях, например Ethernet или ATM. Но для не-
посредственной передачи сообщения в рамках одной подсети вместо
IP-адреса нужно использовать локальный (аппаратный) адрес техно-
логии канального уровня, чаще всего МАС-адрес. При этом к IP-паке-
ту добавляются заголовок (в нем указываются МАС-адреса источника
и приемника кадра) и концевик кадра канального уровня (рис. 4.3).
При формировании кадра канального уровня возникает про-

блема: каким образом по известному IP-адресу определить
соответствующий МАС-адрес. Указанная проблема решается
при помощи протокола ARP (Address Resolution Protocol –
протокол разрешения адресов). Это обстоятельство имеет важ-
ное значение для защиты персональных данных.
Протокол Internet (IP) версии 6 (IPv6) – это следующая версия

протокола IP, которая является значительным шагом вперед по срав-
нению с IP версии 4 (IPv4).
Протокол сопоставления адреса ARP определяет МАС-адреса
следующим образом. Осуществляется рассылка всем узлам сети спе-
циального кадра, который называется ARP-запрос (ARP Request).
Сетевой уровень IP-пакет
Заголовок канального уровня Концевик канального уровня
Канальный уровень IP-пакет
Физический уровень IP-пакет
Кадр
Рис. 4.3. Формирование кадра
на канальном уровне
В кадре содержится IP-адрес компьютера, у которого требуется

узнать МАС-адрес. Каждый узел сети принимает ARP-запрос и срав-
нивает IP-адрес из запроса со своим IP-адресом. Если адреса совпа-
дают, узел высылает ARP-ответ (ARP Reply), содержащий требуе-
мый МАС-адрес.
Результаты своей работы протокол ARP сохраняет в специаль-
ной таблице, хранящейся в оперативной памяти, которая называется
ARP-кэш.
При необходимости разрешения IP-адреса, протокол ARP сна-
чала ищет IP-адрес в ARP-кэше и только в случае отсутствия нужной
записи производит рассылку ARP-запроса.
Записи в ARP-кэше могут быть двух типов: статические и ди-
намические. Статические записи заносятся в кэш администрато-
ром при помощи утилиты arp с ключом /s. Динамические записи
помещаются в кэш после полученного ARP-ответа и по истечении
двух минут удаляются. ARP-кэш имеет структуру, представленную
в табл. 4.2.
Таблица 4.2
Внешний вид таблицы ARP-кэш
IP-адрес MAC-адрес Тип записи
192.168.1.1 03-E8-48-A1-57-7B Статический
192.168.1.2 03-E8-48-A1-43-88 Динамический
192.168.1.3 03-E8-48-A1-F8-D9 Динамический
Процесс получения по известному IP-адресу МАС-адреса назы-

вается разрешением IP-адреса.
Удаление происходит для того, чтобы при перемещении в дру-
гую подсеть компьютера с МАС-адресом, занесенным в таблицу,
кадры не отправлялись бесполезно в сеть.
Иногда требуется по известному МАС-адресу найти IP-ад-

рес (например, в начале работы компьютеров без жесткого
диска, у которых есть МАС-адрес сетевого адаптера и им
нужно определить свой IP-адрес). В этом случае использует-
ся реверсивный протокол RARP (Reverse ARP). Это обстоя-
тельство имеет важное значение для защиты персональных
данных.
Протокол управления сообщениями Интернета (Internet Control

Message Protocol, ICMP) используется IP и другими протоколами
высокого уровня для отправки и получения отчетов о состоянии пе-
реданной информации. Этот протокол используется для контроля
скорости передачи информации между двумя системами. Если мар-
шрутизатор, соединяющий две системы, перегружен трафиком, он
может отправить специальное сообщение ICMP – ошибку для умень-
шения скорости отправления сообщений.
Узлы локальной сети используют протокол управления группами
Интернета (Internet Group Management Protocol, IGMP), чтобы за-
регистрировать себя в группе. Информация о группах содержится на
маршрутизаторах локальной сети. Маршрутизаторы используют эту
информацию для передачи групповых сообщений.
Групповое сообщение, как и широковещательное, используется
для отправки данных сразу нескольким узлам.
Также можно упомянуть протоколы обмена маршрутной инфор-
мацией (RIP, OSPF), которые будут более подробно рассмотрены в
подглаве 5.5. Отметим, что данные протоколы не являются протоко-

лами исключительно стека TCP/IP, также существуют их реализации
под другие стеки протоколов.
NDIS (Network Device Interface Specification) – спецификация
интерфейса сетевого устройства, программный интерфейс, обеспе-
чивающий взаимодействие между драйверами транспортных прото-
колов и соответствующими драйверами сетевых интерфейсов. По-
зволяет использовать несколько протоколов, даже если установлена
только одна сетевая карта.
4.4.4. Уровень сетевого интерфейса
Этот уровень модели TCP/IP отвечает за распределение IP-дей-

таграмм. Он работает с ARP для определения информации, которая
должна быть помещена в заголовок каждого кадра. Затем на этом
уровне создается кадр, подходящий для используемого типа сети,
такого как Ethernet, Token Ring или ATM, после чего IP-дейтаграмма
помещается в область данных этого кадра, и он отправляется в сеть.
4.4.5. Недостатки модели TCP/IP
В условиях быстрого развития сетевых технологий в модели

TCP/IP стали проявляться существенные недостатки, которые сде-
лали модель не эффективной для использования в современных сетях.
Все недостатки при передаче простых данных не были существен-
ными, но при развитии сетей и увеличении объема передаваемых дан-
ных они дали о себе знать.
Основные недостатки используемой модели:
1. В модели нет четкого разграничения концепций служб, ин-
терфейса и протокола. При разработке программного обеспечения
желательно провести четкое разделение между спецификацией и
реализацией, чего не делает TCP/IP. В результате модель TCP/IP не
эффективна при разработке сетей, которые используют новые тех-
нологии.
2. Модель TCP/IP не является универсальной и довольно плохо
описывает любой стек протоколов, кроме TCP/IP. Так, например, опи-
сать технологию Bluetooth с помощью модели TCP/IP очень сложно.
3. Хост-сетевой уровень в действительности не является тем уров-

нем, который обычно используется в контексте уровневых протоко-
лов. Это, скорее, интерфейс между сетью и уровнями передачи данных.
4. В модели TCP/IP не различаются физический уровень и уро-
вень передачи данных. Между тем они абсолютно разные. Физиче-
ский уровень должен иметь дело с характеристиками передачи ин-
формации по медному кабелю, оптическому волокну и по радио, тогда
задачей уровня передачи данных является определение начала и конца
кадров и передача их с одной стороны на другую с требуемой степе-
нью надежности. Корректная модель должна содержать их как два
различных уровня. В модели TCP/IP этого нет.
5. Хотя протоколы IP и TCP были тщательно продуманы и неплохо
реализованы, многие другие протоколы были созданы несколькими
студентами, работавшими над ними, пока это занятие им не наскучило.
Реализации этих протоколов свободно распространялись, в результате
чего они получили широкое признание, глубоко укоренились, и теперь
их трудно заменить на что-либо другое. Некоторые из них в настоящее
время оказались серьезным препятствием на пути трансформаций.
Выводы
1. Спецификации IEEE 802 определяют стандарты для физиче-

ских компонентов сети: сетевая карта и сетевой носитель, относящие-
ся к физическому и канальному уровням модели OSI; механизм досту-
па адаптера к каналу связи и механизм передачи данных. Стандарты
IEEE802 подразделяют канальный уровень на подуровни управления
логической связью и подуровень управления доступом к устройствам.
2. Согласованный набор протоколов разных уровней, достаточ-
ный для организации межсетевого взаимодействия, называется стеком
протоколов. Каждому уровню соответствует набор функций-запро-
сов для взаимодействия с вышележащим уровнем, который называ-
ется интерфейсом. Правила взаимодействия двух машин могут быть
описаны в виде набора процедур для каждого из уровней, которые
называются протоколами.
3. Наибольшее распространение для построения составных се-
тей в последнее время получил стек TCP/IP. Он имеет 4 уровня: при-
кладной, основной, уровень межсетевого взаимодействия и уровень
сетевых интерфейсов. Соответствие уровней стека TCP/IP уровням

модели OSI достаточно условно.
4. Прикладной уровень объединяет все службы, предоставляе-
мые системой пользовательским приложениям: традиционные сете-
вые службы типа Тelnet, FTP, TFTP, DNS, SNMP, протокол передачи
гипертекстовой информации HTTP и т. д.
5. На основном уровне стека TCP/IP, называемом также транс-
портным, функционируют протоколы TCP и UDP. Протокол управ-
ления передачей TCP решает задачу обеспечения надежной инфор-
мационной связи между двумя конечными узлами. Дейтаграммный
протокол UDP используется как экономичное средство связи уровня
межсетевого взаимодействия с прикладным уровнем.
6. Уровень межсетевого взаимодействия реализует концепцию
коммутации пакетов в режиме без установления соединений. Ос-
новными протоколами этого уровня являются дейтаграммный про-
токол IP и протоколы маршрутизации (RIP, OSPF, BGP и др.). Вспо-
могательную роль выполняет протокол межсетевых управляющих
сообщений ICMP, протокол группового управления IGMP и прото-
кол разрешения адресов ARP.
7. Протоколы уровня сетевых интерфейсов обеспечивают инте-
грацию в составную сеть других сетей. Этот уровень не регламен-
тируется, но поддерживает все популярные стандарты физического
и канального уровней: для локальных сетей – Ethernet, Token Ring,
FDDI и т. д., для глобальных сетей – Х.25, Frame Relay, PPP, ISDN и др.
8. В стеке TCP/IP для именования единиц передаваемых данных
на разных уровнях используют разные названия: поток, сегмент, дей-
таграмма, пакет, кадр.
9. В условиях быстрого развития сетевых технологий в модели
TCP/IP стали проявляться существенные недостатки, которые сделали
модель не эффективной для использования в современных сетях.
1. Назначение спецификации стандартов IEEE 802.

2. Какой стандарт описывает сетевую технологию Ethernet?
3. Каким стандартом устанавливаются задачи управления логи-
ческой связью?
4. Какой стандарт задает механизмы управления сетью?

5. Какой из стандартов описывает сетевую технологию ARCNet?
6. Каким стандартом описывается сетевая технология Token Ring?
7. В каком стандарте содержатся рекомендации по оптоволокон-
ным сетевым технологиям?
8. Что такое интерфейс уровня базовой модели OSI?
9. Что собой представляет протокол уровня базовой модели OSI?
10. Дайте определение стека протоколов.
11. На какие уровни разбиваются стеки протоколов?
12. Назовите наиболее популярные сетевые протоколы.
13. Перечислите самые популярные транспортные протоколы.
14. Какие наиболее популярные прикладные протоколы известны?
15. Перечислите наиболее популярные стеки протоколов.
16. Назначение программных интерфейсов сокетов Windows и
NetBIOS.
17. Чем отличается протокол TCP от UDP?
18. Функции протокола IP.
19. Какие существуют виды адресации в IP-сетях?
20. Какой протокол используется для определения локального
адреса по IP-адресу?
21. Какой протокол используется для определения IP-адреса по
локальному адресу?
22. Какой протокол используется для управления сообщениями
Интернета?
23. Назначение уровня сетевого интерфейса стека TCP/IP.
141 5. АДРЕСАЦИЯ И МАРШРУТИЗАЦИЯ В TCP/IP-СЕТЯХ
5
АДРЕСАЦИЯ И МАРШРУТИЗАЦИЯ
В TCP/IP-СЕТЯХ
Каждый компьютер в сетях TCP/IP имеет адреса трех уровней:

физический (MAC-адрес), сетевой (IP-адрес) и символьный (DNS-имя).
5.1. Физический адрес
Физический, или локальный, адрес узла определяется техноло-

гией, с помощью которой построена сеть, в которую входит узел.
Для узлов, входящих в локальные сети, это МАС-адрес сетевого адап-
тера или порта маршрутизатора.
В качестве стандартного выбран 48-битный формат адреса, что
соответствует примерно 280 трлн различных адресов. Понятно, что
столько сетевых адаптеров никогда не будет выпущено.
С тем чтобы распределить возможные диапазоны адресов между
многочисленными изготовителями сетевых адаптеров, была предло-
жена следующая структура адреса (рис. 5.1).
1 бит 1 бит 22 бита 24 бита

I/G U/L OUI (уникальный идентификтор) OUA (уникальный адрес)
UAA (46 битов)

Рис. 5.1. Структура 48-битного стандартного
MAC-адреса
Младшие 24 разряда двоичного кода адреса называются OUA

(Organizationally Unique Address) – уникальный адрес. Именно их
присваивает каждый из зарегистрированных производителей сетевых
адаптеров. Всего возможно свыше 16 млн комбинаций, т. е. каждый

изготовитель может выпустить 16 млн сетевых адаптеров.
Следующие 22 разряда кода называются OUI (Organizationally
Unique Identifier) – уникальный идентификатор. IEEE присваи-
вает один или несколько OUI каждому производителю сетевых
адаптеров, что позволяет исключить совпадения адресов адаптеров
от разных производителей. Всего возможно свыше 4 млн разных
OUI, это означает, что теоретически может быть зарегистрировано
4 млн производителей. Вместе OUA и OUI называются UAA (Uni-
versally Administered Address) – универсально управляемый адрес
или IEEE-адрес.
Два старших разряда адреса управляющие, они определяют тип
адреса, способ интерпретации остальных 46 разрядов. Старший бит
I/G (Individual/Group) указывает на тип адреса. Если он установлен
в 0, то является индивидуальным, если в 1, – то групповым (много-
пунктовым или функциональным). Пакеты с групповым адресом по-
лучат все имеющие этот групповой адрес сетевые адаптеры. Причем
групповой адрес определяется 46-ю младшими разрядами. Второй
управляющий бит U/L (Universal/Local) называется флажком уни-
версального/местного управления и определяет, как был присвоен
адрес данному сетевому адаптеру. Обычно он установлен в 0. Уста-
новка бита U/L в 1 означает, что адрес задан не производителем се-
тевого адаптера, а организацией, использующей данную сеть. Это слу-
чается довольно редко.
Для широковещательной передачи (т. е. передачи всем абонен-
там сети одновременно) применяется специально выделенный сете-
вой адрес, все 48 битов которого установлены в 1. Его принимают все
абоненты сети независимо от их индивидуальных и групповых адресов.
Данной системы адресов придерживаются такие популярные
сети, как Ethernet, Fast Ethernet, Token Ring, FDDI, 100VG-AnyLAN.
Ее недостатки – высокая сложность аппаратуры сетевых адаптеров,
а также большая доля служебной информации в передаваемом паке-
те (адреса источника и приемника вместе требуют уже 96 битов па-
кета или 12 байтов).
Во многих сетевых адаптерах предусмотрен так называемый
циркулярный режим. В этом режиме адаптер принимает все пакеты,
приходящие к нему, независимо от значения поля адреса приемника.
Такой режим используется, например, для проведения диагностики
сети, измерения ее производительности, контроля ошибок передачи.
5.2. Сетевой адрес 143
При этом один компьютер принимает и контролирует все пакеты,

проходящие по сети, но сам ничего не передает. В данном режиме
работают сетевые адаптеры мостов и коммутаторы, которые должны
обрабатывать перед ретрансляцией все пакеты, приходящие к ним.
5.2. Сетевой адрес
5.2.1. Представление IP-адреса
Адрес IP представляет собой 32-разрядное двоичное число, раз-

деленное на группы по 8 битов, называемые октетами. Например:
00010001 11101111 00101111 01011110.
Обычно IP-адреса записываются в виде четырех десятичных ок-
тетов и разделяются точками. Таким образом, приведенный выше
IP-адрес можно записать в следующей форме: 17.239.47.94.
Следует заметить, что максимальное значение октета равно
111111112 (двоичная система счисления), что соответствует в деся-
тичной системе 25510. Поэтому IP-адреса, в которых хотя бы один
октет превышает это число, являются недействительными. Пример:
172.16.123.1 – действительный адрес, а 172.16.123.256 – несуществу-
ющий адрес, поскольку 256 выходит за пределы допустимого диапа-
зона: от 0 до 255.
IP-адрес состоит из двух логических частей – номера подсети
(ID подсети) и номера узла (ID хоста) в этой подсети. При передаче
пакета из одной подсети в другую используется ID подсети. Когда
пакет попал в подсеть назначения, ID хоста указывает на конкретный
узел в рамках этой подсети.
Чтобы записать ID подсети, в поле номера узла в IP-адресе ставят
нули. Чтобы записать ID хоста, в поле номера подсети ставят нули. На-
пример, если в IP-адресе 172.16.123.1 первые два байта отводятся под
номер подсети, остальные два байта – под номер узла, то номера запи-
сываются следующим образом: ID подсети 172.16.0.0; ID хоста 0.0.123.1.
По числу разрядов, отводимых для представления номера уз-
ла (или номера подсети), можно определить общее количество уз-
лов (или подсетей) по простому правилу: если число разрядов для
представления номера узла равно N, то общее количество узлов рав-

но 2N – 2. Два узла вычитаются вследствие того, что адреса со всеми
разрядами, равными нулям или единицам, являются особыми и ис-
пользуются в специальных целях.
Например, если под номер узла в некоторой подсети отводится
два байта (16 битов), то общее количество узлов в такой подсети рав-
но 216 – 2 = 65 534 узла.
Для определения того, какая часть IP-адреса отвечает за ID под-
сети, а какая за ID хоста, применяются два способа: с помощью клас-
сов и с помощью масок.
Общее правило: под ID подсети отводятся первые несколько би-
тов IP-адреса, оставшиеся биты обозначают ID хоста.
Рассмотрим конфигурирование IP-адресации (v4) в операцион-
ных системах типа Windows.
Пример 5.1. Рассмотрим настройку протокола TCP/IPv4.
1. Запустите папку Сетевые подключения. Для этого в операцион-
ных системах типа Windows Seven нажмите кнопку Пуск, введите в
строке поиска начальные буквы слова «Центр». Из списка выберите
пункт Центр управления сетями и общим доступом (рис. 5.2).
Рис. 5.2. Пример вызова центра управления сетями

и общим доступом
2. В окне центра управления сетями и общим доступом щелкните

по пункту Изменение параметров адаптера (рис. 5.3). Далее откро-
ется окно с сетевыми подключениями (рис. 5.4).
Рис. 5.3. Общий вид центра управления сетями и общим доступом
Рис. 5.4. Общий вид папки «Сетевые подключения»

3. Щелкните правой кнопкой мыши по подключению, которое

требуется настроить, а затем выберите команду Свойства. Если по-
явится диалоговое окно Управление учетной записью пользователя,
убедитесь, что действие, указанное в окне, совпадает с тем, которое
вы хотите выполнить, и нажмите Продолжить.
4. Далее выполните одно из указанных ниже действий:
− в случае подключения по локальной сети на вкладке Общие в
списке Компоненты, используемые этим подключением, выберите
пункт Протокол Интернета версии 4 (TCP/IPv4) и нажмите кнопку
Свойства;
− в случае подключения удаленного доступа, VPN-подключения
или высокоскоростного подключения на вкладке Сеть в списке Ком-
поненты, используемые этим подключением, выберите пункт Про-
токол Интернета версии 4 (TCP/IPv4) и нажмите кнопку Свойства.
В результате откроется окно с настройками протокола TCP/IP (рис. 5.5).
Рис. 5.5. Свойства протокола Интернета версии 4 (TCP/IPv4)
5. Выполните далее одно из указанных ниже действий:

− если необходимо, чтобы параметры IP-адреса назначались ав-
томатически, выберите пункт Получить IP-адрес автоматически и
нажмите кнопку ОК;
− если необходимо указать IP-адрес IPv4 или адрес DNS-сервера,
выполните следующие действия:
а) выберите пункт Использовать следующий IP-адрес и в открыв-

шемся окне введите IP-адрес, соответствующую маску подсети и адрес
шлюза по умолчанию (в примере на рис. 5.5 IP-адрес: 172.16.192.56;
маска подсети: 255.255.240.0; основной шлюз: 172.16.192.1);
б) выберите пункт Использовать следующие адреса DNS-сер-
веров и в полях Предпочитаемый DNS-сервер и Альтернативный
DNS-сервер введите адреса основного и дополнительного DNS-сер-
веров (в примере на рис. 5.5 IP-адрес предпочитаемого DNS сервера:
172.16.0.100;
в) для настройки параметров DNS, WINS и IP необходимо ис-
пользовать вкладку Дополнительно (рис. 5.6).
Рис. 5.6. Окно с дополнительными параметрами TCP/IP
6. В подключении по локальной сети при выборе параметра По-

лучить IP-адрес автоматически включается вкладка Альтернатив-
ная конфигурация. Если компьютер используется более чем в одной
сети, воспользуйтесь этой вкладкой для ввода альтернативных па-
раметров IP-адреса. Для настройки параметров DNS, WINS и IP от-
кройте вкладку Настраиваемый пользователем или Альтернатив-
ная конфигурация.
Дополнительные рекомендации. Если это возможно, используй-

те автоматическую настройку параметров протокола IP (DHCP), по-
скольку при этом устраняется необходимость настройки таких пара-
метров, как IP-адрес, адрес DNS-сервера и адрес WINS-сервера.
Параметры Альтернативная конфигурация определяют второй
набор параметров протокола IP, который используется при недос-
тупности DHCP-сервера. Это весьма полезно для пользователей пор-
тативных компьютеров, которые часто перемещаются между двумя
различными сетевыми средами (например, между средой со службой
DHCP и средой со статическими IP-адресами).
Аналогично осуществляется конфигурирование TCP/IPv6 (ис-
пользуются свойства Протокол Интернета версии 6 (TCP/IPv6)).
5.2.2. Классы IP-адресов
Существует пять классов IP-адресов: A, B, C, D и E (рис. 5.7).

4 байта
Класс A 0 Номер сети Номер узла
1 байт 3 байта
Класс B 1 0 Номер сети Номер узла
2 байта 2 байта
Класс C 1 1 0 Номер сети Номер узла
3 байта 1 байт
Класс D 1 1 1 0 Адрес группы Multicast
Класс E 1 1 1 1 0 Зарезервирован
Рис. 5.7. Классы IP-адресов

За принадлежность к тому или иному классу отвечают первые

биты IP-адреса. Деление сетей на классы описано в RFC 791 (доку-
мент описания протокола IP). Целью такого деления являлось созда-
ние малого числа больших сетей (класс А), умеренного числа средних
сетей (класс В) и большого числа малых сетей (класс С).
Если адрес начинается с 0, то сеть относится к классу А и номер
сети занимает 1 байт, остальные 3 байта интерпретируются как но-
мер узла в сети. Сети класса А имеют номера в диапазоне от 1 до 126.
Сетей класса А немного, зато количество узлов в них может дости-
гать 224 – 2, т. е. 16 777 214 узлов.
Если первые два бита адреса равны 10, то сеть относится к клас-
су В. В сетях класса В под номер сети и под номер узла отводится по
16 битов, т. е. по 2 байта. Таким образом, сеть класса В является сетью
средних размеров с максимальным числом узлов 216 – 2, что состав-
ляет 65 534 узлов.
Если адрес начинается с последовательности 110, то это сеть
класса С. В данном случае под номер сети отводится 24 бита, а под
номер узла – 1 байт. Сети этого класса наиболее распространены,
число узлов в них ограничено 28 – 2, т. е. 254 узлами.
Адрес, начинающийся с 1110, обозначает особый, групповой ад-
рес (Multicast). Пакет с таким адресом направляется всем узлам, ко-
торым присвоен данный адрес.
Адреса класса Е в настоящее время не используются (зарезер-
вированы для будущих применений).
Характеристики адресов разных классов представлены в табл. 5.1.
Таблица 5.1
Характеристики IP-адресов разных классов
Первые Наименьший Наибольший Количество Максимальное
Класс
биты номер сети номер сети сетей число узлов в сети
А 0 1.0.0.0 126.0.0.0 126 224 – 2 = 16 777 214
В 10 128.0.0.0 191.255.0.0 16384 216 – 2 = 65 534
С 110 192.0.0.0 223.255.255.0 2097152 28 – 2 = 254
D 1110 224.0.0.0 239.255.255.255 Групповой адрес
Е 11110 240.0.0.0 247.255.255.255 Зарезервирован
Применение классов удовлетворительно решало задачу деления

на подсети в начале развития Интернета. В 1990-е годы с увеличени-
ем числа подсетей стал ощущаться дефицит IP-адресов. Это связано
с неэффективностью распределения при классовой схеме адресации.

Например, если организации требуется тысяча IP-адресов, ей выделя-
ется сеть класса В, при этом 64 534 адреса не будут использоваться.
Существует два основных способа решения этой проблемы:
− более эффективная схема деления на подсети с использованием
масок (RFC 950);
− применение протокола IP версии 6 (IPv6).
Поэтому в настоящее время использовать принцип классов для
определения идентификаторов сети и хоста можно и нужно только
в случае отсутствия маски подсети.
5.2.3. Использование масок
Маска подсети (Subnet Mask) – это число, которое использует-

ся в паре с IP-адресом; двоичная запись маски содержит единицы в
тех разрядах, которые должны в IP-адресе интерпретироваться как
номер сети.
Для стандартных классов сетей маски имеют следующие значения:
− класс А – 11111111.00000000.00000000.00000000 (255.0.0.0);
− класс В – 11111111.11111111.00000000.00000000 (255.255.0.0);
− класс С – 11111111.11111111.11111111.00000000 (255.255.255.0).
Маска подсети записывается либо в виде, аналогичном записи

IP-адреса, например 255.255.255.0, либо совместно с IP-адре-
сом с помощью указания числа единичных разрядов в запи-
си маски, например 192.168.1.1/24, т. е. в маске содержится
24 единицы (255.255.255.0).
При использовании масок можно вообще отказаться от по-
нятия классов.
Пример 5.2. Пусть задан IP-адрес 17.239.47.94, маска подсети

255.255.0.0 (другая форма записи: 17.239.47.94/16).
Требуется определить ID подсети и ID хоста в обеих схемах ад-
ресации.
1. Адресация с использованием классов. Двоичная запись IP-ад-
реса имеет вид:
00010001.11101111.00101111.01011110.
Так как первый бит равен нулю, адрес относится к классу А. Сле-
довательно, первый байт отвечает за ID подсети, остальные три бай-
та – за ID хоста.
ID подсети: 17.0.0.0. ID хоста: 0.239.47.94.
2. Адресация с использованием масок. Запишем IP-адрес и маску
подсети в двоичном виде:
IP-address: 17.239.47.94 = 00010001.11101111.00101111.01011110;
Subnet mask: 255.255.0.0 = 11111111.11111111.00000000.00000000.
Вспомнив определение маски подсети, можно интерпретировать
номер подсети как те биты, которые в маске равны 1, т. е. первые
два байта. Оставшаяся часть IP-адреса будет номером узла в данной
подсети.
ID подсети: 17.239.0.0. ID хоста: 0.0.47.94.
Номер подсети можно получить другим способом, применив к
IP-адресу и маске операцию логического умножения или конъюнк-
ции (AND):
AND 00010001.11101111.00101111.01011110
11111111.11111111.00000000.00000000
00010001.11101111.00000000.00000000
17 239 0 0
В масках количество единиц в последовательности, определяю-
щей границу номера сети, не обязательно должно быть кратным 8.
Пример 5.3. Задан IP-адрес: 192.168.89.16, маска подсети –
255.255.192.0 (другая форма записи: 192.168.89.16/18).
Требуется определить ID подсети и ID хоста. Воспользуемся опе-
рацией AND:
IP-address: 192.168.89.16 = 11000000.10101000.01011001.00010000
Subnet mask: 255.255.0.0 = 11111111.11111111.11000000.00000000
Subnet ID: 11000000.10101000.01000000.00000000
192 168 64 0
Чтобы получить номер узла, нужно в битах, отвечающих за но-
мер подсети, поставить нули:
Host ID: 00000000.00000000.00011001.00010000 = 0.0.25.16.
Ответ: ID подсети = 192.168.64.0, ID хоста = 0.0.25.16.
Для масок существует важное правило: разрывы в последова-

тельности единиц или нулей недопустимы.
Например, не существует маски подсети, имеющей следующий вид:
11111111.11110111.00000000.00001000 (255.247.0.8),
так как последовательности единиц и нулей не являются непрерывными.
Также необходимо добавить, что маска, состоящая только из 0
(0.0.0.0), хоть и допустима (обозначает, что адрес локален), но не
имеет смысла в контексте выделения из IP-адреса номера подсети и
узла. Поэтому возможно лишь 32 варианта правильных масок – от
1 единицы до 32, причем маска 255.255.255.255 (32 единицы) фор-
мально может существовать и будет указывать единичный узел сети.
С помощью масок администратор может структурировать

свою сеть, не требуя от поставщика услуг дополнительных
номеров сетей.
Пример 5.4. Допустим, организации выделена сеть класса В:

160.95.0.0 (рис. 5.8).
Машрутизатор
Интернет 160.95.0.0/16
65 534 узлов
Рис. 5.8. Сеть класса В до деления на подсети
В такой сети может находиться до 65 534 узлов. Однако орга-

низации требуется 3 независимые сети с числом узлов в каждой не
более 254. В этой ситуации можно применить деление на подсети с
помощью масок. Например, при использовании маски 255.255.255.0
третий байт адреса будет определять номер внутренней подсети, а
четвертый байт – номер узла (рис. 5.9).
Маршрутизаторы во внешней сети (Интернет) ничего «не знают»
о делении сети 160.95.0.0 на подсети, все пакеты направляются на
маршрутизатор организации, который переправляет их в требуемую
внутреннюю подсеть.
Машрутизатор
Интернет 165.95.1.0/24
254 узла
165.95.2.0/24
165.95.3.0/94
254 узла
254 узла
Рис. 5.9. Сеть класса В после деления на подсети
5.2.4. Особые IP-адреса
Некоторые IP-адреса являются особыми, они не должны при-

меняться для идентификации обычных сетей.
1. Если первый октет ID сети начинается со 127, такой адрес
считается адресом машины – источника пакета. В этом случае пакет
не выходит в сеть, а возвращается на компьютер-отправитель.
Такие адреса называются loopback (петля, замыкание на себя)
и используются для проверки функционирования стека TCP/IP.
2. Если все биты IP-адреса равны нулю, адрес обозначает узел-
отправитель и используется в некоторых сообщениях ICMP.
3. Если все биты ID сети равны 0, а все биты ID хоста равны 1,
то адрес называется ограниченным широковещательным (Limited
Broadcast).
Пакеты, направленные по такому адресу, рассылаются всем уз-
лам той подсети, в которой находится отправитель пакета. К данному
же типу адреса можно относить и IP-адрес, в котором 32 разряда за-
полнены 1, так как пакет с таким адресом не будет «выпущен» за пре-
делы сети отправителя устройством, связующим сети, например ком-
мутатром или маршрутизатором.
4. Если все биты ID хоста равны 1, а биты ID сети не равны 0,
т. е. однозначно идентифицируют адрес подсети, то адрес называет-
ся широковещательным (Broadcast); пакеты, имеющие широкове-
щательный адрес, доставляются всем узлам подсети назначения.
5. Если все биты ID хоста равны 0, адрес считается идентифи-

катором подсети (Subnet ID).
Наличие особых IP-адресов объясняет, почему из диапазона
доступных адресов исключаются два адреса – это случаи, когда все
биты ID хоста равны 1 или 0. Например, в сети класса С не 256, а
254 узла.
5.2.5. Распределение IPv4-адресов. Частные и публичные

адреса
Поскольку каждый узел сети Интернет должен обладать уникаль-

ным IP-адресом, то, безусловно, важной является задача координации
распределения адресов отдельным сетям и узлам. Такую координи-
рующую роль выполняет интернет-корпорация по распределению
имен и адресов (the Internet Corporation for Assigned Names and Num-
bers, ICANN).
Естественно, что ICANN не решает задач выделения IP-адресов
конечным пользователям и организациям, а занимается распределе-
нием диапазонов адресов между крупными организациями – постав-
щиками услуг по доступу к сети Интернет (Internet Service Provider),
которые, в свою очередь, могут взаимодействовать не только с более
мелкими поставщиками, но и с конечными пользователями. Так, на-
пример, функции по распределению IP-адресов в Европе корпорация
ICANN делегировала Координационному центру RIPE (RIPE NCC –
фр. Reseaux IP Europeens + англ. Network Coordination Centre). В свою
очередь, этот центр делегирует часть своих функций региональным
организациям.
Служба распределения номеров IANA (Internet Assigned Numbers
Authority) зарезервировала для частных сетей следующие три блока
адресов:
10.0.0.0–10.255.255.255 (1 сеть класса А);
172.16.0.0–172.31.255.255 (16 сетей класса B);
192.168.0.0–192.168.255.255 (256 сетей класса С).
Любая организация может использовать IP-адреса из этих бло-
ков без согласования с ICANA или Internet-регистраторами. В ре-
зультате эти адреса используются во множестве организаций. Таким
образом, уникальность адресов сохраняется только в масштабе од-
ной или нескольких организаций, которые согласованно используют
общий блок адресов. В такой сети каждая рабочая станция может

обмениваться информацией с любой другой рабочей станцией част-
ной сети.
Если какой-либо организации требуются уникальные адреса

для связи с внешними сетями, то их следует получать обычным
путем через регистраторов Internet. Такие адреса никогда не
будут входить ни в один из указанных выше блоков частных
адресов.
Перед распределением адресов из частного и публичного бло-

ков следует определить, какие из рабочих станций сети должны иметь
связь с внешними системами на сетевом уровне. Для таких рабочих
станций следует использовать публичные адреса, остальным же –
можно присваивать адреса из частных блоков, это не помешает им
взаимодействовать со всеми рабочими станциями частной сети ор-
ганизации, независимо от того, какие адреса используются (частные
или публичные). Однако прямой доступ во внешние сети для рабочих
станций с адресами из частного блока невозможен. Для организа-
ции их доступа во внешние шлюзы придется использовать прокси-
серверы.
Перемещение рабочей станции из частной сети в публичную
(и обратно) связано со сменой IP-адреса, соответствующих запи-
сей DNS и изменением конфигурационных файлов на других рабо-
чих станцях, которые их идентифицируют по IP-адресам. Поскольку
частные адреса не имеют глобального значения, маршрутная ин-
формация о частных сетях не должна выходить за пределы этих се-
тей, а пакеты с частными адресами отправителей или получателей
не должны передаваться через межсетевые каналы. Предполагается,
что маршрутизаторы в публичных сетях (особенно маршрутизаторы
провайдеров Internet) будут отбрасывать маршрутную информацию
из частных сетей. Если маршрутизатор публичной сети получает
такую информацию, ее отбрасывание не должно трактоваться как
ошибка протокола маршрутизации.
Также в качестве частной можно выделить еще одну сеть клас-
са B – 169.254.0.0, адреса которой используются для автоматической
конфигурации сетевых адаптеров операционной системой Windows
при отсутствии либо не работающем DHCP-сервере.
5.2.6. Общие сведения о протоколе IPv6
Использование масок является временным решением проблемы

дефицита IP-адресов, так как адресное пространство протокола IP
не увеличивается, а количество хостов в Интернете растет с каж-
дым днем. Для принципиального решения проблемы требуется су-
щественное увеличение количества IP-адресов. Для преодоления
ограничений IPv4 был разработан протокол IP 6-й версии – IPv6
(RFC 2373, 2460).
Протокол IPv6 имеет следующие основные особенности:
− длина адреса 128 битов – такая длина обеспечивает примерно
3,4×1038 адресов; данное количество адресов позволит присваивать
в обозримом будущем уникальные IP-адреса любым устройствам;
− автоматическая конфигурация – протокол IPv6 предоставляет
средства автоматической настройки IP-адреса и других сетевых па-
раметров даже при отсутствии таких служб, как DHCP;
− встроенная безопасность – для передачи данных является обя-
зательным использование протокола защищенной передачи, IPsec
(протокол IPv4 также может использовать IPsec).
В настоящее время многие производители сетевого оборудо-

вания включают поддержку протокола IPv6 в свои продук-
ты, однако преобладающим остается протокол IPv4. Связано
это с тем, что IPv6 обратно несовместим с IPv4 и процесс пе-
рехода сопряжен с определенными трудностями.
5.2.7. Архитектура адресации IPv6
Существует три типа адресов:

− unicast: идентификатор одиночного интерфейса. Пакет, по-
сланный по unicast-адресу, доставляется интерфейсу, указанному в
адресе. Под интерфейсом в контексте IPv6 следует понимать это
средство подключения узла к каналу.
− anycast: идентификатор набора интерфейсов (принадлежащих
разным узлам). Пакет, посланный по anycast-адресу, доставляется
одному из интерфейсов, указанному в адресе (ближайшему, в соот-
ветствии с мерой, определенной протоколом маршрутизации).
− multicast: идентификатор набора интерфейсов (обычно при-

надлежащих разным узлам). Пакет, посланный по multicast-адресу,
доставляется всем интерфейсам, заданным этим адресом.
В отличии от IPv4-протокола, в IPv6 не существует широкове-
щательных адресов − их функции переданы multicast-адресам. Также
надо отметить, что в IPv6 все нули и все единицы являются допусти-
мыми кодами для любых полей, если не оговорено исключение.
5.2.8. Модель адресации
Выделяют следующие аспекты модели адресации протокола IPv6:

1) IPv6-адреса всех типов ассоциируются с интерфейсами, а не
узлами. Так как каждый интерфейс принадлежит только одному узлу,
юникастный адрес интерфейса может идентифицировать узел;
2) юникастный адрес IPv6 соотносится только с одним интер-
фейсом. Одному интерфейсу могут соответствовать много IPv6-ад-
ресов различного типа (юникастные, эникастные и мультикастные).
Существует два исключения из этого правила:
– одиночный адрес может приписываться нескольким физиче-
ским интерфейсам, если приложение рассматривает их как единое
целое.
– маршрутизаторы могут иметь ненумерованные интерфейсы
(например, интерфейсу не присваивается никакого IPv6-адреса) для
соединений «точка-точка», чтобы исключить необходимость вруч-
ную конфигурировать и объявлять эти адреса. Адреса не нужны для
соединений точка-точка маршрутизаторов, если эти интерфейсы
не используются в качестве точки отправления или назначения при
посылке IPv6-дейтограмм.
3) IPv6 соответствует модели IPv4, где подсеть ассоциируется с
каналом. Одному каналу могут соответствовать несколько подсетей.
5.2.9. Представление записи IPv6-адресов
Существует три стандартные формы для представления IPv6-ад-

ресов в виде текстовых строк:
1. Основная форма записи имеет вид x:x:x:x:x:x:x:x, где 'x' – шест-
надцатеричные шестнадцатибитные числа.
fedc:ba98:7654:3210:FEDC:BA98:7654:3210
1080:0:0:0:8:800:200C:417A
Необходимо отметить, что не нужно писать начальные нули в каж-

дом из конкретных полей, но в каждом поле должна быть хоть одна
цифра (за исключением случая, описанного в пункте 2).
2. Сокращенная форма записи. Из-за метода записи некоторых
типов IPv6-адресов последние часто содержат длинные последова-
тельности нулевых битов. Для того чтобы сделать запись адресов,
содержащих нулевые биты, более удобной, имеется специальный
синтаксис для удаления лишних нулей. Использование записи «::»
указывает на наличие групп из 16 нулевых битов. Данная комбина-
ция «::» может появляться только при записи адреса.
1080:0:0:0:8:800:200c:417a anycast-адрес
ff01:0:0:0:0:0:0:43 multicast-адрес
Эти адреса могут быть представлены в следующем виде:
1080::8:800:200c:417a anycast-адрес
ff01::43 multicast-адрес
Последовательность «::» может также использоваться для уда-

ления из записи начальных или завершающих последовательностей
нулей в адресе. Расмотрим пример основной и сокращенной формы
записи IPv6-адреса обратной связи и неспецифицированного IPv6-
адреса.
Основная форма записи

0:0:0:0:0:0:0:1 адрес обратной связи
0:0:0:0:0:0:0:0 неспецифицированный адрес
Сокращенная форма записи

::1 адрес обратной связи
:: не специфицированный адрес
3. Альтернативная форма записи, которая более удобна при ра-

боте с IPv4 и IPv6, выглядит так: x:x:x:x:x:x:d.d.d.d, где 'x' − шестна-
дцатеричные шестнадцатибитные числа адреса, а 'd' – десятичные вось-
мибитные чила, составляющие младшую часть адреса (стандартное
IPv4-представление). Примерами такой записи могут быть следую-
щие IPv6-адреса:
0:0:0:0:0:0:13.1.68.3
0:0:0:0:0:FFFF:129.144.52.38
или в сокращенном виде:
::13.1.68.3
::FFFF:129.144.52.38
5.2.10. Представление типа IPv6-адреса
Специфический тип IPv6-адресов идентифицируется лидирую-

щими битами адреса. Поле переменной длины, которое содержит
эти лидирующие биты, называется префиксом формата (Format Pre-
fix, FP).
Некоторые примеры исходных назначений данных префиксов
представлены в табл. 5.2.
Таблица 5.2
Префиксы IPv6-адресов
Часть адресного
Назначение Префикс (двоичный)
пространства
Зарезервировано для NSAP 0000001 1/128
Зарезервировано для IPX 0000010 1/128
Провайдерские unicast-адреса 010 1/8
Зарезервировано для географи-
100 1/8
ческих unicast-адресов
Локальные канальные адреса 1111111010 1/1024
Локальная подсеть 1111111011 1/1024
Multicast-адреса 11111111 1/256
Данное распределение адресов поддерживает прямое выделение

адресов провайдера, адресов локального применения и multicast-ад-
ресов. Зарезервировано место для адресов NSAP, IPX, географиче-
ских адресов и т. д.
Unicast-адреса отличаются от multicast-адресов значением стар-
шего октета: значение FF (11111111) идентифицирует multicast-адрес,
а любые другие значения – адрес типа unicast. Anycast-адреса берутся
из пространства адресов unicast и синтаксически неотличимы от них.
Обычно говорят, что как только один и тот же unicast-адрес присвоен
двум и более интерфейсам, то он становится anycast-адресом.
5.2.11. Unicast IPv6-адреса
Unicast-адрес служит для определения интерфейса устройства

под управлением протокола IPv6. Пакет, который отправляется на
unicast-адрес, будет получен интерфейсом, присвоенным для этого
адреса. Как и в случае с протоколом IPv4, IPv6-адрес должен быть
индивидуальным.
Существует шесть типов unicast-адресов:
1. Global unicast-адрес. Адреса данного типа уникальны по всему
миру и доступны для маршрутизации через Интернет IPv6. Они эк-
вивалентны публичным IPv4-адресам. В настоящее время назнача-
ются только глобальные индивидуальные адреса с первыми тремя
битами 001 или 2000::/3. Это лишь 1/8 часть от всего доступного
адресного пространства IPv6. Так, например, адрес 2001:0DB8::/32
был зарезервирован для документации. Глобальные индивидуаль-
ные адреса могут быть настроены статически или присвоены дина-
мически.
В общем случае глобальный индивидуальный адрес состоит из
трех частей (рис. 5.10).
48 битов 16 битов 64 бита
Префикс глобальной Идентификатор

Идентификатор интерфейса
маршрутизации подсети
Префикс маршрутизатора
Рис. 5.10. Структура global unicast IPv6-адреса

Префикс глобальной маршрутизации – это префиксальная или

сетевая часть адреса, назначаемая интернет-провайдером заказчику
или узлу. В настоящее время /48 является префиксом глобальной
маршрутизации, который интернет-регистраторы назначают своим
заказчикам – корпоративным сетям и индивидуальным пользовате-
лям. Этого адресного пространства более чем достаточно для боль-
шинства заказчиков.
Идентификатор подсети используется организациями для обо-
значения подсетей в каждом узле.
Идентификатор интерфейса эквивалентен узловой части IPv4-
адреса. Данный термин используется в том случае, когда один узел
может иметь несколько интерфейсов, каждый из которых обладает
одним или более IPv6-адресами.
2. Link Local-адрес. Local IPv6-адрес канала (Link Local-адрес) по-
зволяет устройству обмениваться данными с другими устройства-
ми под управлением IPv6 по одному и тому же каналу и только по
данному каналу (подсети). Пакеты с локальным адресом канала ис-
точника или назначения не могут быть направлены за пределы того
канала, в котором пакет создается. В отличие от локальных IPv4-
адресов канала локальные адреса канала IPv6 играют важную роль
в различных аспектах сети. Глобальный индивидуальный адрес не
обязателен. Однако для содержания локального адреса канала не-
обходим сетевой интерфейс под управлением протокола IPv6. Если
локальный адрес канала не настроен вручную на интерфейсе, устрой-
ство автоматически создает собственный адрес, не обращаясь к DHCP-
серверу. Узлы под управлением IPv6-протокола создают локальный
IPv6-адрес канала даже тогда, когда устройству не был назначен гло-
бальный IPv6-адрес. Это позволяет устройствам под управлением
IPv6 обмениваться данными с другими устройствами под управле-
нием IPv6 в одной подсети, в том числе со шлюзом по умолчанию
(маршрутизатором). Локальные IPv6-адреса канала находятся в диа-
пазоне FE80::/10.
3. Loopback-адрес. Данный адрес используется узлом для от-
правки пакета самому себе и не может быть назначен физическому
интерфейсу. Как и на loopback-адрес IPv4, для проверки настроек
TCP/IP на локальном узле можно послать эхо-запрос на loopback-
адрес IPv6. Loopback-адрес IPv6 состоит из нулей, за исключением
последнего бита, и выглядит как ::1/128 или просто ::1 в сокращен-
ном формате.
4. Unspecified-адрес (неопределенный адрес). Он состоит из ну-

лей и в сокращенном формате представлен как ::/128 или просто ::
Данный адрес не может быть назначен интерфейсу и используется
только в качестве адреса источника в IPv6-пакете. Неопределенный
адрес применяется в качестве адреса источника в том случае, когда
устройству еще не назначен постоянный IPv6-адрес или когда источ-
ник пакета не относится к месту назначения.
5. Unique local-адрес. Это IPv6-адреса, которые имеют некоторые
общие особенности с частными адресами RFC 1918 для IPv4, но при
этом между ними имеются и значительные различия. Уникальные ло-
кальные адреса используются для локальной адресации в пределах
узла или между ограниченным количеством узлов. Эти адреса не сле-
дует маршрутизировать в глобальном протоколе IPv6.
Уникальные локальные адреса находятся в диапазоне от FC00::/7
до FDFF::/7. В случае с IPv4 частные адреса объединены с NAT
для обеспечения преобразования адресов из частных в публичные.
Это делается из-за недостатка адресного пространства IPv4. На мно-
гих сайтах также используют частный характер адресов RFC 1918,
чтобы обеспечить безопасность или защитить сеть от потенциаль-
ных угроз. Однако такая мера никогда не была целью использова-
ния данных технологий, и организация IETF всегда рекомендовала
предпринимать правильные меры предосторожности при работе
маршрутизатора в Интернете. Хотя протокол IPv6 обеспечивает
особую адресацию для сайтов, он не предназначен для того, чтобы
скрывать внутренние устройства под управлением IPv6 от анализа
из сети Интернет IPv6. IETF рекомендует ограничивать доступ к
устройствам с помощью специальных (более эффективных) мер без-
опасности.
6. IPv4 embedded-адрес. Это тип индивидуальных адресов, явля-
ющийся адресом со встроенным IPv4-адресом. Использование этих
адресов способствует переходу с протокола IPv4 на IPv6.
5.2.12. Multicast IPv6-адреса
Мультикаст-адрес IPv6 (multicast-адрес) является идентифика-

тором для группы узлов. Узел может принадлежать к любому числу
мультикаст-групп. Мультикаст-адреса имеют формат, отраженный
на рис. 5.11:
8 битов 4 бита 4 бита 112 битов

11111111 Флаги Scope Идентификатор группы
Рис. 5.11. Структура multicast-адреса
Префикс 11111111 в начале адреса идентифицирует адрес как

multicast-адрес. Структура флагов представлена на рис. 5.12.
Набор из 4 флагов 0 0 0 Т
Рис. 5.12. Структура флагов multicast-адреса
Старшие 3 флага зарезервированы и должны быть обнулены. Если

четвертый флаг T установлен в «0», то это означает, что IPv6-адрес
является стандартным (well-known) multicast-адресом, официально
выделенным для глобального использования в Интернете, а T = 1 ука-
зывает, что данный multicast-адрес присвоен временно (transient).
Поле Scope представляет собой 4-битный код, предназначенный
для определения предельной области действия multicast-группы. До-
пустимые значения поля Scope представлены в табл. 5.3.
Таблица 5.3
Допустимые значения поля Scope
Значение поля Область действия
0 Зарезервировано
1 Область действия ограничена локальным узлом
2 Область действия ограничена локальным каналом
3 Не определено
5 Область действия ограничена локальной сетью
8 Область действия ограничена локальной организацией
A Не определено
B Не определено
C Не определено
D Не определено
E Глобальные пределы (global scope)
F Зарезервировано
Значение постоянно присвоенного multicast-адреса не зависит от

значения поля scope. Например, если NTP servers group присвоен по-
стоянный multicast-адрес с идентификатором группы 43 (hex), тогда:
− FF01:0:0:0:0:0:0:43 означает, что все NTP-серверы одного и того
же узла рассматриваются как отправители;
− FF02:0:0:0:0:0:0:43 означает, что все NTP-серверы работают с
тем же каналом, что и отправитель;
− FF05:0:0:0:0:0:0:43 означает, что все NTP-серверы принадле-
жат той же сети, что и отправитель;
− FF0E:0:0:0:0:0:0:43 означает, что все NTP-серверы находятся
в Интернете.
Непостоянно выделенные multicast-адреса имеют значение только
в пределах данного ограничения (scope). Например, группа, опреде-
ленная непостоянным локальным multicast-адресом FF15:0:0:0:0:0:0:43,
не имеет никакого смысла для другой локальной сети или непостоян-
ной группы, использующей тот же групповой идентификатор с дру-
гим scope, или для постоянной группы с тем же групповым ID.
Multicast-адреса не должны использоваться в качестве адреса от-
правителя в IPv6-пакетах или встречаться в любых заголовках мар-
шрутизации.
5.2.13. Автоматизация назначения IP-адресов узлам сети –

протокол DHCP
Как уже было сказано, IP-адреса могут назначаться администра-

тором сети вручную. Это представляет для администратора уто-
мительную процедуру. Ситуация усложняется еще тем, что многие
пользователи не обладают достаточными знаниями для того, чтобы
конфигурировать свои компьютеры для работы в интерсети, и должны
полагаться на администраторов.
Протокол динамической настройки узла, DHCP (Dynamic Host
Configuration Protocol), был разработан для того, чтобы освободить
администратора от этих проблем. Основным назначением DHCP яв-
ляется динамическое назначение IP-адресов. Однако, кроме динами-
ческого, DHCP может поддерживать и более простые способы руч-
ного и автоматического статического назначения адресов.
В ручной процедуре назначения адресов активное участие прини-
мает администратор, предоставляющий DHCP-серверу информацию
о соответствии IP-адресов физическим адресам или другим иденти-

фикаторам клиентов. Эти адреса сообщаются клиентам в ответ на их
запросы к DHCP-серверу.
При автоматическом статическом способе DHCP-сервер при-

сваивает IP-адрес (и, возможно, другие параметры конфигу-
рации клиента) из пула наличных IP-адресов без вмешатель-
ства оператора. Границы пула назначаемых адресов задает
администратор при конфигурировании DHCP-сервера.
Между идентификатором клиента и его IP-адресом, как и при руч-

ном назначении, существует постоянное соответствие. Оно устанав-
ливается в момент первичного назначения сервером DHCP IP-адреса
клиенту. При последующих запросах сервер возвращает тот же IP-ад-
рес. При динамическом распределении адресов DHCP-сервер выдает
адрес клиенту на ограниченное время, что позволяет повторно исполь-
зовать IP-адреса другими компьютерами. Служба DHCP обеспечивает
надежный и простой способ конфигурации сети TCP/IP, гарантируя
отсутствие конфликтов адресов за счет централизованного управления
их распределением. Администратор управляет процессом назначения
адресов с помощью параметра «продолжительности аренды», опреде-
ляющего, как долго компьютер может использовать назначенный IP-
адрес, перед тем как снова запросить его от сервера DHCP в аренду.
Примером работы протокола DHCP может служить ситуация,
когда компьютер, являющийся клиентом DHCP, удаляется из под-
сети. При этом назначенный ему IP-адрес автоматически освобож-
дается. Когда компьютер подключается к другой подсети, то ему ав-
томатически назначается новый адрес. Ни пользователь, ни сетевой
администратор не вмешиваются в этот процесс. Это свойство очень
важно для мобильных пользователей.
Пример 5.5. Рассмотрим настройку DHCP-сервера на примере
ОС Windows Server 2012.
1. Установка и авторизация сервера DHCP. Установка службы
DHCP выполняется так же, как и установка любой другой компо-
ненты Windows Server: Пуск – Панель управления – Установка и
удаление программ – Установка компонентов Windows – Сетевые
службы – кнопка Состав – выбрать пункт DHCP – кнопки ОK, Далее
и Готово (если потребуется, то указать путь к дистрибутиву системы).
Также можно установить DHCP-сервер, используя Server Manager

(Диспетчер серверов), а именно Start (Пуск) – Server Manager (Дис-
петчер серверов), общий вид которого показан на рис 5.13.
Рис. 5.13. Общий вид Server Manager
Далее выбираем Add roles and features (Добавить роль сервера) –

или непосредственно через быстрый запуск, или через меню Управ-
ление – и на странице приветствия жмем Next (Далее) (рис. 5.14).
Рис. 5.14. Старт работы мастера установки роли сервера
Далее уже по умолчанию выбран необходимый пункт, т. е. Role-

based or feature-based installation (Установка ролей или компонентов),
и поэтому жмем Далее (рис. 5.15).
Рис. 5.15. Выбор опции установки ролей и компонент
Затем выбираем, на какой сервер или виртуальный жесткий диск

будет устанавливаться DHCP-сервер (в нашем случае локально,
т. е. этот же сервер). Далее определяем, какую роль будем устанав-
ливать, и соответственно выбираем DHCP-сервер (рис. 5.16).
Рис. 5.16. Выбор устанавливаемой роли
После нажатия откроется окно, в котором сразу предложат вы-

брать для установки средства администрирования DHCP-сервера. Не-
обходимо соглашаться, иначе все равно придется их выбирать, так
как администрироваться DHCP будут с данного компьютера. Затем

жмем Add Features (Добавить компоненты) (рис. 5.17).
Далее будет предложено выбрать необходимые компоненты. Если
на прошлом шаге были выбраны Добавить компоненты, то необхо-
димые компоненты уже будут выбраны, а поэтому жмем Next (Далее)
(рис. 5.18).
Рис. 5.17. Выбор средств администрирования
Рис. 5.18. Выбор компонент устанавливаемой роли

Еще на нескольких последующих этапах также жмем Next (Да-

лее), и затем начнется установка DHCP-сервера (рис. 5.19).
После завершения установки будет предложено выполнить пред-
варительную настройку параметров DHCP-сервера.
Рис. 5.19. Установка DHCP-сервера
2. Настройка параметров DHCP-сервера. После установки DHCP-

сервер и средства его администрирования необходимо настроить.
Для этого запускаем оснастку управления DHCP-сервером через Ser-
ver Manager (Диспетчер серверов), меню Tools (Средства) (рис. 5.20).
Рис. 5.20. Запуск DHCP-сервера

Создать область можно, щелкнув правой кнопкой мыши на имени

сервера и выбрав пункт меню New Scope (Создать область) (или ана-
логичный пункт в меню Действие консоли DHCP) (рис. 5.21). Консоль
запустит процесс создания области (Мастер создания области), ко-
торый позволит по шагам определить все необходимые параметры.
Рис. 5.21. Создание новой области DHCP-сервера
Имя и описание области. В больших сетях именование обла-

стей и задание их краткого описания облегчает работу администра-
тора за счет более наглядного отображения в консоли всех создан-
ных областей (рис. 5.22).
Рис. 5.22. Создание области DHCP-сервера

Дальнейший процесс создания и настройки области в Windows

Server 2012 сводится к необходимости определить диапазон IP-ад-
ресов и маски подсети (в данном примере используется подсеть с
Network ID 192.168.1.0 и маской 24 бита) (рис. 5.23).
Добавление исключений. На данном шаге задаются диапазоны
IP-адресов, которые будут исключены из процесса выдачи адресов
клиентам (все статические IP-адреса обязательно исключаются из
действующего диапазона адресов). В рассмотренном на рис. 5.24 при-
мере исключаются адреса обоих серверов: 192.168.100 и 192.168.1.101.
Рис. 5.23. Определение диапазона адресов области
Рис. 5.24. Добавление исключающего диапазона адресов области

Срок действия аренды. Стандартный срок действия – 8 дней

(рис. 5.25).
Рис. 5.25. Определение срока аренды клиентом адресов
Если в сети редко происходят изменения (добавление или уда-

ление сетевых узлов, перемещение сетевых узлов из одной подсети в
другую), то срок действия можно увеличить, это сократит количество
запросов на обновление аренды. Если же сеть более динамичная, то
срок аренды можно сократить, это позволит быстрее возвращать в пул
IP-адреса, которые принадлежали компьютерам, уже удаленным из
данной подсети.
Далее мастер предложит настроить параметры, специфичные
для узлов IP-сети, относящихся к данной области, например марш-
рутизатор (основной шлюз), адрес DNS-сервера (можно назначить
несколько адресов, рис. 5.26); адрес WINS-сервера (аналогично сер-
веру DNS; можно также назначить несколько адресов).
Запрос на активацию области. IP-адреса, заданные в созданной
области, не будут выдаваться клиентам, пока область не будет ак-
тивирована (рис. 5.27).
Далее завершаем работу мастера, и область готова к использо-
ванию. Если какие-либо параметры (например, адреса серверов DNS
или WINS) являются общими для всех областей, управляемых данным
DHCP-сервером, то такие параметры лучше определить не в разделе
параметров каждой области, а в разделе параметров самого сервера.
Рис. 5.26. Добавление адреса DNS-сервера, распределяемого областью
Рис. 5.27. Запрос на активацию области DHCP-сервера
Однако использование DHCP несет в себе как положительные

моменты (централизация управления), так и некоторые проблемы.
Во-первых, это проблема согласования информационной адрес-
ной базы в службах DHCP и DNS. Как известно, DNS служит для
преобразования символьных имен в IP-адреса. Если IP-адреса будут
динамически изменяться сервером DHCP, то эти изменения необ-
ходимо также динамически вносить в базу данных сервера DNS.
Во-вторых, нестабильность IP-адресов усложняет управление

сетью – необходимо выполнить резервирование IP-адресов по MAC-
адресам через заполнение поля Reservations в соответствующей об-
ласти (Scope) DHCP-сервера, тем самым формируется таблица соот-
ветствия MAC- и IP-адресов. Подобные проблемы возникают и при
конфигурировании фильтров маршрутизаторов, оперирующих с IP-
адресами.
Наконец, централизация процедуры назначения адресов снижает
надежность системы: при отказе DHCP-сервера его клиенты не могут
получить IP-адрес и другую информацию о конфигурации. Послед-
ствия такого отказа могут быть уменьшены путем использования в
сети нескольких серверов DHCP (полноценное резервирование DHCP-
серверов реализовано лишь начиная с Windows Server 2012).
5.3. Символьный адрес
В стеке протоколов TCP/IP используются три типа адресов –

физические, IP-адреса и символьные доменные имена.
Последние кажутся в этом ряду необязательными; действительно,

сеть будет работать и без них. Но надо отметить, что пользователю
сети неудобно запоминать числовые IP-адреса, ассоциируя их с кон-
кретными сетевыми объектами. Люди привыкли к символьным име-
нам, и именно поэтому в стек TCP/IP была введена система домен-
ных имен DNS (Domain Name System). Она описывается в RFC 1034 и
RFC 1035. Полное название доменных имен – FQDN (Fully Qualified
Domain Name – полностью определенное имя домена). Кроме DNS-
имен Windows Server поддерживает символьные имена NetBIOS.
5.3.1. Система доменных имен
Система доменных имен DNS основана на иерархической дре-

вовидной структуре, называемой пространством доменных имен.
Доменом является каждый узел и лист этой структуры.
5.3. Символьный адрес 175
На рис. 5.28 приведен фрагмент пространства доменных имен

Интернета.
root
Корневой домен
Домены
arpa com org fr ru de
первого уровня
Домены
microsoft kirov
второго уровня
in-addr rambler yandex
Домены
vshu третьего уровня
www suppot www
Домены
www четвертого уровня
Рис. 5.28. Фрагмент пространства доменных имен Интернета
Самый верхний домен – корневой (Root Domain) – как реальный

узел не существует, он исполняет роль вершины дерева. Ближайшие
его потомки (поддомены) – домены первого уровня TLD (Top-Level
Domain – домены верхнего уровня). Их можно разделить на три группы:
1. Особый домен .arpa, используемый для преобразования IP-ад-
ресов в доменные имена (обратное преобразование). Содержит един-
ственный дочерний домен – in-addr;
2. Домены организаций:
− com – коммерческие организации (например, microsoft.com);
− edu – образовательные (например, mit.edu);
− gov – правительственные организации (например, nsf.gov);
− org – некоммерческие организации (например, fidonet.org);
− net – организации, поддерживающие сети (например, nsf.net);
− другие домены;
3. Домены стран (географические домены): by (Беларусь), ru (Рос-
сия), fr (Франция), de (Германия) и т. д.
Домены первого уровня включают только домены второго уров-
ня, записи об отдельных хостах могут содержаться в доменах, на-
чиная со второго уровня. Созданием и управлением доменами пер-
вого уровня с 1998 г. занимается международная некоммерческая
организация ICANN (Internet Corporation for Assigned Names and
Numbers – интернет-корпорация по присвоению имен и адресов,

www.icann.org). Домены второго уровня, находящиеся в географиче-
ских доменах, распределяются специальными национальными орга-
низациями, которым ICANN передало полномочия в этом вопросе.
Управлением доменами третьего и следующего уровней занимаются
владельцы соответствующих доменов второго уровня. Полностью оп-
ределенное доменное имя FQDN записывается следующим образом.
Сначала идет имя хоста (лист в дереве пространства имен), затем
через точку следует DNS-суффикс – последовательность доменных
имен всех уровней до первого включительно. Запись оканчивается
точкой, под которой подразумевается корневой домен. Например:
www.belstu.by.
В этой записи www – имя хоста, belstu.by. – DNS-суффикс. Точку
в конце FQDN допускается опускать.
5.3.2. Служба DNS
Пользователь работает с доменными именами, компьютеры пе-

ресылают пакеты, пользуясь IP-адресами.
Для согласования двух систем адресаций необходима спе-

циальная служба, которая занимается переводом доменного
имени в IP-адрес и обратно. Такая служба в TCP/IP называ-
ется Domain Name Service – служба доменных имен (аббре-
виатура DNS совпадает с аббревиатурой системы доменных
имен). Процесс преобразования доменного имени в IP-адрес
называется разрешением доменного имени.
Когда в сети ARPANET было несколько десятков компьютеров,

задача преобразования символьного имени в IP-адрес решалась про-
сто – создавался текстовый файл HOSTS, в котором хранились соответ-
ствия IP-адреса символьному имени. Этот файл должен был присут-
ствовать на всех узлах сети. С увеличением числа узлов объем файла
становился очень большим и администраторы не успевали отслежи-
вать все изменения, происходящие в сети. Потребовалась автоматиза-
ция процесса разрешения имен, которую взяла на себя служба DNS.
Служба доменных имен поддерживает распределенную базу

данных, которая хранится на специальных компьютерах –
DNS-серверах. Термин распределенная означает, что вся ин-
формация не хранится в одном месте, ее части распределены
по отдельным DNS-серверам.
Например, за домены первого уровня отвечают 13 корневых

серверов, имеющих имена от A.ROOT-SERVERS.NET до M.ROOT-
SERVERS.NET, расположенных по всему миру (большинство в США).
Такие части пространства имен называются зонами (Zone).
Пространство имен делится на зоны исходя из удобства адми-
нистрирования. Одна зона может содержать несколько доменов, так
же как информация о домене может быть рассредоточена по несколь-
ким зонам. На DNS-сервере могут храниться несколько зон. В целях
повышения надежности и производительности зона может быть раз-
мещена одновременно на нескольких серверах, в этом случае один
из серверов является главным и хранит основную копию зоны (Prima-
ry Zone), остальные серверы являются дополнительными, на них со-
держатся вспомогательные копии зоны (Secondary Zone).
Для преобразования IP-адресов в доменные имена существуют
зоны обратного преобразования (Reverse Lookup Zone). На верхнем
уровне пространства имен Интернета этим зонам соответствует до-
мен in-addr.arpa. Поддомены этого домена формируются из IP-ад-
ресов, как показано на рис. 5.29.
root
arpa
in-addr
156 195 27
98 57 100
10 115 69
Рис. 5.29. Формирование поддоменов домена arpa

Следуя правилам формирования DNS-имен, зона обратного пре-

образования, соответствующая подсети 156.98.10.0, будет называть-
ся 10.98.156.in-addr.arpa.
5.3.3. Процесс разрешения имен
Служба DNS построена по модели клиент-сервер, т. е. в про-

цессе разрешения имен участвуют DNS-клиенты и DNS-серверы. Си-
стемный компонент DNS-клиента, называемый DNS-распознавате-
лем, отправляет запросы на DNS-серверы. Запросы бывают двух видов:
– итеративные – DNS-клиент обращается к DNS-серверу с прось-
бой разрешить имя без обращения к другим DNS-серверам;
– рекурсивные – DNS-клиент перекладывает всю работу по раз-
решению имени на DNS-сервер. Если запрашиваемое имя отсутствует
в базе данных и в кэше сервера, он отправляет итеративные запросы
на другие DNS-серверы.
В основном DNS-клиентами используются рекурсивные запросы.
На рис. 5.30 проиллюстрирован процесс разрешения доменного име-
ни с помощью рекурсивного запроса.
Файл Кэш База данных Кэш
HOSTS DNS-клиента DNS-сервера DNS-сервера
Корневой
DNS-сервер
Предпочитаемый
DNS-сервер DNS-сервер домена
DNS-клиент первого уровня
Альтернативный
DNS-сервер
DNS-сервер домена
второго уровня
База данных Кэш

DNS-сервера DNS-сервера
Рис. 5.30. Процесс обработки рекурсивного DNS-запроса
Сначала DNS-клиент осуществляет поиск в собственном локаль-

ном кэше DNS-имен. Это память для временного хранения ранее раз-
решенных запросов. В эту же память переносится содержимое файла
HOSTS (каталог windows/system32/drivers/etc). Утилита IPconfig с клю-
чом /displaydns отображает содержимое DNS-кэша. Если кэш не со-
держит требуемой информации, DNS-клиент обращается с рекурсив-
ным запросом к предпочитаемому DNS-серверу (Preferred DNS-server),
адрес которого указывается при настройке стека TCP/IP. DNS-сервер
просматривает собственную базу данных, а также кэш-память, в кото-
рой хранятся ответы на предыдущие запросы, отсутствующие в базе
данных. В том случае, если запрашиваемое доменное имя не найдено,
DNS-сервер осуществляет итеративные запросы к DNS-серверам верх-
них уровней, начиная с корневого DNS-сервера.
Рассмотрим процесс разрешения доменного имени на примере.
Пусть требуется разрешить имя www.microsoft.com. Корневой до-
мен содержит информацию о DNS-сервере, содержащем зону .com.
Следующий запрос происходит к этому серверу, на котором хранятся
данные о всех поддоменах зоны .com, в том числе о домене microsoft
и его DNS-сервере. Сервер зоны microsoft.com может непосредственно
разрешить имя www.microsoft.com в IP-адрес.
Иногда бывает, что предпочитаемый DNS-сервер недоступен. То-
гда происходит запрос по той же схеме к альтернативному DNS-сер-
веру, если, конечно, при настройке стека TCP/IP был указан его адрес.
5.3.4. Записи о ресурсах
База данных DNS-сервера содержит записи о ресурсах (Resource

Record), в которых содержится информация, необходимая для раз-
решения доменных имен и правильного функционирования службы
DNS. Существует более 20 типов записей о ресурсах, приведем са-
мые важные:
− А (Host Address – адрес хоста) – основная запись, используемая
для непосредственного преобразования доменного имени в IP-адрес;
− CNAME (Canonical Name – псевдоним) – запись определяет
псевдоним хоста и позволяет обращаться по разным именам (псев-
донимам) к одному и тому же IP-адресу;
− MX (Mail Exchanger – почтовый обменник) – запись для уста-
новления соответствия имени почтового сервера IP-адресу;
− NS (Name Server – сервер имен) – запись для установления со-

ответствия имени DNS-сервера IP-адресу;
− PTR (Pointer – указатель) – запись для обратного преобразова-
ния IP-адреса в доменное имя;
− SOA (Start оf Authority – начало авторизации) – запись для оп-
ределения DNS-сервера, который хранит основную копию зоны;
− SRV (Service Locator – определитель служб) – запись для опре-
деления серверов некоторых служб (например, POP3, SMTP, LDAP).
5.3.5. Настройка DNS-адресации
Рассмотрим организацию DNS-адресации в локальной сети на

примере Windows Server 2012 R2. Для организации DNS-адресации
необходимо выполнить определенные действия на двух серверах (на-
пример, с именами Server1 и Server2) и клиенте.
1. Установка DNS-сервера. Установка службы DNS производит-
ся в целом аналогично установке DHCP-сервера, с той лишь разницей,
что выбирается установка службы DNS.
2. Создание основной зоны прямого просмотра. На сервере Server1
создадим стандартную основную зону, например, с именем world.ru:
− открыть консоль DNS (рис. 5.31);
Рис. 5.31. Открытие консоли DNS-сервера

− выбрать раздел Forward Lookup Zones (Зоны прямого прос-

мотра) и запустить мастера для создания зоны (тип зоны – Primary
(Основная), динамические обновления – Разрешить, остальные па-
раметры – по умолчанию (рис. 5.32);
− ввести тип зоны и имя – в примере используется название
local.by (рис. 5.33 и 5.34); имя файла, хранящего информацию о зоне,
сформируется автоматически (рис. 5.35);
Рис. 5.32. Запуск мастера для создания новой зоны DNS-сервера
Рис. 5.33. Выбор типа новой зоны DNS-сервера

Рис. 5.34. Выбор названия новой зоны DNS-сервера
Рис. 5.35. Название файла новой зоны DNS-сервера
− разрешить передачу данной зоны на любой сервер DNS (кон-

соль DNS – зона local.by – Properties (Свойства) – закладка Zone
Transfers (Передачи зон) – Отметить Allow zone transfers (Разрешить
передачи) и To any server (На любой сервер)) (рис. 5.36).
Рис. 5.36. Разрешение на передачу зоны

на другой сервер
В итоге получим зону прямого просмотра DNS-сервера, как по-

казано на рис. 5.37.
Рис. 5.37. DNS-сервер

с созданной зоной прямого просмотра
Чтобы на DNS-сервере автоматически зарегистрировалось имя

сервера (в нашем случае Server1), необходимо указать в свойствах
компьютера DNS-суффикс (рис. 5.38), а также в IP-конфигурации
должен быть указан адрес DNS-сервера (в нашем случае это все тот
же 192.168.1.100).
Рис. 5.38. DNS-суффикс

для символьного имени компьютера
3. Создание дополнительной зоны прямого просмотра. На вто-

ром сервере создадим стандартную дополнительную зону с именем
local.by (все действия выполняются на втором сервере аналогично
установке службы DNS на первом сервере с отличием типа зоны пря-
мого просмотра):
− открыть консоль DNS;
− выбрать раздел Primary Zone (Зона прямого просмотра);
− запустить мастера для создания зоны (выбрать: тип зоны – Se-
condary Zone (Дополнительная зона), IP-адрес master-сервера (с ко-
торого будет копироваться зона) – адрес сервера Server1, остальные
параметры – по умолчанию);
− ввести имя зоны – local.by.
В итоге получим совместную работу DNS-серверов с реализацией
функции резервирования.
4. Настройка узлов для выполнения динамической регистрации
на сервере DNS. Для выполнения данной задачи нужно произвести
ряд действий как на серверах (если требуемые настройки не были
выполнены ранее), так и в настройках клиента DNS. Рассмотрим при-
мер настройки клиента с его регистрацией в DNS-сервере.
На сервере DNS должна быть создана соответствующая зона, а
также разрешены динамические обновления.
На клиенте DNS необходимо сделать следующее:

− указать в настройках протокола TCP/IP адрес предпочитаемого
DNS-сервера – тот сервер, на котором разрешены динамические об-
новления (в нашем примере – сервер с адресом 192.168.1.100);
− в полном имени компьютера указать соответствующий DNS-
суффикс (в нашем примере – local.by). Для этого последовательно
инициировать: Мой компьютер – Свойства – закладка Имя компью-
тера – кнопка Изменить – кнопка Дополнительно – в пустом тек-
стовом поле вписать название домена local – кнопка ОK (3 раза))
(рис. 5.39).
Рис. 5.39. Заполнение поля DNS-суффикс на клиенте
Далее система предложит перезагрузить компьютер. После вы-

полнения перезагрузки на сервер DNS в зоне loсal.by автоматически
создадутся записи типа A для серверов (рис. 5.40). В случае несозда-
ния записи для клиента (в нашем примере это client1) можно на сторо-
не клиента в командной строке выполнить команду ipconfig/registerdns.
Аналогичные операции необходимо выполнить на всех компь-
ютерах сети.
Если автоматически записи не создались, то их можно создать
вручную (рис. 5.41), однако при этом могут возникнуть сложности
с автоматическим обновлением записей при изменении IP-адресов.
Рис. 5.40. Пример DNS-сервера

с записями для клиента и сервера
Рис. 5.41. Создание записи типа А

на DNS-сервере вручную
5. Создание зоны обратного просмотра. Выполняется по сле-

дующим шагам:
− открыть консоль DNS;
− выбрать раздел Reverse Lookup Zones (Зоны обратного про-
смотра);
− запустить мастер создания зоны (выбрать: тип зоны – Primary
(Основная), динамические обновления – Разрешить, остальные па-
раметры – по умолчанию) (рис. 5.42);
Рис. 5.42. Создание зоны обратного просмотра
− в поле Код сети (ID) ввести параметры идентификатора сети –

192.168.1, а затем выполнить команду принудительной регистрации
компьютеров на сервере DNS – ipconfig/registerdns.
В итоге компьютеры зарегистрируются в обратной зоне DNS.
5.3.6. Имена NetBIOS
Протокол NetBIOS (Network Basic Input Output System – сетевая

базовая система ввода-вывода) был разработан в 1984 г. для корпо-
рации IBM как сетевое дополнение стандартной BIOS на компью-
терах IBM PC. В операционных системах Microsoft Windows NT, а
также в Windows 98 протокол и имена NetBIOS являлись основными
сетевыми компонентами. Начиная с Windows 2000, операционные
системы Microsoft ориентируются на глобальную сеть Интернет, в
связи с чем фундаментом сетевых решений стали протоколы TCP/IP
и доменные имена.
Имена NetBIOS не образуют никакой иерархии в своем про-
странстве, это простой линейный список имен компьютеров, точнее,
работающих на компьютере служб. Имена компьютеров состоят из
15 видимых символов плюс 16-й служебный символ. Если видимых
символов меньше 15, то оставшиеся символы заполняются нулями

(не символ нуля, а байт, состоящий из двоичных нулей). 16-й символ
соответствует службе, работающей на компьютере с данным именем.
Просмотреть список имен пространства NetBIOS, которые име-
ются на данном компьютере, можно с помощью команды nbtstat –n.
Рассмотрим пример на рис. 5.43. На рисунке изображен вывод
команды nbtstat –n на сервере dc1.world.ru. Результатом является спи-
сок NetBIOS-имен, сгенерированных данным сервером.
Рис. 5.43. Пример информации о пространстве имен NetBIOS
В угловых скобках указан шестнадцатеричный код 16-го слу-

жебного символа какого-либо имени. Например, имя DC1 и 16-й сим-
вол «00» соответствуют службе Рабочая станция, которая выполняет
роль клиента при подключении к ресурсам файлов и печати, предо-
ставляемых другими компьютерами сети. А то же имя DC1 и символ
с кодом «20» соответствуют службе Сервер, которая предоставляет
ресурсы файлов и печати данного сервера для других компьютеров
сети. Имя WORLD соответствует либо NetBIOS-имени домена world.ru
(вспомните установку первого контроллера домена), либо имени так
называемой сетевой рабочей группы, отображаемой в Сетевом окру-
жении любого компьютера с Windows.
Имя ..__MSBROWSE__. говорит о том, что данный компьютер
является Обозревателем сетевого окружения по протоколу TCP/IP,
т. е. если на каком-либо компьютере с системой Windows открыть
Сетевое окружение, то данный компьютер будет запрашивать список
компьютеров, сгруппированных в сетевой рабочей группе WORLD,
именно с сервера DC1. Все эти имена, перечисленные в таблице,
будут автоматически регистрироваться в базе данных сервера WINS

(Windows Internet Naming Service – служба имен в Интернете для
Windows) после того, как данный сервер будет установлен в сети и
данный компьютер станет клиентом сервера WINS.
5.3.7. Процесс разрешения имен в пространстве NetBIOS
Когда один компьютер пытается использовать ресурсы, предо-

ставляемые другим компьютером через интерфейс NetBIOS поверх
протокола TCP/IP, то первый компьютер, называемый клиентом, вна-
чале должен определить IP-адрес второго компьютера, называемого
сервером, по имени этого компьютера. Это может быть сделано одним
из трех способов:
− широковещательный запрос;
− обращение к локальной базе данных NetBIOS-имен, хранящейся
в файле LMHOSTS (этот файл хранится в той же папке, что и файл
HOSTS, отображающий FQDN-имена);
− обращение к централизованной БД имен NetBIOS, хранящейся
на сервере WINS.
В зависимости от типа узла NetBIOS разрешение имен осуще-
ствляется различными комбинациями перечисленных способов:
− b-узел (Broadcast Node – широковещательный узел) – разре-
шает имена в IP-адреса посредством широковещательных сообще-
ний (компьютер, которому нужно разрешить имя, рассылает по ло-
кальной сети широковещательное сообщение с запросом IP-адреса
по имени компьютера);
− p-узел (Peer Node – узел точка-точка) – разрешает имена в
IP-адреса с помощью WINS-сервера (когда клиенту нужно разрешить
имя компьютера в IP-адрес, клиент отправляет серверу имя, а тот в
ответ посылает адрес);
− m-узел (Mixed Node – смешанный узел) – комбинирует запросы
b- и р-узла (WINS-клиент смешанного типа сначала пытается при-
менить широковещательный запрос, а в случае неудачи обращается
к WINS-серверу; поскольку разрешение имени начинается с широко-
вещательного запроса, m-узел загружает сеть широковещательным
трафиком в той же степени, что и b-узел);
− h-узел (Hybrid Node – гибридный узел) – также комбиниру-
ет запросы b- и р-узла, но при этом сначала используется запрос к
WINS-серверу и лишь в случае неудачи начинается рассылка широ-

ковещательного сообщения, поэтому в большинстве сетей h-узлы
работают быстрее и меньше засоряют сеть широковещательными
пакетами.
С точки зрения производительности, объема сетевого трафика и
надежности процесса разрешения NetBIOS-имен самым эффектив-
ным является h-узел.
Если в свойствах протокола TCP/IP Windows-компьютера нет
ссылки на WINS-сервер, то данный компьютер является b-узлом.
Если в свойствах протокола TCP/IP имеется ссылка хотя бы на один
WINS-сервер, то данный компьютер является h-узлом. Другие типы
узлов настраиваются через реестр системы Windows.
Функции сервера NetBIOS-имен описаны в RFC 1001 и 1002.
В больших сетях для распределения нагрузки по регистрации и раз-
решению NetBIOS-имен необходимо использовать несколько сер-
веров WINS (рекомендации Microsoft – один WINS-сервер на каждые
10 000 сетевых узлов). При этом одна часть клиентов будет настро-
ена на регистрацию и обращение для разрешения имен на один WINS-
сервер, другая часть – на второй сервер и т. д. Для того чтобы все
серверы WINS имели полную информацию обо всех имеющих-
ся в корпоративной сети NetBIOS-узлах, необходимо настроить ре-
пликацию баз данных серверов WINS между собой. После заверше-
ния репликации каждый сервер WINS будет иметь полный список
NetBIOS-узлов всей сети. И любой клиент, регистрируясь на ближай-
шем к нему WINS-сервере, при этом может послать запрос «своему»
серверу на разрешение имен NetBIOS-узлов, зарегистрированных
не только на данном WINS-сервере, но и на всех остальных серве-
рах WINS.
5.4. Утилиты диагностики TCP/IP и DNS
Любая операционная система имеет набор диагностических ути-

лит для тестирования сетевых настроек и функционирования ком-
муникаций. Большой набор диагностических средств есть и в систе-
мах семейства Windows (как графических, так и в режиме командной
строки).
5.4. Утилиты диагностики TCP/IP и DNS 191
Утилиты командной строки, являющиеся инструментами первой

необходимости для проверки настроек протокола TCP/IP и работы
сетей и коммуникаций, представлены в табл. 5.4. Подробное описа-
ние данных утилит содержится в системе интерактивной помощи
Windows (вызывается нажатием кнопки F1). В табл. 5.4 указаны ос-
новные и наиболее часто используемые параметры этих команд, а
также дано их краткое описание.
Таблица 5.4
Утилиты диагностики TCP/IP и DNS
Название
Параметры Комментарии
утилиты
ipconfig /? – отобразить справку по команде Служит для отображения всех
/all – отобразить полную информа- текущих параметров сети TCP/IP
цию о настройке параметров всех и обновления параметров DHCP
адаптеров и DNS. При вызове команды
/release – освободить динамическую ipconfig без параметров выво-
IP-конфигурацию дятся IP-адрес, маска подсети
/renew – обновить динамическую IP- и основной шлюз для каждого
конфигурацию с DHCP-сервера сетевого адаптера
/flushdns – очистить кэш разрешений
DNS
/registerdns – обновить регистрацию
на DNS-сервере
/displaydns – отобразить содержимое
кэша разрешений DNS
arp -a − отображает текущие ARP-записи Отображение и изменение ARP-
таблиц
ping Формат команды: Мощный инструмент диагно-
ping <сетевой узел> параметры стики (с помощью протокола
Параметры: ICMP). Команда ping позволяет
-t – бесконечная (до нажатия клавиш проверить: работоспособность
<Ctrl> + <Break>) отправка пакетов IP-соединения; правильность
на указанный узел настройки протокола TCP/IP на
-a – определение имени узла по IP- узле; работоспособность мар-
адресу шрутизаторов; работоспособ-
-n <число> – число отправляемых за- ность системы разрешения имен
просов FQDN или NetBIOS; доступ-
-l <размер> – размер буфера отправ- ность и работоспособность ка-
ки кого-либо сетевого ресурса
-w <таймаут> – таймаут ожидания
каждого ответа в миллисекундах
Окончание табл. 5.4

Название
Параметры Комментарии
утилиты
Tracert -d – без разрешения IP-адресов в име- Служебная программа для трас-
на узлов сировки маршрутов, использу-
-h <максЧисло> – максимальное чис- емая для определения пути, по
ло прыжков при поиске узла которому IP-дейтаграмма до-
-w <таймаут> – таймаут каждого ставляется по месту назначения
ответа в миллисекундах
pathping -n – без разрешения IP-адресов в име- Средство трассировки маршру-
на узлов та, сочетающее функции про-
-h <максЧисло> – максимальное чис- грамм ping и tracert и облада-
ло прыжков при поиске узла ющее дополнительными воз-
-q <число_запросов> – число запро- можностями. Данная команда
сов при каждом прыжке показывает степень потери па-
-w <таймаут> – таймаут каждого кетов на любом маршрутиза-
ответа в миллисекундах торе или канале, с ее помощью
легко определить, какие мар-
шрутизаторы или каналы вы-
зывают неполадки в работе сети
netstat -a – отображение всех подключений Используется для отображения
и ожидающих (слушающих) портов статистики протокола и теку-
-n – отображение адресов и номеров щих TCP/IP-соединений
портов в числовом формате
-o – отображение кода (ID) процес-
са каждого подключения
-r – отображение содержимого ло-
кальной таблицы маршрутов
nbtstat -n – выводит имена пространства Средство диагностики разре-
имен NetBIOS, зарегистрированные шения имен NetBIOS
локальными процессами
-c – отображает кэш имен NetBIOS
(разрешение NetBIOS-имен в IP-ад-
реса)
-R – очищает кэш имен и перезагру-
жает его из файла Lmhosts
-RR – освобождает имена NetBIOS,
зарегистрированные на WINS-серве-
ре, а затем обновляет их регистрацию
hostname Никаких ключей для данной утили- Это самая простая утилита –
ты не предусмотрено она выводит на экран имя ком-
пьютера
Рассмотрим несколько примеров использования утилит команд-

ной строки для диагностики протокола TCP/IP и символьной адре-
сации (DNS).
Пример 5.6. Использование команды ipconfig (без параметров и
с параметром /all) представлено на рис. 5.44.
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : dc1

Основной DNS-суффикс . . . . . . : world.ru
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : world.ru
Подключение по локальной сети - Ethernet адаптер:
DNS-суффикс этого подключения . . :

Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast
Ethernet NIC
Физический адрес. . . . . . . . . : 00-11-D8-E7-14-F4
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 192.168.0.1
Рис. 5.44. Использование команды ipconfig
Пример 5.7. Рассмотрим использование команды arp. Пусть в сети

только два узла (сервер DC1 и сервер DC2). Тогда в кэше сервера
DC1 будет только одна запись – отображение IP-адреса сервера DC2
на MAC-адрес сетевого адаптера (рис. 5.45).
C:\>arp -a
Интерфейс: 192.168.0.1 --- 0x10003
IP-адрес Физический адрес Тип
192.168.0.2 00-03-ff-e7-14-f4 динамический
Рис. 5.45. Использование команды arp
Пример 5.8. Рассмотрим использование команды ping.

Существуют различные варианты использования данной утилиты
(в сети имеются два компьютера с именами DC1 и DC2, настроена
DNS-адресация):
− ping <IP-адрес> (рис. 5.46);
− ping <NetBIOS-имя узла>, когда в зоне сервера DNS нет записи
для сервера DC2 (поиск IP-адреса производится широковещательным
запросом) (рис. 5.47);
− ping <NetBIOS-имя узла>, когда в зоне сервера DNS есть за-

пись для сервера DC2 (надо обратить внимание на подстановку кли-
ентом DNS-суффикса домена в запросе на имя узла, т. е. в команде
используется краткое NetBIOS-имя сервера, а в статистике команды
выводится полное имя) (рис. 5.48);
Рис. 5.46. Использование команды ping с заданным IP-адресом
C:\>ping dc2
Обмен пакетами с dc2 [192.168.0.2] с 32 байт данных:
Ответ от 192.168.0.2: число байт=32 время=16мс TTL=128

Ответ от 192.168.0.2: число байт=32 время<1мс TTL=128
Статистика Ping для 192.168.0.2:

Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 0мсек, Максимальное = 16 мсек, Среднее = 4 мсек
Рис. 5.47. Использование команды ping с заданным NetBIOS-именем узла

(с широковещательным запросом)
C:\>ping dc2
Обмен пакетами с dc2.world.ru [192.168.0.2] с 32 байт данных:


(0% потерь)
Рис. 5.48. Использование команды ping с заданным NetBIOS-именем узла

(при условии существования записи на DNS-сервере)
− ping <FQDN-имя узла>, когда в зоне сервера DNS нет записи

для сервера DC2 (узел DC2 не будет найден в сети) (рис. 5.49);
− ping <FQDN-имя узла>, когда в зоне сервера DNS есть запись
для сервера DC2 (узел успешно найден) (рис. 5.50);
− ping –a <IP-адрес> (обратное разрешение IP-адреса в имя узла)
(рис. 5.51).
C:\>ping dc2.world.ru
При проверке связи не удалось обнаружить узел dc2.world.ru. Проверьте имя

узла и
повторите попытку.
Рис. 5.49. Использование команды ping

с заданным FQDN-именем узла
(при условии отсутствия записи на DNS-сервере)
C:\>ping dc2.world.ru


(0% потерь)
Рис. 5.50. Использование команды ping с заданным FQDN-именем узла

(при условии существования записи на DNS-сервере)
C:\>ping -a 192.168.0.2


(0% потерь)
Рис. 5.51. Использование команды ping

с обратным разрешением IP-адреса в имя узла
Пример 5.9. Рассмотрим использование команды tracert.

На рис. 5.52 приведен пример трассировки маршрута до узла www.ru
(если в вашем распоряжении только одна IP-сеть, то изучить работу
данной команды будет невозможно).
C:\>tracert –d www.ru
Трассировка маршрута к www.ru [194.87.0.50]

с максимальным числом прыжков 30:
1 17 ms <1 мс <1 мс 192.168.0.1

2 1 ms <1 мс 1 ms 217.1.1.33
3 3 ms 3 ms 3 ms 217.1.10.1
4 * * * Превышен интервал ожидания для запроса.
6 10 ms 11 ms 10 ms 217.150.36.190
8 13 ms 13 ms 15 ms 194.87.0.83
9 17 ms 12 ms 12 ms 194.87.0.50
Трассировка завершена.
Рис. 5.52. Использование команды tracert
Пример 5.10. Рассмотрим пример использования команды pathping.

Пусть поставлена задача, аналогичная предыдущему примеру (трас-
сировка маршрута до узла www.ru). Выполним ее командой pathping
(рис. 5.53).
C:\> pathping –n www.ru
Трассировка маршрута к www.ru [194.87.0.50]

с максимальным числом прыжков 30:
0 192.168.0.1
1 217.1.1.33
2 217.1.10.1
3 * * *
Подсчет статистики за: 100 сек. ...
Исходный узел Маршрутный узел
Прыжок RTT Утер./Отпр. % Утер./Отпр. % Адрес
0 0мс 0/ 100 = 0% 0/ 100 = 0% 192.168.0.1
0/ 100 = 0% |
1 2мс 0/ 100 = 0% 0/ 100 = 0% 217.1.1.33
0/ 100 = 0% |
2 5мс 0/ 100 = 0% 0/ 100 = 0% 217.1.10.1
100/ 100 =100% |
3 --- 100/ 100 =100% 0/ 100 = 0% 0.0.0.0
Трассировка завершена.
Рис. 5.53. Использование команды pathping
Пример 5.11. Рассмотрим пример использования команды netstat

(с параметрами –an – отображение в числовой форме списка актив-
ных подключений и слушающих портов) (рис. 5.54).
5.5. Маршрутизация в IP-сетях 197
C:\> netstat -an
Активные подключения
Имя Локальный адрес Внешний адрес Состояние

TCP 0.0.0.0:53 0.0.0.0:0 LISTENING
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1029 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1030 0.0.0.0:0 LISTENING
TCP 192.168.0.1:139 0.0.0.0:0 LISTENING
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:1025 *:*
UDP 0.0.0.0:1028 *:*
UDP 0.0.0.0:1035 *:*
UDP 0.0.0.0:4500 *:*
UDP 127.0.0.1:53 *:*
UDP 127.0.0.1:123 *:*
UDP 127.0.0.1:1026 *:*
UDP 127.0.0.1:1027 *:*
UDP 192.168.0.1:53 *:*
UDP 192.168.0.1:123 *:*
UDP 192.168.0.1:137 *:*
UDP 192.168.0.1:138 *:*
Рис. 5.54. Использование команды netstat
Пример 5.12. Рассмотрим пример диагностики имен NetBIOS при

помощи команды nbtstat (с параметром –n – отображение локальных
имен NetBIOS) (рис. 5.55).
C:\> nbtstat -n
Подключение по локальной сети:

Адрес IP узла: [192.168.0.1] Код области: []
Локальная таблица NetBIOS-имен
Имя Тип Состояние

----------------------------------------------------
DC1 <00> Уникальный Зарегистрирован
DC1 <20> Уникальный Зарегистрирован
WORLD <00> Группа Зарегистрирован
WORLD <1E> Группа Зарегистрирован
Рис. 5.55. Диагностика имен NetBIOS при помощи команды nbtstat
5.5. Маршрутизация в IP-сетях
5.5.1. Задача маршрутизации
Раскроем суть задачи маршрутизации (Routing). Пусть имеется

составная сеть, задача состоит в том, чтобы доставить пакет из одной
подсети в другую. Известны IP-адрес и маска подсети узла-отправителя
(иными словами, ID подсети и ID хоста), IP-адрес узла-получателя.

Сложность заключается в многочисленности возможных путей пере-
дачи пакета. Например, даже в простой сети, показанной на рис. 5.56,
для передачи сообщения из подсети 1 в подсеть 3 существует несколь-
ко способов.
Маршрутизотор 2
Подсеть 1 Подсеть 3
Подсеть 2
Маршрутизотор 1 Маршрутизотор 3
Еще одной проблемой является то, что из существующих путей

требуется выбрать оптимальный (по времени или по уровню надеж-
ности).
В сетях TCP/IP задача маршрутизации решается с помощью

специальных устройств – маршрутизаторов, которые содер-
жат таблицы маршрутизации (Routing Table).
Компьютер с операционной системой Windows Server также мо-

жет выступать в роли маршрутизатора. Вообще говоря, любой хост,
на котором действует стек TCP/IP, имеет свою таблицу маршрутиза-
ции (естественно, гораздо меньших размеров, чем на маршрутизаторе).
5.5.2. Таблица маршрутизации
Таблица маршрутизации, которая создается по умолчанию на

компьютере с Windows Server 2003 (одна сетевая карта, IP-адрес:
192.168.1.1, маска подсети: 255.255.255.0), имеет вид, соответствую-
щий табл. 5.5.
Таблица 5.5
Таблица маршрутизации
Адрес назначения Маска подсети Шлюз Интерфейс Метрика
(Network Destination) (Netmask) (Gateway) (Interface) (Metric)
0.0.0.0 0.0.0.0 192.168.1.2 192.168.1.1 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.1.1 192.168.1.1 20
192.168.1.1 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.1.255 255.255.255.255 192.168.1.1 192.168.1.1 20
224.0.0.0 240.0.0.0 192.168.1.1 192.168.1.1 20
255.255.255.255 255.255.255.255 192.168.1.1 192.168.1.1 1
В приведенной таблице имеются следующие поля:

− адрес назначения (Network Destination) – адрес хоста или под-
сети, для которых задан маршрут в таблице;
− маска подсети (Netmask) – маска подсети для адреса назначения;
− шлюз, маршрутизатор (Gateway) – адрес для передачи пакета;
− интерфейс (Interface) – адрес собственного порта маршрути-
затора (сетевой карты), на который следует передать пакет, при этом
любой маршрутизатор содержит не менее двух портов (в компьюте-
ре в роли маршрутизатора с Windows Server портами являются сете-
вые карты);
− метрика (Metric) – число маршрутизаторов (число хопов), ко-
торые необходимо пройти для достижения хоста назначения. Для двух
маршрутов с одинаковыми адресами назначения выбирается марш-
рут с наименьшей метрикой. Значение 20 в таблице соответствует
100-мегабитной сети Ethernet.
Кратко опишем записи в таблице по умолчанию:
− 0.0.0.0 – маршрут по умолчанию (Default Route). Эта запись
выбирается в случае отсутствия совпадений с адресом назначения.
В приведенной таблице маршруту по умолчанию соответствует шлюз
192.168.1.2 – это адрес порта маршрутизатора, который связывает дан-
ную подсеть с другими подсетями;
− 127.0.0.0 – маршрут обратной связи (Loopback Address), все
пакеты с адресом, начинающимся на 127, возвращаются на узел-ис-
точник;
− 192.168.1.0 – адрес собственной подсети узла;
− 192.168.1.1 – собственный адрес узла (совпадает с маршрутом
обратной связи);
− 192.168.1.255 – адрес широковещательной рассылки (пакет с

таким адресом попадает всем узлам данной подсети);
− 224.0.0.0 – маршрут для групповых адресов;
− 255.255.255.255 – адрес ограниченной широковещательной рас-
сылки.
5.5.3. Принципы маршрутизации в TCP/IP
Рассмотрим, каким образом решается задача маршрутизации на

примере составной сети, показанной на рис. 5.56, добавив некото-
рые подробности – IP-адреса и МАС-адреса узлов (рис. 5.57).
Рассмотрим пример выбора маршрутов.
Пример 5.13. Предположим, что роль маршрутизатора будет вы-
полнять компьютер с ОС Windows Server, который содержит четыре
сетевые карты (четыре порта). Каждая карта имеет собственные МАС-
адрес и IP-адрес, принадлежащий той подсети, к которой порт под-
ключен. Приведем часть таблицы маршрутизации для этого компью-
тера (табл. 5.6).
Таблица 5.6
Таблица маршрутизации сервера
с четырьмя сетевыми картами
0.0.0.0 0.0.0.0 160.95.0.2 160.95.0.1 20
160.95.0.0 255.255.255.0 160.95.0.1 160.95.0.1 20
160.95.0.1 255.255.255.255 127.0.0.1 127.0.0.1 20
160.95.0.255 255.255.255.255 160.95.0.1 160.95.0.1 20
160.95.1.0 255.255.255.0 160.95.1.1 160.95.1.1 20
160.95.1.1 255.255.255.255 127.0.0.1 127.0.0.1 20
160.95.1.255 255.255.255.255 160.95.1.1 160.95.1.1 20
160.95.2.0 255.255.255.0 160.95.2.1 160.95.2.1 20
160.95.2.1 255.255.255.255 127.0.0.1 127.0.0.1 20
160.95.2.255 255.255.255.255 160.95.2.1 160.95.2.1 20
160.95.3.0 255.255.255.0 160.95.3.1 160.95.3.1 20
160.95.3.1 255.255.255.255 127.0.0.1 127.0.0.1 20
160.95.3.255 255.255.255.255 160.95.3.1 160.95.3.1 20
Маршрутизатор
A
IP: 160.95.0.1 IP: 160.95.1.1 IP: 160.95.1.10
MAC: 01-3E-8F-48-54-00 MAC: 01-3E-8F-48-54-01 MAC: 01-3E-8F-95-64-10 B
IP: 160.95.2.1 IP: 160.95.1.11
MAC: 01-3E-8F-48-54-02 MAC: 01-3E-8F-95-64-11
Интернет IP: 160.95.3.1
MAC: 01-3E-8F-48-54-03
5.5. Маршрутизация в IP-сетях
Подсеть 1
ID подсети: 160.95.1.0
Маска подсети: 255.255.255.0
IP: 160.95.3.20
MAC: 01-3E-8F-95-64-20
Подсеть 2
Подсеть 3
201
Будем считать, что пакеты передает хост А. Его таблица марш-

рутизации может иметь вид, показанный в табл. 5.7.
Таблица 5.7
Таблица маршрутизации хоста А
0.0.0.0 0.0.0.0 160.95.1.1 160.95.1.10 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
160.95.1.0 255.255.255.0 160.95.1.10 160.95.1.10 20
160.95.1.10 255.255.255.255 127.0.0.1 127.0.0.1 20
160.95.1.255 255.255.255.255 160.95.1.10 160.95.1.10 20
224.0.0.0 240.0.0.0 160.95.1.10 160.95.1.10 20
255.255.255.255 255.255.255.255 160.95.1.10 160.95.1.10 1
Проанализируем, каким образом будет происходить передача паке-

тов от хоста А. Возможны три варианта местонахождения получателя:
− подсеть 1 (хост А – хост В);
− подсеть 2 или подсеть 3 (хост А – хост С);
− внешняя сеть (хост А – Интернет).
Если узлом назначения является хост В, пакет не должен попа-
дать на маршрутизатор, так как получатель находится в той же сети,
что и отправитель. Хост А ищет в своей таблице маршрутизации
подходящий маршрут. При этом для каждой строки на адрес назна-
чения (IP хоста В: 160.95.1.11) накладывается маска подсети (опе-
рация логического умножения, AND) и результат сравнивается с по-
лем Network Destination. Подходящими оказываются два маршрута:
0.0.0.0 и 160.95.1.0. Из них выбирается маршрут с наибольшим чис-
лом двоичных единиц – 160.95.1.0, т. е. пакет отправляется непосред-
ственно хосту В. IP-адрес хоста В разрешается с помощью протокола
ARP в МАС-адрес. В пересылаемом пакете будет указана следующая
информация:
IP-адрес отправителя: 160.95.1.10
МАС-адрес отправителя: 01-3E-8F-95-64-10
IP-адрес получателя: 160.95.1.11
МАС-адрес получателя: 01-3E-8F-95-64-11
Если окажется, что количество единиц совпадает, выбирается
маршрут с наименьшей метрикой. Предположим теперь, что узел А
отправляет пакет узлу С (подсеть 3). Поиск в собственной таблице

маршрутизации не дает подходящих результатов, кроме маршрута по
умолчанию – 0.0.0.0. Для этого маршрута указан адрес порта марш-
рутизатора 160.95.1.1 (Default Gateway – шлюз по умолчанию). Про-
токол ARP помогает определить МАС-адрес порта. Именно на него
отправляется пакет сначала, причем указывается IP-адрес конечного
получателя (узла С):
Модуль маршрутизации Windows Server анализирует получен-
ный пакет, выделяет из него адрес узла С, осуществляет поиск в своей
таблице маршрутизации (поиск происходит так же, как на хосте А).
Находятся две подходящие записи: 160.95.3.0 и 0.0.0.0. Выбирается
первый маршрут, так как в нем больше двоичных единиц. Пакет в под-
сеть 3 отправляется с порта 160.95.3.1:
Наконец, в случае когда хост А осуществляет передачу во внеш-
нюю сеть, пакет сначала попадает на маршрутизатор. Поиск в таблице
маршрутизации дает единственный подходящий результат: 0.0.0.0.
Поэтому пакет отправляется на порт внешнего маршрутизатора
160.95.0.2. Дальнейшее продвижение пакета выполняют маршрути-
заторы Интернета.
5.5.4. Настройка таблиц маршрутизации
Для построения таблиц маршрутизации существует два метода:

статический и динамический.
Статический метод заключается в том, что администратор вруч-
ную создает и удаляет записи в таблице. В состав операционной си-
стемы Windows Server входит утилита route. Она может использо-
ваться с четырьмя командами:
− print – печать текущего содержимого таблицы;

− add – добавление новой записи;
− delete – удаление устаревшей записи;
− change – редактирование существующей записи.
Запись должна определяться следующим образом: <destination>
MASK <netmask> <gateway> METRIC <metric> IF <interface>. Напри-
мер, route add 160.95.1.0 mask 255.255.255.0 160.95.1.1 metric 20 IF 1.
Кроме того, можно использовать два ключа:
− f – удаление из таблицы всех записей, кроме записей по умол-
чанию;
− р – создание постоянной записи (т. е. не исчезающей после пе-
резагрузки). По умолчанию создаются временные записи.
Достоинством статического метода является простота. Но для се-
тей с быстро меняющейся конфигурацией этот метод не подходит,
так как администратор может не успевать отслеживать все измене-
ния. В этом случае применяют динамический метод построения таб-
лицы маршрутизации, основанный на протоколах маршрутизации.
5.5.5. Протоколы обмена маршрутной информацией
Протоколы обмена маршрутной информацией (Routing Infor-

mation Protocol, RIP) стека TCP/IP относятся к классу адаптивных,
которые, в свою очередь, делятся на две группы, каждая из которых
связана с одним из следующих типов алгоритмов:
− дистанционно-векторный алгоритм (Distance Vector Algo-
rithms, DVA),
− алгоритм состояния связей (Link State Algorithms, LSA).
В алгоритмах дистанционно-векторного типа каждый мар-

шрутизатор периодически и широковещательно рассылает по
сети вектор расстояний от себя до всех известных ему сетей.
Под расстоянием обычно понимается число промежуточных
маршрутизаторов, через которые пакет должен пройти прежде,
чем попадет в соответствующую сеть.
Может использоваться и другая метрика, учитывающая не только

число транзитных точек, но и время прохождения пакетов по связи
между соседними маршрутизаторами. Получив вектор от соседнего

маршрутизатора, каждый из них добавляет к вектору информацию
о других известных ему сетях, о которых он узнал непосредственно
(если они подключены к его портам) или из аналогичных объявле-
ний других маршрутизаторов, а затем новое значение вектора опять
рассылается по сети. В итоге каждый маршрутизатор узнает инфор-
мацию об имеющихся сетях и о расстоянии до них через соседние
маршрутизаторы.
Дистанционно-векторные алгоритмы хорошо работают только
в небольших сетях. В больших сетях они «засоряют» каналы связи
интенсивным широковещательным трафиком, к тому же изменения
конфигурации могут отрабатываться по этому алгоритму не всегда
корректно, так как маршрутизаторы не имеют точного представле-
ния о топологии связей в сети, а располагают только обобщенной
информацией − вектором дистанций, к тому же полученной через
посредников.
Наиболее распространенным протоколом, основанным на ди-
станционно-векторном алгоритме, является протокол RIP (Routing
Information Protocol, RFC 1723). Это, по сути, один из старейших про-
токолов обмена маршрутной информацией. Однако он до сих пор ис-
пользуется.
Алгоритмы состояния связей обеспечивают каждый марш-

рутизатор информацией, достаточной для построения точного
графа связей сети. Все маршрутизаторы работают на основа-
нии одинаковых графов, что делает процесс маршрутизации
более устойчивым к изменениям конфигурации.
Широковещательная рассылка используется здесь только при

изменениях состояния связей, что происходит в надежных сетях не
так часто.
Для того чтобы понять, в каком состоянии находятся линии связи,
подключенные к его портам, маршрутизатор периодически обмени-
вается короткими пакетами со своими ближайшими соседями. Этот
трафик также широковещательный, но он передается только между
соседями и поэтому не так «засоряет» сеть.
Протоколом, основанным на алгоритме состояния связей, в стеке
TCP/IP является протокол OSPF (Open Shortest Path Firs, RFC 2328).
Он принят в 1991 г.) и обладает многими особенностями, ориенти-

рованными на применение в больших сильно разветвленных (гете-
рогенных) сетях.
Протокол OSPF вычисляет маршруты в IP-сетях, сохраняя при
этом другие протоколы обмена маршрутной информацией.
На практике также применяются комбинированные протоколы:
более старый − EGP (Exterior Gateway Protocol – протокол внешнего
шлюза) и его современная версия − BGP (Border Gateway Protocol –
протокол граничного шлюза). Именно последний, т. е. протокол BGP,
является основным протоколом динамической маршрутизации в сети
Интернет.
Выводы
1. Физический, или локальный, адрес узла определяется тех-

нологией, с чьей помощью построена сеть, в которую входит узел.
Для узлов, входящих в локальные сети, – это МАС-адрес сетевого
адаптера или порта маршрутизатора.
2. В стеке TCP/IP используется три типа адресов: локальные
(МАС-адреса), IP-адреса и доменные имена. IP-адрес действует на
сетевом уровне и позволяет объединять разнородные локальные и
глобальную сети в единую составную сеть.
3. IP-адрес стоит из 4 байтов (октетов), разделенных точками.
В его структуре выделяют две части – номер подсети и номер узла.
Определение того, какая часть адреса отводится под номер подсети,
осуществляется двумя способами – с помощью классов и с помо-
щью масок. В схеме классовой адресации существует 5 классов, ос-
новными являются классы А, В и С.
4. Поле номера подсети определяется по первым битам адреса.
При использовании масок номер подсети находится при помощи ло-
гического умножении маски на IP-адрес. Адресация с применением
масок является более гибкой по сравнению с классами.
5. Уже довольно давно возникла проблема дефицита IP-адресов.
Решение данной проблемы с помощью масок является временным.
Принципиально другой подход заключается в существенном расши-
рении адресного пространства и реализуется в протоколе IPv6.
6. Некоторые IP-адреса являются особыми и не используются

при адресации конкретных узлов. Это нужно учитывать при назна-
чении IP-адресов.
7. Для преобразования IP-адресов в аппаратные МАС-адреса
применяется протокол ARP, для обратного преобразования – про-
токол RARP.
8. Для диагностики и управления стеком TCP/IP в операционной
системе Microsoft Windows Server существуют специальные утили-
ты – IPconfig, ping, tracert, netstat, arp, hostname и др.
9. Задача маршрутизации заключается в определении оптималь-
ного пути передачи сообщения в составных сетях с меняющейся то-
пологией. В сетях TCP/IP эту задачу решают маршрутизаторы на
основе таблиц маршрутизации. В таблицы маршрутизации входит
информация о номерах и масках подсетей назначения, адресах шлю-
зов и собственных портов маршрутизатора, а также о метриках. Ре-
шение о передаче пакета на тот или иной порт принимается на ос-
новании совпадения адреса назначения из пакета с адресом из таб-
лицы, при этом оптимальный маршрут выбирается на основе метрики.
Для адресов, отсутствующих в таблице, применяется специальный
адрес – адрес шлюза по умолчанию.
10. Для создания таблиц маршрутизации в Windows Server 2003
используют два метода – статический, с помощью утилиты route, и
динамический, с применением протоколов маршрутизации RIP и
OSPF.
1. Что такое хост?

2. Опишите структуру MAC-адреса.
3. Перечислите виды и приведите примеры адресов, используе-
мых в стеке TCP/IP.
4. Из каких частей состоит IP-адрес?
5. Как определяется номер подсети в IP-адресе?
6. Каков диапазон возможных адресов у сети класса С?
7. Определите номер подсети на основе маски: 116.98.04.39/27.
8. Каковы основные особенности протокола IPv6?
9. Поясните принцип работы протокола ARP.

10. В чем заключается задача маршрутизации?
11. Для чего нужна таблица маршрутизации?
12. Назовите основные поля в таблице маршрутизации.
13. Что такое default gateway?
14. Перечислите ключи утилиты route (приведите примеры).
15. Назовите преимущества и недостатки протокола RIP.
16. Перечислите преимущества и недостатки протокола OSPF.
17. Поясните принцип работы утилиты ping (на примерах).
18. Дайте объяснение принципа работы утилиты tracert (на при-
мерах).
6
БАЗОВЫЕ ТЕХНОЛОГИИ
ЛОКАЛЬНОЙ СЕТИ
За время, прошедшее с появления первых локальных сетей, было

разработано несколько сотен самых разных сетевых технологий, од-
нако заметное распространение получили только некоторые из них,
что связано, прежде всего, с поддержкой этих сетей известными фир-
мами и высоким уровнем стандартизации принципов их организации.
Увеличение скорости передачи в локальных сетях до 1000 Мбит/с
и более требует применения самых передовых технологий, проведения
серьезных и дорогих научных исследований. Это могут позволить себе
только крупнейшие фирмы, которые поддерживают свои стандартные
сети и их более совершенные разновидности. К тому же большинство
потребителей уже установило у себя какие-то сети и вовсе не желает
сразу и полностью заменять все сетевое оборудование на другое, пусть
даже в чем-то лучшее. Поэтому в ближайшем будущем вряд ли стоит
ожидать принятия принципиально новых стандартов.
В настоящее время стандартные сети обеспечивают большой диа-
пазон допустимых размеров сети, допустимого количества ее або-
нентов и, что не менее важно, большой диапазон цен на аппаратуру.
Но проблема выбора сети все равно остается трудноразрешимой.
6.1. Сети Ethernet и Fast Ethernet
6.1.1. Основные характеристики сетей Ethernet
Наибольшее распространение среди стандартных сетей получила

сеть Ethernet. Впервые она появилась в 1972 г. (разработчиком вы-
ступила известная фирма Xerox). Сеть оказалась довольно удачной, и
вследствие этого ее в 1980 г. поддержали такие крупнейшие фирмы,
210 6. БАЗОВЫЕ ТЕХНОЛОГИИ ЛОКАЛЬНОЙ СЕТИ
как DEC и Intel (объединение этих фирм, поддерживающих Ethernet,

назвали DIX по первым буквам их названий). Стараниями данных
фирм в 1985 г. сеть Ethernet стала международным стандартом, ее
приняли крупнейшие международные организации по стандартам:
комитет 802 IEEE (Institute of Electrical and Electronic Engineers) и
ЕСМА (European Computer Manufacturers Association).
Стандарт получил название IEEE 802.3. Он определяет множе-
ственный доступ к моноканалу типа шина с обнаружением кон-
фликтов и контролем передачи, т. е. с уже упоминавшимся методом
доступа CSMA/CD. Этому стандарту удовлетворяют и некоторые
другие сети, так как он не сильно детализирован. В результате сети
стандарта IEEE 802.3 нередко несовместимы между собой как по
конструктивным, так и по электрическим характеристикам.
Основные характеристики стандарта IEЕЕ 802.3: топология –
шина, среда передачи – коаксиальный кабель, скорость передачи –
10 Мбит/с, максимальная длина – 5 км, максимальное количество
абонентов – до 1024, длина сегмента сети – до 500 м, количество або-
нентов на одном сегменте – до 100, метод доступа – CSMA/CD, пе-
редача узкополосная, т. е. без модуляции (моноканал).
Между стандартами IEEE 802.3 и Ethernet существуют неболь-
шие отличия. Сеть Ethernet сейчас достаточно популярна в мире, и
нет сомнения, что таковой она и останется в ближайшие годы. Этому
в немалой степени способствовало то, что с самого начала все харак-
теристики, параметры, протоколы сети были открыты для всех, в ре-
зультате чего огромное число производителей во всем мире стало вы-
пускать аппаратуру Ethernet, полностью совместимую между собой.
В классической сети Ethernet применяется 50-омный коак-

сиальный кабель двух видов (толстый и тонкий). Однако в
последнее время (с начала 1990-х гг.) все большее распро-
странение получает версия Ethernet, использующая в качестве
среды передачи витые пары. Определен также стандарт для
применения в сети оптоволоконного кабеля.
В стандарты были внесены соответствующие добавления. В 1995 г.

появился стандарт на более быструю версию Ethernet, работающую
на скорости 100 Мбит/с (так называемый Fast Ethernet, стандарт
IEEE 802.3u), использующую в качестве среды передачи витую
6.1. Сети Ethernet и Fast Ethernet 211
пару или оптоволоконный кабель. Появилась и версия на скорость

1000 Мбит/с (Gigabit Ethernet, стандарт IEEE 802.3z).
Помимо стандартной топологии шина применяются также топо-
логии пассивная звезда и пассивное дерево. При этом предполага-
ется использование репитеров (репитер – повторитель) и пассивных
(репитерных) концентраторов, соединяющих между собой различ-
ные части (сегменты) сети (рис. 6.1).
В качестве сегмента может также выступать единичный або-
нент. Коаксиальный кабель используется для шинных сегментов, а
витая пара и оптоволоконный кабель – для лучей пассивной звезды
(для присоединения к концентратору одиночных компьютеров).
Главное – чтобы в полученной топологии не было замкнутых путей
(петель). Фактически абоненты соединены в физическую шину, так
как сигнал от каждого из них распространяется сразу во все сто-
роны и не возвращается назад (как в кольце). Максимальная длина
кабеля всей сети в целом (максимальный путь сигнала) теоретиче-
ски может достигать 6,5 км, но практически не превышает 2,5 км.
Репитер
Сегмент Сегмент
Репитер Репитер
Рис. 6.1. Топология сети Ethernet
В сети Fast Ethernet не предусмотрена физическая топология

шина, используются только пассивная звезда или пассивное
дерево. К тому же в Fast Ethernet гораздо более жесткие требо-
вания к предельной длине сети.
При увеличении в 10 раз скорости передачи и сохранении форма-

та пакета его минимальная длина становится в 10 раз короче (5,12 мкс
против 51,2 мкс в Ethernet) – допустимая величина двойного времени
прохождения сигнала по сети уменьшается в 10 раз.
Для сети Ethernet, работающей на скорости 10 Мбит/с, стандарт
определяет четыре основных типа среды передачи информации:
− 10BASE5 (толстый коаксиальный кабель);
− 10BASE2 (тонкий коаксиальный кабель);
− 10BASE-T (витая пара);
− 10BASE-FL (оптоволоконный кабель).
Обозначение среды передачи включает в себя следующих три
элемента: цифра «10» означает скорость передачи 10 Мбит/с. Слово
BASE означает передачу в основной полосе частот (без модуляции
высокочастотного сигнала), а последний элемент означает допусти-
мую длину сегмента: 5 – 500 м, 2 – 200 м (точнее, 185 м) или тип
линии связи: «Т» – витая пара (Twisted Pair), «F» – оптоволоконный
кабель (Fiber Optic).
Точно так же для сети Ethernet, которая работает на скорости
100 Мбит/с (Fast Ethernet), стандарт определяет три типа среды пе-
редачи:
− 100BASE-T4 (счетверенная витая пара);
− 100BASE-TX (сдвоенная витая пара);
− 100BASE-FX (оптоволоконный кабель).
В вышеприведенном списке цифра «100» означает скорость пе-
редачи 100 Мбит/с, буква «Т» – витую пару, буква «F» – оптоволо-
конный кабель. Типы 100BASE-ТХ и 100BASE-FX иногда объеди-
няют под именем 100BASE-X, а 100BASE-T4 и 100BASE-TX – под
именем 100BASE-T.
Отметим, что сеть Ethernet не отличается ни рекордными харак-
теристиками, ни оптимальными алгоритмами, она уступает по ряду
параметров другим стандартным сетям. Но благодаря мощной под-
держке, высочайшему уровню стандартизации, огромным объемам
выпуска технических средств, Ethernet резко выделяется среди дру-
гих стандартных сетей, и поэтому любую другую сетевую техноло-
гию принято сравнивать именно с Ethernet.
Для передачи информации в сети Ethernet применяется стан-
дартный код Манчестер-II. При этом один уровень сигнала нулевой,
а другой – отрицательный, т. е. постоянная составляющая сигнала
не равна нулю. При отсутствии передачи потенциал в сети нулевой.
6.1. Сети Ethernet и Fast Ethernet 213
Гальваническая развязка осуществляется аппаратурой адаптеров,

репитеров и концентраторов. При этом приемопередатчик сети галь-
ванически изолирован от остальной аппаратуры с помощью транс-
форматоров и изолированного источника питания, а с кабелем сети
соединен напрямую.
6.1.2. Структура пакета в сетях Ethernet
Доступ к сети Ethernet осуществляется по методу CSMA/CD,

который обеспечивает полное равноправие абонентов. В сети ис-
пользуются пакеты переменной длины со структурой, представлен-
ной на рис. 6.2. Длина кадра Ethernet (т. е. пакета без преамбулы)
должна быть не менее 512-битных интервалов, или 51,2 мкс (именно
такова предельная величина двойного времени прохождения в сети).
Предусмотрена индивидуальная, групповая и широковещательная
адресация.
8 6 6 2 46 … 1500 4
Преамбула Управление Данные Контрольная

сумма (CRC)
Адрес
отправителя
Адрес
получателя
Рис. 6.2. Структура пакета сети Ethernet
(цифры показывают количество байтов)
В пакет Ethernet входят следующие поля.

1. Преамбула состоит из 8 байтов, первые семь из которых пред-
ставляют собой код 10101010, а последний восьмой – код 10101011.
В стандарте IEEE 802.3 этот последний байт называется признаком
начала кадра (SFD – Start of Frame Delimiter) и образует отдельное
поле пакета.
2. Адрес получателя (приемника) и адрес отправителя (пере-
датчика) включают по 6 байтов. Эти адресные поля обрабатываются
аппаратурой абонентов.
3. Поле управления (L/T – Length/Type) содержит информацию о

длине поля данных. Оно может также определять тип используемого
протокола. Принято считать, что если значение этого поля не больше
1500, то оно определяет длину поля данных. Если же его значение
больше 1500, то оно определяет тип кадра. Поле управления обраба-
тывается программно.
4. Поле данных должно включать в себя от 46 до 1500 байтов
данных. Если пакет должен содержать менее 46 байтов данных, то
поле данных дополняется байтами заполнения. В соответствии со
стандартом IEEE 802.3 в структуре пакета выделяется специальное
поле заполнения (Pad Data – незначащие данные), которое может
иметь нулевую длину в том случае, если данных достаточно (больше
46 байтов).
5. Поле контрольной суммы (FCS – Frame Check Sequence) содер-
жит 32-разрядную циклическую контрольную сумму пакета (Cyclic
Redundancy Check, CRC) и служит для проверки правильности пе-
редачи пакета (обнаружение и исправление ошибок).
Таким образом, минимальная длина кадра (пакета без преамбулы)
составляет 64 байта (512 битов). Именно эта величина определяет
максимально допустимую двойную задержку распространения сиг-
нала по сети в 512-битных интервалах (51,2 мкс – для Ethernet,
5,12 мкс – для Fast Ethernet). Стандарт предполагает, что преамбула
может уменьшаться при прохождении пакета через различные сете-
вые устройства, поэтому она не учитывается. Максимальная дли-
на кадра составляет 1518 байтов (12 144 бита, т. е. 1214,4 мкс – для
Ethernet, 121,44 мкс – для Fast Ethernet). Это важно для выбора раз-
мера буферной памяти сетевого оборудования и для оценки общей
загруженности сети.
На практике в сетях Ethernet на канальном уровне используются
кадры 4 различных форматов (типов).
Один и тот же тип кадра может иметь разные названия, поэтому
ниже для каждого типа кадра приведено по несколько наиболее упо-
требительных названий:
– кадр 802.3/LLC (кадр 802.3/802.2 или кадр Novell 802.2);
– кадр Raw 802.3 (или кадр Novell 802.3);
– кадр Ethernet DIX (или кадр Ethernet II);
– кадр Ethernet SNAP (SubNetwork Access Protосоl – протокол
доступа к подсети).
Выводы 215
Выводы
1. Ethernet – это самая распространенная на сегодняшний день

технология локальных сетей. В широком смысле Ethernet – это целое
семейство технологий, включающее различные фирменные и стан-
дартные варианты, из которых наиболее известны фирменный ва-
риант Ethernet DIX, 10-мегабитные варианты стандарта IEEE 802.3,
а также новые высокоскоростные технологии Fast Ethernet и Gigabit
Ethernet. Почти все виды технологий Ethernet используют один и тот
же метод разделения среды передачи данных – метод случайного
доступа CSMA/CD, который определяет облик технологии в целом.
2. В узком смысле Ethernet – это 10-мегабитная технология, опи-
санная в стандарте IEEE 802.3.
3. Одно из важных явлений в сетях Ethernet – коллизия – ситуа-
ция, когда две станции одновременно пытаются передать кадр дан-
ных по общей среде. Наличие коллизий – это неотъемлемое свой-
ство сетей Ethernet, являющееся следствием принятого случайного
метода доступа. Возможность четкого распознавания коллизий обу-
словлена правильным выбором параметров сети, в частности соблю-
дением соотношения между минимальной длиной кадра и макси-
мально возможным диаметром сети.
4. Максимально возможная пропускная способность сегмента
Ethernet в кадрах в секунду достигается при передаче кадров мини-
мальной длины и составляет 14 880 кадр./с. При этом полезная про-
пускная способность сети составляет всего 5,48 Мбит/с, что лишь
ненамного превышает половину номинальной пропускной способ-
ности – 10 Мбит/с.
5. Технология Ethernet поддерживает 4 разных типа кадров, ко-
торые имеют общий формат адресов узлов. Существуют формаль-
ные признаки, по которым сетевые адаптеры автоматически распо-
знают тип кадра.
6. В зависимости от типа физической среды стандарт IEEE 802.3
определяет различные спецификации: 10Base-5, 10Base-2, 10Base-T,
10Base-FL, 10Base-FX и т. д. Для каждой спецификации определя-
ются тип кабеля, максимальные длины непрерывных отрезков кабе-
ля, а также правила использования повторителей для увеличения диа-
метра сети.
6.2. Сеть Token Ring
6.2.1. Основные характеристики сетей Token Ring
Сеть Token Ring предложена фирмой IBM в 1985 г. (первый ва-

риант появился в 1980 г.). Назначением сети является объединение
в сеть всех типов компьютеров, выпускаемых IBM (от персональных
до больших).
По сравнению с аппаратурой Ethernet аппаратура Token Ring
оказывается заметно дороже, так как использует более сложные ме-
тоды управления обменом, поэтому распространена сеть Token Ring
значительно меньше. Однако ее применение становится оправданным,
когда требуются большие интенсивности обмена (например, при свя-
зи с большими компьютерами) и ограниченное время доступа.
Сеть Token Ring имеет топологию кольцо, хотя внешне она

больше напоминает звезду. Это связано с тем, что отдельные
абоненты (компьютеры) присоединяются к сети не прямо,
а через специальные концентраторы, или многостанцион-
ные устройства доступа (MSAU или MAU – Multistation
Access Unit).
Поэтому физически сеть образует звездно-кольцевую топологию

(рис. 6.3).
MAU
MAU MAU
MAU
Рис. 6.3. Звездно-кольцевая топология сети Token Ring

6.2. Сеть Token Ring 217
В действительности же абоненты объединяются все-таки в коль-

цо, т. е. каждый из них передает информацию одному соседнему або-
ненту, а принимает информацию от другого соседнего абонента.
Концентратор (MAU) при этом только позволяет централизовать
задание конфигурации, отключение неисправных абонентов, кон-
троль за работой сети и т. д. (рис. 6.4). Для присоединения кабеля к
концентратору применяются специальные разъемы, которые обес-
печивают постоянство замкнутости кольца даже при отключении або-
нента от сети. Концентратор в сети может быть и единственным –
в кольцо замыкаются только абоненты, подключенные к нему.
К другим Концентратор (MAU) К другим

MAU MAU
Подключенные Отключенный
абоненты абонент
Рис. 6.4. Соединение абонентов сети Token Ring в кольцо
с помощью концентратора (MAU)
В каждом кабеле, соединяющем адаптеры и концентратор (адап-

терные кабели, Adapter Cable), находятся на самом деле две разно-
направленные линии связи. Такими же двумя разнонаправленными
линиями связи, входящими в магистральный кабель (Path Cable), объ-
единяются между собой в кольцо различные концентраторы (рис. 6.5),
хотя для этой же цели может использоваться и единственная одно-
направленная линия связи (рис. 6.6).
Конструктивно концентратор представляет собой автономный
блок с восьмью разъемами для подключения абонентов (компьюте-
ров) с помощью адаптерных кабелей и двумя (крайними) разъемами
для подключения к другим концентраторам с помощью специальных
магистральных кабелей.
Несколько концентраторов могут конструктивно объединяться
в группу, кластер (Cluster), внутри которой абоненты также соеди-
нены в единое кольцо. Применение кластеров позволяет увеличивать
количество абонентов, подключенных к одному центру.
К другим MAU2 К другим

MAU MAU
MAU1 MAU3
Рис. 6.5. Объединение концентраторов двунаправленной линией связи
К другим MAU2 К другим

MAU MAU
MAU1 MAU3
Рис. 6.6. Объединение концентраторов однонаправленной линией связи
В качестве среды передачи в сети IBM Token Ring сначала при-

менялась витая пара, но затем появились варианты аппаратуры для
коаксиального кабеля, а также для оптоволоконного кабеля в стан-
дарте FDDI. В данных сетях может применяться кабель витая пара
как неэкранированного (UTP), так и экранированного (STP) типов.
Основные технические характеристики сети Token Ring следу-
ющие:
− максимальное количество концентраторов типа IBM 8228
(MAU) – 12;
− максимальное количество абонентов в сети – 96;
− максимальная длина кабеля между абонентом и концентрато-
ром – 45 м;
− максимальная длина кабеля между концентраторами – 45 м;
− максимальная длина кабеля, соединяющего все концентрато-
ры – 120 м;
− скорость передачи данных – 4 и 16 Мбит/с.
Все приведенные характеристики относятся к неэкранированной

витой паре. В случае применения другой среды передачи характе-
ристики сети могут отличаться. Например, при использовании экра-
нированной витой пары количество абонентов может быть увеличено
до 200 (вместо 96), длина кабеля – до 100 м (вместо 45), количество
концентраторов – до 33, а полная длина кольца, соединяющего кон-
центраторы – до 200 м. Оптоволоконный кабель позволяет увели-
чивать длину кабеля до 1 км. Как видим, сеть Token Ring уступает
сети Ethernet как по допустимому размеру сети, так и по максималь-
ному количеству абонентов.
Для передачи информации в Token Ring используется вариант
кода Манчестер-II. Как и в любой звездообразной топологии, ника-
ких дополнительных мер по электрическому согласованию и внеш-
нему заземлению не требуется.
Для присоединения кабеля к сетевому адаптеру используется
внешний девятиконтактный разъем типа DIN. Так же как и адап-
теры Ethernet, адаптеры Token Ring имеют на своей плате пере-
ключатели или перемычки для настройки адресов и прерываний
системной шины. Если сеть Ethernet можно построить только на адап-
терах и кабеле, то для сети Token Ring обязательно нужно приобре-
тать концентраторы. Это также увеличивает стоимость аппаратуры
Token Ring.
В то же время в отличие от Ethernet сеть Token Ring лучше
«держит» большую нагрузку (больше 30~40%) и обеспечивает га-
рантированное время доступа. Это крайне необходимо, например, в
сетях производственного назначения, в которых задержка реакции на
внешнее событие может привести к серьезным последствиям.
В сетях с маркерным методом доступа (а к ним, кроме сетей
Token Ring, относятся сети FDDI, а также сети, близкие к стандарту
802.4, ArcNet, сети производственного назначения MAP) право на до-
ступ к среде передается циклически от станции к станции по логиче-
скому кольцу (рис. 6.7): Token Ring. IEEE 802.5 и FDDI представляют
собой кольцевые сети. Оба используют маркер, или токен (Token), –
особый вид сетевого кадра для регулирования сетевого доступа от-
дельных узлов. Токен передается от узла к узлу, и каждый узел мо-
жет отправить сообщение только после того, как он получил (за-
хватил) токен. Основное различие между сетями IEEE 802.5 и FDDI
заключается в правилах, которые диктуют, когда узел может полу-
чить токен и на какой срок.
1 2 3
6 5 4
Рис. 6.7. Взаимодействие узлов в сети

с передачей маркера (токена)
В сети Token Ring кольцо образуется отрезками кабеля, со-

единяющими соседние станции. Таким образом, каждая стан-
ция связана с предшествующей и последующей станциями и
может непосредственно обмениваться данными только с ними.
Для обеспечения доступа станций к физической среде по коль-
цу циркулирует кадр специального формата и назначения –
маркер, или токен.
В сети Token Ring любая станция всегда непосредственно полу-

чает данные только от одной станции – той, которая является преды-
дущей в кольце. Такая станция называется ближайшим активным
соседом, расположенным выше по потоку (данных) – Nearest Active
Upstream Neighbour, NAUN. Передачу же данных станция всегда
осуществляет своему ближайшему соседу вниз по потоку данных.
Получив маркер, станция анализирует его и при отсутствии у
нее данных для передачи обеспечивает его продвижение к следую-
щей станции. Станция, которая имеет данные для передачи, при по-
лучении маркера изымает его из кольца, что дает ей право доступа к
физической среде и передачи своих данных. Затем эта станция выда-
ет в кольцо кадр данных установленного формата последовательно
по битам. Переданные данные проходят по кольцу всегда в одном на-
правлении от одной станции к другой. Кадр снабжен адресом назна-
чения и адресом источника.
Все станции кольца ретранслируют кадр побитно, как повтори-
тели. Если кадр проходит через станцию назначения, то, распознав
свой адрес, эта станция копирует кадр в свой внутренний буфер и
вставляет в кадр признак подтверждения приема. Станция, выдав-
шая кадр данных в кольцо, при обратном его получении с подтвер-
ждением приема изымает этот кадр из кольца и передает в сеть новый
маркер для обеспечения возможности другим станциям сети пере-

давать данные. Такой алгоритм доступа применяется в сетях Token
Ring со скоростью работы 4 Мбит/с, описанных в стандарте 802.5.
Время владения разделяемой средой в сети Token Ring огра-

ничивается временем удержания маркера (Token Holding
Time), после истечения которого станция обязана прекратить
передачу собственных данных (текущий кадр разрешается за-
вершить) и передать маркер далее по кольцу.
Станция может успеть передать за время удержания маркера

один или несколько кадров в зависимости от размера кадров и вели-
чины времени удержания маркера. Обычно время удержания мар-
кера по умолчанию равно 10 мс, а максимальный размер кадра в стан-
дарте IEEE 802.5 не определен. Для сетей 4 Мбит/с он обычно равен
4 Кбайт, а для сетей 16 Мбит/с – 16 Кбайт. Это связано с тем фак-
том, что за время удержания маркера станция должна успеть пе-
редать хотя бы один кадр. При скорости 4 Мбит/с за время 10 мс
можно передать 5000 байтов, а при скорости 16 Мбит/с – соответ-
ственно 20 000 байтов. Максимальные размеры кадра выбраны с не-
которым запасом.
В сетях Token Ring 16 Мбит/с используется также несколько
другой алгоритм доступа к кольцу, называемый алгоритмом ран-
него освобождения маркера (Early Token Release, ETR).
В соответствии с ETR станция передает маркер доступа следу-
ющей станции сразу же после окончания передачи последнего бита
кадра, не дожидаясь возвращения по кольцу этого кадра с битом под-
тверждения приема. В этом случае пропускная способность кольца
используется более эффективно, так как по нему одновременно прод-
вигаются кадры нескольких станций. Тем не менее, свои кадры в каж-
дый момент времени может генерировать только одна станция, кото-
рая в данный момент владеет маркером доступа. Остальные станции
в это время только повторяют чужие кадры, так что принцип разде-
ления кольца во времени сохраняется, ускоряется только процедура
передачи владения кольцом.
Для различных видов сообщений могут назначаться различные
приоритеты: от 0 (низший) до 7 (высший). Решение о приоритете кон-
кретного кадра принимает передающая станция (протокол Token Ring
получает этот параметр через межуровневые интерфейсы от прото-

колов верхнего уровня, например прикладного). Маркер также все-
гда имеет некоторый уровень текущего приоритета. Станция имеет
право захватить переданный ей маркер только в том случае, если при-
оритет кадра, который она хочет передать, выше приоритета маркера
или равен ему. В противном случае станция обязана передать мар-
кер следующей по кольцу станции.
За наличие в сети маркера, причем единственной его копии,
отвечает активный монитор. Если активный монитор не получает
маркер в течение длительного времени, то он порождает новый
маркер.
6.2.2. Форматы кадров Token Ring
В сетях Token Ring существует три различных формата кадров:

− маркера;
− данных;
− прерывающей последовательности.
Кадр маркера состоит из трех полей, каждое длиной в 1 байт.
1. Начальный ограничитель (Start Delimiter, SD) появляется в
начале маркера, а также в начале любого кадра, проходящего по сети.
Поле представляет собой следующую уникальную последователь-
ность символов манчестерского кода: JKOJKOOO. Поэтому началь-
ный ограничитель нельзя спутать ни с какой битовой последователь-
ностью внутри кадра.
2. Управление доступом (Access Control) состоит из четырех
подполей: РРР, Т, М и RRR, где РРР – биты приоритета, Т – бит
маркера, М – бит монитора, RRR – резервные биты приоритета
(рис. 6.8).
Бит Т, установленный в 1, указывает на то, что данный кадр яв-
ляется маркером доступа. Бит монитора устанавливается в 1 актив-
ным монитором и в 0 любой другой станцией, передающей маркер
или кадр. Если активный монитор видит маркер или кадр, содержа-
щий бит монитора со значением 1, то активный монитор «знает», что
этот кадр или маркер уже однажды обошел кольцо и не был обрабо-
тан станциями. Если это кадр, то он удаляется из кольца. Если это
маркер, то активный монитор передает его дальше по кольцу. Ис-
пользование полей приоритетов будет рассмотрено ниже.
Управление доступом
НО P P P T M R R R КО
Начальный Приоритет P Резервный Конечный

ограничитель приоритет R ограничитель
(не 0 и не 1) 1 – маркер (не 0 и не 1)
T =
0 − данные
1 – послан монитором
M =
0 − нет
Рис. 6.8. Формат маркера
3. Конечный ограничитель (End Delimeter, ED) – последнее поле

маркера. Точно так как и поле начального ограничителя, это поле со-
держит уникальную последовательность манчестерских кодов JK1JK1,
а также два однобитовых признака: I и Е. Признак I (Intermediate)
показывает, является ли кадр последним в серии кадров (1-0) или про-
межуточным (1-1). Признак Е (Error) – это признак ошибки. Он уста-
навливается в 0 станцией-отправителем, и любая станция кольца, че-
рез которую проходит кадр, должна установить этот признак в 1, если
она обнаружит ошибку по контрольной сумме или другую некоррект-
ность кадра.
Кадр данных состоит из нескольких групп полей:
− последовательность начала кадра;
− адрес получателя;
− адрес отправителя;
− данные;
− последовательность контроля кадра;
− последовательность конца кадра.
Кадр данных может переносить данные либо для управления
кольцом (данные MAC-уровня), либо пользовательские данные LLC-
уровня (Logical Link Control, LLC – логический контроль связи). Функ-
ции LLC по обеспечению надежной передачи данных в LAN на-
поминают функции транспортного уровня моделей OSI и TCP/IP:
при передаче данных снизу вверх LLC принимает от уровня MAC
пакет сетевого уровня, пришедший из сети. Соотношение функций
протоколов LLC и MAC во многом подобно соотношению функций
протоколов ƯDP/TCP и IP. Как и протоколы транспортного уровня
ƯDP/TCP, протокол LLC не занимается непосредственно доставкой

кадров узлам сети. Передачу данных между узлами, подобно IP, вы-
полняет после получения доступа к разделяемой среде уровень MAC.
MAC, так же как и IP, обеспечивает доставку в дейтаграммном ре-
жиме, т. е. без установления соединения и без восстановления поте-
рянных или поврежденных кадров. В том случае, когда протоколы
верхних уровней запрашивают у LLC надежный транспортный сер-
вис, LLC устанавливает соединение с узлом назначения и организует
повторную доставку кадров.
Кадр данных включает те же три поля, что и маркер, и имеет
кроме них еще несколько дополнительных полей.
1. Каждый кадр данных (MAC или LLC) начинается с последо-
вательности начала кадра, которая содержит три поля:
− начальный ограничитель, такой же, как и для кадра маркера;
− управление доступом, также совпадает для кадров и для мар-
керов;
− контроль кадра – это однобайтное поле, которое содержит
два подполя: тип кадра и идентификатор управления MAC: 2 бита
типа кадра имеют значения 00 – для кадров MAC и 01 – для кад-
ров LLC.
Биты идентификатора управления MAC определяют тип кадра
управления кольцом из списка 6 управляющих кадров MAC-уровня.
Назначение этих шести типов кадров следующее:
а) чтобы удостовериться, что ее адрес уникальный, станция, ко-
гда впервые присоединяется к кольцу, посылает кадр тест дубли-
рования адреса (Duplicate Address Test, DAT);
б) чтобы сообщить другим станциям, что он работоспособен, ак-
тивный монитор периодически посылает в кольцо кадр существует
активный монитор (Active Monitor Present, AMP);
в) кадр существует резервный монитор (Standby Monitor Present,
SMP) отправляется любой станцией, не являющейся активным мо-
нитором;
г) резервный монитор отправляет кадр Маркер заявки (Claim
Token, CT), когда подозревает, что активный монитор отказал, затем
резервные мониторы договариваются между собой, какой из них ста-
нет новым активным монитором;
д) станция отправляет кадр Сигнал (Beacon, BCN) в случае воз-
никновения серьезных сетевых проблем, таких как обрыв кабеля, об-
наружение станции, передающей кадры без ожидания маркера, выход
станции из строя. Определяя, какая станция отправляет кадр сигнала,

диагностирующая программа (ее существование и функции не опре-
деляются стандартами Token Ring) может локализовать проблему.
Каждая станция периодически передает кадры BCN до тех пор, пока
не примет кадр BCN от своего предыдущего (NAUN) соседа. В ре-
зультате в кольце только одна станция продолжает передавать кад-
ры BCN – та, у которой «имеются проблемы с предыдущим соседом».
В сети Token Ring каждая станция знает МАС-адрес своего преды-
дущего соседа, поэтому Beacon-процедура приводит к выявлению
адреса некорректно работающей станции;
е) кадр Очистка (Purge, PRG) используется новым активным мо-
нитором для того, чтобы перевести все станции в исходное состояние
и очистить кольцо от всех ранее посланных кадров.
2. Адрес получателя (Destination Address, DA). Может иметь дли-
ну либо 2 байта, либо 6. Первый бит адреса назначения определяет
групповой или индивидуальный адрес как для 2-байтных, так и для
6-байтных адресов. Второй бит в 6-байтных адресах говорит о том,
назначен адрес локально или глобально. Адрес, состоящий из всех
единиц, является широковещательным.
3. Адрес отправителя (Source Address, SA). Имеет тот же размер
и формат, что и адрес получателя. Однако признак группового ад-
реса используется в нем особым способом. Так как адрес источника
не может быть групповым, то наличие единицы в этом разряде го-
ворит о том, что в кадре имеется специальное поле маршрутной ин-
формации (Routing Information Field, RIF). Эта информация требу-
ется при работе мостов, связывающих несколько колец Token Ring,
в режиме маршрутизации от источника.
В стандарте 802.5 используются адреса той же структуры, что
и в стандарте 802.3.
4. Данные (Info). Поле данных кадра может содержать данные
одного из описанных управляющих кадров уровня MAC или поль-
зовательские данные, упакованные в кадр уровня LLC. Это поле, как
уже отмечалось, не имеет определенной стандартом максимальной
длины, хотя существуют практические ограничения на его размер,
основанные на соотношениях между временем удержания маркера
и временем передачи кадра.
5. Последовательность контроля кадра используется для обна-
ружения ошибок. Состоит из четырех байтов остатка циклически из-
быточной контрольной суммы, вычисляемой по алгоритму CRC-32
(используется порождающий полином степени 32; см. п. 12.4.4), осу-

ществляющему циклическое суммирование по модулю 32.
6. Последовательность конца кадра состоит из двух полей: Ко-
нечный ограничитель (End Delimeter, ED) и Статус кадра (Frame
Status, FS).
Поле статуса FS имеет длину 1 байт и содержит 4 резервных
бита и 2 подполя: бит распознавания адреса А и бит копирования
кадра С. Так как это поле не сопровождается вычисляемой суммой
CRC, то используемые биты для надежности дублируются: поле ста-
туса FS имеет вид АСххАСхх. Если бит распознавания адреса не уста-
новлен во время получения кадра, это означает, что станция назначе-
ния больше не присутствует в сети (возможно, вследствие неполадок,
а возможно, станция находится в другом кольце, связанном с данным
с помощью моста). Если оба бита опознавания адреса и копирования
кадра установлены и бит обнаружения ошибки также установлен, то
исходная станция знает, что ошибка случилась после того, как этот
кадр был корректно получен.
Кадр прерывающей последовательности состоит из двух бай-
тов, содержащих начальный и конечный ограничители. Прерываю-
щая последовательность может появиться в любом месте потока би-
тов и сигнализирует о том, что текущая передача кадра или маркера
отменяется.
6.2.3. Приоритетный доступ к кольцу
Станция может воспользоваться маркером, если только у нее

есть кадры для передачи с приоритетом, равным или большим, чем
приоритет маркера.
Каждый кадр данных или маркер имеет приоритет, устанав-

ливаемый битами приоритета (значение от 0 до 7, причем
7 – наивысший приоритет).
Сетевой адаптер станции с кадрами, у которых приоритет ниже,

чем приоритет маркера, не может захватить маркер, но может поме-
стить наибольший приоритет своих ожидающих передачи кадров в
резервные биты маркера, но только в том случае, если записанный в
резервных битах приоритет ниже его собственного. В результате в

резервных битах приоритета устанавливается наивысший приори-
тет станции, которая пытается получить доступ к кольцу, но не мо-
жет этого сделать из-за высокого приоритета маркера.
Станция, сумевшая захватить маркер, передает свои кадры

с приоритетом маркера, а затем передает маркер следую-
щему соседу. При этом она переписывает значение резерв-
ного приоритета в поле приоритета маркера, а резервный
приоритет обнуляется. Поэтому при следующем проходе
маркера по кольцу его захватит станция, имеющая наивыс-
ший приоритет.
При инициализации кольца основной и резервный приоритет

маркера устанавливаются в 0. Хотя механизм приоритетов в техно-
логии Token Ring имеется, но он начинает работать только в том
случае, когда приложение или прикладной протокол решают его
использовать. Иначе все станции будут иметь равные права доступа
к кольцу, что в основном и происходит на практике, так как боль-
шая часть приложений этим механизмом не пользуется. Это связано
с тем, что приоритеты кадров поддерживаются не во всех техноло-
гиях, например, в сетях Ethernet они отсутствуют, поэтому приложе-
ние будет вести себя по-разному, в зависимости от технологии ниж-
него уровня, что нежелательно.
В современных сетях приоритетность обработки кадров обычно
обеспечивается коммутаторами или маршрутизаторами, которые
поддерживают их независимо от используемых протоколов каналь-
ного уровня.
6.2.4. Физический уровень технологии Token Ring
Стандарт Token Ring фирмы IBM изначально предусматривал

построение связей в сети с помощью концентраторов, называемых
MAU (Multistation Access Unit) или MSAU (Multi-Station Access Unit),
т. е. устройств многостанционного доступа. Сеть Token Ring может
включать до 260 узлов.
Концентратор Token Ring может быть активным или пассивным.
Пассивный концентратор просто соединяет порты внутрен-

ними связями так, чтобы станции, подключаемые к этим пор-
там, образовывали кольцо.
Ни усиление сигналов, ни их ресинхронизацию пассивный MSAU

не выполняет. Такое устройство можно считать простым кроссовым
блоком за одним исключением – MSAU обеспечивает обход какого-
либо порта, когда присоединенный к этому порту компьютер выклю-
чают. Такая функция необходима для обеспечения связности кольца
вне зависимости от состояния подключенных компьютеров. Обычно
обход порта выполняется за счет релейных схем, которые питаются
постоянным током от сетевого адаптера, а при выключении сетевого
адаптера нормально замкнутые контакты реле соединяют вход порта
с его выходом.
Активный концентратор выполняет функции регенерации

сигналов и поэтому иногда называется повторителем, как в
стандарте Ethernet.
Возникает следующий вопрос: если концентратор является пас-

сивным устройством, то каким образом обеспечивается качествен-
ная передача сигналов на большие расстояния, которые возникают
при включении в сеть нескольких сот компьютеров? Ответ состоит
в том, что роль усилителя сигналов в этом случае берет на себя каж-
дый сетевой адаптер, а функцию ресинхронизирующего блока вы-
полняет сетевой адаптер активного монитора кольца. Каждый сете-
вой адаптер Token Ring имеет блок повторения, который умеет
регенерировать и ресинхронизировать сигналы, однако последнюю
функцию выполняет в кольце только блок повторения активного
монитора.
Блок ресинхронизации состоит из 30-битного буфера, который
принимает манчестерские сигналы с несколько искаженными за вре-
мя оборота по кольцу интервалами следования. При максимальном
количестве станций в кольце (260) вариация задержки циркуляции
бита по кольцу может достигать 3-битных интервалов. Активный мо-
нитор «вставляет» свой буфер в кольцо и синхронизирует битовые
сигналы, выдавая их на выход с требуемой частотой.
В общем случае сеть Token Ring имеет комбинированную звездно-

кольцевую конфигурацию. Конечные узлы подключаются к MSAU
по топологии звезды, а сами MSAU объединяются через специаль-
ные порты Ring In (RI) и Ring Out (RO) для образования магистраль-
ного физического кольца.
Все станции в кольце должны работать на одной скорости – либо
4, либо 16 Мбит/с. Кабели, соединяющие станцию с концентратором,
называются ответвительными (Lobe Cable), а кабели, соединяющие
концентраторы – магистральными (Trunk Cable).
Технология Token Ring позволяет использовать для соединения
конечных станций и концентраторов различные типы кабеля: STP
Type I, UTP Type 3, UTP Type 6, а также волоконно-оптический кабель.
При использовании экранированной витой пары STP Type 1 из
номенклатуры кабельной системы IBM в кольцо допускается объ-
единять до 260 станций при длине ответвительных кабелей до 100 м,
а при использовании неэкранированной витой пары максимальное
количество станций сокращается до 72 при длине ответвительных ка-
белей до 45 м.
Расстояние между пассивными MSAU может достигать 100 м
при использовании кабеля STP Type 1 и 45 м при использовании ка-
беля UTP Type 3. Между активными MSAU максимальное расстоя-
ние увеличивается соответственно до 730 или 365 м в зависимости от
типа кабеля.
Максимальная длина кольца Token Ring составляет 4000 м. Огра-
ничения на максимальную длину кольца и количество станций в
кольце в технологии Token Ring не являются такими жесткими, как
в технологии Ethernet. Здесь эти ограничения во многом связаны со
временем оборота маркера по кольцу (но не только – есть и другие
соображения, диктующие выбор ограничений). Так, если кольцо со-
стоит из 260 станций, то при времени удержания в 10 мс маркер вер-
нется в активный монитор в худшем случае через 2,6 с, а это время
как раз составляет тайм-аут контроля оборота маркера. В принципе,
все значения тайм-аутов в сетевых адаптерах узлов сети Token Ring
можно настраивать, поэтому можно построить сеть Token Ring с боль-
шим количеством станций и с большей длиной кольца.
Существует большое разнообразие аппаратуры для сетей Token
Ring, которое улучшает некоторые стандартные характеристики этих
сетей: максимальную длину сети, расстояние между концентраторами,
надежность (путем использования двойных колец).
Компания IBM предложила новый вариант технологии Token

Ring, названный High-Speed Token Ring, HSTR. Эта технология под-
держивает скорости в 100 и 155 Мбит/с, сохраняя основные особен-
ности технологии Token Ring 16 Мбит/с.
Выводы
1. В сетях Token Ring используется маркерный метод доступа,

который гарантирует каждой станции получение доступа к разделя-
емому кольцу в течение времени оборота маркера. Из-за этого свой-
ства метод иногда называют детерминированным.
2. Метод доступа основан на приоритетах: от 0 (низший) до 7
(высший). Станция сама определяет приоритет текущего кадра и мо-
жет захватить кольцо только в том случае, когда в нем нет более при-
оритетных кадров.
3. Современные сети Token Ring работают на скоростях до
1000 Мбит/с и могут использовать в качестве физической среды эк-
ранированную витую пару, неэкранированную витую пару, а также
волоконно-оптический кабель. Максимальное количество станций в
кольце – 260, а максимальная длина кольца – 4 км.
4. Технология Token Ring обладает элементами отказоустойчи-
вости. За счет обратной связи кольца одна из станций – активный
монитор – непрерывно контролирует наличие маркера, а также вре-
мя оборота маркера и кадров данных. При некорректной работе коль-
ца запускается процедура его повторной инициализации, а если она
не помогает, то для локализации неисправного участка кабеля или
неисправной станции используется процедура beaconing (iBeacon –
API сервиса iOS, начиная с версии 7), которая позволяет передавать
данные между беспроводными устройствами – маяками (beacon) –
и устройствами, поддерживающими Bluetooth.
5. Максимальный размер поля данных кадра Token Ring зависит
от скорости работы кольца. Для скорости 4 Мбит/с он равен около
5000 байтов, а при скорости 16 Мбит/с – около 16 Кбайт. Минималь-
ный размер поля данных кадра не определен, т. е. может быть равен 0.
6. В сети Token Ring станции объединяют в кольцо с помощью
концентраторов, которые называются MSAU. Пассивный концентра-
тор MSAU выполняет роль кроссовой панели, соединяющей выход
6.3. Сети FDDI 231
предыдущей станции в кольце со входом последующей. Максималь-

ное расстояние от станции до MSAU – 100 м для STP и 45 м для UTP.
7. Кольцо может быть построено на основе активного концен-
тратора MSAU, который в этом случае называют повторителем.
8. Сеть Token Ring может строиться на основе нескольких ко-
лец, разделенных мостами, маршрутизирующими кадры по принципу
«от источника», для чего в кадр Token Ring добавляется специаль-
ное поле с маршрутом прохождения колец.
6.3. Сети FDDI
6.3.1. Основные характеристики сетей FDDI
Сеть FDDI (Fiber Distributed Data Interface – оптоволоконный

распределенный интерфейс данных) – это одна из последних разра-
боток стандартов локальных сетей.
Стандарт FDDI, предложенный Американским национальным
институтом стандартов ANSI (спецификация ANSI X3T9.5), изна-
чально ориентировался на высокую скорость передачи (100 Мбит/с)
и на применение перспективного оптоволоконного кабеля (длина
волны света – 850 нм). Поэтому в данном случае разработчики не
были стеснены рамками стандартов, ориентированных на низкие ско-
рости и электрический кабель.
За основу стандарта FDDI был взят метод маркерного доступа,
предусмотренный международным стандартом IEEE 802.5. Неболь-
шие отличия от этого стандарта (упоминались выше) определяются
необходимостью обеспечить высокую скорость передачи информа-
ции на большие расстояния.
Топология сети FDDI – кольцо, причем применяется два раз-

нонаправленных оптоволоконных кабеля, что позволяет в прин-
ципе использовать полнодуплексную передачу информации
с удвоенной эффективной скоростью в 200 Мбит/с (при этом
каждый из двух каналов работает на скорости 100 Мбит/с).
Применяется и звездно-кольцевая топология с концентрато-
рами, включенными в кольцо.
Основные технические характеристики сети FDDI:

− максимальное количество абонентов сети – 1000;
− максимальная протяженность кольца сети – 20 км;
− максимальное расстояние между абонентами сети – 2 км;
− среда передачи – многомодовый оптоволоконный кабель (воз-
можно применение электрической витой пары);
− метод доступа – маркерный;
− скорость передачи информации – 100 Мбит/с (200 Мбит/с –
для дуплексного режима передачи).
Как видим, FDDI имеет некоторые преимущества по сравнению
со всеми рассмотренными ранее сетями. Даже сеть Fast Ethernet,
имеющая такую же пропускную способность (100 Мбит/с), не может
сравниться с FDDI по допустимым размерам сети и допустимому ко-
личеству абонентов.
Маркерный метод доступа FDDI обеспечивает в отличие от

CSMA/CD гарантированное время доступа и отсутствие кон-
фликтов при любом уровне нагрузки.
Отметим, что ограничение на общую длину сети в 20 км связано

не с затуханием сигналов в кабеле, а с необходимостью ограничения
времени полного прохождения сигнала по кольцу для обеспечения
предельно допустимого времени доступа. А вот максимальное рас-
стояние между абонентами (2 км при многомодовом кабеле) опре-
деляется как раз затуханием сигналов в кабеле (оно не должно пре-
вышать 11 дБ). Предусмотрена также возможность применения одно-
модового кабеля, и в этом случае расстояние между абонентами может
достигать 45 км, а полная длина кольца – 100 км.
Имеется и реализация FDDI на электрическом кабеле (CDDI –
Copper Distributed Data Interface или TPDDI – Twisted Pair Distributed
Data Interface). При этом используется кабель категории 5 с разъема-
ми RJ-45. Максимальное расстояние между абонентами в этом слу-
чае должно быть не более 100 м. Стоимость оборудования сети на
электрическом кабеле в несколько раз меньше. Но эта версия сети уже
не имеет столь очевидных преимуществ перед своими конкурентами,
как изначальная FDDI.
Для передачи данных в FDDI применяется код 4В/5В (табл. 6.1),
специально разработанный для этого стандарта.
Таблица 6.1
Схема кода 4B/5B
Информация Код 4B/5B
0000 11110
0001 01001
0010 10100
0011 10101
0100 01010
0101 01011
0110 01110
0111 01111
1000 10010
1001 10011
1010 10110
1011 10111
1100 11010
1101 11011
1110 11100
1111 11101
Он обеспечивает скорость передачи 100 Мбит/с при пропускной

способности кабеля 125 млн сигналов в секунду (или 125 МБод),
а не 200 МБод, как в случае кода Манчестер-II. При этом каждым
четырем битам передаваемой информации (каждому полубайту) ста-
вится в соответствие 5 передаваемых по кабелю битов. Это позво-
ляет приемнику восстанавливать синхронизацию приходящих дан-
ных один раз на четыре принятых бита, т. е. достигается компромисс
между простейшим кодом NRZ (Non Return to Zero – без возвра-
щения к нулю) и самосинхронизирующимся на каждом бите кодом
Манчестер-II.
6.3.2. Структура сети FDDI
Стандарт FDDI для достижения высокой гибкости сети преду-

сматривает включение в кольцо абонентов двух типов.
1. Абоненты (станции) класса А (они же абоненты двойного под-
ключения – Dual-Attachment Stations, DAS) подключаются к обоим
(внутреннему и внешнему) кольцам сети. При этом реализуется воз-

можность обмена со скоростью до 200 Мбит/с или же возможность
резервирования кабеля сети (при повреждении основного кабеля ис-
пользуется резервный). Аппаратура этого класса используется в са-
мых критичных частях сети.
2. Абоненты (станции) класса В (они же абоненты одинарно-
го подключения – Single-Attachment Stations, SAS) подключаются
только к одному (внешнему) кольцу сети. Естественно, они могут
быть более простыми и дешевыми, чем адаптеры класса А, но, к со-
жалению, не имеют их возможностей. В сеть данные адаптеры мо-
гут включаться только через концентратор или обходной коммута-
тор, отключающий их в случае аварии.
Кроме собственно абонентов (компьютеров, терминалов и т. д.)
в сети используются связные концентраторы (Wiring Concentra-
tors). Включение связных концентраторов позволяет собрать в одно
место все точки подключения для того, чтобы контролировать ра-
боту сети, диагностировать неисправности и упрощать реконфи-
гурацию. К тому же при применении кабелей разных типов (напри-
мер, оптоволоконного кабеля и витой пары) концентратор выполняет
функцию преобразования электрических сигналов в оптические и
наоборот.
Концентраторы также бывают двойного (Dual-Attachment Con-
centrator, DAC) и одинарного (Single-Attachment Concentrator, SAC)
подключения.
Пример простейшей конфигурации сети FDDI представлен на
рис. 6.9.
FDDI включает четыре типа портов абонентов.
1. Порт А используется только для устройств двойного под-
ключения, его вход присоединяется к первичному кольцу, а выход –
ко вторичному.
2. Порт В применяется только для устройств двойного подклю-
чения, его вход подсоединяется ко вторичному кольцу, а выход –
к первичному.
3. Порт М (Master – основной) используется для концентрато-
ров и соединяет два концентратора между собой или концентратор
с абонентом.
4. Порт S (Slave – подчиненный) определен только для устройств
одинарного подключения и используется для соединения двух або-
нентов или абонента и концентратора.
Абонент
класса А
Абонент
Связной
класса B
концентратор
Абонент
класса B
Абонент
класса А
Рис. 6.9. Пример конфигурации сети FDDI
Стандарт FDDI предусматривает также возможность рекон-

фигурации сети с целью сохранения ее работоспособности в
случае повреждения кабеля.
В показанном на рис. 6.10 случае поврежденный участок кабеля

исключается из кольца, но целостность сети вследствие перехода
на одно кольцо вместо двух не нарушается (т. е. абоненты класса А
начинают работать как абоненты класса В).
В отличие от метода доступа, который предлагается стан-

дартом IEEE 802.5, в FDDI применяется так называемая мно-
жественная передача маркера. Если в случае сети Token Ring
новый (свободный) маркер передается абонентом только по-
сле возвращения к нему его пакета, то в FDDI новый маркер
передается абонентом сразу же после окончания передачи им
пакета.
Последовательность действий здесь следующая. Абонент, жела-

ющий передавать информацию, ждет маркер, который «идет» за каж-
дым пакетом. Когда маркер пришел, абонент удаляет его из сети и
передает свой пакет. Сразу после передачи пакета абонент посылает
сгенерированный маркер.
Абонент
класса А
Абонент
Связной
класса B
концентратор
Абонент
класса B
Абонент
класса А
Рис. 6.10. Реконфигурация сети FDDI при повреждении кабеля
Одновременно каждый абонент ведет свой отсчет времени, срав-

нивая реальное время обращения маркера (Token Rotation Time, TRT)
с заранее установленным контрольным временем его прибытия (Target
Token Rotation Time, TTRT). Если маркер возвращается раньше, чем
установлено TTRT, то делается вывод, что сеть загружена мало, и,
следовательно, абонент может спокойно передавать всю свою ин-
формацию. Если же маркер возвращается позже, то сеть загружена
сильно, и абонент может передавать только самую необходимую ин-
формацию. При этом величины контрольного времени TTRT могут
устанавливаться различными для разных абонентов. Такой меха-
низм позволяет абонентам гибко реагировать на загрузку сети и ав-
томатически под-держивать ее на оптимальном уровне.
6.3.3. Структура пакета в сетях FDDI
Стандарт FDDI в отличие от стандарта IEEE 802.5 не предусмат-

ривает возможности установки приоритетов пакетов и резервиро-
вания. Вместо этого все абоненты разделяются на две группы: асин-
хронные и синхронные.
Асинхронные абоненты – это те, для которых время доступа к
сети не слишком критично.
Синхронные – это те, для которых время доступа должно быть
жестко ограничено. В стандарте предусмотрен специальный алго-
ритм, обслуживающий эти типы абонентов.
Форматы маркера (рис. 6.11) и пакета (рис. 6.12) сети FDDI не-
сколько отличаются от форматов, используемых в сети Token Ring
(на рис. 6.11 и 6.12 цифры означают количество байтов).
8 1 1 1 1
Преамбула Начальный Управление Конечный Статус

разделитель разделитель пакета
Рис. 6.11. Формат маркера FDDI
8 1 1 6 6 0–N 4 1 1
Начальный Контрольная
разделитель Адрес источника Данные сумма (CRC)
Конечный
Адрес приемника разделитель
Преамбула Состояние
Управление пакета
Рис. 6.12. Формат пакета FDDI
Общая длина пакета не может превышать 4500 байтов. Рассмот-

рим назначение каждого из полей.
1. Преамбула используется для синхронизации. Первоначально
она содержит 64 бита, но абоненты, через которых проходит пакет,
могут менять ее размер.
2. Начальный разделитель выполняет функцию признака нача-

ла кадра.
3. Адреса приемника и источника могут быть 6-байтными (ана-
логично Ethernet и Token Ring) или 2-байтными.
4. Поле данных может быть переменной длины, но суммарная
длина пакета не должна превышать 4500 байтов.
5. Поле контрольной суммы содержит 32-битную циклическую
контрольную сумму (CRC) пакета.
6. Конечный разделитель определяет конец кадра.
7. Байт состояния пакета включает в себя бит обнаружения
ошибки, бит распознавания адреса и бит копирования (все аналогич-
но Token Ring).
Формат байта управления сети FDDI, который представлен на
рис. 6.13, имеет следующую структуру.
1. Бит класса пакета определяет, синхронный или асинхронный
это пакет.
2. Бит длины адреса указывает, какой адрес (6-байтный или
2-байтный) используется в данном пакете.
3. Поле формата кадра показывает, управляющий это кадр или
информационный.
4. Поле типа кадра определяет, к какому типу относится дан-
ный кадр.
Биты
Класс Формат Тип

пакета кадра кадра
Длина адреса
пакета
Рис. 6.13. Формат байта управления
В заключение отметим, что несмотря на очевидные преимуще-

ства сети FDDI, темпы ее распространения связаны главным обра-
зом со стоимостью аппаратуры (достаточно высока). Основная область
применения FDDI – это базовые, опорные (Backbone) сети, объеди-
няющие несколько сетей. Применяется FDDI и для соединения мощ-
ных рабочих станций или серверов, требующих высокоскоростного
обмена.
6.4. Сети 100VG-AnyLAN 239
Выводы
1. Технология FDDI первой использовала волоконно-оптический

кабель в локальных сетях, а также работу на скорости 100 Мбит/с.
2. Существует значительная преемственность между техноло-
гиями Token Ring и FDDI: для обеих характерны кольцевая тополо-
гия и маркерный метод доступа.
3. Технология FDDI является наиболее отказоустойчивой тех-
нологией локальных сетей. При однократных отказах кабельной си-
стемы или станции сеть за счет «сворачивания» двойного кольца в
одинарное остается вполне работоспособной.
4. Маркерный метод доступа FDDI работает по-разному для син-
хронных и асинхронных кадров (тип кадра определяет станция). Для пе-
редачи первого станция всегда может захватить пришедший маркер
на фиксированное время, для передачи второго маркер захватывается
только тогда, когда он выполнил оборот по кольцу достаточно быстро,
что говорит об отсутствии перегрузок кольца. Такой метод доступа
предпочитает синхронные кадры и регулирует загрузку кольца, при-
тормаживая передачу несрочных асинхронных кадров.
5. В качестве физической среды технология FDDI использует
волоконно-оптические кабели и UTP категории 5 (этот вариант фи-
зического уровня называется TP-PMD).
6. Максимальное количество станций двойного подключения
в кольце – 500, максимальный диаметр двойного кольца – 100 км.
Максимальные расстояния между соседними узлами для многомо-
дового кабеля равны 2 км, для витой пары UPT категории 5 – 100 м,
а для одномодового оптоволокна зависят от его качества.
6.4. Сети 100VG-AnyLAN
6.4.1. Основные характеристики сетей 100VG-AnyLAN
Сеть 100VG-AnyLAN – это одна из разработок высокоскорост-

ных локальных сетей фирм Hewlett-Packard и IBM. Соответствует
стандарту IEEE 802.12, так что уровень ее стандартизации достаточно
высокий. Главными ее достоинствами являются большая скорость

обмена, сравнительно невысокая стоимость аппаратуры, централи-
зованный метод управления обменом без конфликтов и совмести-
мость на уровне пакетов с популярными сетями Ethernet и Token Ring.
В названии сети цифра 100 соответствует скорости 100 Мбит/с, бук-
вы VG обозначают дешевую витую пару категории 3 (Voice Grade),
a AnyLAN (любая сеть) обозначает то, что сеть совместима с двумя
самыми распространенными сетями.
Основные технические характеристики сети 100VG-AnyLAN:
− скорость передачи – 100 Мбит/с;
− топология «звезда» с возможностью наращивания;
− метод доступа – централизованный, бесконфликтный (Demand
Priority – с запросом приоритета);
− среда передачи – счетверенная неэкранированная витая пара
(кабели UTP категории 3, 4 или 5), сдвоенная витая пара (кабель UTP
категории 5), сдвоенная экранированная витая пара (STP), а также оп-
товолоконный кабель (сейчас в основном распространена счетверен-
ная витая пара);
− максимальная длина кабеля между концентратором и абонен-
том и между концентраторами – 100 м (для кабеля UTP категории 3),
150 м (для кабеля UTP категории 5 и экранированного кабеля), 2 км
(для оптоволоконного кабеля).
Таким образом, параметры сети 100VG-AnyLAN довольно

близки к параметрам сети Fast Ethernet. Однако главное пре-
имущество Fast Ethernet – это полная совместимость с наибо-
лее распространенной сетью Ethernet (в случае 100VG-AnyLAN
для этого обязательно требуется коммутатор или мост). В то
же время централизованное управление 100VG-AnyLAN ис-
ключает конфликты и гарантирует предельную величину вре-
мени доступа (чего не предусмотрено в сети Ethernet).
6.4.2. Структура сети 100VG-AnyLAN
Пример структуры сети 100VG-AnyLAN показан на рис. 6.14.

Сеть 100VG-AnyLAN состоит из центрального (основного) кон-
центратора уровня 1, к которому могут подключаться как отдельные
абоненты, так и концентраторы уровня 2, к которым, в свою очередь,

подключаются абоненты и концентраторы уровня 3. При этом сеть
может иметь не более трех таких уровней. Получается, что макси-
мальный размер сети может составлять 600 м для неэкранированной
витой пары.
Концентратор уровня 1
(основной)
Концентратор Концентратор
уровня 2 уровня 2
уровня 3
Мост
На сети Ethernet, Token Ring
Рис. 6.14. Структура сети 100VG-AnyLAN
В отличие от неинтеллектуальных концентраторов других се-

тей (например, Ethernet), концентраторы сети l00VG-AnyLAN – это
интеллектуальные контроллеры, которые управляют всем доступом
к сети. Для этого они непрерывно контролируют запросы, поступа-
ющие на все порты. Концентраторы принимают все приходящие
пакеты и отправляют их только тем абонентам, которым они адре-
сованы. Однако никакой обработки информации они не производят,
т. е. в данном случае получается все-таки не настоящая (активная)
звезда, но и не пассивная звезда.
Каждый из концентраторов может быть настроен на работу с фор-
матами пакетов Ethernet или Token Ring, при этом концентраторы
всей сети должны работать с пакетами какого-нибудь одного формата.
Для связи с сетями Ethernet и Token Ring необходимы мосты, но они
довольно простые. Концентраторы имеют один порт верхнего уровня
(для присоединения его к концентратору более высокого уровня) и
несколько портов нижнего уровня (для присоединения абонентов).

В качестве абонента может выступать компьютер (рабочая станция),
сервер, мост, маршрутизатор, коммутатор или другой концентратор.
Каждый порт концентратора может быть установлен в один из
двух возможных режимов работы: нормальный режим, предпола-
гающий пересылку абоненту, присоединенному к порту, только па-
кетов, адресованных лично ему, и мониторный режим, предполага-
ющий пересылку абоненту, присоединенному к порту, всех пакетов,
приходящих на концентратор. Этот режим позволяет одному из або-
нентов контролировать работу всей сети в целом (выполнять функ-
цию мониторинга).
6.4.3. Метод доступа в сетях 100VG-AnyLAN
В сетях 100VG-AnyLAN используется метод доступа Demand

Priority (описан в п. 3.2.2).
Каждый абонент, желающий передавать информацию, посылает
концентратору свой запрос на передачу. Концентратор циклически
прослушивает всех абонентов по очереди и дает право передачи або-
ненту, следующему по порядку за тем, который закончил передачу.
Но этот простейший алгоритм усложнен в сети 100VG-AnyLAN, так
как запросы могут иметь два уровня приоритета: нормальный уро-
вень приоритета, используемый для обычных приложений, и высо-
кий уровень приоритета, используемый для приложений, требующих
быстрого обслуживания.
Запросы с высоким уровнем приоритета обслуживаются раньше,
чем запросы с нормальным приоритетом. Если приходит запрос вы-
сокого приоритета, то нормальный порядок обслуживания преры-
вается, и после окончания приема текущего пакета обслуживается
запрос высокого приоритета. Если таких высокоприоритетных за-
просов несколько, то возврат к нормальной процедуре обслужива-
ния происходит только после полной обработки всех этих запросов.
При этом концентратор следит за тем, чтобы не была превышена
установленная величина гарантированного времени доступа. Если
высокоприоритетных запросов слишком много, то запросы с нор-
мальным приоритетом автоматически переводятся им в ранг высо-
коприоритетных. Таким образом, даже низкоприоритетные запросы
не будут ждать своей очереди слишком долго.
Концентраторы более низких уровней также анализируют за-

просы абонентов, присоединенных к ним, и в случае необходимо-
сти пересылают их запросы к концентратору более высокого уровня.
За один раз концентратор более низкого уровня может передать кон-
центратору более высокого уровня не один пакет (как обычный або-
нент), а столько пакетов, сколько абонентов присоединено к нему.
Так, для примера на рис. 6.15 в случае одновременного возникнове-
ния заявок на передачу у всех абонентов (компьютеров) порядок об-
служивания будет такой: компьютер 1-2, затем 1-3, потом 2-1, 2-4,
2-8 и далее 1-6.
Однако так будет только при одинаковом (нормальном) прио-
ритете всех запросов. Если же, например, от компьютеров 1-2, 2-4
и 2-8 поступят высокоприоритетные запросы, то порядок обслужи-
вания будет таким: 1-2, 2-4, 2-8, 1-3, 2-1,1-6.
Порядок
опроса
(основной)
2 3 5 6
1-2 1-3 1-6
1 4 8
2-1 2-4 2-8

Рис. 6.15. Порядок обслуживания запросов абонентов
на различных уровнях сети
Помимо собственно передачи пакетов и пересылки запросов

на передачу, в сети применяется также специальная процедура под-
готовки к связи (Link Training). Во время данной процедуры кон-
центратор и абоненты обмениваются между собой управляющими
пакетами. При этом проверяется правильность присоединения ли-

ний связи и их исправность. Одновременно концентратор получа-
ет информацию об особенностях абонентов, подключенных к нему,
об их назначении и сетевых адресах. Запускается данная процеду-
ра самим абонентом при включении питания или после подключе-
ния к концентратору, а также автоматически при большом уровне
ошибок.
6.4.4. Кодирование информации в сетях 100VG-AnyLAN
Проблема кодирования передаваемых данных решена в сети

l00VG-AnyLAN достаточно интересно. Вся передаваемая информа-
ция проходит следующие этапы обработки:
1) разделение на квинтеты (группы по 5 битов);
2) перемешивание, скремблирование (Scrambling) полученных
квинтетов;
3) кодирование квинтетов специальным кодом 5В6В (этот код
обеспечивает в выходной последовательности не более трех единиц
или нулей подряд, что используется для обнаружения ошибок);
4) добавление начального и конечного разделителей кадра.
Сформированные таким образом кадры передаются в 4 линии
передачи (при использовании счетверенной витой пары). При сдво-
енной витой паре и оптоволоконном кабеле применяется временное
мультиплексирование информации в каналах.
В результате этих действий достигается рандомизация сигна-
лов – выравнивание количества передаваемых единиц и нулей, сни-
жение взаимовлияния кабелей друг на друга и самосинхронизация
передаваемых сигналов без удвоения требуемой полосы пропуска-
ния, как в случае кода Манчестер-II.
При использовании счетверенной витой пары передача по каж-
дой из четырех пар свитых проводов производится со скоростью
30 Мбит/с (рис. 6.16).
Суммарная скорость передачи составляет 120 Мбит/с. Одна-
ко полезная информация (вследствие использования специального
кода 5В6В) передается при этом всего лишь со скоростью 100 Мбит/с.
Таким образом, частота сигнала в кабеле должна быть не менее
15 МГц. Этому требованию удовлетворяет кабель с витыми парами
категории 3.
100 нс
50 нс 50 нс
Передаваемая информация 4 3 2 1 0 4 3 2 1 0
Закодированная информация 5 4 3 2 1 0 5 4 3 2 1 0
33,3 нс 33,3 нс 33,3 нс

100 нс
Рис. 6.16. Кодирование информации в сетях 100VG-AnyLAN
В сети 100VG-AnyLAN предусмотрены два режима обмена:

полудуплексный и полнодуплексный (дуплексный).
При полудуплексном обмене все четыре витые пары использу-
ются для передачи одновременно в одном направлении (от абонен-
та к концентратору или наоборот). Он используется для передачи
пакетов.
При полнодуплексном обмене две витые пары передают в одном
направлении, а две другие – в другом направлении. Он использу-
ется для передачи управляющих сигналов. Для управления исполь-
зуются два тональных сигнала. Первый из них представляет собой
последовательность из 16 логических единиц и 16 логических ну-
лей, следующих со скоростью 30 Мбит/с (в результате частота сиг-
нала получается равной 0,9375 МГц). Второй тональный сигнал име-
ет вдвое большую частоту (1,875 МГц) и образуется чередованием
восьми логических единиц и восьми логических нулей. Все управ-
ление сетью осуществляется комбинацией этих двух тональных
сигналов.
В табл. 6.2 приведена расшифровка различных комбинаций этих
сигналов, передаваемых абоненту и концентратору.
Когда ни у абонента, ни у концентратора нет информации для
передачи, оба они посылают по обеим линиям первый тоновый сиг-
нал (1-1). Если принимаемый концентратором пакет может быть ад-
ресован данному абоненту, ему посылается комбинация сигналов 1-2.
При этом абонент должен прекратить передачу управляющих сигна-

лов концентратору и освободить эти две линии связи для пересылки
информационных пакетов. Такая же комбинация 1-2, полученная кон-
центратором, означает запрос на передачу пакета с нормальным при-
оритетом.
Запрос на передачу пакета с высоким приоритетом передается
комбинацией 2-1. Наконец, комбинация 2-2 сообщает как абоненту,
так и концентратору о необходимости перейти к процедуре подго-
товки к связи.
Таблица 6.2
Расшифровка комбинаций сигналов
Передаваемые Расшифровка Расшифровка
сигналы абонентом концентратором
1-1 Нет информации для передачи Нет информации для передачи
1-2 Концентратор принимает пакет Запрос нормального приоритета
2-1 Зарезервировано Запрос с высоким приоритетом
2-2 Запрос процедуры подготовки Запрос процедуры подготовки к
к связи связи
В целом сеть 100VG-AnyLAN представляет собой довольно дос-

тупное решение со скоростью передачи до 100 Мбит/с. Однако она
не обладает полной совместимостью ни с одной из стандартных се-
тей, поэтому ее дальнейшая судьба проблематична. К тому же в от-
личие от сети FDDI она не имеет никаких рекордных параметров.
Выводы
1. Согласно стандарту IEEE 802.12, технология 100VG-AnyLAN

сохраняла формат кадра Ethernet, но существенно изменяла метод
доступа.
2. В технологии 100VG-AnyLAN арбитром, решающим вопрос
о предоставлении станциям доступа к разделяемой среде, является
концентратор, поддерживающий метод Demand Priority – приори-
тетные требования. Метод Demand Priority оперирует с двумя уров-
нями приоритетов, выставляемыми станциями, причем приоритет
станции, долго не получающей обслуживания, повышается дина-

мически.
3. Концентраторы VG могут объединяться в иерархию, при этом
порядок доступа к среде не зависит от уровня концентратора, к ко-
торому подключена станция, а зависит только от приоритета кадра
и времени подачи заявки на обслуживание.
4. Технология 100VG-AnyLAN поддерживает кабель UTP кате-
гории 3, причем для обеспечения скорости 100 Мбит/с передает дан-
ные одновременно по 4 парам. Имеется также физический стандарт
для кабеля UTP категории 5, кабеля STP Type 1 и волоконно-опти-
ческого кабеля.
1. Приведите основные характеристики сетей Ethernet.

2. Какой метод доступа используется в сетях Ethernet?
3. Приведите стуктуру пакета сетей Ethernet.
4. Какова минимальная длина кадра в сетях Ethernet?
5. Приведите основные характеристики сетей Token Ring.
6. Опишите используемую топологию в сетях Token Ring.
7. Какие функции выполняет концентратор в сетях Token Ring?
8. Какие форматы кадров существуют в сетях Token Ring?
9. Опишите процедуру приорететного доступа к кольцу в сетях
Token Ring.
10. Приведите основные характеристики сетей FDDI.
11. Какой метод доступа используется в сетях FDDI?
12. Опишите используемую топологию в сетях FDDI.
13. Приведите стуктуру пакета сетей FDDI.
14. Опишите стуктуру сети FDDI.
15. Назовите основные характеристики сетей 100VG-AnyLAN.
16. Какой метод доступа используется в сетях 100VG-AnyLAN?
17. Охарактеризуйте процедуру кодирования информации в се-
тях 100VG-AnyLAN.
18. Опишите стуктуру сети 100VG-AnyLAN.
19. Какой тип кабеля может быть использован в сетях 100VG-
AnyLAN?
7.2. Кабельные системы 248
7
ФИЗИЧЕСКАЯ СРЕДА ПЕРЕДАЧИ ДАННЫХ
Физическая среда является основой, на которой строятся фи-

зические средства соединения. Сопряжение с физическими средства-
ми соединения посредством физической среды обеспечивает физи-
ческий уровень.
В качестве физической среды широко используются эфир, ме-
таллы, оптическое стекло и кварц. Среда передачи данных может
включать как кабельные, так и беспроводные технологии. Хотя фи-
зические кабели являются наиболее распространенными носителями
для сетевых коммуникаций, беспроводные технологии все больше внед-
ряются благодаря их способности связывать глобальные сети.
На этом уровне для физических кабелей определяются механи-
ческие и электрические (оптические) свойства среды передачи, ко-
торые включают:
− тип кабелей и разъемов;
− разводку контактов в разъемах;
− схему кодирования сигналов для значений 0 и 1.
Канальный уровень определяет доступ к среде и управление пе-
редачей посредством процедуры передачи данных по каналу. В ло-
кальных сетях протоколы канального уровня используются компью-
терами, мостами, коммутаторами и маршрутизаторами. В компьюте-
рах функции канального уровня реализуются совместными усилиями
сетевых адаптеров и их драйверов.
7.1. Кабели, линии и каналы связи
Для организации связи в сетях используются следующие понятия:

− кабели связи;
− линии связи;
− каналы связи.
Кабель связи – это длинномерное изделие электротехнической

промышленности. Из кабелей связи и других элементов (монтаж, кре-
пеж, кожухи и т. д.) строят линии связи между узлами сети.
Прокладка линии внутри – задача достаточно серьезная. Длина
линий связи колеблется от десятков метров до десятков тысяч кило-
метров. В любую более-менее серьезную линию связи кроме кабелей
входят траншеи, колодцы, муфты, переходы через реки, моря и оке-
аны, а также грозозащита (равно, как и другие виды защиты) линий.
Большую сложность представляют собой юридические вопросы, вклю-
чающие согласование прокладки линий связи, особенно в городе.
При наличии кабелей связи создаются линии связи, а уже по ли-
ниям связи создаются каналы связи. Линии и каналы связи заводятся
на узлы связи. Линии, каналы и узлы образуют первичные сети связи.
7.2. Кабельные системы
7.2.1. Типы кабелей и структурированные кабельные

системы
В качестве среды передачи данных используются различные виды

кабелей: коаксиальный, кабели на основе экранированной и неэкра-
нированной витой пары (они относятся к классу электрических), а
также оптоволоконный кабель.
Наиболее популярным видом среды передачи данных на не-
большие расстояния (до 100 м) является неэкранированная витая
пара, которая включена практически во все современные стандарты
и технологии локальных сетей и обеспечивает пропускную способ-
ность до 100 Мбит/с (на кабелях категории 5) и выше. Также отме-
тим, что оптоволоконный кабель применяется как для построения
локальных связей, так и для образования магистралей глобальных
сетей. Оптоволоконный кабель может обеспечить очень высокую
пропускную способность канала (до нескольких десятков гигабит в
секунду) и передачу на значительные расстояния (до нескольких
десятков километров без промежуточного усиления сигнала).
В качестве среды передачи данных в вычислительных сетях (бес-
проводные сети – Wireless Networks или Wi-Fi – Wireless Fidelity –
250 7. ФИЗИЧЕСКАЯ СРЕДА ПЕРЕДАЧИ ДАННЫХ
беспроводное соответствие) используются также электромагнитные

волны различных частот – КВ (короткие волны – диапазон радио-
волн с частотой от 3 до 30 МГц), УКВ (ультракороткие волны – от
30 МГц до 3000 ГГц) или СВЧ (сверхвысокие частоты – от 300 МГц
до 300 ГГц. Для построения глобальных каналов этот вид среды пе-
редачи данных используется широко – на нем построены спутнико-
вые каналы связи и наземные радиорелейные каналы, работающие в
зонах прямой видимости в СВЧ-диапазонах. Об основных особенно-
стях технологии Wi-Fi речь пойдет ниже (см. подглавы 7.4, 9.5 и 11.2).
Очень важно правильно построить фундамент сети – кабельную
систему. В последнее время в качестве такой надежной основы все
чаще используется структурированная кабельная система.
Структурированная кабельная система (Structured Cabling

System, SCS) – это набор коммутационных элементов (кабе-
лей, разъемов, коннекторов, кроссовых панелей и шкафов),
а также методика их совместного использования, которая поз-
воляет создавать регулярные, легко расширяемые структуры
связей в вычислительных сетях.
Преимущества структурированной кабельной системы

1. Универсальность. Структурированная кабельная система при
продуманной организации может стать единой средой для передачи
компьютерных данных в локальной вычислительной сети.
2. Увеличение срока службы. Срок старения хорошо структури-
рованной кабельной системы может составлять 8–10 лет.
3. Уменьшение стоимости добавления новых пользователей и
изменения их мест размещения. Стоимость кабельной системы в ос-
новном определяется не стоимостью кабеля, а стоимостью работ по
его прокладке.
4. Возможность легкого расширения сети. Структурированная
кабельная система является модульной, поэтому ее легко наращивать,
позволяя легко и ценой малых затрат переходить на более совершен-
ное оборудование, удовлетворяющее растущим требованиям к си-
стемам коммуникаций.
5. Обеспечение более эффективного обслуживания. Структури-
рованная кабельная система облегчает обслуживание и поиск неис-
правностей.
6. Надежность. Структурированная кабельная система имеет

повышенную надежность, поскольку обычно производство всех ее
компонентов и техническое сопровождение осуществляется одной
фирмой-производителем.
7.2.2. Стандарты кабелей
Кабель – это достаточно сложное изделие, состоящее из провод-

ников, слоев экрана и изоляции.
Обычно кабели присоединяются к оборудованию с помощью
разъемов. Кроме того, для обеспечения быстрой перекоммутации
кабелей и оборудования используются различные электромеханиче-
ские устройства, называемые кроссовыми секциями, кроссовыми
коробками или шкафами.
В компьютерных сетях применяются кабели, удовлетворяющие
определенным стандартам, что позволяет строить кабельную систему
сети из кабелей и соединительных устройств разных производите-
лей. Сегодня наиболее употребительными в мировой практике яв-
ляются следующие стандарты.
1. Американский стандарт EIA/TIA-568A, который был разрабо-
тан совместными усилиями нескольких организаций: ANSI, EIA/TIA
и лабораторией Underwriters Labs (UL). Стандарт EIA/TIA-568А раз-
работан на основе предыдущей версии стандарта EIA/TIA-568 и до-
полнений к этому стандарту TSB-36 и TSB-40A).
2. Международный стандарт ISO/IEC 11801.
3. Европейский стандарт EN50173.
Эти стандарты близки между собой и по многим позициям предъ-
являют к кабелям идентичные требования. Однако есть и различия
между этими стандартами, например, в международные стандарты
ISO11801 и европейский EN50173 вошли некоторые типы кабелей,
которые отсутствуют в стандарте EIA/TIA-568A.
До появления стандарта EIA/TIA большую роль играл амери-
канский стандарт системы категорий кабелей Underwriters Labs, раз-
работанный совместно с компанией Anixter. Позже этот стандарт во-
шел в стандарт EIA/TIA-568.
Кроме этих открытых стандартов, многие компании в свое время
разработали свои фирменные стандарты, из которых до сих пор имеет
практическое значение только один – стандарт компании IBM.
При стандартизации кабелей принят протокольно-независимый

подход. Это означает, что в стандарте оговариваются электрические,
оптические и механические характеристики, которым должен удовле-
творять тип кабеля или соединительного изделия – разъема, кроссо-
вой коробки и т. п. Однако для какого протокола предназначен данный
кабель, стандарт не оговаривает. Поэтому нельзя приобрести кабель
для протокола Ethernet или FDDI, нужно просто знать, какие типы
стандартных кабелей поддерживают протоколы Ethernet и FDDI.
В ранних версиях стандартов определялись только характери-
стики кабелей, без соединителей. В последних версиях стандартов
появились требования к соединительным элементам (документы
TSB-36 и TSB-40A, вошедшие затем в стандарт 568А), а также к ли-
ниям (каналам), представляющим типовую сборку элементов кабель-
ной системы, состоящую из шнура от рабочей станции до розетки,
самой розетки, основного кабеля (длиной до 90 м для витой пары),
точки перехода (например, еще одной розетки или жесткого крос-
сового соединения) и шнура до активного оборудования, например
концентратора или коммутатора.
Мы остановимся только на основных требованиях к самим ка-
белям, не рассматривая характеристик соединительных элементов
и собранных линий.
В стандартах кабелей оговаривается достаточно много характе-
ристик, из которых наиболее важные перечислены ниже.
1. Затухание (Attenuation). Затухание измеряется в децибелах на
метр для определенной частоты или диапазона частот сигнала (напо-
минание: увеличение/уменьшение величины тока или напряжения на
1 дБ означает соответственно их увеличение/уменьшение в 1,122 раза).
2. Перекрестные наводки на ближнем конце (Near End Cross Talk,
NEСT). Измеряются в децибелах для определенной частоты сигнала.
3. Импеданс (Impedance – волновое сопротивление) – это полное
(активное и реактивное) сопротивление в электрической цепи. Им-
педанс измеряется в омах (Ом) и является относительно постоянной
величиной для кабельных систем (например, для коаксиальных ка-
белей, используемых в стандартах Ethernet, импеданс кабеля должен
составлять 50 Ом). Для неэкранированной витой пары наиболее часто
используемые значения импеданса – 100 и 120 Ом. В области высо-
ких частот (100–200 МГц) импеданс зависит от частоты.
4. Активное сопротивление – это сопротивление постоянному
току в электрической цепи. Активное сопротивление, в отличие от
импеданса, не зависит от частоты и возрастает с увеличением длины

кабеля.
5. Емкость – это свойство металлических проводников накап-
ливать энергию. Два электрических проводника в кабеле, разделен-
ные диэлектриком, представляют собой конденсатор, способный на-
капливать заряд. Емкость является нежелательной величиной, поэто-
му следует стремиться к тому, чтобы она была как можно меньше
(иногда применяют термин «паразитная емкость»). Высокое значе-
ние емкости в кабеле приводит к искажению сигнала и ограничивает
полосу пропускания линии.
6. Уровень внешнего электромагнитного излучения, или электри-
ческий шум. Электрический шум – нежелательное переменное на-
пряжение в проводнике. Он бывает двух типов: фоновый и импульсный.
Электрический шум можно также разделить на низко-, средне-
и высокочастотный. Источниками фонового электрического шума
в диапазоне до 150 кГц являются линии электропередачи, телефоны
и лампы дневного света; в диапазоне от 150 кГц до 20 МГц – ком-
пьютеры, принтеры, ксероксы; в диапазоне от 20 МГц до 1 ГГц – те-
левизионные и радиопередатчики, микроволновые печи. Основными
источниками импульсного электрического шума являются моторы,
переключатели и сварочные агрегаты. Электрический шум измеря-
ется в милливольтах.
7. Диаметр, или площадь сечения проводника. Для медных про-
водников достаточно употребительной является американская систе-
ма AWG (American Wire Gauge), которая вводит некоторые условные
типы проводников, например 22 AWG, 24 AWG, 26 AWG. Чем больше
номер типа проводника, тем меньше его диаметр. В вычислительных
сетях наиболее употребительными являются типы проводников, при-
веденные выше в качестве примеров. В европейских и международ-
ных стандартах диаметр проводника указывается в миллиметрах.
Основное внимание в современных стандартах уделяется кабе-
лям на основе витой пары и волоконно-оптическим кабелям.
7.2.3. Кабель «витая пара»
Витой парой (Twisted Pair) называется кабель, в котором изо-

лированная пара проводников скручена с небольшим числом витков
на единицу длины (рис. 7.1).
Изоляция Проводник
Кабельный (жила)
сердечник
Внешняя
оболочка
Разрывная
нить
Отдельная
пара
Рис. 7.1. Структура кабеля типа «витая пара»
Скручивание проводов уменьшает электрические помехи извне

при распространении сигналов по кабелю, а экранированные витые
пары еще более увеличивают степень помехозащищенности сигналов.
Кабель типа «витая пара» используется во многих сетевых тех-
нологиях, включая Ethernet, ARCNet и IBM Token Ring.
Кабели «витая пара» подразделяются на неэкранированные
(Unshielded Twisted Pair, UTP) и экранированные медные кабели.
Последние подразделяются на две разновидности: с экранированием
каждой пары и общим экраном (Shielded Twisted Pair, STP) и с од-
ним только общим экраном (Foiled Twisted Pair, FTP) (рис. 7.2).
Кабель «витая пара»
Неэкранированные (UTP) Экранированные медные

медные кабели кабели
STP – Shielded FTP – Foiled

Twisted Pair Twisted Pair
Рис. 7.2. Типы кабелей «витая пара»

Наличие или отсутствие экрана у кабеля говорит не о защите

передаваемых данных, а о различных подходах к подавлению помех.
Отсутствие экрана делает неэкранированные кабели более гибкими
и устойчивыми к изломам. Кроме того, они не требуют дорогосто-
ящего контура заземления для эксплуатации в нормальном режиме,
как экранированные. Неэкранированные кабели идеально подходят
для прокладки в помещениях внутри офисов, а экранированные лучше
использовать для установки в местах с особыми условиями эксплуа-
тации, например рядом с очень сильными источниками электромаг-
нитных излучений, которых в офисах обычно нет.
Кабели на основе неэкранированной витой пары. Медный не-
экранированный кабель UTP в зависимости от электрических и ме-
ханических характеристик разделяется на 5 категорий (Category 1 –
Сategory 5). Кабели категорий 1 и 2 были определены в стандарте
EIA/TIA-568 (Electronic Industries Alliance, EIA – альянс отраслей
электронной промышленности США), но в стандарт 568А уже не
вошли как устаревшие.
Кабели категории 1 применяются там, где требования к скорости
передачи минимальны. Обычно это кабель для цифровой и аналоговой
передачи голоса и низкоскоростной (до 20 Кбит/с) передачи данных.
До 1983 г. это был основной тип кабеля для телефонной разводки.
Кабели категории 2 были впервые применены фирмой IBM при
построении собственной кабельной системы. Главное требование к
ним – способность передавать сигналы со спектром до 1 МГц.
Кабели категории 3 были стандартизованы в 1991 г., когда был
разработан Стандарт телекоммуникационных кабельных систем
для коммерческих зданий (EIA-568), на основе которого затем был со-
здан действующий стандарт EIA-568A. Данный стандарт определил
электрические характеристики кабелей категории 3 для частот в диа-
пазоне до 16 МГц, поддерживающих, таким образом, высокоскорост-
ные сетевые приложения. Кабель категории 3 предназначен как для
передачи данных, так и для передачи голоса. Шаг скрутки проводов
равен примерно 3 витка на 1 фут (30,5 см). Кабели категории 3 сей-
час составляют основу многих кабельных систем зданий, в которых
они используются для передачи и голоса, и данных.
Кабели категории 4 представляют собой несколько улучшенный
вариант кабелей категории 3. Кабели категории 4 обязаны выдер-
живать тесты на частоте передачи сигнала 20 МГц и обеспечивать
повышенную помехоустойчивость и низкие потери сигнала. Кабели
категории 4 хорошо подходят для применения в системах с увели-

ченными расстояниями (до 135 м) и в сетях Token Ring с пропускной
способностью 16 Мбит/с. На практике используются редко.
Кабели категории 5 были разработаны для поддержки высокоско-
ростных протоколов, поэтому характеризуются частотой до 100 МГц.
Большинство новых высокоскоростных стандартов ориентируются
на использование витой пары категории 5. На этом кабеле работают
протоколы со скоростью передачи данных 100 Мбит/с – FDDI (с фи-
зическим стандартом TP-PMD), Fast Ethernet, 100VG-AnyLAN, а также
более скоростные протоколы – ATM на скорости 155 Мбит/с и Gi-
gabit Ethernet на скорости 1000 Мбит/с (вариант Gigabit Ethernet на
витой паре категории 5 стал стандартом в июне 1999 г.). Кабель ка-
тегории 5 пришел на замену кабелю категории 3, и сегодня многие
новые кабельные системы крупных зданий строятся именно на этом
типе кабеля (в сочетании с волоконно-оптическим).
Кабели CAT5 выпускаются в 4-парном исполнении. Каждая из
четырех пар кабеля имеет определенный цвет и шаг скрутки. Обычно
две пары предназначены для передачи данных, а две – для передачи
голоса. Во время эксплуатации двух пар, скорость передачи будет
100 Мбит/с. Частотная полоса – 100 МГц. CAT5е – наиболее ис-
пользуемый вид кабеля, насчитывает четыре пары, применяется при
конструировании сетей 100/1000 Мбит/с. Во время задействования
двух пар, скорость передачи составляет 100 Мбит/с, а если задейство-
ваны все четыре пары – 1000 Мбит/с. Частотная полоса – 100 МГц.
CAT6 – находит применение в сетях Fast Ethernet (100 Мбит/с),
Gigabit Ethernet (1000 Мбит/с), передает сигнал на скорости до 10 Гбит/с.
Частотная полоса – 250 МГц. Также существует подкатегория CAT6a,
которая характеризуется частотной полосой до 500 МГц и обеспечи-
вает скорость передачи до 10 Гбит/с на расстоянии 100 м.
В кабелях CAT7 во время работы на частоте до 600 МГц скорость
передачи доходит до 10 Гбит/с. Максимальная длина передачи сигнала
обеспечивается тем, что кабели категории 7 обязательно экраниру-
ются, причем используется двойное экранирование, т. е. как каждая
пара, так и весь кабель в целом. Также известна подкатегория CAT7a,
характеризующаяся частотой до 1200 МГц и скоростью передачи до
40 Гбит/с при условии использования кабеля длиной не более 50 м,
а также скоростью передачи до 100 Гбит/с на расстоянии до 15 м.
В табл. 7.1 представлены обобщенные характеристики кабеля
типа «витая пара» в зависимости от категории.
Таблица 7.1
Категории кабеля «витая пара»
Категория Полоса частот, Тип
Скорость передачи данных Назначение и конструкция
кабеля МГц, не более кабеля
CAT1 0,1 – UTP Передача речевого сигнала, телефонный кабель
типа «лапша»
7.2. Кабельные системы
CAT2 1 4 Мбит/с UTP 2 пары проводников, сейчас не применяется

CAT3 16 10 Мбит/с на расстояние до 100 м UTP 4-парный кабель для телефонных и локальных
сетей
CAT4 20 16 Мбит/с UTP 4-парный кабель, сейчас не применяется. При-
менялся в сетях Token Ring
CAT5 100 100 Мбит/с при использовании 2 пар UTP 4-парный кабель для телефонных и локальных
1000 Мбит/с при использовании 4 пар сетей
CAT5e 125 100 Мбит/с при использовании 2 пар UTP 4-парный кабель для компьютерных сетей, пред-
1000 Мбит/с при использовании 4 пар на ставлящий доработанный вариант CAT5. Обес-
расстояние до 100 м печивает аналогичную скорость при меньших га-
10 000 Мбит/с при использовании 4 пар на баритах
расстояние до 55 м
CAT6 250 1000 Мбит/с при использовании 4 пар UTP 4-парный кабель для компьютерных сетей
10 000 Мбит/с – до 50 м
CAT6a 500 До 10 Гбит/с на расстояние 100 м UTP 4-парный кабель высокоскоростных линий Ин-
тернета
CAT7 600 До 10 Гбит/с S/FTP 4-парный кабель высокоскоростных линий Ин-
тернета
CAT7а 1200 До 40 Гбит/с на расстояние до 50 м S/FTP 4-парный кабель высокоскоростных линий Ин-
До 100 Гбит/с на расстояние до 15 м тернета
257
Для соединения кабелей с оборудованием используются вилки

и розетки RJ-45, представляющие 8-контактные разъемы, похожие
на обычные телефонные разъемы RJ-11.
Кабели на основе экранированной витой пары. Экранированная
витая пара STP хорошо защищает передаваемые сигналы от внешних
помех, а также меньше излучает электромагнитных колебаний, что
защищает пользователей сетей от вредного для здоровья излучения.
Наличие заземляемого экрана удорожает кабель и усложняет его
прокладку, так как требует выполнения качественного заземления.
Экранированный кабель применяется только для передачи данных,
а голос по нему не передают.
Основным стандартом, определяющим параметры экранирован-
ной витой пары, является фирменный стандарт IBM. В этом стандарте
кабели делятся не на категории, а на типы: Туре 1, Туре 2, ..., Туре 9.
Основным типом экранированного кабеля является кабель Туре 1
стандарта IBM. Он состоит из двух пар скрученных проводов, экра-
нированных проводящей оплеткой, которая заземляется. Электриче-
ские параметры кабеля Туре 1 примерно соответствуют параметрам
кабеля UTP категории 5. Некоторые стандарты поддерживают кабель
STP Туре 1, например, 100VG-AnyLAN, а также Fast Ethernet (хотя ос-
новным типом кабеля для Fast Ethernet является UTP категории 5).
В случае если технология может использовать UTP и STP, нужно
убедиться, на какой тип кабеля рассчитаны приобретаемые транси-
веры. Сегодня кабель STP Type 1 включен в стандарты EIA/TIA-568A,
ISO 11801 и EN 50173, т. е. приобрел международный статус.
Экранированные витые пары используются также в кабеле IBM
Type 2, который представляет кабель Туре 1 с добавленными двумя
парами неэкранированного провода для передачи голоса.
Для присоединения экранированных кабелей к оборудованию
используются разъемы конструкции IBM.
7.2.4. Коаксиальные кабели
Коаксиальные кабели (рис. 7.3) используются в радио- и теле-

визионной аппаратуре.
Коаксиальные кабели могут передавать данные со скоростью
10 Мбит/с на расстояние до 500 м. Они разделяются на толстые и
тонкие – в зависимости от толщины.
Внешняя оболочка
Медный
провод
Металлическая
оплетка
Внутренняя изоляция
Рис. 7.3. Структура коаксиального кабеля
Типы коаксиальных кабелей приведены в табл. 7.2.
Таблица 7.2
Типы коаксиальных кабелей
Тип Название, значение сопротивления
RG-8 и RG-11 Thicknet, 50 Ом
RG-58 U Thinnet, 50 Ом, сплошной центральный медный проводник
RG-58 А/U Thinnet, 50 Ом, центральный многожильный проводник
RG-59 Broadband/Cable television (широковещательное и кабельное те-
левидение), 75 Ом
RG-59 U Broadband/Cable television (широковещательное и кабельное те-
левидение), 50 Ом
RG-62 ARCNet, 93 Ом
Кабель Thinnet, известный как кабель RG-58, является наиболее

широко используемым физическим носителем данных. Сети при этом
не требуют дополнительного оборудования и являются простыми и
недорогими. Хотя тонкий коаксиальный кабель (Thin Ethernet) поз-
воляет осуществлять передачу на меньшее расстояние, чем толстый,
для соединений с тонким кабелем применяются стандартные байо-
нетные разъемы BNC типа СР-50, и ввиду его небольшой стоимости
он становится фактически стандартным для офисных ЛВС. Исполь-
зуется в технологии Ethernet 10Base2, описанной ниже.
Толстый коаксиальный кабель (Thick Ethernet) имеет большую
степень помехозащищенности, большую механическую прочность,
но требует специального приспособления для прокалывания кабеля,
чтобы создать ответвления для подключения к ЛВС. Он более доро-
гой и менее гибкий, чем тонкий. Используется в технологии Ethernet
10Base5, описанной ниже. Сети ARCNet с передачей маркера обычно
используют кабель RG-62 А/U.
Рассмотрим основные параметры систем на основе коаксиаль-

ных кабелей.
1. Характеристики спецификации 10Base2:
− тонкий коаксиальный кабель;
− характеристики кабеля: диаметр 0,2 дюйма, RG-58 A/U, 50 Ом;
− приемлемые разъемы – BNC;
− максимальная длина сегмента – 185 м;
− минимальное расстояние между узлами – 0,5 м;
− максимальное число узлов в сегменте – 30.
2. Характеристики спецификации 10Base5:
− толстый коаксиальный кабель;
− волновое сопротивление – 50 Ом;
− максимальная длина сегмента – 500 м;
− минимальное расстояние между узлами – 2,5 м;
− максимальное число узлов в сегменте – 100.
7.2.5. Оптоволоконный кабель. Общие принципы
Волоконно-оптические линии связи – это вид связи, при ко-

тором информация передается по оптическим диэлектрическим вол-
новодам, известным под названием оптическое волокно.
Оптическое волокно в настоящее время считается самой совер-
шенной физической средой для передачи информации, а также самой
перспективной средой для передачи больших потоков информации
на значительные расстояния.
Основания так считать вытекают из ряда особенностей, прису-
щих оптическим волноводам.
Физические особенности. Широкополосность оптических сиг-
налов обусловлена чрезвычайно высокой частотой несущей (F0 =
= 1014 Гц). Это означает, что по оптической линии связи можно пере-
давать информацию со скоростью порядка 1000 Мбит/с. Говоря дру-
гими словами, по одному волокну можно передать одновременно
10 млн телефонных разговоров и миллион видеосигналов. Скорость
передачи данных может быть увеличена за счет передачи информа-
ции сразу в двух направлениях, так как световые волны могут рас-
пространяться в одном волокне независимо друг от друга. На сего-
дняшний день предел по плотности передаваемой информации по
оптическому волокну не достигнут.
Очень малое (по сравнению с другими средами) затухание све-

тового сигнала в волокне. Лучшие образцы российского волокна
имеют затухание 0,22 дБ/км на длине волны 1,55 мкм, что позволяет
строить линии связи длиной до 100 км без регенерации сигналов (про-
межуточного усиления). Для сравнения, лучшее волокно Sumitomo на
длине волны 1,55 мкм имеет затухание 0,154 дБ/км. В лабораториях
разрабатываются еще более «прозрачные», так называемые фтор-
цирконатные волокна с теоретическим пределом порядка 0,02 дБ/км
на длине волны 2,5 мкм. Лабораторные исследования показали, что
на основе таких волокон могут быть созданы линии связи с регенера-
ционными участками через 4600 км при скорости передачи порядка
1 Гбит/с.
Технические особенности и преимущества оптических во-
локон. Волокно изготовлено из кварца, основу которого составляет
двуокись кремния, широко распространенного, а потому недорогого
материала, в отличие от меди.
Оптические волокна имеют диаметр около 100 мкм, т. е. очень
компактны и легки, что делает их перспективными для использова-
ния в авиации, приборостроении, кабельной технике.
Применяя особо прочный пластик, на кабельных заводах изго-
тавливают самонесущие подвесные кабели, не содержащие металла
и тем самым безопасные в электрическом отношении. Такие кабели
можно монтировать на мачтах существующих линий электропередач,
как отдельно, так и встроенными в фазовый провод, экономя значи-
тельные средства на прокладку кабеля через реки и другие преграды.
Системы связи на основе оптических волокон устойчивы к элек-
тромагнитным помехам, а передаваемая по световодам информация
защищена от несанкционированного доступа. Волоконно-оптические
линии связи нельзя прослушивать, не разрушив поверхность канала.
Всякие воздействия на волокно могут быть зарегистрированы мето-
дом мониторинга (непрерывного контроля) целостности линии. Важ-
ное свойство оптического волокна – долговечность. Время жизни во-
локна, т. е. сохранение им своих свойств в определенных пределах,
превышает 25 лет, что позволяет проложить оптико-волоконный
кабель один раз и по мере необходимости наращивать пропускную
способность канала путем замены приемников и передатчиков на
более быстродействующие.
Недостатки волоконной технологии. При создании линии свя-
зи требуются высоконадежные активные элементы, преобразующие
электрические сигналы в свет и свет в электрические сигналы. Необ-

ходимы также оптические коннекторы (соединители) с малыми оп-
тическими потерями и большим ресурсом на подключение-отклю-
чение. Точность изготовления таких элементов линии связи должна
соответствовать длине волны излучения, т. е. погрешности должны
быть порядка доли микрона. Поэтому производство таких компонен-
тов оптических линий связи очень дорогостоящее. Другой недостаток
заключается в том, что для монтажа оптических волокон требуется
прецизионное (высокоточное), а потому дорогое технологическое
оборудование. Как следствие, при аварии (обрыве) оптического кабеля
затраты на восстановление выше, чем при работе с медными кабелями.
Преимущества от применения волоконно-оптических линий
связи (ВОЛС) настолько значительны, что, несмотря на перечислен-
ные недостатки оптического волокна, эти линии связи все шире ис-
пользуются для передачи информации.
Структура оптоволокна. Волоконно-оптический кабель состоит
из тонких (5–60 мкм) волокон, по которым распространяются свето-
вые сигналы. Это наиболее качественный тип кабеля – он обеспечи-
вает передачу данных с очень высокой скоростью и лучше других ти-
пов передающей среды обеспечивает защиту данных от внешних помех.
Волоконно-оптические кабели состоят из центрального провод-
ника света (сердцевины) – стеклянного волокна, окруженного дру-
гим слоем стекла – оболочкой, обладающей меньшим показателем
преломления, чем сердцевина (рис. 7.4). Распространяясь по серд-
цевине, лучи света не выходят за ее пределы, отражаясь от покры-
вающего слоя оболочки.
Оптическое Внешняя
волокнок (жила) Стеклянная защитная
оболочка облочка
Коннекторы
Кевлар
Рис. 7.4. Структура оптоволокна и оптоволоконного кабеля
В зависимости от распределения показателя преломления и ве-

личины диаметра сердечника различают:
− многомодовое волокно со ступенчатым изменением показа-
теля преломления (рис. 7.5, а);
− многомодовое волокно с плавным изменением показателя пре-
ломления (рис. 7.5, б);
− одномодовое волокно (рис. 7.5, в).
Показатель
преломления
40–100 мкм Мода 1
Мода 2
Сердечник
Покрытие
а
40–100 мкм
Мода 1
Мода 2
5–10 мкм
в
Рис. 7.5. Типы оптоволоконного кабеля:
а – многомодовое волокно со ступенчатым изменением показателя
преломления; б – многомодовое волокно с плавным изменением
показателя преломления; в – одномодовое оптоволокно
Понятие «мода» описывает режим распространения световых

лучей во внутреннем сердечнике кабеля.
В одномодовом кабеле (Single Mode Fiber, SMF) используется
центральный проводник очень малого диаметра, соизмеримого с
длиной волны света от 5 до 10 мкм. При этом практически все лучи

света распространяются вдоль оптической оси световода, не отража-
ясь от внешнего проводника.
В многомодовых кабелях (Multi Mode Fiber, MMF) используются
более широкие внутренние сердечники, которые легче изготовить
технологически. В стандартах определены два наиболее употреби-
тельных многомодовых кабеля: 62,5/125 и 50/125 мкм, где 62,5 или
50 мкм – это диаметр центрального проводника, а 125 мкм – диа-
метр внешнего проводника.
В многомодовых кабелях во внутреннем проводнике одновре-
менно существует несколько световых лучей, отражающихся от внеш-
него проводника под разными углами. Угол отражения луча называ-
ется модой луча.
Параметры оптоволоконных кабелей. Оба типа волокна ха-
рактеризуются двумя важнейшими параметрами: затуханием и дис-
персией.
Затухание – параметр, определяемый потерями на поглощение
и на рассеяние излучения в оптическом волокне (измеряется в де-
цибелах на километр (дБ/км)). Потери на поглощение зависят от чи-
стоты материала, потери на рассеяние – от неоднородностей пока-
зателя преломления материала и т. д.
Затухание также зависит от длины волны излучения, вводимого
в волокно. В настоящее время передачу сигналов по волокну осуще-
ствляют в трех диапазонах: 0,85, 1,3 и 1,55 мкм, так как именно в
этих диапазонах кварц имеет повышенную прозрачность.
Дисперсия – это рассеяние во времени спектральных и модовых
составляющих оптического сигнала.
7.2.6. Виды оптоволоконных кабелей
В сравнении с витой парой, которая вне зависимости от места

применения имеет примерно одну и ту же конструкцию, оптоволо-
конные кабели связи могут иметь значительные отличия исходя из
сферы применения и места укладки.
Можно выделить следующие основные виды оптоволоконных
кабелей для передачи данных исходя из области применения:
− для прокладки внутри зданий;
− для кабельной канализации небронированный;
− для кабельной канализации бронированный;

− для укладки в грунт;
− подвесной самонесущий;
− с тросом;
− подводный.
Наиболее простой конструкцией обладают кабели для прокладки
внутри зданий и канализационный небронированный, а самыми слож-
ными – для прокладки в землю и подводные.
Кабель для прокладки внутри зданий. Оптические кабели для
прокладки внутри зданий (рис. 7.6) разделяют на распределитель-
ные, из которых формируется сеть в целом, и абонентские, которые
используются непосредственно для прокладки по помещению к ко-
нечному потребителю.
Как и витую пару, оптику прокладывают в кабельных лотках,
кабель-каналах, а некоторые марки могут быть протянуты и по внеш-
ним фасадам зданий.
Рис. 7.6. Оптоволоконный кабель

для прокладки внутри зданий
Конструкция оптоволоконных кабелей для прокладки в зда-

ниях включает в себя оптическое волокно, защитное покрытие и
центральный силовой элемент, например пучок арамидных ни-
тей. К оптоволокну, которое прокладывается в помещениях, есть
особые требования по противопожарной безопасности, такие как
нераспространение горения и низкое дымовыделение, поэтому
в качестве оболочки для них используется не полиэтилен, а по-
лиуретан.
Другие требования – это низкая масса кабеля, гибкость и не-
большой размер. По этой причине многие модели имеют облегчен-
ную конструкцию, иногда с дополнительной защитой от влаги. Так
как протяженность оптики внутри зданий обычно невелика, то и за-
тухание сигнала незначительно, и влияние на передачу данных оно
не оказывает. Число оптических волокон в таких кабелях не превы-
шает двенадцати.
Также существует и оптоволоконный кабель, который содержит

в себе дополнительно еще и витую пару.
Небронированный канализационный кабель. Небронированное
оптоволокно (рис. 7.7) используется для укладки в канализации при
условии, что на нее не будет внешних механических воздействий.
Также подобный кабель прокладывается в тоннелях, коллекторах и
зданиях.
Рис. 7.7. Небронированный оптоволоконный кабель
Но даже в случаях отсутствия внешнего воздействия на кабель

в канализации, его могут укладывать в защитные полиэтиленовые
трубы. Характерной особенностью данного типа оптоволоконного
кабеля можно назвать наличие гидрофобного наполнителя, который
гарантирует возможность эксплуатации в условиях канализации и
дает некоторую защиту от влаги.
Бронированный канализационный кабель. Бронированные оп-
товолоконные кабели (рис. 7.8) используются при наличии больших
внешних нагрузок, в особенности на растяжение.
Рис. 7.8. Бронированный оптоволоконный кабель
Бронирование может быть различным, ленточным или прово-

лочным, последнее подразделяется на одно- и двухповивное. Ка-
бели с ленточным бронированием используются в менее агрессив-
ных условиях, например при прокладке в кабельной канализации,
трубах, тоннелях, на мостах. Ленточное бронирование представ-
ляет собой стальную гладкую или гофрированную трубку толщи-
ной 0,15–0,25 мм. Гофрирование при условии, что это единствен-
ный слой защиты кабеля, является предпочтительным, так как
оберегает оптоволокно от грызунов и в целом повышает гибкость
кабеля. При более суровых условиях эксплуатации, например при

закладке в грунт или на дно рек, используются кабели с проволоч-
ной броней.
Кабель для укладки в грунт. Для прокладки в грунт использу-
ют оптические кабели (рис. 7.9) с проволочной одноповивной или
двухповивной броней. Также применяются и усиленные кабели с
ленточным бронированием, но значительно реже. Прокладка опти-
ческого кабеля осуществляется в траншею или с помощью кабеле-
укладчиков.
Рис. 7.9. Бронированный оптоволоконный кабель

для укладки в грунт
В условиях влажного грунта используется модель кабеля, опто-

волоконная часть которого заключена в герметичную металлическую
трубку, а бронеповивы проволоки пропитаны специальным водоот-
талкивающим компаундом. Инженеры, работающие на укладке ка-
беля, не должны допускать превышения растягивающих и сдавли-
вающих нагрузок сверх допустимых. В противном случае сразу или
со временем могут быть повреждены оптические волокна, что при-
ведет кабель в негодность.
Броня влияет и на значение допустимого усилия на растяжение.
Оптоволоконные кабели с двухповивной броней могут выдержать
усилие от 80 кН, одноповивные – от 7 до 20 кН, а ленточная бро-
ня гарантирует «выживание» кабеля при нагрузке не менее 2,7 кН
(напомним: кН – килоньютон – единица силы в системе СИ; 1 Н –
величина, определяемая как сила, изменяющая за 1 с скорость тела
массой 1 кг на 1 м/с в направлении действия силы; таким образом,
1 Н = 1 кг·м/с2).
Подвесной самонесущий кабель. Подвесные самонесущие ка-
бели (рис. 7.10) монтируются на уже существующих опорах воздуш-
ных линий связи и высоковольтных ЛЭП.
Подвесные самонесущие кабели имеют стандартную круглую
форму, благодаря которой снижаются ветровые нагрузки на конструк-
цию, а расстояние пролета между опорами может достигать ста и
более метров. В конструкции самонесущих подвесных оптических

кабелей обязательно присутствует центральный силовой элемент,
изготовленный из стеклопластика или арамидных нитей. Благодаря
последним оптоволоконный кабель выдерживает высокие продоль-
ные нагрузки. Подвесные самонесущие кабели с арамидным нитями
используют в пролетах до одного километра. Еще одно преимущество
арамидных нитей, кроме их прочности и малом весе, заключается в
том, что арамид по природе своей является диэлектриком, т. е. ка-
бели, изготовленные на его основе безопасны, например при попа-
дании молнии.
Рис. 7.10. Подвесной самонесущий кабель
В зависимости от строения сердечника различают несколько ти-

пов подвесного кабеля:
− кабель с профилированным сердечником – содержит оптиче-
ские волокна или модули с этими волокнами – кабель устойчив к
растяжению и сдавливанию;
− кабель со скрученными модулями – содержит оптические во-
локна, свободно уложенные, кабель устойчив к растяжениям;
− кабель с одним оптическим модулем – сердечник данного типа
кабеля не имеет силовых элементов, поскольку они находятся в обо-
лочке. Такие кабели обладают недостатком, связанным с неудобством
идентификации волокон. Тем не менее они обладают меньшим диа-
метром и более доступной ценой.
Оптический кабель с тросом. Оптические кабели с тросом
(рис. 7.11) – это разновидность самонесущих кабелей, которые также
используются для воздушной прокладки.
Рис. 7.11. Подвесной оптоволоконный кабель с тросом

В таком изделии трос может быть несущим и навивным. Еще су-

ществуют модели, в которых оптика встроена в грозозащитный трос.
Усиление оптического кабеля тросом (профилированным сер-
дечником) считается достаточно эффективным методом. Сам трос
представляет собой стальную проволоку, заключенную в отдель-
ную оболочку, которая в свою очередь соединяется с оболочкой ка-
беля. Свободное пространство между ними заполняется гидрофоб-
ным заполнителем.
Часто такую конструкцию оптического кабеля с тросом назы-
вают «восьмеркой» из-за внешнего сходства. «Восьмерки» приме-
няют для прокладки воздушных линий связи с пролетом не более
50–70 м. В эксплуатации подобных кабелей есть некоторые ограни-
чения, например, «восьмерку» со стальным тросом нельзя подвеши-
вать на ЛЭП.
Но кабели с навивным грозозащитным тросом (грозотросом)
спокойно монтируются на высоковольтных ЛЭП, крепясь при этом
к проводу заземления.
Подводный оптический кабель. Данный тип оптических кабе-
лей (рис. 7.12) стоит особняком, так как прокладывается в принци-
пиально иных условиях. Почти все типы подводных кабелей так или
иначе бронированы, а степень бронирования уже зависит от рельефа
дна и глубины залегания.
Рис. 7.12. Подводный оптоволоконный кабель
Различают следующие основные типы подводных кабелей (по

типу бронирования):
− не бронирован;
− одинарное (одноповивное) бронирование;
− усиленное (одноповивное) бронирование;
− усиленное стальное (двухповивное) бронирование.
Общая схема бронированных кабелей выглядит следующим об-
разом (рис. 7.13).
1
2 3
4 5
6
7 8
Рис. 7.13. Схема бронирования подводного оптоволоконного кабеля:

1 – полиэтиленовая изоляция; 2 – майларовое покрытие;
3 – двухповивное бронирование стальной проволокой; 4 – алюминиевая
гидроизоляционная трубка; 5 – поликарбонат; 6 – центральная медная
или алюминиевая трубка; 7 – внутримодульный гидрофобный заполнитель;
8 – оптические волокна
Как не парадоксально, прямой корреляции бронирования кабеля

с глубиной залегания нет, так как армирование защищает оптику не
от высоких давлений на глубине, а от воздействия морских обита-
телей, а также сетей, тралов и якорей рыболовецких судов.
7.3. Параметры кабельных систем Ethernet
7.3.1. Параметры систем на основе неэкранированной

витой пары
Неэкранированная витая пара (Unshielded Twisted Pair, UTP) –

это кабель из четырех скрученных пар проводов без защитного экрана.
Характеристики кабеля:
− диаметр проводников 0,4–0,6 мм (22~26 AWG), 4 скрученных
пары: 8 проводников, из которых для 10Base-T, 100Base-TX, 1000Base-TX
используют одну, две или четыре пары (кабель должен иметь кате-
горию 3, 5 или 6 и качество data grade или выше);
− максимальная длина сегмента 100 м;
− разъемы восьмиконтактные RJ-45 (рис. 7.14).
7.3. Параметры кабельных систем Ethernet 271
Рис. 7.14. Восьмиконтактные разъемы RJ-45
В табл. 7.3 приведены сигналы (спецификация 100Base-T), со-

ответствующие номерам контактов разъема RJ-45 (для специфика-
ции 1000Base-TХ используются все восемь контактов).
Таблица 7.3
Сигналы, соответствующие номерам контактов разъема RJ-45
Тип Каскадирование Нормальный режим
1 RD+ (прием) TD+ (передача)
2 RD– (прием) TD– (передача)
3 TD+ (передача) RD+ (прием)
4 Не используется Не используется
6 TD– (передача) RD– (прием)
7.3.2. Стандартные разводки кабеля типа «витая пара»
В настоящее время наиболее популярны две схемы – T568A и

T568B (рис. 7.15). Они идентичны в случае, если не используются
вторая и третья пары.
2 3
3 1 4 2 1 4
T568A T568B
Рис. 7.15. Схемы разводки витой пары
Предпочтительна первая схема, поскольку она совместима с од-

нопарной и двупарной конфигурацией системы USOC (Universal Ser-
vice Ordering Code, рис. 7.16).
4
3
2
1
USOC (4 пары)
Рис. 7.16. Двупарная конфигурация системы USOC
Однако обе схемы могут использоваться для линий ISDN (Inte-

grated Servises Digital Network), а также в высокоскоростных сетях.
Дело в том, что схемы разработаны таким образом, чтобы свести к
минимуму взаимные наводки в парах. А это необходимое условие для
категорий 3, 4, 5, 5e и 6. Поэтому при реализации высокоскоростных
сетей используют именно эти конфигурации.
7.3.3. Реализация сетевых топологий на основе стандартной

разводки
Топология сети 10Base-T реализуется с помощью 8-пинового

разъема по схожей схеме с T568A и T568B, однако на контакты вы-
водятся другие пары (рис. 7.17).
2
10 BASE-T (IEEE-802.3)
Рис. 7.17. Схема восьмипинового разъема для сетей 10BaseT
7.3. Параметры кабельных систем Ethernet 273
Если все же пользоваться стандартами T568, то в случае первой

пары (по версии 10Base-T) необходимо использовать 3/2-ю пару раз-
водки T568A/T568B, а в качестве второй 2/3-ю пару T568A/T568B.
Как и 10Base-T, ATM и TP-PMD (Twisted Pair-Physical Medium
Dependent) реализуются только на 8-пиновом разъеме с использо-
ванием двух пар, и точно также схема схожа со стандартными раз-
водками T568A и T568B (рис. 7.18).
1 2
TP-PMD (IEEE 802.3) ATM

Рис. 7.18. Схема восьмипинового разъема для стандарта TP-PMD
В данной разводке в случае первой пары (по версии 10Base-T)

необходимо использовать 3/2-ю пару разводки T568A/T568B, а в ка-
честве второй 4-ю пару T568A или T568B.
Еще одна разводка, косвенно совместимая с T568A/B, а также и
со схемой USOC – Token Ring (рис. 7.19).
Она строится на двух парах, занимающих центральные контакты.
Причем Token Ring может сразу строиться на основе схемы T568A
и USOC без каких-либо модификаций. В случае же использования
T568B необходимо в качестве второй пары применять 3-ю. MMJ –
частный стандарт для оборудования DEC, реализуется на 6-пиновом
модифицированном разъеме. Разводка не совместима ни с USOC, ни
с T568A/B. Первая пара выводится на 2-й и 3-й контакты, вторая –
на 4-й и 5-й, а третья пара занимает внешние, 1-й и 6-й, пины.
2
Token Ring (IEEE 802.5)

Рис. 7.19. Схема восьмипинового разъема для сетей Token Ring
7.3.4. Кросс-разводка кабеля типа «витая пара»
Термин кросс-разводка используется применительно к разводке

пар в патч-кордах. Всего существует две базовые кросс-разводки –
прямая и перекрестная (рис. 7.20).
Прямая кросс-разводка Перекрестная кросс-разводка

Рис. 7.20. Схема прямой
и перекрестной кросс-разводки
Их названия говорят сами за себя. В первом случае каждый про-

водник выводится строго на один и тот же контакт разъемов с обоих
концов кабеля. Таким образом, 1-й контакт с одного конца соединен
с 1-м на другом, 2-й со 2-м и так все пины. Патч-корды с подобной
разводкой используются в кроссировочных узлах. При соединении
с сетью оконечного оборудования, будь то персональный компью-
тер, факс и т. п., применяются патч-корды с перекрестной кросс-
разводкой. Конкретная схема перекрестной кросс-разводки зависит
от конкретной реализуемой сети, в частности, один из стандартов
предполагает образование перекрестной разводки за счет переме-
ны местами четырех пинов. Первый меняется с третьим, а второй
с шестым.
7.4. Беспроводные технологии передачи данных
Методы беспроводной (Wireless) технологии передачи данных

являются удобным, а иногда незаменимым средством связи. Беспро-
водные технологии различаются по типам сигнала, частоте (большая
частота означает большую скорость передачи) и расстоянию пере-
дачи. Большое значение имеют помехи и стоимость.
7.4. Беспроводные технологии передачи данных 275
Можно выделить три основных типа беспроводной технологии:

− радиосвязь;
− связь в микроволновом диапазоне;
− инфракрасная связь.
Технологии радиосвязи основаны на передаче данных на ра-

диочастотах и практически не имеют ограничений по даль-
ности. Радиосвязь используется для соединения локальных
сетей на больших географических расстояниях.
Радиопередача в целом имеет высокую стоимость и чувствитель-

на к электронному и атмосферному наложению, а также подвержена
перехватам, поэтому требует шифрования для обеспечения уровня
безопасности.
Передача данных в микроволновом диапазоне (Microwaves)

использует высокие частоты и применяется как на коротких,
так и на больших расстояниях. Главное ограничение заклю-
чается в том, чтобы передатчик и приемник были в зоне пря-
мой видимости.
Применяется в местах, где использование физического носителя

затруднено. Передача данных в микроволновом диапазоне при ис-
пользовании спутников может быть очень дорогой.
Инфракрасные технологии (Infrared Transmission), функци-

онируют на очень высоких частотах, приближающихся к ча-
стотам видимого света. Они могут быть использованы для
установления двусторонней или широковещательной пере-
дачи на близких расстояниях.
При инфракрасной связи обычно используют светодиоды (LED –

Light Emitting Diode) для передачи инфракрасных волн приемнику.
Инфракрасная передача ограничена малым расстоянием в прямой зоне
видимости и может быть использована в офисных зданиях.
В настоящее время наибольшее распространение получила так
называемая Wi-Fi-связь, базирующаяся на стандарте IEEE 802.11.
Wi-Fi-сеть (Wireless Local Area Network, WLAN) – это радио-

сеть, позволяющая передавать информацию между объектами по ра-
диоволнам (без проводов). Разработкой стандартов в этой области
занимается Wi-Fi Alliance.
WLAN-сети имеют ряд преимуществ перед обычными кабель-
ными сетями:
− WLAN-сеть можно очень быстро развернуть, что очень удобно
при проведении презентаций или в условиях работы вне офиса;
− пользователи мобильных устройств при подключении к ло-
кальным беспроводным сетям могут легко перемещаться в рамках
действующих зон сети;
− современные сети обладают довольно высокой скоростью
(до 300 Мб/с), что позволяет использовать их для очень широкого
спектра задач;
− с помощью дополнительного оборудования беспроводная сеть
может быть успешно соединена с кабельными сетями;
− WLAN-сеть может оказаться единственным выходом, если не-
возможна прокладка кабеля для обычной сети.
Несмотря на все достоинства, WLAN-сети обладают рядом

недостатков, главный из которых – возможность легкого пе-
рехвата данных и взлома сети.
7.4.1. Требования к беспроводным локальным сетям
Беспроводные сети должны удовлетворять некоторым требо-

ваниям, типичным для всех локальных сетей, в том числе: высокая
пропускная способность, возможность охвата небольших расстоя-
ний, связность подключенных станций и возможность широко-
вещания. Кроме того, существует набор требований, характерных
только для беспроводных локальных сетей. Перечислим важней-
шие из них.
1. Производительность. Протокол управления доступом к среде
должен максимально эффективно использовать беспроводную среду
для максимизации пропускной способности.
2. Число узлов. От беспроводных локальных сетей может требо-
ваться поддержка сотен узлов из множества ячеек.
3. Соединение с магистральной локальной сетью. В большин-

стве случаев требуется взаимосвязь со станциями магистральной
локальной сети. Для беспроводных локальных сетей, имеющих вну-
треннюю инфраструктуру, это требование легко удовлетворяется
посредством использования модулей управления, присоединяемых
к локальным сетям обоих типов. Может также понадобиться специ-
альное помещение для мобильных пользователей и организация эпи-
зодических беспроводных сетей.
4. Обслуживаемая область. Типичная сфера охвата беспровод-
ной локальной сети имеет диаметр 100–300 м.
5. Потребление питания от батарей. Мобильные сотрудники
используют рабочие станции с питанием от батарей, потребление
которого не должно быть большим при использовании беспровод-
ных адаптеров. Это делает неприменимым протокол MAC, требую-
щий, чтобы мобильные узлы постоянно следили за точками доступа
или часто связывались с основной станцией.
6. Устойчивость передачи и безопасность. Беспроводные сети,
если они разработаны неправильно, могут быть подвержены интер-
ференции (наложение сигналов) и легко прослушиваться. Структура
беспроводной локальной сети должна обеспечивать надежную пе-
редачу даже в обстановке шума, а также некоторый уровень зашиты
от прослушивания.
7. Совместная работа в сети. С ростом популярности беспро-
водных сетей повысилась вероятность того, что две или более сетей
будут работать в одной области или в нескольких областях, до-
пускающих интерференцию разных локальных сетей. Такая интер-
ференция может мешать нормальной работе алгоритма MAC и спо-
собствовать несанкционированному доступу к отдельной локаль-
ной сети.
8. Работа без лицензии. Пользователи желали бы приобретать
продукты рынка беспроводных локальных сетей и работать с ними
на нелицензируемой полосе частот.
9. Переключение/роуминг. Протокол MAC, используемый в бес-
проводных локальных сетях, должен позволять мобильным станциям
перемещаться из одной ячейки в другую.
10. Динамическая конфигурация. МАС-адресация и сетевое
управление локальной сети должны обеспечивать динамическое и
автоматическое добавление, удаление и передислокацию конечных
систем, не причиняя неудобств другим пользователям.
7.4.2. Стандарты беспроводных сетей IEEE 802.11
Существует несколько разновидностей WLAN-сетей, которые

различаются схемой организации сигнала, скоростями передачи дан-
ных, радиусом охвата сети, а также характеристиками радиопередат-
чиков и приемных устройств, параметрами передачи (шифрование,
кодирование и т. д.), методами взаимодействия оборудования.
Стандарт Wi-Fi 802.11a. Стандарт был принят в 1999 г., тем
не менее нашел свое применение только с 2001 г. Данный стандарт
используется в основном в США и Японии. В России и Европе он не
получил широкого распространения.
В стандарте 802.11a применяется схема модуляции сигнала –
мультиплексирование с разделением по ортогональным частотам
(Orthogonal Frequency Division Multiplexing, OFDM). Основной по-
ток данных разделяется на несколько параллельных субпотоков с
относительно низкой скоростью передачи, и затем для их модуляции
применяется соответствующее число несущих. Стандартом опреде-
лены три обязательные скорости передачи данных (6, 12 и 24 Мбит/с)
и пять дополнительных (9, 18, 24, 48 и 54 Мбит/с). Также имеется
возможность одновременного использования двух каналов, что по-
вышает скорость передачи данных в 2 раза.
Стандарт Wi-Fi 802.11b. Стандарт основан на методе широко-
полосной модуляции с прямым расширением спектра (Direct Sequence
Spread Spectrum, DSSS). Весь рабочий диапазон делится на 14 кана-
лов, разнесенных на 25 МГц для исключения взаимных помех. Дан-
ные передаются по одному из этих каналов без переключения на
другие. Возможно одновременное использование всего 3 каналов.
Скорость передачи данных может автоматически меняться в зави-
симости от уровня помех и расстояния между передатчиком и при-
емником.
Стандарт IEEE 802.11b реализует максимальную теоретическую
скорость передачи 11 Мбит/с, что сравнимо с кабельной сетью 10 BaseT
Ethernet. Следует учитывать, что такая скорость возможна при пере-
даче данных одним WLAN-устройством. Если в среде одновременно
функционирует большее число абонентских станций, то полоса про-
пускания распределяется между всеми и скорость передачи данных
на одного пользователя падает.
Стандарт Wi-Fi 802.11g. Стандарт окончательно был утвер-
жден в июне 2003 г. Он является дальнейшим усовершенствованием
спецификации IEEE 802.11b и реализует передачу данных в том же

частотном диапазоне. Главным преимуществом этого стандарта яв-
ляется повышенная пропускная способность − скорость передачи дан-
ных в радиоканале достигает 54 Мбит/с по сравнению с 11 Мбит/с в
802.11b. Как и IEEE 802.11b, новая спецификация функционирует в
диапазоне 2,4 ГГц, однако для повышения скорости используется та
же схема модуляции сигнала, что и в 802.11a − ортогональное частот-
ное мультиплексирование (OFDM).
Стандарт 802.11g совместим с 802.11b. Так, адаптеры 802.11b
могут работать в сетях 802.11g (но при этом не быстрее 11 Мбит/с),
а адаптеры 802.11g могут снижать скорость передачи данных до
11 Мбит/с для работы в старых сетях 802.11b.
Стандарт Wi-Fi 802.11n (Wi-Fi 4). Стандарт был ратифици-
рован 11 сентября 2009 г. Он увеличивает скорость передачи дан-
ных практически в 4 раза по сравнению с устройствами стандартов
802.11g (максимальная скорость которых равна 54 Мбит/с), при
условии использования в режиме 802.11n с другими устройствами
802.11n. Максимальная теоретическая скорость передачи данных со-
ставляет 600 Мбит/с, применяя передачу данных сразу по четырем
антеннам. По одной антенне – до 150 Мбит/с.
Устройства 802.11n функционируют в частотных диапазонах
2,4–2,5 или 5,0 ГГц.
В основе стандарта IEEE 802.11n лежит технология OFDM-MIMO.
Большинство функционала позаимствовано из стандарта 802.11a, тем
не менее в стандарте IEEE 802.11n имеется возможность примене-
ния как частотного диапазона, принятого для стандарта IEEE 802.11a,
так и частотного диапазона, принятого для стандартов IEEE 802.11b/g.
Таким образом, устройства, поддерживающие стандарт IEEE 802.11n,
могут функционировать в частотном диапазоне либо 5, либо 2,4 ГГц,
причем конкретная реализация зависит от страны.
Увеличение скорости передачи в стандарте IEEE 802.11n дости-
гается за счет удвоения ширины канала с 20 до 40 МГц, а также вслед-
ствие реализации технологии MIMO.
Стандарт 802.11ac. Стандарт 802.11ac (Wi-Fi 5) – новый стан-
дарт, который работает только в диапазоне 5 ГГц. Теоретическая
скорость передачи данных – до 6,9 Гбит/с (при наличии 8 антенн и
в режиме MU-MIMO). Данный режим есть только на двухдиапазон-
ных маршрутизаторах, которые могут транслировать сеть в диапа-
зоне 2.4 и 5 ГГц.
В данной технологии используется узконаправленное излуче-

ние антенн, более широкие каналы, несколько антенн для передачи
и приема данных. Все это позволяет довести реальное быстродей-
ствие до 1,3 Гбит/с и увеличить расстояние связи. Новый стандарт
обеспечивает также лучшее прохождение сигналов через стены до-
мов, поэтому сеть на базе технологии 802.11ac будет надежно рабо-
тать в пределах целого здания.
В настоящее время данный стандарт в основном работает с ог-
раниченной скоростью передачи данных до 300 Мбит/с. Ожидается,
что повышение быстродействия будет достигнуто в первую очередь
благодаря тому, что устройства смогут работать не только с каналами
шириной 20−40 МГц, но и 80−160 МГц, особенно в частотном диа-
пазоне 5 ГГц.
Стандарт 802.11ax. Стандарт IEEE 802.11ax (Wi-Fi 6), анон-
сированный осенью 2019 г. и утвержденный в 2020 г.) оказался от-
ветом на актуальные запросы рынка к большей емкости беспровод-
ной сети, подключению большего количества пользователей при
гарантированной производительности устройств и приложений. Тех-
нология Wi-Fi 6 повысит скорость передачи данных и пропускную
способность как новых, так и уже существующих беспроводных се-
тей. Ориентированный на корпоративных пользователей стандарт
обеспечит гибкость и масштабируемость инфраструктуры для быст-
рого запуска цифровых сервисов.
Wi-Fi 6 отличается от предшественника – Wi-Fi 5 – увеличен-
ной почти в полтора раза скоростью передачи данных (9,6 против
6,9 Гбит/с). Однако реальный прирост скорости у конечных пользо-
вателей будет составлять порядка 30–40%.
Кроме того, новый стандарт предусматривает более совершен-
ную систему шифрования WPA3 (Wi-Fi Protected Access III) и спо-
собен обеспечивать более высокую стабильность работы в местах
скопления устройств с поддержкой Wi-Fi. Технология работает в
диапазонах частот 2,4 и 5 ГГц, что обеспечивает большую пропуск-
ную способность.
К другим возможностям стандарта можно отнести реализацию
технологи MU-MIMO, которая позволяет роутеру принимать и от-
правлять несколько сигналов одновременно. В целом в табл. 7.4 пред-
ставлены основные параметры стандартов Wi-Fi 802.11.
Отметим, что базовые стандарты беспроводной связи могут быть
расширены за счет реализации дополнительных стандартов.
Таблица 7.4
Обобщенные характеристики стандартов Wi-Fi
Название Частота
Комментарий
стандарта передачи, ГГц
802.11a 5 Не совместим с сетями b или g. Это один из самых старых стандартов, но сегодня он
используется многими устройствами. Максимальная скорость передачи – 54 Mбит/с,
но обычно от 6 до 24 Mбит/с
802.11b 2,4 Совместим с g-сетями. В реальности, g была сделана обратно совместимой с b-сетью
для поддержки большего количества устройств. Максимальная скорость передачи –
11 Mбит/с
802.11g 2,4 Самый популярный тип сети. Сочетание скорости и обратной совместимости делает
его подходящим для современных сетей. Максимальная скорость передачи – 54 Mбит/с
802.11n 2,4 и 5 Максимальная теоретическая скорость передачи данных составляет 600 Мбит/с, при
этом используется сразу четыре антенны. По одной антенне – до 150 Мбит/с
7.4. Беспроводные технологии передачи данных
802.11ac 5 Стандарт 802.11ac обеспечивает обратную совместимость с 802.11b/g/n, характеризу-

ется скоростью до 1300 Мбит/с в полосе 5 ГГц и до 450 Мбит/с на 2,4 ГГц. Максималь-
ная теоретическая скорость передачи данных – 6,9 Гбит/с (при наличии 8 антенн в ре-
жиме MU-MIMO)
802.11aх 2,4 и 5 Увеличена почти в полтора раза по сравнению с 802.11ac теоретическая скорость пе-
редачи данных 9,6 Гбит/с
281
Рабочая группа IEEE дополнила существующие спецификации

802.11 MAC (уровень доступа к среде передачи) и 802.11a PHY (фи-
зический уровень в сетях 802.11a) алгоритмами эффективного вы-
бора частот для офисных и уличных беспроводных сетей, а также
средствами управления использованием спектра, контроля за излу-
чаемой мощностью и генерации отчетов. Получился так называе-
мый стандарт IEEE 802.11h.
Решение этих задач базируется на использовании протоколов
Dynamic Frequency Selection (DFS) и Transmit Power Control (TPC),
предложенных Европейским институтом стандартов по телекомму-
никациям (ETSI).
Указанные протоколы предусматривают динамическое реаги-
рование клиентов беспроводной сети на интерференцию радиосиг-
налов путем перехода на другой канал, снижения мощности либо
двумя способами одновременно.
Разработанный стандарт IEEE 802.11i призван расширить воз-
можности протокола 802.11 MAC, предусмотрев средства шифро-
вания передаваемых данных, а также централизованной аутенти-
фикации пользователей и рабочих станций. В результате масштабы
беспроводных локальных сетей можно будет наращивать до сотен
и тысяч рабочих станций.
В основе 802.11i лежит протокол аутентификации Extensible
Authentication Protocol (EAP), базирующийся на PPP. Сама проце-
дура аутентификации предполагает участие в ней трех сторон – вы-
зывающей (клиента), вызываемой (точки доступа) и сервера аутен-
тификации (как правило, сервера RADIUS). В то же время новый
стандарт, судя по всему, оставит на усмотрение производителей ре-
ализацию алгоритмов управления ключами.
Разработанные средства защиты данных должны найти приме-
нение не только в беспроводных, но и в других локальных сетях –
Ethernet и Token Ring.
Повышение уровня безопасности беспроводных сетей яви-

лось целью создания данной спецификации. В ней реализо-
ван набор защитных функций при обмене информацией че-
рез беспроводные сети. Примером является технология AES
(Advanced Encryption Standard) – алгоритм шифрования, под-
держивающий ключи длиной 128, 192 и 256 битов.
Стандарт IEEE 802.11j оговаривает существование в одном диа-

пазоне сетей стандартов 802.11a и HiperLAN2. Спецификация пред-
назначена для Японии и расширяет стандарт 802.11а добавочным
каналом 4,9 ГГц.
Стандарт IEEE 802.11d определяет требования к физическим
параметрам каналов (мощность излучения и диапазоны частот) и
устройств беспроводных сетей с целью обеспечения их соответствия
законодательным нормам различных стран.
Спецификации стандарта IEEE 802.11e позволяют создавать
мультисервисные беспроводные локальные сети, ориентированные
не только на корпоративных пользователей, но и на индивидуальных.
При сохранении полной совместимости с уже принятыми стандар-
тами 802.11а и b он позволяет расширить их функциональность за
счет поддержки потоковых мультимедиаданных и гарантированного
качества услуг (QoS).
Создание данного стандарта связано с использованием средств
мультимедиа. Он определяет механизм назначения приоритетов раз-
ным видам трафика, таким как аудио- и видеоприложения.
Cпецификации IEEE 802.11f описывают протокол обмена
служебной информацией между точками доступа (Inter-Access
Point Protocol, IAPP). Данный протокол необходим для построения
распределенных беспроводных сетей передачи данных. Дата утвер-
ждения спецификаций IEEE 802.11f в качестве стандарта пока не
определена.
Данный стандарт, связанный с аутентификацией, определяет ме-
ханизм взаимодействия точек связи между собой при перемещении
клиента между сегментами сети. Другое название стандарта – Inter
Access Point Protocol.
Характеристику основного оборудования для беспроводной связи
рассмотрим в подглаве 9.5.
Краткое описание дополнительных стандартов представлено в
табл. 7.5.
7.4.3. Принципы организации беспроводных сетей
Выделяют два основных вида организации беспроводных сетей:

Ad-Hoc (Independent Basic Service Set (IBSS) или Peer-to-Peer) и Infra-
structure Mode.
Таблица 7.5
284
Дополнительные стандарты беспроводных сетей

Наименование стандарта Назначение
802.11h Дополняет спецификации IEEE 802.11 алгоритмами эффективного выбора частот для офис-
ных и уличных беспроводных сетей, а также средствами управления спектра
802.11i Предусматривает для стандартов IEEE 802.11 средства шифрования передаваемых данных,
а также централизованной аутентификации пользователей и рабочих станций
802.11j Данный стандарт оговаривает существование в одном диапазоне сетей стандартов 802.11a и
HiperLAN2. Спецификация предназначена для Японии и расширяет стандарт 802.11а доба-
вочным каналом 4,9 ГГц
802.11d Стандарт определяет требования к физическим параметрам каналов (мощность излучения,
диапазон частот) и устройств беспроводных сетей с целью обеспечения их соответствия за-
конодательным нормам различных стран
802.11e При сохранении полной совместимости с используемыми стандартами 802.11а и b позволяет
расширить их функциональность за счет поддержки потоковых мультимедиаданных и га-
рантированного качества услуг (QoS)
802.11f Данный стандарт определяет механизм взаимодействия точек связи между собой при пере-
мещении клиента между сегментами сети
7. ФИЗИЧЕСКАЯ СРЕДА ПЕРЕДАЧИ ДАННЫХ
Режим Ad-Hoc является простейшей структурой локальной сети,

при которой узлы сети (ноутбуки или компьютеры) связываются на-
прямую друг с другом.
Такая структура удобна для быстрого развертывания сетей.
Для ее организации требуется минимум оборудования – каждый узел
должен быть оборудован адаптером WLAN.
Сеть характеризуется изменяющейся структурой. Клиентские
устройства соединяются «на лету», образуя собой сеть. Каждый узел
сети пытается переслать данные, предназначенные другим узлам.
При этом определение того, какому узлу пересылать данные, про-
изводится динамически, на основании связности сети. Это является
отличием от проводных сетей и управляемых беспроводных сетей,
в которых задачу управления потоками данных выполняют марш-
рутизаторы (в проводных сетях) или точки доступа (в управляемых
беспроводных сетях).
Первыми беспроводными самоорганизующимися сетями были
сети Packet Radio, финансируемые с 1970-х годов управлением DARPA
после проекта ALOHAnet.
В режиме Infrastructure Mode узлы сети связаны друг с другом
не напрямую, а через точку доступа, так называемую Access Point.
Различают два режима взаимодействия с точками доступа – BSS
(Basic Service Set) и ESS (Extended Service Set).
В режиме BSS все узлы связаны между собой через одну точку
доступа, которая может играть роль моста для соединения с внеш-
ней кабельной сетью.
Режим ESS представляет собой объединение нескольких точек
доступа, т. е. объединяет несколько сетей BSS. В этом случае точки
доступа могут взаимодействовать и друг с другом. Расширенный
режим удобно использовать тогда, когда необходимо объединить в
одну сеть несколько пользователей или подключить несколько про-
водных сетей.
Важным вопросом при организации WLAN-сетей является даль-
ность покрытия. На этот параметр влияет сразу несколько факторов.
1. Используемая частота (чем она больше, тем меньшая дальность
действия радиоволн).
2. Наличие преград между узлами сети (различные материалы
по-разному поглощают и отражают сигналы).
3. Режим функционирования – Infrastructure Mode или Ad-Hoc.
4. Мощность оборудования.
Если рассматривать идеальные условия, то зона покрытия с одной

точкой доступа будет иметь следующий средний радиус покрытия:
− для сети стандарта IEEE 802.11a – 50 м;
− для сетей 802.11b и 802.11g – порядка 100 м.
За счет увеличения количества точек доступа (в режиме Infra-
structure ESS) можно расширять зоны покрытия сети на всю необ-
ходимую область охвата.
Выводы
1. В компьютерных сетях применяются кабели, удовлетворяющие

определенным стандартам. Современные стандарты определяют ха-
рактеристики не отдельного кабеля, а полного набора элементов, не-
обходимого для создания кабельного соединения, например шнура от
рабочей станции до розетки, самой розетки, основного кабеля, жест-
кого кроссового соединения и шнура до концентратора. Сегодня наи-
более употребительными стандартами являются американский стан-
дарт EIA/TIA-568A, международный стандарт ISO/IEC 11801, европей-
ский стандарт EN50173, а также фирменный стандарт компании IBM.
2. Стандарты определены для четырех типов кабеля: на основе
неэкранированной витой пары, на основе экранированной витой пары,
коаксиального и волоконно-оптического.
3. Кабель на основе неэкранированной витой пары в зависимо-
сти от электрических и механических характеристик разделяется на
7 категорий. Кабели категории 1 применяются там, где требования
к скорости передачи минимальны. Главная особенность кабелей ка-
тегории 2 – способность передавать сигналы со спектром до 1 МГц.
Кабели категории 3 широко распространены и предназначены как
для передачи данных, так и для передачи голоса. Кабели категории
4 представляют собой несколько улучшенный вариант кабелей кате-
гории 3 и на практике используются редко. Кабели категории 5 были
специально разработаны для поддержки высокоскоростных прото-
колов FDDI, Fast Ethernet, 100VG-AnyLAN, ATM и Gigabit Ethernet.
4. Особое место занимают кабели категорий 6 и 7. Для кабеля
категории 6 характеристики определяются до частоты 200 МГц, а
для кабелей категории 7 – до 600 МГц. Кабели категории 7 обязатель-
но экранируются, причем как каждая пара, так и весь кабель в целом.
Кабель категории 6 может быть как экранированным, так и неэкра-

нированным. Основное назначение этих кабелей – поддержка высо-
коскоростных протоколов на отрезках кабеля большей длины, чем
кабель UTP категории 5.
5. Кабель на основе экранированной витой пары хорошо защи-
щает передаваемые сигналы от внешних помех, а пользователей се-
тей – от вредного для здоровья излучения. Наличие заземляемого
экрана удорожает кабель и усложняет его прокладку. Экранирован-
ный кабель применяется только для передачи данных. Основным стан-
дартом, определяющим параметры экранированной витой пары, яв-
ляется фирменный стандарт IBM.
6. Коаксиальные кабели представлены в большом разнообразии
вариантов: «толстый» коаксиальный кабель, различные виды «тон-
кого» коаксиального кабеля (сюда же относится телевизионный ка-
бель), которые обладают худшими механическими и электрическими
характеристиками по сравнению с «толстым» коаксиальным кабелем,
зато за счет своей гибкости более удобны при монтаже.
7. Волоконно-оптические кабели обладают отличными электро-
магнитными и механическими характеристиками, недостаток их со-
стоит в сложности и высокой стоимости монтажных работ.
8. Беспроводная связь предусматривает использование трех ос-
новных технологий: радиосвязи; связи в микроволновом диапазоне;
инфракрасной связи. Технологии радиосвязи пересылают данные на
радиочастотах и практически не имеют ограничений по дальности.
Сегодня именно они получили наибольшее распространение в виде
так называемой Wi-Fi-связи, базирующейся на стандарте IEEE 802.11.
9. Wi-Fi-связь характеризуется множеством преимуществ по срав-
нению с проводными системами (легко разворачиваются; пользователи
свободно перемещаются в пределах зоны действия сети и т. д.), но есть
существенный недостаток – возможность легкого перехвата данных и
взлома сети, что в некоторой степени сдерживает их распространение.
1. Что может быть использовано в качестве физической среды

передачи данных?
2. Какие вопросы при организации сети решаются на физическом

уровне?
3. Что такое кабель?
4. Что такое линии связи?
5. Дайте определение каналов связи.
6. Какие проблемы существуют при организации каналов связи?
7. Дайте определение стуктурированной кабельной системы.
8. Перечислите преимущества использования стуктурированной
кабельной системы.
9. Каково назначение структурированной кабельной системы?
10. Перечислите типы кабелей для передачи данных в сети.
11. Какими основными стандартами определены характеристики
кабеля?
12. Перечислите основные характеристики электрических кабе-
лей, определяемые стандартами.
13. На какие классы подразделяются кабельные системы?
14. Какие типы кабелей используются для передачи данных в сети?
15. Какие известны кабельные системы Ethernet?
16. Приведите основные характеристики кабеля «витая пара» в
зависимости от категории.
17. Опишите стандартные разводки кабеля «витая пара».
18. Какие существуют типы оптоволоконных кабелей?
19. Опишите физические особенности оптоволоконных кабелей.
20. Охарактеризуйте технические особенности оптоволоконных
кабелей.
21. Назовите основные недостатки оптоволоконных кабелей.
22. Приведите основные параметры оптоволоконных кабелей.
23. Какие известны технологии беспроводной передачи данных?
24. В каких случаях используется инфракрасная связь?
25. В чем заключаются преимущества использования радиосвязи?
26. Перечислите стандарты беспроводных сетей (802.11).
27. Опишите стандарт IEEE 802.11a.
28. Охарактеризуйте стандарт IEEE 802.11b.
29. Дайте описание стандарта IEEE 802.11g.
30. Приведите характеристики стандарта IEEE 802.11n.
31. Опишите стандарт IEEE 802.11ac.
32. Расскажите о стандарте IEEE 802.11ax.
33. Охарактеиризуйте режим работы беспроводной сети IBSS.
34. Дайте описание режимам работы беспроводной сети BSS.
35. Опишите режим работы беспроводной сети ESS.
8
СЕТЕВЫЕ ОПЕРАЦИОННЫЕ СИСТЕМЫ
Сетевые операционные системы (Network Operating System,

NOS) – это комплекс программ, обеспечивающих обработку,
хранение и передачу данных в сети.
Сетевая операционная система (СОС) составляет основу любой

компьютерной сети. Каждый компьютер в сети автономен. Поэтому
под сетевой операционной системой в широком смысле можно
понимать совокупность операционных систем отдельных компью-
теров, взаимодействующих с целью обмена сообщениями и разде-
ления ресурсов по единым правилам – протоколам.
В узком смысле сетевая ОС – это операционная система от-
дельного компьютера, которая обеспечивает ему возможность рабо-
тать в сети.
СОС выполняет функции прикладной платформы, предо-

ставляет разнообразные виды сетевых служб и поддержи-
вает работу прикладных процессов в абонентских системах.
СОС использует клиент-серверную либо одноранговую ар-
хитектуру. Компоненты СОС располагаются на всех рабо-
чих станциях, включенных в сеть.
СОС определяет взаимосвязанную группу протоколов верхних

уровней, обеспечивающих выполнение основных функций сети. К ним,
в первую очередь, относятся:
– адресация объектов сети;
– функционирование сетевых служб;
– обеспечение безопасности данных;
– управление сетью.
При выборе СОС необходимо рассматривать множество фак-
торов. Среди них:
290 8. СЕТЕВЫЕ ОПЕРАЦИОННЫЕ СИСТЕМЫ
– набор сетевых служб, которые предоставляет сеть;

– возможность наращивания имен, определяющих хранимые
данные и прикладные программы;
– механизм рассредоточения ресурсов по сети;
– способ модификации сети и сетевых служб;
– надежность функционирования и быстродействие сети;
– используемые или выбираемые физические средства соеди-
нения;
– типы компьютеров, объединяемых в сеть, их ОС;
– предлагаемые системы, обеспечивающие управление сетью;
– используемые средства защиты данных;
– совместимость с уже созданными прикладными процессами;
– число серверов, которое может работать в сети;
– перечень ретрансляционных систем, обеспечивающих сопря-
жение локальных сетей с различными территориальными сетями;
– способ документирования работы сети, организация подска-
зок и поддержек.
8.1. Структура сетевой операционной системы
Общая структура СОС представлена на рис. 8.1.
Средства управления
Средства локальными
управления
локальными ресурсами
ресурсами
(локальная
(локальная ОС)
ОС)
Серверная
Сервернаячасть
часть Клиентскаячасть
Клиентская часть
Средства Средства
Средства запроса
предостав-
предоставления запросакдоступа Оболочка
доступа удален-
ления собственных
собственных к удаленным
ным ресурсам и
ресурсов в общее ресурсам
услугам
пользование и услугам
Коммуникационные средства
В сеть
Рис. 8.1. Структура сетевой ОС
8.2. Клиентское программное обеспечение 291
В соответствии со структурой, приведенной на рис. 8.1, в сете-

вой операционной системе отдельной машины можно выделить не-
сколько частей.
1. Средства управления локальными ресурсами компьютера:
функции распределения оперативной памяти между процессами, пла-
нирования и диспетчеризации процессов, управления процессорами,
управления периферийными устройствами и другие функции управ-
ления ресурсами локальных ОС.
2. Средства предоставления собственных ресурсов и услуг в об-
щее пользование – серверная часть ОС (сервер). Эти средства обес-
печивают, например, блокировку файлов и записей, ведение спра-
вочников имен сетевых ресурсов; обработку запросов удаленного
доступа к собственной файловой системе и базе данных; управление
очередями запросов удаленных пользователей к своим периферий-
ным устройствам.
3. Средства запроса доступа к удаленным ресурсам и услугам –
клиентская часть ОС (редиректор). Эта часть выполняет распознава-
ние и перенаправление в сеть запросов к удаленным ресурсам от при-
ложений и пользователей. Клиентская часть также осуществляет прием
ответов от серверов и преобразование их в локальный формат, так
что для приложения выполнение локальных и удаленных запросов
не различимо.
4. Коммуникационные средства ОС, с помощью которых про-
исходит обмен сообщениями в сети. Эта часть обеспечивает адре-
сацию и буферизацию сообщений, выбор маршрута передачи сооб-
щения по сети, надежность передачи и т. п., т. е. является средством
транспортировки сообщений.
8.2. Клиентское программное обеспечение
Для работы с сетью на клиентских рабочих станциях должно

быть установлено клиентское программное обеспечение, которое
обеспечивает доступ к ресурсам, расположенным на сетевом сер-
вере. Тремя наиболее важными компонентами клиентского про-
граммного обеспечения являются редиректоры, распределители
и имена UNC.
8.2.1. Редиректоры
Редиректор (Redirector) – сетевое программное обеспечение,

которое принимает запросы ввода-вывода для удаленных файлов,
именованных каналов или почтовых слотов и затем переназначает
их сетевым сервисам другого компьютера.
Редиректор перехватывает все запросы, поступающие от при-
ложений, и анализирует их. Фактически существуют два типа реди-
ректоров, используемых в сети:
– клиентский редиректор (Client Redirector);
– серверный редиректор (Server Redirector).
Оба редиректора функционируют на представительском уровне
модели OSI. Когда клиент делает запрос к сетевому приложению
или службе, редиректор перехватывает этот запрос и проверяет, яв-
ляется ли ресурс локальным (находящимся на запрашивающем ком-
пьютере) или удаленным (в сети). Если редиректор определяет, что
это локальный запрос, то направляет его центральному процессору
для немедленной обработки. Если запрос предназначен для сети,
то редиректор направляет его по сети к соответствующему серверу.
По существу, редиректоры скрывают от пользователя сложность
доступа к сети. После того как сетевой ресурс определен, пользова-
тели могут получить к нему доступ без знания его точного распо-
ложения.
8.2.2. Распределители
Распределитель (Designator) – это часть программного обеспе-

чения, которая управляет присвоением букв накопителя (Drive Letter)
как локальным, так и удаленным сетевым ресурсам или разделяе-
мым дисководам, что помогает во взаимодействии с сетевыми ре-
сурсами.
Когда между сетевым ресурсом и буквой локального накопите-
ля создана ассоциация, известная также как отображение дисковода
(Mapping a Drive), распределитель отслеживает присвоение такой
буквы дисковода сетевому ресурсу. Затем, когда пользователь или
приложение получат доступ к диску, распределитель заменит букву
дисковода на сетевой адрес ресурса, прежде чем запрос будет послан
редиректору.
8.3. Серверное программное обеспечение 293
8.2.3. Имена UNC
Редиректор и распределитель являются не единственными ме-

тодами, используемыми для доступа к сетевым ресурсам.
Большинство современных сетевых операционных систем рас-
познают имена UNC (Universal Naming Convention (Pathnames) –
универсальное соглашение по наименованию). UNC представляют
собой стандартный способ именования сетевых ресурсов.
Эти имена имеют форму: \\Имя_сервера\имя_ресурса. Способ-
ные работать с UNC приложения и утилиты командной строки ис-
пользуют имена UNC вместо отображения сетевых дисков.
8.3. Серверное программное обеспечение
Для того чтобы компьютер мог выступать в роли сетевого сер-

вера, необходимо установить серверную часть сетевой ОС, которая
позволяет поддерживать ресурсы и распространять их среди сете-
вых клиентов.
Важным вопросом для сетевых серверов является возмож-

ность ограничить доступ к сетевым ресурсам. Это называет-
ся сетевой безопасностью (Network Security). Она предостав-
ляет средства управления ресурсами, к которым могут по-
лучить доступ пользователи, степень этого доступа, а также
сколько пользователей смогут получить такой доступ одно-
временно.
В дополнение к обеспечению контроля над сетевыми ресурсами

сервер выполняет следующие функции:
– предоставляет проверку регистрационных имен (Logon Iden-
tification) для пользователей;
– управляет пользователями и группами;
– хранит инструменты сетевого администрирования для управ-
ления, контроля и аудита;
– обеспечивает отказоустойчивость для защиты целостности сети.
Некоторые из сетевых ОС, в том числе Windows, имеют про-

граммные компоненты, обеспечивающие компьютеру как клиентские,
так и серверные возможности. Это позволяет компьютерам поддер-
живать и использовать сетевые ресурсы. В общем, этот тип сетевых
операционных систем не так мощен и надежен, как законченные се-
тевые операционные системы. Главное преимущество комбинирован-
ной клиентско-серверной сетевой операционной системы заключает-
ся в том, что важные ресурсы, расположенные на отдельной рабочей
станции, могут быть разделены с остальной частью сети. Недостаток
состоит в том, что если рабочая станция поддерживает много активно
используемых ресурсов, она испытывает серьезное падение произ-
водительности. Если такое происходит, то необходимо перенести эти
ресурсы на сервер для увеличения общей производительности.
В зависимости от функций, возлагаемых на конкретный компь-
ютер, в его операционной системе может отсутствовать либо кли-
ентская, либо серверная часть.
На рис. 8.2 компьютер 1 выполняет функции клиента, а компь-
ютер 2 – функции сервера, соответственно на первой машине отсут-
ствует серверная часть, а на второй – клиентская.
Компьютер1 1
Компьютер Компьютер
Компьютер 2 2
Приложение
Приложение 11 Приложение
Приложение 22
Редиректор
Редиректор 11
Локальная
Локальная Клиентская
Клиентская Серверная
Серверная Локальная
Локальная
ОС 1 часть 11 часть 2
часть ОС 2
Коммуникацион- Коммуникаци-
БД
БД ные средства онные средства БД
Локальные
Локальные ресурсы
ресурсы Локальныересурсы
Локальные ресурсы
Рис. 8.2. Взаимодействие компонентов сетевой ОС
Если выдан запрос к ресурсу данного компьютера, то он пере-

адресовывается локальной операционной системе. Если же это за-
прос к удаленному ресурсу, то он перенаправляется в клиентскую
часть, где преобразуется из локальной формы в сетевой формат, а
затем передается коммуникационным средствам. Серверная часть ОС
8.4. Одноранговые и серверные сетевые операционные системы 295
компьютера 2 принимает запрос, преобразует его в локальную фор-

му и передает для выполнения своей локальной ОС. После того как
результат получен, сервер обращается к транспортной подсистеме
и направляет ответ клиенту, выдавшему запрос. Клиентская часть
преобразует результат в соответствующий формат и адресует его тому
приложению, которое выдало запрос.
При выборе сетевой операционной системы необходимо учи-
тывать:
– совместимость оборудования;
– тип сетевого носителя;
– размер сети;
– требования к серверу;
– операционные системы на клиентах и серверах;
– сетевую файловую систему;
– соглашения об именах в сети;
– организацию сетевых устройств хранения.
8.4. Одноранговые и серверные

сетевые операционные системы
В зависимости от того как распределены функции между ком-

пьютерами сети, сетевые ОС могут выполнять функции как клиента,
так и сервера.
Если компьютер предоставляет свои ресурсы другим пользова-
телям сети, то он играет роль сервера. При этом компьютер, обра-
щающийся к ресурсам другой машины, является клиентом. Компь-
ютер, работающий в сети, может выполнять функции либо клиента,
либо сервера, либо совмещать обе эти функции. На рис. 8.3 и 8.4 при-
ведены примеры использования структур сетевых ОС в одноранго-
вых сетях и сетях с выделенными серверами.
Если выполнение каких-либо серверных функций является ос-
новным назначением компьютера, то такой компьютер называется
выделенным сервером.
В зависимости от того, какой ресурс сервера является разделяе-
мым, сервер называется файл-сервером, факс-сервером, принт-сер-
вером, сервером приложений, сервером БД, Web-сервером и т. д.
На выделенных серверах устанавливается ОС для выполнения

тех или иных серверных функций. Выделенный сервер не принято
использовать в качестве компьютера для выполнения текущих за-
дач, не связанных с его основным назначением, так как это может
уменьшить производительность его работы как сервера.
Локальная часть Локальная часть Локальная часть Локальная часть
Клиент- Сервер- Клиент- Клиент- Сервер- Сервер-

ская ная ская ская ная ная
часть часть часть часть часть часть
Коммуника- Коммуника- Коммуника- Коммуника-

ционная часть ционная часть ционная часть ционная часть
Рис. 8.3. Структура ОС для одноранговой сети
Невыделенный
Невыделенныйсервер
сервер Выделенныйсерверы
Выделенные сервер
Файл-сервер
– Файл-сервер
Локальная сеть
Локальная часть Локальная сеть
Локальная часть
Принт-сервер
– Принт-сервер
Сервер удаленного
Клиент-
Клиент- Сервер-
Сервер- Сервер- Сервер- доступа удаленного
Сервер- Сервер-
Сервер- Сервер- – Сервер
ская
ская ная ная
ная ная
ная ная
ная доступа
часть
часть часть
часть
Коммуникаци-
Коммуникационная Коммуникаци-
Коммуникационная
часть
онная часть часть
онная часть
Сеть
Локальная сеть
Локальная часть
Клиент- Сервер- Клиент-

Клиент- Сервер- Клиент- Клиент-
Клиент- Клиент-
Клиент-
ская
ская ная ская
ская ская
ская ская
ская
часть
часть
Коммуникаци-
Коммуника- Коммуникаци-
Коммуника-
онная часть
ционная часть онная часть
ционная часть
сервер
сервер Рабочие станции
Рабочие станции
Рис. 8.4. Структура ОС для клиент-серверной сети
Выводы 297
В одноранговых сетях все компьютеры равны в правах доступа

к ресурсам друг друга. Каждый пользователь может по своему же-
ланию объявить какой-либо ресурс своего компьютера разделяемым,
после чего другие пользователи могут его эксплуатировать. В таких
сетях на всех компьютерах устанавливается одна и та же ОС, кото-
рая предоставляет всем компьютерам в сети потенциально равные
возможности. Одноранговые сети могут быть построены, например,
на базе ОС LANtastic, Personal Ware, Windows (типа XP, Vista, Seven).
Одноранговые сети проще в организации и эксплуатации. Но они
применяются в основном для объединения небольших групп поль-
зователей, не предъявляющих больших требований к объемам хра-
нимой информации, ее защищенности от несанкционированного до-
ступа и к скорости доступа.
При повышенных требованиях к этим характеристикам более
подходящими являются сети с выделенными серверами, где сервер
лучше решает задачу обслуживания пользователей своими ресур-
сами, так как его аппаратура и сетевая операционная система спе-
циально спроектированы для этой цели.
В сетях с выделенными серверами чаще всего используются
сетевые ОС, в состав которых входит несколько вариантов ОС, от-
личающихся возможностями серверных частей. Например, сетевая
операционная система Novell NetWare имеет серверный вариант,
оптимизированный для работы в качестве файл-сервера, а также ва-
рианты оболочек для рабочих станций с различными локальными
ОС, причем эти оболочки выполняют исключительно функции кли-
ента. Другим примером ОС, ориентированной на построение сети
с выделенным сервером, является операционная система Windows
Server.
Выводы
Таким образом, сетевая операционная система – это операцион-

ная система, обеспечивающая компьютеру возможность работать
в сети.
1. В общем, она состоит из серверной и клиентской части, а также
коммуникационных средств.
2. Для работы с сетью на клиентских рабочих станциях должно

быть установлено клиентское программное обеспечение, позволя-
ющее получить доступ к ресурсам, расположенным на сетевом сер-
вере. Тремя наиболее важными компонентами клиентского про-
граммного обеспечения являются редиректоры, распределители и
имена UNC.
3. Серверная часть сетевой операционной системы позволяет
поддерживать ресурсы и распространять их среди сетевых клиентов.
Однако важнейшим вопросом для сетевых серверов является воз-
можность предоставлять средства управления доступом пользователя
к ним, а также определять его уровень. Этот контроль обеспечивает
конфиденциальность и защиту предоставляемых ресурсов.
4. Отметим, что некоторые современные сетевые операционные
системы, например Windows, имеют программные компоненты, обес-
печивающие компьютеру как клиентские, так и серверные возмож-
ности, что позволяет компьютерам поддерживать и использовать
сетевые ресурсы. Но в целом подобный тип сетевых операционных
систем не так мощен и надежен, как законченные сетевые операци-
онные системы.
1. Что такое сетевая операционная система и каково ее назначение?

2. Какие функции сети выполняет сетевая операционная система?
3. Опишите структуру сетевой операционной системы.
4. Что такое редиректор и каковы его функции?
5. Что такое распределитель и каковы его функции?
6. Как подразделяются сетевые операционные системы по пра-
вам доступа к ресурсам?
7. В чем заключаются преимущества и недостатки операцион-
ных систем, обеспечивающие как клиентские, так и серверные воз-
можности?
8. Опишите структуру одноранговой сети.
9. Опишите структуру сетей с использованием клиент-сервер-
ных ОС.
10. Как подразделяются серверы по их назначению?
9
АППАРАТНЫЕ СРЕДСТВА
ДЛЯ ПЕРЕДАЧИ ДАННЫХ
9.1. Сетевые адаптеры
Сетевые адаптеры – это сетевое оборудование, обеспечиваю-

щее функционирование сети на физическом и канальном уровнях.
Сетевой адаптер (Network Interface Controller, NIC) отно-

сится к периферийному устройству компьютера, непосред-
ственно взаимодействующему со сре-дой передачи данных,
которая прямо или через другое комму-никационное обору-
дование связывает его с другими компью-терами.
Это устройство решает задачи надежного обмена двоичными

данными, которые представлены соответствующими электромаг-
нитными сигналами, по внешним линиям связи. Как и любой кон-
троллер компьютера, сетевой адаптер работает под управлением
драйвера операционной системы, и распределение функций между
сетевым адаптером и драйвером может изменяться от реализации
к реализации.
Компьютер, будь то сервер или рабочая станция, подключается
к сети с помощью внутренней платы – сетевого адаптера (хотя бы-
вают и внешние сетевые адаптеры, подключаемые к компьютеру
через параллельный порт).
Сетевой адаптер вставляется в гнездо материнской платы. Кар-
ты сетевых адаптеров устанавливаются на каждой рабочей станции
и на файловом сервере. Рабочая станция отправляет запрос к фай-
ловому серверу и получает ответ через сетевой адаптер, когда файло-
вый сервер готов. Сетевые адаптеры преобразуют параллельные коды,
используемые внутри компьютера и представленные маломощными
300 9. АППАРАТНЫЕ СРЕДСТВА ДЛЯ ПЕРЕДАЧИ ДАННЫХ
сигналами, в последовательный поток мощных сигналов для пере-

дачи данных по внешней сети. Сетевые адаптеры должны быть сов-
местимы с кабельной системой сети, внутренней информационной
шиной ПК и сетевой операционной системой.
9.1.1. Назначение и настройка
Для работы ПК в сети надо правильно установить и настроить

сетевой адаптер. Для адаптеров, отвечающих стандарту PnP (Plug
and Play), настройка производится автоматически. В ином случае
необходимо настроить линию запроса на прерывание, IRQ (Interrupt
Request Line) и адрес ввода-вывода (Input/Output Address).
Адрес ввода-вывода – это трехзначное шестнадцатеричное чис-
ло, которое идентифицирует коммуникационный канал между ап-
паратными устройствами и центральным процессором.
Чтобы сетевой адаптер функционировал правильно, должны быть
настроены линия IRQ и адрес ввода-вывода. Примеры некоторых
запросов на прерывание IRQ и адреса ввода-вывода для основных
устройств компьютера приведены в таблице.
Адреса ввода-вывода
для основных устройств компьютера
Запрос Диапазон
Стандартное применение
на прерывание ввода-вывода
Системный таймер IRQ0 –
Клавиатура IRQ1 –
Вторичный контроллер IRQ или видеокарта IRQ2 –
Прерывание от асинхронного последователь-
ного порта СОМ2 и СОМ4 IRQ3 От 2F0 до 2FF
Прерывание от асинхронного последователь-
ного порта СОМ1 и СОМ3 IRQ4 От 3F0 до 3FF
Обычно свободен (может быть занят парал-
лельным портом LPT2) IRQ5 –
Прерывание от параллельного принтерного
порта LPT1 IRQ7 –
Обычно свободен IRQ9 От 370 до 37F
Обычно свободен (может быть занят первич-
ным контроллером SCSI) IRQ10 –
9.1. Сетевые адаптеры 301
Окончание таблицы
Запрос Диапазон
Стандартное применение
на прерывание ввода-вывода
Обычно свободен (может быть занят вторич-
ным контроллером SCSI) IRQ11 –
Мышь PS/2 IRQ12 –
Прерывание от первичного контроллера жест-
кого диска IRQ14 –
Обычно свободен (может быть занят вторич-
ным контроллером жесткого диска IDE) IRQ15 –
Обычно сетевая карта обнаруживает конфликт, если двум устрой-

ствам назначен один и тот же ресурс (запрос на прерывание или ад-
рес ввода-вывода). Сетевые карты поддерживают различные типы
сетевых соединений.
Физический интерфейс между самой сетевой картой и сетью на-
зывают трансивером (Transceiver) – устройством, которое как полу-
чает, так и посылает данные.
Трансиверы на сетевых картах могут получать и посылать циф-
ровые и аналоговые сигналы. Тип интерфейса, который использует
сетевая карта, часто может быть физически определен на сетевой
карте. Перемычки, или джамперы (маленькие перемычки, соединя-
ющие два контакта), могут быть настроены для указания типа тран-
сивера, который должна использовать сетевая карта в соответствии
со схемой сети. Например, перемычка в одном положении может
включить разъем RJ-45 для поддержки сети типа витая пара, в дру-
гом – поддержку внешнего трансивера.
9.1.2. Функции сетевых адаптеров
Сетевые адаптеры производят следующие основные операции

при приеме или передаче сообщения.
1. Гальваническая развязка с коаксиальным кабелем или витой
парой. Для этой цели используются импульсные трансформаторы.
Иногда для развязки используются оптроны.
2. Прием (передача) данных. Данные передаются из ОЗУ ПК в
адаптер или из адаптера в память ПК через программируемый ка-
нал ввода-вывода, канал прямого доступа или разделяемую память.
3. Буферизация. Для согласования скоростей пересылки данных

в адаптер или из него со скоростью обмена по сети используются
буферы. Во время обработки в сетевом адаптере данные хранятся в
буфер, который позволяет адаптеру осуществлять доступ ко всему
пакету информации. Использование буферов необходимо для согла-
сования между собой скоростей обработки информации различными
компонентами ЛВС.
4. Формирование пакета. Сетевой адаптер должен разделить дан-
ные на блоки в режиме передачи (или соединить их в режиме при-
ема) и оформить в виде кадра определенного формата. Кадр включает
несколько служебных полей, среди которых имеется адрес компью-
тера назначения и контрольная сумма кадра. По ней сетевой адаптер
станции назначения делает вывод о корректности доставленной по
сети информации.
5. Доступ к каналу связи. Набор правил, обеспечивающих доступ
к среде передачи, выявление конфликтных ситуаций и контроль со-
стояния сети.
6. Идентификация своего адреса в принимаемом пакете. Фи-
зический адрес адаптера может определяться установкой переклю-
чателей, храниться в специальном регистре или прошиваться в по-
лупроводниковых запоминающих устройствах.
7. Преобразование параллельного кода в последовательный код
при передаче данных и из последовательного кода в параллельный
при приеме. В режиме передачи данные передаются по каналу связи
в последовательном коде.
8. Кодирование и декодирование данных. На этом этапе должны
быть сформированы электрические сигналы, используемые для пред-
ставления данных. Большинство сетевых адаптеров для этой цели
используют манчестерское кодирование. Этот метод не требует пе-
редачи синхронизирующих сигналов для распознавания единиц и ну-
лей по уровням сигналов, а вместо этого для представления единиц
и нулей используется перемена полярности сигнала.
9. Передача или прием импульсов. В режиме передачи закоди-
рованные электрические импульсы данных передаются в кабель
(при приеме импульсы направляются на декодирование).
Сетевые адаптеры вместе с сетевым программным обеспечением
способны распознавать и обрабатывать ошибки, которые могут воз-
никнуть из-за электрических помех, коллизий или плохой работы
оборудования.
Последние типы сетевых адаптеров поддерживают технологию

Plug and Play. Если сетевую карту установить в компьютер, то при
первой загрузке система определит тип адаптера и запросит для него
драйверы.
Некоторые сетевые адаптеры имеют возможность использовать
оперативную память ПК в качестве буфера для хранения входящих
и исходящих пакетов данных.
Базовый адрес памяти (Base Memory Address) представляет со-
бой шестнадцатеричное число, которое указывает на адрес в опера-
тивной памяти, где находится этот буфер. Важно выбрать базовый
адрес без конфликтов с другими устройствами.
9.1.3. Типы сетевых адаптеров
Сетевые адаптеры различаются по типу и разрядности исполь-

зуемой в компьютере внутренней шины данных – ISA, PCI, PCI-E.
Сетевые адаптеры различаются также по типу принятой в сети
технологии – Ethernet, Token Ring, FDDI и т. п. Как правило, кон-
кретная модель сетевого адаптера работает по определенной сете-
вой технологии (например, Ethernet). В связи с тем, что для каждой
технологии сейчас имеется возможность использования различных
сред передачи данных (тот же Ethernet поддерживает коаксиальный
кабель, неэкранированную витую пару и оптоволоконный кабель),
сетевой адаптер может поддерживать как одну, так и одновременно
несколько сред. В случае когда сетевой адаптер поддерживает только
одну среду передачи данных, а необходимо использовать другую,
применяются трансиверы и конверторы.
Различные типы сетевых адаптеров отличаются не только ме-
тодами доступа к среде и протоколами, но и следующими пара-
метрами:
– скоростью передачи;
– объемом буфера для пакета;
– типом шины;
– быстродействием шины;
– совместимостью с различными микропроцессорами;
– использованием прямого доступа к памяти (DMA);
– адресацией портов ввода-вывода и запросов прерывания;
– конструкцией разъема.
Классификация сетевых адаптеров. В качестве примера клас-

сификации адаптеров можно привести подход, предложенный фир-
мой 3Com, заключающийся в выделении поколений развития Ether-
net-адаптеров.
Сетевые адаптеры первого поколения были выполнены на дис-
кретных логических микросхемах, в результате чего обладали низ-
кой надежностью. Они имели буферную память только на один кадр,
что приводило к низкой производительности адаптера, так как все
кадры передавались из компьютера в сеть или из сети в компьютер
последовательно. Кроме того, задание конфигурации адаптера первого
поколения происходило вручную, с помощью перемычек. Для каж-
дого типа адаптеров использовался свой драйвер, причем интерфейс
между драйвером и сетевой операционной системой не был стан-
дартизирован.
В сетевых адаптерах второго поколения для повышения про-
изводительности стали применять метод многокадровой буфериза-
ции, при котором следующий кадр загружается из памяти компьюте-
ра в буфер адаптера одновременно с передачей предыдущего кадра
в сеть. В режиме приема, после того как адаптер полностью принял
один кадр, он может начать передавать этот кадр из буфера в память
компьютера одновременно с приемом другого кадра из сети.
В сетевых адаптерах второго поколения широко используют-
ся микросхемы с высокой степенью интеграции, что повышает на-
дежность адаптеров. Кроме того, драйверы этих адаптеров осно-
ваны на стандартных спецификациях. Адаптеры второго поколения
обычно поставляются с драйверами, работающими как в стандар-
те NDIS (Network Device Interface Specification – спецификация ин-
терфейса сетевого драйвера), разработанном фирмами 3Com и
Microsoft и одобренном IBM, так и в стандарте ODI (Open Data-Link
Interface – интерфейс открытого драйвера), разработанном фир-
мой Novell.
Интерфейс ODI образуют модули драйвера и уровня поддерж-
ки связи (Link Support Layer, LSL) со стеком протоколов. Уровень
поддержки связи (LSL) принимает пакет от драйвера, распознает тип
пакета и выбирает соответствующий протокол из стека коммуника-
ционных протоколов. Важно отметить, что стек транспортных про-
токолов рабочей станции является открытым: если новый протокол
разрабатывался с использованием спецификаций ODI-интерфейса,
то он может быть включен в стек.
В сетевых адаптерах третьего поколения (к ним фирма 3Com

относит свои адаптеры семейства EtherLink III) осуществля-
ется конвейерная схема обработки кадров. Она заключается
в том, что процессы приема кадра из оперативной памяти ком-
пьютера и передачи его в сеть совмещаются во времени.
Таким образом, после приема нескольких первых байтов кадра

начинается их передача. Это существенно (на 25–55%) повышает
производительность цепочки оперативная память – адаптер – фи-
зический канал – адаптер – оперативная память. Такая схема очень
чувствительна к порогу начала передачи, т. е. к количеству байтов
кадра, которое загружается в буфер адаптера перед началом пере-
дачи в сеть. Сетевой адаптер третьего поколения осуществляет са-
монастройку этого параметра путем анализа рабочей среды, а также
методом расчета без участия администратора сети. Самонастройка
обеспечивает максимально возможную производительность для кон-
кретного сочетания производительности внутренней шины компью-
тера, его системы прерываний и системы прямого доступа к памяти.
Адаптеры третьего поколения базируются на специализирован-
ных интегральных схемах (Application-Specific Integrated Circuit, ASIC),
что повышает производительность и надежность адаптера при од-
новременном снижении его стоимости. Компания 3Com назвала свою
технологию конвейерной обработки кадров Parallel Tasking, другие
компании также реализовали похожие схемы в своих адаптерах. По-
вышение производительности канала адаптер – память очень важно
для увеличения производительности сети в целом, так как произво-
дительность сложного маршрута обработки кадров, включающего,
например, концентраторы, коммутаторы, маршрутизаторы, глобаль-
ные каналы связи и т. п., всегда определяется производительностью
самого медленного элемента этого маршрута. Следовательно, если
сетевой адаптер сервера или клиентского компьютера работает мед-
ленно, никакие быстрые коммутаторы не смогут повысить скорость
работы сети.
Выпускаемые сейчас сетевые адаптеры можно отнести к

четвертому поколению. В эти адаптеры обязательно входит
ASIC, выполняющая функции МАС-уровня, а также большое
количество высокоуровневых функций.
В набор таких функций может входить поддержка агента уда-

ленного мониторинга (Remote Network MONitoring, RMON), схема
приоритезации кадров, функции дистанционного управления ком-
пьютером и т. п. В серверных вариантах адаптеров почти обязательно
наличие мощного процессора, разгружающего центральный про-
цессор. Примером сетевого адаптера четвертого поколения может
служить адаптер компании Intel – Intel PRO/1000 MT Desktop или
Hardlink HA-32G фирмы MAS Elektronik AG.
Современные сетевые адаптеры, как правило, поддерживают
следующие функции.
1. PCI BUS-Mastering – Peripheral Component Interconnect – ком-
пьютерная шина ввода-вывода, предназначена для подключения пе-
риферийных устройств к системной плате персонального компьютера;
Bus-Mastering – режим, при котором устройство может самостоятельно
(без участия центрального процессора) управлять шиной (пересылать
данные, формировать команды и т. д.). На время обмена устройство
захватывает шину и становится master-устройством (для примера,
режим Bus-Mastering частично проявляется, если устройство работает
с использованием канала DMA). Данная функция (PCI BUS-Mastering)
означает возможность пересылки данных устройством без участия
центрального процессора. На сетевой карте должны быть распаяны
схемы, позволяющие осуществлять прямую передачу информации.
2. BootRОМ (или Boot RОМ; RОМ – тип полупроводниковой
памяти). Возможность загрузки системы по сети заложена в виде
BootROM сетевой карты. Это микросхема энергонезависимой памяти,
где хранится код загрузчика. Он выполняет поиск в сети сервера и
запрашивает у него IP-адрес, а также путь, где можно получить образ
операционной системы. После того как образ загружен и размещен в
оперативной памяти, дальнейшее управление загрузкой передается
ему так же, как при работе с обычной загрузочной дискетой или
диском. Таким образом, при соответствующей настройке ПК может
работать вообще без жесткого диска. Загрузка через сеть настраива-
ется в BIOS материнских плат, поддерживающих данную функцию.
3. Wake-on-Lan. Данная технология представляет собой включе-
ние (Wake – разбудить) удаленной системы через сеть. Адаптер от-
слеживает сетевой трафик в ожидании специального Wake-пакета
и при его получении пробуждает систему. При этом требуется, чтобы
в настройках BIOS была разрешена активация компьютера по запро-
су с порта, на который установлена карта.
9.2. Повторители и концентраторы 307
Выводы
1. От производительности сетевых адаптеров зависит произво-

дительность любой сложной сети, так как данные всегда проходят
не только через коммутаторы и маршрутизаторы сети, но и через
адаптеры компьютеров, а результирующая производительность по-
следовательно соединенных устройств определяется производитель-
ностью самого медленного устройства.
2. Сетевые адаптеры характеризуются производительностью,
шиной компьютера, к которой они могут присоединяться, типом
приемопередатчика, а также наличием собственного процессора
(его характеристиками и возможностями), разгружающего централь-
ный процессор компьютера.
3. Сетевые адаптеры для серверов обычно имеют собственный
процессор, а клиентские сетевые адаптеры – нет.
4. Современные адаптеры умеют адаптироваться к временным
параметрам шины и оперативной памяти компьютера для повыше-
ния производительности обмена сеть – компьютер.
9.2. Повторители и концентраторы
Основная функция повторителя (Repeater), как это следует

из его названия, – повторение сигналов, поступающих на его порт.
Повторитель улучшает электрические характеристики сигналов
и их синхронность, и за счет этого появляется возможность уве-
личивать общую длину кабеля между самыми удаленными в сети
узлами.
Многопортовый повторитель часто называют концентра-

тором (Concentrator) или хабом (Hub). Это отражает тот факт,
что данное устройство реализует не только функцию повто-
рения сигналов, но и концентрирует в одном центральном
устройстве функции объединения компьютеров в сеть.
Концентратор представляет собой сетевое устройство, действу-

ющее на физическом уровне сетевой модели OSI.
Отрезки кабеля, соединяющие два компьютера или какие-либо
два других сетевых устройства, называются физическими сегмен-
тами, поэтому концентраторы и повторители, которые использу-
ются для добавления новых физических сегментов, являются сред-
ством физической структуризации сети.
Концентратор – устройство, у которого суммарная пропускная
способность входных каналов выше пропускной способности вы-
ходного канала.
На рис. 9.1 показан внешний вид концентратора фирмы HP.
Рис. 9.1. Внешний вид концентратора фирмы HP
Так как потоки входных данных в концентраторе больше вы-

ходного потока, то главной его задачей является концентрация дан-
ных. При этом возможны ситуации, когда число блоков данных, по-
ступающих на входы концентратора, превышает его возможности.
Тогда концентратор ликвидирует часть этих блоков.
Ядром концентратора является процессор. Для объединения

входной информации чаще всего используется множествен-
ный доступ с разделением времени.
Функции, выполняемые концентратором, близки к задачам, ко-

торые возложены на мультиплексор. Наращиваемые (модульные)
концентраторы позволяют выбирать их компоненты, не анализируя
совместимость с уже используемыми. Современные концентраторы

имеют порты для подключения к разнообразным локальным сетям.
Концентратор является активным оборудованием. Он служит
центром (шиной) звездообразной конфигурации сети и обеспечивает
подключение сетевых устройств. В концентраторе для каждого узла
(ПК, принтеры, серверы доступа, телефоны и пр.) должен быть пре-
дусмотрен отдельный порт.
Наращиваемые концентраторы представляют собой отдель-
ные модули, которые объединяются при помощи быстродействую-
щей системы связи. Такие концентраторы предоставляют удобный
способ поэтапного расширения возможностей и мощности ЛВС.
Концентратор осуществляет электрическую развязку отрезков
кабеля до каждого узла, поэтому короткое замыкание на одном из
отрезков не выведет из строя всю ЛВС.
Концентраторы образуют из отдельных физических отрезков
кабеля общую среду передачи данных – логический сегмент.
Логический сегмент также называют доменом коллизий, посколь-
ку при попытке одновременной передачи данных любых двух ком-
пьютеров этого сегмента, хотя бы и принадлежащих разным физиче-
ским сегментам, возникает блокировка передающей среды. Следует
особо подчеркнуть, что, какую бы сложную структуру ни образовы-
вали концентраторы, например при иерархическом соединении, все
компьютеры, подключенные к ним, образуют единый логический
сегмент, в котором любая пара взаимодействующих компьютеров
полностью блокирует возможность обмена данными для других
компьютеров.
Концентраторы поддерживают технологию Рlug and Рlay и не
требуют какой-либо установки параметров. Необходимо просто спла-
нировать свою сеть и вставить разъемы в порты концентратора и ком-
пьютеров.
9.2.1. Планирование сети с концентратором
При выборе места для установки концентратора во внимание

принимаются следующие аспекты:
– местоположение;
– расстояние;
– питание.
Выбор места установки концентратора является наиболее

важным этапом планирования небольшой сети. Хаб разумно
расположить вблизи геометрического центра сети (на оди-
наковом расстоянии от всех компьютеров). Такое располо-
жение позволит минимизировать расход кабеля, длина ко-
торого от концентратора до любого из подключаемых к сети
компьютеров или периферийных устройств не должна пре-
вышать 100 м.
Концентратор можно поставить на стол или закрепить его на

стене с помощью входящих в комплект хаба скоб. Установка хаба
на стене позволяет упростить подключение кабелей, если они уже
проложены в офисе.
При планировании сети необходимо предусматривать возмож-
ность наращивания (каскадирования) хабов.
9.2.2. Преимущества концентратора
Концентраторы имеют много преимуществ. Во-первых, в сети

используется топология «звезда», при которой соединения с компью-
терами образуют лучи, а хаб является центром звезды. Такая топо-
логия упрощает установку и управление сети. Любые перемещения
компьютеров или добавление в сеть новых узлов при такой тополо-
гии весьма несложно выполнить. Кроме того, эта топология значи-
тельно надежнее, поскольку при любом повреждении кабельной си-
стемы сеть сохраняет работоспособность (перестает работать лишь
поврежденный луч). Светодиодные индикаторы хаба позволяют кон-
тролировать состояние сети и легко обнаруживать неполадки.
Различные производители концентраторов реализуют в своих
устройствах разные наборы вспомогательных функций, но наиболее
часто встречаются следующие:
– объединение сегментов с различными физическими средами
(например, коаксиал, витая пара и оптоволокно) в единый логиче-
ский сегмент;
– автосегментация портов – автоматическое отключение порта
при его некорректном поведении (повреждение кабеля, интенсивная
генерация пакетов ошибочной длины и т. п.);
– поддержка между концентраторами резервных связей, которые

используются при отказе основных;
– защита передаваемых по сети данных от несанкционирован-
ного доступа (например, путем искажения поля данных в кадрах,
повторяемых на портах, не содержащих компьютера с адресом на-
значения);
– поддержка средств управления сетями – протокола SNMP
(Simple Network Management Protocol), баз управляющей информа-
ции MIB (Management Information Base).
9.2.3. Многосегментные концентраторы
При рассмотрении некоторых моделей концентраторов возни-

кает вопрос: зачем в этой модели имеется такое большое количество
портов, например 192 или 240? Имеет ли смысл разделять среду в
10 или 100 Мбит/с между таким большим количеством станций?
В таких концентраторах имеется несколько несвязанных внутрен-
них шин, которые предназначены для создания нескольких разде-
ляемых сред. Например, концентратор имеет три внутренние шины
Ethernet. Если в таком концентраторе 72 порта, то каждый из этих
портов может быть связан с любой из трех внутренних шин. Между
собой компьютеры, подключенные к разным сегментам, общаться
через концентратор не могут, так как шины внутри концентратора
никак не связаны.
Многосегментные концентраторы нужны для создания разде-
ляемых сегментов, состав которых может легко изменяться. Большин-
ство многосегментных концентраторов, таких как System 5000 компа-
нии Nortel Networks или PortSwitch Hub компании 3Com, позволяют
выполнять операцию соединения порта с одной из внутренних шин
чисто программным способом, например с помощью локального кон-
фигурирования через консольный порт. В результате администратор
сети может присоединять компьютеры пользователей к любым пор-
там концентратора, а затем с помощью программы конфигурирования
концентратора управлять составом каждого сегмента. Если завтра сег-
мент 1 станет перегруженным, то его компьютеры можно распреде-
лить между оставшимися сегментами концентратора.
Многосегментные концентраторы – это программируемая ос-
нова больших сетей.
Возможность многосегментного концентратора программно из-

менять связи портов с внутренними шинами называется конфигу-
рационной коммутацией (Configuration Switching, CS).
Для соединения сегментов между собой нужны устройства дру-
гого типа – мосты или коммутаторы (см. подглаву 9.3). Такое меж-
сетевое устройство должно подключаться к нескольким портам мно-
госегментного концентратора, подсоединенным к разным внутренним
шинам, и выполнять передачу кадров или пакетов между сегментами
точно так же, как если бы они были образованы отдельными устрой-
ствами-концентраторами.
Для крупных сетей многосегментный концентратор играет роль
интеллектуального кроссового шкафа, который выполняет новое
соединение не за счет механического перемещения вилки кабеля в
новый порт, а за счет программного изменения внутренней конфи-
гурации устройства.
9.2.4. Конструктивное исполнение концентраторов
На конструктивное устройство концентраторов большое влия-

ние оказывает их область применения. Концентраторы рабочих групп
чаще всего выпускаются как устройства с фиксированным количе-
ством портов, корпоративные концентраторы – как модульные устрой-
ства на основе шасси, а концентраторы отделов могут иметь стековую
конструкцию. Такое деление не является жестким, поэтому в качестве
корпоративного концентратора может использоваться, например, мо-
дульный концентратор.
Концентратор с фиксированным количеством портов – это
наиболее простое конструктивное исполнение, когда устройство
представляет собой отдельный корпус со всеми необходимыми эле-
ментами (портами, органами индикации и управления, блоком пи-
тания), и эти элементы заменять нельзя. Обычно все порты такого
концентратора поддерживают одну среду передачи, общее количе-
ство портов изменяется от 4–8 до 24. Один порт может быть специ-
ально выделен для подключения концентратора к магистрали сети
или же для объединения концентраторов (в качестве такого порта
часто используется порт с интерфейсом AUI, в этом случае приме-
нение соответствующего трансивера позволяет подключить концен-
тратор к практически любой физической среде передачи данных).
Модульный концентратор выполняется в виде отдельных мо-

дулей с фиксированным количеством портов, устанавливаемых на
общее шасси.
Шасси имеет внутреннюю шину для объединения отдельных
модулей в единый повторитель. Часто такие концентраторы явля-
ются многосегментными, тогда в пределах одного модульного кон-
центратора работает несколько несвязанных между собой повтори-
телей. Для модульного концентратора могут существовать различные
типы модулей, отличающиеся количеством портов и типом поддер-
живаемой физической среды. Часто агент протокола SNMP выполня-
ется в виде отдельного модуля, при установке которого концентратор
превращается в интеллектуальное устройство. Модульные концен-
траторы позволяют более точно подобрать необходимую для конкрет-
ного применения конфигурацию концентратора, а также гибко и с ми-
нимальными затратами реагировать на изменения конфигурации сети.
Ввиду ответственной работы, которую выполняют корпоратив-
ные модульные концентраторы, они снабжаются модулем управле-
ния, системой терморегулирования, избыточными источниками пи-
тания и возможностью замены модулей «на ходу».
Недостатком концентратора на основе шасси является высокая
начальная стоимость такого устройства для случая, когда предприя-
тию на первом этапе создания сети нужно установить всего 1–2 мо-
дуля. Высокая стоимость шасси вызвана тем, что оно поставляется
вместе со всеми общими устройствами, такими как избыточные ис-
точники питания и т. п. Поэтому для сетей средних размеров боль-
шую популярность завоевали стековые концентраторы.
Стековый концентратор, как и концентратор с фиксирован-
ным числом портов, выполнен в виде отдельного корпуса без воз-
можности замены отдельных его модулей.
Однако стековыми эти концентраторы называются не потому,
что они устанавливаются один на другой. Такая чисто конструктив-
ная деталь вряд ли удостоилась бы особого внимания, так как уста-
новка нескольких устройств одинаковых габаритных размеров в об-
щую стойку практикуется очень давно. Стековые концентраторы
снабжены специальными портами и кабелями для объединения не-
скольких таких корпусов в единый повторитель, который имеет общий
блок повторения, обеспечивает общую ресинхронизацию сигналов
для всех своих портов и поэтому с точки зрения правила четырех
хабов считается одним повторителем.
Если стековые концентраторы имеют несколько внутренних шин,

то при соединении в стек эти шины объединяются и становятся об-
щими для всех устройств стека. Число объединяемых в стек корпусов
может быть достаточно большим (обычно до 8, но бывает и больше).
Стековые концентраторы могут поддерживать различные физические
среды передачи, что делает их почти такими же гибкими, как и мо-
дульные концентраторы, но при этом стоимость этих устройств в
расчете на один порт получается обычно ниже, так как сначала пред-
приятие может купить одно устройство без избыточного шасси, а
потом нарастить стек еще несколькими аналогичными устройствами.
Стековые концентраторы, выпускаемые одним производителем,
выполняются в едином конструктивном стандарте, что позволяет
легко устанавливать их друг на друга, образуя единое настольное
устройство, или помещать их в общую стойку. Экономия при орга-
низации стека происходит еще и за счет единого для всех устройств
стека модуля SNMP-управления (который вставляется в один из кор-
пусов стека как дополнительный модуль), а также общего избыточ-
ного источника питания.
Модульно-стековые концентраторы представляют собой мо-
дульные концентраторы, объединенные специальными связями в стек.
Как правило, корпуса таких концентраторов рассчитаны на неболь-
шое количество модулей (1–3). Эти концентраторы сочетают досто-
инства концентраторов обоих типов.
Выводы
1. Концентраторы кроме основной функции протокола (побит-

ного повторения кадра на всех или последующем порту) всегда вы-
полняют ряд полезных дополнительных функций, определяемых про-
изводителем концентратора. Автосегментация – одна из важнейших
дополнительных функций, с помощью которой концентратор отклю-
чает порт при обнаружении разнообразных проблем с кабелем и ко-
нечным узлом, подключенным к данному порту.
2. В число дополнительных функций входят функции защиты
сети от несанкционированного доступа, запрещающие подключе-
ние к концентратору компьютеров с неизвестными МАС-адресами,
9.3. Мосты и коммутаторы 315
а также заполняющие нулями поля данных кадров, поступающих

не к станции назначения.
3. Стековые концентраторы сочетают преимущества модульных
концентраторов и концентраторов с фиксированным количеством
портов.
4. Многосегментные концентраторы позволяют делить сеть на
сегменты программным способом, без физической перекоммутации
устройств.
5. Сложные концентраторы, выполняющие дополнительные функ-
ции, обычно могут управляться централизованно по сети по прото-
колу SNMP.
9.3. Мосты и коммутаторы
9.3.1. Мосты
Мост (Bridge) – ретрансляционная система, соединяющая каналы

передачи данных (рис. 9.2).
Рис. 9.2. Внешний вид беспроводного сетевого моста
В соответствии с базовой эталонной моделью взаимодействия

открытых систем мост описывается протоколами физического и ка-
нального уровней, над которыми располагаются канальные процессы.
Мост опирается на пару связываемых им физических средств соеди-
нения, которые в этой модели представляют физические каналы. Мост
преобразует физический (1A, 1B) и канальный (2A, 2B) уровни раз-
личных типов (рис. 9.3). Что касается канального процесса, то он объ-
единяет разнотипные каналы передачи данных в один общий.
Мост
Канальные процессы
2А Канальный Канальный 2В
1А Физический Физический 1В
Физические средства Физические средства
соединения системы А соединения системы В
Рис. 9.3. Структура моста
Мост и его быстродействующий аналог – коммутатор (Switching

Hub) – делят общую среду передачи данных на логические сегменты.
Логический сегмент образуется путем объединения нескольких
физических сегментов (отрезков кабеля) с помощью одного или не-
скольких концентраторов. Каждый логический сегмент подключа-
ется к отдельному порту моста/коммутатора. При поступлении кадра
на какой-либо из портов мост/коммутатор повторяет этот кадр, но не
на всех портах, как это делает концентратор, а только на том порту,
к которому подключен сегмент, содержащий компьютер-адресат.
Мосты могут соединять сегменты с разными типами носителей,
например 10Base-T, 100Base-T, 1000Base-T (витая пара), 10Base2 (тон-
кий коаксиальный кабель) и 1000Base-FX (оптоволокно), а также сети
с разными методами доступа к каналу, например сети Ethernet (ме-
тод доступа CSMA/CD) и Token Ring (метод доступа TPMA).
Мосты используются только для связи локальных сетей с гло-
бальными, т. е. как средства удаленного доступа, поскольку в этом
случае необходимости в параллельной передаче между несколькими
парами портов просто не возникает (рис. 9.4).
По мере развития оборудование данного типа стало многопор-
товым и получило название коммутатор. Некоторое время оба по-
нятия существовали одновременно, а позднее термин мост заменил-
ся коммутатором. Далее в этой теме будет использоваться термин
«коммутатор», поскольку сказанное ниже в равной степени относит-
ся и к мостам, и к коммутаторам. Следует отметить, что в последнее
время локальные мосты полностью вытеснены коммутаторами.
Нередки случаи, когда необходимо соединить локальные сети,
в которых различаются лишь протоколы физического и канального
уровней. Протоколы остальных уровней в этих сетях приняты оди-
наковыми. Такие сети могут быть соединены мостом. Часто мосты
наделяются дополнительными функциями. Такие мосты обладают

определенным интеллектом (интеллектом в сетях называют дей-
ствия, выполняемые устройствами) и фильтруют сквозь себя блоки
данных, адресованные абонентским системам, расположенным в
той же сети. Для этого в памяти каждого моста имеются адреса си-
стем, включенных в каждую из сетей. Блоки, проходящие через ин-
теллектуальный мост, дважды проверяются, на входе и выходе. Это
позволяет предотвращать появление ошибок внутри моста.
Мост
Канал 1 2А 2В Канал 2
1А 1В
Сеть 1 2А 1А 1В 2В Сеть 2
Общий канал
Рис. 9.4. Соединение двух сетей при помощи двух каналов
Мосты не имеют механизмов управления потоками блоков дан-

ных. Поэтому может оказаться, что входной поток блоков окажется
большим, чем выходной. В этом случае мост не справится с обра-
боткой входного потока, и его буферы могут переполняться. Чтобы
этого не произошло, избыточные блоки выбрасываются. Специфи-
ческие функции выполняет мост в радиосети. Здесь он обеспечивает
взаимодействие двух радиоканалов, работающих на разных частотах.
Его именуют ретранслятором.
Таким образом, мосты оперируют данными на высоком уровне
и имеют совершенно определенное назначение. Они предназначены
для соединения сетевых сегментов, имеющих различные физические
среды, например для соединения сегмента с оптоволоконным кабе-
лем и сегмента с коаксиальным кабелем. Мосты также могут быть
использованы для связи сегментов, имеющих различные протоколы
низкого уровня (физического и канального).
9.3.2. Коммутаторы
Коммутатор (Switch, Switching Hub) – устройство, осуществ-

ляющее выбор одного из возможных вариантов направления пере-
дачи данных (рис. 9.5).
Общая структура коммутатора аналогична стуктуре моста (внеш-

ний вид одного из них показан на рис. 9.3), т. е. современные ком-
мутаторы оперируют не только на физическом, но и на канальном
уровне модели OSI.
В коммуникационной сети коммутатор является ретрансляци-
онной системой (системой, предназначенной для передачи данных
или преобразования протоколов), обладающей свойством прозрач-
ности (т. е. коммутация осуществляется здесь без какой-либо обра-
ботки данных).
Рис. 9.5. Внешний вид коммутатора фирмы Cisco
Коммутатор не имеет буферов и не может накапливать данные.

Поэтому при использовании коммутатора скорости передачи сиг-
налов в соединяемых каналах передачи данных должны быть оди-
наковыми. Канальные процессы, реализуемые коммутатором, вы-
полняются специальными интегральными схемами. В отличие от
других видов ретрансляционных систем здесь, как правило, не ис-
пользуется программное обеспечение.
Коммутатор может соединять серверы в кластер и быть осно-
вой для объединения нескольких рабочих групп. Он направляет па-
кеты данных между узлами ЛВС. Каждый коммутируемый сегмент
получает доступ к каналу передачи данных без конкуренции и видит
только тот трафик, который направляется в его сегмент. Коммута-
тор должен предоставлять каждому порту возможность соединения
с максимальной скоростью без конкуренции со стороны других пор-
тов (в отличие от совместно используемого концентратора). Обычно
в коммутаторах имеются один или два высокоскоростных порта, а
также хорошие инструментальные средства управления. Коммута-
тором можно заменить маршрутизатор, дополнить им наращиваемый
маршрутизатор или использовать коммутатор в качестве основы для
соединения нескольких концентраторов. Коммутатор может служить
отличным устройством для направления трафика между концентра-

торами ЛВС рабочей группы и загруженными файл-серверами.
Коммутатор локальной сети (Local Area Network Switch) –
устройство, обеспечивающее взаимодействие сегментов одной либо
группы локальных сетей.
Коммутатор локальной сети, как и обычный коммутатор, обес-
печивает взаимодействие подключенных к нему локальных сетей
(рис. 9.6).
Рис. 9.6. Схема подключения локальных сетей к коммутаторам
В дополнение к основной функции он осуществляет преобразо-

вание интерфейсов, если соединяются различные типы сегментов ло-
кальной сети. Чаще всего это сети Ethernet, кольцевые сети IBM, сети
с оптоволоконным распределенным интерфейсом данных. В пере-
чень функций, выполняемых коммутатором локальной сети, входят:
− обеспечение сквозной коммутации;
− наличие средств маршрутизации;
− поддержка простого протокола управления сетью;
− имитация моста либо маршрутизатора;
− организация виртуальных сетей;
− скоростная ретрансляция блоков данных.
Несмотря на сходство мостов и коммутаторов, ключевая раз-

ница между ними состоит в том, что мост в каждый момент
времени может осуществлять передачу кадров только между
одной парой портов, а коммутатор одновременно поддер-
живает потоки данных между всеми своими портами.
Другими словами, мост передает кадры последовательно,
а коммутатор – параллельно.
9.3.3. Техническая реализация и дополнительные функ-

ции коммутаторов
В настоящее время существует большое разнообразие моделей

коммутаторов. Они отличаются как внутренней организацией, так
и набором выполняемых дополнительных функций, таких как транс-
ляция протоколов, поддержка алгоритма покрывающего дерева, об-
разование виртуальных логических сетей и ряда других.
Современные коммутаторы используют в качестве базовой одну
из трех схем, на которой строится такой узел обмена:
– коммутационная матрица;
– разделяемая многовходовая память;
– общая шина.
Часто эти три способа взаимодействия комбинируются в одном
коммутаторе.
В конструктивном отношении коммутаторы делятся на следую-
щие типы:
– автономные коммутаторы с фиксированным количеством портов;
– модульные коммутаторы на основе шасси;
– коммутаторы с фиксированным количеством портов, собира-
емые в стек.
Автономный коммутатор обычно предназначен для органи-
зации небольших рабочих групп.
Модульные коммутаторы на основе шасси чаще всего пред-
назначены для применения на магистрали сети. Поэтому они выпол-
няются на основе какой-либо комбинированной схемы, в которой
взаимодействие модулей организуется по быстродействующей шине
или же на основе быстрой разделяемой памяти большого объема.
Модули такого коммутатора выполняются на основе технологии
«hot swap», т. е. допускают замену на ходу, без выключения комму-
татора, так как центральное коммуникационное устройство сети не
должно иметь перерывов в работе. Шасси обычно снабжается ре-
зервированными источниками питания и резервированными венти-
ляторами в тех же целях.
С технической точки зрения определенный интерес представ-
ляют стековые коммутаторы. Эти устройства представляют со-
бой коммутаторы, которые могут работать автономно, так как вы-
полнены в отдельном корпусе, но имеют специальные интерфейсы,
которые позволяют их объединять в общую систему, работающую
Выводы 321
как единый коммутатор. Говорят, что в этом случае отдельные ком-

мутаторы образуют стек.
Стековые коммутаторы применяются для создания сетей рабо-
чих групп или, например, отделов и т. д.
Выводы
1. Логическая структуризация сети необходима при построении

сетей средних и крупных размеров. Использование общей разделя-
емой среды приемлемо только для сети, состоящей из 5–10 компью-
теров. Деление сети на логические сегменты повышает производи-
тельность, надежность, гибкость построения и управляемость сети.
2. Для логической структуризации сети применяются мосты и
их современные преемники – коммутаторы. Они позволяют разде-
лить сеть на логические сегменты с помощью минимума средств –
только на основе протоколов канального уровня. Кроме того, эти
устройства не требуют конфигурирования.
3. Логические сегменты, построенные на основе коммутаторов,
являются строительными элементами более крупных сетей, объеди-
няемых маршрутизаторами.
4. Основное различие между коммутатором и мостом состоит в
том, что мост в каждый момент времени может осуществлять пере-
дачу кадров только между одной парой портов, а коммутатор одно-
временно поддерживает потоки данных между всеми своими портами.
Другими словами, мост передает кадры последовательно, а комму-
татор параллельно.
5. Коммутаторы – наиболее быстродействующие современные
коммуникационные устройства, они позволяют соединять высоко-
скоростные сегменты без блокирования (уменьшения пропускной
способности) межсегментного трафика.
6. Коммутаторы связывают процессоры портов по трем основ-
ным схемам – коммутационная матрица, общая шина и разделяемая
память. В коммутаторах с фиксированным количеством портов обыч-
но используется коммутационная матрица, а в модульных коммута-
торах – сочетание коммутационной матрицы в отдельных модулях
с общей шиной и разделяемой памятью для связи модулей.
9.4. Маршрутизаторы и шлюзы
9.4.1. Структура маршрутизатора
Маршрутизатор (или роутер – Router) – это ретрансляционная

система, которая соединяет две коммуникационные сети либо их
части.
Каждый маршрутизатор реализует протоколы физического (1А,
1B), канального (2А, 2B) и сетевого (3A, 3B) уровней, как показано
на рис. 9.7.
Рис. 9.7. Структура маршрутизатора
Специальные сетевые процессы соединяют части коммутатора

в единое целое. Физический, канальный и сетевой протоколы в раз-
ных сетях различны. Поэтому соединение пар коммуникационных
сетей происходит через маршрутизаторы, которые осуществляют не-
обходимое преобразование указанных протоколов. Сетевые процессы
выполняют взаимодействие соединяемых сетей.
Маршрутизатор работает с несколькими каналами, направляя в
какой-нибудь из них очередной блок данных. Маршрутизаторы об-
мениваются информацией об изменениях структуры сетей, трафике.
Благодаря этому выбирается оптимальный маршрут следования блока
данных в разных сетях от абонентской системы-отправителя к си-
стеме-получателю. Маршрутизаторы обеспечивают также соедине-
ние административно независимых коммуникационных сетей.
Архитектура маршрутизатора также используется при создании
узла коммутации пакетов.
9.4. Маршрутизаторы и шлюзы 323
9.4.2. Различие между маршрутизаторами и мостами
Маршрутизаторы превосходят мосты своей способностью

фильтровать и направлять пакеты данных на сети.
Так как маршрутизаторы работают на сетевом уровне, они мо-
гут соединять сети, использующие разную сетевую архитектуру, ме-
тоды доступа к каналам связи и протоколы.
Маршрутизаторы не обладают такой способностью к ана-

лизу сообщений как мосты, но зато могут принимать решение
о выборе оптимального пути для данных между двумя сете-
выми сегментами.
Мосты принимают решение по поводу адресации каждого
из поступивших пакетов данных, переправлять его через мост
или нет в зависимости от адреса назначения. Маршрутиза-
торы же выбирают из таблицы маршрутов наилучший для
данного пакета.
В «поле зрения» маршрутизаторов находятся только пакеты,

адресованные к ним предыдущими маршрутизаторами, в то время
как мосты должны обрабатывать все пакеты сообщений в сегменте
сети, к которому они подключены.
Тип топологии или протокола уровня доступа к сети не имеет
значения для маршрутизаторов, так как они работают на уровень
выше, чем мосты (сетевой уровень модели OSI). Маршрутизаторы
часто используются для связи между сегментами с одинаковыми
протоколами высокого уровня.
Наиболее распространенным транспортным протоколом, кото-
рый используют маршрутизаторы, является IPX фирмы Novell или
TCP фирмы Microsoft.
Важно отметить, что для работы маршрутизаторов требу-

ется один и тот же протокол во всех сегментах, с которыми
он связан.
Для управления загруженностью трафика сегмента сети лучше

использовать мосты.
9.4.3. Шлюзы
Шлюз (Gateway) – ретрансляционная система, обеспечивающая

взаимодействие информационных сетей. Структура шлюза представ-
лена на рис. 9.8.
Шлюз является наиболее сложной ретрансляционной системой,
обеспечивающей взаимодействие сетей с различными наборами про-
токолов всех семи уровней. В свою очередь, наборы протоколов мо-
гут опираться на различные типы физических средств соединения.
Прикладной Прикладной
Представительский Представительский
Сеансовый Сеансовый
Траспортный Траспортный
Сетевой Сетевой
Канальный Канальный
Физический Физический
Рис. 9.8. Структура шлюза
При соединении информационных сетей часть уровней может

иметь одни и те же протоколы. В этом случае сети соединяются не
при помощи шлюза, а на основе более простых ретрансляционных
систем, именуемых маршрутизаторами и мостами.
Шлюзы оперируют на верхних уровнях модели OSI (сеансовом,

представительском и прикладном) и представляют наиболее
развитый метод подсоединения сетевых сегментов и компью-
терных сетей. Необходимость в сетевых шлюзах возникает при
объединении двух систем, имеющих различную архитектуру.
Например, шлюз приходится использовать для соединения

сети (протокол TCP/IP) и большой ЭВМ со стандартом SNA. Эти две
9.5. Оборудование для сетей Wi-Fi 325
архитектуры не имеют ничего общего, и потому требуется полностью

переводить весь поток данных, проходящих между двумя системами.
В качестве шлюза обычно используется выделенный компьютер,
на котором запущено программное обеспечение шлюза и произво-
дятся преобразования, позволяющие взаимодействовать нескольким
системам в сети. Другой функцией шлюзов является преобразова-
ние протоколов. При получении сообщения IPX/SPX для клиента
TCP/IP шлюз преобразует сообщения в протокол TCP/IP.
Выводы
1. Соединение коммуникационных сетей осуществляется через

маршрутизаторы, которые выполняют необходимое преобразование
определенных протоколов.
2. Маршрутизаторы в процессе работы обмениваются информа-
цией об изменениях структуры сетей, трафике и их состоянии, бла-
годаря чему может быть осуществлен выбор оптимального маршрута
следования блока данных.
3. Тип топологии или протокола уровня доступа к сети не имеет
значения для маршрутизаторов, так как они работают на сетевом уров-
не модели OSI.
4. Шлюз является ретрансляционной системой, обеспечивающей
взаимодействие информационных сетей. Обычно шлюзом являются
серверы с настроенной службой маршрутизации, поэтому шлюзы
функционируют на всех семи уровнях модели OSI.
5. Шлюзы сложны в установке и настройке. Шлюзы работают
медленнее, чем маршрутизаторы.
9.5. Оборудование для сетей Wi-Fi
Сети Wi-Fi (см. подглаву 7.4) отождествляются с аббревиатурой

WLAN (Wireless Local Area Network). Для организации сетей Wi-Fi
(Wireless Fidelity – беспроводное соответствие) необходимы сетевые
карты, точки доступа и антенны Wi-Fi. Наличие точек доступа отпа-

дает, когда речь идет об очень малых сетях, размещенных в одном
помещении. Использование точек доступа позволяет более гибко
настроить сеть, объединить клиентов проводных и беспроводных
сетей, а также установить связь с удаленными объектами (внешнее
исполнение).
Сетевые Wi-Fi-карты, по сути, мало чем отличаются от обычных
сетевых карт, за исключением некоторых особенностей настройки.
Сетевые Wi-Fi-карты представлены в трех основных вариантах ис-
полнения – внутренние PCI-карты, CardBus и USB-адаптеры. Также
существуют адаптеры в CompactFlash форм-факторе.
Адаптеры различаются по платформе, в которой они исполь-
зуются: PCI – в настольном компьютере, CardBus – в ноутбуке, Com-
pactFlash – в карманном компьютере, USB – универсален.
Принцип построения и настройки сетей един и не зависит от

форм-фактора Wi-Fi-адаптера.
Необходимо отметить, что тип адаптера влияет лишь на излуча-

емую мощность передатчика и чувствительность приемника, а также
возможность использования внешней антенны.
9.5.1. Wi-Fi-точки доступа
Wi-Fi-точки доступа – устройства, позволяющие объединять

клиентов сети (как проводной, так и беспроводной) в единую сеть.
Другими словами, для Wi-Fi-клиентов точка доступа – это свое-
образный хаб (концентратор). Для клиентов проводной сети – воз-
можность выхода в сеть к беспроводным клиентам.
Wi-Fi-точки доступа представлены в двух основных вариантах
исполнения – для использования внутри помещений и для внеш-
него использования. Существуют варианты исполнения точек до-
ступа, совмещенных с панельными антеннами для внешнего исполь-
зования.
При рассмотрении точек доступа исполнение играет очень важ-
ную роль, т. е. внутриофисные точки доступа нельзя использовать
на улице, а внешние крайне нецелесообразно использовать внутри
помещений. Также исполнение Wi-Fi-точек доступа определяет их

функциональные возможности.
В беспроводных сетях используются два частотных диапазона:
2,4 и 5 ГГц (см. табл. 7.4). Беспроводные сети стандарта 802.11b/g
работают в диапазоне 2,4 ГГц, сети стандарта 802.11a – 5 ГГц, а сети
стандарта 802.11n могут работать как в диапазоне 2,4, так и 5 ГГц.
Используемый частотный диапазон и эксплуатационные огра-
ничения в разных странах могут быть различные.
Важным вопросом при организации WLAN-сетей является даль-
ность покрытия. На этот параметр влияет сразу несколько факторов.
Перечислим основные:
1) используемая частота (чем она больше, тем меньшая дальность
действия радиоволн);
2) наличие преград между узлами сети (различные материалы
по-разному поглощают и отражают сигналы);
3) режим функционирования (Infrastructure Mode или Ad-Hoc);
4) мощность электронного оборудования;
5) вид и качество антенн.
Если рассматривать идеальные условия, то зона покрытия с од-
ной точкой доступа будет иметь следующий средний радиус:
– для сети стандарта IEEE 802.11a – порядка 50 м;
– для сетей 802.11b и 802.11g – порядка 100 м.
Внутриофисные точки доступа служат для объединения Wi-Fi-
клиентов внутри помещений. Они оснащены функциями фильтров,
создания виртуальных сетей и т. д. Но зачастую используются точки
доступа с более широкими возможностями – WAN-порт, firewall,
FTP-сервер и т. д.
Необходимо помнить, что беспроводные устройства Wi-Fi имеют
ограниченный радиус действия. Например, домашний интернет-центр
с точкой доступа Wi-Fi стандарта 802.11b/g имеет радиус действия
до 60 м в помещении и до 400 м вне помещения. В помещении даль-
ность действия беспроводной точки доступа может быть ограничена
несколькими десятками метров – в зависимости от конфигурации
комнат, наличия капитальных стен и их количества, а также других
препятствий.
Различные препятствия (стены, потолки, мебель, металлические
двери и т. д.), расположенные между Wi-Fi-устройствами, могут ча-
стично или значительно отражать/поглощать радиосигналы, что при-
водит к частичной или полной потере сигнала.
В городах с многоэтажной застройкой основным препятствием

для радиосигнала являются здания. Наличие капитальных стен (бе-
тон + арматура), листового металла, штукатурки на стенах, стальных
каркасов и т. п. влияет на качество радиосигнала и может значи-
тельно ухудшать работу Wi-Fi-устройств. Внутри помещения при-
чиной помех радиосигнала также могут являться зеркала и тониро-
ванные окна. Даже человеческое тело ослабляет сигнал примерно
на 3 дБ.
Внешние Wi-Fi-точки доступа служат для объединения Wi-Fi-
клиентов вне помещений, например в публичных местах. Внешние
точки доступа имеют защищенное исполнение, более жесткие экс-
плуатационные характеристики и т. д. При использовании нескольких
внешних точек доступа можно соединить достаточно удаленные
объекты и создать публичный хот-спот. Внешние Wi-Fi-точки до-
ступа отличаются и большей излучаемой мощностью. Ко всем внеш-
ним точкам доступа можно подключить дополнительные антенны,
что позволяет расширить зону покрытия Wi-Fi-сети.
Вне помещений влиять на качество передаваемого сигнала мо-
жет ландшафт местности (например, деревья, леса, холмы). Атмо-
сферные помехи (дождь, гроза, снегопад) также могут являться при-
чиной уменьшения производительности беспроводной сети (в случае
если радиосигнал передается вне помещений).
В полосе частот 2,4 ГГц доступны 11 или 13 каналов шириной
20 МГц (802.11b/g/n) или 40 МГц (IEEE 802.11n) с интервалами
5 МГц между ними. Беспроводное устройство, использующее один
из частотных каналов, создает значительные помехи на соседние ка-
налы. Например, если точка доступа использует канал 6, то она ока-
зывает сильные помехи на каналы 5 и 7, а также, уже в меньшей
степени, – на каналы 4 и 8. Для исключения взаимных помех между
каналами необходимо, чтобы их несущие частоты отстояли друг от
друга на 25 МГц (5 межканальных интервалов).
На рис. 9.9 показаны спектры 11 каналов. Кодировка обознача-
ет группы непересекающихся каналов – [1, 6, 11], [2, 7], [3, 8], [4, 9],
[5, 10]. Беспроводные сети, расположенные в пределах одной зоны
покрытия, рекомендуется настраивать на непересекающиеся каналы,
на которых будет наблюдаться меньше интерференции и коллизий
(конфликтов). Для протокола IEEE 802.11n номера непересекаю-
щихся каналов – 1, 6 и 11 (для ширины канала 20 МГц), с шириной
канала 40 МГц – это каналы 3 и 11.
Источник: https://help.keenetic.com/hc/ru/articles/213968729.
Рис. 9.9. Выбор частотных характеристик
непересекающихся каналов
Интернет-центр (маршрутизатор или роутер) с беспроводной

точкой доступа Wi-Fi позволяет организовать высокоскоростную
беспроводную сеть для совместной работы в Интернете и домашней
сети с ноутбуков, планшетов, смартфонов и других устройств. Доступ
в Интернет по беспроводной сети можно обеспечить любым устрой-
ствам, оснащенным модулями и адаптерами Wi-Fi: телевизору с функ-
цией Smart TV, игровой приставке, умным часам и др.
Следует обратить внимание на то, что многие точки доступа мо-
гут выступать в роли беспроводного клиента, что значительно рас-
ширяет область их применения.
Нужно помнить, что любая общедоступная точка досту-

па Wi-Fi – рай для злоумышленников.
Также необходимо принимать во внимание среду, в которой

размещена точка доступа по отношению к приемному устройству.
Например, если на открытом пространстве радиус действия сигна-
ла Wi-Fi – до 200 м, то после прохождения одной межкомнатной
стены он уменьшится до 200 м ∙ 15% = 30 м. После второй еще раз:
30 м ∙ 15% = 4,5 м. А после третьей: 4,5 м ∙ 15% = 0,67 м. Таким
образом, можно предположить, что через две межкомнатные стены
(толщиной не более 15 см) сеть Wi-Fi будет работать, а вот через три
стены скорее всего соединение установить не получится.
Необхоимо также помнить о влиянии на качество сигнала Wi-Fi
различных электронных устройств.
Bluetooth-устройства, беспроводные клавиатуры и мыши рабо-

тают в частотном диапазоне 2,4 ГГц, а следовательно, могут оказы-
вать влияние на работу точки доступа и других Wi-Fi-устройств.
Микроволновые СВЧ-печи также могут ослаблять уровень сиг-
нала Wi-Fi, так как обычно работают в диапазоне 2,4 ГГц, как и ра-
дионяни, в результате чего ухудшается качество беспроводной связи.
Внешние источники электрического напряжения, такие как ли-
нии электропередач и силовые подстанции, могут также являться ис-
точниками помех.
9.5.2. Wi-Fi-антенны
Внешние Wi-Fi-антенны служат для передачи и приема сигнала,

усиление которого в режиме передачи позволяет увеличить зону пок-
рытия Wi-Fi-сетей.
В основном распространены пассивные антенны – круговые,
или всенаправленные (рис. 9.10), и направленные (рис. 9.11). Основ-
ное различие – характер распространения волн антенной. Круговая
антенна излучает сигнал по кругу 360° (горизонталь), а направлен-
ная лишь на определенный сектор.
Горизонтальное Вертикальное
покрытие покрытие
Рис. 9.10. Направленные Wi-Fi-антенны
Wi-Fi-антенны характеризуются следующими параметрами.

1. Поляризация – отражает специфику распространения радио-
волн. Поляризация бывает горизонтальная (линейная) и вертикальная.
При проектировании сети данный аспект необходимо учитывать при

подборе антенн, поляризация обязательно должна совпадать.
2. HPBW (Half-Power Beamwidth) по горизонтали – угол распро-
странения волн по горизонтали. Для всех круговых антенн равен 360°.
Для направленных Wi-Fi-антенн значительно меньше.
3. HPBW по вертикали – угол распространения волн по вертикали.
При малом угле возможно возникновение мертвых зон.
90°
180° –30 –10 –3

0°
–180°
–90°
Рис. 9.11. Диаграмма направленности
круговой Wi-Fi-антенны (0°)
4. Усиление – характеризует усиление сигнала. Чем больше данный

параметр, тем на большем расстоянии можно установить связь с сетью.
Удлинительные провода для антенн используются, если антенна
удалена от точки доступа или сетевой карты. Особое внимание сле-
дует уделить разъемам, так как у разных производителей они могут
различаться. Провода применяются специальные – СВЧ, их длина
должна быть как можно меньше.
9.5.3. Принципы организации беспроводных сетей
Используют два вида организации беспроводных сетей: Ad-Hoc

(Independent Basic Service Set, IBSS или Peer-to-Peer) и Infrastructure
Mode (см. п. 7.4.3).
Режим Ad-Hoc основан на использовании простейшей струк-

туры локальной сети, при которой узлы сети (ноутбуки или ком-
пьютеры) связываются напрямую друг с другом. Такая структура
удобна для быстрого развертывания сетей. Для ее организации тре-
буется минимум оборудования – достаточно адаптера WLAN на каж-
дом узле.
В режиме Infrastructure Mode узлы сети связаны друг с другом
не напрямую, а через точку доступа, так называемый Access Point.
Различают два режима взаимодействия с точками доступа – BSS (Ba-
sic Service Set) и ESS (Extended Service Set).
В режиме BSS все узлы связаны между собой через одну точку
доступа, которая может играть роль моста для соединения с внеш-
ней кабельной сетью.
Режим ESS представляет собой объединение нескольких точек
доступа, т. е. связывает несколько сетей BSS. В этом случае точки
доступа могут взаимодействовать и друг с другом. Расширенный
режим удобно использовать тогда, когда необходимо объединить в
одну сеть несколько пользователей или подключить несколько про-
водных сетей.
За счет увеличения количества точек доступа (в режиме Infra-
structure ESS) можно расширять зоны покрытия сети на всю необхо-
димую область охвата.
Выводы
1. Для организации беспроводных сетей Wi-Fi необходимы со-

ответствующие сетевые карты, точки доступа и антенны.
2. Wi-Fi-точки доступа представляют собой устройства, позво-
ляющие объединять клиентов сети (как проводной, так и беспро-
водной) в единую сеть. Wi-Fi-точки доступа разделяются по испол-
нению на два основных варианта – для использования внутри поме-
щений и для внешнего использования.
3. Wi-Fi-антенны служат для усиления сигнала, что позволяет
увеличить зону покрытия Wi-Fi-сетей.
4. Выделяют два основных вида организации беспроводных се-
тей: Ad-Hoc и Infrastructure Mode. Режим Ad-Hoc является простейшей
структурой локальной сети, при которой узлы сети связываются на-

прямую друг с другом; в режиме Infrastructure Mode узлы сети свя-
заны друг с другом через точку доступа.
5. Наиболее актуальной проблемой функционирования Wi-Fi-
сетей является обеспечение требуемого уровня безопасности.
1. Каково назначение сетевого адаптера?

2. Какие параметры следует устанавливать у сетевого адаптера?
3. Перечислите функции сетевых адаптеров.
4. Что такое физический адрес адаптера?
5. Как определить физический адрес адаптера?
6. Какие есть типы сетевых адаптеров?
7. На каком из уровней сетевой модели OSI необходим сетевой
адаптер?
8. Каково назначение повторителя?
9. В каких случаях ставят сетевой повторитель?
10. Что такое сетевой концентратор и каково его назначение?
11. На каком уровне сетевой модели OSI используется Hub?
12. Каково назначение моста?
13. На каком уровне сетевой модели OSI используется мост?
14. Какие сегменты сети может соединять мост?
15. Объясните назначение коммутатора.
16. На каком уровне сетевой модели OSI необходим коммутатор?
17. Каково различие между мостом и коммутатором?
18. Объясните назначение маршрутизатора.
19. На каком уровне сетевой модели OSI используется маршру-
тизатор?
20. Каково различие между маршрутизаторами и мостами?
21. Что такое шлюз и каково его назначение?
22. На каком уровне сетевой модели OSI используется шлюз?
23. Оборудование для организации беспроводных сетей Wi-Fi и
его назначение.
24. Приведите классификацию Wi-Fi-антенн.
25. Перечислите виды организации беспроводных сетей.
334 10. СОВРЕМЕННЫЕ И ПЕРСПЕКТИВНЫЕ СЕТЕВЫЕ ТЕХНОЛОГИИ
10
СОВРЕМЕННЫЕ
И ПЕРСПЕКТИВНЫЕ
СЕТЕВЫЕ ТЕХНОЛОГИИ
10.1. Беспроводные сотовые сети
10.1.1. Организация сотовой сети
Сотовой радиосвязью (Cellular Radio) называется технология,

разработанная для увеличения пропускной способности мобильных
радиотелефонных услуг.
До введения сотовой радиосвязи для предоставления этих услуг
требовались передатчики и приемники высокой мощности. Типичная
система связи могла обслуживать около 25 каналов и имела эффек-
тивный радиус действия около 80 км. Для увеличения пропускной
способности такой системы нужно было использовать оборудование
более низкой мощности и, следовательно, меньшего радиуса действия
при участии в ней нескольких передатчиков и приемников.
В начале данного раздела кратко рассматривается организация
сотовой системы, после чего анализируются некоторые особенности
ее внедрения.
Принцип организации сотовой связи состоит в использовании
множества маломощных (100 Вт и ниже) передатчиков.
Поскольку диапазон действия таких передатчиков довольно мал,
зону обслуживания системы можно разбивать на ячейки, каждая из
которых будет обслуживаться собственной антенной. Каждая ячей-
ка, которой выделяется своя полоса частот, обслуживается базовой
станцией, состоящей из передатчика, приемника и модуля управле-
ния. Смежные ячейки используют разные частоты, чтобы избежать
появления интерференции или перекрестных помех. В то же время
ячейки, находящиеся на довольно большом расстоянии друг от друга,
могут использовать одинаковые полосы частот.
10.1. Беспроводные сотовые сети 335
При проектировании такой системы первое, что нужно сделать, –

это решить, какую форму должны иметь ячейки, на которые будет
разбита зона обслуживания. Самым простым решением была бы сетка,
состоящая из квадратных ячеек (рис. 10.1, а). Однако такая геомет-
рическая форма оказалась не идеальной. Если сторона квадратной
ячейки равна d, тогда ячейка будет иметь четыре соседа на рассто-
янии d и четыре – на расстоянии 2 ⋅ d . В то же время, если поль-
зователь мобильных услуг находится в пределах одной ячейки и
движется по направлению к ее границе, было бы лучше, чтобы все
смежные антенны находились на равных расстояниях друг от друга.
В этом случае проще определить момент, в который следует пере-
ключать пользователя на другую антенну, а также выбрать новую
антенну.
Равное расстояние между смежными антеннами достигается
только в шестиугольной схеме (рис. 10.1, б). Радиус шестиуголь-
ника определяется как радиус окружности, описанной вокруг него
(эта величина равна расстоянию от центра фигуры до каждой из ее
вершин, а также длине стороны шестиугольника). Для ячейки с ра-
диусом R расстояние между центром ячейки и центром любой смеж-
ной ячейки равняется d = 3 ⋅ R .
1,414 · d d 1,414 · d
d
d d
d d
d d
1,414 · d d 1,414 · d
а б
Рис. 10.1. Геометрические структуры сотовых систем:
а – квадратная схема; б – гексогональная схема
На практике точная шестиугольная структура не используется.

Отклонения от идеальных шестиугольников обусловлены топогра-
фическими ограничениями, местными условиями распространения
сигнала, а также соображениями целесообразности расположения
антенн.
10.1.2. Многократное использование частот и увеличение

пропускной способности сети
В каждой ячейке сотовой сети имеется базовый трансивер (Base

Transceiver). Мощность передаваемых сигналов тщательно регули-
руется (насколько это возможно для быстро меняющихся условий
сред мобильной связи). Как правило, каждой ячейке выделяется
10–50 частот в зависимости от планируемой нагрузки. Кроме того,
нужен механизм использования одной и той же частоты в ячейках,
расположенных недалеко друг от друга, чтобы одну частоту можно
было использовать для нескольких одновременных сеансов связи.
Важным вопросом, разумеется, является определение удаленно-
сти двух ячеек, использующих одну частоту, поскольку сигналы этих
ячеек не должны интерферировать друг с другом. Были предложены
различные модели многократного использования частот, некоторые
примеры приведены на рис. 10.2, 10.3 и 10.4.
Рис. 10.2. Схема повторного Рис.10.3. Схема повторного

использования частот для N = 4 использования частот для N = 7
Рис. 10.4. Схема многократного использования частот для N = 19

Если схема состоит из N ячеек, для которых выделяется одина-

ковое количество частот, то каждая ячейка будет иметь K/N частот,
где K – общее число частот, выделяемых в системе.
Мобильная телефонная система AMPS (Advanced Mobile Phone
Service), где K = 395, а N = 7, – наименьшая система, в которой можно
обеспечить достаточную изоляцию двух сеансов использования од-
ной и той же частоты. Это означает, что в среднем на одну ячейку
должно приходиться не более 57 частот. AMPS – аналоговый стан-
дарт сотовой связи, относящийся к сетям первого поколения (1G).
Для характеристики повторного использования частоты суще-
ствуют следующие параметры: D – минимальное расстояние между
центрами ячеек (см. рис. 10.2), которые используют одну и ту же по-
лосу частот (называемую группой внутренних каналов); R – радиус
ячейки; d – расстояние между центрами смежных ячеек (d = 3 ⋅ R );
N – число ячеек в минимальном фрагменте, периодическим повто-
рением которого образуется вся схема (каждая ячейка фрагмента ис-
пользует уникальную полосу частот). Этот параметр еще называют
кратностью использования.
В шестиугольной схеме возможны только следующие значения:
N = I2 + J2 + (I ∙ J), где I, J = 0, 1, 2, 3, ... .
Таким образом, возможными значениями N являются числа 1, 3,
4, 7, 9, 12, 13, 16, 19, 21 и т. д. Верно следующее соотношение:
D/R= N. (10.1)
При определенных условиях последнее соотношение можно за-
писать и по-другому:
D / d = N. (10.2)
Со временем, когда система будет обслуживать все больше кли-
ентов, трафик может распределиться таким образом, что какой-нибудь
ячейке для обслуживания звонков не хватит выделенных ей частот.
Для выхода из такой ситуации используется несколько подходов.
Добавление новых каналов. Обычно, когда система установлена
в определенном регионе, используются не все каналы, и с расшире-
нием системы можно просто добавлять новые.
Заимствование частот. В самом простом случае перегруженные
ячейки могут использовать частоты смежных ячеек.
Расщепление ячеек. На практике распределение трафика и топо-
графия местности неоднородны, что также дает возможность увели-
чения пропускной способности. Ячейки в областях с повышенным
спросом на услуги мобильной связи можно расщеплять. Как правило,

размеры исходных ячеек колеблются от 6,5 до 13 км. Меньшие ячей-
ки также можно разбивать, однако следует помнить, что на практике
радиус 1,5 км считается минимальным (см. ниже обсуждение микро-
ячеек). При использовании меньших ячеек нужно уменьшать уровень
мощности, чтобы сигнал оставался в пределах ячейки. Кроме того,
при движении мобильные устройства переходят из одной ячейки в
другую, что требует передачи вызова от одного базового трансивера
другому. Этот процесс называется переключением (Handoff). Так, по
мере уменьшения размера ячейки переключения будут происходить
все чаще. При уменьшении радиуса ячейки в F раз размеры покры-
ваемой области уменьшаются в F 2 раз, а требуемое число базовых
станций увеличивается в те же F 2 раз.
Разбивка ячеек на секторы. При разбивке на секторы ячейка
делится на несколько клиновидных секторов, в каждом из которых
остается свой набор каналов. Обычно на ячейку приходится 3–6 сек-
торов. Каждому сектору предоставляется отдельный набор каналов
ячейки, а для фокусировки сигнала на отдельных секторах исполь-
зуются направляемые антенны базовой станции.
Микроячейки. По мере уменьшения ячейки антенны перемеща-
ются с крыш высотных зданий и вершин холмов на крыши зданий
поменьше или на стены высотных домов и в конце концов оказыва-
ются на фонарных столбах, с высоты которых они обслуживают мик-
роячейки. Любое уменьшение размеpa ячейки сопровождается умень-
шением уровня мощности сигналов, излучаемых базовой станцией.
Микроячейки полезно располагать на городских улицах в густона-
селенных районах, а также внутри больших зданий общественного
пользования.
10.1.3. Функционирование сотовой системы
На рис. 10.5 показаны основные элементы сотовой системы.

Примерно в центре каждой ячейки находится базовая станция
(Base Station).
Базовая станция состоит из антенны, контроллера и не-

скольких трансиверов, которые служат для связи в каналах,
выделенных в этой ячейке.
Базовая
трансиверная
станция
Коммутационный центр
телекоммуникаций
мобильных
Коммутируемая Базовая
сеть общего трансиверная
пользования станция
Базовая
трансиверная
станция
Рис. 10.5. Общая структура системы

сотовой связи
Контроллер используется для обработки соединений мобиль-

ного устройства с остальной сетью. В любой момент в пределах
ячейки могут быть активными и перемещаться несколько пользова-
телей мобильной связи, сообщающихся с базовой станцией.
Каждая базовая станция подсоединена к коммутатору мо-
бильных телекоммуникаций (Mobile Telecommunications Switching
Office, MTSO), причем один коммутатop MTSO может обслуживать
несколько базовых станций. Обычно связь между коммутатором MTSO
и базовой станцией является проводной, хотя возможна также бес-
проводная связь.
Коммутатор MTSO устанавливает соединение между мобиль-
ными устройствами. Кроме того, MTSO соединен с общественной
телефонной или телекоммуникационной сетью и может соединять
стационарных абонентов с сетью общего пользования и мобильных
абонентов с сотовой сетью.
Коммутатор MTSO выделяет для каждого соединения голосовой
канал, выполняет переключения и контролирует звонки для передачи
информации о счетах.
Работа сотовой системы полностью автоматизирована и не тре-
бует от пользователя никаких действий, кроме заказа разговоров и
ответа на звонки.
Между мобильным устройством и базовой станцией можно

устанавливать каналы связи двух типов: каналы управления
и информационные каналы.
Каналы управления используются для обмена информацией,
касающейся заказа и поддержания звонка, а также установ-
ления связи между мобильным устройством и ближайшей к
нему базовой станцией. Информационные каналы служат для
передачи голоса или данных между пользователями.
На рис. 10.6 показаны шаги, которые следует предпринять для

обычного соединения двух мобильных пользователей, находящихся
в зоне действия одного коммутатора MTSO.
а б в
г д е
Рис. 10.6. Пример мобильного сотового соединения:
а – поиск сильнейшего сигнала; б – запрос на соединение;
в – передача сигнала; г – вызов принят; д – исходящий вызов;
е – переключение
1. Инициализация мобильного устройства. Включенное мобиль-

ное устройство проводит сканирование и выбирает самый сильный
настроечный канал управления, используемый данной системой
(рис. 10.6, а). Ячейки с различными полосами частот периодически
транслируют сигналы в различных настроечных каналах. Приемник
мобильного устройства выбирает самый сильный настроечный ка-

нал и начинает его прослушивать.
В результате этой процедуры мобильное устройство автомати-
чески выбирает антенну базовой станции той ячейки, в пределах ко-
торой оно будет действовать. Затем выполняется квитирование (под-
тверждение установления связи, или рукопожатие, – Handshake) между
мобильным устройством и коммутатором MTSO, контролирующим
данную ячейку, что тоже осуществляется через базовую станцию этой
ячейки.
Квитирование используется для опознания пользователя и для
регистрации его местоположения.
Все время, пока включено мобильное устройство, эта процедура
сканирования периодически повторяется, что позволяет следить за
движением устройства. Если устройство входит в новую ячейку,
выбирается новая базовая станция. Кроме того, мобильное устрой-
ство следит за сигналами избирательного вызова, о чем будет рас-
сказано ниже.
2. Звонок с мобильного устройства. Звонок с мобильного устрой-
ства начинается с отправки номера вызываемого устройства по пред-
варительно выбранному каналу (рис. 10.6, б). Приемник мобильного
устройства сначала проверяет, свободен ли настроечный канал, ана-
лизируя информацию в прямом (от базовой станции) канале.
Когда обнаруживается, что канал свободен, мобильное устрой-
ство может начинать передачу в соответствующем обратном (к ба-
зовой станции) канале. Базовая станция в свою очередь отправляет
запрос на коммутатор MTSO.
3. Избирательный вызов. Далее коммутатор MTSO пытается уста-
новить связь с вызываемым устройством. Он отправляет адресное со-
общение определенной базовой станции в зависимости от номера
вызывающего мобильного устройства (рис. 10.6, в). Каждая базовая
станция передает сигналы избирательного вызова в собственном вы-
деленном настроечном канале.
4. Принятие вызова. Вызываемое мобильное устройство распо-
знает свой номер в настроечном канале, за которым следит в насто-
ящий момент, и отвечает данной базовой станции. Базовая станция
отправляет ответ на коммутатор MTSO, который устанавливает ка-
нал связи между вызывающей и вызываемой базовыми станциями.
В то же самое время коммутатор MTSO выбирает подходящий канал
информационного обмена внутри ячейки каждой базовой станции и
уведомляет каждую базовую станцию, которые в свою очередь уве-

домляют свои мобильные устройства (рис. 10.6, г). Оба мобильных
устройства настраиваются на выделенные им каналы.
5. Текущий вызов. Пока поддерживается соединение, два мо-
бильных устройства обмениваются голосовыми сигналами или дан-
ными, проходящими через соответствующие базовые станции и ком-
мутатор MTSO (рис. 10.6, д).
6. Переключение. Если мобильное устройство во время соеди-
нения выходит за пределы одной ячейки и входит в зону действия
другой, то старый информационный канал следует заменить кана-
лом, выделенным новой базовой станции в новой ячейке (рис. 10.6, е).
Система осуществляет это изменение, не прерывая звонка и не бес-
покоя пользователя.
Система также выполняет некоторые другие функции, не пред-
ставленные на рис. 10.6.
1. Блокирование вызова. Если при звонке с мобильного устрой-
ства все информационные каналы, выделенные ближайшей базовой
станции, заняты, то мобильное устройство предпринимает предва-
рительно заданное количество последовательных попыток установ-
ления связи. После определенного количества неудачных попыток
пользователю возвращается сигнал «занято».
2. Завершение вызова. Когда один или оба пользователя завер-
шают вызов, об этом узнает коммутатор MTSO и освобождает ин-
формационные каналы обеих базовых станций.
3. Потеря вызова. Если в определенный период соединения из-
за интерференции или слабого сигнала базовая станция не может
поддерживать минимально требуемую интенсивность сигнала, то ин-
формационный канал связи с пользователем прерывается, о чем уве-
домляется коммутатор MTSO.
4. Звонки стационарным и удаленным мобильным абонентам/
от стационарных и удаленных мобильных абонентов. Коммутатор
MTSO подключен к коммутатору общественной телефонной сети.
Это означает, что коммутатор MTSO может устанавливать соедине-
ние между мобильным пользователем из своей зоны и стационарным
абонентом через телефонную сеть. Более того, MTSO может соеди-
няться через телефонную сеть либо через выделенные каналы связи
с удаленными MTSO и устанавливать соединение между мобиль-
ным пользователем из своей зоны и удаленным мобильным пользо-
вателем.
10.1.4. Архитектура глобальной системы мобильной связи
До того как была разработана глобальная система мобильной

связи (GSM – от названия группы Groupe Spеcial Mobile, позже пе-
реименован в Global System for Mobile Communications), в странах
Европы использовалось множество разных несовместимых сотовых
телефонных технологий первого поколения. Стандарт GSM был раз-
работан для внедрения общей технологии второго поколения, чтобы
одни и те же абонентские устройства можно было использовать
по всему континенту. Эта технология оказалась весьма успешной
и стала самым популярным мировым стандартом для систем ново-
го поколения. Впервые стандарт GSM появился в 1990 г. в Европе.
Теперь подобные системы внедрены в Северной и Южной Америке,
Азии, Северной Африке, а также в Средней Азии и Австралии.
На рис. 10.7 показаны ключевые функциональные элементы
системы GSM: линии Um, Abis и А обозначают интерфейсы между
функциональными элементами, которые стандартизированы в до-
кументации GSM (AuC – центр аутентификации; EIR – регистр
идентификации оборудования; HLR – регистр исходного положения;
ME – мобильное оборудование; PSTN – общественная коммутируе-
мая телефонная сеть; SIM – модуль идентификации абонента; VLR –
регистр местонахождения посетителей).
В соответствии с представленной архитектурой в целом можно
приобретать оборудование у разных поставщиков и ожидать, что оно
будет успешно взаимодействовать. В стандарте GSM определены
также дополнительные интерфейсы, но в данном пособии они рас-
сматриваться не будут.
Мобильная станция. Через интерфейс Um, называемый также ра-
диоинтерфейсом, мобильная станция сообщается с трансивером ба-
зовой станции в той ячейке, в которой находится мобильное устрой-
ство. Термином «мобильное оборудование» (Mobile Equipment, ME)
обозначается физический терминал, такой как телефон или устрой-
ство персональной службы связи (Personal Communication Service,
PCS), включающее в себя радиотрансивер, процессоры для обработ-
ки цифровых сигналов и модуль идентификации абонента (Subscri-
ber Identity Module, SIM).
SIM представляет собой портативное устройство, имеющее вид
интеллектуальной карточки или встраиваемого модуля, в котором
хранятся идентификационный номер абонента, координаты сетей,
которыми разрешено пользоваться абоненту, ключи шифрования и

другая информация об абоненте.
Абонентские устройства GSM до вставки модуля SIM абсолютно
неотличимы друг от друга. Поэтому путешествующий абонент, захва-
тивший с собой свой модуль SIM, может в разных странах использо-
вать разные устройства, вставляя в них свой модуль. В действительно-
сти, за исключением определенных срочных соединений, абонентские
устройства не будут работать без вставленного модуля SIM.
Um Abis A
ME Базовая VLR AuC EIR HLR

трансивер-
ная станция
SIM Кон-
Мобиль- Базовая троллер Центр
ная стан- трансивер- базовой обслуживания
станции и эксплуатации
ция ная станция Мобиль-
ный центр
.
. Подситема
коммута-
Сеть передачи
. ции
данных
ME базовой
станции
Сетевая подсистема
SIM
.
.
Мобиль- .
ная стан-
ция PSTN
Рис. 10.7. Общая архитектура GSM
Подсистема базовой станции (Base Station Subsystem, BSS) со-

стоит из контроллера базовых станций и одной или нескольких ба-
зовых трансиверных станций.
Каждая базовая трансиверная станция (Base Transceiver Station,
BTS) определяет ячейку, в которую входит радиоантенна, радио-
трансивер и канал связи с контроллером базовых станций. Ячейка
GSM может иметь радиус от 100 м до 35 км в зависимости от среды.
Контроллер базовой станции (Base Station Controller, BSC) может
совмещаться с BTS или управлять работой нескольких устройств

BTS, а следовательно, нескольких ячеек. Контроллер BSC резерви-
рует радиочастоты, управляет переключениями мобильных устройств
с одной ячейки на другую в пределах одной подсистемы BSS и кон-
тролирует избирательное обращение.
Сетевая подсистема (Network Subsystem, NS) обеспечивает
связь между сотовой сетью и общественными коммутируемыми те-
лекоммуникационными сетями. Подсистема NS управляет переклю-
чениями между ячейками, находящимися в различных подсистемах
базовых станций, опознает пользователей и подтверждает достовер-
ность их счетов, а также выполняет функции роуминга мобильных
пользователей. Центральным элементом подсистемы NS является мо-
бильный центр коммутации (Mobile Switching Center, MSC). Он уп-
равляет четырьмя базами данных.
1. База данных регистра исходного положения (Home Location
Register, HLR). В регистре HLR хранится информация, как временная,
так и постоянная, о каждом из абонентов, который «принадлежит»
системе (т. е. об абонентах, телефонные номера которых связаны с
центром коммутации).
2. База данных регистра местонахождения посетителей (Visi-
tor Location Register, VLR). Одну из важных частей информации со-
ставляет местонахождение абонента. Местонахождение определяется
из регистра VLR, в который введен абонент. В регистре местонахож-
дения посетителей хранится информация об абонентах, которые в
данный момент физически находятся в районе, обслуживаемом дан-
ным центром коммутации. В регистре отмечается, является ли абонент
активным, а также фиксируются другие связанные с ним параметры.
При поступлении звонка абоненту система использует связанный с
ним телефонный номер для опознания исходного для данного або-
нента центра коммутации. Этот центр коммутации, в свою очередь,
в регистре HLR может найти центр коммутации, в зоне действия ко-
торого в данный момент физически находится абонент. При поступ-
лении звонка от абонента регистр VLR используется для иницииро-
вания звонка. Даже если абонент находится в зоне, принадлежащей
его исходному центру коммутации, он может также быть представ-
лен в регистрах VLR других центров коммутации.
3. База данных центра аутентификации (Authentication Center,
AuC или АС). Эта база данных используется в процессе аутентифика-
ции; например, в ней хранятся ключи аутентификации и шифрования
для всех абонентов, представленных как в регистрах исходного по-

ложения, так и в регистрах местонахождения посетителей. Центр уп-
равляет доступом к данным пользователей, а также процессом аутен-
тификации при присоединении абонента к сети. Данные, передавае-
мые системами GSM, шифруются, поэтому они конфиденциальны.
Для шифровки данных, передаваемых от абонента трансиверу базо-
вой станции, используется поточный шифр А5. В то же время пере-
говоры по сети с наземными линиями связи проходят без шифрова-
ния. Другой поточный шифр, A3, используется для аутентификации.
4. База данных регистра идентификации оборудования (Equip-
ment Identity Register, EIR). В этой базе данных хранятся записи о
типе оборудования, которое имеется на мобильной станции. Эта база
данных также важна для безопасности (например, для блокирова-
ния звонков с украденных мобильных устройств и предотвращения
использования сети станциями, которым не было дано такого раз-
решения).
10.1.5. Сотовые системы первого и второго поколения
Сотовые системы первого поколения (1G – 1st Generation),

подобные AMPS, быстро приобрели широкую популярность.
Они строились на основе аналоговых сигналов и опирались
на несколько разных стандартов.
Существуют следующие ключевые различия между системами

первого и второго поколений.
1. Цифровые информационные каналы. Системы первого поко-
ления практически полностью аналоговые, в то время как системы
второго поколения являются цифровыми. В частности, системы пер-
вого поколения спроектированы для поддержки голосовых каналов
с использованием частотной модуляции; цифровые данные можно
передавать только с использованием модема, который преобразует
цифровые данные в аналоговую форму.
2. Шифрование. Системы первого поколения отправляют поль-
зовательские данные в чистом виде, не обеспечивая никакой защиты.
3. Обнаружение и исправление ошибок. В результате можно
обеспечить довольно чистый прием речи.
4. Доступ к каналам. В системах первого поколения каждая

ячейка поддерживает несколько каналов. В любой момент времени
канал может быть выделен только одному пользователю. В системах
второго поколения ячейкам также выделяется по несколько каналов,
к тому же каждый канал может совместно использоваться несколь-
кими пользователями посредством схем множественного доступа
с временным разделением (ТDМА) или множественного доступа с
кодовым разделением (СDМА); см. подглаву 3.2.
Система связи 2G (1991 г.) функционировала на основе двух

стандартов: GSM и CDMA, а также включала в себя систему
обмена короткими текстовыми сообщениями (SMS), сервис
USSD (Unstructured Supplementary Service Data – неструкту-
рированные дополнительные сервисные данные; сервис USSD
по формату схож с SMS, однако это сервис моментальных со-
общений, которые не хранятся ни на стороне оператора, ни
на устройстве абонента) и ряд других протоколов быстрого
обмена данными, которые существуют и по сей день.
Начиная с 1990-х годов было внедрено немало различных си-

стем второго поколения (2G). В таблице перечислены некоторые
ключевые характеристики трех наиболее важных из них.
Сотовые телефонные системы

второго поколения
Характеристика GSM IS–136 IS–95
Метод доступа TDMA TDMA CDMA
Полоса частот для передачи сигналов базовой
станции, МГц 935–960 869–894 869–894
Полоса частот для передачи сигналов мобиль-
ного устройства, МГц 890–915 824–849 824–849
Доступ многих пользователей к сотовой системе первого поко-

ления осуществляется с помощью технологии FDMA (п. 3.2.3).
Технология разделения каналов TDMA уже упоминалась в гла-
ве 2. Применение схемы TDMA в сотовой системе можно описать
следующим образом. Так же, как и при использовании FDMA, каждой
ячейке выделяется некоторое количество каналов, половина из ко-

торых используется для обратной связи, а половина – для прямой.
Передача данных осуществляется в виде последовательности кад-
ров с повторяющейся структурой: каждый кадр делится на некото-
рое число слотов. Положение каждого слота в последовательности
кадров определяет отдельный логический канал.
Множественный доступ с кодовым разделением каналов (Code
Division Multiple Access, CDMA; см. п. 3.2.2) представляет собой ос-
нованную на расширении спектра схему, которая является второй
после TDMA альтернативой разделения каналов для сотовых сетей
второго поколения.
Использование схемы CDMA для сотовых сетей имеет несколько
преимуществ.
1. Частотное разнесение. Из-за того что передаваемые сигналы
рассеяны по широкой полосе частот, искажение передачи на опре-
деленной частоте, например вследствие шума или селективного за-
мирания, меньше влияет на сигнал.
2. Снижение негативных эффектов многолучевого распростра-
нения.
3. Конфиденциальность. Каждый пользователь имеет свой код,
такой схеме изначально присуща конфиденциальность.
4. Постепенное снижение эффективности функционирования
системы. В схемах ТDМА или FDMA к системе может одновременно
обращаться только фиксированное число пользователей. В CDMA
же по мере возрастания количества пользователей, получивших од-
новременный доступ к системе, уровень шума и, следовательно, ча-
стота появления ошибок увеличиваются.
Следует упомянуть и о некоторых недостатках сотовой схемы
CDMA:
− проблема расположения. Сигналы, поступающие от более близ-
ких к передатчику объектов, не так затухают, как сигналы, пришедшие
издалека. Поэтому в системах CDMA очень важное значение имеют
схемы регулирования мощности;
− мягкое переключение. Как будет показано далее, для плавности
переключения с одной ячейки в следующую требуется, чтобы мо-
бильное устройство вошло в новую ячейку до того, как оно оставит
старую. Это называется мягким переключением, которое является
более сложным, чем жесткое переключение, используемое в схемах
FDMA и ТDМА.
10.1.6. Сотовые системы третьего поколения 3G
Системы связи поколения 3G разрабатывались с целью по-

лучения высокоскоростных беспроводных средств передачи
не только речи, но и данных, мультимедиа и видео.
По инициативе ITU IMT-2000 определено следующее видение

союзом ITU возможностей систем третьего поколения. Приведем не-
которые их характеристики.
1. Качество речи сравнимо с качеством речи в общественной
коммутируемой телефонной сети: доступна скорость передачи дан-
ных в 144 Кбит/с.
2. Для низкоскоростных систем доступная скорость передачи
данных составляет 384 Кбит/с.
3. Для учреждений поддерживается скорость передачи данных
2,048 Мбит/с.
4. Передачи данных могут быть симметричными и асиммет-
ричными.
5. Поддерживается связь как с коммутацией пакетов, так и с
коммутацией каналов.
6. Адаптивный интерфейс с Internet позволяет эффективно отра-
жать асимметрию прибывающего и отправляемого трафика.
7. Доступный спектр частот используется более эффективно.
8. Поддерживается разнообразное мобильное оборудование.
9. Система достаточно гибка для введения новых услуг и тех-
нологий.
Эти характеристики и концепции глобальной беспроводной связи
были названы персональными службами связи (Personal Communica-
tions Services, PCS) и персональными сетями связи (Personal Commu-
nications Network, PCN), а их воплощение в жизнь является задачей
беспроводных систем третьего поколения.
Телефоны PCS, согласно проекту, должны иметь меньшую мощ-
ность и быть относительно маленькими и легкими.
Сети третьего поколения 3G работают на частотах деци-

метрового диапазона, как правило, в диапазоне около 2 ГГц,
передавая данные со скоростью до 14 Мбит/с. Они позволяют
организовывать видеотелефонную связь.
Стандарт 3G включает в себя 5 отдельных стандартов семей-

ства IMT-2000 (UMTS/W-CDMA, CDMA2000, TD-CDMA, DECT и
UWC-136). Из перечисленных составных частей 3G только первые
три представляют собой полноценные стандарты сотовой связи треть-
его поколения, а DECT и UWC-136 играют вспомогательную роль.
DECT (Digital Enhanced Cordless Telecommunications) – это стандарт
беспроводной телефонии домашнего или офисного назначения, ко-
торый в рамках мобильных технологий третьего поколения может
использоваться только для организации точек горячего подключе-
ния к данным сетям. Стандарт UWC-136 (Universal Wireless Com-
munications) – это технология EDGE (Enhanced Data Rates for GSM
Evolution), которая относится к предыдущему поколению.
Стандарт UMTS (Universal Mobile Telecommunication System –
универсальная система мобильной связи) теоретически обеспечивает
обмен информацией на скоростях до 2048 Кбит/с, однако на практике
скорость может быть несколько ниже. В сетях W-CDMA (Wideband
Code Division Multiple Access) используют разделение сигнала по
кодово-частотному принципу, т. е. идентификация пакетов информа-
ции, передаваемых абонентами, производится не только по уникаль-
ному идентификатору, но и по частоте. Для передачи данных протоко-
лы UMTS используют частоты 1885–2025 МГц для передачи данных в
режиме от мобильного терминала к базовой станции и 2110–2200 МГц
для передачи данных в режиме от станции к терминалу.
Стандарт TD-CDMA (Time-Division Code Division Multiple Access)
близок к рассмотренному выше стандарту W-CDMA, однако его ос-
новой является гибридный кодово-временнόй принцип разделения
сигнала. В целом считается, что именно стандарт TD-CDMA явля-
ется наилучшим для передачи данных в сети Интернет.
Технологию CDMA2000 следует рассматривать как эволюцию
технологии CDMA, тогда как UMTS радикально отличается от GSM.
Стандарт CDMA2000 разделяют на три фазы – 1X (известна также
как IS-95C), 1X EV-DO (только данные) и 1X EV-DV (данные и голос).
Именно стандарт 1X EV-DV может считаться полноценным 3G-стан-
дартом. Отметим, что изначально не было разделения на 1X EV-DO и
1X EV-DV, а в стандарте CDMA выделяли только две фазы – 1XRTT
и 3XRTT. Скорость обмена информацией в сетях CDMA2000 1X
может достигать 153,6 Кбит/с, в стандарте CDMA2000 1X EV-DO –
2,4 Мбит/c (ревизия 0) и 3,1 Мбит/c (ревизия А). В отличие от стан-
дарта UMTS, стандарт CDMA2000 не оговаривает, какие частоты
должны использоваться для передачи сигнала, поэтому построение

сетей CDMA 2000 возможно во всех частотных диапазонах, исполь-
зуемых операторами сотовой связи – 450, 700, 800, 900, 1700, 1800,
1900, 2100 МГц.
В сетях 3G обеспечивается предоставление двух базовых

услуг: передача данных и передача голоса. Сети 3G характе-
ризуются преобладанием трафика data-cards (USB-модемы,
ExpressCard/PCMCIA-карты для ноутбуков) над трафиком те-
лефонов и смартфонов 3G.
Согласно регламентам ITU (International Telecommunications

Union – Международный союз электросвязи) сети 3G должны под-
держивать следующие скорости передачи данных:
– для абонентов с высокой мобильностью (до 120 км/ч) – не ме-
нее 144 Кбит/с;
– для абонентов с низкой мобильностью (до 3 км/ч) – 384 Кбит/с;
– для неподвижных объектов – 2,048 Мбит/с.
В сетях с кодовым разделением каналов, в том числе и 3G, есть
важное преимущество – улучшенная защита от обрывов связи в дви-
жении за счет «мягкого» переключения между станциями. По мере
удаления от одной базовой станции клиент «подхватывается» дру-
гой. Она начинает передавать все больше и больше информации, в
то время как первая станция передает все меньше и меньше, пока
клиент вообще не покинет зону ее обслуживания. При хорошем по-
крытии сети вероятность обрыва полностью исключается системой
подобных «подхватов». Это отличается от поведения систем с ча-
стотным и временным разделением каналов (GSM), в которых пе-
реключение между станциями «жесткое» и может приводить к за-
держкам в передаче и даже обрывам соединения.
10.1.7. Сотовые системы четвертого поколения 4G
Разработка технологий передачи информации в сети четвертого

поколения (4G) началась в 2000 г. с исследований японской компа-
нии NTT DoCoMo. Позже к ней присоединились такие компании, как
Hewlett-Packard, Sprint, Imagine, Google, Intel, Comcast, Bright House,
Time Warner, Ericsson и др. Таким образом, появилось два стандарта:

LTE (Long Term Evolutian) и WiMAX (IEEE 802.16e), которые, по
мнению IMT-Advanced, и стали новой эрой в развитии сети. Техно-
логия LTE возникла в процессе развития организацией 3GPP техно-
логии UMTS, относящейся к сетям 3G.
Параллельно организацией WiMAX Forum создавалась техноло-
гия WiMAX, основанная на беспроводной технологии Wi-Fi. В 2005 г.
в Южной Корее оператор связи КТ представил услуги мобильной
связи WiMAX в Пусане, и с 2006 г. началось коммерческое исполь-
зование данной технологии. Первым запуском LTE считается раз-
вертывание сети в городских центрах Стокгольма (Ericsson и Nokia
Siemens Networks) и Осло (Huawei) в 2009 г.
Технические характеристики. Система 4G основывается на тех-
нологиях LTE и IEEE 802.16e (также известной как WiMAX). Пиковая
скорость восходящего потока в технологии LTE – 50 Мбит/с, нисходя-
щего – 100 Мбит/с при использовании канала 20 МГц, однако вместе
с MIMO (Multiple Input/Multiple Output – множество входов/множе-
ство выходов) в технологии WiMAX можно достигнуть скоростей в
56 и 128 Мбит/с соответственно. В технологиях четвертого поколения
используется более 40 диапазонов частот (в каждом регионе – свои).
В США – 700 МГц, 1710–1755 МГц (передача) и 2110–2155 МГц
(прием), т. е. 1,7 и 2,1 ГГц; в Европе – 1800 и 2600 МГц, в перспекти-
ве – 800 МГц; в Японии – 800 и 850 МГц; 1,5, 1,7 и 2,1 ГГц.
В отличие от предыдущих поколений, а именно от третьего,

система 4G не поддерживает традиционные услуги телефо-
нии с коммутацией каналов. В 4G используется IP-телефония,
т. е. коммутация пакетов. Для пересылки данных использу-
ется IPv4 (планируется перейти на IPv6). Для осуществления
услуг телефонии вызовы и сообщения «перенаправляются»
через существующие сети 2G и 3G.
Теоретически стандарт 4G позволяет передавать информацию

со скоростью в пять-семь раз выше, чем 3G и даже так называемый
3,5G (HSPA, HSPA+), где максимальная скорость равна 150 Мбит/с.
Для увеличения эффективности передачи информации в сетях
4G используются технологии ортогонального частотного уплотнения
OFDM и MIMO.
Вопреки ошибочному мнению, первые версии данных технологий

не относятся к сетям четвертого поколения в связи со своими техни-
ческими возможностями, а именно не удовлетворяют требованию вы-
сокой скорости передачи данных. Версии LTE-A (LTE-Advanced) и
IEEE 802.16m (WiMAX2) признаны технологиями 4G Международ-
ным союзом электросвязи в 2010 г. Пиковая скорость восходящего
потока LTE-A составляет 500 Мбит/с, нисходящего – 1 Гбит/с. Тех-
нология WiMAX2 обеспечивает скорости 90 и 179 Мбит/с соответ-
ственно при использовании частот до 11 ГГц.
Сегодня технология 4G обладает следующими возможностями:

– высокоскоростной доступ в Интернет;
– IP-телефония;
– мобильное ТВ высокой четкости;
– видеоконференции;
– 3D-телевидение и т. д.
10.1.8. Сотовые системы пятого поколения 5G
Первые исследования данных систем начались в 2008 г. В Вели-

кобритании 8 октября 2012 г. был создан исследовательский центр
5G с целью разработки технологии связи для замены 4G (ожидаемо
в течение десяти лет). В этом же году организован проект METIS
для определения стандартов 5G, который добивается значимых ре-
зультатов путем обсуждения на ведущих мировых форумах.
Уже в мае 2013 г. компания Samsung Electronics заявила об изобре-
тении 5G-системы. Технология поддерживала скорость передачи дан-
ных в десятки гигабитов в секунду. При тестировании был показан ре-
зультат в 1,056 Гбит/с при передаче данных на расстояние 2 км. В ок-
тябре 2013 г. компания Huawei заявила о вложении 600 млн долл. США
в развитие технологии, которая увеличит скорость передачи данных
в 100 раз по сравнению со скоростью LTE-сетей. Тестирования тех-
нологий в 2016 г. показали скорость в 5 Гбит/с, что позволило пере-
давать видео в разрешении 8K Ultra HD. В октябре 2016 г. компания
Qualcomm представила первый мобильный модем, поддерживаю-
щий 5G. Тем временем множество компаний по всему миру заявляют
о развертывании 5G-сетей.
5G – это системы пятого поколения беспроводной телефон-

ной связи, от которых ожидается значительный рост скоро-
сти передачи данных (от 10 Гбит/с), увеличение емкости
сети, уменьшение задержек. Одной из задач, предписывае-
мой для 5G-системы, является создание базы для интернета
вещей (IoT).
Технические характеристики 5G-сетей. Так как на сегодняш-

ний день общепринятых норм и характеристик технологии 5G не
существует, компании-разработчики заключили соглашение об об-
суждении стандартов для данного вида связи раз в полгода.
В настоящее время компания NGMN Alliance определяет сле-
дующие требования к 5G:
1) скорость передачи данных от 10 Мбит/с для нескольких де-
сятков тысяч подключений;
2) скорость передачи данных от 100 Мбит/с для крупных горо-
дов с пригородами;
3) скорость передачи данных от 1 Гбит/с для пользователей, на-
ходящихся на одном этаже здания;
4) поддержка подключения 10–100 тыс. устройств в беспровод-
ных сенсорных сетях;
5) задержка сигнала до 10 мс;
6) усиление эффективности использования полосы пропускания
по сравнению с 4G;
7) увеличение охвата связи;
8) усиление сигнальной эффективности сети.
Для технологии 5G частотный диапазон может быть выше 3,5 ГГц
(теоретически до 100 ГГц).
В целом предполагается использование сетей пятого поколения
во всех сферах жизни информационного общества. Новое поколение
мобильной связи может стать базовым для интернета вещей (IoT).
Множество устройств с элементарными датчиками смогут обмени-
ваться данными между собой, и для этого потребуется высокая ско-
рость обмена данными, а самое главное – поддержка огромного ко-
личества соединений.
Выполнение этих требований ждут от технологий 5G. В кон-
цепции нового поколения связи разрабатывается и отдельная сеть
для умных устройств − 5G-IoT.
Выводы 355
Выводы
1. Принцип организации сотовой связи состоит в использова-

нии множества маломощных передатчиков. Поскольку диапазон
действия таких передатчиков довольно мал, зону обслуживания си-
стемы можно разбивать на ячейки, каждая из которых будет обслу-
живаться собственной антенной (на практике используется гекса-
гональная схема). Каждая ячейка, которой выделяется своя полоса
частот, обслуживается базовой станцией, состоящей из передатчика,
приемника и модуля управления.
2. В каждой ячейке сотовой сети имеется базовый трансивер.
Мощность передаваемых сигналов тщательно регулируется. Как пра-
вило, каждой ячейке выделяется 10–50 частот в зависимости от пла-
нируемой нагрузки.
3. Предусмотрено несколько вариантов расширения числа об-
служиваемых клиентов одной ячейкой: добавление новых каналов,
заимствование частот, расщепление ячеек, разбивка ячеек на сек-
торы, микроячейки.
4. Сотовые системы первого поколения являлись аналоговыми,
а системы второго поколения – цифровыми, что позволило исполь-
зовать шифрование, а также средства исправления ошибок для обес-
печения качества передачи. В системах первого поколения каждая
ячейка поддерживает несколько каналов. В любой момент времени
канал может быть выделен только одному пользователю. В системах
второго поколения ячейкам также выделяется по несколько каналов,
однако каждый канал может совместно эксплуатироваться несколь-
кими пользователями посредством схем множественного доступа с
временным разделением. Дальнейшее развитие сотовых систем вто-
рого поколения привело к использованию множественного доступа
с кодовым разделением (СDМА).
5. Стандарт GSM был разработан для внедрения в Европе общей
технологии второго поколения, чтобы одни и те же абонентские
устройства можно было использовать по всему континенту (ранее
это было невозможно).
6. Беспроводные системы связи третьего поколения разрабаты-
ваются с целью получения высокоскоростных беспроводных средств
передачи не только речи, но и данных, мультимедиа и видео.
10.2. Сети Bluetooth
Технология была представлена шведским производителем мо-

бильных средств связи Ericsson в 1994 г. как средство, которое поз-
воляет портативным компьютерам совершать звонки по мобиль-
ным телефонам. С тех пор несколько тысяч компаний работают
над тем, чтобы технология Bluetooth стала стандартом множества
маломощных, действующих на близком расстоянии беспроводных
устройств.
Название Bluetooth («голубой зуб») произошло от прозвища дат-
ского короля Гарольда Блаатанда (Harald Blaatand), жившего в X в.
Стандарты Bluetooth публикуются промышленным консорциумом
Bluetooth SIG (Special Interest Group – специальная группа).
Bluetooth – это внедренное в микрочип невыключающееся

радиоустройство ближнего действия. Цель разработки стан-
дартов Bluetooth – унифицировать возможности ближней ра-
диосвязи. Технология Bluetooth предназначена для работы в
среде со многими пользователями.
В диапазоне 2,4 ГГц (общедоступные нелицензируемые частоты

для маломощных устройств) два аппарата Bluetooth, находящиеся
на расстоянии до 10 м, могут совместно использовать пропускную
способность до 720 Кбит/с. Технология Bluetooth предназначена для
поддержки многих приложений (полный список достаточно объе-
мен и продолжает пополняться: передача данных, аудио, графики,
видео и т. д.). Например, чип Bluetooth может внедряться в такие
аудиоустройства, как наушники, беспроводные и обычные телефоны,
домашние стереопроигрыватели и цифровые МР3-плееры. С помо-
щью Bluetooth потребители могут делать следующее:
– звонить с беспроводного головного телефона, удаленно свя-
занного с телефоном ячейки сотовой связи;
– соединять компьютеры с периферией (принтеры, клавиатуры,
мыши), не используя кабель;
– подключать без проводов МР3-плееры к другим аппаратам с
целью загрузки музыкальных файлов;
– организовывать домашние сети.
10.2. Сети Bluetooth 357
10.2.1. Топология, адресация и особенности эксплуатации

сети Bluetooth
Все устройства сети Bluetooth делятся на ведущие (Master) и

подчиненные (Slave). Обмен информацией может осуществ-
ляться только между ведущим и подчиненным устройствами,
при этом каждое устройство может быть и ведущим, и под-
чиненным.
Основным элементом организации сетей Bluetooth является
пикосеть, состоящая из одного ведущего устройства и 1–7 ак-
тивных подчиненных устройств.
Кроме того, в одну пикосеть может входить неограниченное ко-

личество устройств, находящихся в неактивном режиме. Подчинен-
ное устройство может сообщаться только с ведущим, причем только
тогда, когда это разрешает ведущее устройство. В каждый момент
времени обмен данными может идти только между двумя устрой-
ствами в одном направлении.
Любое устройство одной пикосети может также входить в дру-
гую пикосеть в качестве как подчиненного, так и ведущего. Данная
схема с перекрытием пикосетей называется рассеянной сетью.
На рис. 10.8 слева приведен пример пикосетей, а справа – рассе-
янной сети, состоящей из трех перекрывающихся пикосетей. На этом
рисунке буквой M (Master) обозначены ведущие устройства, бук-
вой S (Slave) – подчиненные, а M/S означает, что устройство является
ведущим в одной пикосети и подчиненным – в другой.
Рис. 10.8. Топология сетей Bluetooth

С целью однозначной идентификации каждое устройство Bluetooth

имеет уникальный 48-битный адрес (выдается регистрирующим ор-
ганом IEEE). Адрес состоит из следующих частей (см. рис. 10.9):
– LAP (Lower Address Part) – нижняя часть адреса;
– UAP (Upper Address Part) – верхняя часть адреса;
– NAP (Non-Significant Part) – несущественная часть адреса.
Назначаемый ID производителя
LAP UAP NAP
0000 0001 0000 0000 0000 0000 0001 0010 0111 1011 0011 0101
Рис. 10.9. Структура и пример адреса устройства Bluetooth
64 значения (0x9E8B00–0x9E8B3F) LAP-части зарезервированы

для кодов доступа процедуры опроса и не могут являться частью ад-
реса устройства. LAP и UAP вместе участвуют в выборе псевдослу-
чайной последовательности перестройки частоты, кроме того, LAP
формирует синхрослово в коде доступа, а UAP участвует в процессе
проверки ошибок.
В ходе установления и эксплуатации канала устройство Bluetooth
может находиться в различных состояниях (трех основных и семи про-
межуточных).
Основные состояния:
1) холостое состояние – низкое энергопотребление, работают
только часы устройства;
2) состояние соединения – устройство подключено к пикосети;
3) состояние парковки – состояние подчиненного устройства,
от которого не требуется участия в работе пикосети, но которое
должно оставаться ее частью.
Промежуточные состояния (для подключения к пикосети но-
вых подчиненных устройств):
1) опрос – определение устройством наличия других устройств
в пределах его досягаемости;
2) поиск опроса – ожидание устройством опроса;
3) ответ на опрос – устройство, получившее опрос, отвечает
на него;
4) запрос – посылается одним устройством другому для уста-
новления с ним соединения (запрашивающее устройство становится
ведущим, запрашиваемое – подчиненным);
5) поиск запроса – устройство ожидает запрос;
6) ответ подчиненного устройства – подчиненное устройство

отвечает на запрос ведущего;
7) ответ ведущего устройства – ведущее устройство отвечает
подчиненному после получения от него ответа на запрос.
На рис. 10.10 приведена диаграмма возможных переходов между
состояниями устройства Bluetooth.
Рис. 10.10. Диаграмма переходов

между состояниями Bluetooth
10.2.2. Области применения Bluetooth
В маленькую сеть, называемую пикосетью (Piconet), могут объ-

единяться до восьми устройств. Десять таких пикосетей могут со-
существовать в одном радиодиапазоне Bluetooth. Для обеспечения
безопасности каждый канал связи кодируется и защищается от под-
слушивания и интерференции.
Bluetooth предусматривает поддержку трех основных областей
применения с использованием беспроводной связи ближнего дей-
ствия. Кратко охарактеризуем их.
1. Точки доступа для ввода данных (в том числе – посредством
голоса). Bluetooth способствует передаче в реальном времени данных
и речи, обеспечивая удобную беспроводную связь портативных и

стационарных аппаратов связи.
2. Замена кабеля. При наличии Bluetooth отпадает необходи-
мость в многочисленных кабельных проводах, которые сопровождают
практически все устройства связи. Соединение Bluetooth устанавли-
вается мгновенно, причем связываемые устройства не обязательно
должны находиться в пределах прямой видимости. Радиус охвата по-
рядка 10 м, а если использовать усилитель, эту величину можно до-
вести до 100 м.
3. Организация эпизодических сетей. Устройство, оснащенное
чипом Bluetooth, может мгновенно устанавливать связь с другим
устройством, находящимся в пределах области охвата.
Приведем несколько примеров того, как можно использовать
технологию Bluetooth.
1. Телефон «три в одном». Если вы в офисе – телефон работает
как интерком (не нужно платить за услуги телефонии), дома это бес-
проводной телефон (оплачивается как стационарное устройство), а
если вы перемещаетесь, его можно использовать как обычный мо-
бильный телефон (это уже сотовая связь).
2. Мост Internet. Портативный ПК можно связать с Internet от-
куда угодно либо посредством мобильного телефона (беспроводное
соединение), либо с помощью кабеля (PSTN, ISDN, ЛВС, xDSL).
3. Интерактивная конференция. На встречах и конференциях
информацию можно мгновенно распространять между всеми участ-
никами. Кроме того, проектором можно управлять и не имея про-
водного соединения.
4. Удаленный головной телефон. Соединить головной телефон
с мобильным ПК или любым проводным соединением.
5. Громкоговоритель портативного ПК. Соединить беспровод-
ной головной микрофон с портативным ПК и использовать его как
микрофон.
6. Почта из портфеля. Получить доступ к электронной почте,
не вынимая портативный ПК из портфеля. Как только ПК получит
почту, вам об этом сообщит мобильный телефон. Используя тот же
мобильный телефон, можно просмотреть входящую почту и прочи-
тать сообщения.
7. Задержанные сообщения. Электронную почту можно занести
в ПК. Как только появится возможность воспользоваться мобильным
телефоном, сообщения будут посланы немедленно.
8. Автоматическая синхронизация. Автоматически синхрони-

зируется настольный компьютер, портативный ПК, ноутбук и мо-
бильный телефон.
9. Мгновенная цифровая открытка. Подключить (без проводов)
камеру к мобильному телефону или к любому выходу проводной свя-
зи, ввести комментарий с мобильного телефона, ноутбука или пор-
тативного ПК – и готовую открытку можно отправлять немедленно.
10. Беспроводной настольный компьютер. Компьютеру не нужны
провода, чтобы соединиться с принтером, сканером, клавиатурой,
мышью или локальной сетью.
10.2.3. Стандарты Bluetooth и структура протоколов
Стандарты Bluetooth содержат технологическую (внутреннюю)

спецификацию Bluetooth и спецификацию профиля. Внутренние спе-
цификации описывают детали разнообразных уровней протокольной
архитектуры Bluetooth (от радиоинтерфейса до управления каналом
связи).
В спецификациях профиля описано использование технологии
Bluetooth для поддержки различных приложений. В каждой специ-
фикации рассматривается применение технологии, определенной во
внутренней спецификации, для реализации конкретной модели ис-
пользования. В спецификации профиля указывается, какие аспекты
внутренних спецификаций Bluetooth являются обязательными, не-
обязательными и неприменимыми. Bluetooth определяется как мно-
гоуровневая протокольная архитектура (рис. 10.11).
Архитектура Bluetooth состоит из внутренних протоколов,

протоколов замены кабеля, управления телефонией и адап-
тированных протоколов.
К последним относятся: AT – сигнальная последовательность

(префикс модема); IP – сетевой протокол (Internet); OBEX – прото-
кол объектного обмена; PPP – протокол двухточечного соединения;
RFCOMM – связь на радиочастотах; SDP – протокол обнаружения
службы; TCP – транспортный протокол управления передачей; UDP –
протокол пользовательских дейтаграмм; TCS BIN – спецификация
управления телефонией; vCal – виртуальный календарь; vCard –

виртуальная карта; WAE – среда беспроводных приложений; WAP –
протокол беспроводных приложений). Внутренние протоколы фор-
мируют пятиуровневый стек.
WAE
vCard/vC Команды TCS SDP
OBEX WAP AT BIN
UDP/TCP
IP
PPP
Аудио RFCOMM
Протокол управления логическим каналом и адаптации
Интерфейс Контроль
«Хост-контроллер»
Протокол администрирования
канала (LMP)
Узкополосная передача
Радио Bluetooth
Протоколы контроля
Внутренние протоколы
телефонии
Протокол кабельной замены Адаптированные протоколы
Рис. 10.11. Стек протоколов Bluetooth
В Bluetooth определен протокол управления телефонией. Про-

токол TCS BIN (Telephony Control Specification Binary – специфи-
кация управления телефонией – бинарная) – это протокол с битовой
структурой, который определяет передачу сигналов управления
вызовами с целью установления сеансов передачи речи и данных
между устройствами Bluetooth. Кроме того, он определяет процеду-
ры управления мобильностью для управления группами устройств
Bluetooth TCS.
Адаптированный протокол определяется в спецификациях, вы-

пускаемых другими организациями по стандартизации, и вводится
в общую архитектуру Bluetooth. Стратегия Bluetooth заключается в
создании только необходимых протоколов при максимально возмож-
ном использовании имеющихся стандартов.
10.2.4. Модели использования Bluetooth
В документах по профилям Bluetooth определено несколько мо-

делей использования.
Модель использования – это набор протоколов, которые реали-
зуют конкретное приложение на основе Bluetooth. Каждый профиль
определяет протоколы и свойства протоколов, поддерживающие кон-
кретную модель использования. Перечислим модели использования
с наивысшим приоритетом.
1. Передача файлов. Модель поддерживает передачу каталогов,
файлов, документов, изображений и потоковую информацию. Дан-
ная модель использования также содержит возможность просмотра
папки с удаленного устройства.
2. Мост Internet. Используя данную модель, ПК связывается без
проводов с мобильным телефоном или беспроводным модемом для
удаленного телефонного доступа к сети или факсу.
3. Доступ к локальной сети. Данная модель использования позво-
ляет устройствам пикосети получить доступ к локальной сети. После со-
единения работа устройства та же, что и при проводном подключении.
4. Синхронизация. Данная модель обеспечивает синхронизацию
содержащейся на устройствах персональной информации, такой как
записи в телефонной книге, календаре, сообщения и заметки. Здесь
следует упомянуть IrMC (Ir Mobile Communications – мобильная связь
в инфракрасном диапазоне), протокол IrDA, который позволяет пе-
редавать между устройствами обновленную персональную информа-
цию (по схеме «клиент-сервер»).
5. Телефон «три в одном». Телефонные трубки, которые реали-
зуют данную модель использования, могут работать как беспровод-
ной телефон, подсоединенный к голосовой базовой станции, как ин-
терком, связанный с другими телефонами, и как сотовый телефон.
6. Головной телефон. Головной телефон может использоваться
как устройство аудио ввода-вывода удаленного устройства.
Выводы
1. Bluetooth – это внедренное в микрочип невыключающееся ра-

диоустройство ближнего действия. Технология Bluetooth предназна-
чена для работы в среде со многими пользователями.
2. Целью разработки стандартов Bluetooth явилась необходимость
унификации возможностей ближней радиосвязи. Bluetooth опреде-
ляется как многоуровневая протокольная архитектура.
3. При разработке стандарта Bluetooth упор был сделан на созда-
ние только необходимых протоколов при максимально возможном
использовании имеющихся, например TCP/IP, IPX/SPX и т. д.
4. Все устройства сети делятся на ведущие (Master) и подчинен-
ные (Slave). Обмен информацией может осуществляться только между
ведущим и подчиненным устройствами, при этом каждое из них мо-
жет быть и ведущим, и подчиненным.
5. Внутренние протоколы сетей Bluetooth формируют пятиуров-
невый стек.
6. В документах стандарта Bluetooth определено несколько мо-
делей использования, под которыми понимают набор протоколов,
реализованных в виде конкретных приложений на основе Bluetooth.
Каждый профиль определяет протоколы и свойства протоколов.
7. К моделям с наивысшим приорететом относятся: передача фай-
лов, мост Internet, доступ к локальной сети, синхронизация.
8. Структура протоколов формально не следует ни модели OSI,
ни TCP/IP, ни IEEE 802, ни какой-либо другой известной модели.
В самом низу находится физический (радиотехнический) уровень,
который вполне соответствует моделям OSI и IEEE 802. На нем
описывается радиосвязь и применяемые методы модуляции. Уро-
вень управления каналом связи (прямой передачи) чем-то напоми-
нает подуровень MAC, однако включает в себя и некоторые эле-
менты физического уровня. Здесь описывается то, как главный узел
управляет временными интервалами и как эти интервалы группи-
руются в кадры. Далее следуют два протокола, которые используют
протокол управления каналом связи. Протокол управления соеди-
нением устанавливает логические каналы между устройствами,
управляет режимами энергопотребления, сопряжением и шифрова-
нием, а также качеством обслуживания. Он находится ниже линии
10.3. Сверхвысокоскоростные cети 365
интерфейса хостконтроллера. Этот интерфейс – удобство для реа-

лизации: как правило, протоколы ниже линии реализуются на чипе
Bluetooth, а протоколы выше линии – на устройстве Bluetooth, где
чип размещен.
10.3. Сверхвысокоскоростные сети
10.3.1. Общая характеристика стандарта Gigabit Ethernet
В 1996 г. было объявлено о создании группы 802.3z для разра-

ботки протокола, максимально подобного Ethernet, но с битовой ско-
ростью 1000 Мбит/с.
Первая версия стандарта была рассмотрена в 1997 г., а оконча-
тельно стандарт 802.3z был принят 29 июня 1998 г. на заседании ко-
митета IEEE 802.3.
Основная идея разработчиков стандарта Gigabit Ethernet

состоит в максимальном сохранении идей классической
технологии Ethernet при достижении битовой скорости в
1000 Мбит/с.
Отметим, что избыточные связи и тестирование оборудования

не поддерживаются технологией Gigabit Ethernet.
Сходство технологий Gigabit Ethernet, Ethernet и Fast Ethernet
состоит в следующем.
Сохраняются все форматы кадров Ethernet. По-прежнему будут
существовать полудуплексная версия протокола, поддерживающая
метод доступа CSMA/CD, и полнодуплексная версия, работающая
с коммутаторами.
Поддерживаются все основные виды кабелей, используемые в
Ethernet и Fast Ethernet: волоконно-оптический, витая пара катего-
рии 5, коаксиал.
Для расширения максимального диаметра сети Gigabit Ethernet в
полудуплексном режиме до 200 м разработчики технологии предпри-
няли достаточно естественные меры, основывающиеся на известном
соотношении времени передачи кадра минимальной длины и времени

двойного оборота.
Минимальный размер кадра был увеличен (без учета преамбулы)
с 64 до 512 байтов или до 4096 битов. Станция может передать под-
ряд несколько кадров с общей длиной не более 65 536 битов или
8192 байтов. Если станции нужно передать несколько небольших
кадров, то она может не дополнять их до размера в 512 байтов, а пе-
редавать подряд до исчерпания предела в 8192 байта (в этот предел
входят все байты кадра, в том числе преамбула, заголовок, данные и
контрольная сумма). Предел в 8192 байта называется BurstLength.
10.3.2. Спецификации физической среды стандарта 802.3z
В стандарте 802.3z определены следующие типы физической

среды:
– одномодовый волоконно-оптический кабель;
– многомодовый волоконно-оптический кабель 62,5/125;
– многомодовый волоконно-оптический кабель 50/125;
– двойной коаксиал с волновым сопротивлением 75 Ом.
Многомодовый кабель. Для передачи данных по традиционно-
му для компьютерных сетей многомодовому волоконно-оптическо-
му кабелю стандарт определяет применение излучателей, работаю-
щих на двух длинах волн: 1300 и 850 нм. Для многомодового опто-
волокна стандарт 802.3z определил спецификации l000Base-SX и
l000Base-LX.
В первом случае используется длина волны 850 нм (S означает
Short Wavelength, короткая волна), а во втором – 1300 нм (L – Long
Wavelength, длинная волна).
Для спецификации l000Base-SX предельная длина оптоволо-
конного сегмента для кабеля 62,5/125 составляет 220 м, а для кабеля
50/125 – 500 м.
Одномодовый кабель. Для спецификации l000Base-LX в каче-
стве источника излучения всегда применяется полупроводниковый
лазер с длиной волны 1300 нм.
Максимальная длина кабеля для одномодового волокна равна
5000 м.
Для присоединения оптоволоконного трансивера к многомодо-
вому кабелю необходимо использовать специальный адаптер.
Твинаксиальный кабель. В качестве среды передачи данных ис-

пользуется высококачественный твинаксиальный кабель (Twinax) с
волновым сопротивлением 150 Ом (2×75 Ом). Максимальная длина
твинаксиального сегмента составляет всего 25 м, поэтому это реше-
ние подходит для оборудования, расположенного в одной комнате.
10.3.3. Gigabit Ethernet
Спецификация Gigabit Ethernet изначально предусматривала три

среды передачи: одномодовый и многомодовый оптический кабель с
длинноволновыми лазерами 1000BaseLX для длинных магистралей
для зданий и комплексов зданий, многомодовый оптический кабель
с коротковолновыми лазерами 1000BaseSX для недорогих коротких
магистралей, симметричный экранированный короткий 150-омный
медный кабель 1000BaseCX для межсоединения оборудования в ап-
паратных и серверных.
Однако в настоящее время четырехпарная 100-омная проводка
категории cat5 и cat6 является наиболее распространенной кабельной
системой во всем мире. Как известно, каждая пара кабеля категории 5
имеет гарантированную полосу пропускания до 100 МГц. Для пере-
дачи по такому кабелю данных со скоростью 1000 Мбит/с было решено
организовать параллельную передачу одновременно по всем четырем
парам кабеля (так же, как и в технологии 100VG-AnyLAN).
Один из ключевых вопросов для Gigabit Ethernet − это мак-

симальный размер сети. При переходе от Ethernet к Fast Ethernet
сохранение минимального размера кадра привело к уменьше-
нию диаметра сети с 2 км для 10BaseT до 200 м для 100BaseT.
Однако перенос без изменения всех отличительных составляю-

щих Ethernet − минимального размера кадра, времени обнаружения
коллизии (или кванта времени − Time Slot) и CSMA/CD − на Gigabit
Ethernet обернулся бы сокращением диаметра сети до 20 м, поэтому
в стандарте 802.3z было реализовано увеличение времени обнаруже-
ния коллизии с тем, чтобы сохранить прежний диаметр сети в 200 м.
Такое переопределение подуровня MAC необходимо для Gigabit
Ethernet, иначе отстоящие друг от друга на расстоянии 200 м станции
не смогут обнаружить конфликт, когда они обе одновременно пе-

редают кадр длиной 64 байта. Предложенное решение было названо
расширением несущей (carrier extension). Суть его в следующем. Если
сетевой адаптер или порт Gigabit Ethernet передает кадр длиной менее
512 байтов, то он посылает вслед за ним биты расширения несущей,
т. е. время обнаружения конфликта увеличивается. Если за время пе-
редачи кадра и расширения несущей отправитель зафиксирует кол-
лизию, то он реагирует традиционным образом: подается специаль-
ный сигнал и применяется механизм разрешения коллизий.
Очевидно, однако, что если все станции (узлы) передают кадры
минимальной длины (64 байта), то производительность реально по-
вышается всего на 12,5% (125 Мбит/с вместо 100 Мбит/с). Но даже
с учетом того, что средняя длина кадра составляет на практике 200–
500 байтов, пропускная способность возрастает всего лишь до 300–
400 Мбит/с.
Поэтому с целью повышения эффективности Gigabit Ethernet
комитет предложил метод пакетной передачи кадров (он подразуме-
вает передачу серии кадров подряд). В соответствии с этим методом
короткие кадры накапливаются и передаются вместе. Передающая
станция заполняет интервал между кадрами битов расширения не-
сущей, поэтому другие станции будут воздерживаться от передачи,
пока она не освободит линию.
Для распознавания коллизий и организации полнодуплексного
режима разработчики спецификации 802.3z применили технику,
используемую при организации дуплексного режима на одной паре
проводов в современных модемах и аппаратуре передачи данных
абонентских окончаний ISDN (рис. 10.12).
Одним из способов обойти ограничения, связанные с расшире-
нием несущей, является использование так называемых буферных
распределителей. Этот новый класс устройств (иногда их еще назы-
вают полнодуплексными повторителями) представляет собой нечто
среднее между повторителем и коммутатором.
Все порты гигабитного буферного распределителя работают в
полнодуплексном режиме и задействуют механизмы контроля по-
токов, определенные стандартом IEEE 802.3х. Как обычный повтори-
тель Ethernet, он передает поступивший кадр на все свои порты; как и
коммутатор Ethernet, способен принимать кадры на нескольких пор-
тах одновременно, при этом поступившие кадры помещаются в бу-
феры. При заполнении буферов распределитель задействует механизмы
управления потоками для информирования передающего узла о не-

обходимости приостановить передачу. Такой подход позволяет до-
стичь близкой к номинальной пропускной способности в разделяе-
мом сегменте Gigabit Ethernet.
T T
250 Мбит/с H H 250 Мбит/с
R R
T T
R R
T T
R R
T T
R R
Рис. 10.12. Двунаправленная передача по четырем парам UTP 5
Также были реализованы механизмы контроля потоков на основе

стандарта 802.3х. Хотя использование их не обязательно, но суть за-
ключается в следующем. Если принимающая станция (узел) на одном
конце прямого соединения оказывается перегружена, то она отправ-
ляет передающей станции так называемый кадр приостановки пере-
дачи (Pause Frame) с «просьбой» отказаться от передачи кадров на
определенный промежуток времени. В результате передающая стан-
ция останавливает передачу данных на указанный промежуток вре-
мени. Однако принимающая станция может отправить кадр с нулевым
временем ожидания с тем, чтобы отправитель возобновил передачу.
Первоначально Gigabit Ethernet использовался для увеличения
пропускной способности каналов между коммутаторами и соедине-
ний между коммутаторами и серверами. Соединение коммутаторов
Fast Ethernet по Gigabit Ethernet позволяло резко поднять пропускную
способность магистрали локальной сети и поддерживать в результате
большее число как коммутируемых, так и разделяемых сегментов Fast
Ethernet. Установка сетевой платы Gigabit Ethernet на сервер давала
возможность расширить канал с сервером и таким образом увеличить
производительность пользователей мощных рабочих станций.
10.3.4. 10-Gigabit Ethernet
Стандарт, прежде всего, обеспечивается сохранением стандарт-

ного протокола MAC, формата Ethernet-пакетов 802.3 и диапазона
допустимых размеров пакетов. Поэтому устройства, соответствую-
щие этому стандарту, смогут взаимодействовать с оборудованием
предыдущих разновидностей Ethernet, а значит сделанные в него ин-
вестиции не обесценятся.
10-гигабитные сети отличаются от своих предшествен-

ников не только возросшей скоростью передачи. Во-первых,
транспортировка трафика в них осуществляется только
в дуплексном режиме. Это позволяет отказаться от прото-
кола CSMA/CD, который сильно сдерживает производи-
тельность сетей Ethernet. Во-вторых, в сетях 10GE можно
использовать преимущественно волоконно-оптические со-
единения.
Ориентация на оптоволоконные системы привела к необходи-

мости прямо указывать в стандарте допустимые виды оптического
волокна и алгоритмы передачи. Несмотря на то, что формально про-
токол Ethernet относится ко второму уровню эталонной модели OSI,
ни один из принятых стандартов Ethernet не обходит стороной фи-
зическую среду передачи.
В архитектуре Ethernet физический уровень (PHY) разделяется
на подуровень, зависящий от среды (PMD), и кодирующий подуро-
вень PCS. Спецификации 802.3ae определяют два физических интер-
фейса: для локальных (LAN PHY) и глобальных (WAN PHY) сетей,
причем второй фактически является расширением первого. Оба они
используют один и тот же подуровень PMD и, следовательно, под-
держивают одинаковые длины соединений.
Существенной особенностью нового стандарта является спо-

собность оборудования 10GE взаимодействовать с сетями
SONET/SDH, которая означает возможность передавать па-
кеты Ethernet по каналам SONET/SDH с высокой эффектив-
ностью.
В результате экспансия технологии Ethernet на распределенные

городские сети, которая началась с появлением стандарта Gigabit
Ethernet (802.3z), теперь распространяется на сети глобальные. Именно
этой цели служит интерфейс WAN PHY. Поддержка упрощенного
формата кадров SONET/SDH – главное, что отличает два физических
интерфейса друг от друга. Поскольку полоса пропускания интер-
фейсов SONET OC-192/SDH STM-64 мало отличается от таковой
для 10GE (9,29 и 10 Гбит/с соответственно), был разработан единый
протокол MAC.
Для кодирования данных на физическом уровне выбран алго-
ритм 64/66b вместо 8/10b, используемого в сетях Gigabit Ethernet.
Это позволило повысить эффективность использования полосы про-
пускания: если в сетях 1000Base-T для достижения информационной
пропускной способности 1 Гбит/с требовалась физическая полоса
1,25 Гбит/с, то в 10-гигабитных сетях вполне достаточно 3%-ного пре-
вышения (10,3 Гбит/с).
Платой за возросшую эффективность являются ограниченные
возможности исправления ошибок передачи. Только внедрение ал-
горитма упреждающей коррекции ошибок (Forward Error-Correction,
FEC) и усовершенствованных методов восстановления сигналов поз-
воляет удерживать надежность сетей Ethernet на прежнем уровне.
Что же касается интерфейсов, зависящих от среды передачи, то
из исходного многообразия потенциальных вариантов в окончатель-
ной версии стандарта останутся пять – два для многомодового и три
для одномодового волокна. На применение в локальных сетях в пер-
вую очередь ориентирован интерфейс спектрального мультиплек-
сирования (WWDM) на длине волны 1310 нм. Используемое при этом
многомодовое волокно (62,5/125 мкм) является в настоящее время
наиболее распространенным, а длина соединений 300 м – довольно
высока по меркам локальных сетей Ethernet. В другом интерфейсе
для локальных сетей задействовано менее популярное многомодо-
вое волокно 50/125 мкм. При этом рабочая длина волны составляет
850 мкм. Данный интерфейс оставлен в окончательной версии стан-
дарта в основном по экономическим соображениям: он предлагает
недорогой вариант организации высокоскоростных соединений меж-
ду серверами.
Остальные интерфейсы рассчитаны на применение в магистраль-
ных каналах городских и глобальных сетей. Максимальная длина со-
единения доведена до 40 км (в стандарте 802.3z она равнялась 5 км).
10.3.5. Сети на основе технологии ATM
Альтернативой технологии Ethernet является технология асин-

хронного режима передачи (Asynchronous Transfer Mode, АТМ), раз-
работанная как единый универсальный транспорт для нового поколе-
ния сетей с интеграцией услуг, которые называются широкополосны-
ми сетями ISDN. Термин «асинхронный» означает, что реализуется
асинхронное взаимодействие между тактовой частотой передатчика
и приемника.
Технология АТМ разрабатывалась как технология, способная
обслужить все виды трафика (мы хотим одновременно быть под-
ключены к интернету, смотреть IPTV и разговаривать по телефону)
в соответствии с их требованиями. Последнее обстоятельство свя-
зано с тем, что практически все виды трафика создают неравномер-
ную по интенсивности нагрузку. К примеру, во время обычного двух-
стороннего телефонного разговора уровень речевого сигнала каждого
из абонентов непостоянен и имеют место различные паузы, проме-
жутки молчания на время прослушивания собеседника. В целом пе-
редача речевого сигнала от одного из собеседников осуществляется
примерно в течение 40% общего времени разговора.
Традиционным способом передачи неравномерной нагрузки яв-
ляется тот или иной вид коммутации сообщений (пакетов).
Пакеты АТМ называются ячейками (Cell), так как все они

имеют фиксированную длину.
Длина ячеек АТМ равна 53 байтам (октетам), из которых 48 бай-

тов отводится для передачи информации (нагрузки) и 5 байтов – для
заголовка. Информация, содержащаяся в 5 байтах заголовка, доста-
точна для доставки сетью каждой ячейке по назначению.
Ячейки имеют два важных преимущества перед кадрами:
– требуют меньшей буферизации;
– имеют одинаковую длину, поэтому предсказуемы – их заго-
ловки всегда находятся на одном и том же месте.
Технология ATM используется как в локальных, так и в гло-

бальных сетях. Основная ее идея – передача цифровых, голо-
совых и мультимедийных данных по одним и тем же каналам.
Если передается речь, данные и видео, то необходимо преобра-

зовать эти сигналы в ячейки и обратно. Ячейки мультиплексируются
в один поток, который по линии связи поступает в облако сети АТМ.
Сеть АТМ коммутирует и доставляет ячейки по назначению.
Используя инфраструктуру коммутации ячеек, можно добав-
лять новые типы нагрузки без изменения самой инфраструктуры.
Поскольку пользователь взаимодействует только с пограничными
устройствами, то для изменения (введения) нового типа нагрузки
достаточно модифицировать данные пограничные устройства. Это
одна из положительных сторон технологии АТМ. При необходимо-
сти без затруднений можно производить изменение или расшире-
ние сети.
Сеть АТМ сохраняет порядок передачи ячеек. Иногда ячейки
могут теряться, но порядок их сохраняется. Принимающее устрой-
ство воспринимает поток ячеек и преобразует его в исходный бито-
вый поток.
В сетях АТМ используются два вида соединений. Кратко рас-
смотрим их.
Постоянные виртуальные соединения в сетях АТМ. По-
стоянные виртуальные соединения (Permanent Virtual Connection,
PVC) устанавливаются по определенным правилам обслужива-
ния сети.
В общем случае в сети имеется некоторая система управления
(Network Management System, NMS), которая сообщает устройствам
сети значения VPI/VCI для необходимых соединений:
VPI – Virtual Path Identifier – идентификатор виртуального пути
в технологии ATM: он используется для указания, какому виртуаль-
ному маршруту принадлежит виртуальный канал, и состоит из 12 или
8 битов данных, которые записываются в заголовок при подключе-
нии к виртуальному каналу.
VCI – Virtual Circuit Identifier – идентификатор виртуального
звена или канала, состоит уже из 16 битов и отвечает за конкретный
канал.
VPI вместе с VCI используется для определения следующего
места назначения ячейки при прохождении нескольких ATM-свит-
чей (рис. 10.13).
Функция VCI сходна с функцией DLCI (Data-Link Connection
Identifier – идентификатор канала передачи данных в технологии
Frame Relay.
Виртуальные каналы (VC)
Путь передачи
Виртуальные пути (VP)

Рис. 10.13. Виртуальные пути и виртуальные каналы
Коммутаторам АТМ передаются таблицы соединений мар-

шрутизации (соединений между оборудованием провайдера сети и
абонента), т. е. ATM-коммутаторы используют поля VPI/VCI для
идентификации виртуального канала (Virtual Channel Link, VCL) сле-
дующей сети, которую должна пройти ячейка, чтобы достичь места
назначения.
В публичных сетях AТМ-таблицы маршрутизации могут стро-
иться администраторами вручную.
Такие соединения наиболее целесообразно устанавливать на
сети АТМ с малым числом подключенных устройств со стабиль-
ным местоположением (аналогом может служить телефонная сеть,
построенная на основе выделенных линий). Также эти соединения
целесообразно устанавливать, если имеется значительное информа-
ционное тяготение между двумя пунктами сети. В этом случае нет
необходимости часто устанавливать и отменять соединения. Именно
поэтому данные соединения получили название постоянных.
Коммутируемые виртуальные соединения АТМ. Другим ви-
дом устанавливаемых на сети АТМ соединений являются коммути-
руемые виртуальные соединения (Switched Virtual Connection, SVC).
Эта техника позволяет терминалу устанавливать и отменять соеди-
нения в динамике.
Для возможности установления коммутируемых соединений
используется протокол сигнализации (Signaling Protocol).
Рассмотрим процесс установления SVC-коммутации более по-
дробно.
Предположим, что абонент А хочет связаться с абонентом В.
Сначала по сигнальному каналу передается сообщение установки
(Setup). Это сообщение содержит множество информации, в том

числе: адреса обоих абонентов, характеристики трафика, требуемое
качество обслуживания. Кроме того, в сообщении установки содер-
жится идентификатор (указатель) вызова, поскольку с помощью
канала сигнализации VPI/VCI устанавливается множество соедине-
ний и они должны быть различимы для сети.
На этой стадии ближний к абоненту А коммутатор просто под-
тверждает соединение и определяет для него значение VPI/VCI. Со-
единение еще реально не установлено – оно не может использовать-
ся для передачи информации. Однако терминал уже имеет значение
VPI/VCI.
Далее сеть проверяет ресурсы, ищет пути и т. д., стараясь найти
путь к абоненту В с соответствующими характеристиками.
Следующий шаг является эквивалентом вызова (звонка). Сооб-
щение, поступающее в терминал вызываемого абонента, идентифи-
цирует входящий вызов, включает информацию о характеристиках
трафика и пр.
Вызываемый терминал подтверждает получение данной инфор-
мации. Если у абонента В достаточно ресурсов, тогда он посылает
сети сообщение о соединении со смыслом «Я готов!».
И наконец, сообщение о готовности проходит обратно через сеть
к абоненту А. В нем говорится: «Соединение установлено. Можно
начать передачу информации».
Проблемы совмещения технологий АТМ и существующих сетей
решаются организацией ATM Forum и рядом промышленных фирм.
Разрабатываются коммутаторы и концентраторы, обеспечивающие
совместную работу АТМ-магистралей, сетей, работающих по прото-
колам TCP/IP, и локальных сетей, таких как Ethernet, Fast Ethernet,
FDDI. В частности, разработаны спецификации IP-over-ATM и бо-
лее современные MPOA (Multi-Protocol-Over-ATM), а также реали-
зующие их средства для передачи IP-дейтаграм и пакетов, сформи-
рованных по другим протоколам, через АТМ-сети.
При реализации TCP/IP поверх АТМ-протоколов необходимо
сохранить высокую скорость АТМ-сети. Однако этому препятству-
ют возможные потери при передаче некоторых 53-байтных ячеек, на
которые разбивается ТСР-сегмент. Такая потеря вызывает необходи-
мость повторной передачи всех ячеек сегмента, поскольку в АТМ
контроль правильности передачи ведется по отношению ко всему
сообщению (в данном случае – сегменту).
Выводы
1. Технология Gigabit Ethernet добавляет новую, 1000 Мбит/с,

ступень в иерархии скоростей семейства Ethernet. Эта ступень поз-
воляет эффективно строить крупные локальные сети, в которых
мощные серверы и магистрали нижних уровней сети работают на
скорости 100 Мбит/с, а магистраль Gigabit Ethernet объединяет их,
обеспечивая достаточно большой запас пропускной способности.
2. Разработчики технологии Gigabit Ethernet сохранили большую
степень преемственности с технологиями Ethernet и Fast Ethernet.
Gigabit Ethernet использует те же форматы кадров, что и предыду-
щие версии Ethernet, работает в полнодуплексном и полудуплексном
режимах, поддерживая на разделяемой среде тот же метод доступа
CSMA/CD с минимальными изменениями.
3. Для обеспечения приемлемого максимального диаметра сети
в 200 м в полудуплексном режиме разработчики технологии пошли
на увеличение минимального размера кадра с 64 до 512 байтов. Раз-
решается также передавать несколько кадров подряд, не освобождая
среду, на интервале 8096 байтов, при этом кадры не обязательно до-
полнять до 512 байтов. Остальные параметры метода доступа и мак-
симального размера кадра остались неизменными.
4. В 1998 г. был принят стандарт 802.3z, который определяет
использование в качестве физической среды трех типов кабеля: мно-
гомодового оптоволоконного (расстояние до 500 м), одномодового
оптоволоконного (расстояние до 5000 м) и двойного коаксиального
(twinax), по которому данные передаются одновременно по двум мед-
ным экранированным проводникам на расстояние до 25 м.
5. Реализация Gigabit Ethernet на UTP категории 5 или 6 требует
использования всех четырех пар медного кабеля данной категории –
является на сегодняшний день самым распространенным вариантом
локальных сетей.
6. В целом 10-Gigabit Ethernet является наиболее перспективным
направлением развития кабельных сетей. Очевидно, что 10-гигабит-
ные сети будут отличаться от своих предшественников как возрос-
шей скоростью передачи, так и возможностью отказаться от прото-
кола CSMA/CD, который сильно сдерживал производительность се-
тей Ethernet.
10.4. Удаленный доступ и виртуальные частные сети 377
7. Альтернативой технологии Ethernet является технология асин-

хронного режима передачи (Asynchronous Transfer Mode, АТМ), раз-
работанная как единый универсальный транспорт для нового поколе-
ния сетей с интеграцией услуг, которые называются широкополос-
ными сетями ISDN. Термин асинхронный означает, что реализуется
асинхронное взаимодействие между тактовой частотой передатчика
и приемника.
Технология ATM используется как в локальных, так и в гло-
бальных сетях. Основная ее идея – передача цифровых, голосовых
и мультимедийных данных по одним и тем же каналам.
Пакеты АТМ называются ячейками, так как все они имеют фик-
сированную длину – 53 байта.
10.4. Удаленный доступ и виртуальные частные сети
Возможность использования удаленными пользователями ре-

сурсов локальной сети называется удаленным доступом (Remote
Access).
В настоящее время основным видом удаленного доступа явля-
ется соединение с использованием виртуальных частных сетей (Virtual
Private Networks, VPN), построенное по модели клиент-сервер.
Клиент удаленного доступа (Remote Access Client, RAC) – это
компьютер, который имеет возможность подключаться к удаленному
компьютеру и работать с его ресурсами или с ресурсами удаленной
сети так же, как с ресурсами своей локальной сети. Единственное
отличие удаленной работы от локальной с точки зрения клиента –
более низкая скорость соединения.
Сервер удаленного доступа (Remote Access Server, RAS) – это
компьютер, способный принимать входящие запросы от клиентов
удаленного доступа и предоставлять им собственные ресурсы или
ресурсы своей локальной сети.
Компьютер с установленной операционной системой Windows
Server 2003 может исполнять роль как клиента удаленного доступа,
так и сервера. В последнем случае на нем должна быть запущена
Служба маршрутизации и удаленного доступа (Routing and Remote
Access Service, RRAS).
10.4.1. Виды коммутируемых линий
Соединения по коммутируемым линиям могут осуществляться

с использованием следующих средств связи.
1. Телефонные сети – наиболее распространенный и дешевый
вариант, хотя и самый медленный (максимальная скорость передачи
данных 56,6 Кбит/с). Предполагает установку модемов на клиенте
и сервере.
2. Сети ISDN (Integrated Services Digital Network – цифровая
сеть с комплексными услугами) обеспечивают скорость передачи дан-
ных 128 Кбит/с, но их использование дороже, чем использование
обычных телефонных сетей.
3. ATM поверх ADSL – передача трафика АТМ (Asynchronous
Transfer Mode – асинхронный режим передачи) посредством линий
ADSL (Asymmetric Digital Subscriber Line – асимметричная цифро-
вая абонентская линия).
Для соединения посредством виртуальных частных сетей клиент-
ский компьютер и сервер должны быть подключены к Интернету.
10.4.2. Протоколы удаленного доступа
Подключение клиента к серверу удаленного доступа по комму-

тируемым линиям состоит из следующих основных этапов:
– установка соединения;
– аутентификация и авторизация клиента удаленного доступа;
– сервер удаленного доступа, который выступает в роли мар-
шрутизатора, предоставляя доступ клиенту к ресурсам локальной
сети, серверам баз данных, электронной почте, файловым серверам,
принтерам и т. д.
Схема подключения представлена на рис. 10.14.
Для соединений удаленного доступа по коммутируемым лини-
ям было разработано несколько специальных протоколов. Напри-
мер, Windows Server 2003 поддерживает два протокола удаленного
доступа:
– протокол SLIP (Serial Line Internet Protocol – межсетевой про-
токол для последовательного канала);
– протокол РРР (Point-to-Point Protocol – протокол соединения
«точка-точка»).
Клиент
удаленного доступа
М Модем
Почтовый сервер
Принтер
Коммутируемая
линия
М
Модем Сервер удаленного
SQL-сервер
доступа Рабочая станция
Рис. 10.14. Схема подключения удаленного доступа
по коммутируемым линиям
Протокол SLIP является одним из старейших протоколов уда-

ленного доступа и предлагает передачу TCP/IP-пакетов без
обеспечения безопасности данных и контроля целостности.
Протокол описан в RFC 1055. В Windows Server 2003 поддержка

протокола SLIP реализована только на уровне клиента.
Протокол РРР предназначен для коммутируемых соединений

типа «точка-точка». Это означает, что в протоколе отсутству-
ют средства адресации, поэтому в процессе связи могут при-
нимать участие только два компьютера – клиент и сервер.
Протокол РРР, в отличие от SLIP, обеспечивает функции без-
опасности и контроля ошибок на основе корректирующих кодов.
Описание протокола РРР содержится в RFC 1332, 1661 и 1662.

Соединение «точка-точка» устанавливается в четыре этапа.
1. Настройка параметров канального уровня. Клиент и сервер
согласовывают максимальный размер кадра, возможность сжатия,
протокол аутентификации и некоторые другие параметры.
2. Аутентификация клиента. Сервер осуществляет аутентифи-

кацию и авторизацию клиента на основе протокола, выбранного на
предыдущем этапе.
3. Обратный вызов (Callback). В целях безопасности может ис-
пользоваться процедура обратного вызова, когда сервер разрывает
соединение с клиентом и сам вызывает его по определенному теле-
фонному номеру.
4. Настройка протоколов верхних уровней. Сервер отправляет
клиенту список протоколов верхних уровней, отвечающих за пере-
дачу данных, шифрование и сжатие. Клиент выбирает один из под-
ходящих протоколов списка.
10.4.3. Протоколы аутентификации удаленных клиентов
Разработано несколько протоколов, используемых для аутенти-

фикации удаленных клиентов.
1. PAP (Password Authentication Protocol) – протокол аутенти-
фикации по паролю (описан в RFC 1334). Самый простой протокол
аутентификации, в котором имя пользователя и пароль передаются
открытым, незашифрованным способом. В Windows Server 2003 про-
токол PAP применяется только в том случае, если клиент удаленного
доступа не поддерживает больше никаких протоколов.
2. CHAP (Challenge Handshake Authentication Protocol) – про-
токол аутентификации с предварительным согласованием вызова
(описан в RFC 1994). В этом протоколе клиент посылает серверу
пароль в виде специальной хеш-последовательности, созданной с
использованием алгоритма MD-5. Сервер принимает хеш (свертку)
пароля клиента, вычисляет хеш по хранимому у себя паролю и
сравнивает обе последовательности. В случае совпадения соедине-
ние устанавливается, иначе происходит разрыв. Недостатком явля-
ется отсутствие взаимной аутентификации, т. е. сервер аутентифи-
цирует клиента, а клиент не получает информации о подлинности
сервера.
3. MS-CHAP (Microsoft Challenge Handshake Authentication Pro-
tocol) – реализация протокола CHAP, разработанного Microsoft (опи-
сан в RFC 2433). Действует по принципу протокола CHAP за исклю-
чением того, что для хеширования используется алгоритм MD-4, а
не MD-5.
4. MS-CHAPv2 – вторая версия протокола MS-CHAP (описан в

RFC 2759), где также, как и в MS-CHAP, применяется алгоритм хе-
ширования MD-4, но отличием является требование взаимной аутен-
тификации. Между клиентом и сервером происходит обмен следую-
щими сообщениями:
– сервер отправляет клиенту сообщение, содержащее некоторую
последовательность символов, называемую строкой вызова;
– клиент отправляет серверу хеш-последовательность, получен-
ную на основе строки вызова и пароля пользователя, а также свою
строку вызова для сервера;
– сервер вычисляет хеш по своей строке вызова и пользователь-
скому паролю, сравнивает его с полученным хешем от клиента и в
случае успеха отправляет хеш, вычисленный на основе своей строки
вызова, строки вызова от клиента, имени и пароля пользователя;
– клиент, получая сообщение сервера, вычисляет хеш на основе
тех же данных, и в случае совпадения найденного хеша с получен-
ным от сервера процесс взаимной аутентификации считается закон-
ченным успешно.
5. EAP (Extensible Authentication Protocol) – расширяемый про-
токол аутентификации (описан в RFC 2284). Отличается от выше-
описанных протоколов тем, что выбор типа аутентификации EAP
происходит в процессе соединения.
6. В ОС Windows Server применяются следующие типы аутен-
тификации EAP: EAP-MD5, CHAP, EAP-TLS (Transport Level Secu-
rity, безопасность на транспортном уровне), PEAP (Protected EAP,
защищенный EAP).
10.4.4. Общая характеристика виртуальных сетей. Сети

VLAN и VPN
Виртуализация сетей. В последние годы стоимость исполь-

зования каналов связи сети Интернет уменьшилась и стала ниже,
чем цена использования коммутируемых линий. Однако при уста-
новлении соединения через Интернет серьезной проблемой явля-
ется обеспечение безопасности, так как сеть является открытой и
злоумышленники могут перехватывать пакеты с конфиденциальной
информацией. Решением этой проблемы стала технология вирту-
альных сетей (Virtual Networking, Virtual LAN, VLAN).
В наиболее общем смысле концепция виртуальной локаль-

ной сети состоит в следующем: локальная сеть включает
все устройства в одном широковещательном домене.
Широковещательный домен – это устройства, подключенные

к локальной сети таким образом, что при отправлении широкове-
щательного кадра одним из устройств остальные получают копию
этого кадра.
Коммутатор с настройками по умолчанию «считает», что все его
интерфейсы находятся в одном широковещательном домене: когда
широковещательный кадр приходит на один конкретный порт ком-
мутатора, устройство пересылает этот кадр на все остальные свои
порты. В связи с таким принципом работы коммутатора, чтобы со-
здать два разных широковещательных домена, придется купить два
разных коммутатора для локальной сети Ethernet.
Таким образом, понятия локальной сети и широковещатель-

ного домена являются практически одинаковыми.
Подобно широковещательным доменам на базе маршрутизато-

ров в виртуальной ЛВС широковещательные пакеты и пакеты с не-
известными адресами получают все устройства, если такие пакеты
исходят из того же домена (виртуальной сети). Здесь нет ничего но-
вого, такие же методы используются в традиционных сетях на базе
концентраторов и маршрутизаторов.
Виртуальная означает логическая, т. е. работающая в рамках

общедоступной сети, в отличие от частной сети, которая соз-
дается на базе специально арендованных для этой цели линий.
В традиционных сетях трафик является широковещательным

внутри образующего сегмент концентратора и маршрутизируется
между концентраторами. При использовании виртуальных сетей кад-
ры становятся широковещательными внутри VLAN и маршрутизи-
руются между ними. Таким образом, виртуальные сети представля-
ют собой не что иное, как более гибкий вариант традиционных ЛВС
с несколько большими возможностями.
Виртуальная ЛВС (и связанные с ней коммутаторы) должна под-

держивать различные типы физических сред. В коммутируемых се-
тях возможна работа централизованных ресурсов (магистралей) с
более высокими скоростями, нежели скорость рабочих станций. На-
пример, рабочие станции Ethernet (10 Мбит/с) могут работать с сер-
верами Fast Ethernet, Gigabit Ethernet или ATM.
Существует достаточно много вариантов реализации VLAN.
Простые варианты VLAN представляют собой набор портов комму-
татора, более сложные реализации позволяют создавать группы на
основе других критериев. В общем случае возможности организации
VLAN тесно связаны с возможностями коммутаторов.
Для создания системы, построенной на виртуальных ЛВС, сете-
вому администратору нужно решить, сколько будет виртуальных се-
тей, какие компьютеры будут в них входить и как они будут называться
(иногда их обозначают разными цветовыми оттенками; см. рис. 10.15).
Серая Серый
и белый порт Hub
станция
С С С Б Б СБ
Серый
порт СБ С
В1 В2 Белый
Мост С С С порт
С Б Б
Белая
станция
Рис. 10.15. Две виртуальные сети, серая и белая, с мостом
На рис. 10.15 девять машин входят в виртуальную сеть С (серая),

а еще пять машин – в виртуальную сеть Б (белая). Машины «серой»
сети распределены между двумя коммутаторами, в том числе две ма-
шины подключены к коммутатору через концентратор.
Чтобы виртуальные сети функционировали корректно, необхо-
димо наличие конфигурационных таблиц в мостах. Эти таблицы со-
общают о том, через какие порты производится доступ к тем или
иным виртуальным сетям.
Сформулируем основные причины для разделения хостов на
разные VLAN:
1) широковещательная передача, отправленная одним узлом во
VLAN, будет приниматься и обрабатываться всеми другими узлами
этой VLAN, но не узлами из другой VLAN. Чем меньше посторонних
узлов в сети получают широковещательные кадры, тем выше без-

опасность локальной сети;
2) чтобы уменьшить нагрузку на процессор на каждом устрой-
стве, повысить производительность узла путем уменьшения числа
устройств, которые принимают каждый широковещательный кадр;
3) чтобы повысить безопасность хостов за счет применения раз-
личной политики безопасности для каждой VLAN;
4) для создания подразделений, группирующих пользователей
по отделам или группам, которые работают вместе, а не по физиче-
скому местоположению;
5) уменьшение нагрузки для протокола связующего дерева (Span-
ning Tree Protocol, STP) путем ограничения VLAN одним коммутато-
ром доступа; STP – канальный протокол, основной задачей которого
является устранение петель в топологии произвольной сети Ethernet,
в которой есть один или более сетевых мостов, связанных избыточ-
ными соединениями; STP решает эту задачу, автоматически блоки-
руя соединения, которые в данный момент для полной связности ком-
мутаторов являются избыточными.
Виртуальные частные сети (Virtual Private Network, VPN) –

это защищенное соединение двух узлов через открытые сети.
При этом организуется виртуальный канал, обеспечивающий
безопасную передачу информации, а узлы, связанные VPN,
могут работать так, как будто соединены напрямую.
Частная – значит не публичная, т. е. такая, в которой находятся

только «дозволенные» узлы. Именно эта составляющая VPN и яв-
ляется самой главной, так как она определяет ряд требований к этой
самой «частности».
VPN следует использовать в корпоративных сетях компаний, где
удаленные пользователи работают на незащищенных соединениях.
Компьютер, инициирующий VPN-соединение, называется VPN-кли-
ентом, а тот, с которым устанавливается соединение, – VPN-сервером.
VPN-магистраль – это последовательность каналов связи откры-
той сети, через которые проходят пакеты виртуальной частной сети.
На рис. 10.16 продемонстрирована работа VPN-сети. Компьюте-
ры с IP-адресами 1.1.1.1–1.1.1.100 подключаются через сетевой шлюз,
который также выполняет функцию VPN-сервера.
Другая публичная сеть

85.43.15.69
43.22.15.89
1.1.1.1 VPN-туннель
Сетевой Интернет
шлюз
76.57.80.54
1.1.1.2
… …
1.1.1.100
Рис. 10.16. Принцип работы VPN-сети
Когда происходит подключение через VPN, в заголовке сооб-

щения передается информация об IP-адресе VPN-сервера и удален-
ном маршруте. Исходные данные, проходящие по общей или пуб-
личной сети, невозможно перехватить, так как вся информация за-
шифрована.
Этап VPN-шифрования реализуется на стороне отправителя, а
расшифрования – на стороне получателя по заголовку сообщения
(при наличии общего ключа шифрования).
После корректного расшифрования сообщения между двумя се-
тями устанавливается VPN-подключение, которое позволяет также
работать в публичной сети (например, обмен данными с клиентом
85.43.15.69).
Существует два типа VPN-соединений:
− соединение с удаленными пользователями (Remote Access VPN
Connection), или шлюз защищенного удаленного доступа к VPN;
− соединение маршрутизаторов (Router-to-Router VPN Connec-
tion) или VPN типа «сеть-сеть».
Соединение с удаленными пользователями осуществляется в
том случае, если одиночный клиент подключается к локальной сети
организации через VPN (рис. 10.17). Другие компьютеры, подключен-
ные к VPN-клиенту, не могут получить доступ к ресурсам локальной
сети. Этот тип соединения позволяет пользователям подключиться
к другой сети (к интернету или внутренней системе своей компа-
нии) по частному зашифрованному туннелю.
Клиент удаленного доступа

М Модем
Почтовый сервер
Принтер
Интернет
VPN-магистраль
М
Модем
Рабочая станция SQL-сервер
доступа
Рис. 10.17. Схема VPN-соединения с удаленным пользователем
Соединение маршрутизаторов устанавливается между двумя

локальными сетями, если узлы обеих сетей нуждаются в доступе к
ресурсам друг друга (рис. 10.18). При этом один из маршрутизато-
ров играет роль VPN-сервера, а другой – VPN-клиента.
Файловый сервер
VPN-клиент
(маршрутизатор)
Рабочая станция Почтовый сервер

Принтер
Интернет
VPN-магистраль
VPN-сервер
(маршрутизатор)
доступа SQL-сервер
Рис. 10.18. Схема VPN-соединения между маршрутизаторами

VPN типа «сеть – сеть» используется для создания закрытой вну-

тренней сети, где все офисы могут подключаться друг к другу. Эта
технология известна как интранет.
Одно из основных преимуществ VPN – между двумя сто-

ронами необходима подключенная платформа, которая не
только быстро масштабируется, но и (в первую очередь)
обеспечивает секретность данных, целостность этих дан-
ных и аутентификацию.
10.4.5. Протоколы виртуальных частных сетей
Безопасность передачи IP-пакетов через Интернет в VPN реа-

лизуется с помощью туннелирования.
Туннелирование (Tunneling) – это процесс включения IP-па-

кетов в пакеты другого формата, позволяющий передавать
зашифрованные данные через открытые сети.
VPN-туннелирование используется с целью:

− построения и реализации видеоконференций;
− обслуживания цифровой телефонии с большим набором те-
лекоммуникационных услуг;
− объединения удаленных офисов, а также мелких отделений;
− организации безопасной корпоративной сети.
Сценарии использования VPN могут быть разными, самые по-
пулярные их них:
− построение защищенного канала между двумя или более удален-
ными сегментами сети (например, между офисами в Минске и Гродно);
− подключение удаленного работника к корпоративной сети
(теперь об этом знает почти каждый офисный сотрудник);
− виртуальное изменение местоположения с помощью услуг
VPN Providers (весь трафик будет проходить через чужой сервер).
Для реализации этих сценариев существуют различные виды
VPN-протоколов – для связи, шифрования трафика и др.
В системах Windows Server поддерживаются следующие прото-
колы туннелирования.
1. PPTP (Point-to-Point Tunneling Protocol) – протокол туннели-

рования соединений «точка-точка», один из старейших протоколов,
основан на протоколе РРР (описан в RFC 2637).
PPTP использует два соединения: одно для управления, другое
для инкапсуляции данных. Первое работает с использованием TCP,
в котором порт сервера – 1723. Второе – с помощью протокола GRE
(Generic Routing Encapsulation – общая инкапсуляция маршрутов,
протокол туннелирования сетевых пакетов, разработанный компа-
нией Cisco Systems), который является транспортным протоколом
(т. е. заменой TCP/UDP). Этот факт может затруднять подключение с
сервером, так как для них установлено подключение «точка-точка».
Данная технология поддерживается большим количеством современ-
ного клиентского сетевого оборудования.
PPTP поддерживается нативно на всех версиях Windows и боль-
шинстве других операционных систем. Несмотря на относительно
высокую скорость, PPTP не слишком надежен: после обрыва соеди-
нения он не восстанавливается так же быстро, как, например, OpenVPN.
Поддерживает все возможности, предоставляемые РРР, в част-
ности аутентификацию по протоколам PAP, CHAP, MS-CHAP, MS-
CHAPv2, EAP. Шифрование данных обеспечивается методом MPPE
(Microsoft Point-to-Point Encryption), который применяет алгоритм
RSA/RC4. Сжатие данных происходит по протоколу MPPC (Microsoft
Point-to-Point Compression), описанному в RFC 2118.
Недостатком протокола является относительно низкая скорость
2. L2TP (Layer Two Tunneling Protocol – туннельный протокол
канального уровня) – протокол туннелирования, основанный на про-
токоле L2F (Layer Two Forwarding), разработанном компанией Cisco,
и протоколе PPTP (описан в RFC 2661). Поддерживает те же прото-
колы аутентификации, что и PPP. Для шифрования данных исполь-
зуется протокол IPsec. Также поддерживает сжатие данных. Имеет
более высокую скорость передачи данных, чем PPTP.
Протокол PPTP остается единственным протоколом, который
поддерживают старые версии Windows (Windows NT 4.0, Windows 98,
Windows Me). Однако существует бесплатный VPN-клиент Microsoft
L2TP/IPSec, который позволяет старым операционным системам
Windows устанавливать соединение VPN по протоколу L2TP.
3. IPSec. Internet Protocol Security (IPSec) – это набор протоколов
для обеспечения защиты данных, передаваемых по IP-сети.
В отличие от SSL, который работает на прикладном уровне,

IPSec работает на сетевом уровне и может использоваться
нативно со многими операционными системами, что позво-
ляет пользоваться им без сторонних приложений (в отличие
от OpenVPN).
IPSec стал очень популярным протоколом для использования в

паре с L2TP или IKEv2 (о чем мы поговорим ниже).
IPSec шифрует весь IP-пакет, используя:
− Authentication Header (AH) – аутентификационный заголовок,
который ставит цифровую подпись на каждом пакете;
− протокол Encapsulating Security Payload (ESP), который обес-
печивает конфиденциальность, целостность и аутентификацию па-
кета при передаче.
Кроме того, ESP позволяет идентифицировать отправителя дан-
ных, а также обеспечить защиту от воспроизведения информации.
Отличие протокола ESP от протокола Authentication Header

(AH) состоит в том, что ESP выполняет шифрование данных.
При этом оба протокола обеспечивают идентификацию, про-
верку целостности и защиту от воспроизведения информации.
При работе с ESP для шифрования и расшифровки данных
обе конечные системы применяют общий ключ.
Если одновременно применяются средства шифрования и иден-

тификации данных, то отвечающая система вначале идентифици-
рует пакет, а если идентификация выполнена успешно, то расшиф-
ровывает пакет. Такой способ обработки пакетов снижает нагрузку
на систему и уменьшает риск взлома защиты с помощью атаки типа
«отказ в обслуживании, DoS».
4. IKEv2/IPSec. Internet Key Exchange (протокол согласования
ключей) version 2 (IKEv2) является протоколом IPSec, используемым
для выполнения взаимной аутентификации, создания и обслужи-
вания Security Associations (SA), стандартизован в RFC 7296. Так же
как и L2TP, защищен IPSec, что может говорить об их одинаковом
уровне безопасности. Хотя IKEv2 был разработан Microsoft совместно
с Cisco, существуют реализации протокола с открытым исходным ко-
дом (например, OpenIKEv2, Openswan и Strongswan).
Благодаря поддержке Mobility and Multi-homing Protocol (MOBIKE)

IKEv2 очень устойчив к смене сетей. Это делает IKEv2 отличным
выбором для пользователей смартфонов, которые регулярно пере-
ключаются между домашним Wi-Fi и мобильным соединением или
перемещаются между точками доступа.
Во многих случаях IKEv2 быстрее OpenVPN, так как он менее
ресурсоемкий. С точки зрения производительности IKEv2 может быть
лучшим вариантом для мобильных пользователей, потому как он
хорошо переустанавливает соединения. IKEv2 нативно поддержи-
вается на Windows 7+, Mac OS 10.11+, iOS, а также на некоторых
Android-устройствах.
IKEv2/IPSec может использовать ряд различных криптогра-

фических алгоритмов, включая AES, Blowfish и Camellia, в
том числе с 256-битными ключами.
5. OpenVPN. OpenVPN – это универсальный протокол VPN с

открытым исходным кодом, разработанный компанией OpenVPN
Technologies.
Сейчас OpenVPN – это, пожалуй, самый популярный прото-

кол VPN. Будучи открытым стандартом, он прошел не одну
независимую экспертизу безопасности.
В большинстве ситуаций, когда нужно подключение через VPN,

скорее всего подойдет протокол OpenVPN. Он стабилен и предла-
гает хорошую скорость передачи данных. К тому же OpenVPN ис-
пользует стандартные протоколы TCP и UDP, что позволяет ему стать
альтернативой IPSec тогда, когда провайдер блокирует некоторые про-
токолы VPN.
Для работы OpenVPN нужно специальное клиентское програм-
мное обеспечение. Большинство VPN-сервисов создают свои прило-
жения для работы с OpenVPN, которые можно использовать в разных
операционных системах и устройствах. Протокол может работать на
любом из портов TCP и UPD и может использоваться на всех основ-
ных платформах через сторонние клиенты: Windows, Mac OS, Linux,
Apple iOS, Android.
С точки зрения пользователя, VPN – простая технология.

Для ее использования нужно загрузить и установить прило-
жение на свое устройство, выбрать нужный сервер и нажать
кнопку подключения.
Если выбран качественный VPN-сервис, то можно быть уве-
реным, что после этих действий онлайн-активность пользо-
вателя будет надежно защищена.
Последнее обусловлено тем, что хороший VPN-сервис использует

самое современное шифрование для защиты данных; хороший VPN-
сервис также гарантирует, что сайты, обрабатывающие данные клиента,
не видят, откуда они пришли, обеспечивая высокую степень аноним-
ности. Следует искать и применять сервис, обеспечивающий шифро-
вание AES-256 (является отраслевым стандартом в некоторых стра-
нах СНГ; более подробно анализ криптографических алгоритмов в
сетевых технологиях будет рассмотрен в главе 13) и использующий
надежные протоколы, такие как, например, OpenVPN и IKEv2.
При использовании виртуальной частной сети никто не уви-

дит настоящий IP-адрес любого пользователя, потому что
вместо него теперь будет распознаваться адрес VPN.
Проанализируем организацию туннеля IPSec VPN. Для этого

понадобятся два интернет-центра на основе беспроводных роутеров.
Для построения туннеля можно использовать различные сочетания мо-
делей, например Ultra II – Ultra II, Giga III – Giga III и Ultra II – Giga III.
Рассмотрим пример объединения двух сетей через IPSec VPN с по-
мощью интернет-центров Keenetic Ultra II и Giga III. Установить тун-
нель IPSec можно как в локальной сети (когда на внешнем интерфейсе
WAN-роутера используются частные/внутренние IP-адреса (IPv4), их
называют еще «серые»), так и через глобальную сеть Интернет (когда
на внешнем интерфейсе WAN-роутера используются публичные/
внешние IP-адреса, их называют также «белые»). Желательно иметь
статический/постоянный IP-адрес на WAN-интерфейсе или можно
воспользоваться сервисом динамических доменных имен, DyDNS.
В примере организация туннеля IPSec VPN осуществляется в рам-
ках локальной сети, т. е. используются частные/внутренние IP-адреса.
Наличие публичного IP-адреса на роутере или компьюте-

ре позволит организовать собственный сервер (VPN, FTP,
WEB и др.), удаленный доступ к компьютеру, камерам видео-
наблюдения и даст возможность получить к ним доступ из
любой точки глобальной сети. С «белым» IP-адресом можно
организовать любой собственный домашний сервер для пуб-
ликации его в сети Интернет: веб (HTTP), VPN (L2TP/IPSec,
PPTP, IPSec, OpenVPN, WireGuard), медиа (аудио/видео), FTP,
сетевой накопитель NAS, игровой сервер и т. д.
Для построения IPSec VPN-туннеля через глобальную сеть Ин-

тернет на внешнем интерфейсе WAN-роутера должен использо-
ваться публичный/внешний IP-адрес. Адреса локальной и удален-
ной сети должны быть из разных подсетей. Например, в данном
случае объединяемые сети имеют разные адресные пространства:
192.168.1.0/24 и 192.168.2.0/24 (рис. 10.19.)
Рассмотрим сценарий, в котором Keenetic Ultra II будет высту-
пать в роли ожидающего подключение IPSec VPN (условно назовем
его сервером), а Keenetic Giga III – в роли инициатора подключения
IPSec VPN (условно назовем его клиентом).
В нашем примере роутер Keenetic Ultra II работает в домашней
сети 192.168.1.0 (клиенты этой сети получают IP-адреса в диапа-
зоне от 192.168.1.2 и выше) и имеет IP-адрес для управления
192.168.1.1. На внешнем интерфейсе WAN этого роутера установ-
лен вручную статический IP-адрес из другой подсети: 10.10.1.1 (в
вашем случае это может быть внешний/публичный IP-адрес).
Роутер Keenetic Giga III работает в другой сети: 192.168.2.0 (кли-
енты этой сети получают IP-адреса в диапазоне от 192.168.2.2 и выше)
и имеет IP-адрес управления 192.168.2.1. На внешнем интерфейсе WAN
этого роутера установлен вручную статический IP-адрес из подсети 1.
Для проверки работоспособности туннеля с компьютера ло-
кальной сети Giga III и имеющего IP-адрес 192.168.2.35 выполнили
пинг компьютера удаленной сети 192.168.1.33, который находится
за туннелем IPSec в локальной сети роутера Ultra II.
Обратим внимание, что широковещательные broadcast-запросы
(например, NetBIOS) не будут проходить через VPN-туннель, поэто-
му в сетевом окружении имена удаленных хостов не будут отобра-
жаться (доступ к ним возможен по IP-адресу, например 192.168.1.33).
Локальная сеть Локальная сеть
192.168.2.0 LAN IP: WAN IP: WAN IP: LAN IP: 192.168.1.0
192.168.2.1 10.10.1.2 10.10.1.1 192.168.1.1
…. ….
VPN IPSec
Keenetic Giga III Keenetic Ultra II
192.168.2.35 192.168.1.33
Рис. 10.19. Пример организация IPSec VPN-туннеля

10.4. Удаленный доступ и виртуальные частные сети
393
Выводы
1. Использование удаленными пользователями ресурсов локаль-

ной сети называется удаленным доступом.
2. Различают два основных вида удаленного доступа: соедине-
ние по коммутируемой линии; соединение с использованием вир-
туальных частных сетей. Оба вида соединений работают по модели
«клиент-сервер».
3. Для соединений удаленного доступа по коммутируемым ли-
ниям было разработано несколько специальных протоколов, но в
Windows Server 2003 поддерживается только два: протокол SLIP;
протокол РРР, отличающийся обеспечением функций безопасности
и контроля ошибок.
4. В современных операционных системах серверного сегмента
применяются следующие протоколы аутентификации: PAP, CHAP,
MS-CHAP, MS-CHAPv2, EAP.
5. Под виртуальными частными сетями понимают защищенное
соединение двух узлов через открытые сети, при этом организуется
виртуальный канал, обеспечивающий безопасную передачу инфор-
мации, а узлы, связанные с VPN, могут работать так, как будто соеди-
нены напрямую.
6. Безопасность передачи IP-пакетов через Интернет в VPN ре-
ализуется с помощью туннелирования, которое в свою очередь обес-
печивается протоколами PPTP и L2TP, IPSec, IKEv2/IPSec, OpenVPN.
7. Для использования VPN нужно загрузить и установить на свое
устройство приложение, выбрать нужный сервер и нажать кнопку под-
ключения. Если выбран качественный VPN-сервис, то можно быть
увереным, что после этих действий онлайн-активность пользователя
будет надежно защищена.
8. Повышенный уровень безопасности сетей VPN обусловлен
следующим:
− история просмотров становится анонимной – VPN скрывает
историю просмотров и историю поиска от вашего интернет-провай-
дера (ISP); провайдер сможет видеть только ваш зашифрованный
трафик, который отправляется на VPN-сервер;
− можно изменить виртуальное местонахождение;
− интернет-активность становится анонимной – безлоговый VPN
гарантирует, что никто не узнает о том, что вы делаете в интернете;
это особенно полезно людям, которые загружают торренты (Torrent –

это интернет-протокол, позволяющий быстро скачивать большие фай-
лы и обмениваться данными между разными сетями) и пользуются
сетями Peer-to-Peer (P2P).
1. Что называют сотовой радиосвязью?

2. Опишите принципы организации сотовой сети.
3. Какие существуют структуры сотовых систем?
4. Опишите функционирование сотовой сети.
5. Охарактеризуйте сотовые сети первого поколения.
6. Опишите сотовые сети второго поколения.
7. Приведите архитектуру глобальной системы мобильной связи.
8. Опишите сотовые сети третьего поколения.
9. Представьте основные характеристики сотовых систем треть-
его поколения.
10. Опишите сотовые сети четвертого поколения.
11. Дайте характеристику сотовых сетей пятого поколения.
12. Что такое сети Bluetooth?
13. Какова область применения сетей Bluetooth?
14. Опишите стек протоколов Bluetooth.
15. Какие существуют модели использования сетей Bluetooth?
16. Приведите общую характеристику стандарта Gigabit Ethernet.
17. Какие типы кабеля могут использоваться в сетях на базе тех-
нологии Gigabit Ethernet?
18. Что такое твинаксиальный кабель?
19. Какой метод доступа используется в сетях Gigabit Ethernet?
20. Опишите технологию ATM.
21. Дайте определение удаленного доступа.
22. Приведите определение виртуальных частных сетей.
23. Перечислите основные протоколы виртуальных частных сетей.
24. Приведите перечень основных протоколов удаленного до-
ступа.
25. Перечислите протоколы аутентификации, используемые в
технологиях удаленного доступа.
11
ОСНОВНЫЕ ЭЛЕМЕНТЫ
СОВРЕМЕННЫХ КОМПЬЮТЕРНЫХ СЕТЕЙ
И СЕТЕВЫХ ТЕХНОЛОГИЙ
11.1. Сетевые экосистемы
Выше уже упоминалось о пяти ключевых технологиях, которые

преобразовали сеть:
− виртуализация сетевых функций (Network Functions Virtuali-
zation, NFV);
− качество взаимодействия, восприятия (Quality of Experien-
ce, QoE).
Далее проанализируем более подробно важнейшие особенности
и элементы этих новшеств.
Согласно прогнозам известной консалтинговой компании, Gartner,
одним из трендов развития цифровых технологий становятся сете-
вые (цифровые) экосистемы (СЭС). Главный элемент любой цифро-
вой экосистемы – технология единого входа (Single Sign-On), т. е. ра-
бота под единой учетной записью во множестве цифровых сервисов.
Определение СЭС является достаточно общим и размытым.
В наиболее общем виде сетевая экосистема – это веб-со-

единение между пользователями, предприятиями и вещами,
совместно использующими цифровую платформу.
Современная сетевая экосистема в наиболее общем виде при-

ведена на рис. 11.1.
11.1. Сетевые экосистемы 397
Content
Application provider Application
service service
provider provider
Application
provider
Network Access Facilities
Network Network
provider
Internet provider
Network Access Facilities
Рис. 11.1. Современная сетевая экосистема
Вся экосистема существует для предоставления услуг конечным

пользователям. Термин «конечный пользователь» или «пользователь»
используется как очень общий термин, охватывающий пользователей,
работающих на предприятии, в общественных местах или дома.
Платформа пользователя (Network Access Facilities, NAF) может
быть стационарной (ПК или рабочая станция), портативной (ноут-
бук) или мобильной (планшет или смартфон).
На рис. 11.1 показаны три категории, представляющие интерес
для пользователей.
Поставщики приложений (Application Providers, AP) предостав-
ляют приложения, работающие на платформе пользователя, которая
398 11. ОСНОВНЫЕ ЭЛЕМЕНТЫ СОВРЕМЕННЫХ КОМПЬЮТЕРНЫХ СЕТЕЙ
обычно представлена мобильной платформой. В последнее время

концепция магазина приложений стала доступна для стационарных
и мобильных платформ.
Отдельной категорией провайдеров является провайдер приклад-
ных услуг (Application Service Provider, ASP).
В то время как поставщик приложения загружает программное
обеспечение на платформы, поставщик прикладных услуг действует
как сервер или хост, прикладное программное обеспечение которого
работает на платформах провайдера.
Традиционные примеры такого программного обеспечения вклю-
чают веб-серверы, электронную почту и серверы баз данных. Самый
яркий пример сейчас – поставщик облачных вычислений.
Последний (самый верхний) элемент, показанный на рис. 11.1, –
это поставщик контента (content provider). Он предоставляет дан-
ные, которые будут использоваться на устройстве пользователя (на-
пример, электронная почта, музыка, видео). Эти данные могут быть
коммерчески предоставленной интеллектуальной собственностью.
В некоторых случаях предприятие может быть поставщиком прило-
жений или контента. Примерами поставщиков контента являются
звукозаписывающие компании и киностудии.
Еще раз отметим, что сетевая и коммуникационная инфраструк-
тура предприятия состоит из следующих компонентов:
− каналы связи;
− локальные и глобальные сети;
− подключения к Интернету, доступные предприятию.
Инфраструктура корпоративной сети все чаще включает

частные/общедоступные облачные подключения к центрам
обработки данных (ЦОД), в которых размещаются хранилища
больших объемов данных и веб-сервисы.
Ключевым аспектом конвергенции на этом уровне является

возможность передачи голоса, изображения и видео по сетям, кото-
рые изначально были разработаны для передачи трафика данных.
Конвергенция инфраструктуры также произошла в отношении се-
тей, которые были разработаны для голосового трафика. Например,
видео, изображения, текст и данные обычно доставляются пользо-
вателям смартфонов по сетям сотовой связи.
Здесь стоит выделить два основных элемента современных се-

тей, в явном виде не изображенных на рис. 11.1:
− сеть центров обработки данных: как центры обработки дан-
ных крупных предприятий, так и центры обработки данных облачных
провайдеров состоят из очень большого количества взаимосвязанных
серверов. Обычно до 80% трафика данных находится в сети центра
обработки данных, и только 20% полагаются на внешние сети для
достижения пользователей;
− IoT (Internet of Things – интернет вещей), или облачная сеть:
интернет вещей, развернутый на предприятии, может состоять из
сотен, тысяч и даже миллионов современных устройств. Подавляю-
щая часть трафика данных к этим устройствам и от них передается
от машины к машине, а не от пользователя к машине.
На рис. 11.2 показаны некоторые типичные элементы связи и
сети, используемые в контексте архитектуры, которая может пред-
ставлять корпоративную сеть национального или глобального мас-
штаба или часть Интернета с некоторыми из связанных с ней сетями.
В центре рисунка находится магистраль IP, или ядро, – сеть,
которая может представлять собой часть Интернета или корпора-
тивную IP-сеть. Обычно магистраль состоит из высокопроизводи-
тельных маршрутизаторов, называемых базовыми маршрутизато-
рами, соединенных между собой оптическими каналами с высокой
пропускной способностью.
В оптических каналах часто используется так называемое муль-
типлексирование с разделением по длине волны (Wave Length-Division
Multiplexing, WDM), так что каждый канал имеет несколько логиче-
ских каналов, занимающих разные части полосы пропускания в оп-
тическом диапазоне.
На периферии магистрали IP находятся маршрутизаторы, обес-
печивающие подключение к внешним сетям и пользователям. Эти
маршрутизаторы иногда называют граничными маршрутизато-
рами или маршрутизаторами агрегации.
Маршрутизаторы агрегации также используются в корпора-
тивной сети для подключения нескольких маршрутизаторов и ком-
мутаторов к внешним ресурсам, таким как магистраль IP или высо-
коскоростная глобальная сеть. Анализ показывает, что требования
к маршрутизаторам агрегации сейчас находятся в диапазоне от 200
до 400 Гбит/с на оптический канал и от 400 Гбит/с до 1 Тбит/с на
оптический канал – для базовых маршрутизаторов.
WAN
(eg., MPLS)
Enterprise
network
(main campus)
Enterprise
network
(branch)
IP
backbone
Ethernet
LAN
Public cellular
network
Residential Wi-Fi
network
Small-to-medium
size business
Networking
icons:
Core Router/ Router Ethernet ATM Wi-Fi
router Edge with switch switch access point
router firewall
Рис. 11.2. Архитектура современной глобальной сети
Верхняя часть рис. 11.2 изображает часть того, что может быть
большой корпоративной сетью. На рисунке показаны два участка
сети, подключенные через частную высокоскоростную глобальную
сеть с коммутаторами, соединенными оптическими линиями.
Многопротокольная коммутация по меткам (Multiprotocol Label
Switching, MPLS) с использованием IP является распространенным
протоколом коммутации для таких глобальных сетей. Корпоратив-

ные активы подключаются к магистральной IP-сети или Интернету
и защищаются от них через маршрутизаторы с возможностью меж-
сетевого экрана, что не является редкостью для реализации межсете-
вого экрана. В нижнем левом углу рисунка изображена компонов-
ка для малого или среднего бизнеса, использующего локальную сеть
Ethernet. Подключение к Интернету через маршрутизатор может осу-
ществляться через DSL, кабельное соединение или выделенный вы-
сокоскоростной канал.
В нижней части рис. 11.2 также показан индивидуальный до-
машний пользователь, подключенный к провайдеру интернет-услуг
(Internet Service Provider, ISP) через какое-то абонентское соедине-
ние. Распространенными примерами такого подключения являются
цифровые абонентские линии (Digital Subscriber Line, DSL), обес-
печивающие высокоскоростное соединение по телефонным линиям
и требующие наличие специального модема DSL и средств кабель-
ного телевидения, для которых необходимы кабельный модем или
какое-либо беспроводное соединение. В каждом случае существуют
отдельные вопросы, касающиеся кодирования сигналов, контроля
ошибок и внутренней структуры абонентской сети. Наконец, мобиль-
ные устройства, такие как смартфоны и планшеты, могут подключать-
ся к Интернету через общедоступную сотовую сеть, которая имеет
высокоскоростное соединение, обычно оптическое, с Интернетом.
Предприятия часто проектируют свои сетевые объекты в виде

трехуровневой иерархии (рис. 11.3):
− сеть доступа (Access Network);
− сеть распределения, или распределительная сеть (Distribu-
tion Network);
− базовая сеть (Core Network).
Ближе всего к конечному пользователю находится сеть доступа

(Access Network). Как правило, сеть доступа представляет собой ло-
кальную сеть (LAN) или сеть в масштабе кампуса, состоящую из ком-
мутаторов LAN (обычно коммутаторов Ethernet) и, в более крупных
LAN, IP-маршрутизаторов, обеспечивающих связь между коммутато-
рами. Коммутаторы этого уровня (не показаны) также обычно исполь-
зуются в локальной сети. Сеть доступа поддерживает оборудование
конечных пользователей, такое как настольные и портативные ком-

пьютеры и мобильные устройства. Сеть доступа также поддержи-
вает локальные серверы, которые в основном или исключительно
обслуживают пользователей в локальной сети доступа.
Core
Core
Network
Network
Distribution
Network
Centralized
Centralized
massive blade Centralized
Centralized
massive
serverblade server
server Distribution
server Network
Access
Access
Network
Networks
PCs
PCs Local servers
Local servers
Источник: https://mu.ac.in/wp-content/uploads/2021/01/Modern-Networking.pdf.
Рис. 11.3. Иерархия современной типовой сети
Один или несколько маршрутизаторов доступа соединяют сети

доступа со следующим более высоким уровнем иерархии – распре-
делительной сетью (Distribution Network). Это соединение может быть
реализовано через Интернет или другое общедоступное, или частное
средство связи. Таким образом, эти маршрутизаторы доступа функци-
онируют как граничные маршрутизаторы, которые перенаправля-
ют трафик в сеть доступа и из нее. Для большого локального объекта
могут использоваться дополнительные маршрутизаторы доступа, ко-

торые обеспечивают внутреннюю маршрутизацию, но не функцио-
нируют как граничные маршрутизаторы (не показаны на рис. 11.3).
Распределительная сеть соединяет сети доступа друг с дру-

гом и с базовой сетью. Граничный маршрутизатор в распреде-
лительной сети подключается к граничному маршрутизатору
в сети доступа для обеспечения возможности подключения.
Два маршрутизатора сконфигурированы для распознавания друг

друга и обычно обмениваются информацией о маршрутизации и под-
ключени, а также некоторой информацией, связанной с трафиком. Это
взаимодействие между маршрутизаторами называется пирингом.
Распределительная сеть также служит для агрегирования тра-
фика, предназначенного для основного маршрутизатора, который
защищает ядро от пиринга с высокой плотностью. Это значит, что
использование распределительной сети ограничивает количество мар-
шрутизаторов, которые устанавливают одноранговые отношения с
граничными маршрутизаторами в ядре, экономя память, обработку
и пропускную способность. Сеть распространения может также на-
прямую соединять серверы, которые используются в сетях с множе-
ственным доступом, такие как серверы баз данных и серверы управ-
ления сетью.
Опять же, как и в случае с сетями доступа, некоторые из марш-
рутизаторов распределения могут быть чисто внутренними и не обес-
печивать функцию граничного маршрутизатора.
Базовая сеть (Core Network), также называемая магистраль-

ной сетью (Backbone Network), соединяет географически раз-
несенные распределительные сети, а также обеспечивает до-
ступ к другим сетям, которые не являются частью корпора-
тивной сети.
Как правило, базовая сеть будет использовать высокопроизво-

дительные маршрутизаторы, линии передачи с большой пропускной
способностью и несколько взаимосвязанных маршрутизаторов для
увеличения избыточности и пропускной способности. Базовая сеть
может также подключаться к высокопроизводительным серверам с
большой емкостью, таким как большие серверы баз данных и объ-

екты частного облака.
Иерархическая сетевая архитектура – пример хорошей мо-
дульной конструкции. Благодаря такой конструкции емкость, ха-
рактеристики и функциональность сетевого оборудования (маршру-
тизаторов, коммутаторов, серверов управления сетью) могут быть
оптимизированы в соответствии с их положением в иерархии и тре-
бованиями на данном иерархическом уровне.
11.2. Ethernet, Wi-Fi и сотовые сети 4G/5G
Можно отметить, что такие технологии, как Ethernet, Wi-Fi и со-

товые сети 4G/5G, описанные в главе 10, в современном обществе
эволюционируют для обеспечения очень высоких скоростей пере-
дачи данных, поддерживающих множество мультимедийных при-
ложений, необходимых для предприятий и потребителей, и в то же
время предъявляют высокие требования к сетевому коммутацион-
ному оборудованию и средствам управления сетью. В данной главе
обратимся еще раз к упомянутым технологиям, рассматривая их под
углом зрения современной структуры и специфики аппаратной ре-
ализации соответствующих сетей.
11.2.1. Особенности современных сетей Ethernet
Еthernet давно используется в домашних условиях для создания

локальной сети компьютеров с доступом в Интернет через широко-
полосный модем/маршрутизатор. С увеличением доступности вы-
сокоскоростного и недорогого Wi-Fi на компьютерах, планшетах,
смартфонах, модемах/маршрутизаторах и других устройствах зави-
симость таких сетей от Ethernet снизилась. Тем не менее почти все
анализируемые сетевые решения включают использование Ethernet.
Два недавних расширения технологии Ethernet улучшили возмож-
ности использования Ethernet в домашних условиях: связь через ЛЭП
(Power Line Carrier, PLC) и передача электроэнергии через Ethernet
(Power over Ethernet, PoE).
11.2. Ethernet, Wi-Fi и сотовые сети 4G/5G 405
Модемы Powerline используют преимущества существующих

линий электропередач и силовой провод в качестве канала связи для
передачи пакетов Ethernet поверх сигнала питания. Это упрощает
включение устройств с поддержкой Ethernet по всему дому. PoE дей-
ствует комплементарно, распределяя мощность по кабелю передачи
данных Ethernet. PoE использует существующие кабели Ethernet для
распределения питания устройствам в сети, что упрощает разводку
таких устройств, как компьютеры и телевизоры. Со всеми этими ва-
риантами Ethernet сохранит прочное присутствие в домашних сетях,
дополняя преимущества Wi-Fi.
На рис. 11.4 представлен упрощенный пример архитектуры кор-
поративной локальной сети. LAN подключается к Интернету/WAN
через брандмауэр.
Internet
Router with
firewall
PSTN
Centralized
servers Distribution
router
IP telephony
server
Edge
router
Wi-Fi
Ethernet access
switch point
Physically-
attached
devices
Рис. 11.4. Пример архитектуры корпоративной локальной сети

Иерархическое расположение маршрутизаторов и коммутаторов

обеспечивает взаимосвязь серверов, пользовательских и беспроводных
устройств. Обычно беспроводные устройства подключаются только
на краю или внизу иерархической архитектуры; остальная часть ин-
фраструктуры организации – это сеть Ethernet. Также может использо-
ваться сервер IP-телефонии, обеспечивающий функции управления вы-
зовами (коммутация голоса) для телефонных операций в корпоратив-
ной сети с возможностью подключения к коммутируемой телефонной
сети общего пользования (Public Switched Telephone Network, PTSN).
Предприятие может легко реализовать сеть Ethernet между не-
сколькими зданиями, находящимися на некотором расстоянии друг
от друга, используя каналы от 10 Мбит/с до 100 Гбит/с, различные
типы кабелей и оборудование Ethernet. Поскольку все оборудование
и коммуникационное программное обеспечение соответствуют од-
ному стандарту, то можно легко комбинировать оборудование от раз-
ных поставщиков.
В последнее время стали говорить об особенностях применения
Ethernet в различных областях, в связи с чем выделяют стандартный
и промышленный Ethernet.
Стандартный Ethernet больше подходит для офисных приме-
нений, нежели для использования в промышленности. Он предназна-
чен для повседневного использования, в то время как промышленный
Ethernet предусматривает различные уровни и может применяться в
более сложных условиях эксплуатации (в том числе в зашумленных
производственных помещениях).
Промышленный Ethernet, как следует из названия, используется
для подключения промышленного оборудования: когда требуются
более надежные разъемы, кабели и, что самое важное, высокий уро-
вень детерминизма. Для достижения высокого уровня детерминизма
в промышленном Ethernet, помимо стандартного протокола Ethernet,
применяются специализированные протоколы. Наиболее популярны-
ми из них являются PROFINET, EtherNet/IP, EtherCAT, SERCOS III
и POWERLINK.
Как и в других областях, Ethernet стал доминировать в центрах
обработки данных, ЦОД (Data Center, DC), где требуется очень вы-
сокая скорость передачи данных для обработки огромных объемов
данных между сетевыми серверами и устройствами хранения.
Исторически сложилось так, что ЦОД использовали различные
технологии для передачи больших объемов данных на короткие
расстояния, включая Infini Band и Fibre Channel. Но теперь, когда

Ethernet может масштабироваться до 100 Гбит/с, а в перспективе – до
400 Гбит/с, аргументы в пользу единого протокола для всего пред-
приятия становятся более весомыми.
Используется также термин городской Ethernet или Ethernet го-
родской сети (MAN). Здесь преимущество Ethernet состоит в том,
что он легко встраивается в корпоративную сеть, для которой обес-
печивает глобальный доступ.
Операторский Ethernet (Carrier Ethernet, CE – расширений

Ethernet для поставщиков услуг связи, которые используют
технологию Ethernet в своих сетях) – одна из самых быстро-
растущих технологий Ethernet, которой суждено стать доми-
нирующим средством, с помощью которого предприятия по-
лучают доступ к обширным сетям и средствам Интернета.
Но более важным преимуществом является то, что операторский

Ethernet обеспечивает гораздо большую гибкость с точки зрения ис-
пользуемой скорости передачи данных по сравнению с традицион-
ными глобальными альтернативами.
Следует отметить две другие особенности нового подхода к
Ethernet. Во-первых, для расположенных рядом серверов и устройств
хранения необходимую сетевую инфраструктуру обеспечивают вы-
сокоскоростные оптоволоконные каналы и коммутаторы Ethernet.
Вторая особенность связана с использованием так называемой объ-
единительной платы Ethernet (Backplane Ethernet) – печатной платы,
которая обеспечивает параллельное соединение нескольких контак-
тов друг с другом, формируя компьютерную шину. Работа Ethernet
через электрические объединительные платы объединяет подуровни
IEEE 802.3 Media Access Control (MAC) и MAC Control с семейством
физических уровней, определенных для поддержки работы через объ-
единительную плату модульного шасси.
Объединительная плата Ethernet обеспечивает скорость до
100 Гбит/с на очень коротких расстояниях. Эта технология идеально
подходит для блейд-серверов (Blade Server), представляющих собой
модульную электронную плату, содержащую один, два или более
микропроцессоров и память, которая предназначена для одного спе-
циального приложения и может быть легко вставлена в блейд-шасси,
представляющее собой компактную конструкцию для размещения

многих аналогичных серверов.
За выпуск стандартов для локальных сетей Ethernet в рамках
комитета по стандартам IEEE 802 LAN отвечает группа 802.3.
11.2.2. Эволюция Wi-Fi
Подобно тому как Ethernet стал доминирующей технологией

для проводных локальных сетей, так и Wi-Fi, стандартизи-
рованный комитетом IEEE 802.11, доминирует в беспровод-
ных локальных сетях.
Wi-Fi – преобладающая технология беспроводного доступа в
Интернет, используемая в домах, офисах, общественных местах.
Wi-Fi в доме теперь соединяет компьютеры, планшеты, смарт-

фоны и множество электронных устройств, таких как видеокамеры,
телевизоры и термостаты. Wi-Fi на предприятии стал важным сред-
ством повышения производительности труда и эффективности сети.
А общественные точки доступа Wi-Fi значительно расширились,
чтобы обеспечить бесплатный доступ в Интернет в обязательных
общественных местах.
Сегодня важность Wi-Fi в доме значительно возросла. Wi-Fi оста-
ется схемой по умолчанию для соединения домашней компьютер-
ной сети. Первое важное применение Wi-Fi в домашних условиях
связано с возможностью убрать кабели Ethernet для соединения на-
стольных и портативных компьютеров друг с другом и с Интерне-
том. Типичная структура домашней сети обычно представляет собой
настольный компьютер с подключенным маршрутизатором/модемом,
который обеспечивает интерфейс с Интернетом. Другие настольные
и портативные компьютеры подключаются к центральному марш-
рутизатору через Ethernet или Wi-Fi. Таким образом, все домашние
гаджеты могут связываться друг с другом и с Интернетом.
Основное качество беспроводных соединений в том, что они
значительно упростили подключение. Нет необходимости в физи-
ческом использовании кабеля, и портативные средства можно легко
перемещать из комнаты в комнату или даже за пределы дома. Wi-Fi
значительно упростил подключение.
Поскольку и Wi-Fi, и сотовая связь теперь являются стан-

дартом как для смартфонов, так и для планшетов, домаш-
ний Wi-Fi обеспечивает достаточно качественный выход в
Интернет. Смартфон или планшет будет автоматически ис-
пользовать соединение Wi-Fi с Интернетом, если оно доступ-
но, и переключаться на более дорогостоящее сотовое соеди-
нение, только если соединение Wi-Fi недоступно.
В последние годы все больше и больше объектов предоставляют

точку доступа Wi-Fi: кафе, рестораны, общественный транспорт,
вокзалы, аэропорты, библиотеки, отели и др. Даже достаточно гео-
графически удаленные объекты используют Wi-Fi. Первой компа-
нией, разработавшей такой инфраструктурный продукт, стала ком-
пания спутниковой связи Иридиум.
Вместе с тем использование Wi-Fi также резко расширилось на
предприятиях. Сейчас примерно половина всего корпоративного
сетевого трафика проходит через Wi-Fi, а не через традиционный
Ethernet. Этому имеются следующие объяснения. Во-первых, все
больше и больше сотрудников предпочитают использовать ноутбуки,
планшеты и смартфоны для подключения к корпоративной сети, а не
настольные компьютеры. Во-вторых, с появлением Gigabit Ethernet
(IEEE 802.11ac) расширились возможности поддерживать высоко-
скоростные подключения ко многим мобильным устройствам од-
новременно.
Благодаря гигабитным скоростям передачи данных, доступным
в офисной локальной сети, необходим гигабитный Wi-Fi, чтобы мо-
бильные пользователи могли эффективно использовать офисные ре-
сурсы. Упомянутый стандарт IEEE 802.11ac как раз направлен на ре-
шение данной задачи.
По мере совершенствования антенного оборудования, методов
беспроводной передачи и проектирования беспроводных протоко-
лов комитет IEEE 802.11 смог ввести стандарты для новых версий
Wi-Fi на все более высоких скоростях. Характер изменения скорост-
ных возможностей можно проследить на основании нижепредстав-
ленной информации (в скобках указаны годы адаптации стандартов),
а также на рис. 11.5:
− 802.11 (1997): 2 Mбит/с;
− 802.11a (1999): 54 Mбит/с;
− 802.11b (1999): 11 Mбит/с;

− 802.11g (2003): 54 Mбит/с;
− 802.11n (2009): 600 Mбит/с;
− 802.11ac (2014): 1,3 Гбит/с (максимум 3,5 Гбит/с);
− 802.11ad (2016): 6,76 Гбит/с;
− 802.11aх (2020): до 9,6 Гбит/с.
Рис. 11.5. Эволюция Ethernet и Wi-Fi (до 2018 г.)
Стандарт IEEE 802.11ac работает в диапазоне 5 ГГц, как и бо-

лее старые и более медленные стандарты 802.11a и 802.11n. Он раз-
работан, чтобы обеспечить плавный переход от стандарта 802.11n.
Cтандарт 802.11ac использует передовые технологии в конструк-
ции антенн и обработке сигналов для достижения гораздо большей
скорости передачи данных при меньшем расходе энергии батареи.
Стандарт IEEE 802.11aх отличается увеличенной скоростью пе-
редачи данных – до 9,6 Гбит/с. Кроме того, новый стандарт преду-
сматривает более совершенную систему шифрования WPA3 (Wi-Fi
Protected Access III). Технология работает в диапазонах частот 2,4 и
5 ГГц, что обеспечивает большую пропускную способность.
IEEE 802.11ad – это версия 802.11, ориентированная для ра-

боты в диапазоне частот 60 ГГц, что дает возможность для исполь-
зования более широкой полосы пропускания канала, обеспечивая
высокие скорости передачи данных с относительно простым коди-
рованием сигнала и использованием относительно простых антенн.
Немногие устройства работают в диапазоне 60 ГГц, а это означает,
что при обмене данными возникает меньше помех.
Wi-Fi необходим также для реализации последней эволюции
Интернета: интернета вещей (об этом – ниже).
Наборы стандартов 802.11 переименованы на более простые

и понятные имена:
– 802.11b → Wi-Fi 1;
– 802.11a → Wi-Fi 2;
– 802.11g → Wi-Fi 3;
– 802.11n → Wi-Fi 4;
– 802.11ac → Wi-Fi 5;
– 802.11ax → Wi-Fi 6.
В связи с этим на сетевых устройствах может появиться марки-

ровка вида, показанного на рис. 11.6.
Источник: https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-introduces-wi-fi-6.
Рис. 11.6. Варианты маркировки сетевых устройств
в соответствии со стандартом IEEE 802.11ax
В сентябре 2019 г. началась программа сертификации Wi-Fi 6 и

в сентябре 2020 г. ассоциация стандартов IEEE официально его при-
няла (ратифицировала). В 2021 г. компания Keenetic (см. п. 10.4.5)
выпустила первую модель роутера с поддержкой класса Wi-Fi AX.
В целом IEEE 802.11ax базируется на современном, актуальном
стандарте 802.11ac (Wi-Fi 5, AC) и использует уже существующие
технологии. По словам разработчиков стандарта, некоторые новые
технологии будут полезны при развертывании Wi-Fi-сетей с высокой
плотностью. Отдельные решения улучшат качество связи в местах
с высокой нагрузкой на сеть и в условиях высокой заполненности
радиоэфира (например, в общественном транспорте, торговых цен-
трах, отелях, на стадионах или в корпоративных сетях). Ощутимый
результат перехода на 802.11ax окажется заметен только в том слу-
чае, если все устройства сети будут поддерживать новый стандарт.
Преимущества стандарта Wi-Fi 6 не скажутся кардинально для
домашних пользователей. Сеть Wi-Fi-роутера с поддержкой 802.11ax
не станет мощнее в сравнении с 802.11ac, зона покрытия сигнала не
увеличится, скорости подключения устройств, не имеющих поддерж-
ки AX, не возрастут.
Один роутер стандарта Wi-Fi 6 по-прежнему не способен заме-
нить Wi-Fi-систему и без существенных потерь скорости покрыть
многокомнатное или разноуровневое помещение с капитальными
стенами и перекрытиями.
В Wi-Fi 6 добавлен режим OFDMA (Orthogonal Frequency

Division Multiple Access – множественный доступ с орто-
гональным частотным разделением каналов) для улучшения
спектральной эффективности. Технология OFDMA была по-
заимствована из сотовой индустрии 4G LTE и похожа на мно-
гопользовательскую версию OFDM, которая применяется в
сети Wi-Fi 5.
OFDMA обеспечивает возможность установления соединений

между точкой доступа и несколькими клиентами одновременно за
счет деления сигнала на поднесущие частоты (дополнительные бо-
лее мелкие подканалы) и выделять их в группы для обработки отдель-
ных потоков данных, называемых ресурсными единицами (Resource
Units, RU). Она позволит одновременно транслировать данные сразу
нескольким клиентам Wi-Fi 6 с усредненной скоростью и исполь-

зовать один и тот же канал вместо ожидания.
Wi-Fi 6 обеспечивает для технологии MU-MIMO (Multi-User
Multiple-Input, Multiple-Output – многопользовательский многока-
нальный вход/выход) поддержку восходящего направления (UL MU-
MIMO). Ранее в стандарте Wi-Fi 5 технология MU-MIMO работала
только в нисходящем направлении: от роутера к клиентам (DL MIMO).
В отсутствие поддержки клиентами новых технологий OFDMA
и UL MU-MIMO намного больший эффект даст использование не-
скольких точек доступа.
Если уже есть клиентские устройства с поддержкой 802.11ax или
планируется приобретение самого современного роутера с поддерж-
кой последнего стандарта Wi-Fi 6, что называется «на будущее», с
учетом темпов развития новых технологий и гаджетов, с перспекти-
вой обновления Wi-Fi-устройств сети, выбор интернет-центра Keenetic
с поддержкой стандарта AX будет хорошим решением. Но и сейчас
во многих случаях практичным и оптимальным вариантом для под-
ключения к Интернету и организации собственной сети Wi-Fi остает-
ся использование двухдиапазонного Wi-Fi-роутера стандарта 802.11ac.
IEEE планирует к 2024 г. завершить работу над стандартом
802.11be, который, вероятно, получит название Wi-Fi 7. Он станет
развитием 802.11ax, и в его основу ляжет уже знакомая технология
OFDMA. Это – вариация решения для параллельной передачи дан-
ных, разделяющего канал связи на поднесущие с помощью быстрого
преобразования Фурье. Ориентировочная пропускная способность
стандарта 802.11be составит 40 Гбит/с.
11.2.3. Технологии 4G/5G
Стандартизацию сетей мобильной связи 2–5-го поколений вы-

полняет партнерский проект для стандартизации систем 3-го по-
коления (3rd Generation Partnership Project, 3GPP).
Отметим, что техническое описание мобильной связи 2–5-го
поколений было представлено в главе 10, поэтому далее обратим
внимание только на наиболее значимые аспекты использования мо-
бильных сетей на основе технологий 4G и 5G.
Развитие смартфонов и сотовых сетей привело к появлению но-
вого поколения возможностей и стандартов, которые в совокупности
называются 4G (точное название: 4G LTE – Long Term Evolution –

долговременное развитие).
Системы 4G обеспечивают сверхширокополосный доступ в Ин-
тернет для различных мобильных устройств, включая ноутбуки, смарт-
фоны и планшеты. Эти требования привели к разработке мобильной
беспроводной технологии 4G, которая предназначена для максималь-
ного увеличения полосы пропускания и пропускной способности,
а также максимальной спектральной эффективности (см. п. 10.1.7
и 10.1.8).
Сети 4G поддерживают мобильный доступ в Интернет и

приложения с высокой пропускной способностью, такие как
мобильное телевидение высокой четкости, мобильные видео-
конференции и игровые сервисы.
В целом можно выделить наиболее значимые для функциони-

рования современных сетей характеристики систем 4G:
− функционируют на базе сети с коммутацией пакетов, полно-
стью основанной на IP;
− обеспечивают поддержку пиковых скоростей передачи данных
примерно до 100 Мбит/с для доступа с высокой мобильностью (мо-
бильный доступ) и примерно до 1 Гбит/с – для доступа с низкой мо-
бильностью, такого как локальный беспроводной доступ;
− предоставляют возможность динамического разделения и ис-
пользования сетевых ресурсов для поддержки большого числа одно-
временных пользователей;
− обеспечивают поддержку высокого качества обслуживания для
мультимедийных приложений следующего поколения.
В отличие от предыдущих поколений системы 4G не поддер-
живают традиционные телефонные услуги с коммутацией каналов,
предоставляя только услуги IP-телефонии.
В 2017 г. организация 3GPP официально сообщила, что 5G станет
официальным названием следующего поколения мобильной связи и
представила новый официальный логотип стандарта связи. Техно-
логия телекоммуникаций 5G – это технологический стандарт пятого
поколения для широкополосных сотовых сетей, который сотовые
компании начали развертывать во всем мире в 2019 г. Он является
планируемым преемником сетей 4G.
Основное преимущество сетей 5G заключается в том, что

они будут иметь большую пропускную способность, обес-
печивая более высокую скорость загрузки, в конечном итоге
до 10 Гбит/с.
Основные услуги в сетях 5G:

− сверхширокополосная мобильная связь (Extreme Mobile Broad-
band, eMBB) – реализация ультраширокополосной связи с целью пе-
редачи «тяжелого» контента;
− массовая межмашинная связь (Massive Machine-Type Commu-
nications, mMTC) – поддержка интернета вещей (ультраузкополос-
ная связь);
− сверхнадежная межмашинная связь с низкими задержками
(Ultra-Reliable Low Latency Сommunication, URLLC) – обеспечение
особого класса услуг с очень низкими задержками.
Основные требования к сетям 5G:
− пропускная способность сети до 20 Гбит/с по линии «вниз»
(т. е. к абоненту); и до 10 Гбит/с в обратном направлении;
− поддержка одновременного подключения до 1 млн устройств
на 1 км2;
− сокращение временной задержки на радиоинтерфейсе до
0,5 мс – для сервисов сверхнадежной межмашинной связи URLLC и
до 4 мс – для сервисов сверхширокополосной мобильной связи eMBB.
Ожидается, что из-за увеличения пропускной способности но-
вые сети будут не только обслуживать мобильные телефоны, как
существующие сотовые сети, но и сами будут использоваться в ка-
честве общих интернет-провайдеров для ноутбуков и настольных
компьютеров, конкурируя с существующими интернет-провайде-
рами (кабельный Интернет), а также будут делать возможными но-
вые приложения в интернете вещей (IoT) и межмашинных областях.
Текущие мобильные телефоны 4G не смогут использовать новые
сети, для чего потребуются новые беспроводные устройства с под-
держкой 5G.
Повышенная скорость достигается за счет использования радио-
волн более высокой частоты, чем в существующих сотовых сетях.
Однако более высокочастотные радиоволны имеют более корот-
кий диапазон, чем частоты, используемые предыдущими вышка-
ми сотовой связи, что требует меньших ячеек. Таким образом, для
обеспечения широкого спектра услуг сети 5G работают в трех диа-

пазонах частот: низком, среднем и высоком. Сеть 5G будет состоять
из сетей, содержащих до 3 различных типов ячеек, каждая из кото-
рых требует разных антенн, причем каждый тип дает различный
компромисс между скоростью загрузки, расстоянием и зоной об-
служивания. Мобильные телефоны и беспроводные устройства 5G
будут подключаться к сети через самую высокоскоростную антенну
в пределах досягаемости в том месте, где они находятся.
Узкополосный 5G использует тот же частотный диапазон, что
и современные сотовые телефоны 4G, 600–700 МГц, что дает ско-
рость загрузки немного выше, чем 4G: 30–250 Мбит/с. Вышки со-
товой связи с низким диапазоном частот будут иметь радиус дей-
ствия и зону покрытия, как современные вышки 4G. Среднечастот-
ный 5G использует микроволны 2,5–3,7 ГГц, что в настоящее время
обеспечивает скорость 100–900 Мбит/с, при этом каждая вышка со-
товой связи обеспечивает обслуживание в радиусе до нескольких ки-
лометров.
Этот уровень обслуживания является наиболее широко приме-
няемым и доступен в большинстве крупных городов с 2020 г. Не-
которые страны не внедряют низкочастотный диапазон, что делает
его минимальным уровнем обслуживания.
В высокочастотном диапазоне 5G в настоящее время использу-
ются частоты 25–39 ГГц, близкие к нижней границе диапазона мил-
лиметровых волн, хотя в будущем могут использоваться более вы-
сокие частоты. Дело в том, что при повышении частоты, на которой
передается информация, уменьшается дальность связи. Это закон
физики, обойти его можно лишь повышая мощность передатчика,
которая ограничена санитарными нормами. Однако считается, что
базовые станции сетей пятого поколения будут располагаться плот-
нее, чем сейчас, что вызвано необходимостью создать гораздо бόль-
шую емкость сети. Преимуществом диапазонов десятков гигагерц
является наличие большого количества свободного спектра.
Есть еще одна особенность. Скорость загрузки гигабита в се-
кунду сравнима с кабельным Интернетом. Однако миллиметровые
волны имеют более ограниченный диапазон, требующий множества
маленьких ячеек. Здесь имеются проблемы с прохождением некото-
рых типов стен и окон. Из-за их более высокой стоимости текущие
планы заключаются в развертывании этих ячеек только в плотной
городской среде и в местах скопления людей, таких как спортивные
11.3. Сетевые технологии и облачные вычисления 417
стадионы и конференц-центры. Вышеуказанные скорости были до-

стигнуты в реальных тестах в 2020 г. Ожидается, что скорости будут
увеличиваться во время развертывания.
К концу 2019 г. общий объем трафика мобильных данных в мире
достиг примерно 33 Эбайт (1 эксабайт (Эбайт) = 1 · 1018 байтов) в ме-
сяц и, по прогнозам, к 2025 г. вырастет примерно в 5 раз, достигнув
164 Эбайт в месяц. На рис. 11.7 представлены мобильные данные,
которые будут использовать более 6 млрд человек.
Рис. 11.7. Глобальный трафик мобильных данных (Эбайт/мес)
11.3. Сетевые технологии и облачные вычисления
Общие концепции облачных вычислений (ОВ) восходят к

1950-м гг. Однако реальные услуги ОВ впервые стали доступны в
начале 2000-х гг. С тех пор ОВ распространились на малый и сред-
ний бизнес, а в последнее время – и на потребителей. Evernote, об-
лачный сервис для создания заметок и архивирования, запущенный
в 2008 г., охватил 100 млн пользователей менее чем за 6 лет. Облако
от Apple iCloud было запущено в 2012 г. В конце 2014 г. Google объ-

явил, что у облачного сервиса Google Drive почти четверть миллиар-
да активных пользователей. Кратко охарактеризуем ключевые эле-
менты облаков, включая облачные вычисления, облачные сети и об-
лачные хранилища.
Облачная сеть (Cloud-Based Network, CBN) – это корпора-
тивная сеть, которую можно расширить до облака, показанного на
рис. 11.8. Облачная сеть позволяет предприятию распространять
свою сеть по всему миру. Облако значительно упрощает разработку
сетевой системы предприятия. В облаке базовая сеть создается по-
ставщиком облачных услуг. Все, что нужно сделать предприятию, –
это подключить свою локальную сеть к сети, построенной в облаке,
чтобы сформировать глобальную сетевую систему корпоративного
класса.
Рис. 11.8. Сеть, основанная на облачной технологии
Облачная сеть нацелена на организации взаимодействия с мно-

жеством сайтов по всему миру.
На нескольких объектах, таких как филиалы, школы, клиники,
производственные предприятия или магазины розничной торговли,
могут работать от пары сотен до десятков тысяч сотрудников. С по-
мощью инструментов управления, развернутых в облаке, сетевые ад-
министраторы могут управлять распределенными корпоративными
сетями в любом месте и в любое время. Инструменты управления
можно использовать для руководства виртуальными машинами и
мобильными службами, размещенными в облаке. Они применяются
для выполнения таких задач, как централизованное управление, уда-

ленный мониторинг, удаленная установка программного обеспече-
ния и приложений, удаленная очистка и аудит безопасности.
Cуществует три основные реализации облачных вычислений

(Cloud Computing): технологии использования облачных вы-
числений в деталях могут отличаться, но общая идея должна
относиться к одному из трех решений, реализованных, в част-
ности, в следующих системах:
– Amazon’s EC2;
– Google App Engine;
– Berkeley Open Infrastructure for Network Computing (BOINC).
Облачные вычисления являются наиболее гибкими в своем

предложении и могут использоваться для самых разных целей; это
зависит от приложения, к которому пользователь хочет получить
доступ. Для работы в облаке необходимо создать учетную запись.
Указанные приложения подходят для любых организаций, но круп-
ные организации могут оказаться в невыгодном положении, по-
скольку эти приложения не предлагают стандартных возможностей
управления, мониторинга и управления, к которым они привыкли.
Облачные приложения отличаются от вычислительных об-

лаков тем, что в них используются программные средства,
основанные на облачной инфраструктуре. Облачные прило-
жения и средства представляют собой версии программного
обеспечения как услугу (SaaS – Software as a Service), инфра-
структуру (IaaS – Infrastructure as a Service) и платформу
(PaaS – Platform as a Service).
SaaS включают в себя такие вещи, как веб-приложения, которые

доставляются пользователям через браузер или приложение, такое
как Microsoft Online Services. Эти приложения переносят хостинг и
управление ИТ в облако.
Облачные приложения часто избавляют от необходимости уста-
навливать и запускать приложение на собственном компьютере кли-
ента, тем самым облегчая задачу обслуживания программного обес-
печения.
Облачные приложения могут состоять:

− из одноранговых сетей (Peer-to-Peer Computing, P2P; напри-
мер, Skype);
− из веб-приложений (например, MySpace или YouTube);
− из SaaS (например, Google Apps);
− из программных средств и услуг (например, Microsoft Online
Services).
Национальный институт стандартов и технологий США (NIST)

определяет основные характеристики облачных вычислений следу-
ющим образом:
− широкий сетевой доступ (Broad Network Access): возможно-
сти доступны по сети и через стандартные механизмы, которые ис-
пользуются разнородными платформами «тонких» или «толстых»
клиентов (например, мобильные телефоны, ноутбуки и персональ-
ные цифровые помощники) и другие традиционные или облачные
программные услуги;
− быстрая (мгновенная) эластичность (Rapid Elasticity): облач-
ные вычисления позволяют расширять и сокращать ресурсы в соот-
ветствии с конкретными требованиями к услугам; например, если
потребуется много ресурсов сервера на время выполнения опреде-
ленной задачи, можно освободить эти ресурсы по завершении задачи;
− измеримость сервиса (Measured Service): облачные системы
автоматически контролируют и оптимизируют использование ре-
сурсов, реализуя возможность измерения или оценки на некотором
уровне абстракции, соответствующем типу сервиса (например, хра-
нение, обработка, пропускная способность и активные учетные за-
писи пользователей); использование ресурсов можно отслеживать,
контролировать и составлять отчеты, обеспечивая прозрачность как
для поставщика, так и для потребителя используемой услуги;
− самообслуживание по запросу (On-Demand Self-Service): по-
требитель может в одностороннем порядке автоматически предостав-
лять вычислительные возможности, такие как время сервера и сетевое
хранилище, без необходимости взаимодействия человека с каждым
поставщиком услуг; поскольку услуга предоставляется по запросу,
ресурсы не являются постоянными частями ИТ-инфраструктуры;
− объединение ресурсов (Resource Pooling): вычислительные
ресурсы провайдера объединяются для обслуживания нескольких
потребителей с использованием многопользовательской модели; при

этом различные физические и виртуальные ресурсы динамически
назначаются и переназначаются в соответствии с потребительским
спросом. Существует определенная степень независимости от ме-
стоположения, поскольку заказчик обычно не может контролировать
или знать точное местоположение предоставленных ресурсов, но
может указать местоположение на более высоком уровне абстрак-
ции (например, страна, область или центр обработки данных). При-
мерами ресурсов являются: хранилище, обработка данных, память,
пропускная способность сети, виртуальные машины. Даже частные
облака имеют тенденцию объединять ресурсы между разными ча-
стями одной организации.
На рис. 11.9 показана типичная структура облачной системы.
Предприятие поддерживает рабочие станции в корпоративной ло-
кальной сети или в наборе локальных сетей, которые подключены
маршрутизатором через сеть или Интернет к поставщику облачных
услуг. Поставщик облачных услуг поддерживает огромное количе-
ство серверов, которыми он управляет с помощью различных ин-
струментов управления сетью, резервирования и безопасности. На
этом рисунке облачная инфраструктура показана в виде набора
блейд-серверов (Blade-Server).
Рис. 11.9. Общий состав инфраструктуры системы облачных вычислений
11.4. Интернет вещей
Интернет вещей (Internet of Things, IoT) – одно из последних

достижений революции в области вычислений и коммуникаций.
Повсеместное распространение IoT и его влияние на повседневную
жизнь людей, бизнес и деятельность правительственных структур
многих стран едва ли затмевают все предыдущие достижения в об-
ласти ИТ.
Интернет вещей – это термин, который относится к расши-

ренному взаимодействию интеллектуальных устройств от
бытовой техники до крошечных датчиков. Доминирующей
темой является встраивание мобильных трансиверов ближ-
него действия в широкий спектр гаджетов и предметов по-
вседневного обихода, что позволяет создавать новые формы
связи между людьми и вещами, а также между самими вещами.
Интернет прошел примерно четыре стадии эволюции, достигнув

современной – IoT:
1) информационные технологии (ИТ): ПК, серверы, маршрути-
заторы, межсетевые экраны и т. д., приобретаемые и используемые
как ИКТ-устройства ИТ-специалистами предприятия, в основном –
с использованием проводной связи;
2) операционные технологии (ОТ): устройства со встроенной
ИТ-инфраструктурой для прямого наблюдения и/или управления
промышленным оборудованием, активами, процессами и событи-
ями (медицинское оборудование, SCADA – диспетчерский контроль
и сбор данных, управление процессами и подобные, приобрета-
емые для корпоративного применения с использованием провод-
ной связи);
3) персональные технологии: смартфоны, планшеты и устрой-
ства для чтения электронных книг, приобретаемые в качестве ИТ-
устройств потребителями (сотрудниками) исключительно с исполь-
зованием беспроводной связи, а зачастую – и нескольких форм бес-
проводной связи);
4) технология датчиков/исполнительных механизмов: одноце-
левые устройства, приобретаемые потребителями, ИТ-специалистами
11.4. Интернет вещей 423
и специалистами ОТ, исключительно использующими беспроводную

связь, как часть более крупных систем.
Это четвертое поколение, которое обычно называют IoT, и в нем
используется огромное количество встроенных устройств.
Интернет теперь поддерживает соединение миллиардов промыш-
ленных и личных объектов, обычно через облачные системы. Объ-
екты доставляют сенсорную информацию, воздействуют на окружа-
ющую среду и в некоторых случаях изменяют себя, чтобы создать
общее управление более крупной системой, такой как фабрика или
город, обеспечивая необходимый уровень защиты данных.
В основе IoT лежат глубоко встроенные устройства. Эти

устройства представляют собой элементы со сравнительно
низкой пропускной способностью, которые обмениваются
данными друг с другом и предоставляют данные через поль-
зовательские интерфейсы.
Вместе с тем, встроенные устройства, такие, например, как камеры

видеонаблюдения с высоким разрешением, телефоны для передачи
видео по IP (VoIP) и некоторые другие требуют обеспечения возмож-
ностей потоковой передачи с высокой пропускной способностью.
IoT-системы работают в режиме реального времени и

обычно состоят из сети smart-устройств и облачной платфор-
мы, к которой они подключены с помощью Wi-Fi, Bluetooth
или других видов связи.
Интернет вещей обычно разделяют на группы по отраслям: в ме-

дицине, телекомуникациях, ЖКХ, армии, электроэнергетике, строи-
тельстве, логистике, сельском хозяйстве (IoTAg) и др.
Промышленный интернет вещей (Industrial Internet of Things) –
многоуровневая система, включающая в себя датчики и контрол-
леры, установленные на узлах и агрегатах промышленного объекта,
средства передачи собираемых данных и их визуализации, мощные
аналитические инструменты интерпретации получаемой информа-
ции и многие другие компоненты.
Техническая литература по анализируемому вопросу часто ак-
центирует внимание на двух элементах IoT: «вещах», которые связаны
между собой, и Интернете, который их связывает. Будем далее рас-

сматривать интернет вещей как систему, состоящую из пяти уровней.
Кратко их охарактеризуем.
1. Датчики и исполнительные механизмы: датчики «наблюдают»
за окружающей средой (в общем случае) и сообщают о количествен-
ных измерениях таких переменных, как температура, влажность, на-
личие или отсутствие некоторых наблюдаемых и т. д. Механизмы
(приводы) воздействуют на окружающую среду, например, изменяя
настройку термостата или управляя клапаном.
2. Связь: устройство может подключаться к сети через беспро-
водное или проводное соединение для отправки собранных дан-
ных в соответствующий центр обработки данных (датчик) или по-
лучения рабочих команд от узла контроллера (исполнительного ме-
ханизма).
3. Емкость: сеть, поддерживающая устройства, должна быть спо-
собна обрабатывать потенциально огромный поток данных.
4. Хранение: необходимо большое хранилище для аккумуляции
данных и поддержки резервных копий всех собранных данных. Обыч-
но это реализуется на основе облака.
5. Анализ данных: для больших коллекций устройств создаются
системы больших данных, требующие реализации возможности ана-
лиза и обработки потока данных.
В Рекомендации ITU-T/Y.4416 (06/2018) Международного со-
юза электросвязи в области телекоммуникаций, МСЭ-Т (Interna-
tional Telecommunication Union – Telecommunication sector, ITU-T)
представлено описание архитектуры IoT на основе развития сетей
последующих поколений (Next Generation Network, NGNe) с уче-
том эталонной модели IoT, определенной в Рекомендации МСЭ-Т
Y.4000/Y.2060, общих требований к IoT, определенных в Реко-
мендации МСЭ-T Y.4100/Y.2066, а также функциональной струк-
туры и возможностей IoT, определенных в Рекомендации МСЭ-Т
Y.4401/Y.2068.
В Рекомендации ITU-T/Y.4416 описаны расширения функцио-
нальных объектов, контрольных точек и функциональных компо-
нентов NGNe, а также расширения возможностей NGNe согласно
описанию, приведенному в Рекомендации МСЭ-T Y.2012 и других
соответствующих рекомендациях, в целях поддержки IoT.
На рис. 11.10 приведена структура эталонной модели IoT со-
гласно ITU-T/Y.2060.
11.4. Интернет вещей 425
Уровень
Возможности безопасности
Приложения IoT
приложений
эксплуатационного
Общая поддержка Дополнительная

Возможности
Уровень поддержки
управления
сервисов и приложений сервисов поддержка сервисов
Сетевые возможности
Сетевой уровень
Траспортные возможности
Возможности Возможности
Уровень устройств устройств шлюзов
Рис. 11.10. Структура эталонной модели IoT

согласно ITU-T/Y.2060
Для экосистем IoT, которые не используют ручной труд непо-

средственно при исполнении производственных процессов и си-
стема управления которых автоматически обращается напрямую
к необходимым исполнительным устройствам и сенсорам, базо-
вым ресурсом является информация и автоматические средства ее
обработки.
Концепция IoT на основе облачных технологий, показан-

ная на рис. 11.11, представляет собой объединение устройств
в своеобразные пулы ресурсов и виртуализацию функций
управления ими.
Слой
виртуализации
функций устройств
и управления их пулами
Пользователи Персонал
Устройства/
ресурсы
Рис. 11.11. Концепция IoT на основе облачных технологий
11.5. Большие данные
Объемы накапливаемых данных продолжают расти, поскольку

их все больше собирают удаленные датчики, мобильные устройства,
камеры, микрофоны, считыватели радиочастотной идентификации
(Radio Frequency Identification, RFID) и др. Исследование, проведен-
ное несколько лет назад, показало, что ежедневно создается 2,5 Эбайта
(2,5 · 1018 байтов) данных. Причем 90% всех данных в мире были со-
зданы за последние несколько лет. Сегодня эти цифры, вероятно, выше.
«Большие данные» (здесь начальная буква обычно пропис-

ная; Big Data) – это данные, которые не помещаются в опе-
ративную память компьютера. Это означает, что свойство
больших для определенного объема данных зависит, прежде
всего, от структуры и характеристики системы, применяемой
для обработки этих данных.
Технологии Big Data могут быть полезными при решении сле-

дующих задач:
− прогнозирование рыночной ситуации;
− маркетинг и оптимизация продаж;
− совершенствование продукции;
− принятие управленческих решений;
− повышение производительности труда;
− эффективная логистика;
− мониторинг состояния основных фондов и среды;
− криптовалютные операции и др.
Для работы с Большими данными используются сложные си-
стемы, в которых можно выделить несколько компонентов или слоев
(Layers). Обычно выделяют четыре уровня компонентов таких систем:
− прием данных (Data Ingestion);
− сбор данных (Data Staging);
− анализ данных (Data Analysis; Analysis Layer);
− представление результатов (Consumption Layer).
Это деление является в значительной мере условным так как, с
одной стороны, каждый компонент, в свою очередь, может быть разде-
лен на подкомпоненты, а с другой – некоторые функции компонентов
11.5. Большие данные 427
могут перераспределяться в зависимости от решаемой задачи и ис-

пользуемого программного обеспечения, например, выделяют хра-
нение данных в отдельный слой.
Прием данных от источников заключается в их начальной подго-
товке с целью приведения этих данных к общему формату представ-
ления. Этот единый формат выбирается в соответствии с принятой
моделью данных. Выполняются преобразования систем измерения,
типов (типизация), верификация. Обработка данных содержательно
не затрагивает имеющуюся в данных информацию, но может изме-
нять ее представление (например, приводить координаты к единой
системе координат, а значения – к единой размерности).
Этап сбора данных характеризуется непосредственным взаимо-
действием с системами их хранения. Устанавливается точка сбора,
в которой собранные данные снабжаются локальными метаданны-
ми и помещаются в хранилище либо передаются для последующей
обработки. Данные, по каким-либо причинам не прошедшие точку
сбора, игнорируются.
Анализ данных, в отличии от сбора, использует информацию,
содержащуюся в самих данных. Анализ может проводиться как в
реальном времени, так и в пакетном режиме. Анализ данных состав-
ляет основную по трудоемкости задачу при работе с Большими дан-
ными. Методики выполнения анализа используют определенные ал-
горитмы в зависимости от поставленных целей.
Результаты анализа данных предоставляются на уровне потреб-
ления. Имеется несколько механизмов, позволяющих использовать
результаты анализа Больших данных.
Системы обработки Больших данных являются фрейм-

ворками, т. е. каркасами, для использования которых необ-
ходимо состыковать их с другими фреймворками, приклад-
ным программным обеспечением пользователя и системой
хранения данных.
На рис. 11.12 приведена экосистема сети Больших данных. На нем

не показаны некоторые важные сетевые устройства, включающие меж-
сетевые экраны, системы обнаружения/предотвращения вторже-
ний (Intrusion Detection/Prevention Systems, IDS/IPS), коммутаторы
LAN и маршрутизаторы.
Рис. 11.12. Экосистема сети Больших данных предприятия
Ключевые элементы сети Больших данных предприятия вклю-

чают:
− хранилище данных (Data Warehouse, DW): содержит интегри-
рованные данные из нескольких источников данных, используемые
для отчетности и анализа;
− серверы управления данными (Data Management Servers, DMS):
большие группы серверов выполняют несколько функций в отноше-
нии Больших данных: на серверах работают приложения для анализа
данных, такие как инструменты интеграции данных и инструменты

аналитики. Другие приложения интегрируют и структурируют дан-
ные о деятельности предприятия, такие, например, как финансовые
данные, данные о производственной деятельности и электронной
коммерции;
− pабочие станции/системы обработки данных (Workstations/
Data Processing Systems, DPS) – системы, участвующие в использо-
вании приложений для Больших данных и в создании входных дан-
ных для хранилищ Больших данных;
− сервер управления сетью (Network Management Server, NMS):
один или несколько серверов, отвечающих за управление, контроль
и мониторинг сети.
Корпоративная сеть может включать несколько сайтов, распре-
деленных на региональном, национальном или глобальном уров-
нях. Кроме того, в зависимости от характера системы Больших дан-
ных, предприятие может получать данные с других корпоративных
серверов, с рассредоточенных датчиков и других устройств в ин-
тернете вещей в дополнение к мультимедийному контенту из сетей
доставки контента.
Как видно, сетевая среда для больших данных сложна.
Влияние больших данных на сетевую инфраструктуру пред-

приятия определяется так называемыми тремя V:
− объем (Volume, растущий объем данных);
− скорость (Velocity, увеличение скорости операций записи
и чтения данных);
− изменчивость (Variability, растущее количество типов дан-
ных и источников их происхождения).
Оборудование для обработки данных размещается в центре об-

работки данных ЦОД или дата-центрах ДЦ (Data Center, DC).
Телекоммуникационные пространства ЦОД и соответствующие
топологии можно найти в стандарте TIA/EIA-942 (Telecommunica-
tions Infrustructure Standard for Data Centers). Помимо локальной вы-
числительной сети (ЛВС) основными компонентами ЦОД являют-
ся система управления, вычислительные ресурсы, система хранения
данных.
На рис. 11.13 показан пример распределенной топологии ДЦ.
Источник: документ SP–3-0092 (стандарт TIA/EIA-942).

Рис. 11.13. Пример распределенной топологии ДЦ
И крупные корпоративные ЦОД, и ЦОД облачных провайдеров

состоят из очень большого количества взаимосвязанных серверов.
Обычно до 80% трафика данных приходится на сеть ЦОД, и только
20% – на внешние сети для связи с пользователями.
Основное требование к локальной сети – низкие задержки.
При большом количестве узлов используются сетевые комму-
таторы, начинающие передачу пакета данных сразу после обработ-
ки заголовка пакета данных. При малом количестве узлов распро-
странено прямое соединение компьютеров по схеме гиперкуб, где
размерность куба соответствует числу портов на интерфейсных пла-
тах. Ранее массово использовались сети на базе различных вариан-
тов интерфейса Infiniband, сейчас, в основном, используется Gigabit
Ethernet.
В контексте рассмотрения вопроса, относящегося к большим
данным, отметим также следующее.
Традиционные технологии хранения и управления бизнес-

данными включают:
− системы управления реляционными базами данных (Rela-
tional Database Management Systems, RDBMS);
− сетевой накопитель (Network-Attached Storage, NAS);
− сеть хранения данных (Storage-Area Networks, SAN);
− хранилища данных (Data Warehouses, DW);
− систему бизнес-аналитики (Business Intelligence, BI).
Традиционные хранилища данных и системы бизнес-аналитики

обычно сильно централизованы в корпоративной инфраструктуре.
Они часто включают центральное хранилище данных с РСУБД, вы-
сокопроизводительное хранилище и аналитическое программное обес-
печение, такое как инструменты онлайн-аналитической обработки
(Online Analytical Processing, OLAP) для интеллектуального анализа
и визуализации данных.
Для примера на рис. 11.14–11.17 приведены иллюстрации, по-
казывающие работу с Большими данными в корпорации Oracle∗.
Рис. 11.14. Концептуальная архитектура управления данными

корпорации Oracle
∗
BIG DATA and Advanced Analytics = BIG DATA и анализ высокого уровня: сб. материа-
лов V Междунар. науч.-практ. конф., Минск, 13–14 марта 2019 г.: в 2 ч. / Белорус. гос. ун-т ин-
форматики и радиоэлектроники; редкол.: В. А. Богуш [и др.]. Минск, 2019. Ч. 1. 370 с.
Рис. 11.15. Архитектура современного хранилища данных

в корпорации Oracle
Рис. 11.16. Cхема Analytics & Big Data,

применяемая в корпорации Oracle
Управление онлайн-потоком данных базируется на Data Integra-

tion Platform Cloud (DIPC), а также на Event Hub Cloud Service (ЕНСS).
Облачная платформа интеграции данных (DIPC) – это унифициро-
ванная платформа для репликации данных в реальном времени, пре-
образования данных, слежения за качеством данных и управления
данными. Event Hub Cloud Service ЕНСS – это управляемый облач-
ный сервис, который обеспечивает высокодоступную и масштаби-
руемую платформу обмена сообщениями для работы с потоковыми
данными.
11.6. Виртуализация сетевых функций 433
Рис. 11.17. Схема Analytics Cloud
Analytics Cloud характеризуется следующими особенностями:

простая и продвинутая визуализация данных; дополнительные воз-
можности машинного обучения: R, Python, интеграция с Apache Spark;
современное мобильное приложение.
Приложения для работы с большими данными все чаще стано-
вятся источником конкурентной ценности для предприятий. Есть все
признаки того, что использование данных будет становиться все бо-
лее важным направлением, поскольку все больше и больше предпри-
ятий будут пользоваться преимуществами приложений для работы
с Большими данными.
11.6. Виртуализация сетевых функций
Как уже неоднократно отмечалось выше, классические сети со-

здавались и функционировали на основе использования специали-
зированных аппаратных средств (маршрутизаторов, Ethernet-комму-
таторов, оборудования EPC, межсетевых экранов, балансировщиков
нагрузки и пр.). Эти устройства создавались на базе специализирован-
ных аппаратных и программных платформ отдельных производителей.
Архитектура опорной сети, EPC (Evolved Packet Core, буквально:
«эволюционировавшая пакетная опорная сеть») состоит из множества
базовых (Сore) функций, взаимодействующих через инфраструктуру

IP-сети. Эти функции обеспечивают передачу пакетов данных в сеть
радиодоступа, RAN (Radio Access Network) сети 4G LTE (Long Term
Evolution). В последнее же время сети телекоммуникационных опе-
раторов состоят в основном из «монолитных» сетевых элементов,
где функции управления, администрирования и пересылки данных
(трафик данных пользователя) выполняются на основе физических,
«железных» устройств.
Развертывание новых услуг, модификации оборудования или
услуг делаются поочередно на каждом сетевом элементе и требуют
тесной координации внутренних и внешних ресурсов оператора.
Такая монолитная организация делает операторскую сеть негибкой,
затрудняет ввод новых услуг и функций, а также увеличивает зави-
симость оператора от специфических (проприетарных) решений кон-
кретных вендоров. Поэтому в настоящее время многие операторы вы-
брали путь цифровой трансформации на базе технологий SDN/NFV.
Цифровые трансформации обычно определяются термином

программно-определяемая сеть или программно-конфигу-
рируемая сеть (Software-Defined Networking, SDN), и явля-
ются одной из форм виртуализации сетевых функций (Network
Functions Virtualization, NFV).
Технология SDN обеспечивает абстрагирование топологии

сети и моделей данных для вышестоящих систем. Это дает возмож-
ность быстрого введения новых приложений, основанных на свой-
стве про-граммируемости сети.
Еще раз отметим, что до появления SDN функции передачи паке-
тов данных выполнялись интегрировано на каждом сетевом устрой-
стве (маршрутизатор, мост, коммутатор пакетов и т. д.). Управление
в такой традиционной сети осуществлялось посредством сетевого
протокола маршрутизации и управления, который был реализован
в каждом сетевом узле. Этот подход относительно негибкий и тре-
бует, чтобы все сетевые узлы реализовывали одни и те же протоколы.
В SDN центральный контроллер (или SDN-контроллер) вы-

полняет все сложные функции, включая маршрутизацию, при-
своение имен, объявление политик и контроля безопасности.
Контроллер состоит из нескольких модулей или уровней, каж-

дый модуль отвечает за ряд необходимых функциональных воз-
можностей.
Кроме классического управления сетью прямыми командами
системного администратора к контроллеру, SDN-контроллер под-
держивает запуск на себе приложений управления сетью.
Контроллер SDN выступает единой централизованной точкой
управления и взаимодействует с уровнем приложений посредством
открытого интерфейса API, а также выполняет мониторинг и управ-
ление физическими устройствами сети посредством открытого ин-
терфейса – протокола OpenFlow.
OpenFlow является первым стандартизированным от-

крытым интерфейсом, который отвечает за взаимодей-
ствие между уровнем управления и уровнем передачи дан-
ных. OpenFlow обеспечивает доступ, обмен информацией и
доставку управляющих команд элементам сетевой инфра-
структуры.
Каждое SDN-приложение, по сути, являет собой интерфейс

оптимизации сети под конкретное бизнес приложение и его
основная роль – изменение сети в реальном времени под те-
кущие нужды обслуживаемой программы.
В приложении Microsoft Lynk это может быть, к примеру, изме-

нение QoS (см. подглаву 11.8) сети между двумя телефонными або-
нентами для передачи HD-видеозвонка в реальном времени без за-
держек или создание VPN-туннеля между двумя абонентами.
Вспомним, что приложение Microsoft Lync, которое извест-
но также как MS Office Communicator, является коммуникационной
программой-клиентом, позволяющей пользователям общаться друг с
другом в реальном времени с использованием различных видов ком-
муникаций, таких как мгновенные сообщения, видео- и голосовая
связь, общий доступ к рабочему столу, конференции, передача файлов.
SDN-приложения предоставляют конечным пользователям же-
лаемые сервисы. Приложения содержат ряд требований к состоянию
и поведению сетевой инфраструктуры.
Технология виртуальных машин на уровне Интернета или кор-

поративной сети используется для реализации функций сервера на
уровне приложений, таких как серверы баз данных, облачные сер-
веры, веб-серверы, серверы электронной почты и т. д.
Виртуализация сетевых функций разделяет такие сетевые

функции, как маршрутизация, межсетевое экранирование,
обнаружение вторжений, преобразование сетевых адресов,
и реализует их с помощью программного обеспечения.
Здесь используются стандартные технологии виртуализации,

которые реализуются на высокопроизводительном оборудовании
для виртуализации сетевых функций. Этот подход применим к лю-
бой обработке уровня данных или уровня управления как в провод-
ной, так и в беспроводной сетевой инфраструктуре. NFV имеет не-
сколько общих черт с SDN.
Отметим также, что NFV и SDN – независимые, но дополня-

ющие друг друга подходы. SDN разделяет уровни данных и
управления при операциях с сетевым трафиком, делая управ-
ление и маршрутизацию сетевого трафика более гибкими и
эффективными. NFV отделяет сетевые функции в зависимо-
сти от конкретных аппаратных платформ посредством вир-
туализации, чтобы сделать предоставление этих функций бо-
лее эффективным и гибким.
В конечном итоге поставщик сетевых услуг заботится о наборе

сетевых устройств (таких как маршрутизаторы), а также о контроле
и управлении функциями, которые они выполняют (например, пе-
ресылка пакетов). Если используется NFV, эти сетевые функции
реализуются программно и выполняются на виртуальных машинах.
Если вместо этого сетевые функции реализуются на выделенных
машинах и используется SDN, функции управления реализуются на
центральных контроллерах SDN, которые взаимодействуют с сете-
выми устройствами. Если же для сети реализованы и SDN, и NFV
(NFV/SDN), то выполняются следующие отношения:
− функционал уровня сетевых данных – реализован на вирту-
альных машинах;
− функционал уровня управления – может быть реализован на вы-

деленной платформе SDN или на виртуальной машине SDN. В лю-
бом случае контроллер SDN взаимодействует с функциями уровня
данных, выполняемыми на виртуальных машинах.
Таким образом, как в SDN реализуется отделение уровня

управления от уровня передачи и продвижения данных,
так и в NFV происходит разделение программного обеспе-
чения, реализующего функции и услуги, – от оборудования.
В NFV это делается при помощи виртуальных функций сети
(или виртуальных сетевых функций), VNF (Virtual Network
Functions), представляющих функции соответствующих фи-
зических сетевых элементов PNF (Physical Network Functions).
Здесь следует обратить внимание на одно обстоятельство. Иногда

используют термины виртуальные сетевые функции (VNF) и вир-
туализация сетевых функций (NFV) в качестве взаимозаменяемых.
На самом деле эти два понятия взаимосвязаны, но имеют разные зна-
чения. Термин сетевая функция обычно относится к какой-либо ком-
поненте сетевой инфраструктуры, которая обеспечивает «точно опре-
деленное функциональное поведение» (в соответствии со специфи-
кацией Европейского института телекоммуникационных стандартов,
ETSI), такое как обнаружение вторжений, предотвращение вторже-
ний или их маршрутизация. Мы разворачиваем сетевые функции, по-
добные физическим приборам, где программное обеспечение тесно
связано с конкретной, определенной аппаратурой. VNF в тоже время
относится к реализации сетевой функции с использованием програм-
много обеспечения, которое отделено от используемого оборудова-
ния. Это может привести к большей гибкости сети со значительными
показателями экономии капитальных и операционных затрат.
В отличие от этого, NFV обычно относится к общему принципу
или концепции работы программно-определенных сетевых функ-
ций, независимо от какой-либо конкретной аппаратной платформы,
а также официальных инициатив виртуализации сети, возглавляе-
мых некоторыми из крупнейших мировых телекоммуникационных
операторов сетей. Во взаимодействии с ETSI эти компании наце-
лены на создание и стандартизацию всеобъемлющей, комплексной
основы NFV.
NFV является всеобъемлющей концепцией, в то время как

VNF – это строительство блока в текущих NFV фрейм-
ворках ETSI.
Подводя итог, отметим: витруализация – процесс, эмулирую-

щий компьютер. В случае полной виртуализации устройства вирту-
альной машины полностью эмулируют работу оборудования, вплоть
до регистров, памяти и т. д.
При полной виртуализации используются немодифицированные эк-
земпляры гостевых операционных систем, а для поддержки работы этих
ОС служит общий слой эмуляции их исполнения поверх хостовой ОС.
К достоинствам данного подхода можно причислить:
– относительную простоту реализации;
– универсальность и надежность решения;
– все функции управления берет на себя хост-ОС.
Недостатки:
– высокие дополнительные накладные расходы на используемые
аппаратные ресурсы;
– отсутствие учета особенностей гостевых ОС;
– меньшая, чем нужно, гибкость в использовании аппаратных
средств.
Исследователи из компьютерной лаборатории Кембриджского
университета в проектах Denali и Xen несколько изменили подход
в направлении виртуализации: модификация ядра гостевой ОС вы-
полняется таким образом, что в нее включается новый набор API,
через который она может напрямую работать с аппаратурой, не кон-
фликтуя с другими виртуальными машинами.
Такой процесс они назвали паравиртуализацией (Paravirtuali-
zation). В этом случае некоторые компоненты, например сетевые или
дисковые (и другие) устройства могут быть доступны напрямую через
вызовы снаружу виртуальной машины (с некоторыми оговорками).
Для работы с паравиртуализированным оборудованием нужны от-
дельные драйверы и программные вызовы.
Паравиртуализация, таким образом, требует, чтобы гостевая опе-
рационная система была изменена для гипервизора, и это является
недостатком метода, так как подобное изменение возможно лишь в
случае, если гостевые ОС имеют открытые исходные коды, которые
можно модифицировать согласно лицензии.
11.7. Система сигнализации ОКС-7 439
Но зато паравиртуализация предлагает производительность по-

чти как у реальной не виртуализированной системы. Как и при пол-
ной виртуализации, одновременно могут поддерживаться много-
численные различные операционные системы.
Метод паравиртуализации позволяет добиться более высокой
производительности, чем метод динамической трансляции. Пара-
виртуализация предоставляет специально установленные обработ-
чики прерываний, чтобы позволить гостю (гостям) и хосту прини-
мать и опознавать эти задачи, которые иначе были бы выполнены в
виртуальном домене (где производительность меньше). Таким об-
разом, успешная паравиртуализированная платформа может позво-
лить монитору виртуальных машин (VMM) быть проще (путем пе-
ревода выполнения критически важных задач с виртуального домена
к его хосту) и/или уменьшить общие потери производительности.
11.7. Система сигнализации ОКС-7
В настоящее время на сетях связи общего пользования во мно-

гих развитых странах мира в эксплуатации находятся:
− телефонные сети общего пользования, ТСОП (Public Switched
Telephone Network, PSTN), построенные на базе технологии циф-
ровых сетей связи с интеграцией служб ЦСИС (ISDN, Integrated
Services Digital Network); их часто называют сетями ТфОП (ISDN);
− сотовые сети подвижной связи стандарта GSM;
− интеллектуальные сети (Intelligent Network, IN) – способ ор-
ганизации сети связи, ориентированный на введение в сеть услуг и
управление ими.
Для реализации соответствующих услуг в этих сетях необходимо
обеспечить передачу сигнальных и служебных сообщений между
узлами сети. Для этих целей используется в составе оборудования
общеканальная система сигнализации № 7 (ОКС-7 или ОКС № 7 –
SS7, Signaling System № 7; в Северной Америке ее называют CCSS7 –
Common Channel Signaling System 7).
ОКС-7 – набор сигнальных телефонных протоколов, использу-
емых для настройки большинства телефонных станций (PSTN) по
всему миру на основе сетей с канальным разделением по времени.
В основе ОКС-7 лежит использование аналоговых или цифровых

каналов для передачи данных и соответствующей управляющей ин-
формации.
На рис. 11.18 приведена схема стека протоколов ОКС-7 сети ТфОП/
ISDN в сопоставлении уровней модели OSI и уровней модели ОКС-7.
Рис. 11.18. Схема стека протоколов ОКС-7 сети ТфОП/ISDN
Подсистема передачи сообщений (Message Transfer Part, MTP)

включает три уровня ОКС-7: физический, канальный и сетевой. Два
нижних уровня (физический MTP1 и канальный MTP2) так же, как и
в сети передачи данных Х.25, полностью совпадает с моделью OSI.
Уровень 1 в ОКС-7 называется звеном передачи данных, а уровень 2 –
звеном сигнализации. К подсистеме сетевого уровня ОКС-7 относится
не только сетевой уровень МТР3, но и SCCP (Signaling Connection
Control Part – подсистема управления соединениями сигнализации).
Заметим, что функции уровней 4–6 модели OSI в модели ОКС-7 не
требуют реализации. Подсистема пользователей ISDN, которая функ-
ционирует по протоколу ISUP (ISDN User Part – прикладная часть
ISDN) поддерживает сигнализацию телефонной сети и сети ISDN.
Ранее для поддержания функций телефонного соединения исполь-
зовался специальный протокол TUP (Telephone User Part), но, напри-
мер, в российской сети его функции выполняются с помощью ISUP.
Как видим, стек протоколов ОКС-7 отталкивается от модели OSI
и имеет только четыре уровня. Уровни совпадают с уровнями OSI 1
(физический), 2 (канальный) и 3 (сетевой). Уровень 4 ОКС-7 соот-
ветствует уровню 7 OSI. Уровни называются MTP1, MTP2 и MTP3.
11.8. Качество взаимодействия (восприятия) 441
Уровень 4 ОКС-7 содержит несколько различных пользовательских

уровней, например Telephone User Part (TUP), ISDN User Part (ISUP),
Transaction Capabilities Application Part (TCAP) и Signaling Connec-
tion and Control Part (SCCP). SCCP – это подуровень из других про-
токолов уровня 4, и вместе с MTP3 может быть назван Network
Service Part (NSP). NSP обеспечивает адресацию и маршрутизацию
сообщений без установления соединения (UDT) и сервис управ-
ления для других частей 4-го уровня. TUP – это система сигнализа-
ции точка-точка для соединения звонков. ISUP – это ключевой
протокол, который предоставляет канально-ориентированный про-
токол для установки, подключения и завершения соединения при
звонке. TCAP используется для создания запросов к базе данных и
при расширенной функциональности сети или как связующий про-
токол с интеллектуальными сетями (INAP), мобильными службами
(MAP) и т. д.
11.8. Качество взаимодействия (восприятия)
Понятие и характеристика качество обслуживания (Quality

of Service, QoS) служило одним из главных элементов исследова-
ний и анализа в сетях связи более десяти лет. При этом акцент, как
правило, делался на техническую составляющую качества обслужи-
вания (оказание высококачественных услуг в реальном времени):
например, передача голоса по IP или потоковое видео с целью по-
вышения конкурентоспособности сетей TCP/IP на основе пакетной
технологии.
Разъяснение концепции QoS дается в Рекомендации ITU-Т E.800
[i.31], где указано, что QoS – это «совокупность характеристик услуги
электросвязи, которые влияют на ее способность удовлетворять за-
явленные и подразумеваемые потребности пользователя услуги»
(«Тotality of characteristics of a telecommunications service that bear on
its ability to satisfy stated and implied needs of the user of the service»).
При этом свойства QoS включают:
− пропускную способность (Throughput): минимальная или сред-
няя пропускная способность в байт/с или бит/с для данного логиче-
ского соединения или транспортного потока;
− задержку (Delay): средняя или максимальная задержка;

− джиттер пакета (Packet Jitter): обычно максимально допу-
стимый джиттер (напомним, что джиттер или дисперсия задежки па-
кета – термин, определяемый для обозначения колебаний задержки
при передаче пакетов по сети);
− частоту ошибок (Error Rate): обычно максимальная частота
ошибок, выраженная в доле битов, переданных с ошибкой;
− потерю пакетов (Packet Loss): доля потерянных пакетов;
− приоритет (Priority): сеть может предлагать заданное коли-
чество уровней приоритета; присвоенный уровень для различных
потоков трафика влияет на способ, которым различные потоки об-
рабатываются сетью;
− доступность (Availability): выражается в процентах от общего
времени доступа;
− безопасность (Security): могут быть определены различные
уровни или типы безопасности.
Для примера: в Рекомендации ITU-T Q.706 приведены следую-
щие показатели QoS подсистемы MTP (высокая степень централи-
зации функций сигнализации является причиной высоких требова-
ний к количественным значениям этих показателей):
− время неготовности пучка маршрутов сигнализации не должно
превышать в сумме 10 мин в год; под пучком сигнальных маршру-
тов понимается совокупность всех маршрутов между исходящим
пунктом и пунктом назначения;
− общая потеря сигнальных сообщений из-за отказа подсистемы
МТР должна быть ниже 10−7, т. е. не более одной ошибки на 10 млн
сообщений;
− вероятность передачи сигнального сообщения в неправильной
последовательности должна быть ниже 10−10;
− вероятность приема сигнальной единицы с необнаруженной
ошибкой должна быть ниже 10−10, т. е. не более одной ошибки на 1010
всех ошибок в сигнальных единицах, не обнаруженной МТР.
В последнее время обычно используется термин качество

восприятия (QoE, Quality of Experience), который перенаправ-
ляет внимание на конечного пользователя: на количествен-
ную оценку субъективного опыта пользователя, полученного
от использования услуги.
QoE стало одним из наиболее важных факторов для пользова-

телей при выборе оператора. Мобильные операторы постоянно ана-
лизируют данные из разных источников, что в итоге создает так на-
зываемое Network View (представление сети).
Существуют разные определения QoE в документах ITU, ETSI
(Европейский институт телекоммуникационных стандартов) и в дру-
гой литературе. Следствием этого является то, что, несмотря на рас-
тущую исследовательскую деятельность, связанную с опытом конеч-
ных пользователей, концепция качества опыта по-прежнему оста-
ется неоднозначной, не имеющей последовательной теоретической
основы и общепринятого определения. Вместе с тем отметим, что в
документе ETSI (ETSI TS 103 294) качество опыта (QoE) определя-
ется как «a measure of user performance based on both objective and
subjective psychological measures of using an ICT service or product»
(«мера производительности пользователя, основанная как на объ-
ективных, так и на субъективных психологических показателях ис-
пользования услуги или продукта ИКТ»).
В этом же документе ETSI подчеркивается, что QoE – это в выс-
шей степени междисциплинарная концепция. В той или иной форме
концепция опыта пользователя или восприятия качества применима
для отдельных областей: гуманитарных и социальных наук, нейро- и
когнитивных наук, маркетинга и бизнеса, эргономики и т. д. (рис. 11.19).
Источник: https://www.etsi.org/deliver/etsi_ts/103200_103299/103294/01.01.01_60/
ts_103294v010101p.pdf.
Рис. 11.19. Мультидисциплинарная природа понятия и концепции QoE
Концепция модели QoE представлена на рис. 11.20.
Источник: https://www.etsi.org/deliver/etsi_ts/103200_103299/103294/01.01.01_60/ts_
103294v010101p.pdf.
Рис. 11.20. Концепция QoE-модели
Модель формально состоит из элементов, разделенных на 2 уровня:

1) теоретический,
2) операционный, или расчетный.
Первый уровень содержит:
− описание концепции, положенной в основу модели, и описание
используемой терминологии (Defining QoE);
− содержание абстрактной теоретической модели QoE: ARCU-
модели.
Второй уровень QoE-модели состоит:
− из формального описания и содержания уровней модели QoE
(the QoE Layered Model);
− спецификации программного агента, реализующего много-
уровневую модель QoE (the QoE-Agent).
Теоретическая модель QoE: модель ARCU – Application – Resour-
ce – Context – User (приложение – ресурс – контекст – пользователь),
которая классифицирует факторы влияния по четырем многомерным
пространствам. Модель также отображает точки из этих пространств
в многомерное пространство QoE, представляя как качественные,

так и количественные факторы или показатели QoE. Например, в
модели ARCU для сетей на основе технологии 4G (4G LTE – Long-
Term Evolution) можно идентифицировать и классифицировать фак-
торы влияния QoE (Influence Factors) в четырех многомерных про-
странствах:
1) пространство ресурсов (Resource Space) – включает измере-
ния, связанные с техническими свойствами системы и сетевыми ре-
сурсами, используемыми для услуги;
2) пространство приложения (Application Space) – включает из-
мерения, связанные с факторами конфигурации сервиса/приложения,
например разрешение;
3) контекстное пространство (Context Space) – включает из-
мерения, относящиеся к ситуации, в которой используется сервис/
приложение, например время использования;
4) пользовательское пространство (User Space) – включает фак-
торы, относящиеся к конкретному пользователю.
Уровни модели QoE-Layered и связанные с ними факторы можно
охарактеризовать следующим образом:
1) уровень ресурсов (Resource Layer) – факторы связаны с харак-
теристиками и производительностью сетевых ресурсов и технической
системы, которые используются для предоставления услуги; сетевые
ресурсы связаны с сетевым QoS (например, задержкой), а системные
ресурсы – с возможностями сервера и возможностями устройств ко-
нечных пользователей;
2) уровень приложения (Application Layer) – учитываются фак-
торы конфигурации, относящиеся к приложению или услуге, и фак-
торы, относящиеся к контенту (частота кадров и т. д.); на этом уровне
проявляется ряд подходов, таких как сотрудничество с поставщиком
контента (например, YouTube);
3) уровень интерфейса (Interface Layer) – охватывает физическое
оборудование пользователя, например тип устройства и интерфейс,
с которым пользователь взаимодействует с приложением/сервисом;
к этому уровню сетевой провайдер не имеет никакого отношения,
поэтому здесь необходимо использовать соответствующие подходы;
4) уровень контекста (Context Layer) – включает в себя все фак-
торы, которые связаны с физическим контекстом (географические ас-
пекты), контекстом использования (мобильность/отсутствие мобиль-
ности) и экономическим контекстом (стоимость услуг); что касается
физического контекста, есть некоторые факторы, о которых постав-

щик услуги не может знать (освещение помещения, место находже-
ния пользователя или шум в помещении); существуют способы по-
лучения таких сведений;
5) человеческий, или гуманитарный, уровень (Human Layer) –
включает психофизические факторы, связанные с характеристиками
восприятия информации пользователем; такие факторы практически
невозможно измерить, они связаны с пользователем как с челове-
ком; эти данные могут быть известны сетевому провайдеру только
в том случае, если они предоставлены самим пользователем;
6) пользовательский уровень (User Layer) – касается точки зре-
ния (взгляда) пользователя на сервис/приложение и включает такие
факторы, как уровень знаний, шаблоны, история, социальные харак-
теристики и т. д.
Оценка QoE – агент QoE (Estimating QoE – the QoE Agent). Как
описано выше, предлагаемый подход оценки восприятия идет от
концептуальной модели для QoE (модели ARCU) к оперативной
(многоуровневой модели QoE). Для фактической реализации мно-
гоуровневой модели используется архитектура на основе агентов,
допускающая интеграцию в расширения системы управления. Такой
подход обеспечивает гибкий способ развертывания оценщиков QoE
в крупномасштабной распределенной среде. Здесь основная цель со-
стоит в том, чтобы позволить приложениям с поддержкой QoE (управ-
ление сетью на основе QoE, SLA (Service Level Agreement) – согла-
шение об уровне обслуживания на основе QoE, мониторинг и т. д.)
получать необходимую информацию о любой интересующей услуге.
Предлагаемый агент представляет собой прямую реализацию мно-
гоуровневой модели QoE.
При выполнении оценочных действий, например при обеспече-
нии качественной мультимедийной трансляции для пользователей,
обладающих разными устройствами, необходимо учесть достаточно
много факторов. Одним из основных факторов является пропускная
способность сети, к которой подключен конкретный пользователь
(как видим, здесь есть некоторая общность между QoS и QoЕ). Не-
обходимо создавать мультимедийные потоки с разными битовыми
скоростями.
Говоря о провайдерах широкополосного доступа, мы понимаем,
что опыт абонентов строится исключительно на качестве оказывае-
мых услуг. А именно: доступ в Интернет, IP-телефония, IPTV (Internet
Protocol Television – телевидение по протоколу интернета), а также

деятельность организации в целом. При этом клиенту совершенно
нет дела до того, по чьей вине снизилось качество услуг: из-за дей-
ствий оператора связи или в результате неисправности домашнего
маршрутизатора. На качество восприятия могут повлиять также сле-
дующие факторы:
1) Интернет и сеть:
− общее время ответа и/или прохождения пакета;
− наличие и величина провалов;
2) VoIP (Voice over Internet Protocol или IP-телефония):
− шумы и эхо;
− уровень громкости;
− «заикания»;
3) IPTV:
− качество картинки и звука;
− целостность картинки (наличие артефактов);
4) организация:
− субъективная оценка обслуживания провайдера, в частности
службы поддержки, монтажников связи и пр.;
− пакет каналов в IPTV;
− общее мнение об операторе связи среди населения.
В серии Рекомендаций МСЭ-T P.1203 определены модули для
набора алгоритмов моделей, предназначенные для мониторинга об-
щего качества медиасеанса при потоковой передаче видео на основе
протокола управления передачей данных (TCP). В Рекомендации
МСЭ-T P.1203.1 определены модули оценки качества краткосроч-
ного представления видео для МСЭ-T P.1203 (модуль Pv). В состав
также входят модули, выполняющие оценку качества изображения
и звука за короткий отрезок времени. Посекундные выходные зна-
чения этих кратковременных модулей суммируются в оценки аудио-
визуального качества и вместе с информацией о задержке, обусловли-
ваемой начальной загрузкой, а также о событиях остановки воспро-
изведения суммируются далее в окончательное выходное значение
модели – оценку общего качества восприятия.
Для модуля Pv могут использоваться четыре разных режима,
определенные Рекомендацией. Эти режимы, называемые режимами
от 0 до 3, используют входную информацию различной сложности и
объема и представляют четыре алгоритма реализации модели, каждый
из которых характеризуется разным уровнем сложности. В состав
модуля Pv входят компоненты, отражающие воздействие сжатия ви-

део, увеличения размера отображаемого контента и низкой частоты
кадров. Эти четыре разных режима используют ту же общую архитек-
туру модели и индивидуальные коэффициенты, а также все они имеют
те же компоненты для наращивания объема и для частоты кадров.
Пример 11.1. Динамическая адаптивная потоковая передача че-
рез HTTP обеспечивает совместное решение для преодоления неста-
бильных сетевых условий, но ее сложная характеристика создает но-
вые проблемы для объективного измерения качества видео (QoE).
Чтобы проверить возможность обобщения и облегчить широкое ис-
пользование методов измерения QoE в реальных приложениях, созда-
ются специализированные базы данных (известна такая БД под наз-
ванием Waterloo Streaming QoE Database III или SQoE-III). Такие БД
состоят из большого числа потоковых видео (SQoE-III – из 450), со-
зданных из разнообразного исходного контента и различных шаб-
лонов искажения, имеющих различные алгоритмы адаптации и ха-
рактеристики в репрезентативных сетевых условиях. Все потоковые
видео оцениваются некоторым числом субъектов, проводится все-
сторонняя оценка результативности объективных моделей QoE с точ-
ки зрения их эффективности в прогнозировании субъективного QoE.
Пример 11.2. В Рекомендации МСЭ-T G.107 приведен алгоритм
для так называемой Е-модели в качестве общей модели МСЭ-Т для
оценки передачи речи. Эта вычислительная модель может быть по-
лезна проектировщикам систем передачи, чтобы убедиться в том, что
пользователи будут удовлетворены сквозным качеством передачи.
Основным результатом применения этой модели является скалярная
оценка качества передачи. Главной особенностью модели является
использование коэффициентов снижения качества, отражающих
влияние современных устройств обработки сигналов.
Следует подчеркнуть, что первоначально выходом этой модели
был «коэффициент рейтинга» (Rating Factor) R, но этот коэффици-
ент может быть преобразован, чтобы дать оценку мнению пользо-
вателя. Такие оценки сделаны только для целей планирования пе-
редачи, а не для предсказания мнения (для которого не существует
согласованной модели, рекомендованной МСЭ-Т) конкретного по-
требителя. Е-модель может использоваться для многих комбинаций,
имеющих важное значение для проектировщиков передачи.
Как суммирующий результат нашего анализа, на рис. 11.21 при-
ведена общая схема взаимодействия компонентов современных сетей.
Выводы 449
Программно-
определяемая
сеть (SDN)
Качество Качество
Сетевое
восприятия обслуживания
оборудование
(QoE) (QoS)
Виртуализация
сетевых
функций (NFV)
Рис. 11.21. Общая схема взаимодействия компонентов современных сетей
Следует понимать, что QoS является объективной оценкой,

а QoE – эмпирической, т. е. основывается на личном опыте.
На субъективное мнение клиента может влиять мнение окру-
жающих его людей.
Выводы
1. Сетевая экосистема – это веб-соединение между пользова-

телями, предприятиями и вещами, совместно использующими циф-
ровую платформу.
2. Инфраструктура корпоративной сети включает частные/
общедоступные облачные подключения к центрам обработки дан-
ных, в которых размещаются хранилища больших объемов данных
и веб-сервисы.
3. Предприятия часто проектируют свои сетевые объекты в виде
трехуровневой иерархии: сеть доступа (Access Network); сеть рас-
пределения, или распределительная сеть (Distribution Network); ба-
зовая сеть (Core Network).
4. Подобно тому как Ethernet стал доминирующей технологией
для проводных локальных сетей, так и Wi-Fi, стандартизированный
комитетом IEEE 802.11, преобладает в беспроводных локальных сетях.
Wi-Fi – это преобладающая технология беспроводного доступа в Ин-

тернет, используемая в домах, офисах и общественных местах.
5. Сети 4G поддерживают мобильный доступ в Интернет и при-
ложения с высокой пропускной способностью, такие как мобильное
телевидение высокой четкости, мобильные видеоконференции и иг-
ровые сервисы. Основное преимущество сетей 5G заключается в том,
что они будут иметь большую пропускную способность, обеспечивая
более высокую скорость загрузки, в конечном итоге до 10 Гбит/с.
6. IoT-системы работают в режиме реального времени и обычно
состоят из сети smart-устройств и облачной платформы, к которой
они подключены с помощью Wi-Fi, Bluetooth или других видов связи.
7. Цифровые трансформации обычно определяются термином
программно-определяемая сеть или программно-конфигурируемая
сеть (Software-Defined Networking, SDN) и являются одной из форм
виртуализации сетевых функций.
8. Используются два похожих стандарта во взаимоотношениях
производителей и потребителей ИТ-услуг: качество обслуживания
(QoS) и качество взаимодействия (QoE). Из-за ключевого различия
в структуре используемых при этом сетей (частное и общедоступное
подключение) обе эти услуги предлагают свой собственный уникаль-
ный стандарт качества. Соглашение о качестве обслуживания (QoS)
долгое время было «стандартом качества» в многосайтовых глобаль-
ных сетях, соединенных MPLS (Multiprotocol Label Switching), в
то время как новый термин – QoE – определяет стандарты качества
для соединений программно-определяемых распределенных сетей
(SD-WAN).
1. Назовите пять ключевых технологий, которые преобразовали

сети к современному состоянию.
2. Дайте определение сетевой экосистемы.
3. Опишите структуру сетевой экосистемы.
4. Дайте определение термину «облачная сеть».
5. Опишите три основные реализации облачных вычислений.
6. Приведите основные характеристики облачных вычислений.
7. Дайте определение термина «интернет вещей».

8. На пути к достижению IoT Интернет прошел несколько ста-
дии эволюции. Опишите их.
9. Интернет вещей обычно разделяют на группы по отраслям.
Приведите и опишите их.
10. Приведите структуру эталонной модели IoT.
11. Опишите концепцию IoT на основе облачных технологий.
12. Дайте понятие Больших данных (Big Data).
13. Опишите области применения (решаемые задачи) при по-
мощи технологии Big Data.
14. Опишите уровни компонентов систем для работы с техно-
логией Big Data.
15. Опишите экосистему сети Больших данных.
16. Что такое виртуализация сетевых функций?
17. Расскажите о системе сигнализации ОКС-7.
18. Что подразумевается под качеством обслуживания (QoS) и ка-
чеством взаимодействия (QoE)? Приведите примеры использования.
12
НАДЕЖНОСТЬ И БЕЗОПАСНОСТЬ
КОМПЬЮТЕРНЫХ СЕТЕЙ
И СИСТЕМ
12.1. Основные понятия и определения

из предметной области
Ключевые проблемы функционирования сетей – контроль оши-

бок и управление потоком данных.
Контроль ошибок отвечает за то, чтобы данные передава-

лись с необходимой степенью надежности. Это означает,
что данные должны доставляться без ошибок.
Управление потоком данных состоит в согласовании скоро-

сти передатчика и приемника. Оба этих аспекта имеют отношение
к нескольким уровням модели OSI, о чем речь шла выше (см. гла-
вы 5 и 6).
В настоящей главе проанализируем более подробно общие прин-
ципы использования избыточных корретирующих кодов (CRC) для
контроля ошибок в передаваемых сообщениях.
Сначала рассмотрим некоторые базовые понятия, относящиеся
к изучаемой предметной области (в дополнение к приведенным в
подглаве 1.2).
Теория защиты информации (Information Security Theory) –
система основных идей, относящихся к защите информации, даю-
щая целостное представление о сущности проблемы защиты, законо-
мерностях ее развития и существенных связях с другими отраслями
знаний, формирующаяся на основе опыта практического решения
задач защиты и определяющая основные ориентиры в направлении
совершенствования практики защиты информации.
12.1. Основные понятия и определения из предметной области 453
Следует заметить, что наряду с термином «защита информа-

ции» применительно к компьютерным сетям широко используется,
как правило в близком значении, термин «компьютерная безопас-
ность».
Компьютерная безопасность (Computer Security) – одна из
основных задач, решаемых любой компьютерной сетью. Проблему
безопасности можно рассматривать с разных сторон – злонамерен-
ная порча данных, конфиденциальность информации, несанкциони-
рованный доступ, хищения и т. п.
Теория надежности (Reliability Theory; в том числе – теория
надежности компьютерных сетей и систем) в большинстве случаев
оперирует случайными величинами, поэтому большая часть поня-
тий и определений связана с понятийным аппаратом теории веро-
ятностей.
Достоверность (Validity) работы системы (устройства) – свой-
ство, характеризующее истинность конечного (выходного) резуль-
тата работы (выполнения программы), определяемое способностью
средств контроля фиксировать правильность или ошибочность работы.
Ошибка (Error) устройства – неправильное значение сигнала
(бита – в цифровом устройстве) на внешних выходах устройства или
отдельного его узла, вызванное технической неисправностью или
воздействующими на него помехами (преднамеренными либо не-
преднамеренными).
Ошибка программы – проявляется в несоответствии проме-
жуточного или конечного значения (результата) реальному (требу-
емому) вследствие неправильно запрограммированного алгоритма
или неправильно составленной программы.
Надежность компьютерной сети – характеристика способно-
сти ее аппаратного, программного и программно-аппаратного обес-
печения выполнить при определенных условиях требуемые функ-
ции в течение определенного периода времени. Повышение надеж-
ности основано на принципе предотвращения неисправностей путем
снижения интенсивности отказов и сбоев за счет применения элек-
тронных схем и компонентов с высокой и сверхвысокой степенью
интеграции, снижения уровня помех, облегченных режимов рабо-
ты схем, обеспечения тепловых режимов их работы, а также за счет
совершенствования методов сборки аппаратуры.
Отказ (Failure) – событие, заключающееся в том, что система
полностью или частично теряет свойство работоспособности.
454 12. НАДЕЖНОСТЬ И БЕЗОПАСНОСТЬ КОМПЬЮТЕРНЫХ СЕТЕЙ И СИСТЕМ
Аппаратный отказ – событие, при котором изделие утрачива-

ет работоспособность и для его восстановления требуется проведе-
ние ремонта аппаратуры или замена отказавшего изделия на работо-
способное.
Отказоустойчивость (Fault Tolerance) – это такое свойство вы-
числительной системы и компьютерной сети, которое обеспечива-
ет ей возможность продолжения действий, заданных программой,
после возникновения неисправностей.
Главной целью повышения надежности систем является обес-

печение целостности хранимых, перерабатываемых и переда-
ваемых в них данных.
Секретность (конфиденциальность) информации – свойство

информации быть известной только допущенным и прошедшим ав-
торизацию субъектам системы (пользователям, программам, процес-
сам и др.); статус, предоставленный информации и определяющий
требуемую степень ее защиты.
Субъект – активный компонент системы, который может ини-
циировать поток информации или изменить состояние системы.
Объект – пассивный компонент системы, хранящий, перераба-
тывающий, передающий или принимающий информацию (напри-
мер, страницы, файлы, папки, директории, компьютерные програм-
мы, устройства и т. д.).
Доступ – специальный тип взаимодействия между объектом и
субъектом, в результате которого создается поток информации от
одного к другому.
Санкционированный доступ (СД) к информации – это доступ
к информации, не нарушающий установленные правила разграни-
чения доступа, реализуемый на основе следующих процедур:
− идентификация – процедура распознавания пользователя по
его идентификатору (по ID, т. е. по логину), в результате выполне-
ния которого для субъекта идентификации выявляется его иденти-
фикатор, однозначно определяющий этого субъекта в информаци-
онной системе;
− аутентификация – процедура проверки идентификации поль-
зователя (например, путем сравнения введенного им пароля с па-
ролем, хранящимся в соответствующей базе данных), устройства
12.1. Основные понятия и определения из предметной области 455
или другого компонента в системе (обычно для принятия решения

о разрешении доступа к ресурсам системы); частным вариантом
аутентификации является установление принадлежности сообще-
ния конкретному автору;
− авторизация – предоставление субъектам доступа к объек-
там системы; доступ к объекту означает доступ к содержащейся в
нем информации.
Таким образом, при входе пользователя в систему последо-

вательно (идентификация – аутентификация – авторизация)
совершаются 3 (может быть и меньше, если какая-либо из опе-
раций дает отрицательный результат) указанных процедуры.
Например, пользователь хочет войти в свой аккаунт Google.

Google подходит лучше всего, потому что там процедура входа яв-
ным образом разбита на несколько простейших этапов. Вот что при
этом происходит.
Для начала система запрашивает логин, пользователь его ука-
зывает, система распознает его как существующий – это идентифи-
кация. После этого Google просит ввести пароль, пользователь его
вводит, и система соглашается, что пользователь, похоже, действи-
тельно настоящий, раз пароль совпал, – это аутентификация. Ско-
рее всего, Google дополнительно спросит еще и одноразовый код из
SMS или приложения. Если пользователь и его правильно введет,
то система окончательно согласится с тем, что он настоящий владе-
лец аккаунта, – это двухфакторная аутентификация.
После этого система предоставит пользователю право читать
письма в его почтовом ящике – это авторизация.
Безопасная (защищенная – protected) система – система со
средствами защиты, которые успешно и эффективно противостоят
угрозам безопасности (возможным действиям, которые прямо или
косвенно могут нанести ущерб системе).
Скрытый канал (Covert Channel) – любой канал связи, кото-
рый может быть использован процессом для передачи информации
способом, нарушающим политику безопасности системы.
Несанкционированный доступ (НСД, Unauthorized Access) к ин-
формации – наиболее распространенный вид компьютерных нару-
шений, который характеризуется пренебрежением установленными
правилами разграничения доступа. НСД использует любую ошибку

в системе защиты и возможен при нерациональном выборе средств
защиты, их некорректной установке и настройке.
НСД обычно связывают с атаками.
Интруз (Intruz) – физическое лицо или процесс, которые реали-
зуют неразрешенный, или несанкционированный, доступ к инфор-
мации, т. е. атаку на систему.
Атака (Attack) на информационную систему – это совокуп-
ность преднамеренных действий злоумышленника, направленных
на нарушение одного из трех свойств информации – конфиденци-
альности (Confidentiality), целостности (Integrity) или доступности
(Availability); см. подглаву 1.2.
Удаленная атака (Remote Attack) – информационное разру-
шающее воздействие на распределенную компьютерную сеть, про-
граммно осуществленное по каналам связи.
12.2. Методы обеспечения

надежности компьютерных сетей
12.2.1. Численные характеристики надежности
В наиболее общем случае надежность компьютерной сети за-

висит от безотказного и безошибочного функционирования всех со-
ставляющих ее структуру аппаратурных блоков и каналов связи, а
также сетевого программного обеспечения.
Основной количественной характеристикой надежности явля-
ется вероятность безотказной работы, определяемая как вероят-
ность P(t) нахождения системы в исправном состоянии в течение
времени T ≥ t, где Т – случайная величина продолжительности ра-
боты системы до отказа; t – детерминированная величина текущего
времени или его конкретное значение.
Характеристикой, противоположной P(t), является вероятность
отказа Q(t) как вероятность того, что устройство или техническая
система откажет в течение времени T < t / Q(t) = 1– P(t).
Наряду с аналитическими методами определения различных па-
раметров надежности широко используются статистические методы,
с помощью которых определяются так называемые статистические

характеристики надежности систем. Эти характеристики представ-
ляют собой результаты обработки экспериментальных данных или
данных прямых наблюдений.
Пример 12.1. Если из 1000 компьютеров, объединенных сетью,
за 1 год работы становились неисправными 2, то Р (t = 1 год) =
= 2 / 1000 = 0,002.
Пример 12.2. В течение фиксированного времени (например,
t = 1 ч) по каналам связи осуществлялась передача двоичной ин-
формации между двумя компьютерами со скоростью S = 10 Кбит/с.
За время передачи 1000 символов приняты с ошибками. Определить
вероятность того, что произвольный двоичный символ при передаче
по тому же каналу будет принят безошибочно или с ошибкой.
Решение. Если принять, что за 1 ч было передано N1 = St =
= 10 000 бит/с ∙ 3600 с = 36 ∙ 106 битов, то при числе ошибочных битов
N2 = 1000 искомая вероятность вычисляется как Р() = (N1 – N2) / N1 =
= (36 ∙ 106 – 1000) / (36 ∙ 106) = 35 999 000 / 36 000 000 = 0,99997.
Соответственно, вероятность появления ошибки (информаци-
онной) составляет 3 ∙ 10–5.
Еще одна важнейшая характеристика надежности: интенсив-
ность отказов λ(t) – условная плотность вероятности возникнове-
ния отказа невосстанавливаемого объекта; показывает, какая часть
элементов выходит из строя в единицу времени по отношению к
среднему числу исправно работающих элементов.
Статистической интерпретацией интенсивности отказов явля-
ется отношение числа однотипных устройств, вышедших из строя
в некотором интервале времени Δt, к числу устройств, поставлен-
ных на испытания, продолжающих к моменту времени t оставать-
ся исправными, умноженному на длину интервала. Таким образом,
размерностью интенсивности является обычно 1/с.
При расчете вероятности безотказной (или безошибочной) ра-
боты электронного устройства или системы обычно использует-
ся экспоненциальная модель и принимается, что λ(t) = const, т. е.
λ(t) = λ:
P(t) = exp (–λt). (12.1)
Пример 12.3. Определим вероятность безотказной работы сети
и вероятность наступления отказа в ней за 1 год эксплутации, если
λ = 3,17 ∙ 10–12 с–1. Интенсивность отказов дана в секундах. Один
год – это 31 536 000 с (за 365 дней). Тогда в соответствии с форму-
лой (12.1) имеем:
P(t) = exp (–λt) = exp (3,17 ∙ 10–12 ∙ 3 153 600) = 0,99999
(говорят: пять девяток после запятой); тогда Q(t) = 1 – P(t) = 0,00001.
Для полноты приведем еще одну численную характеристику на-
дежности – время наработки на отказ: tн / tн = 1/λ.
В англоязычной литературе этот параметр обозначается MTBF
(Mean Time Between Failure – среднее время между отказами); еди-
ница размерности – час.
12.2.2. Основные методы повышения надежности ИВС
В некоторых каналах (оптоволокно, например) вероятность

ошибки очень низкая, поэтому потеря данных происходит исклю-
чительно редко. Но количество ошибок, например, в беспроводных
сетях или старых местных сетях в десятки раз больше. Повышение
надежности таких каналов – необходимое условие качественного
функционирования всей сети или системы.
Естественное желание повысить функциональную надежность
информационной системы или сети напрямую связано с увеличением
объема как программного обеспечения, так и аппаратного. Однако
известно, что всякое усложнение уже само по себе снижает надеж-
ность. Следовательно, усложняя систему для повышения ее надеж-
ности, разработчики понимают, что какая-то часть этой надежности
будет потеряна.
Специфика ИВС такова, что невыполнение какой-либо приклад-
ной задачи не приводит к отказу системы в целом. Однако это клас-
сифицируется как частичный отказ, что означает снижение надеж-
ности системы в допустимых пределах. Такие частичные отказы
могут возникать, например, из-за воздействия внешних факторов,
которые были охарактеризованы выше.
В компьютерных сетях обеспечение надежности – это общая
цель, для достижения которой должны слаженно работать все уровни
модели OSI. На самом деле, во многих сетях эти функции являются
прерогативой верхних уровней и не только относятся к канальному
уровню, одной из функций которого является обработка ошибок пе-
редачи данных, но и решаются на транспортном уровне.
Существующие методы повышения надежности ИВС и ка-

налов связи основаны на оспользовании избыточности (Re-
dundancy).
Избыточность – это наличие в техническом объекте возмож-
ностей сверх тех, которые минимально необходимы для обес-
печения его нормального функционирования.
Назначение механизмов и средств избыточности – оператив-
ный контроль за функциональным состоянием устройства или
системы, блокирование или нейтрализация последствий по-
явления отказов.
С диалектической точки зрения избыточность является одним

из условий перехода количества в качество.
Большинство микрочипов, интеллектуальных устройств, начиная
от смартфонов и заканчивая большими компьютерами, мозг чело-
века и многих животных заведомо обладают избыточной памятью
и избыточными «вычислительными мощностями».
С позиции обеспечения надежности информационных систем

и сетей различают следующие основные виды избыточности:
– структурная;
– временнáя;
– информационная.
Иногда также рассматривают дополнительные виды избыточ-

ности: функциональную, алгоритмическую и программную.
Структурная избыточность (Structure Redundancy или Hard-
ware Redundancy) – наличие у объекта избыточных элементов, уз-
лов, устройств, с помощью которых можно своевременно заменить
отказавшие основные узлы или устройства, для предотвращения вы-
хода из строя всего изделия, системы.
Избыточные узлы или устройства могут работать параллельно
с основными или могут быть подключены и использоваться в ре-
жиме ожидания или применяться с помощью иного способа.
Структурная избыточность может реализовываться на основе ме-
тодов резервирования (параллельной работы нескольких однотипных
устройств или каналов). При этом могут использоваться средства
принятия решения «на основе голосования» – мажоритарные эле-

менты. Использование источников бесперебойного питания – при-
мер структурной избыточности.
Временнáя избыточность (Time Redundancy) заключается в
использовании некоторой части производительности компьютера
или сети для контроля за исполнением программ и восстановления
(рестарта) информационного процесса.
Примером информационной системы с временной избыточно-
стью являются системы с повтором передачи сообщений. К этому
типу избыточных методов можно отнести автоматический запрос
повторной передачи (Automatic Repeat reQuest, ARQ), используемый
в протоколах семейства ТСР и других протоколах (беспроводной
связи).
Остановимся в контексте рассматриваемого вида избыточности
на особенностях передачи данных в модели OSI. Канальный уровень
может предоставлять различные сервисы. Их набор может быть раз-
ным в разных протоколах. Обычно возможны следующие варианты:
1) сервис без подтверждений, без установки соединения (Unac-
knowledged Connectionless Service);
2) сервис с подтверждениями, без установки соединения (Ac-
knowledged Connectionless Service);
3) сервис с подтверждениями, ориентированный на соединение
(Acknowledged Connection-Oriented Service).
Сервис без подтверждений и без установки соединения заклю-
чается в том, что передающая машина посылает независимые кад-
ры принимающей машине, и принимающая машина не посылает
подтверждений о приеме кадров. Пример предоставления сервиса
такого класса – Ethernet. Никакие соединения заранее не устанав-
ливаются и не разрываются после передачи кадров. Если какой-либо
кадр теряется из-за шума в канале, то на канальном уровне не пред-
принимается никаких попыток восстановить его. Данный класс сер-
висов приемлем при очень низком уровне ошибок. В этом случае
вопросы, связанные с восстановлением потерянных при передаче
данных, могут быть оставлены верхним уровнем. Он также приме-
няется в линиях связи реального времени, таких как передача речи,
в которых лучше получить искаженные данные, чем получить их с
большой задержкой.
Шагом в сторону повышения надежности является сервис с под-
тверждениями, без установки соединения. При его использовании
соединение также не устанавливается, но получение каждого кадра

подтверждается. Таким образом, отправитель знает, дошел ли кадр
до пункта назначения в целости или потерялся. Если в течение уста-
новленного интервала времени подтверждения не поступает, кадр
посылается снова. Такой сервис полезен в случае использования ка-
налов с большой вероятностью ошибок, например, в беспроводных
системах. Среди сервисов такого класса можно назвать, например,
802.11 (Wi-Fi).
Ориентированный на соединение сервис предоставляет процес-
сам сетевого уровня эквивалент надежного потока битов. Он подхо-
дит для длинных ненадежных связей, таких как спутниковый канал
или междугородное телефонное соединение.
В общем случае значение временной избыточности зависит от
требований к надежности функционирования системы. Этот пара-
метр составляет, например, от 5–10% производительности компью-
тера в системе до трех- и четырехкратного дублирования произво-
дительности в мажоритарных вычислительных комплексах.
Информационная избыточность (Information Redundancy) ос-
нована на специальных методах дублирования некоторой части ин-
формации, позволяющих восстанавливать исходные данные в случае
нарушений в работе системы.
Этот вид избыточности используется для обеспечения соответ-
ствия между входными, промежуточными и выходными данными,
которые в наибольшей степени влияют на нормальное функциони-
рование системы и требуют определенного времени восстановления.
Информационная избыточность способствует обнаружению

искажения данных (ошибок) и устранению ошибок на опре-
деленном уровне контроля функционирования системы.
Информационная избыточность обычно реализуется на основе

алгоритмов обнаружения и коррекции ошибок (Error Detection and
Correction), в основе которых лежит помехоустойчивое кодирование
данных или методы ECC (Error-Correcting Code).
Один из стандартов, введенных IBM, предусматривает хранение
информации в банках памяти фрагментами по 9 битов, причем 8 из
них (составляющих один байт) предназначены собственно для дан-
ных, а девятый является битом четности (Parity Bit). Использование
девятого бита позволяет схемам управления памятью на аппаратном

уровне контролировать целостность каждого байта данных. Если
обнаруживается ошибка, работа компьютера останавливается и на
экран выводится сообщение о неисправности.
Метод простого контроля четности является простейшей реа-
лизацией ЕСС. Этот метод не позволяет исправлять ошибки, однако
дает возможность их обнаружить пользователю компьютера.
Метод простой четности (или простой нечетности) тре-

бует присоединения к сообщению лишь одного избыточного
бита, вне зависимости от длины сообщения.
Значение этого бита равно свертке по модулю 2 символов пере-

даваемого сообщения, т. е. число единичных символов в закодиро-
ванном (избыточном) сообщении должно быть четным – для метода
простой четности; для метода простой нечетности – нечетным: к ре-
зультату свертки добавляется 1.
Отметим, что рассмотренный метод простой четности исполь-
зуется для контроля целостности ключа в симметричном крипто-
графическом алгоритме DES.
Практически все существующие системы и сети, предназначен-
ные для работы с данными, содержат встроенные средства на осно-
ве ЕСС. Эти алгоритмы реализованы в модулях оперативной памя-
ти (RAM) компьютера, в контроллерах шин на материнской плате
компьютера, обеспечивающих в том числе кодирование/декодиро-
вание информации при ее передаче от процессора к памяти и обратно;
ЕСС является частью протокола ТСР. Можно привести множество
подобных примеров.
12.3. Методы помехоустойчивого

кодирования информации
Как известно, методы помехоустойчивого кодирования отно-

сятся к классу избыточных. Определение рассматриваемых методов
как «помехоустойчивых» означает, прежде всего, что они являются
12.3. Методы помехоустойчивого кодирования информации 463
противодействием помехам, влияющим на систему и приводящим к

ошибкам в данных.
Суть этих методов состоит в преобразовании исходного ин-
формационного сообщения Xk (k – длина сообщения), называемого
также информационным словом. К слову Xk дополнительно присо-
единяют (наиболее часто по принципу конкатенации) избыточные
символы длиной r битов, составляющие избыточное слово Xr. Таким
образом, формируют кодовое слово Xn длиной n = k + r двоичных
символов: Xn = Xk Xr. Информацию содержит только информацион-
ное слово. Назначение слова Xr – обнаружение и исправление оши-
бок на стороне получателя сообщения (ПС).
В зависимости от принципа вычисления дополнительных сим-
волов и их значения реализуются различные алгоритмы помехоус-
тойчивого кодирования. Общим является то, что избыточное сло-
во Xr генерируется на передающей стороне (источником сообщения,
ИС) и используется принимающей для обнаружения и исправления
ошибок.
С учетом избыточных блоков обобщенная структурная схема си-
стемы передачи информации примет вид, показанный на рис. 12.1.
Xk Xn
Блок
ИС Канал
кодирования
Yn
Y’n
Блок
ПС декодирования
Рис. 12.1. Обобщенная структурная схема системы передачи

информации с помехоустойчивым кодированием
Для дальнейшего рассмотрения необходимо упомянуть о неко-

торых базовых понятиях теории помехоустойчивого кодирования.
Вес по Хеммингу произвольного двоичного слова Х(w(X)) ра-
вен количеству ненулевых символов в слове.
Пример 12.4. Пусть X = 1101011. Тогда w(X = 1101011) = 5.
Расстояние по Хеммингу, или кодовое расстояние (d), между
двумя произвольными двоичными словами (X, Y) одинаковой дли-
ны равно количеству позиций, в которых X и Y отличаются между
собой.
Пример 12.5. X = 101, Y = 110. Очевидно, что d(X, Y) = 2.

Кодовое расстояние можно вычислить как вес от суммы по
модулю 2 этих двух слов: d(X, Y) = w(X ⊕ Y). Обратим внимание:
знак «⊕» означает побитное сложение по модулю 2.
Пример 12.6. X = 1011, Y = 0000; d(X, Y) = 3:
1011
0000
.
w(1011) = 3
Пример 12.7. X = 11111, Y = 11111; d(X, Y) = 0.
Длина слова и расстояние Хемминга – основополагающие по-
нятия в теории помехоустойчивого кодирования информации.
Все многообразие существующих кодов для обнаружения и ис-
правления ошибок можно разделить на два больших класса: линей-
ные и нелинейные коды.
Линейные коды базируются на использовании линейных опе-
раций над данными (как правило, умножение и сложение по моду-
лю 2 соответствующих символов), нелинейные коды, следователь-
но, основаны на нелинейных операциях.
12.4. Линейные блочные коды
12.4.1. Теоретические основы линейных блочных кодов
Линейные блочные коды – это класс кодов с контролем чет-

ности, которые можно описать парой чисел (п, k).
Первое из чисел определяет длину кодового слова Xn, второе –
длину информационного слова Xk. Отношение числа битов данных
к общему числу битов данных k/n именуется степенью кодирования
(Code Rate) – доля кода, приходящаяся на полезную информацию.
Для формирования проверочных символов (кодирования) ис-
пользуется порождающая матрица – совокупность базисных векто-
ров, которая будет далее записываться в виде матрицы G размерно-
стью k × n с единичной подматрицей I в первых k строках и столбцах:
G = [ P I ]. (12.2)
12.4. Линейные блочные коды 465
Матрица G называется порождающей матрицей линейного

корректирующего кода в приведенно-ступенчатой форме.
Кодовые слова являются линейными комбинациями строк ма-
трицы G (кроме слова, состоящего из нулевых символов). Кодирова-
ние, результатом которого является кодовое слово Xn, заключается в
умножении вектора сообщения длиной k (Xk) на порождающую мат-
рицу по правилам матричного умножения (все операции выполняют-
ся по модулю 2). Очевидно, что при этом первые k символов кодово-
го слова равны соответствующим символам сообщения, а последние
r символов (Xr) образуются как линейные комбинации первых.
Для всякой порождающей матрицы G существует матрица Н
размерности r × n, задающая базис нулевого пространства кода и
удовлетворяющая равенству
G · HT = 0. (12.3)
T
Матрица Н, называемая проверочной (H – транспонированная
проверочная матрица), может быть представлена так:
H =  − PT I  . (12.4)
В последнем выражении I – единичная матрица порядка r, РТ –
транспонированная матрица Р.
Кодовое слово Xn может быть получено на основе следующего
тождества:
H ⋅ ( X n )T = 0, (12.5)
где Хn = х1, х2, …, хn = x1, x2, …, xk, xk+1, …, xk+r.
Результат умножения сообщения (Yn) на транспонированную
проверочную матрицу (Н) называется синдромом S:
S = (Yn )T ⋅ H , (12.6)
где Yn = у1, у2, …, уn = y1, y2, …, yk, yk+1, …, yk+r. Слово Yn обычно пред-
ставляют в следующем виде:
Yn = X n ⊕ E , (12.7)
где Е = е1, е2, …, еn; n – разрядный вектор ошибки, ⊕ – сложение
по модулю 2.
Если все r символов синдрома нулевые (S = 0), то принимается
решение об отсутствии ошибок в принятом сообщении Yn, в против-
ном случае – об их наличии.
Код, характеризующийся минимальным кодовым расстоянием dmin

между двумя произвольными кодовыми словами, позволяет обнару-
d d −1
жить tо ошибок, где tо = , если d – четное, и tо = , если d – не-
2 2
четное. Количество исправляемых кодом ошибок (tи) определяется так:
 d −1
 2 , d − нечетное,
tи =  (12.8)
 d − 2 , d − четное.
 2
12.4.2. Избыточный код простой четности
Простейший избыточный код основан на контроле четности

(либо нечетности) единичных символов в сообщении Хn. Количество
избыточных символов r всегда равно 1 и не зависит от k. Значение
этого символа будет нулевым, если сумма всех символов кодового
слова по модулю 2 равна нулю.
Назначение Xr в алгоритме – обнаружение ошибки. Код простой
четности позволяет обнаружить все нечетные ошибки (нечетное число
ошибок), но не позволяет их исправить. Легко убедиться, что данный
код характеризуется минимальным кодовым расстоянием, равным 2.
Пример 12.8. Пусть Xk = 10101, тогда
n
X r =  X i = 1 ⊕ 0 ⊕ 1 ⊕ 0 ⊕ 1 = 1.
i
Проверочная матрица для данного случая будет состоять из од-

ной строки и шести столбцов и примет следующий вид:
Н = 11111 1.
Кодовое слово Xn, вычисленное в соответствии с формулой (12.5),
будет равно 10101 1. Как видим, w(Xn) имеет четное значение.
Слово Xn будет передаваться от источника сообщения к прием-
нику сообщения (например, от одного компьютера к другому). Пусть
на приемной стороне имеем Yn = 11101 1: Yk = 11101 и Yr = Yk+1 = 1
(ошибочный символ подчеркнут).
Для вычисления синдрома ошибки в соответствии с (12.6) до-
статочно выполнить следующие простые действия:
а) вычисляется дополнительное слово (в данном случае – сим-

вол) Y'r, которое является сверткой по модулю 2 слова Yk:
Y'r = 1 ⊕ 1 ⊕ 1 ⊕ 0 ⊕ 1 = 0;
б) вычисляется синдром S = Yr ⊕ Y'r = 1 ⊕ 0 = 1. Неравенство син-
дрома нулю означает, что получено сообщение с ошибкой (ошибками).
12.4.3. Код Хемминга
Рассмотрим более подробно методы помехоустойчивого коди-

рования на примере широко известного и часто используемого кода
Хемминга. Данный код характеризуется минимальным кодовым рас-
стоянием dmin = 3. При его использовании кодирование сообщения
также должно удовлетворять соотношению (12.5). Причем вес столб-
цов подматрицы А должен быть больше либо равен 2. Второй осо-
бенностью данного кода является то, что используется расширенный
контроль четности групп символов информационного слова, т. е. r > 1.
Для упрощенного вычисления r можно воспользоваться следующим
простым соотношением:
r = log2 k + 1. (12.9)
В сравнении с предыдущим кодом данный позволяет не только
обнаруживать, но и исправлять одиночную ошибку в кодовом сло-
ве (см. формулу (12.8)).
В нашем рассмотрении подматрицу А можно определить так:
 h11 h12  h1k 
h    
A =  21 . (12.10)
     
 
 hr1   hrk 
Элемент этой подматрицы (0 или 1) hij относится к i-й строке и

j-му столбцу ( i = 1, r ; j = 1, k ).
Вычисляем проверочные символы в соответствии с выражени-
ем (12.5):
rk
xk +i =  hij ⋅ x j (mod 2). (12.11)
ij
Определяем синдром:
rk
yk′ +i =  hij yk mod 2; S = yk +i ⊕ yk′ +i . (12.12)
ij
Пример 12.9. Имеется информационное слово Xk = 1001. Про-

анализируем использование рассматриваемого кода.
Для начала отмечаем, что k = 4. В соответствии с выражени-
ем (12.9) подсчитываем длину избыточного слова: r ≥ log2 4 + 1 = 3,
тогда n = k + r = 7.
Создаем проверочную матрицу Н7, 4:
 
0 1 1 1 1 0 0
 
H 7, 4 = 1 0 1 1 0 1 0 .

n×k 1 1 0 1 0 0 1
 
A

I


Вычисляем проверочные символы, используя соотношение (12.11).
В соответствии с этим первый проверочный символ хk+1 будет
равен 1, остальные – нулю:
xk +1 = h11 ⋅ x1 ⊕ h12 ⋅ x2 ⊕ ... ⊕ h14 ⋅ x4 = 0 ⋅ 1 ⊕ 1 ⋅ 0 ⊕ 1 ⋅ 0 ⊕ 1 ⋅ 1 = 1;
xk + 2 = h21 ⋅ x1 ⊕ h22 ⋅ x2 ⊕ ... ⊕ h24 ⋅ x4 = 1 ⋅ 1 ⊕ 0 ⋅ 0 ⊕ 1 ⋅ 0 ⊕ 1 ⋅ 1 = 0;
xk +3 = h31 ⋅ x1 ⊕ h32 ⋅ x2 ⊕ ... ⊕ h34 ⋅ x4 = 1 ⋅ 1 ⊕ 1 ⋅ 0 ⊕ 0 ⋅ 0 ⊕ 1 ⋅ 1 = 0.
Таким образом, избыточное слово будет таким: Xr = 100, а ко-
довое слово – Xn = 1001 100.
Рассмотрим ситуацию, когда ошибок в переданной информации
нет (t = 0), т. е. Xn = Yn = 1001 100.
Вычислим новый набор проверочных символов в соответствии
с выражением (12.12) и синдром:
Y'r = 100,
S = Yr ⊕ Y 'r = 100 ⊕ 100 = 000 ≡ 0.
Нулевой синдром означает безошибочную передачу (или прием)
Рассмотрим ситуацию, когда возникает одиночная ошибка (t = 1).
Пусть ошибка произошла в служебных символах Yn = 1001000
(ошибочный символ подчеркнут).
Синдром вычисляем по методике, приведенной для случая от-

сутствия ошибок. Получаем S = 100. Вес синдрома равен 1 и это
означает, что произошла ошибка. Местоположение ошибки выявля-
ется анализом (декодированием) синдрома. Декодирование опирает-
ся на вышеприведенное соотношение (12.5), в соответствии с кото-
рым, принимая во внимание выражение (12.6), можем записать:
H ⋅ (Yn )T = H ⋅ ( X n ⊕ En )T = H ⋅ ( X n )T ⊕ H ⋅ ( En )T = 0 ⊕ h5 , (12.13)
где h5 – пятый столбец матрицы, номер которого соответствует но-
меру ошибочного символа в принятом кодовом слове. Действитель-
но, h5 = S = 100.
В результате декодирования синдрома получается вектор ошиб-
ки (унарный вектор, имеющий единичный вес): Еn = 0000100. Ис-
правление ошибочного бита достигается простым сложением по мо-
дулю 2 вектора Еn и кодового слова Yn:
Yn = En ⊕ Yn = 0000100 ⊕ 1001000 = 1001100.
Пусть ошибка произошла в бите информационного слова: Yn =
= 0001100.
Вычислим дополнительные проверочные символы и синдром:
Yr′ = 111;
S = Yr ⊕ Yr′ = 011.
Убедимся, что синдром соответствует первому столбцу исполь-
зуемой проверочной матрицы. Это означает, что декодирование син-
дрома однозначно укажет на местоположение ошибочного бита:
En = 1000000;
Y'n = Еn ⊕ Yn = 0001100 ⊕ 1000000 = 1001100 ≡ Xn.
При возникновении ошибок кратности 2 (например, на позици-
ях l и m) данный код не позволяет однозначно идентифицировать
ошибки, поскольку с учетом формулы (12.13) имеем:
S = h1 ⊕ hm . (12.14)
Таким образом, код Хемминга с dmin = 3 гарантированно об-

наруживает и исправляет одиночную ошибку в любом раз-
ряде кодового слова.
Порядок следования вектор-столбцов в матрице А не имеет

особого значения, однако важно, чтобы на передающей и на при-
нимающей сторонах используемые матрицы были бы абсолютно
идентичными.
Матрица кода Хемминга с dmin = 3 (Н) может быть трансфор-
мирована в матрицу с dmin = 4 (Н') путем добавления в нее одной
строки и одного столбца (столбец добавлятся в подматрицу I):
0
0
H′ = H .
0
1 1  1 1
Приведение такой матрицы к канонической форме (в которой

единичная матрица содержит 1 только на главной диагонали) про-
изводится путем выполнения суммирования строк матрицы Н с еди-
ничной дополнительной строкой таким образом, чтобы вес каждого
столбца единичной матрицы был равен 1. После таких линейных опе-
раций каждый столбец матрицы А будет иметь нечетный вес, а сум-
ма двух любых столбцов – четный. Это обеспечивает коду на основе
модифицированной матрицы (при неизменном k) минимальное ко-
довое расстояние dmin = 4. Значит такой код обеспечит обнаружение
двух ошибок в принятом сообщении, однако исправит (см. форму-
лу (12.8)) лишь одиночные.
12.4.4. Циклический код
Циклические избыточные коды, ЦК (Cyclic Redundancy Codes,

CRC; использование, например, см. на рис. 6.2 и 6.12) относятся к
линейным систематическим.
Важнейшие свойства кодов:
– каждое кодовое слово, получаемое из исходного кодового сло-
ва путем циклической перестановки его символов, также является
разрешенным кодовым словом;
– при циклической перестановке символы кодового слова пе-
ремещаются слева направо на одну позицию.
Следует запомнить: при циклическом сдвиге вправо на один

разряд необходимо исходную кодовую комбинацию поделить
на X, а при сдвиге влево на один символ – умножить на X.
Пример 12.10. Если кодовое слово имеет вид: 1101100, то раз-

решенной кодовой комбинацией будет следующая: 0110110.
Принято описывать ЦК при помощи порождающих полино-

мов G(X) степени r = n – k, где r – число проверочных сим-
волов в кодовом слове.
Порождающие полиномы циклических кодов. Формирование раз-

решенных кодовых комбинаций ЦК Bj (X) (обозначение кодовой ком-
бинации здесь соответствует обозначению кодового слова Xn для кода
Хемминга) основано на предварительном выборе порождающего (об-
разующего) полинома G(X), обладающего важным отличительным приз-
наком: все комбинации Bj (X) делятся на порождающий полином G(X)
без остатка; в результате деления получаем информационное слово:
Bj(X) / G(X) = Aj(X), (12.15)
здесь Bj(X) – кодовое слово; Aj(X) – информационное слово (соот-
ветствует Xk – для кода Хемминга).
Пример 12.11. При G(X) = X 4 + X 2 + X и Bj (X) = X 5 + X 3 + X 2
имеем
X 5 + X 3 + X 2 X 4 + X 2+ X
X5 + Х3 + X2 Х
0 0 0
остаток от деления – 000 или просто 0 (R(X) = 0).
Степень порождающего полинома r определяет число про-

верочных символов: r = n – k. Например, CRC-32 означает,
что используется полином 32-й степени, а CRC-16 – полином
16-й степени.
Из этого свойства следует простой способ формирования раз-

решeнных кодовых слов ЦК – умножение информационного слова
на порождающий полином G(X):
B(X) = A(X) ∙ G(X). (12.16)

Порождающими могут быть только такие полиномы, которые
являются делителями двучлена (бинома) Хn + 1:
(Хn + 1) / G(X) = H(X) (12.17)
при нулевом остатке: R(X) = 0.
С увеличением максимальной степени порождающих полино-
мов r резко увеличивается их количество: при r = 3 имеется всего
два полинома, а при r = 10 их уже несколько десятков. В таблице при-
ведены некоторые полиномы и соответствующие им коды.
Некоторые из известных кодов, описываемые с помощью полиномов
Степень Двоичное
Полином
полино- представле- n k Примечание
G(X)
ма r ние полинома
1 Х+1 11 3 2 Код с проверкой на четность
(3, 2)
2 Х2 + Х + 1 111 3 1 Код с повторением (3, 1)
3 Х3 + Х2 + 1 1101 7 4 Классический код Хемминга
Х3 + Х + 1 1011 (7, 4)
4 X4 + X3 + 1 11001 15 11 Классический код Хемминга
X4 + X + 1 10011 15 11 (15, 11)
Х4 + Х2 + Х + 1 10111 7 3 Классический код Хемминга
Х4 + Х3 + Х2 + 1 11101 7 3 (15, 11)
Коды Файра – Абрамсона (7, 3)
Коды Файра – Абрамсона (7, 3)
5 Х5 + Х2 + 1 100101 31 26 Классический код Хемминга
Х5 + Х3 + 1 101001 (31, 26)
В Bluetooth, например, используется полином CRC-16 вида X 16 +

+ X + X 5 + 1 или в двоичной форме: 10001000000100001, в неко-
12
торых протоколах на основе стандарта IEEE 802.3 – CRC-32: X 32 +

X 26 + X 23 + X 22 + X 16 + X 12 + X 11 + X 10 + X 8 + X 7 + X 5 + X 4 + X 2 +
+ X + 1.
Другой из возможных вариантов кода CRC-32 задается поли-
номом X 32 + X 22 + X 2 + X + 1, которому соответствет двоичное пред-
ставление: 100000000010000000000000000000111.
Два варианта порождающих полиномов кода Хемминга (7, 4)
с записью по модулю 2 в виде 1101 и 1011 представляют собой так
называемые двойственные многочлены (полиномы): весовые коэф-
фициенты одного полинома, зачитываемые слева направо, становятся
весовыми коэффициентами двойственного полинома при считыва-

нии их справа налево.
Порождающие полиномы кода Хемминга (7, 4) являются не
только двойственными, но и неприводимыми.
Неприводимые полиномы не делятся ни на какой другой по-

лином степени меньше r, поэтому их называют еще неразло-
жимыми, простыми и примитивными.
Пример 12.12. Порождающий полином G(X) = X 7 + 1 раскла-

дывается на три неприводимых полинома:
Х 7 + 1 = (Х + 1) ∙ (Х 3 + Х 2 + 1) ∙ (Х 3 + Х + 1) = G1(X) ∙ G2(X) ∙ G3(X),
каждый из которых является порождающим для следующих кодов:
G1(X) = X + 1 – код с проверкой на четность, КПЧ (7, 6);
G2(X) = X 3 + Х 2 + 1 – первый вариант кода Хемминга (7, 4);
G3(X) = X 3 + Х + 1 – двойственный G2(Х), второй вариант кода
Хемминга.
Различные вариации произведений G1,2,3(Х) дают возможность
получить остальные порождающие полиномы.
Порождающая матрица G циклического кода имеет в качестве
строк векторы G(X), XG(X), ..., Xk–1G(X):
G(X) g0 g1 g2 … gr 0 … 0
G = XG(X) = 0 g0 g1 … gr 0 … 0 , (12.18)
…
Xk–1G(X) 0 … 0 g0 g1 g2 … gr
где g0, ..., gr – коэффициенты генераторного полинома.
Проверочная матрица H кода строится на основе полинома
(см. выражение (12.17)):
H(X) = (Xn + 1) / G(X) (12.19)
или
H(X) 0 … 0 hk … h2 h1 h0
H = XH(X) = 0 … hk hk–1 … h1 h0 0 , (12.20)
…
X r–1H(X) hk … h2 h1 h0 0 … 0
где hj – коэффициенты полинома H(X).
Справедливо,
G(Х) ∙ H(Х)T = 0 или H(Х) ∙ G(Х)T = 0,
здесь индекс «Т» означает транспонирование матрицы.
Пример 12.13. Задан ЦК (7, 4) дуальными порождающими по-
линомами G(Х) = X 3 + X + 1 и G(Х) = X 3 + X 2 +1.
Составить порождающие матрицы кодов.
Первой строкой в матрице записывается порождающий поли-
ном (в двоичном представлении) с умножением его на оператор
сдвига Xr для резервирования места под запись трех (r = 3) прове-
рочных символов. Следующие k – 1 строк матриц получаются пу-
тем последовательного циклического сдвига базового кодового
слова матриц G и G на одну позицию вправо:
1011000 1101000
G(Х) = 0101100 G(Х) = 0110100
0010110 0011010
0001011 0001101
Для построения порождающей матрицы, формирующей раз-

делимый блочный код, необходимо преобразовать ее к кано-
ническому виду путем линейных операций над строками.
Каноническая матрица должна в левой части порождающей
матрицы ЦК содержать единичную диагональную квадратную
подматрицу порядка k для получения в итоге блочного ЦК.
Пример 12.14. Привести к каноническому виду матрицы из при-

мера 12.13.
С этой целью для получения первой строки канонической ма-
трицы Gк(Х) необходимо сложить по модулю 2 строки с номерами
1, 3 и 4 матрицы G(Х), а для матрицы Gк(Х) – строки с номерами 1,
2 и 3, вторая строка канонической матрицы образуется сложением
строк 2 и 4; оставшиеся строки – без изменений. В итоге имеем сле-
дующий вид первой из дуальных канонических матриц:
1000 101 (1 + 3 + 4)
Gк(Х) = 0100 111 (2 + 4)
0010 110 (3 = 3)
0001 011 (4 = 4).
Запись (1 + 3 + 4) означает, что данная строка матрицы полу-

чена в результате суммы по модулю 2 первой, третьей и четвертой
строк матрицы G(Х).
Вторую матрицу (Gк(Х)) построить самостоятельно.
Проверочная матрица Н7, 4 размерностью n × r может быть по-
лучена из порождающей матрицы канонического вида путем до-
полнения проверочной подматрицы единичной матрицей размер-
ности r × r:
101
111
Н7, 4 = 110
011
100
010
001,
или в каноническом виде:
1110 100
Н7, 4 = 0111 010
1101 001.
Вычисление проверочных символов (Xr) кодового слова (Xn)
чаще всего основывается на методе деления полиномов. Метод
позволяет представить разрешенные к передаче кодовые комбина-
ции в виде разделенных информационных Хk и проверочных Xr
символов, т. е. получить блочный код.
Поскольку число проверочных символов равно r, то для ком-
пактной их записи в последние младшие разряды кодового слова
надо предварительно к Хk (соответствует Aj(X) в формуле (12.15))
справа приписать r нулей, что эквивалентно умножению Хk на опе-
ратор сдвига X r. При этом имеется возможность представить кодо-
вую комбинацию в виде последовательности информационных и про-
верочных символов:
Xn = Хk ∙ X r || R(X), (12.21)
r
где R(X) – остаток от деления (Хk ∙ X ) / G(X) (см. формулу (12.15)).
В алгоритме на основе (12.21) можно выделить три этапа фор-
мирования разрешенных кодовых комбинаций в кодере:
1) к комбинации слова Хk дописывается справа r нулей, что эк-
вивалентно умножению Хk на X r;
2) произведение Хk ∙ Xr делится на соответствующий порождаю-

щий полином G(X) и определяется остаток R(X), степень которого не
превышает r – 1, этот остаток и дает группу проверочных символов (Xr);
3) вычисленный остаток присоединяется справа к Хk.
Пример 12.15. Рассмотрим процедуру кодирования при Хk = 1001,
т. е. сформируем кодовое слово циклического кода (7, 4).
В заданном ЦК (n = 7, k = 4, r = 3) выберем порождающий по-
лином G(X) = X 3 + X + 1 (код Хемминга).
Хk = 1001 ~ X 3 + 1 (знак «~» – тильда, означает соответствие).
1) Хk Xr = (X 3 + 1) ∙ X 3 = X 6 + X 3 ~ 1001000 (n = 7).
2) (Хk Xr) / G(X) = X 6 + X 3 X 3 + X + 1
X6 + X4 + X3 X3 + X
X4
X 4 + X 2+ X
X 2 + X,
2 2
X + X – остаток; R(X) = X + X ~ 110.
3) Xn = Хk Xr || R(X) = 1001110 – итоговая комбинация ЦК (ко-
довое слово).
Синдромный метод декодирования ЦК. Основная операция: при-
нятое кодовое слово (Xn) нужно поделить на порождающий полином,
используемый в операции кодирования. Если значение Xn принадле-
жит коду, т. е. не искажено помехами, то остаток от деления (синдром)
будет нулевым. Ненулевой остаток свидетельствует об ошибке в при-
нятой кодовой комбинации. Для ее исправления нужно определить
вектор (полином) ошибки (обозначим его Еn, см. формулу (12.13)).
После передачи по каналу с помехами принимается кодовое слово
Yn = Xn ⊕ Еn, (12.22)
здесь также сумма по модулю 2.
При декодировании принятое кодовое слово делится на G(X):
Yn / G(X) = U, Sr, (12.23)
где U – результат деления; Sr (остаток от деления Yn / G(X)) – син-
дром.
Всякому ненулевому синдрому соответствует определенное

расположение (конфигурация) ошибок: синдром для ЦК име-
ет те же свойства, что и для кода Хемминга и используется
при декодировании.
12.5. Основы информационной безопасности компьютерных сетей 477
Пример 12.16. Рассмотрим процедуру декодирования сообще-

ния, сформированного в примере 12.15. Пусть Yn = 1011110 (оши-
бочным является третий бит – подчеркнут).
Вспомним, что порождающая матрица имеет вид, показанный
в примере 12.14:
1110 100
Н7, 4 = 0111 010
1101 001.
Для решения задачи последовательно выполняем следующие
операции:
1) деление в соответствии с формулой (12.15):
Yn / G(X) = X 6 + X 4 + X 3 + X 2 + X X 3 + X +1
X6 + X4 + X3 X3 ;
2
X +X
X 2 + X – остаток, т. е. синдром Sr = X 2 + X ~ 110;
2) декодирование синдрома, позволяющее определить местопо-
ложение ошибки: по полученному синдрому 110 в анализаторе син-
дрома (дешифраторе синдрома) определяем вид вектора Еn = 0010000.
Здесь обратим внимание на важнейшую деталь: синдром равен треть-
ему вектор-столбцу в матрице Н7, 4, поэтому единичный символ бу-
дет в третьем разряде вектора Еn;
3) исправление ошибки: Yn ⊕ Еn = 1011110 ⊕ 0010000 = 1001110.
После исправления (исправленный бит подчеркнут двойной линией)
получим то же слово, что и было сформировано в источнике сообщения.
12.5. Основы информационной безопасности

компьютерных сетей
12.5.1. Характеристика основных угроз информационной

безопасности сетей
Как мы уже неоднократно подчеркивали (например, в пунк-

те 2.3.6), защита данных в компьютерных сетях стала едва ли не са-
мой главной проблемой в сфере информационных технологий.
Сетевая атака – это вторжение в операционную систему уда-

ленного компьютера. Целями сетевой атаки являются: захват
управления над операционной системой, приведение ее к со-
стоянию отказа в обслуживании (Denial-of-Service, DoS attack)
или получение доступа к защищенной информации.
Существуют следующие основные типы DoS-атак:

− отправка на удаленный компьютер специально сформирован-
ных сетевых пакетов, не ожидаемых этим компьютером, которые
вызывают сбои в работе операционной системы или ее остановку;
− отправка на удаленный компьютер большого количества се-
тевых пакетов за короткий период времени. Все ресурсы атакуемого
компьютера используются для обработки отправленных злоумыш-
ленником сетевых пакетов, из-за чего компьютер перестает выпол-
нять свои функции.
Сетевые атаки-вторжения (Network Intrusion Attack или Net-
work Infiltration Attack). Это сетевые атаки, целью которых является
«захват» операционной системы атакуемого компьютера. Это самый
опасный вид сетевых атак, поскольку в случае ее успешного завер-
шения операционная система полностью переходит под контроль
злоумышленника. Этот вид сетевых атак применяется в случаях,
когда злоумышленнику требуется получить конфиденциальные дан-
ные с удаленного компьютера (например, номера банковских карт
или пароли) либо использовать удаленный компьютер в своих це-
лях (например, атаковать с этого компьютера другие компьютеры)
без ведома пользователя.
Термин «сетевая атака» иногда заменяется термином «удален-
ная атака» при анализе угроз информационным ресурсам и защите
от таких угроз.
Угроза – это возможные или реализуемые попытки завла-

деть информационными ресурсами без согласия владельца
этих ресурсов.
Источниками угроз информационной безопасности являются:

− компании-конкуренты;
− злоумышленники (хакеры);
− тестировщики на проникновение – это высококвалифициро-

ванные специалисты (их называют также пенсестерами), которые,
используя специальные методы (так называемые Black/Gray/White-
box по полному стеку: социальная инженерия, внешний периметр,
мобильные приложения, веб-приложения, внутренняя инфраструк-
тура компаний-заказчиков, написание отчетной документации), про-
водят углубленный анализ потенциальных уязвимостей информаци-
онных систем и сетей; OSINT (Open Source Intelligence) – разведка
на основе открытых источников;
− сотрудники компании (как правило, обиженные) или инсайдеры;
− организованные преступные группы;
− государственные органы (подтверждением являются открове-
ния Э. Сноудена*).
Виды сетевых атак и их последствия имеют значительные от-
личия друг от друга. Современная классификация (условная) угроз
проводится по следующим параметрам:
− характер воздействия, оказываемого на сеть;
− цель оказываемого воздействия;
− наличие обратной связи с сетью, подвергнутой атаке;
− условие начала атаки;
− расположение субъекта по отношению к объекту атаки;
− уровень эталонной модели ISO.
Рассмотрим подробнее основные виды сетевых атак по этим
категориям.
По характеру воздействия на сеть атаки можно разделить на
активные и пассивные.
Активная атака проводится с непосредственным воздействием
на сеть, которое может предусматривать ограничение ее работоспо-
собности, модификацию настроек. Воздействие такого рода обяза-
тельно оставляет следы, поэтому при его планировании изначально
предусматривается обнаружение.
Пассивная атака проводится без непосредственного влияния
на работу сети. Однако в результате ее нарушается сетевая безопас-
ность. Обнаружить пассивную атаку намного сложнее именно из-за
отсутствия прямого воздействия. Примером таких угроз можно на-
звать постановку наблюдения или прослушки.
*
Edward Snowden – американский технический специалист и спецагент, бывший сотруд-
ник ЦРУ и АНБ, раскрыл факт всеобъемлющего слежения в 60 странах за более чем миллиар-
дом человек и правительствами 35 стран.
По цели различают виды сетевых атак, направленных на нару-

шение:
− функционирования;
− конфиденциальности;
− целостности атакуемой сети.
Основной целью таких атак является, как правило, несанкцио-
нированный доступ к закрытой информации методом ее искажения
или перехвата. В первом случае сведения могут быть изменены, во
втором – доступ производится без изменения данных.
По наличию обратной связи с атакуемой сетью атака может
проводиться с обратной связью или без нее (однонаправленная атака).
В первом случае атакующим субъектом устанавливается обмен
данными с атакуемым объектом. В результате злоумышленники по-
лучают актуальные данные о состоянии сети.
Однонаправленная атака не предусматривает установления об-
ратной связи. Ее проводят в ситуации, когда для реализации целей
злоумышленников не требуется оперативной реакции на изменения
состояния объекта.
По условию начала атаки можно выделить типы сетевых атак
по следующему критерию:
− по запросу от объекта;
− по выполнению на стороне объекта определенного действия;
− безусловные атаки.
Первые два типа атак начинаются после соответствующего со-
бытия, а безусловные – в любой момент.
В зависимости от расположения субъекта по отношению к
объекту атаки различают сетевые атаки межсегментного и вну-
трисегментного типа. Особенностью категории первого типа яв-
ляется расположение субъекта и объекта в разных сегментах сети.
Второй тип характеризуется их расположением в одном сегменте.
Сегментом сети называю хосты (компьютеры), физически

объединенные между собой.
Воздействие на атакуемую сеть может осуществляться на раз-

ных уровнях эталонной модели ISO/OSI.
Как видно, сетевые атаки столь же разнообразны, как и систе-
мы, против которых они направлены. Некоторые атаки отличаются
большой сложностью. Другие может осуществить обычный опера-

тор, даже не предполагающий, какие последствия будет иметь его
деятельность.
Для характеристики специфических типов атак необходимо знать
некоторые ограничения, изначально присущие протоколу TPC/IP.
Ввиду того что изначально средства защиты для протокола IP
не разрабатывались, все его реализации стали дополняться разно-
образными сетевыми процедурами, услугами и продуктами, снижаю-
щими риски, присущие этому протоколу.
Кратко рассмотрим основные типы атак, обычно применяемых
против сетей IP.
Сниффинг пакетов (Sniffer – в данном случае в смысле

фильтрация) – атака на основе прикладной программы (сниф-
фера), которая использует сетевую карту, работающую в ре-
жиме (promiscuous (не делающий различия) mode), в котором
все пакеты, полученные по физическим каналам, сетевой адап-
тер отправляет приложению для обработки.
Сниффер перехватывает все сетевые пакеты, которые переда-

ются через атакуемый домен. В настоящее время снифферы рабо-
тают в сетях на вполне законном основании. Они используются для
диагностики неисправностей и анализа трафика. Однако ввиду того,
что некоторые сетевые приложения передают данные в текстовом
формате (telnet, FTP, SMTP, POP3 и т. д.), с помощью сниффера
можно узнать полезную, а иногда и конфиденциальную информа-
цию (например, имена пользователей и пароли).
Перехват имен и паролей создает большую опасность, так как
пользователи часто применяют один и тот же логин и пароль для
множества приложений и систем. Многие пользователи вообще име-
ют один пароль для доступа ко всем ресурсам и приложениям. Если
приложение работает в режиме «клиент-сервер», а аутентификацион-
ные данные передаются по сети в читаемом текстовом формате, эту
информацию с большой вероятностью можно использовать для до-
ступа к другим корпоративным или внешним ресурсам. Таким об-
разом, человек, конечный пользователь, оказывается самым слабым
звеном системы информационной безопасности, и хакеры, зная это,
умело применяют методы социальной инженерии.
Помимо Ethernet сниффер умеет перехватывать трафик беспро-

водных сетей (стандарты 802.11 и протокол Bluetooth).
Спуфинг (Spoofing) – тип атаки, основанной на фальсифи-

кации передаваемых данных.
Спуфинг может быть нацелен на получение расширенных при-

вилегий и основан на обходе механизма верификации при помощи
формирования запроса, аналогичного настоящему. Одним из вари-
антов такой подмены является подделка HTTP-заголовка для полу-
чения доступа к скрытому контенту. Целью спуфинга может также
быть обман пользователя – классическим примером подобной ата-
ки может служить подмена адреса отправителя в письмах электрон-
ной почты.
Вот несколько примеров различных видов спуфинга:
− спуфинг с подменой номера вызывающего абонента (Caller
ID Spoofing) – идентификатор вызывающего абонента (Caller ID)
позволяет получателю телефонного звонка определить личность того,
кто звонит. Такой вид спуфинга происходит в тех случаях, когда
мошенник использует ложную информацию для изменения иден-
тификатора вызывающего абонента (т. е. мошенник звонит якобы
с другого телефона – например, с телефона вашего друга). Большин-
ство спуфинг-атак с подменой идентификатора вызывающего або-
нента происходит с помощью VoIP (Voice over Internet Protocol), ко-
торый позволяет мошенникам создавать номер телефона и имя иден-
тификатора вызывающего абонента по своему выбору. Как только
получатель звонка ответит на звонок, мошенник попытается убедить
его предоставить ему требуемую важную информацию;
− спуфинг с подменой сайта (Web-site Spoofing) – это тип спу-
финг-атаки, в рамках которой мошенник пытается создать опасный
(вредоносный) сайт похожим на надежный безопасный сайт (напри-
мер, известного банка), используя его шрифты, цвета и логотипы;
такой спуфинг проводится путем репликации оригинального надеж-
ного сайта с целью привлечения пользователей на специально со-
зданный поддельный фишинговый или вредоносный сайт;
− спуфинг с подменой адреса электронной почты (E-mail Spoof-
ing) – это тип спуфинг-атаки, в рамках которой мошенник рассы-
лает электронные письма с поддельными адресами отправителей с
намерением заразить атакуемый компьютер вредоносными програм-

мами, заполучить деньги или украсть информацию; в качестве ад-
ресов электронной почты отправителей зачастую подставляются те
адреса, которым доверяет атакуемая сторона;
− спуфинг с подменой IP-адреса (IP Spoofing) – мошенник стре-
мится скрыть реальное местоположение в Интернете того места, от-
куда запрашиваются или куда отправляются данные пользователя/
жертвы; цель IP-спуфинга – заставить компьютер жертвы «думать»,
что информация, отправляемая мошенником пользователю, исходит
из надежного источника, что позволяет вредоносному контенту дохо-
дить до пользователя. IP-спуфинг часто является отправной точкой
для прочих атак. Классический пример – атака DoS, которая начина-
ется с чужого адреса, скрывающего истинную личность хакера. Если
же хакеру удается поменять таблицы маршрутизации и направить тра-
фик на ложный IP-адрес, он получит все пакеты и сможет отвечать
на них так, будто он является санкционированным пользователем;
− спуфинг с подменой DNS-сервера (DNS Server Spoofing) –
используется для перенаправления трафика пользователя на под-
дельные IP-адреса (на вредоносные сайты); в рамках такой атаки
мошенник меняет IP-адреса DNS-серверов, указанных на компью-
тере жертвы, на поддельные IP-адреса, которые мошенник хочет ис-
пользовать для обмана жертвы;
− ARP-спуфинг (Address Resolution Protocol Spoofing) – исполь-
зуется для изменения или кражи данных, а также для взлома ком-
пьютера жертвы внутри его сессии (подключения); для этого зло-
умышленник свяжет себя с IP-адресом жертвы, чтобы иметь воз-
можность получить доступ к тем данным, которые изначально пред-
назначались для владельца этого IP-адреса (т. е. жертвы);
− SMS-спуфинг (Text Message Spoofing) – спуфинг с подменой
текстовых сообщений: мошенник отправляет текстовое или SMS-
сообщение, используя номер телефона другого человека. Мошен-
ники делают это, скрывая свою личность за буквенно-цифровым
идентификатором отправителя, и обычно в свои сообщения вклю-
чают ссылки для загрузки вредоносных программ или для перехо-
да на фишинговые сайты;
− GPS-спуфинг (GPS Spoofing) – атака происходит для «обма-
на» GPS-приемника, когда передаются поддельные сигналы, кото-
рые напоминают настоящие: мошенник притворяется, что находит-
ся в одном месте, а на самом деле находится в другом.
Мошенники могут использовать GPS-спуфинг, чтобы, напри-

мер, взломать GPS в автомобиле и отправить вас по ложному
адресу или даже вмешаться в GPS-сигналы кораблей, само-
летов и т. д. Любое мобильное приложение, которое полага-
ется на данные о местоположении смартфона, может стать
мишенью для такого типа атаки.
– атака посредника или «человека посередине» (Man-in-the-

Middle Attack, MitM) происходит в тех случаях, когда мошенник
взламывает Wi-Fi-сеть или создает дублирующую поддельную Wi-Fi-
сеть в том же месте для перехвата web-трафика между двумя сто-
ронами подключения (отправитель и получатель трафика). Если поль-
зователь подключен к публичной Wi-Fi-сети, злоумышленник мо-
жет легко перенаправить весь трафик между устройством пользова-
теля и роутером через свой ноутбук, тем самым он получит доступ
ко всем данным, которые пользователь передает или загружает.
С помощью такой атаки мошенники могут перенаправлять к себе ис-
пользуемую жертвой конфиденциальную информацию, такую как
логины, пароли или номера банковских карт.
Чтобы спуфинг-атака была успешной, она должна включать в
себя определенный уровень социальной инженерии. Это означает,
что методы, которые используют мошенники, способны эффективно
обмануть своих жертв и заставить их предоставить свою личную
информацию.
Социальная инженерия (Sicial Ingeneering) – это исполь-

зование хакером психологических приемов «работы» с поль-
зователем. Базируется на психологических особенностях лич-
ности и закономерностях человеческого мышления.
В самом худшем случае хакер, перехватив пароль, получает

доступ к пользовательскому ресурсу на системном уровне и с его
помощью создает нового пользователя, которого можно в любой
момент использовать для доступа в сеть и к ее ресурсам.
Одним из самых известных социальных инженеров в истории
является Кевин Митник (Kevin David Mitnick). Авторы данного посо-
бия настоятельно рекомендуют прочитать или хотя бы просмотреть
ставшие бестселлерами книги К. Митника по проблемам инфор-

мационной безопасности (некоторые из книг приведены в библио-
графии данного пособия).
В самостоятельный класс методов и средств, представляющих
угрозу сетевой безопасности, выделяют компьютерные вирусы,
предназначенные для реализаций деструктивных действий на сете-
вом уровне – сетевые вирусы.
Сетевые вирусы, или черви (Worms), – это программы с

вредоносным кодом, которые атакуют компьютеры в сети и
распространяются через нее.
Сетевой червь Морриса известен как первый компьютерный

червь, который распространялся в Интернете и заразил тысячи ком-
пьютеров. Он был написан в 1988 г. Робертом Таппаном Моррисом
(Robert Tappan Morris), 23-летним доктором Корнельского универ-
ситета. Этот вирус парализовал 2 ноября 1988 г. работу шести тысяч
двухсот компьютеров в США.
Большинство известных компьютерных червей распространя-
ется следующими способами:
− в виде файла, отправленного во вложении в электронном
письме;
− в виде ссылки на интернет- или FTP-ресурс;
− в виде ссылки, переданной через сообщение ICQ или IR;
− через пиринговые сети обмена данными – P2P (Peer-to-Peer).
Некоторые черви распространяются как сетевые пакеты. Они
проникают прямо в компьютерную память, после чего активируют
код червя.
Специфическим типом деструктивных программ являются рут-
киты.
Руткит (Rootkit) – программа или набор программ, который

позволяет скрыть присутствие в системе вредоносного ПО.
Как правило, руткит представляет собой набор утилит, который

злоумышленник устанавливает на скомпрометированную систему
сразу после получения root-доступа. В набор входят утилиты для
«заметания следов» вторжения в систему, которые делают незамет-

ными снифферы, сканеры, кейлоггеры, троянские программы.
Руткит может содержать различные вредоносные инструменты,
такие как клавиатурный шпион, вор сохраненных паролей, сканер
данных о банковских карточках, дистанционно управляемый бот
для осуществления DDoS-атак, а также функции для отключения
антивирусов. Руткит обычно имеет функции бэкдора, т. е. он позво-
ляет атакующему дистанционно подключаться к зараженному ком-
пьютеру, устанавливать или удалять дополнительные модули. Не-
которые примеры руткитов для Windows: TDSS, ZeroAccess, Alureon
and Necurs.
Мобильные устройства также подвержены традиционным ата-
кам (например, DNS Hijacking, E-mail Phishing), так как используют
те же базовые пользовательские сервисы, что и персональные ПК.
Наиболее известной формой хакерских атак является DoS-атака.
Атака отказ в обслуживании (Denial of Service, DoS) и рас-

пределенная атака типа отказ в обслуживании (Distributed
DoS, DDoS) – это самая настоящая бомбардировка централь-
ного сервера одновременными запросами данных. Задача –
«забить» канал сервера и привести к его недоступности для
легитимных клиентов.
Во втором случае (DDoS) злоумышленник отправляет такие

запросы из нескольких взломанных систем. Атаки делают сеть не-
доступной для обычного использования за счет превышения допу-
стимых пределов функционирования сети, операционной системы
или приложения.
Против атак такого типа труднее всего создать стопроцентную
защиту. Атаки считаются тривиальными, а от хакера для своей орга-
низации они требуют минимум знаний и умений: все необходимое
программное обеспечение вместе с описаниями самой технологии
находятся в свободном доступе в Интернете. Именно простота ре-
ализации и огромный причиняемый вред привлекают к DoS присталь-
ное внимание администраторов, отвечающих за сетевую безопасность.
О DoS-атаках широко заговорили после того, как в декабре
1999 г. при помощи этой технологии были успешно атакованы
web-узлы таких известных корпораций, как Amazon, Yahoo, CNN,
eBay и E-Trade.
В случае использования некоторых серверных приложений

(таких, например, как web-сервер или FTP-сервер) атаки DoS мо-
гут заключаться в том, чтобы занять все соединения, доступные для
этих приложений, и держать их в занятом состоянии, не допуская
обслуживания обычных пользователей. В ходе атак DoS могут ис-
пользоваться обычные Интернет-протоколы, такие как TCP и ICMP
(Internet Control Message Protocol). Большинство атак DoS опирается
не на программные ошибки или бреши в системе безопасности, а
на общие слабости системной архитектуры. Некоторые атаки сводят
к нулю производительность сети, переполняя ее нежелательными
и ненужными пакетами или сообщая ложную информацию о теку-
щем состоянии сетевых ресурсов. Этот тип атак трудно предотвра-
тить, так как требуется координация действий с провайдером. Ко-
гда атака такого типа проводится одновременно через множество
устройств, речь идет о распределенной атаке DDoS.
Наиболее известными разновидностями атак DoS являются: TCP
SYN Flood, Ping of Death, Tribe Flood Network (TFN) и Tribe Flood
Network 2000 (TFN2K), Trinco, Stacheldracht, Trinity, Smurf, ICMP
Flood, UDP Flood, TCP Flood.
Рассмотрим некоторые из них более подробно.
Smurf-атаки – это ping-запросы ICMP (Internet Control Message
Protocol) по адресу направленной широковещательной рассылки.
Фальшивый адрес источника, который используется в пакетах
этого запроса, в результате оказывается мишенью атаки. Системы,
получившие направленный широковещательный ping-запрос, от-
вечают на него и «затапливают» сеть, в которой находится сервер-
мишень.
ICMP Flood – атака, аналогичная Smurf, только без усиления,
создаваемого запросами по направленному широковещательному
адресу.
UDP Flood – отправка на адрес системы-мишени множества па-
кетов UDP, что приводит к «связыванию» сетевых ресурсов.
TCP Flood – отправка на адрес системы-мишени множества TCP-
пакетов, что также приводит к «связыванию» сетевых ресурсов.
TCP SYN Flood – при проведении такого рода атаки выдается
большое количество запросов на инициализацию TCP-соединений
с узлом-мишенью, которому в результате приходится расходовать
все свои ресурсы на то, чтобы отслеживать эти частично открытые
соединения.
Парольная атака – попытка подбора пароля легального

пользователя для входа в сеть.
Хакеры могут проводить парольные атаки с помощью целого

ряда методов, таких как простой перебор (Brute Force Attack), тро-
янский конь, IP-спуфинг и сниффинг пакетов. Хотя логин и пароль
можно получить при помощи IP-спуфинга и сниффинга пакетов,
хакеры часто пытаются подобрать пароль и логин, используя для
этого многочисленные попытки доступа. Такой подход носит назва-
ние простого перебора. Нередко для такой атаки используется спе-
циальная программа, которая пытается получить доступ к ресурсу
общего пользования (например, к серверу).
Еще одна проблема возникает, когда пользователи применяют
один и тот же пароль для доступа ко многим системам: корпоратив-
ной, персональной и системам Интернет.
Парольных атак можно избежать, если не пользоваться паро-
лями в текстовой форме. Одноразовые пароли и/или криптографи-
ческая аутентификация могут практически свести на нет угрозу
таких атак. К сожалению, не все приложения, хосты и устройства
поддерживают указанные выше методы аутентификации.
Атаки на уровне приложений. Могут проводиться несколькими
способами. Самый распространенный из них состоит в использова-
нии хорошо известных слабостей серверного программного обеспе-
чения (sendmail, HTTP, FTP). Используя эти слабости, хакеры могут
получить доступ к компьютеру от имени пользователя, работающего
с приложением (обычно это бывает не простой пользователь, а при-
вилегированный администратор с правами системного доступа). Све-
дения об атаках на уровне приложений широко публикуются, чтобы
дать возможность администраторам исправить проблему с помощью
коррекционных модулей (патчей). К сожалению, многие хакеры также
имеют доступ к этим сведениям, что позволяет им учиться.
Главная проблема с атаками на уровне приложений состоит в
том, что они часто «пользуются» портами, которым разрешен про-
ход через межсетевой экран. К примеру, хакер, эксплуатирующий
известную слабость web-сервера, часто использует в ходе атаки ТСР
порт 80. Поскольку web-сервер предоставляет пользователям web-
страницы, межсетевой экран должен предоставлять доступ к этому
порту. С точки зрения межсетевого экрана, атака рассматривается
как стандартный трафик для порта 80.
Сетевая разведка – сбор информации о сети с помощью об-

щедоступных данных и приложений.
При подготовке атаки против какой-либо сети хакер, как пра-

вило, пытается получить о ней как можно больше информации. Се-
тевая разведка проводится в форме запросов DNS, эхо-тестирования
(Ping Sweep) и сканирования портов.
Запросы DNS помогают понять, кто владеет тем или иным до-
меном и какие адреса этому домену присвоены. Эхо-тестирование
адресов, раскрытых с помощью DNS, позволяет увидеть, какие хо-
сты реально работают в данной среде.
Полностью избавиться от сетевой разведки невозможно.
Системы IDS на уровне сети и хостов обычно хорошо справ-
ляются с задачей уведомления администратора о ведущейся сетевой
разведке, что позволяет лучше подготовиться к предстоящей атаке
и оповестить провайдера, в сети которого установлена система, про-
являющая чрезмерное любопытство.
Злоупотребление доверием – злонамеренное использование

отношений доверия, существующих в сети.
Классическим примером такого злоупотребления является си-

туация в периферийной части корпоративной сети. В этом сегменте
часто располагаются серверы DNS, SMTP и HTTP. Поскольку все
они принадлежат к одному и тому же сегменту, взлом одного из них
приводит ко взлому и всех остальных, так как эти серверы доверяют
другим системам своей сети.
Другим примером является система, установленная с внешней
стороны межсетевого экрана, имеющая отношения доверия с си-
стемой, установленной с его внутренней стороны. В случае взло-
ма внешней системы хакер может использовать отношения дове-
рия для проникновения в систему, которая защищена межсетевым
экраном.
Риск злоупотребления доверием можно снизить за счет более
жесткого контроля уровней доверия в пределах своей сети. Систе-
мы, которые расположены с внешней стороны межсетевого экра-
на, никогда не должны пользоваться абсолютным доверием со сто-
роны защищенных экраном систем. Отношения доверия должны
ограничиваться определенными протоколами и по возможности

аутентифицироваться не только по IP-адресам, но и по другим па-
раметрам.
Переадресация портов представляет собой разновидность

злоупотребления доверием, когда взломанный хост исполь-
зуется для передачи через межсетевой экран трафика, кото-
рый в противном случае был бы обязательно отбракован.
Представим себе межсетевой экран с тремя интерфейсами, к

каждому из которых подключен определенный хост. Внешний хост
может подключаться к хосту общего доступа, но не к хосту, уста-
новленному с внутренней стороны межсетевого экрана. Хост общего
доступа может подключаться и к внутреннему, и к внешнему хосту.
Если хакер захватит хост общего доступа, он сможет установить на
нем программное средство, перенаправляющее трафик с внешнего
хоста прямо на внутренний хост. Примером приложения, которое
может предоставить такой доступ, является netcat.
Как итог рассмотрению существующих основных рисков без-
опасности компьютеров и сетей приведем краткий свод постулатов,
разработанный Microsoft Security Response, которые выглядят сле-
дующим образом (приводятся здесь без комментариев):
1. Если злоумышленник (Bad Fellow) убедит вас в том, что его
программа должна выполняться на вашем компьютере, этот ком-
пьютер перестанет принадлежать вам.
2. Если злоумышленник сможет изменить операционную си-
стему на вашем компьютере, этот компьютер перестанет вам при-
надлежать.
3. Если злоумышленник имеет физический доступ к вашему ком-
пьютеру, этот компьютер перестанет вам принадлежать.
4. Если злоумышленник загрузит свои программы на ваш web-
сайт, этот сайт перестанет вам принадлежать.
5. Использование простых паролей ослабляет строгие меры без-
опасности.
6. Компьютер безопасен только в том случае, когда администра-
тор (безопасности) добросовестно относится к своим обязанностям.
7. Шифрование данных является безопасным в той мере, в ка-
кой соблюдены правила безопасного хранения ключа.
8. Устаревший сканер вирусов лишь немногим лучше отсут-

ствующего сканера вирусов.
9. Абсолютная анонимность лишена практического смысла как
в реальной жизни, так и при работе в Интернете.
10. Любая технология не является панацеей от всех бед.
12.5.2. Основные методы и средства нейтрализации угроз

сетевой безопасности
Все многообразие методов и средств противодействия несанк-

ционированному доступу к сетевым ресурсам условно подразделя-
ется на следующие группы.
1. Организационные методы и средства подразумевают раз-
работку, и исполнение в любой организации/лаборатории правил,
регламентирующих и регулирующих доступ физических лиц к ин-
формации, хранящейся на носителях либо передаваемой внутри сети
данного предприятия. В организациях, осуществляющих операции
над критической информацией (правительственные, государствен-
ные, банковские, коммерческие и иные структуры), назначается спе-
циальное ответственное лицо – администратор безопасности (АБ),
следящий за реализацей и соблюдением правил на основе реализуе-
мой политики безопасности и необходимых организационных правил.
Критическое управление безопасностью на основе разработан-
ной политики информационной безопасности и защиты данных ос-
новывается на следующих принципах:
– инвентаризация авторизированных и неавторизированных
устройств;
– инвентаризация авторизированных и неавторизированных
программных средств;
– безопасные конфигурации аппаратно-программных средств мо-
бильных устройств, ноутбуков, рабочих станций и серверов;
– непрерывная оценка и нейтрализация уязвимостей;
– защита от вредоносного программного обеспечения (Malware);
– применение лицензионного программного обеспечения;
– контроль беспроводного доступа;
– возможность восстановления данных;
– квалифицированная оценка уровня безопасности системы на
основе надлежащего обучения персонала;
– безопасная конфигурация сетевых устройств, таких как бранд-

мауэры, маршрутизаторы, коммутаторы и др.;
– ограничение и контроль сетевых портов, протоколов и служб;
– управление использованием административных привилегий;
– определение периметра защиты (границы обороны);
– техническое обслуживание, мониторинг и анализ аудита;
– контролируемый доступ пользователей к разрешенным ресурсам;
– мониторинг и контроль учетных записей;
– защита данных на всех уровнях;
– реагирование на инциденты и управление их разрешением;
– инженерное обеспечение сетевой безопасности;
– выполнение тестов на проникновение и их анализ.
2. Правовые методы. Гражданский правовой кодекс предусма-
тривает наказание за компьютерные преступления. В 1983 г. Ор-
ганизация экономического сотрудничества и развития определила
это понятие.
Компьютерная преступность (или «связанная с компью-

терами преступность») – любые незаконные, неэтичные или
неправомерные действия, связанные с автоматической обра-
боткой или передачей информации.
Практически во всех странах с развитой информационной ин-

фраструктурой предусматривается уголовно-правовая защита от ком-
пьютерных преступлений.
Перечень преступлений против информационной безопасности,
зафиксированный, например, в законодательных и нормативных ак-
тах Республики Беларусь, соответствует положениям Будапештской
конвенции (2001 г.)*. Конвенция охватывает широкий круг вопро-
сов, в том числе все аспекты киберпреступности, включая незакон-
ный доступ к компьютерным системам и перехват данных, воздей-
ствие на данные, воздействие на работу системы, противозаконное
использование устройств, подлог и мошенничество с использовани-
ем компьютерных технологий, правонарушения, связанные с детской
порнографией, и правонарушения, связанные с авторским правом
и смежными правами. При подготовке конвенции преследовались
*
Режим доступа: http://conventions.coe.int/treaty/rus/treaties/html/185.htm (дата доступа:
10.02.2015).
цели формирования общей правоохранительной системы для борь-

бы с киберпреступностью и создания условий для обмена инфор-
мацией между всеми странами, подписавшими конвенцию. В Буда-
пештской конвенции также устанавливаются требования защиты
прав и свободы каждого в сети Интернет.
Международная уголовная полиция «Интерпол» пользуется клас-
сификацией компьютерных преступлений по кодификатору между-
народной уголовной полиции генерального секретариата Интерпола.
В 1991 г. данный кодификатор был интегрирован в автоматизиро-
ванную систему поиска и в настоящее время доступен подразделе-
ниям Национальных центральных бюро Международной уголовной
полиции «Интерпол» более чем 120 стран мира.
Все коды, характеризующие компьютерные преступления, имеют
идентификатор, начинающийся с буквы Q. Для характеристики пре-
ступления могут использоваться до пяти кодов, расположенных в
порядке убывания значимости совершенного. Например:
QA – несанкционированный доступ и перехват:
QAH – компьютерный абордаж;
QAI – перехват;
QAТ – кража времени;
QAZ – прочие виды несанкционированного доступа и пе-
рехвата;
QD – использование деструктивных программных средств:
QDL – логическая бомба;
QDT – троянский конь;
QDV – компьютерный вирус;
QDW – компьютерный червь;
QDZ – прочие виды;
QF – компьютерное мошенничество:
QFC – мошенничество с банкоматами;
QFF – компьютерная подделка;
QFG – мошенничество с игровыми автоматами;
QFM – манипуляции с программами ввода-вывода;
QFP – мошенничество с платежными средствами;
QFT – телефонное мошенничество;
QFZ – прочие компьютерные мошенничества;
QR – незаконное копирование (пиратство):
QRG – компьютерные игры;
QRS – программное обеспечение;
QRT – топография полупроводниковых изделий;

QRZ – прочее незаконное копирование;
QS – компьютерный саботаж:
QSH – с аппаратным обеспечением;
QSS – с программным обеспечением;
QSZ – прочие виды саботажа.
3. Физические (технические) методы. Объединяют методы огра-
ничения физического доступа лиц к каналам передачи информации,
устройствам ее хранения и обработки. Основаны на использовании
простых замков, магнитных карт, чипов, таблеток, бесперебойных ис-
точников питания, а также на анализе антропометрических и биологи-
ческих параметров человека (сетчатка глаза, отпечатки пальцев и др.).
4. Программно-технические методы. Основаны на использо-
вании аппаратных и/или программных средств, позволяющих иден-
тифицировать пользователя (либо техническое средство), а также
оценить происхождение программного средства, поступающего в
информационную сеть. Наиболее известными из указанных средств
являются: использование пароля, антивирусных программ, бранмау-
эров или «огненных стен» (Firewalls) на входе сети, криптографи-
ческого преобразования информации на основе методов шифрова-
ния, а также помехоустойчивого кодирования.
Далее в пособии в основном будем анализировать методы именно
этой группы.
Подчеркнем простой и неоспоримый факт: абсолютно защи-

щенные персональный компьютер или компьютерная сеть,
операционная система, прикладная программа – такая
же иллюзия, как и абсолютно надежно охраняемый дом.
Также следует принять во внимание следующие обстоятельства

общего плана.
Внедрение систем на основе технологии MDM (Mobile Device
Management – управление мобильными устройствами) является со-
ставной частью стратегии обеспечения безопасности конфиденци-
альной информации при использовании мобильных устройств.
Технология управления жизненным циклом платформы вклю-
чает функционал учета используемых устройств, управления кон-
фигурациями ОС, управления мобильными приложениями (в том
12.6. Программно-аппаратные методы и средства обеспечения сетевой безопасности 495
числе – их инициализация и деинициализация, удаленная очистка,

удаленный мониторинг и контроль за сбойными ситуациями). Обыч-
но эти задачи реализуются через установку на мобильное устрой-
ство соответствующих MDM-профилей.
Такие системы позволяют обеспечивать контроль над мобиль-
ными устройствами, имеющими доступ к корпоративным сервисам
организации, и способствуют снижению рисков, связанных с утеч-
кой конфиденциальной информации с данных устройств.
Эта технология реализована, например, в приложении AirWatch.
Защита данных и каналов связи с Интернетом от воздействия

интрузов (нежелательных программ или физических лиц).
Является по определению результатом известного компро-
мисса. Этот компромисс базируется на важнейшем и универ-
сальном подходе к разработке и реализации политики защи-
ты: защита информации только тогда является оправданной
и разумной, когда стоимость реализации политики безопас-
ности, по крайней мере, не меньше стоимости потерь, вызван-
ных несанкционированным ее использованием.
12.6. Программно-аппаратные методы

и средства обеспечения сетевой безопасности
Для защиты сетей от внешних угроз могут применяться сле-

дующие основные методы и средства:
− порты высокой надежности, криптографическое шифрова-
ние данных;
− эффективные антивирусы и сканеры сигнатур вирусов;
− программный или аппаратный сетевой экран (брандмауэр);
− блокираторы руткитов и снифферов.
Основная сложность борьбы с руткитами в том, что они
активно противодействуют своему обнаружению, пряча свои фай-
лы и ключи реестра от сканирующих программ, а также применяя
другие методики. Руткиты – наиболее сложная в обнаружении и
удалении разновидность Malware.
Существуют утилиты, специально созданные для поиска из-

вестных и неизвестных руткитов разными узкоспециальными ме-
тодами, а также с помощью сигнатурного и поведенческого ана-
лиза. Удаление руткита – тоже сложный и многоэтапный процесс,
который редко сводится к удалению пары файлов. Обычно прихо-
дится применять специальную программу, такую как TDSSkiller, со-
зданную для борьбы с руткитом TDSS. В некоторых случаях жерт-
ве даже приходится переустанавливать операционную систему, если
в результате заражения компьютерные файлы повреждены слиш-
ком глубоко.
Для менее сложных и вредоносных руткитов удаление может
быть осуществлено с помощью обычной функции лечения в Kas-
persky Internet Security.
Смягчить угрозу сниффинга пакетов можно с помощью сле-
дующих средств.
1. Аутентификация. Сильные средства аутентификации явля-
ются первым способом защиты от сниффинга пакетов. Под «силь-
ным» понимается такой метод аутентификации, который трудно
обойти. Примером такой аутентификации являются однократные
пароли (One-Time Passwords, OTP).
ОТР – это технология двухфакторной аутентификации. Ти-
пичным примером двухфакторной аутентификации является ра-
бота обычного банкомата, который опознает клиента, во-первых,
по пластиковой карточке и, во-вторых, по вводимому ПИН-коду.
Для аутентификации в системе ОТР также требуется ПИН-код и
личная карточка. Снифферы, перехватывающие другую информа-
цию (например, сообщения электронной почты), не теряют своей
эффективности.
2. Коммутируемая инфраструктура. Еще одним способом борь-
бы со сниффингом пакетов в сетевой среде является создание ком-
мутируемой инфраструктуры. Если, к примеру, во всей организации
используется коммутируемый Ethernet, хакеры могут получить до-
ступ только к трафику, поступающему на тот порт, к которому они
подключены. Коммутируемая инфраструктура не ликвидирует угрозу
сниффинга, но заметно снижает ее остроту.
3. Антиснифферы. Третий способ борьбы со сниффингом за-
ключается в установке аппаратных или программных средств, рас-
познающих снифферы, работающие в сети. Эти средства не могут
полностью ликвидировать угрозу, но, как и многие другие средства
сетевой безопасности, включаются в общую систему защиты. Так

называемые «антиснифферы» измеряют время реагирования хостов
и определяют, не приходится ли хостам обрабатывать «лишний»
трафик. Подобного рода средства не могут полностью ликвидиро-
вать угрозу сниффинга, но крайне необходимы при построении ком-
плексной системы защиты.
4. Криптография. Самый эффективный способ борьбы со сниф-
фингом пакетов не предотвращает перехвата и не распознает ра-
боту снифферов, однако делает эту работу бесполезной. Если ка-
нал связи является криптографически защищенным, это значит,
что хакер перехватывает не сообщение, а зашифрованный текст.
Например, криптография Cisco на сетевом уровне базируется на
протоколе IPSec. Данный протокол представляет собой стандарт-
ный метод защищенной связи между устройствами с помощью
протокола IP. К прочим криптографическим протоколам сетевого
управления относятся протоколы SSH (Secure Shell) и SSL (Secure
Socket Layer).
Полностью устранить угрозу спуфинга практически невоз-
можно, но ее можно ослабить с помощью следующих мер.
1. Контроль доступа. Самый простой способ предотвращения
IP-спуфинга состоит в правильной настройке управления доступом.
Чтобы снизить эффективность IP-спуфинга, необходимо настроить
контроль доступа на отсечение любого трафика, поступающего из
внешней сети с исходным адресом, который должен располагаться
внутри защищаемой сети. Заметим, что это помогает бороться с IP-
спуфингом, когда санкционированными являются только внутрен-
ние адреса. Если санкционированными являются и некоторые адреса
внешней сети, данный метод становится неэффективным.
2. Фильтрация RFC 2827. Можно пресечь попытки спуфинга
чужих сетей пользователями некоторой сети. Для этого необходимо
отбраковывать любой исходящий трафик, исходный адрес которого
не является одним из IP-адресов данной организации. В результате
отбраковывается весь трафик, который не имеет исходного адреса,
ожидаемого на определенном интерфейсе.
3. Криптография. Наиболее эффективный метод борьбы с IP-
спуфингом тот же, что и в случае со сниффингом пакетов: необхо-
димо сделать атаку абсолютно неэффективной. IP-спуфинг может
функционировать только при условии, что аутентификация проис-
ходит на базе IP-адресов.
Угроза атак типа DoS может снижаться тремя способами.

1. Функции антиспуфинга. Правильная конфигурация функций
антиспуфинга на маршрутизаторах и межсетевых экранах помогает
снизить риск DoS-атак. Эти функции, как минимум, должны вклю-
чать фильтрацию RFC 2827.
2. Функции антиDoS. Правильная конфигурация функций
антиDoS на маршрутизаторах и межсетевых экранах может ограни-
чить эффективность атак за счет снижения числа полуоткрытых ка-
налов в любой момент времени.
3. Ограничение объема трафика (Traffic Rate Limiting). Орга-
низация может попросить провайдера ограничить объем трафика.
Это происходит в результате уменьшения объема некритического
трафика, проходящего по сети. Обычным примером является огра-
ничение объемов трафика ICMP, который используется только для
диагностических целей. Атаки DDoS часто используют ICMP.
Парольных атак можно избежать, если не пользоваться па-
ролями в текстовой форме. Одноразовые пароли и/или криптогра-
фическая аутентификация могут практически свести на нет угрозу
таких атак. К сожалению, не все приложения, хосты и устройства
поддерживают указанные выше методы аутентификации.
С точки зрения администратора, существует несколько мето-
дов борьбы с подбором паролей. Один из них заключается в ис-
пользовании средства L0phtCrack, которое часто применяют ха-
керы для подбора паролей в среде Windows NT. Данное средство
быстро показывает, легко ли подобрать пароль, выбранный поль-
зователем.
Эффективно бороться с атаками типа Man-in-the-Middle
можно только с помощью криптографии.
Исключить полностью атаки на уровне приложений не-
возможно. Хакеры постоянно открывают и публикуют в Интерне-
те все новые уязвимые места прикладных программ. Самое главное
здесь – хорошее системное администрирование. Вот некоторые меры,
которые можно предпринять, чтобы снизить уязвимость для атак
этого типа:
− чтение лог-файлов операционных систем и сетевых лог-фай-
лов и/или их анализ с помощью специальных аналитических при-
ложений;
− подписка на услуги по рассылке данных о слабых местах при-
кладных программ;
− использование последних версий операционных систем и при-

ложений и самых последних коррекционных модулей (патчей);
− кроме системного администрирования необходимо использо-
вание систем распознавания вторжений или атак (Intrusion Detection
System, IDS); существуют две взаимно дополняющие друг друга
технологии IDS: первая – сетевая система IDS (NIDS), которая
отслеживает все пакеты, проходящие через определенный домен;
когда система NIDS видит пакет или серию пакетов, совпадающих с
сигнатурой известной или вероятной атаки, она генерирует сигнал
тревоги и/или прекращает сессию; вторая – хост-система IDS (HIDS),
защищающая хост с помощью программных агентов; эта система
борется только с атаками против одного хоста;
− в своей работе системы IDS пользуются сигнатурами атак,
которые представляют собой профили конкретных атак или типов
атак; сигнатуры определяют условия, при которых трафик считается
хакерским.
Основным способом борьбы с переадресацией портов явля-
ется использование надежных моделей доверия.
При рассмотрении условий обеспечения безопасности компью-
терных сетей часто возникает вопрос о том, к какому уровню стека
протоколов относится система сетевой безопасности? Ответ явля-
ется очевидным.
На каждом из уровней протоколов могут осуществляться

мероприятия по защите компьютерной сети, но каждый из
этих уровней, что вполне естественно, использует свои спе-
цифические методы.
На уровне передачи данных пакеты, которые передаются по

двухточечной линии, могут кодироваться при передаче в канал и
декодироваться при приеме. Все детали этих преобразований мо-
гут быть известны только уровню передачи данных, причем более
высокие уровни могут даже не «догадываться» о том, что именно
происходит. Такой метод защиты называется шифрованием в ка-
нале связи.
На сетевом уровне могут быть установлены брэндмауэры, по-
зволяющие отвергать подозрительные пакеты. На этом же уровне
может быть использована IP-защита.
На транспортном уровне можно зашифровать соединения цели-

ком, от одного конца до другого, поскольку максимальную защиту
может обеспечить только сквозное шифрование. Проблемы аутенти-
фикации и обеспечения строгого выполнения обязательств могут
решаться только на прикладном уровне.
На всех уровнях стека протоколов, за исключением физиче-

ского, решение проблем защиты информации базируется на
принципах криптографии.
Выводы
1. Безопасность компьютерных сетей затрагивает широкий спектр

вопросов, касающихся надежной передачи информации, обеспече-
ния конфиденциальности информации, защиты от различных атак с
целью повреждения или хищения информации.
2. Абсолютно защищенные персональный компьютер или ком-
пьютерная сеть, операционная система, прикладная программа
считаются такой же иллюзией, как и абсолютно надежно охраняе-
мый дом.
3. Компьютерная преступность (или «связанная с компьюте-
рами преступность») – любые незаконные, неэтичные или неправо-
мерные действия, связанные с автоматической обработкой или пе-
редачей информации.
4. Сетевая атака – это вторжение в операционную систему
удаленного компьютера. Целями сетевой атаки являются: захват
управления над операционной системой, приведение ее к состоянию
отказа в обслуживании (Denial-of-Service, DoS Attack) или получе-
ние доступа к защищенной информации.
5. Для проверки целостности информации, а также исправления
ошибок в сетях используют методы помехоустойчивого кодиро-
вания, базирующиеся на введении в информацию дополнительных
избыточных символов. В зависимости от принципа вычисления до-
полнительных символов и их числа реализуются различные алго-
ритмы помехоустойчивого кодирования.
1. В чем состоит суть и как обеспечивается информационная

безопасность компьютерных сетей и сетевых технологий?
2. Дайте определение основных понятий в предметной области,
анализируемой в данной главе.
3. Охарактеризуйте основные виды атак на копьютерные сети.
4. Как можно оценить надежность компьютерной сети? Приве-
дите примеры.
5. В чем заключаются методы помехоустойчивого кодирования
информации?
6. Как задаются и как связаны между собой проверочная и по-
рождающая матрицы избыточного кода?
7. Объясните различие между кодами Хемминга и циклическими
кодами. Приведите примеры их использования в сетевых протоколах?
8. Покажите на примере обнаружение и исправление ошибки ко-
дом Хемминга при длине информационного слова 1 байт. То же –
циклическим кодом.
9. Постройте проверочную матрицу кода Хемминга для k = 4.
10. Дайте понятие синдрома и поясните его суть на примере.
11. Покажите пример кодирования сообщения Хk = 10100011
кодом Хемминга. Как будет исправлена ошибка на приемной сто-
роне в 7-м бите?
12. Покажите пример кодирования сообщения Хk = 1010 цик-
лическим кодом (порождающий полином выбрать самостоятельно).
Как будет исправлена ошибка на приемной стороне в 3-м бите?
13. Опишите сниффинг как метод атаки.
14. Перечислите методы защиты от сниффинга пакетов.
15. Что такое IP-спуфинг? Опишите методы снижения угроз IP-
спуфинга.
16. Опишите понятие DoS-атаки. В чем ее сущность?
17. Приведите разновидности DoS-атак.
18. Поясните суть парольных атак.
13
КРИПТОГРАФИЧЕСКИЕ
И СТЕГАНОГРАФИЧЕСКИЕ МЕТОДЫ
В СЕТЕВЫХ ТЕХНОЛОГИЯХ
13.1. Принципы криптографической

защиты информации
Основной и практически непреодолимый «рубеж» защиты от

несанкционированного доступа в компьютерных системах и в сетях
образует шифрование.
Шифрование (Encryption) – один из способов преобразова-

ния данных на основе криптографии, обеспечивающий кон-
фиденциальность и аутентичность информации.
В проблематике современной криптографии можно выделить

следующие три типа основных задач:
− обеспечение конфиденциальности;
− создание условий для анонимности (неотслеживаемости);
− обеспечение аутентификации информации и источника со-
общения.
Первый тип задач относится к защите информации от несанкциони-
рованного доступа по секретному ключу. Доступ к информации (инфор-
мационным ресурсам) имеют только обладатели ключа. Второй и третий
типы задач обязаны своей постановкой массовому применению элек-
тронных способов обработки и передачи информации (банковская сфера,
электронная коммерция, каналы межличностной коммуникации и др.).
Криптографическое преобразование состоит из двух этапов: пря-
мого и обратного. Прямое преобразование называют зашифрованием
(в соответствии со стандартом ISO 7492-2, шифрованием, encrypt),
обратное – расшифрованием (дешифрованием, decrypt).
С точки зрения криптографии шифр, или криптографиче-

ская система (Cryptographic System), – совокупность обра-
тимых преобразований множества открытых данных на мно-
жество зашифрованных данных, задаваемых ключом и алго-
ритмом криптографического преобразования.
Следует различать понятия ключ и пароль.

Пароль (Password) является секретной последовательностью букв
алфавита, однако используется не для шифрования (как ключ), а для
аутентификации субъектов.
В симметричных криптосистемах для зашифрования и расшиф-
рования используется один и тот же ключ.
В ассиметричных криптосистемах используются два ключа –
открытый (публичный) и закрытый (секретный, тайный), которые ма-
тематически связаны друг с другом и принадлежат одному физиче-
скому или юридическому лицу (в редких исключениях – группе лиц,
например, реализующих один проект).
Электронной цифровой подписью (Electronic Digital Signa-

ture или Е-Signature) называется присоединяемое к тексту его
криптографическое преобразование, которое позволяет при
получении текста другим пользователем проверить авторство
и целостность сообщения.
Криптостойкостью (Crypto Resistance) называется характери-

стика шифра, определяющая его стойкость к расшифрованию без зна-
ния ключа, т. е. к криптоатаке.
Удачную (успешную) криптоатаку называют взломом.
13.1.1. Симметричные криптосистемы
Стандартные методы шифрования информации, передаваемой

по сетям для повышения степени устойчивости к несанкциониро-
ванному использованию, реализуют несколько этапов (шагов) шиф-
рования, на каждом из которых используются различные «класси-
ческие» методы шифрования.
504 13. КРИПТОГРАФИЧЕСКИЕ И СТЕГАНОГРАФИЧЕСКИЕ МЕТОДЫ
К числу известных симметричных криптосистем можно отне-

сти стандарт шифрования США DES, алгоритм IDEA, отечественный
ГОСТ28147–89 и др.
Достаточно надежным считается алгоритм IDEA (International
Data Encryption Algorithm), разработанный в Швейцарии и считаю-
щийся блочным шифром. Алгоритм также оперирует 64-битными
блоками открытого текста. Несомненным достоинством IDEA явля-
ется то, что его ключ имеет длину 128 битов. Один и тот же алгоритм
используется и для зашифрования, и для расшифрования.
В алгоритме IDEA используются следующие математические
операции:
− поразрядное сложение по модулю 2 («исключающее ИЛИ»);
− сложение беззнаковых целых по модулю 216 (модуль 65536);
− умножение целых по модулю 216 + 1 (модуль 65537), рассмат-
риваемых как беззнаковые целые, за исключением того, что блок из
16 нулей рассматривается как 216.
Все перечисленные операции выполняются над 16-битовыми
субблоками. Комбинирование этих операций обеспечивает комплекс-
ное преобразование входа, существенно затрудняя криптоанализ IDEA
по сравнению с DES, который базируется только на операции «исклю-
чающее ИЛИ».
К достоинствам симметричных методов шифрования относится
высокая скорость шифрования и дешифрования, к недостаткам – ма-
лая степень защиты в случае, если ключ стал доступен третьему лицу.
13.1.2. Ассиметричные криптосистемы
13.1.2.1. Алгоритм RSA. Криптосистема с открытым ключом

определяется тремя алгоритмами: генерации ключей, зашифрования и
расшифрования. Алгоритм генерации ключей открыт, и каждый может
дать ему на вход строку надлежащей длины и получить пару ключей.
Рассмотрим ассиметричные криптосистемы на примере алгорит-
ма RSA. Названный в честь трех изобретателей Рона Ривеста (Ron
Rivest), Ади Шамира (Adi Shamir) и Леонарда Адлемана (Leonard
Adleman), этот алгоритм многие годы противостоит многочисленным
попыткам криптоаналитического вскрытия.
Безопасность алгоритма основана на трудоемкости разложения
на множители больших чисел. Открытый и закрытый ключи являются
функциями двух больших простых чисел разрядностью 100–200 де-

сятичных цифр. Предполагается, что восстановление открытого
текста по шифртексту и открытому ключу равносильно разложе-
нию числа на два больших простых множителя.
Ключ состоит из тройки больших целых чисел: e, d, n. Пара чи-
сел (e и n) является не секретной и образует публичный (открытый)
ключ. Число d является секретным, и пара (d и n) образует тайный
ключ, известный только данному пользователю. Проблема верифика-
ции пользователей на основе их открытых ключей является одной
из важных.
Основные операции алгоритма RSA.
1. Для генерации двух ключей применяются два больших слу-
чайных простых числа: p и q. Для большей криптостойкости алго-
ритма эти числа должны иметь равную длину.
2. Рассчитывается произведение n = p ⋅ q и вычисляется функ-
ция ϕ(n) = (p – 1) ⋅ (q – 1), которая называется функцией Эйлера и
указывает количество положительных целых чисел в интервале от
1 до N, которые взаимно просты с N.
3. Случайным образом выбирается такое число е, которое вме-
сте с ϕ(n) являются взаимно простыми числами.
4. С помощью расширенного алгоритма Евклида вычисляется та-
кое число d, что e ⋅ d = 1 mod ϕ(n), другими словами d = e–1 mod ϕ(n).
Подразумевается, что эти шаги выполняет лицо, которое гене-
рирует для себя (или для другого лица по его просьбе) соответству-
ющие ключи.
Отметим, что числа d и n также являются взаимно простыми.
Открытый и закрытый ключи составляют вышеуказанные пары чи-
сел: e и n, d и n соответственно.
Зашифрование сообщения (открытым ключом получателя)
М = m1m2…mk (сообщение делится на k блоков) выглядит просто:
ci = ( mi ) e mod n.
При расшифровании каждого блока ci сообщения С (тайным
ключом получателя) производится следующая операция:
mi = (ci ) d mod n.
Точно также сообщение может быть зашифровано с помощью
пары d и n и расшифровано с помощью чисел e и n. Именно такой
подход используется в системах электронной цифровой подписи.
Пример 13.1. Пусть сообщение М представляется числом 688 232.

Предполагаем, что длина ключа составляет три десятичных цифры.
Проиллюстрируем использование алгоритма RSA для передачи за-
шифрованного сообщения.
Выбираем числа p = 47 и q = 71. Имеем n = p ⋅ q = 47 ⋅ 71 = 3337.
Вычисляем ϕ(n) = (p – 1) ⋅ (q – 1) = 46 ⋅ 70 = 3220.
Число е не должно иметь общих сомножителей с числом 3220;
выбираем (случайным образом) е равным 79.
Вычисляем d: d = 79–1 mod 3220 = 1019.
Имеем открытый ключ – числа 79 и 3337 (его можно разместить
в общедоступных источниках, например в Центре сертификации),
и закрытый ключ – числа 1019 и 3337 (как видим, секретным явля-
ется только число d; в нашем случае – это число 1019).
Для зашифрования сообщения М разбиваем его на блоки дли-
ной, равной длине ключа, т. е. по 3 символа: m1 = 688, m2 = 232. Пер-
вый блок шифруется как 68879 mod 3337 = 1570 = с1; второй блок –
23279 mod 3337 = 2756 = с2.
Отправитель зашифрованного сообщения выполняет проце-

дуру зашифрования, используя публичный ключ получателя.
Шифртекст С сообщения М выглядит следующим образом:

С = 15 702 756.
Для обратного преобразования нужно выполнить похожие опе-
рации, однако с использованием числа 1019 в качестве степени:
m1 = 15701019 mod 3337 = 688;
m2 = 27561019 mod 3337 = 232.
Получатель зашифрованного сообщения выполняет проце-

дуру расшифрования, используя собственный тайный ключ.
Несимметричные методы шифрования имеют преимущества

и недостатки, противоположные тем, которыми обладают симмет-
ричные методы. В отличие от симметричных методов шифрования,
проблема рассылки ключей в несимметричных методах решается
проще – пары ключей (открытый и закрытый) генерируются «на ме-
сте» с помощью специальных программ. Для рассылки открытых
ключей используются такие технологии как LDAP (Light-weight Di-

rectory Access Protocol, протокол облегченного доступа к справоч-
нику). Рассылаемые ключи могут быть предварительно зашифрованы
с помощью одного из симметричных методов шифрования.
13.1.2.2. Управление ключевой информацией. Отметим

также, что помимо выбора подходящей для конкретной информации
системы средств криптографической защиты информации, важной
проблемой является управление ключами. Как бы ни была сложна и на-
дежна сама криптосистема, она основана на использовании ключей.
Управление ключами – информационный процесс, вклю-

чающий в себя три элемента:
− генерацию ключей;
− накопление ключей;
− распределение ключей.
Для получения надежных криптографических ключей исполь-

зуются специальные аппаратные и программные методы генерации
случайных значений ключей.
Как правило, применяют датчики псевдослучайных чисел (ПСЧ).
Однако степень случайности генерации чисел должна быть доста-
точно высокой. Идеальными генераторами являются устройства на
основе «натуральных» случайных процессоров, например на основе
белого радиошума.
Под накоплением ключей понимается организация их хра-

нения, учета и удаления.
Поскольку ключ является самым привлекательным для злоумыш-

ленника объектом, открывающим ему путь к конфиденциальной ин-
формации, то вопросам накопления ключей следует уделять особое
внимание. Секретные ключи никогда не должны записываться в
явном виде на носителе, который может быть считан или ско-
пирован.
Таким образом, вся информация о ключах должна храниться в
зашифрованном виде. Ключи, зашифровывающие ключевую инфор-
мацию, называются мастер-ключами.
Распределение ключей – самый ответственный процесс в

управлении ключами. К нему предъявляются следующие тре-
бования: оперативность и точность распределения, скрытность
распределяемых ключей.
Распределение ключей между пользователями компьютерной

сети реализуется двумя способами:
1) использованием одного или нескольких центров распределе-
ния ключей;
2) прямым обменом сеансовыми ключами между пользователями
сети.
Задача распределения ключей сводится к построению протокола
распределения ключей, обеспечивающего:
− взаимное подтверждение подлинности участников сеанса;
− подтверждение достоверности сеанса механизмом запроса-
ответа или отметки времени;
− использование минимального числа сообщений при обмене
ключами;
− возможность исключения злоупотреблений со стороны центра
распределения ключей.
Криптография с использованием открытых ключей позволяет
передавать секретные данные, не обладая общим ключом заранее,
а также создавать электронные подписи (или электронные циф-
ровые подписи, ЭЦП) сообщений без необходимости привлечения
третьей, доверительной стороны. Отрытый ключ можно хранить в
открытом, общедоступном источнике. Однако при этом нужно иметь
в виду возможность подделки ключа злоумышленником. Чтобы ис-
ключить эту возможность, в процесс обмена ключевой информацией
вовлекается центр распределения ключей или центр сертификации.
Обязанность сертификации открытых ключей, принадлежа-

щих как физическим, так и юридическим лицам выполняют
организации, называемые управлением сертификации (CA –
Certification Authority).
СА выдает (обычно с подписанием соответствующего двусто-

роннего договора) физическим и юридическим лицам документ –
сертификат, который связывает открытый и закрытый ключи вла-

дельца с указанием данных этого владельца.
Для упрощения процедур получения сертификатов был разра-
ботан и утвержден известной организацией ITU специальный стан-
дарт. Он называется X.509 и широко применяется в Интернете. На-
чиная с 1988 г. вышло несколько версий этого стандарта. Данный
документ X.509 связан с OSI.
Понятно, что один или даже несколько СА на весь мир не в со-
стоянии обслужить всех клиентов. В связи с этим разработан аль-
тернативный способ сертификации открытых ключей. Он известен
под общим названием PKI (Public Key Infrastructure – инфраструк-
тура систем с открытыми ключами).
PKI состоит из множества компонентов: пользователи, управ-

ления сертификации, сами сертификаты, а также каталоги.
Инфраструктура PKI предоставляет возможность структур-
ной организации этих компонентов и определяет стандарты,
касающиеся различных документов и протоколов. Одним из
простейших видов PKI является иерархия управлений серти-
фикаций.
Управление сертификации верхнего уровня (root) называют цен-

тральным управлением (ЦУ). Центральное управление сертифици-
рует управления второго уровня – региональные отделы, РО (Re-
gional Authorities, RA), так как они могут обслуживать некоторый
географический регион, например страну или континент. Региональ-
ные отделы, в свою очередь, занимаются легализацией низовых управ-
лений сертификации (НУС), эмитирующих сертификаты стандарта
X.509 для физических и юридических лиц.
Поскольку все сертификаты подписаны (сверху донизу), на лю-
бом уровне можно выявить любые попытки подлога.
Цепочка сертификатов, восходящая к ЦУ, называется дове-

рительной цепочкой (Chain of Trust) или путем сертифи-
ката (Certification Path). Описанный метод широко приме-
няется на практике. В том числе – в криптовалютных техно-
логиях.
13.1.2.3. Протокол Kerberos. Рассмотрим в качестве приме-

ра протокол аутентификации и распределения ключей Kerberos
(по-русски – Цербер).
Протокол Kerberos спроектирован для работы в сетях TCP/IP и
предполагает участие в аутентификации и распределении ключей
третьей доверенной стороны. Kerberos обеспечивает надежную аутен-
тификацию в сети, разрешая законному пользователю доступ к раз-
личным машинам в сети. Протокол основывается на симметричной
криптографии (реализован алгоритм DES, хотя возможно применение
и других симметричных криптоалгоритмов). Kerberos разделяет от-
дельный секретный ключ с каждым субъектом сети. Знание такого сек-
ретного ключа равносильно доказательству подлинности субъекта сети.
Основной протокол Kerberos является вариантом протокола
аутентификации и распределения ключей Нидхема – Шрёдера.
В основном протоколе Kerberos (версия 5) участвуют две взаи-
модействующие стороны А и В и доверенный сервер KS (Kerberos
Server). Стороны А и В, каждая по отдельности, разделяют свой сек-
ретный ключ с сервером KS. Доверенный сервер KS выполняет роль
центра распределения ключей (ЦРК).
Пусть сторона А хочет получить сеансовый ключ для информа-
ционного обмена со стороной В.
Сторона А инициирует фазу распределения ключей, посылая
по сети серверу KS идентификаторы участников сеанса IdA и IdB:
А → KS: IdA, IdB. Сервер KS генерирует сообщение с временной от-
меткой Т, сроком действия L, случайным сеансовым ключом K и
идентификатором IdA. Он шифрует это сообщение секретным клю-
чом, который разделяет со стороной В.
Затем сервер KS берет временную отметку T, срок действия L,
сеансовый ключ K, идентификатор IdB стороны В и шифрует все это
секретным ключом, который разделяет со стороной А. Оба эти зашиф-
рованные сообщения он отправляет стороне А: KS → A: EA(T, L, K, IdB),
EB (T, L, K, IdA).
Сторона А расшифровывает первое сообщение своим секретным
ключом, проверяет отметку времени Т, чтобы убедиться, что это со-
общение не является повторением предыдущей процедуры распре-
деления ключей.
Затем сторона А генерирует сообщение со своим идентифика-
тором IdA и отметкой времени Т, шифрует его сеансовым ключом K
и отправляет стороне В. Кроме того, А отправляет для В сообщение
13.2. Эффективность использования пароля для защиты информации 511
от KS, зашифрованное ключом стороны В: А → В: EK(IdA, T), EB(T,

L, K, IdA).
Только сторона В может расшифровать сообщения. Сторона В
получает отметку времени Т, срок действия L, сеансовый ключ K,
идентификатор IdA. Затем сторона В расшифровывает сеансовым клю-
чом K вторую часть сообщения. Совпадение значений Т и IdA в двух
частях сообщения подтверждают подлинность А по отношению к В.
Для взаимного подтверждения подлинности сторона В создает
сообщение, состоящее из отметки времени Т плюс 1, шифрует его
ключом K и отправляет стороне А: В → А: EK(T + 1).
Если после расшифрования сообщения сторона А получает ожи-
даемый результат, то она знает, что на другом конце линии связи
находится действительно В.
Этот протокол успешно работает, если часы каждого участника
синхронизированы с часами сервера KS. В этом протоколе необхо-
дим обмен с KS для получения сеансового ключа каждый раз, когда
А желает установить связь с В. Протокол обеспечивает надежное
соединение абонентов А и В при условии, что ни один из ключей не
скомпрометирован и сервер KS защищен.
Система Kerberos обеспечивает защиту сети от несанкциониро-
ванного доступа, базируясь исключительно на программных реали-
зациях, и предполагает многократное шифрование передаваемой по
сети управляющей информации.
Система Kerberos имеет структуру типа «клиент-сервер» и со-
стоит из клиентских частей С, установленных на все машины сети,
и Kerberos-сервера (KS), расположенного на каком-либо компьютере.
Область действия системы Kerberos распространяется на тот
участок сети, все пользователи которого зарегистрированы под сво-
ими именами и паролями в базе данных Kerberos-сервера.
13.2. Эффективность использования пароля

для защиты информации
Наиболее часто применяемыми методами идентификации и аутен-

тификации пользователей являются методы, основанные на исполь-
зовании паролей.
Пароль представляет собой некоторую последовательность сим-

волов, сохраняемую в секрете и предъявляемую при обращении к
компьютерной или иной информационной системе.
Для ввода пароля, как правило, используется штатная клавиа-
тура компьютерных систем (КС); при этом в процессе ввода пароль
не должен отображаться на экране монитора, а чтобы пользователь
мог ориентироваться в количестве введенных символов, на экран вы-
даются специальные символы.
При составлении и хранении пароля пользователи должны при-
держиваться следующих рекомендаций:
− пароль должен запоминаться субъектом доступа;
− запись пароля (на бумажном или электронном носителе) зна-
чительно повышает вероятность его компрометации (нарушения кон-
фиденциальности);
− легко запоминаемый пароль должен быть в то же время слож-
ным для отгадывания; не рекомендуется использовать для этой цели
имена, фамилии, даты рождения и т. п.; известно, что наиболее часто
используются пароли типа «12345», «qwerty» и подобные;
− желательным является наличие в пароле парадоксального со-
четания букв, слов и т. п., полученного, например, путем набора рус-
ских букв пароля на латинском регистре.
Рекомендуется составлять пароль из символов, входящих ми-

нимум в три множества: букв на нижнем регистре (a, b и т. д.),
букв на верхнем регистре (A, B и т. д.), цифр и специальных
символов (!, /, ?, ; и т. д.).
Вероятность подбора пароля уменьшается также при увеличении

его длины и времени задержки между разрешенными попытками
повторного ввода неправильно введенного пароля. Ожидаемое время
раскрытия пароля ТР можно вычислить по следующей приближенной
формуле:
As ⋅ t
TP = , (13.1)
2
где A – число символов в алфавите, из которых составляется пароль
(например, 26 символов латинского алфавита); s – длина пароля;
t = E / R – время, необходимое на попытку введения пароля; E –
13.2. Эффективность использования пароля для защиты информации 513
число символов в сообщении, передаваемом в систему при попытке

получить к ней доступ (включая пароль и служебные символы); R –
скорость передачи символов пароля по сети, символов/мин.
Если пароль состоит только из заглавных и строчных букв, то
A = 52, а если из всех возможных символов, доступных на клавиа-
туре, то A = 95 ∙ (26 + 26 + 10 + 33).
Использование формулы (13.1) предполагает, что злоумышленник
имеет возможность непрерывно осуществлять подбор пароля – на
основе лобовой атаки. Например, если А = 26, t = 2 с и s = 6 сим-
волов, то ожидаемое время раскрытия ТР пароля приблизительно
равно одному году. Если в данном примере после каждой неудачной
попытки ввода пароля предусмотреть временную задержку в 10 с,
то ожидаемое время раскрытия пароля увеличится в 5 раз.
Следует также отметить, что на безопасное время раскрытия
пароля оказывает существенное влияние длина пароля S (в степен-
ной зависимости). Так, если для трехсимвольного пароля, выбранного
из 26-символьного алфавита, время ТР составит 3 месяца, то для че-
тырехсимвольного – 65 лет.
Чтобы сократить время выполнения атакующих действий до
получения положительного (для атакующей стороны) результата,
используется распараллеливание вычислений (точно такие же под-
ходы можно использовать и при взломе криптографических систем).
При этом применяются два способа распараллеливания.
1. Работают параллельно k процессоров, при этом i-й (1 ≤ i ≤ k)
процессор выполняет три одинаковые по времени операции:
– получение данных от (i – 1)-го процессора;
– выполнение операции анализа;
– передача данных (i + 1)-му процессору.
2. Основан на разбиении множества Π всех возможных паро-
лей (ключей) на z непересекающихся подмножеств: Π1, Π2, …, Πz.
Система, с k процессорами, созданная атакующей стороной, переби-
рает, например, варианты так, что i-я (1 ≤ i ≤ k) машина анализирует
пароли из подмножества Πi. Здесь, вероятно, определенную слож-
ность представляет разделение множества на подмножества.
Выбор необходимой длины пароля S можно производить исходя
из заданной вероятности Р того, что данный пароль может быть рас-
крыт посторонним лицом за время М. Если необходимо построить
систему, в которой вероятность отгадывания правильного пароля не-
законным пользователем будет меньше, чем заданная вероятность Р,
то следует выбрать такое значение s, которое удовлетворяло бы фор-

муле Андерсена:
4,32 ⋅ 104 ⋅ R ⋅ M
As ≥ , (13.2)
E⋅P
где М – период времени, в течение которого предпринимаются по-
пытки раскрытия пароля (в месяцах при ежедневном 24-часовом тес-
тировании).
Пример 13.2. Допустим, требуется, используя стандартный ла-
тинский алфавит, установить пароль такой длины, чтобы вероятность
его отгадывания не превысила 0,001 после трехмесячного (M = 3 мес)
систематического тестирования.
Если за одну попытку доступа посылается 20 символов (Е = 20),
а скорость их передачи R = 600 символов/мин, то по формуле Андер-
сена получаем:
4,32 ⋅ 10 4 ⋅ R ⋅ M 4,32 ⋅ 10 4 ⋅ 3 ⋅ 103 ⋅ 600
= = 3,888 ⋅ 109.
E⋅P 20
Для S = 6: 26S = 3,089 ∙ 108, т. е. <3,888 ∙ 109.
Для S = 7: 26S = 8,03 ∙ 109, т. е. >3,888 ∙ 109.
Таким образом, при данных обстоятельствах следует выбрать
длину пароля S = 7.
При существенном увеличении длины пароля он может быть
разбит на две части: запоминаемую пользователем и вводимую вруч-
ную, а также размещенную в зашифрованном виде на специальном
носителе (например, дискете, магнитной карте и т. д.) и считываемую
специальным устройством.
Повышение стойкости системы защиты на этапе аутентифика-
ции можно достигнуть и увеличением числа символов алфавита, ис-
пользуемого при вводе пароля. Для этого при наборе символов па-
роля можно использовать несколько регистров клавиатуры, соответ-
ствующих, например, строчным и прописным латинским символам,
а также строчным и прописным символам кириллицы.
На степень информационной безопасности при использовании
простого парольного метода проверки подлинности пользователей
большое влияние оказывают ограничения на минимальное и макси-
мальное время действия каждого пароля. Чем чаще меняется пароль,
тем выше его безопасность. Администратор службы безопасности
13.3. Методы и средства защиты от удаленных атак через сеть Интернет 515
должен постоянно контролировать своевременность смены паролей

пользователей.
Таким образом, для повышения надежности аутентификации
пользователей следует, по возможности, использовать нетривиаль-
ные (уникальные) пароли и, кроме того, обеспечивать более частую
их смену.
С этой точки зрения являются достаточно эффективными ме-
тоды, основанные на использовании динамически изменяющихся па-
ролей. При смене пароля осуществляется его функциональное пре-
образование, зависящее от динамически изменяющихся параметров,
например суточного времени в часах, номера дня недели, месячной
даты и т. д. Такая смена пароля производится либо периодически
(ежедневно, каждые три дня или каждую неделю), либо при очеред-
ном обращении пользователя.
Об особенностях и безопасности парольной защиты много полез-
ной информации можно найти в упоминавшихся книгах К. Митника.
13.3. Методы и средства защиты

от удаленных атак через сеть Интернет
13.3.1. Межсетевые экраны
Помимо опасности утечки информации за пределы сети, име-

ется опасность проникновения вредной информации, такой как ви-
русы, черви. Часто эту инфекцию заносят беззаботные сотрудники,
желающие поиграть в новую модную компьютерную игру.
Шифрование не спасает от вирусов и хакеров, способных

проникнуть в локальную сеть. Помочь защитить сеть от не-
желательного проникновения снаружи может установка меж-
сетевых экранов.
Межсетевые экраны (или брэндмауэры, Firewall) способны ре-

шать ряд задач по отражению наиболее вероятных угроз для внут-
ренних сетей.
Межсетевой экран призван обеспечить безопасный доступ к

внешней сети и ограничить доступ внешних пользователей к внут-
ренней сети (рис. 13.1).
Межсетевой экран (МЭ) – система межсетевой защиты, поз-

воляющая разделить сеть на две или более частей и реализо-
вать набор правил, определяющих условия прохождения па-
кетов с данными через границу из одной общей части сети в
другую.
МЭ пропускает через себя весь трафик, принимая для каждого

проходящего пакета решение – пропускать его или отбросить. Для того
чтобы МЭ мог осуществить это, ему необходимо определить набор
правил фильтрации.
Однако следует отметить, что ни один межсетевой экран не мо-
жет гарантировать полной защиты внутренней сети при всех воз-
можных обстоятельствах.
Рис. 13.1. Защита брандмауэром внутренней сети
Межсетевые экраны являются устройствами сетевого уровня,

но также контролируют транспортный уровень и уровень при-
ложений, чтобы производить фильтрацию.
Основными компонентами межсетевых экранов являются филь-

трующие маршрутизаторы, шлюзы сетевого уровня и шлюзы при-
кладного уровня.
Персональный сетевой экран (Personal Firewall) выполняет функ-

ции, аналогичные сетевому (межсетевому) экрану: разграничение
и контроль доступа к защищаемым ресурсам на уровне сетевых со-
единений.
Персональный сетевой экран, в отличие от межсетевых эк-

ранов, представляет собой программный агент, устанавлива-
емый непосредственно на защищаемый компьютер.
Персональный сетевой экран способен определить не только

используемый протокол и сетевые адреса, но и программное обес-
печение, устанавливающее или принимающее сетевое соединение,
благодаря чему существенно повышаются возможности гранули-
рованного и точного контроля и реализации дискретных политик.
Специальный режим обучения, используемый для тонкой настройки
персонального сетевого экрана под конкретную программную кон-
фигурацию компьютера, позволяет свести к минимуму количество
ошибок ложных срабатываний.
Основные функции персональных сетевых экранов:
– фильтрация сетевого трафика;
– анализ подозрительной активности при помощи встроенной
системы обнаружения вторжений IDS;
– блокирование и удаление вредоносного программного обес-
печения с помощью интегрированного антивируса.
Фильтрующий маршрутизатор представляет собой маршрути-
затор или работающую на сервере программу, сконфигурированные
таким образом, чтобы фильтровать входящие и исходящие пакеты.
Фильтрация пакетов осуществляется на основе информации, со-
держащейся в TCP- и IP-заголовках пакетов. Фильтрующий марш-
рутизатор обычно может фильтровать IP-пакеты на основе группы
следующих полей заголовка пакета: IP-адрес отправителя, IP-адрес
получателя, порт отправителя, порт получателя.
Шлюз сетевого уровня иногда называют системой трансляции
сетевых адресов или шлюзом сеансового уровня модели OSI. Такой
шлюз исключает прямое взаимодействие между авторизованным кли-
ентом и внешним хост-компьютером.
Шлюз сетевого уровня принимает запрос доверенного клиента
на конкретные услуги и после проверки допустимости запрошенного
сеанса устанавливает соединение с внешним хост-компьютером. По-

сле этого шлюз копирует пакеты в обоих направлениях, не осущес-
твляя их фильтрации.
Для устранения ряда недостатков, которые присущи фильтрую-
щим маршрутизаторам, межсетевые экраны должны использовать
дополнительные программные средства для фильтрации сообще-
ний сервисов типа TELNET и FTP. Такие программные средства на-
зываются полномочными серверами (серверами-посредниками), а
хост-компьютер, на котором они выполняются, – шлюзом приклад-
ного уровня.
Шлюз прикладного уровня исключает прямое взаимодействие
между авторизованным клиентом и внешним хост-компьютером.
Шлюз фильтрует все исходящие и входящие пакеты на прикладном
уровне. Связанные с приложениями серверы-посредники перенаправ-
ляют через шлюз информацию, которая генерируется конкретными
серверами.
Для достижения более высокого уровня безопасности и гибко-
сти шлюзы прикладного уровня могут быть объединены с фильтру-
ющими маршрутизаторами в одном межсетевом экране.
13.3.2. Программные методы защиты соединений
К программным методам защиты в сети Интернет могут быть

отнесены защищенные криптопротоколы, которые позволяют на-
дежно защищать соединения. К основным подходам и протоколам,
обеспечивающим защиту соединений, относятся SKIP-технология и
протокол защиты соединения, SSL.
13.3.2.1. SKIP-технология. Одной из технологий, предлагаю-

щей необходимые для применения в масштабах Internet универсаль-
ность и общность, является спецификация SKIP (Simple Key Mana-
gement or Internet Protocol – простой протокол управления крипто-
ключами в интерсети).
SKIP-технология – стандарт защиты трафика IP-пакетов, по-

зволяющий на сетевом уровне обеспечить защиту соединения
и передаваемых данных.
SKIP совместим с IP. Это достигается тем, что заголовок SKIP-

пакета является стандартным IP-заголовком, и поэтому защищенный
при помощи протокола SKIP пакет будет распространяться и марш-
рутизоваться стандартными устройствами любой TCP/IP-сети. От-
сюда вытекает и аппаратная независимость SKIP. Протокол SKIP
имплементируется в IP-стек выше аппаратно-зависимой его части
и работает на тех же каналах, на которых работает IP.
Протокол SKIP базируется на открытых криптографических
ключах. В качестве одного из возможных решений обеспечения за-
щищенности ключа предлагаются рекомендации стандарта X.509.
Однако кроме этого документа рассматриваются и другие представ-
ления сертификатов.
Существует два способа реализации SKIP-защиты трафика IP-
пакетов:
− шифрование блока данных IP-пакета;
− инкапсуляция IP-пакета в SKIP-пакет.
SKIP-пакет похож на обычный IP-пакет. В поле данных SKIP-
пакета полностью размещается в зашифрованном виде исходный
IP-пакет. В этом случае в новом заголовке вместо истинных адресов
могут быть помещены некоторые другие адреса. Такая структура
SKIP-пакета позволяет беспрепятственно направлять его любому
хост-компьютеру в сети Интернет, при этом межсетевая адресация
осуществляется по обычному IP-заголовку в SKIP-пакете. Конечный
получатель SKIP-пакета по заранее определенному разработчиками
алгоритму расшифровывает криптограмму и формирует обычный
TCP- или UDP-пакет, который и передает соответствующему модулю
(TCP или UDP) ядра операционной системы.
13.3.2.2. Протокол SSL/TLS. Соответствующее программное

обеспечение, как и сам протокол, сегодня используется очень широко
(в том числе программами Firefox, Safari, Internet Explorer).
SSL (Secure Sockets Layer – протокол защищенных сокетов)

создает защищенное соединение между двумя сокетами, ко-
торое позволяет клиенту и серверу договориться об исполь-
зуемых параметрах, произвести взаимную аутентификацию,
организовать тайное общение или обеспечить защиту целост-
ности данных.
Идея SSL заключается в том, что, по сути дела, между приклад-

ным и транспортным уровнями появляется новый уровень, прини-
мающий запросы от браузера и отсылающий их по TCP для передачи
серверу. Расположение SSL в структуре обычного стека протоколов
показано на рис. 13.2.
Рис. 13.2. Расположение SSL

в структуре обычного стека протоколов
После установки защищенного соединения основная задача SSL

заключается в поддержке сжатия и шифрования.
Если поверх SSL используется http, то этот вариант называ-

ется HTTPS (Secure http, защищенный HTTP), несмотря на
то, что это обычный HTTP.
Код авторизации сообщения это зашифрованный отпечаток, вы-

численный на основе содержимого сообщений. Для получения SSL-
пакета каждая из сторон объединяет данные фрагмента, код авто-
ризации сообщения, заголовки сообщения и шифруют это с исполь-
зованием согласованного секретного ключа. При получении пакета
каждая из сторон расшифровывает его и сверяет полученный код
авторизации сообщения со своим. Если они не совпадают, то пакет
был подделан, и наоборот.
Существует несколько версий протокола SSL. Протокол может
обладать разными дополнительными функциями, среди которых на-
личие или отсутствие сжатия, тот или иной алгоритм шифрования.
SSL поддерживает разнообразные криптографические алгоритмы.

Наиболее криптостойкий из них использует для шифрования трой-
ной DES (Data Encription Standard) с тремя отдельными ключами и
хеширование на основе алгоритмов SHA-1 (Secure Hash Algorithm)
и MD5 для обеспечения целостности данных. Такое сочетание алго-
ритмов работает довольно медленно, поэтому применяется в основ-
ном при выполнении банковских операций и в других приложениях,
в которых требуется высокий уровень защиты.
SSL состоит из двух субпротоколов, один из которых пред-

назначен для установления защищенного соединения – фаза
рукопожатия (Handshake), а второй – для использования этого
соединения, т. е. для передачи данных (рис. 13.3).
Во время рукопожатия клиент и сервер используют шифрова-

ние открытым ключом для согласования секретного ключа, исполь-
зуемого сторонами при передаче данных, т. е. во второй фазе.
Клиент инициирует рукопожатие, посылая hello серверу со
списком алгоритмов симметричного шифрования (Cipher Specs),
поддерживаемых клиентом. Сервер отвечает похожим hello-сообще-
нием с указанием наиболее подходящго алгоритма шифрования из
полученного списка. Далее сервер отправляет сертификат, который
содержит его публичный ключ.
Рис. 13.3. Передача данных при использовании SSL

Сертификат – это набор данных, который подтверждает под-

линность. Третья сторона, центр сертификации (CA), генерирует
сертификат и проверяет его подлинность. Чтобы получить сертифи-
кат, сервер должен использовать безопасные каналы для отправки
своего публичного ключа в центр сертификации. Он генерирует
сертификат, который содержит его собственный ID, ID сервера, пуб-
личный ключ сервера и другую информацию. СА создает отпеча-
ток (Digest) сертификата, который, по сути, является контрольной
суммой. Далее СА создает подпись сертификата (Certificate Signature),
которая формируется путем шифрования отпечатка сертификата тай-
ным ключом СА.
Для проверки сертификата сервера клиент использует публич-
ный ключ СА для расшифрования подписи. В дальнейшем клиент
самостоятельно использует отпечаток сертификата сервера и сверя-
ет его с расшифрованным (с помощью публичного ключа СА). Если
они не совпадают, то принимается решение о том, что сертификат был
подделан, и наоборот – при совпадении отпечатков сертификат яв-
ляется подлинным.
Клиент хранит у себя список публичных ключей, подтвержден-
ных центром сертификации. Многие браузерные приложения имеют
подобный список, находящийся непосредственно в их коде. Когда
клиент установил подлинность сервера (который также может за-
просить сертификат у клиента), используется шифрование откры-
тым ключом для согласования совместного секретного ключа при
обмене информацией (как и в технологиях на основе симметричной
криптографии).
Фаза рукопожатия завершается отправкой сообщений finished.
В фазе передачи данных (рис. 13.3) каждая сторона разбивает со-
общения, поступающие от браузера, на блоки размером до 16 Кбайт.
Если сжатие данных включено, каждый из этих блоков независи-
мо сжимается. К ним прикрепляются коды авторизации сообщений,
MAC (Message Authentication Code). Результат хешируется по согла-
сованному алгоритму (обычно MD5). Хеш добавляется к каждому
фрагменту в виде кода MAC.
Наконец, присоединяется заголовок фрагмента, и фрагмент пе-
редается по TCP-соединению.
Протокол SSL является универсальным средством, позволяющим
динамически защищать соединение при использовании любого при-
кладного протокола (FTP, TELNET, SMTP, DNS и т. д.).
SSL сконфигурирован на уровне приложения, непосред-

ственно над TCP, что позволяет более высокоуровневым
протоколам (таким как HTTP или протоколу электронной
почты) работать без изменений. Если SSL сконфигурирован
корректно, то сторонний наблюдатель может узнать лишь
параметры соединения (например, алгоритм шифрования), а
также частоту пересылки и примерное количество данных, но
не может читать и изменять их.
После того как протокол SSL был стандартизирован IETF (Internet

Engineering Task Force), он был переименован в TLS (Transport Layer
Security – протокол защиты транспортного уровня). Поэтому, хотя
названия SSL и TLS взаимозаменяемы, они все-таки отличаются, так
как каждое описывает разные версии протокола.
TLS был создан для работы над TCP, однако для работы с прото-
колами дейтаграмм, такими как UDP (User Datagram Protocol), была
разработана специальная версия TLS, получившая название DTLS
(Datagram Transport Layer Security).
Протокол TLS является двухуровневым и действует над транс-
портным протоколом. К первому уровню относятся TLS Handshake
Protocol, TLS Change Cipher Spec, TLS Alert Protocol. Ко второму
уровню относится TLS Record Protocol.
Стандартный порт для HTTP-трафика по протоколу SSL/TLS
(HTTPS) – 443.
Протокол TLS предназначен для предоставления трех услуг всем
приложениям, работающим над ним, а именно: шифрования, аутен-
тификации и целостности. Технически не все три могут использо-
ваться, однако на практике для обеспечения безопасности, как пра-
вило, используются все.
Для того чтобы установить криптографически безопасный ка-
нал данных, узлы соединения должны согласовать используемые ме-
тоды шифрования и ключи.
Как можно было заметить, установление соединения SSL (фаза
рукопожатия) является достаточно длительным и трудоемким про-
цессом. Поэтому в TLS есть несколько оптимизаций. В частности,
имеется процедура под названием abbreviated handshake, которая по-
зволяет использовать ранее согласованные параметры для восста-
новления соединения (если стороны устанавливали TLS-соединение
в прошлом). Имеется также дополнительное расширение процеду-

ры handshake – TLS False Start. Это расширение позволяет клиенту
и серверу начать обмен зашифрованными данными сразу после со-
гласования алгоритма шифрования, что сокращает процедуру на одну
итерацию.
Чаще всего в TLS используется обмен ключами по алгоритму
RSA. Этот алгоритм используется только в процедуре TLS handshake
во время первоначальной настройки соединения. После завершения
первой фазы, т. е. настройки туннеля, применяется симметричная
криптография: собщение в пределах текущей сессии зашифровано/
расшифровано именно установленными симметричными ключами
(например, DES). Это необходимо для увеличения быстродействия,
так как криптография с открытым ключом требует значительно больше
вычислительной мощности.
SSL/TLS противостоит таким угрозам, как:

– подмена идентификатора клиента или сервера (с помо-
щью надежной аутентификации);
– раскрытие информации (с помощью шифрования канала
связи);
– искажение данных (с помощью кодов целостности сооб-
щений).
13.3.2.3. Специализированные средства. К специализиро-

ванным программным средствам защиты информации от несанкци-
онированного доступа в компьютерных сетях также относятся так
называемые proxy-серверы (Proxy-Servers, proxy – доверенное лицо,
доверенность).
Идея использования proxy-сервера заключается в том, что весь
трафик сетевого/транспортного уровней между локальной и гло-
бальной сетями запрещается полностью – маршрутизация как тако-
вая отсутствует, а обращения из локальной сети в глобальную про-
исходят через специальные серверы-посредники.
Следует отметить, что, несмотря на все преимущества, этот метод
не дает достаточной защиты против атак на более высоких уровнях,
например на уровне приложения (вирусы, код Java и JavaScript).
Не следует забывать и о том, что встроенные средства защиты ин-
формации имеются также в сетевых операционных системах. Однако
они не всегда могут полностью решить возникающие на практике

проблемы.
В качестве примера рассмотрим некоторые из названных систем.
Система SFT (System Fault Tolerance – система устойчивости к
отказам) компании Novell включает три основных уровня.
1. Первый уровень (SFT Level I) предусматривает, в частности,
создание дополнительных копий FAT и Directory Entries Tables, не-
медленную верификацию каждого вновь записанного на файловый
сервер блока данных, а также резервирование на каждом жестком
диске около 2% от объема диска. При обнаружении сбоя данные пе-
ренаправляются в зарезервированную область диска, а сбойный блок
помечается как «плохой» и в дальнейшем не используется.
2. Второй уровень (SFT Level II) содержит дополнительные воз-
можности создания «зеркальных» дисков, а также дублирования дис-
ковых контроллеров, источников питания и интерфейсных кабелей.
3. Третий уровень (SFT Level III) позволяет применять в локаль-
ной сети дублированные серверы, один из которых является «глав-
ным», а второй, содержащий копию всей информации, вступает в
работу в случае выхода «главного» сервера из строя.
Система контроля и ограничения прав доступа в сетях NetWare
(защита от несанкционированного доступа) также содержит несколько
уровней:
− уровень начального доступа (включает имя и пароль пользо-
вателя, систему учетных ограничений, таких как явное разрешение или
запрещение работы, допустимое время работы в сети, место на жест-
ком диске, занимаемое личными файлами данного пользователя, и т. д.);
− уровень прав пользователей (ограничения на выполнение от-
дельных операций и/или на работу данного пользователя как члена
подразделения в определенных частях файловой системы сети);
− уровень атрибутов каталогов и файлов (ограничения на вы-
полнение отдельных операций, в том числе удаления, редактирова-
ния или создания, идущих со стороны файловой системы и касаю-
щихся всех пользователей, пытающихся работать с данными катало-
гами или файлами);
− уровень консоли файл-сервера (блокирование клавиатуры файл-
сервера на время отсутствия сетевого администратора до ввода им
специального пароля).
Однако полагаться на данную часть системы защиты информа-
ции в ОС NetWare можно не всегда. Свидетельством тому являются
многочисленные инструкции в Интернете и готовые доступные про-

граммы, позволяющие взломать те или иные элементы защиты от не-
санкционированного доступа.
То же замечание справедливо по отношению к более поздним
версиям ОС NetWare (вплоть до последней 6-й версии) и к другим
«мощным» сетевым ОС со встроенными средствами защиты инфор-
мации (Windows NT, UNIX). В связи с остротой проблемы защиты
информации наблюдается тенденция интеграции (встраивания) от-
дельных, хорошо зарекомендовавших себя и ставших стандартными
средств в сетевые ОС, а также разработка собственных «фирменных»
аналогов известным программам защиты информации.
Так, в сетевой ОС NetWare 4.1 предусмотрена возможность ко-
дирования данных по принципу «открытого ключа» (алгоритм RSA)
с формированием электронной подписи для передаваемых по сети
пакетов.
13.4. Безопасность беспроводных сетей и IoT
13.4.1. Безопасность Wi-Fi-сетей
С точки зрения практического использования беспроводных се-

тей очень актуальны вопросы безопасности и защиты передаваемых
данных, так как для перехвата данных в общем случае достаточно
просто оказаться в зоне действия сети.
Первоначально созданные в этой сфере технологии обладали
невысокой степенью защиты, данная проблема остается актуальной
и на сегодняшний день.
Для защиты передаваемых данных можно использовать разные
методы (много полезной информации на этот счет содержится в
упоминавшейся книге К. Митника «Искусство быть невидимым»).
Далее проанализируем особенности практической реализации не-
которых методов.
1. Использование MAC-адресов (Media Access Control ID). У каж-
дого адаптера есть свой абсолютно уникальный код, установленный
производителем. Эти адреса необходимо занести в списки адресов
доступа у используемых для организации сети точек доступа. Все
13.4. Безопасность беспроводных сетей и IoT 527
остальные WLAN-адаптеры с неправильными адресами будут ис-

ключены из сети автоматически.
Важно отметить, что хакерский инструмент под названием
aircrack-ng позволяет узнать авторизованный МАС-адрес подклю-
ченного к сети устройства. Затем хакер может сфальсифицировать
этот МАС-адрес для подключения к маршрутизатору.
Кстати, узнать адрес своего устройства довольно просто. Для это-
го, например, в ОС Windows необходимо выполнить следующее:
1) нажать кнопку Пуск;
2) напечатать cmd;
3) выбрать пункт Командная строка;
4) в открывшемся окне оболочки ввести команду getmac/v/fo list.
В списке данных будет МАС-адрес.
Тот же поиск на устройствах фирмы Apple реализуется еще проще:
в меню нужно выбрать пункт Системные настройки (System Preferen-
ces) – щелкнуть по значку Сеть (Network) – выбрать свой сетевой адап-
тер – выбрать МАС-адрес, нажав кнопку Дополнительно (Advanced).
Зная МАС-адреса, можно настроить маршрутизатор так, чтобы

он предоставлял доступ к сети только этим устройствам и
блокировал другие.
Чтобы можно было без труда подключить любое новое устрой-

ство к домашнему маршрутизатору, альянс совметимости беспро-
водного оборудования (Wi-Fi Alliance) разработал протокол WPS –
Wireless Protected Setup – защищенная настройка беспроводного
соединения. Этот протокол обычно реализован в виде кнопки на ро-
утере (! формально любой человек, находящийся рядом с роутером,
может нажать на эту кнопку), а также может быть представлен ко-
дом, передаваемым посредством технологии NFC (Near Field Com-
munication – ближняя бесконтактная связь).
Существуют офлайновые методы взлома WPS. Известный ме-
тод PixieDust позволяет хакеру получить доступ к беспроводному
маршрутизатору.
WPS целесообразно отключать, а каждое новое мобильное

устройство подключать вручную с использованием установ-
ленного пароля.
2. Использование ключей SSID (Service Set Identifier). Каждый

легальный пользователь сети должен получить от администратора
сети свой уникальный идентификатор SSID.
Все беспроводные маршрутизаторы по умолчанию транслиру-
ют данный идентификатор. Он включает в себя название модели мар-
шрутизатора и выглядит, например, так: Linksys WTR12GL. Транс-
лируя предустановленный идентификатор, можно скрыть, из какой
именно точки исходит сигнал. Но при этом каждый желающий легко
может узнать марку и модель используемого маршрутизатора. И если
этот человек знает уязвимости (они свойственны практически любым
устройствам и системам!) маршрутизатора, то может ими воспользо-
ваться в своих интересах. Получить доступ к настройкам маршрути-
затора можно, например, через веб-браузер или путем поиска сайтов,
на которых указывается, что нужно напечатать в адресной строке
браузера, чтобы подключиться напрямую к роутеру (см., например,
по ссылке: routeripaddress.com/). Набрав локальный URL-адрес, нужно
авторизоваться. Часто логином и паролем выступает фраза «admin».
Можно попробовать другие распространенные варианты. Оказавшись
в настройках маршрутизатора, нужно сменить установленный по
умолчанию пароль.
Вопрос использования безопасных паролей – один из ключе-
вых в решении проблемы защиты сетей, защиты данных от несанк-
ционированного доступа.
3. Шифрование данных. Первые два способа не обеспечивают
защиту от прослушивания и перехвата пакетов данных, поэтому за-
щитить сеть в случае перехвата данных можно только с помощью
шифрования.
Изначально стандарт 802.11 предусматривал аппаратный про-
токол шифрования данных, WEP (Wired Equivalent Privacy – за-
щищенность, эквивалентная беспроводным сетям), основанный на
алгоритме шифрования RC4. Однако в скором времени было обна-
ружено, что защищенную с его помощью сеть довольно легко взло-
мать. Ранние версии предусматривали шифрование с использова-
нием 40-битного ключа, более поздние – 64-, 128- или 256-битное
шифрование. Но даже такая длина ключа в WEP не может обес-
печить высокий уровень защиты сети, так как основная слабость
данной технологии заключается в статичности ключа шифрования.
Хотя при использовании данного ключа увеличивается время взлома
и количество пакетов данных, которые нужно перехватить, чтобы
вычислить ключ, сама возможность взлома остается. Это абсолютно

неприемлемо для определенного круга серьезных компаний и орга-
низаций.
Базовая защита передаваемых данных на основе протокола

шифрования WEP считается бесполезной с точки зрения обес-
печиваемого уровня криптостойкости, т. е. устойчивости к
взлому.
На смену WEP была создана новая технология WPA (Wi-Fi Pro-

tected Access), разрабатывающаяся IEEE совместно с Wi-Fi Alliance.
Главной особенностью протокола WPA является шифрова-

ние данных с динамически изменяемыми ключами и проверка
аутентификации пользователей. В отличие от WEP здесь ис-
пользуется протокол целостности временных ключей, TKIP
(Temporal Key Integrity Protocol), который подразумевает об-
новление ключей перед началом каждой сессии шифрования
и проверку пакетов на принадлежность к данной сессии. Про-
токол WPA2 является наиболее надежным.
Для аутентификации пользователей применяются сертификаты

RADIUS (Remote Authentication Dial-In User Service – сервер RADIUS
должен подтвердить право доступа). Такой метод подразумевает,
главным образом, корпоративное использование. Второй, упрощен-
ный, вариант аутентификации требует предварительной установки
разделяемых паролей на сетевые устройства (режим аутентифика-
ции PSK (Pre-Shared Keys)). Этот метод лучше всего применять в
домашних условиях или там, где не происходит обмена важной ин-
формацией.
Изначально WPA была разработана как технология, которая со
временем должна быть заменена новым стандартом 802.11i. Данный
стандарт, с учетом всех уже существующих наработок, призван обес-
печить надежное шифрование передаваемых данных, а также аутен-
тификацию пользователей сети.
В большинстве уже выпущенных Wi-Fi-устройств (точки досту-
па, сетевые карты) можно установить протокол WPA посредством
обновления программного обеспечения.
Когда в настройках маршрутизатора включено шифрование

(по умолчанию – обычно отключено), то остальные устройства, ко-
торые подключаются к маршрутизатору, должны поддерживать этот
режим. Большинство новых устройств автоматически поддерживают
действующий режим шифрования, однако для выпущенных ранее
это нужно проделывать вручную.
Таким образом, настроив WPA2 на маршрутизаторе, его нужно
также настроить на ноутбуке или на мобильном устройстве. При этом
следует иметь в виду, что отдельные ОС автоматически определяют
используемый алгоритм шифрования.
Некоторые интернет-провайдеры по умолчанию встраивают в
свои домашние маршрутизаторы функцию беспроводного доступа.
Возможность беспроводного подключения создает очевидные удоб-
ства, но такие маршрутизаторы при отсутствии определенного уровня
защиты могут стать источником проблем.
Дело в том, что мобильные устройства запоминают точки до-
ступа Wi-Fi, к которым они (их пользователи) подключались. Может
случиться так, что мобильное устройство поймало сигнал, совпада-
ющий с профилем одного из недавних подключений. Это может быть
не только точка доступа библиотеки или кафе, например, а фальши-
вая точка, которая была создана с помощью специальных приложе-
ний, например WireShark – известной программы для захвата и ана-
лиза сетевого трафика.
Некоторые мобильные средства выбирают сеть автоматически.
По утвержениям, например, Apple, произведенные этой компанией
мобильные средства осуществляют подключение в следующем по-
рядке:
1) защищенная сеть, к которой устройство было подключено в
последний раз;
2) другая защищенная сеть;
3) публичная незащищенная сеть.
Существуют возможности удалять из списка данные ненужных
или нежелательных соединений.
В Windows надо для этого (с некоторыми вариациями в раз-
личных версиях) сбросить флажок Подключаться автоматически
(Connect Automatically), который размещается рядом с именем точки
доступа. Подобная цель может быть достигнута при инициализации
цепочки операций: окно Панель управления (Control Panel) – вы-
брать пункт Центр управления сетями с общим доступом (Network
and Sharing Center) – щелкнуть мышью по названию-ссылке подклю-

ченной сети – нажать кнопку Свойства беспроводной сети (Wireless
Properties) – сбросить флажок Подключаться автоматически, если
есть в радиусе действия (Connect automatically when this network
in range).
То же в macOS: приложение Системные настройки (System
Preferences) – щелкнуть мышью по пункту Сеть (Network) – выбрать
пункт Wi-Fi – нажать кнопку Дополнительно (Advanced) – сбросить
флажок Запоминать сети, к которым подключается компьютер
(Remember network this computer has joined).
В устройствах под управлением iOS и Android также можно
«забыть» соответствующие Wi-Fi-соединения.
13.4.2. Особенности обеспечения безопасности IoT-сетей
Элементы IoT-сетей способны обмениваться данными без непо-

средственного участия человека. Превращение устройств в самосто-
ятельные интернет-узлы привело к значительному снижению без-
опасности системы.
Безопасность IoT-устройств обеспечивается, прежде всего,

сохранением целостности кода, проверкой подлинности поль-
зователей и устройств, присвоением пользователям прав вла-
дения (в том числе генерируемыми данными), а также воз-
можностью отражения виртуальных и физических атак.
Все «умные» устройства, подключенные к сети, передают через

нее соответствующие их функционалу данные, которые являются
мишенью для киберпреступников.
В первой половине 2019 г. специалисты из Лаборатории Кас-
перского с помощью ханипотов (ресурс, представляющий собой при-
манку для злоумышленников) зафиксировали 105 млн атак на IoT-
устройства, исходящих из 276 тыс. уникальных IP-адресов. Данный
показатель в семь раз больше, чем в первой половине 2018 г., когда
было обнаружено около 12 млн атак с 69 тыс. IP-адресов. Пользуясь
слабой защитой IoT-продуктов, киберпреступники прикладывают
много усилий для создания и монетизации IoT-ботнетов.
Количество кибератак на IoT-устройства стремительно увели-

чивается, поскольку все чаще пользователи и организации приоб-
ретают «умные» устройства, такие как маршрутизаторы или камеры
видеорегистрации, но при этом не все заботятся об их защите. Кибер-
преступники, в свою очередь, видят все больше финансовых возмож-
ностей в использовании таких устройств. Они используют сети зара-
женных «умных» устройств для проведения DDoS-атак или в каче-
стве прокси-сервера для других типов вредоносных действий.
К основным «слабым местам» IoT относятся:
− переход на IPv6;
− питание датчиков, камер и их сетевое подключение; известен
случай проникновения в систему через датчик температуры, разме-
щенный в аквариуме и даже через «умный» унитаз;
− проблемы стандартизации архитектуры и протоколов, серти-
фикация устройств;
− отсутствие поддержки со стороны производителей для устра-
нения уязвимостей;
− трудность или невозможность обновления ПО и ОС;
− использование текстовых протоколов и ненужных открытых
портов;
− легкость попадания в сеть при слабости одного из гаджетов;
− использование недостаточно незащищенных мобильных тех-
нологий и облачной инфраструктуры;
− возможность создания крупных ботнетов.
Поставщики услуг и устройств рынка IoT нарушают

принцип сквозной информационной безопасности (ИБ),
который рекомендован для всех ИКТ-продуктов и услуг. Со-
гласно этому принципу, ИБ должна закладываться на началь-
ной стадии проектирования продукта или услуги и поддер-
живаться вплоть до завершения их жизненного цикла.
Сети, построенные на совместимом через IPv4 оборудовании,

могут быть не в состоянии полностью интегрировать IPv6 без за-
мены своих последовательных терминальных серверов и серверов
устройств ввода-вывода Ethernet.
Для компаний важно ускорить выпуск нового устройства на
рынок. Некоторые производители предпочитают пожертвовать за-
щищенностью ради получения преимущества перед конкурентами.
Многие компании и сегодня выпускают умные гаджеты, не вклады-

вая большие ресурсы денег и времени в тестирование кодов, дора-
ботку систем безопасности. По этой причине рынок растет очень
быстро, технологии развиваются, но страдают пользователи.
Часто не обращается внимание на проблемы, возникающие как
на стороне владельцев устройств, так и на те, над которыми должны
задуматься разработчики.
В самом начале эксплуатации пользователю обязательно

нужно заменить фабричный пароль, который установлен
по умолчанию, на свой личный, поскольку фабричные па-
роли одинаковы на всех устройствах и не отличаются стой-
костью.
Боты позволяют злоумышленникам скрытно управлять заражен-

ными устройствами. С появлением интернета вещей возникло больше
возможностей для создания целых ботнетов, что связано с потерей
физическими устройствами автономии – многие вещи перестали
работать самостоятельно, они интегрируются в единую систему и не
способны функционировать в отрыве от нее. А как уже упоминалось
выше, процессы внутри IoT зачастую не контролируются.
Обязательным пунктом в обеспечении безопасности является
защита устройств (вещей), которая во многом заключается в защите
целостности кода. Необходима гарантия безопасности запуска кода –
криптографическая подпись. Также требуется и специальная защита
в процессе выполнения кода, позволяющая не допустить его пере-
писывания различными хакерскими программами.
К сожалению, делают это далеко не все. Поскольку не все при-
боры имеют встроенные средства ИБ-защиты, владельцам также сле-
дует позаботиться об установке внешней защиты, предназначенной
для домашнего использования, с тем, чтобы интернет-устройства не
стали открытыми шлюзами в домашнюю сеть или прямыми инстру-
ментами причинения ущерба.
Одним из направлений решения рассматриваемого комплекса

проблем с обеспечением безопасности IoT-сетей может стать
использование технологии блокчейн.
Эта технология позволяет сохранять протоколы обмена и ре-

зультаты взаимодействия устройств IoT в децентрализованной си-
стеме. Распределенная архитектура блокчейна обеспечивает более
высокую безопасность IoT-системы: даже если часть устройств бу-
дет подвержена взлому, это не скажется на работе системы в целом.
Распределенная модель системы позволяет избавиться от взломан-
ного устройства без ощутимого ущерба для взаимодействия между
«здоровыми» объектами.
В контексте безопасности блокчейн может использоваться в
сферах, где IoT развивается наиболее интенсивно. Например, это
управление аутентификацией, проверка работоспособности разных
сервисов, обеспечение неделимости информации и т. д. На сего-
дняшний день главная задача, которую поставили перед собой спе-
циалисты, – разработка на основе блокчейн-технологии распреде-
ленной базы данных и протокола обмена информацией между IoT-
устройствами.
Выводы
1. Криптография представляет собой инструмент, который ис-

пользуется для обеспечения конфиденциальности информации и
аутентичности.
2. Все алгоритмы шифрования можно разделить на два вида:
с симметричными (закрытыми) ключами и с ассиметричными (от-
крытыми) ключами. Алгоритмы с симметричными ключами искажа-
ют при шифровании значения битов последовательности итераций,
параметризованных ключом. Наиболее популярными алгоритмами
этого типа являются DES и AES. Алгоритмы с симметричным клю-
чом могут работать в режиме электронного шифроблокнота, пото-
кового шифра.
3. Алгоритмы с открытым ключом отличаются тем, что для шиф-
рования и дешифрации используют разные ключи, причем ключ де-
шифрации невозможно вычислить по ключу шифрования. Эти свой-
ства позволяют делать ключ открытым. Чаще всего применяется ал-
горитм RSA, основанный на сложности разложения больших чисел
на простые сомножители.
4. Для противодействия различным атакам в сетях в основном

используются межсетевые экраны и proxy-серверы, а также крипто-
зашищенные протоколы (технология SKIP, протокол SSL).
5. Межсетевой экран – это система межсетевой зашиты, кото-
рая позволяет разделить сеть на две или более частей, а также реа-
лизовать набор правил, определяющих условия прохождения паке-
тов с данными через границу из одной общей части сети в другую.
Межсетевые экраны пропускают через себя весь трафик, принимая
для каждого проходящего пакета решение – пропустить его или от-
бросить.
6. Идея использования proxy-сервера заключается в том, что весь
трафик сетевого/транспортного уровней между локальной и глобаль-
ной сетями запрещается полностью – маршрутизация как таковая
отсутствует, а обращения из локальной сети в глобальную проис-
ходят через специальные серверы-посредники. Очевидно, что при
этом обращения из глобальной сети в локальную становятся невоз-
можными в принципе.
7. SSL/TLS – набор криптографических технологий, обеспечи-
вающих аутентификацию, конфиденциальность и целостность дан-
ных. Это один из самых распространенных протоколов защиты в Ин-
тернете: он ясен и практически не требует дополнительных усилий
со стороны пользователей. Единственное, что нужно для настройки
SSL/TLS на сервере, – установить сертификат Х.509, предварительно
получив его от сертифицирующей организации (СА).
13.5. Использование стеганографии

в сетевых технологиях
13.5.1. Общая характеристика стеганографических

преобразований
Стеганография – это, в общем случае, наука о передаче скры-

тых сообщений или о скрытой передаче сообщений.
Компьютерная стеганография изучает способы сокрытия (Hi-
ding) информации в компьютерных данных, представляющих собой
различные файлы, программы, пакеты протоколов и т. п.
Компьютерная стеганография базируется на двух принципах.

Первый состоит в том, что файлы, содержащие оцифрованное изоб-
ражение или звук, могут быть до некоторой степени видоизменены
без потери функциональности, в отличие от других типов данных,
требующих абсолютной точности.
Второй принцип заключается в неспособности органов чувств
человека различать незначительные изменения в цвете изображе-
ния или качестве звука, что особенно легко использовать приме-
нительно к объекту-файлу, который несет избыточную, т. е. спря-
танную информацию, будь то 16-битный звук, 8- или 24-битное изо-
бражение.
Стеганографическая система (стегосистема*) – совокупность
средств и методов, которые используются для формирования скры-
того канала (Covert Channel) передачи информации.
Стеганосистема образует канал – стеганоканал, по которому
передается (или в котором хранится) заполненный тайной инфор-
мацией контейнер (модифицированный контейнер) – стеганокон-
тейнер (Steganographic Container). Контейнер в стеганографической
системе является носителем сокрытой информации.
Процесс внедрения или осаждения (Embedding) информации в
контейнер – прямое стеганографическое преобразование.
Процесс извлечения (Extraction) информации из стеганоконтей-
нера – обратное стеганографическое преобразование.
Ключом (подобно криптосистемам) в стеганографических си-
стемах выступает метод преобразования контейнера при осаждении
Ключей может быть несколько (в том числе – и на основе крип-
тографии). В этом случае стеганосистема будет относиться к классу
многоключевых.
На рис. 13.4 представлена общая схема преобразований в стега-
нографической системе.
Стеганография – это наука о способах передачи (хранения)

сокрытой информации, при которых скрытый канал органи-
зуется на базе и внутри открытого канала с использованием
особенностей восприятия информации.
*
В литературе встречаются два сокращенных термина, обозначающие саму стеганогра-
фическую систему или ее элементы: стегосистема и стеганосистема.
Секретный ключ Сообщение Пустой контейнер
Прямое стеганографическое преобразование
Модифицированный контейнер
Секретный ключ
Обратное стеганографическое преобразование
Сообщение
Рис. 13.4. Общая схема преобразований

в стеганографической системе
Для этой цели используются такие приемы:

– сокрытие факта существования скрытого канала связи;
– создание трудностей для обнаружения, извлечения или моди-
фикации передаваемых сокрытых сообщений внутри открытых со-
общений-контейнеров;
– маскировка сокрытой информации в протоколе.
Выделяют следующие основные направления применения ком-
пьютерной стеганографии:
1) тайная передача или тайное хранение информации без совер-
шения неправомерных, деструктивных действий по отношению к
чужим информационным ресурсам;
2) организация деструктивных действий по отношению к чужим
информационным ресурсам.
В первом случае реализуемые алгоритмы тайного хранения ин-
формации направлены на защиту прав интеллектуальной собствен-
ности. Здесь объектом авторского права выступает документ-контей-
нер, а тайная информация представляет собой авторские цифровые
водяные знаки или цифровые отпечатки пальцев. При этом стегано-
контейнер может как храниться в соответствующем репозитории, так
и передаваться по сети.
Во втором случае (деструктивные действия по отношению к
чужим ресурсам) речь идет об организации атак.
Сейчас наблюдается новый и опасный тренд: все больше

разработчиков вредоносного программного обеспечения и
средств кибершпионажа прибегают к использованию сте-
ганографии.
Сетевое взаимодействие является ключевой функцией лю-
бой вредоносной программы.
Этому способствуют три главные причины:

– стеганография позволяет скрыть сам факт загрузки/выгрузки
данных, а не только сами данные;
– стеганография помогает обойти DPI-системы, что актуаль-
но в корпоративных сетях; система DPI (Deep Packet Inspection –
глубокая проверка пакетов), как видно из названия, выполняет глу-
бокий анализ всех проходящих через нее пакетов. Термин «глубо-
кий» подразумевает анализ пакета на верхних уровнях модели OSI,
а не только по стандартным номерам портов. Помимо изучения
пакетов по стандартным паттернам, по которым можно однознач-
но определить принадлежность пакета определенному приложению
(по формату заголовков, номерам портов и т. п.), система DPI осу-
ществляет и так называемый поведенческий анализ трафика, ко-
торый позволяет распознать приложения, не использующие для об-
мена данными заранее известные заголовки и структуры данных.
Популярными становятся интегрированные в маршрутизаторы ре-
шения DPI;
– использование стеганографии может позволить обойти про-
верку в AntiAPT-продуктах, поскольку последние не могут обраба-
тывать все графические файлы (их слишком много в корпоративных
сетях, а алгоритмы анализа довольно дорогие).
Advanced Persistent Threat (APT) дословно переводится как
«постоянная угроза повышенной сложности»; APT являются кибер-
угрозами, к которым организации менее всего готовы. Это угрозы,
использующие передовые методы для предотвращения обнаруже-
ния, а также гарантирующие устойчивость на скомпрометированном
хосте при перезагрузках.
Механизмы AntiAPT-продуктов действуют на трех уровнях:
1) анализ сетевого трафика;
2) анализ контента;
3) анализ поведения рабочих станций.
Современные методы компьютерной стеганографии условно

можно поделить на 2 класса:
1) методы сокрытия информации в контенте, а также в
альтернативных потоках данных (Alternate Data Streams,
ADS) файловой системы NTFS;
2) методы сокрытия информации в структуре сетевых
протоколов.
13.5.2. Стеганографические методы на основе модификации

контента
Методы рассматриваемого класса, как правило, основаны на

внедрении тайной информации в документ-контейнер (файл аудио-
видео- или текстовой информации) путем модификации параметров
этого документа (цвет, пространственно-геометрические параметры
структурных элементов, параметры форматов растровой и вектор-
ной графики и др.), а также на использовании специальных свойств
компьютерных форматов данных*.
Здесь одним из наиболее распространенных, адаптированных
к различным реализациям, в том числе – и на сетевом уровне, явля-
ется метод наименее значащих битов, НЗБ (Least Significant Bit,
LSB). Известная универсальность метода обусловлена конечными
размерами различных структурных блоков двоичных данных, сетевых
пакетов и т. п.: младшие биты каждой структурной единицы бинар-
ной последовательности являются менее значимыми, чем старшие.
13.5.2.1. Сущность и особенности метода LSB. Метод LSB

основывается на ограниченных способностях зрения или слуха че-
ловека, вследствие чего людям тяжело различать незначительные ва-
риации цвета или звука.
Если документ-контейнер рассматривать на основе определен-
ной цветовой модели (bitmap или RGB), то младшие разряды циф-
ровых отсчетов, формирующих изображение, содержат очень мало
полезной информации. Их заполнение (модификация) дополнитель-
ной информацией практически не влияет на качество восприятия, что
и дает возможность скрытия конфиденциальной информации.
*
Дополнительную информацию можно найти в изданиях [6, 27, 43–47].
Рассмотрим это на примере 24-битного растрового RGB-изоб-

ражения. Каждая точка кодируется тремя байтами, каждый из кото-
рых определяет интенсивность красного (Red), зеленого (Green) и си-
него (Blue) цветов. Совокупность интенсивностей цвета в каждом из
трех каналов определяет оттенок пикселя.
Представим пиксель тремя байтами в битовом виде, как это по-
казано на рис. 13.5.
Рис. 13.5. Пример, показывающий принцип

реализации метода LSB
Младшие биты (справа) дают незначительный вклад в изобра-

жение по сравнению со старшими. Замена одного или двух младших
битов для человеческого глаза будет почти незаметна.
Эксперименты показывают, что не менее, чем в 98% случаев,
эксперт не в состоянии визуально установить наличие модификаций
до 3-х младших битов текстовых и графических документов.
Пример 13.3. Пусть необходимо в этом пикселе скрыть 6 би-
тов – 101100. Разделим их на 3 пары и заместим этими парами млад-
шие биты в каждом канале. Получим новый цвет, очень похожий на
первоначальный. Оценим эффективность такого метода: используя
2 бита на канал, мы сможем прятать 3 байта информации на 4 пик-
селя изображения. А это уже где-то 25% картинки. Например, в ме-
габайтовом файле можно спрятать 250 Кбайт информации, причем
для невооруженного глаза этот факт останется незаметным.
Недостатки метода LSB:
1) скрытое сообщение легко разрушить, например при сжатии
или отображении;
2) не обеспечена секретность встраивания информации. Точно

известно местоположение зашифрованной информации. Для пре-
одоления этого недостатка можно встраивать информацию не во все
пиксели изображения, а лишь в некоторые из них, определяемые по
псевдослучайному закону в соответствии с ключом, известным только
законному пользователю.
Альтернативным подходом является моделирование характерис-
тик поведения LSB. Встраиваемое сообщение будет в этом случае
частично или полностью зависеть от контейнера. Процесс модели-
рования является вычислительно трудоемким, кроме того, его надо
повторять для каждого отдельно взятого контейнера. Главным недо-
статком этого метода является то, что процесс моделирования может
быть повторен нарушителем, возможно обладающим большим вы-
числительным ресурсом, создающим лучшие модели, что приведет
к обнаружению скрытого сообщения.
При использовании любого стеганографического метода на

основе избыточности среды существует возможность по-
высить степень надежности скрытия, жертвуя при этом объ-
емом скрываемых данных.
13.5.2.2. Сущность стеганографических методов на основе

альтернативных потоков файловой системы NTFS. NTFS – New
Technology File System – файловая система новой технологии – стан-
дартная файловая система для семейства операционных систем Win-
dows NT фирмы Microsoft. NTFS поддерживает хранение метаданных.
Как известно, в файловой системе NTFS каждый файл (или ка-
талог) представлен как набор отдельных элементов, называемых ат-
рибутами. Такие элементы, как имя файла, параметры безопасности
и даже данные, являются атрибутами файла.
Каждый атрибут идентифицирован кодом типа атрибута и, не-
обязательно, – именем атрибута. Так, например, имя файла содер-
жится в атрибуте Filename, содержимое – в атрибуте Data, сведения
о владельце и правах доступа – в атрибуте Security Descriptor и т. д.
Диск NTFS условно делится на две части. Первые 12% диска
отводятся под так называемую MFT-зону – пространство, в которое
растет метафайл MFT (Master File Table – общая таблица файлов). За-
пись каких-либо данных в эту область невозможна. MFT-зона всегда
держится пустой. Это делается для того, чтобы самый главный, слу-
жебный файл (MFT) не фрагментировался при своем росте. Осталь-
ные 88% диска представляют собой обычное пространство для хра-
нения файлов.
Каждый файл в NTFS имеет несколько абстрактное строение –
у него нет как таковых данных, а есть потоки (Streams). Главный из
потоков хранит в себе данные файла. Но большинство атрибутов фай-
ла хранятся в потоках. Таким образом, получается, что сущностью
файла является только его номер в MFT, а все остальное – опцио-
нально. Это дает возможность, например, прикрепить к файлу еще
один поток, записав в него любые данные.
Содержимое каждого файла (атрибут $DATA) представляет

собой набор потоков, в которых хранятся данные. Для каж-
дого файла или каталога в NTFS существует как минимум
один основной поток, в котором, собственно, и хранятся дан-
ные. Кроме основного потока, с файлом или каталогом мо-
гут быть связаны и альтернативные потоки (Alternate Data
Stream, ADS), которые также могут содержать некоторые дан-
ные, никак не связанные с данными основного потока.
Основной поток файла не имеет имени и обозначается $DATA: " ".

Альтернативные же потоки обязательно имеют имя, например $DATA:
"StreamData" – альтернативный поток с именем StreamData.
При выполнении функций записи данных в файл они помеща-
ются в основной поток данных. Когда мы открываем, например, блок-
нотом текстовый файл, то получаем доступ именно к данным основ-
ного потока. Данные же альтернативных потоков при использовании
стандартного доступа не отображаются, как впрочем, нет даже ни-
каких признаков их наличия. Тем не менее, данные альтернативных
потоков, связанные с конкретным файлом или каталогом, могут быть
доступны с помощью специальных программ или при использова-
нии особого синтаксиса в командной строке Windows. Например,
запись в файл stegano.txt текста echo Main stream Data > stegano.txt
означает запись в основной неименованный поток. Но можно из-
менить команду: echo Alternate stream Data > stegano.txt:stream1,
это значит записать текст Alternate stream Data в альтернативный
поток со stegano.txt:stream1.
Альтернативные потоки данных дают возможность до-

бавлять к файлу скрытую информацию. Все данные, запи-
сываемые в файл, по умолчанию попадают в основной поток
данных. Когда мы открываем файл, то видим именно основной
поток, альтернативные же потоки скрыты от пользова-
теля и не отображаются с помощью обычных средств.
Такой подход ассоциируется со стеганографией.
Альтернативные потоки нельзя увидеть стандартными спосо-

бами, хотя некоторые программы «умеют» читать скрытые в них
данные. Для работы с потоками можно использовать командную
строку. Перечислим некоторые средства для работы с альтернатив-
ными потоками.
Начиная с WindowsVista, команда DIR с ключом /r позволяет
просматривать не только файлы, но и альтернативные потоки. При-
мер показан на рис. 13.6.
Рис. 13.6. Результат просмотра альтернативных потоков

с помощью команды DIR /r
Для работы с альтернативными потоками существует несколько

сторонних утилит, например консольная утилита Streams от Sysinternals.
NTFS Stream Explorer – программа для работы с альтернативными
файловыми потоками NTFS и другими системными потоками, в том
числе с расширенными атрибутами.
Альтернативные потоки используются как самой Windows, так
и некоторыми программами.
К примеру, Internet Explorer делит сеть на 4 зоны безопасности

и при загрузке файлов добавляет к ним метки, содержащие инфор-
мацию о зоне, из которой они были загружены.
13.5.3. Стеганографические методы на основе использования

структуры сетевых протоколов
13.5.3.1. DNS-туннелирование. Как мы уже знаем из главы 5,

система доменных имен (DNS) – по сути, огромная телефонная книга
интернета. DNS представляет собой ключевой компонент, обеспечи-
вающий функционирование корпоративных и публичных компью-
терных сетей, поскольку DNS является базовым протоколом, позво-
ляющим администраторам делать запросы в базу данных DNS-сервера.
Пользуясь приведенными особенностями DNS, злоумышленники
разработали технологию, позволяющую скрытно общаться с компью-
тером-жертвой путем внедрения управляющих команд и данных в
протокол DNS. Эта идея и лежит в основе DNS-туннелирования. Гиб-
кость протокола DNS позволяет встраивать произвольную информа-
цию в качестве доменного имени, из-за чего возникает трудность в
различении вредоносных и безопасных запросов. Одним из способов
сокрытия кибератаки служит встраивание или инкапсуляция прото-
колов различных уровней модели OSI в доменное имя DNS-запроса.
Методика встраивания произвольной информации в запросы

DNS называется DNS-туннелированием, так как подразуме-
вает создание логического соединения между двумя конеч-
ными точками сети – туннеля.
Первое обсуждение такой атаки проводилось Оскаром Пирса-

ном (Oskar Pearson) в почтовой рассылке Bugtraq в апреле 1998 г.
К 2004 г. DNS-туннелирование было представлено на Black Hat как
хакерский метод в презентации Дэна Каминского (Dan Kaminsky).
Таким образом, идея очень быстро переросла в настоящий инстру-
мент атаки.
Известный способ передачи информации через DNS-туннель –
кодирование данных в субдомены с помощью алфавитного кодиров-
щика отправителя. При этом DNS-сервер с механизмом рекурсивной
обработки запроса (см. п. 5.3.3) инициирует запрос авторитатив-

ному DNS-серверу (здесь находится официальная база данных ресурс-
ных записей зоны DNS; в базе указаны IP-адреса хост-серверов (на-
пример, веб-серверов, почтовых серверов) и серверов имен в зоне
авторитативного DNS-сервера), который в случае DNS-туннелиро-
вания управляется злоумышленником.
Напомним: в случае рекурсивного запроса DNS-сервер опраши-
вает серверы (в порядке убывания уровня зон в имени), пока не най-
дет ответ или не обнаружит, что домен не существует (на практике
поиск начинается с наиболее близких к искомому DNS-серверов, если
информация о них есть в кэше и не устарела, сервер может не запра-
шивать другие DNS-серверы).
Благодаря тому, что данный протокол не блокируется межсете-
выми экранами, DNS-туннелирование широко используется как для
передачи команд управления зараженному узлу, так и для эксфиль-
трации данных.
Под термином эксфильтрация данных в широком смысле по-
нимается неавторизированная передача произвольной информации,
которая рассматривается как форма кражи данных.
Скрытый канал на основе DNS-туннелирования может ис-

пользоваться в двух основных целях:
1) для передачи украденной информации, корпоративных сек-
ретов, интеллектуальной собственности путем кодирования
и инкапсуляции данных в запрашиваемое доменное имя – тун-
нелирование системы доменных имен;
2) для получения команд от удаленного злоумышленника, в
частности для организации распределенной ботнет-сети – ге-
нерирование доменных имен; основной задачей является со-
крытие реального месторасположения серверов злоумышлен-
ника; эту технологию обычно называют Управление и контроль
(Command & Control, C2).
Рассмотрим порядок организации DNS-туннеля.

Для этого целесообразно вернуться (см. п. 5.3.3) к рассмотрению
функцианальностей DNS. Система работает в режиме «запрос – от-
вет». Допустим, некто (X) ввел в строке своего браузера qwerty.com.
Рассмотрим работу DNS более подробно, пошагово.
1. Браузер, которым пользуется Х, об IP-адресе varonis.com ни-

чего не знает и с запросом IP-адреса через специальную программу –
резолвер (Resolver) обращается к локальному серверу имен.
Локальный DNS-сервер – это сервер имен локальной сети или
DNS-сервер интернет-провайдера, услугами которого пользуется Х.
Браузеру известно о существовании этого локального DNS, поскольку
при настройках сетевого подключения Х прописал IP-адреса DNS-
серверов (предпочитаемого и/или альтернативного), один из ко-
торых будет отвечать на запросы, посылаемые браузером через ре-
золвер – это и есть локальный или местный сервер сети клиента Х.
Для того чтобы посмотреть IP-адрес локального DNS-сервера, до-
статочно посмотреть свойства сетевого подключения, используемого
на компьютере.
Резолверы играют важную роль в DNS: DNS-резолвер кэширует
информацию. К примеру, сайт varonis.com расположен на машине с
IP-адресом 35.239.147.27. Поэтому кэши резолверов со всего мира бу-
дут содержать следующее соответствие: varonis.com → 35.239.147.27.
2. Запрос на IP-адрес varonis.com доходит до местного сервера
имен. Резолвер по возможности просматривает свой кэш на наличие
необходимого IP-адреса. Если у резолвера есть необходимый IP-ад-
рес, то он возвращает его клиенту Х.
Предположим, что этот сервер о данном IP-адресе ничего не зна-
ет и посылает запрос одному из корневых серверов «.» (root).
3. Корневой сервер передает локальному серверу (резолверу) IP-
адрес сервера, который поддерживает зону .соm, т. е. пересылает Top-
Level Domain, TLD.
4. Далее по полученному адресу локальный сервер имен обра-
щается к DNS-серверу, который поддерживает .соm.
5. Этот DNS-сервер, в свою очередь, по полученному запросу
передает IP-адрес сервера, который поддерживает зону qwerty.com.
6. Местный DNS-сервер с запросом IP-адреса varonis.com обра-
щается к DNS-серверу зоны varonis.com; этот сервер называется ав-
торитативным; он хранит фактические записи сопоставления имени
хоста с IP-адресом, который возвращается резолверу.
7. Локальный сервер имен получает IP-адрес varonis.com от ав-
торитативного DNS-сервера зоны varonis.com.
8. Получив адрес varonis.com, локальный DNS-сервер сообщает
его браузеру клиента Х.
Результат операции представлен на рис. 13.7.
Рис. 13.7. Пример работы DNS в режиме «запрос – ответ»
Вместо рассмотренного запроса (ввода вполне легитимного URL)

можно ввести тайное сообщение (рис. 13.8) – простейший способ
использования туннеля.
Источник: https://habr.com/ru/company/varonis/blog/513160/.
Рис. 13.8. Пример передачи тайного сообщения
через DNS-туннель
Вместо разрешения запроса на сервере злоумышленник может

извлечь из полученного домена нужную ему информацию. Напри-
мер, таким способом можно передать информацию о системе поль-
зователя. В ответ DNS-сервер злоумышленника также посылает не-
кую информацию в зашифрованном виде, передавая ее в доменном
имени более высокого уровня. Таким образом, злоумышленник имеет
в запасе для каждого DNS-резолвера 255 символов. Налажен скры-
тый канал для передачи данных. А главное – невооруженным взгля-
дом этого не видно.
В традиционной бот-сети, созданной на основе рассматривае-
мой технологии DNS-туннелирования, боты обычно заражаются тро-
янским конем и используют интернет-ретранслятор (Internet Re-
lay Chat, IRC – это протокол, определяющий набор правил для связи
между клиентом и сервером через некоторый механизм связи, такой
как чаты) для связи с центральным сервером C&C (Command & Con-
trol, C2). В зависимости от цели и структуры ботнета, сервер C&C
может выдавать команды, например, для начала атаки DDoS (рас-

пределенного отказа в обслуживании).
Существуют различные способы распознавания DNS-тунне-
лирования. Например, очевидно, что доменные имена для резолва
при туннелировании значительно длиннее, чем обычно. Кроме того,
такие имена, поскольку они, как правило, сгенерированы компьюте-
ром, значительно разнятся от тех, которые созданы на основе есте-
ственных языков, что дает возможность использования методов обра-
ботки естественных языков с целью детектирования угроз сетевой
безопасности, связанных с DNS-тунеллированием.
На практике применяются два основных метода обнаруже-

ния DNS-туннелирования:
1) анализ нагрузки;
2) анализ трафика.
При анализе нагрузки защищающаяся сторона ищет аномалии

в данных, передаваемых в обе стороны, которые могут быть обна-
ружены статистическими методами: необычно выглядящие имена
хостов, тип DNS-записи, которая не используется настолько часто,
или нестандартная кодировка.
При анализе трафика оценивается число DNS-запросов к каж-
дому домену по сравнению со среднестатистическим уровнем. Зло-
умышленники, использующие DNS-туннелирование, генерируют
большой объем трафика (например, при организации DDoS-атак –
десятки тысяч запросов в течение сравнительно небольшого проме-
жутка времени) на сервер.
Для проверки того, насколько эффективно сеть компании или
организации способна обнаруживать DNS-туннели и/или противо-
действовать им, можно воспользоваться готовыми утилитами DNS-
туннелирования. Например, программа Iodine – позволяет туннели-
ровать данные IPv4 через DNS-сервер; доступна на платформах Li-
nux, MacOS, FreeBSD и Windows; можно использовать в различных
ситуациях, когда доступ в Интернет защищен брандмауэром, но раз-
решены DNS-запросы.
Для обнаружения туннелирующих атак также можно восполь-
зоваться готовыми утилитами, например dnsHunter – Python-мо-
дуль, написанный для Mercenary Hunt Framework и Mercenary-Linux.
Считывает pcap-файлы, извлекает DNS-запросы и производит сопо-

ставление геолокации, что помогает при анализе; reassemble_dns –
утилита на Python, читающая pcap-файлы и анализирующая DNS-
сообщения.
13.5.3.2. Стеганография в скрытых каналах на основе

стека TCP/IP.
Основные модели и типы скрытого сетевого взаимодействия.
Как мы уже знаем, скрытый канал может существовать в любом
открытом канале, в котором существует некоторая избыточность.
А избыточность является непременным атрибутом практически лю-
бого сетевого протокола. И именно в отношении сетевых протоколов
Б. Лэмпсон (B. Lampson) в 1973 г. ввел понятие скрытого канала [49].
Скрытые каналы в протоколах компьютерных сетей анало-

гичны методам сокрытия информации в звуковом, визуаль-
ном или текстовом контенте. В то время как классическая
стеганография требует какой-либо формы контента в каче-
стве прикрытия, скрытые каналы требуют некоторого се-
тевого протокола в качестве носителя скрытой информа-
ции, передаваемой от одного абонента к другому.
Для количественной характеристики методов сетевой стегано-

графии обычно используют два основных параметра:
1) пропускную способность скрытого канала – объем секретных
данных, который может быть передан по каналу в единицу времени;
2) вероятность обнаружения скрытого канала или стеганогра-
фическая стойкость используемого метода сокрытия передаваемых
данных.
Существуют различные модели скрытого сетевого взаимодей-
ствия двух абонентов (А и В) в зависимости от того, являются ли А
и В отправителем и получателем открытого канала (Overt Sender и
Overt Receiver) или же они действуют как посредники (С) и мани-
пулируют открытым каналом между ничего не подозревающими
пользователями (как это мы анализировали, например, на основе DNS-
туннелирования).
Если отправитель (А) скрытого канала также является отправи-
телем открытого канала, он может манипулировать открытым каналом
по желанию (например, чтобы максимизировать пропускную способ-

ность скрытого канала или его скрытность). Однако иногда скрытый
отправитель может быть не в состоянии создать открытый канал или
может не делать этого для большей скрытности. В этом случае отпра-
витель может выступать в качестве посредника, встраивая скрытый
канал в существующий открытый канал. Очевидно, что тогда скры-
тый отправитель не имеет контроля над открытым каналом, и мак-
симальная пропускная способность скрытого канала зависит от су-
ществующего открытого канала.
Скрытый получатель (В) может быть получателем открытого
канала, но для повышения скрытности получатель также может быть
посредником (С), извлекающим скрытую информацию из открытого
сообщения, предназначенного для невиновного получателя. Затем
скрытый приемник должен (если возможно) удалить скрытый канал,
предотвращая возможное обнаружение приемником или любыми дру-
гими промежуточными узлами.
На рис. 13.9 показаны возможные комбинации скрытых место-
положений отправителя и получателя. Фактический сценарий связи
зависит от применения скрытого канала.
Overt Sender С С Overt Receiver
А В
А В
А В
А А
Рис. 13.9. Модели взаимодействия абонентов на основе скрытых каналов
Если скрытый канал используется для обхода цензуры, скрытые

и явные отправитель/получатель, вероятно, будут идентичными. Если
же канал используется хакером для внешней фильтрации данных,
то скрытые отправитель и получатель, скорее всего, будут посред-

никами (например, отправитель может находиться внутри стека
сетевых протоколов скомпрометированной машины, а получатель –
на маршрутизаторе, близком к краю скомпрометированной сети).
Традиционно скрытые каналы (Covert Channels) подразделяются
(хотя принципиального различия между ними нет):
1) на каналы памяти (скрытые каналы памяти);
2) каналы временные́ (скрытые каналы времени).
Каналы памяти (Storage Channel) предполагают прямую/косвен-
ную запись значения объекта (осаждение тайной информации) от-
правителем и прямое/косвенное считывание значений объекта (из-
влечение тайной информации) получателем. При этом обычно под-
разумевается, что у процессов с разными уровнями безопасности
имеется доступ к некоторому ресурсу (например, к некоторым сек-
торам диска).
Тайная информация в скрытом канале памяти может быть

размещена, например, в длинах пакетов или полях заголов-
ков пакетов.
Временные́ каналы (Timing Channels) включают сигнальную ин-

формацию отправителя, модулируя (осаждая тайную информацию)
использование ресурсов (например, использование ЦП) с течением
времени таким образом, чтобы получатель мог наблюдать за этим и
декодировать (извлекать) информацию.
Тайная информация в скрытом временном ́ канале может

быть внедрена путем изменения скоростей передачи пакетов
(или времени между пакетами) на основе их сортировки.
Данные подходы предполагают использование только одного

сетевого протокола из стека ТСР/IP для создания тайного канала. Мо-
дификация протокола может быть применена либо к протокольным
блокам данных PDU (Protocol Data Unit), либо к временным отноше-
ниям между обмениваемыми PDU, либо одновременно к обоим из
указанных параметров. Этот вид сетевой стеганографии можно на-
звать внутрипротокольной стеганографией.
Кратко проанализируем методы, на основе которых создаются

скрытые каналы.
Методы создания скрытых каналов памяти. Скрытые каналы
могут быть закодированы в неиспользуемых или зарезервированных
битах заголовков кадров или пакетов. Это особенно проблематично,
если стандарты протоколов не требуют конкретных значений или по-
лучатели не проверяют стандартные значения. На этой основе могут
создаваться следующие типы скрытых каналов:
− неиспользуемые биты поля типа обслуживания (Type of Ser-
vice, ToS);
− Заголовок IP;
− поля Флагов заголовка TCP;
− бит Don’t Fragment (DF) заголовка IP; биту DF можно при-
своить произвольное значение, если отправителю известен размер
Максимальной единицы передачи (Maximum Transfer Unit, MTU)
пути к получателю и он отправляет только те пакеты, которые по
размерам меньше MTU;
− поле Указателя важности (TCP Urgent Pointer, применяется
для указания данных с высоким приоритетом) – 16-битное поле, ко-
торое принимается во внимание только для пакетов с установленным
флагом URG;
− сегмент Флага сброса соединения (TCP Reset – сегменты TCP
с установленным флагом RST обрывают соединение и обычно не
содержат данных);
− поля заголовка IPv6 Класс трафика (Traffic Class) и Метка
потока (Flow Label);
− заголовок Параметров назначения IPv6; этот заголовок со-
держит необязательную информацию об узле назначения пакета: если
тип опции установлен таким образом, что получатель игнорирует эту
опцию, скрытая информация может быть напрямую закодирована как
данные опции.
Скрытая информация может быть закодирована в кадрах или
пакетах: например, кадры Ethernet должны быть дополнены до ми-
нимальной длины 60 байтов. Если стандарт протокола не требует
определенных значений байтов заполнения, можно использовать лю-
бые данные.
Заполнение заголовка IP и TCP до 4-байтовых границ (в случае
наличия опций заголовка) и заполнение в IPv6 также может исполь-
зоваться для передачи скрытых данных.
Размещение тайного сообщения в поле Контрольной суммы за-

головка (Header Checksum) IP: поле контрольной суммы модифици-
руется для размещения секретной информации и добавляется расши-
рение IP-заголовка с выбранным содержимым таким образом, чтобы
измененная контрольная сумма снова была правильной; тот же ме-
тод можно использовать для контрольной суммы заголовка TCP,
однако поскольку этот метод требует добавления расширения заго-
ловка, скрытая информация также может быть размещена непосред-
ственно в расширении заголовка.
Поскольку контрольная сумма в пакетах UDP не является обя-
зательной, можно использовать его наличие или отсутствие для внед-
рения одного бита скрытой информации на пакет UDP.
В беспроводных сетях используются соединения с переменной
частотой ошибок по битам (BER), они дают возможность вводить
искусственные поврежденные кадры. Все станции, которые являют-
ся частью скрытого канала, обмениваются данными, отправляя неко-
торый процент своих кадров с намеренно созданными неверными
контрольными суммами. Другие станции отбрасывают поврежден-
ные кадры.
К тому же, разработаны иные возможности для создания скры-
тых каналов памяти.
Методы создания скрытых каналов времени. К наиболее из-
вестным относятся методы, созданные на основе модификации сле-
дующих параметров сетевых протоколов:
− использование поля Время жизни (Time-to-Live, TTL); в IPv4
TTL представляет собой 8-разрядное поле IP-заголовка, которое оп-
ределяет максимальное количество хопов (hop – прыжок, участок
между маршрутизаторами), которые пакет может пройти. Наличие
этого параметра не позволяет пакету бесконечно ходить по сети. Каж-
дый маршрутизатор при маршрутизации должен уменьшать значе-
ние TTL на единицу, но некоторые шлюзы можно настроить, чтобы
игнорировать это. Пакеты, не достигшие адресата, но время жизни
которых стало равно нулю, уничтожаются, а отправителю посыла-
ется сообщение ICMP Time Exceeded. Если требуется, чтобы пакет не
был маршрутизирован, т. е. был принят только в своем сегменте, то
выставляется TTL = 1. На отправке пакетов с разным временем жиз-
ни основана трассировка их пути прохождения (Traceroute). Макси-
мальное значение TTL = 255. Обычное начальное значение TTL = 64
(Linux, Mac, Android, iOS), TTL = 128 (Windows).
Скрытый канал на основе поля TTL заголовка IP в качестве ре-

шения для отслеживания IP-потоков без использования поля адреса
источника предусматривает участие маршрутизаторов, которые мо-
дулируют поле TTL-пакетов, чтобы нижестоящие получатели могли
однозначно идентифицировать свой восходящий маршрутизатор. При-
мерно по этому же алгоритму создаются скрытые каналы на основе
поля Предела перехода IPv6 (эквивалент IP TTL);
− использование полей Временных меток (Timestamp Fields);
скрытая информация осаждается в младшие биты временных меток
отправителя, поскольку они фактически случайны для медленных
TCP-соединений. Вместо прямого изменения меток времени алго-
ритм замедляет поток TCP, чтобы метки времени на пакетах были
действительными при их отправке. Алгоритм сравнивает младший
значащий бит (LSB) каждого TCP-сегмента, сгенерированного си-
стемой, с текущим скрытым битом для отправки. Если младший бит
соответствует скрытому биту, TCP-сегмент отправляется немедленно,
в противном случае он задерживается на один тик временной метки;
− скрытый канал, реализованный посредством сортировки па-
кетов; набор из n пакетов, составляющих сообщение, можно отсор-
тировать в виде n! последовательностей; требуется, чтобы порядко-
вые номера пакетов определяли их исходный порядок в переданном
сообщении; вместо того, чтобы фактически сортировать пакеты, этот
метод изменяет только порядковые номера, тем самым сохраняя по-
лезную нагрузку, отправляемую через несколько пакетов, нетронутой.
Авторы предложили использовать порядковый номер заголовка аутен-
тификации IPSec (AH) или инкапсуляции полезной нагрузки безопас-
ности (ESP) [50], но, вероятно, можно использовать и другие поряд-
ковые номера (например, порядковый номер TCP).
Методы создания межпротокольных скрытых каналов. В от-
личие от внутрипротокольной стеганографии скрытые каналы можно
создавать на основе использования отношения между двумя или
более различными сетевыми протоколами для обеспечения секрет-
ной связи. Разработчики этого направления [42] определили его как
Padding Steganography, PadSteg (Padding Steganography – стеганогра-
фия заполнения*), или межпротокольную стеганографию. PadSteg
использует Ethernet (IEEE 802.3), ARP (Address Resolution Protocol),
TCP и другие протоколы. Известно, что в IP-сетях протокол ARP
*
Padding (англ.) – заполнение, набивка.
используется в основном для определения аппаратного MAC-адреса

(Media Access Control), когда известен только адрес сетевого прото-
кола (IP-адрес). ARP важен для надлежащего функционирования лю-
бой коммутируемой локальной сети.
С точки зрения выбора и использования элементов анализи-

руемой здесь стеганосистемы для их модификации (модели-
рования) при размещении/извлечении тайной информации
методы на основе PadSteg схожи с методами создания скры-
тых каналов памяти.
Межпротокольную стеганографию можно реализовать на
любом уровне модели OSI. Но, как правило, она используется
для скрытой связи только на канальном, сетевом и транспорт-
ном уровнях.
PadSteg обеспечивает секретную связь в скрытой группе в сре-

де LAN. В такой группе каждый хост, участвующий в обмене стега-
нограммами, должен иметь возможность находить и идентифици-
ровать другие скрытые хосты. Для обеспечения этой функциональ-
ности должны быть указаны определенные механизмы. Например,
протокол ARP вместе с «неправильным» заполнением кадра Ethernet
используется для обеспечения локализации и идентификации членов
скрытой группы.
Для обеспечения обмена секретными данными можно исполь-
зовать Ethernet и ARP/TCP. Стеганограмма внедряется в заполнение
кадра Ethernet, но всегда нужно «смотреть» на протокол другого
уровня (ARP или TCP), чтобы определить, содержит ли он секретные
данные или нет.
Пропускная способность скрытого канала на основе рассмат-
риваемого метода приблизительно оценена в 32 бит/с.
Чтобы свести к минимуму потенциальную угрозу межпрото-
кольной стеганографии для общественной безопасности, важна иден-
тификация таких методов. Не менее значимой является разработка
эффективных контрмер. Это требует глубокого понимания функци-
ональности сетевых протоколов и способов их использования для
стеганографии.
Однако учитывая сложность используемых в настоящее время
сетевых протоколов, мало надежды на разработку универсального
и эффективного метода стегоанализа. Таким образом, системы без-

опасности после выявления каждого нового метода стеганографии
должны быть адаптированы к новой потенциальной угрозе.
13.5.3.3. Нейтрализация скрытых каналов. Задача обнару-

жения скрытых каналов на основе сетевой стеганографии состоит
в том, чтобы найти потенциальные скрытые каналы, которые могут
быть реализованы в сети. Второй шаг – анализ выявленных каналов
для оценки уровня угрозы каждого из них.
Если канал представляет угрозу для защищаемой сети, могут

быть применены следующие меры: устранение, ограничение.
Противодействие скрытым каналам на основе устранения пре-

дусматривает блокировку уязвимых протоколов/портов. Например,
протокол ICMP блокируется многими брандмауэрами, что делает
неэффективными многие методы создания скрытых каналов. Оче-
видно, что в Интернете некоторые протоколы не могут быть забло-
кированы, потому что они жизненно необходимы (например, IP,
TCP, DNS) или потому, что их службы слишком важны (например,
электронная почта, Интернет). Однако в закрытой сети протоколы,
которые могут стать контейнером для скрытых стеганоканалов,
могут быть заблокированы или заменены версиями с меньшими
рисками.
Если скрытый канал невозможно устранить, его пропускную
способность целесообразно уменьшить с помощью методов огра-
ничения. Для обнаружения действующих скрытых каналов могут
быть использованы методы аудита и обнаружения. Эти методы ос-
нованы на обнаружении нестандартного или аномального поведе-
ния, о чем упоминалось выше.
Важно помнить: защита хостов не может нейтрализовать

скрытые сетевые каналы, но может предотвратить их ис-
пользование в некоторых сценариях приложений.
В плане нейтрализации скрытых каналов, описанных в подпунк-

те 13.5.3.2, нужно иметь в виду следующее.
Выводы 557
1. С неиспользуемыми или зарезервированными битами можно

легко справиться, установив их равными нулю, а неизвестные рас-
ширения заголовка можно удалить.
2. Некоторые скрытые каналы основаны на том, что определен-
ные поля заголовка не всегда используются (и их использование
указывается другими полями заголовка). Эту особенность можно
нейтрализовать, например, устанавливая значения IP ID, биты DF и
Urgent Pointer в определенное, согласованное состояние. Кроме того,
следует убедиться, что контрольные суммы всегда используются и
являются правильными.
3. Ряд других полей заголовка можно переписать при опреде-
ленных предположениях. Например, включить бит DF и установить
IP ID и Fragment Offset равными нулю, если пакет меньше размера
MTU (при условии согласования сторонами размера MTU).
4. Параметры Время жизни и Временная метка TCP также мо-
гут быть согласованы.
Скрытые каналы могут создаваться и использоваться не только
злоумышленниками, но и для передачи данных аутентификации. Се-
тевые администраторы могут применять эти скрытые каналы для за-
щиты связи, управления сетью, скрывая всю информацию от хакеров.
Выводы
1. Сейчас наблюдается новый и опасный тренд: все больше раз-

работчиков вредоносного ПО и средств кибершпионажа прибегают
к использованию стеганографии. Сетевое взаимодействие является
ключевой функцией любой вредоносной программы.
2. Современные методы компьютерной стеганографии условно
можно поделить на 2 класса:
– методы сокрытия информации в контенте, а также в альтер-
нативных потоках данных (Alternate Data Streams, ADS) файловой
системы NTFS;
– методы сокрытия информации в структуре сетевых прото-
колов.
3. Содержимое каждого файла (атрибут $DATA) представляет
собой набор потоков, в которых хранятся данные. Для каждого файла
или каталога в NTFS существует как минимум один основной поток,

в котором, собственно, и хранятся данные. Кроме основного потока
с файлом или каталогом могут быть связаны и альтернативные по-
токи (Alternate Data Stream, ADS), которые также могут содержать
некоторые данные, никак не связанные с данными основного потока.
4. Альтернативные потоки данных дают возможность добавлять
к файлу скрытую информацию. Все данные, записываемые в файл,
по умолчанию попадают в основной поток данных. Когда файл от-
крывается, то виден именно основной поток, альтернативные же по-
токи скрыты от пользователя и не отображаются с помощью обычных
средств. Такой подход ассоциируется со стеганографией.
5. Скрытый канал на основе DNS-туннелирования может исполь-
зоваться в двух основных целях:
– для передачи украденной информации, корпоративных секре-
тов, интеллектуальной собственности путем кодирования и инкап-
суляции данных в запрашиваемое доменное имя – туннелирование
системы доменных имен;
– для получения команд от удаленного злоумышленника, в част-
ности для организации распределенной ботнет-сети, – генерирование
доменных имен, основной задачей которого является сокрытие реаль-
ного месторасположения серверов злоумышленника. Эту технологию
обычно называют Управление и контроль (Command & Control, C2).
6. На практике применяются два основных метода обнаружения
DNS-туннелирования:
– анализ нагрузки;
– анализ трафика.
7. Скрытые каналы в протоколах компьютерных сетей аналогич-
ны методам сокрытия информации в звуковом, визуальном или тек-
стовом контенте. В то время как классическая стеганография требует
какой-либо формы контента в качестве прикрытия, скрытые каналы
требуют некоторого сетевого протокола в качестве носителя скры-
той информации, передаваемой от одного абонента к другому.
8. Скрытые каналы подразделяются (хотя принципиального раз-
личия между ними нет):
1) на каналы памяти;
2) каналы времени.
9. Защита хостов не может нейтрализовать скрытые сетевые ка-
налы, но может предотвратить их использование в некоторых сце-
нариях приложений.
1. Каковы принципы криптографической защиты информации?

2. Что такое симметричные криптосистемы?
3. Что такое ассиметричные криптосистемы?
4. Оценка эффективности использования пароля.
5. Опишите принцип дествия технологии SKIP.
6. В чем заключается суть и назначение прокола SSL/TLS?
7. Охарактеризуйте фазу рукопожатия протокола SSL.
8. Как формируется сообщение между клиентом и сервером после
окончания фазы рукопожатия?
9. Что такое proxy-сервер?
10. Опишите принципы функционирования межсетевых экранов.
11. Поясните сущность стеганографических методов.
12. В чем состоят общность и различие между стеганографией
и криптографией?
13. Что такое «скрытый канал связи»? Как он создается и как мо-
жет использоваться?
14. Поясните сущность стеганографических методов на основе
альтернативных потоков файловой системы NTFS.
15. Как использование альтернативных потоков влияет на без-
опасность компьютерных сетей?
16. Поясните сущность DNS-туннелирования.
17. Как создается DNS-туннель? Поясните на примере.
18. Как злоумышленники используют DNS-туннелирование?
19. Как можно выявлять и нейтрализовывать DNS-туннелиро-
вание?
20. Поясните особенности использования стеганографических
методов для тайной передачи информации.
21. В чем состоит суть LSB-алгоритма?
22. Поясните сущность и особенности создания скрытых кана-
лов на основе стека TCP/IP.
23. Охарактеризуйте основные параметры скрытых каналов.
24. Предложите и обоснуйте ваши методы создания скрытых ка-
налов.
25. В чем состоит сущность методов противодействия угрозам
безопасности информации со стороны скрытых каналов.
ЛИТЕРАТУРА
1. Урбанович, П. П. Компьютерные сети: учеб. пособие / П. П. Ур-

банович, Д. М. Романенко, Е. В. Кабак. – Минск: БГТУ, 2011. – 399 с.
2. Олифер, В. Г. Компьютерные сети. Принципы, технологии,
протоколы: учебник / В. Г. Олифер, Н. А. Олифер. – 5-е изд. – СПб.:
Питер, 2016. – 992 с.
3. Таненбаум, Э. Компьютерные сети / Э. Таненбаум, Д. Уэзе-
ролл. – 5-е изд. – СПб.: Питер, 2012. – 960 с.
4. Ochrona informacji w sieciach komputerowych / pod red. prof.
P. Urbanowicza. – Lublin: KUL, 2004. – 150 р.
5. Урбанович, П. П. Лабораторный практикум по дисциплинам
«Защита информации и надежность информационных систем» и
«Криптографические методы защиты информации». В 2 ч. Ч. 1. Ко-
дирование информации: учеб.-метод. пособие / П. П. Урбанович,
Д. В. Шиман, Н. П. Шутько. – Минск: БГТУ, 2019. – 116 с.
6. Урбанович, П. П. Лабораторный практикум по дисциплинам
«Защита информации и надежность информационных систем» и
«Криптографические методы защиты информации». В 2 ч. Ч. 2. Крип-
тографические и стеганографические методы защиты информации:
учеб.-метод. пособие / П. П. Урбанович, Н. П. Шутько. – Минск:
БГТУ, 2020. – 226 с.
7. Олифер, В. Г. Сетевые операционные системы / В. Г. Олифер,
Н. А. Олифер. – СПб.: Питер, 2002. – 544 с.
8. Кульгин, М. В. Компьютерные сети. Практика построения.
Для профессионалов / М. В. Кульгин. – 2-е изд. – СПб.: Питер, 2003. –
464 с.
9. Бейли, Д. Волоконная оптика: теория и практика / Д. Бейли,
Э. Райт; пер. с англ. – М.: КУДИЦ-ОБРАЗ, 2006. – 320 с.
10. Линн, С. Администрирование Microsoft Windows Server 2012 /
С. Линн. – СПб.: Питер, 2014. – 304 с.
11. Windows Server 2012 R2. Полное Руководство. Том 1. Уста-
новка и конфигурирование сервера, сети, DNS, Active Directory и об-
щего доступа к данным и принтерам / М. Минаси [и др.]. – Киев: Диа-
лектика, 2015. – 960 с.
561
12. Челлис, Дж. Основы построения сетей: учеб. пособие / Дж. Чел-
лис, Ч. Перкинс, М. Стриб. – М.: Лори, 2001. – 324 с.
13. Урбанович, П. П. Информационная безопасность и надеж-
ность систем: учеб.-метод. пособие / П. П. Урбанович, Д. М. Рома-
ненко, Е. В. Романцевич. – Минск: БГТУ, 2007. – 100 с.
14. Романенко, Д. М. Компьютерные сети: лабораторный прак-
тикум / Д. М. Романенко, Н. В. Пацей, М. Ф. Кудлацкая. – Минск:
БГТУ, 2016. – 168 с.
15. Gorbunova, Yu. W-cyclic method of interleaving of the data for
communication systems / Yu. Gorbunova, P. Urbanovich // Przegląd Elektro-
techniczny. – 2012. – R. 88. – № 11b. – P. 344–345.
16. Дженнингс, Ф. Практическая передача данных: модемы, сети
и протоколы / Ф. Дженнигс; пер. с англ. – М.: Мир, 1989. – 272 с.
17. Гейер, Д. Беспроводные сети. Первый шаг / Д. Гейер. – М.:
Вильямс, 2005. – 192 с.
18. Пролетарский, А. В. Беспроводные сети Wi-Fi / А. В. Про-
летарский, И. В. Баскаков, Д. Н. Чирков. – М.: Интуит, 2007. – 177 с.
19. Рошан, П. Основы построения беспроводных локальных сетей
стандарта 802.11 / П. Рошан, Д. Лиэри; пер. с англ. – М.: Вильямс,
2004. – 304 с.
20. Титтел, Э. Networking Essentials / Э. Титтел, К. Хадсон,
Дж. Майкл Стюарт. – СПб.: Питер, 1999. – 474 с.
21. Чеппел, Л. TCP/IP. Учебный курс / Лора А. Чеппел, Э. Тит-
тел. – СПб.: БХВ-Петербург, 2003. – 960 с.
22. Скляр, Б. Цифровая связь. Теоретические основы и практи-
ческое применение / Б. Скляр. – М.: Вильямс, 2007. – 1104 с.
23. BIG DATA and Advanced Analytics = BIG DATA и анализ
высокого уровня: сб. материалов V Междунар. науч.-практ. конф.,
Минск, 13–14 марта 2019 г. в 2 ч. / Белорус. гос. ун-т информатики
и радиоэлектроники; редкол.: В. А. Богуш [и др.]. – Минск, 2019.
Ч. 1. – 403 с.
24. Elements of Modern Networking // The University of Mumbai
[Electronic resource], 2021. – Mode of access: https://mu.ac.in/wp-content/
uploads/2021/01/Modern-Networking.pdf. – Data of access: 12.10.2021.
25. 5 Trends Appear on the Gartner Hype Cycle for Emerging
Technologies // Gartner [Electronic resource], 2019. – Mode of access:
https://www.gartner.com/smarterwithgartner/5-trends-appear-on-the-
gartner-hype-cycle-for-emerging-technologies-2019/. – Data of access:
12.10.2021.
562 ПРЕДМЕТНЫЙ УКАЗАТЕЛЬ
26. Гладкий, М. В. Безопасность приложений на платформах

облачных вычислений / М. В. Гладкий, П. П. Урбанович // Инфор-
мационные технологии: тез. докл. 79-й науч.-техн. конф. профес.-
преподават. состава, науч. сотрудников и аспирантов (с междунар.
участием), Минск, 2–6 февр. 2015 г. / Белорус. гос. технол. ун-т. –
Минск, 2015. – С. 18–19. – Режим доступа: https://elib.belstu.by/handle/
123456789/25736. – Дата доступа: 25.10.2021.
27. Урбанович, П. П. Защита информации методами криптогра-
фии, стеганографии и обфускации: учеб.-метод. пособие / П. П. Ур-
банович. – Минск: БГТУ, 2016. – 219 с.
28. Zander, S. A Survey of Covert Channels and Countermeasures in
Computer Network Protocols / S. Zander, G. Armitage, P. Branch // IEEE
Communications Surveys & Tutorial. – 2007, 3rd Quarter. – P. 44–57.
29. Technical Specification: Speech and multimedia Transmission
Quality (STQ); Quality of Experience; A Monitoring Architecture: ETSI
TS 103 294. – European Telecommunications Standards Institute. – 2014. –
24 р.
30. Урбанович, П. П. Концепция создания взаимодополняемых
алгоритмов обеспечения надежности и целостности информации
в компьютерных сетях / П. П. Урбанович, Н. В. Пацей // Труды
БГТУ. Сер. IV, Физ.-мат. науки и информатика. – 1997. – Вып. V. –
С. 91–96.
31. Кунегин, С. В. Основы технологии АТМ: учеб.-метод. посо-
бие / С. В. Кунегин. – М., 1999. – 80 с.
32. Пацей, Н. В. Комбинированное преобразование информации
для повышения целостности и надежности данных (система 3К) /
Н. В. Пацей, П. П. Урбанович // Труды БГТУ. Сер. IV, Физ.-мат. науки
и информатика. – 1998. – Вып. VI. – С. 103–107.
33. Patsei, N. V. On the Design of Error Detection and Correction
Cryptography Schemes / N. V. Patsei, P. P. Urbanovich // Eurocomm 2000
Information Systems for Enhanced Public Safety and Security: Conference
Record. Munich, Germany, 2000. – P. 266–268.
34. Urbanovich, P. P. The algorithm for determining of the errors
multiplicity by multithreshold decoding of iterative codes / Pavel P. Ur-
banovich, Marina F. Vitkova, Dmitri M. Romanenko // Przegląd Elektro-
techniczny. – 2014. – Wyp. 90, № 3. – S. 235–238.
35. Velte, T. Cloud Computing: A Practical Approach by Anthony /
T. Velte, A. Velte, R. Elsenpeter. – The McGraw-Hill Companies, 2010. –
352 p.
563
36. Filipek, Ł. Internet of things: concepts, risks, security / Ł. Filipek,

P. P. Urbanovich // Информационные технологии: материалы 84-й науч.-
техн. конф., посвящ. 90-летнему юбилею БГТУ и дню белорусской
науки (с междунар. участием), Минск, 3–14 февр. 2020 г. / Белорус.
гос. технол. ун-т. – Минск, 2020. – С. 10–14.
37. Stallings, W. Foundations of Modern Networking: SDN, NFV,
QoE, IoT, and Cloud / W. Stallings. – 1st edition. – Indianapolis: Published
by Addison-Wesley Professional, 2016. – 560 p.
38. Урбанович, П. П. Элементы современных компьютерных
сетей и сетевых технологий / П. П. Урбанович, М. Д. Плонковски //
Передовые технологии и материалы будущего: сб. ст. IV Между-
нар. науч.-техн. конф. «Минские научные чтения – 2021», Минск,
9 дек. 2021 г.: в 3 т. / Белорус. гос. технол. ун-т. – Минск, 2021. –
Т. 3. – С. 240–246.
39. Блащак, М. Атаки на многопользовательские компьютерные
игры и некоторые методы защиты от них / М. Блащак, П. П. Урбано-
вич // Труды БГТУ. Сер. 3, Физ.-мат. науки и информатика. – 2020. –
№ 1 (230). – С. 43–49.
40. Обзор интернета вещей // Рекомендация МСЭ-Т/Y.2060. Сер. Y:
Глобальная информационная инфраструктура, аспекты протокола
Интернет и сети последующих поколений / Междунар. союз электро-
связи. – Женева, 2012. – 22 с.
41. An agent-based QoE monitoring strategy for LTE networks /
E. Grigoriou [at al.] // IEEE International Conference on Communications
(ICC). – Thessaloniki, 2018. – P. 1–6.
42. Митник, К. Искусство быть невидимым. Как сохранить при-
ватность в эпоху Big Data / К. Митник. – М.: Эксмо, 2019. – 464 с.
43. Jankowski, B. PadSteg: Introducing Inter-Protocol Steganography /
B. Jankowski, W. Mazurczyk, K. Szczypiorski // Arxiv [Electronic re-
source]. – Mode of access: https://arxiv.org/ftp/arxiv/papers/1104/1104.
0422.pdf. – Date of access: 15.11.2021.
44. Shutko, N. A method of syntactic text steganography based on
modification of the document-container aprosh / N. Shutko, P. Urbanovich,
P. Zukowski // Przegląd Elektrotechniczny. – 2018. – Wyp. 94, № 6. –
S. 82–85.
45. Urbanovich, P. Theoretical Model of a Multi-Key Steganography
System / P. Urbanovich, N. Shutko // Recent Developments in Mathema-
tics and Informatics. Contemporary Mathematics and Computer Science. –
2016. – Vol. 2, Chapter 11. – Р. 181–202.
46. Блинова, Е. А. Стеганографический метод на основе встраи-

вания дополнительных значений координат в изображения формата
SVG / Е. А. Блинова, П. П. Урбанович // Труды БГТУ. Сер. 3, Физ.-
мат. науки и информатика. – 2018. – № 1 (206). – С. 104–109.
47. Вахаб, А. Методы цифровой стеганографии на основе моди-
фикации цветовых параметров изображения / А. Вахаб, Д. М. Рома-
ненко // Труды БГТУ. Сер. 3, Физ.-мат. науки и информатика. – 2018. –
№ 1 (206). – С. 94–98.
48. Блинова, Е. А. Стеганографический метод на основе встра-
ивания скрытых сообщений в кривые Безье изображений формата
SVG / Е. А. Блинова, П. П. Урбанович // Журнал Белорусского гос-
ударственного университета. Математика. Информатика. – 2021. –
№ 3. – С. 68–83.
49. Lampson, B. W. A note on the confinement problem / B. W. Lamp-
son // Communications of the ACM. – 1973. – P. 613–615.
50. Zander, S. Covert channels and countermeasures in computer
network protocols / S. Zander, G. Armitage, P. Branch // IEEE Commu-
nications Surveys & Tutorials. – 2007. – No. 9 (3). – Р. 44–57.
561
ПРЕДМЕТНЫЙ УКАЗАТЕЛЬ
A IP-спуфинг 482
API 99
K
ARP 135
kerberos 510
ARP-запрос 135
ARP-кэш 135 L
ARP-ответ 135 LAN 28, 32
limited broadcast 153
B
LLC подуровень 112
Bluetooth 124, 423, 472
loopback 153
broadcast 153
M
C
MAC-адрес 141
CSMA/CA 89
MAC-подуровень 112
CSMA/CD 88
Man-in-the-Middle (атака) 498
D message 102
DDOS (атака) 478
N
Demand Priority 90
NDIS 137
DNS 174
NetBIOS 127, 131
DNS-имя 174
NetBEUI 127
DNS-клиент 178
DNS-сервер 177, 178 O
DNS-служба 176, 178 Open VPN 388
DOS (атака) 478 OSPE 136, 205
E P
Ethernet 30, 120, 209 packet 79
proxy-сервер 524, 535
F
FDMA 94 R
frame 79, 84, 111 RARP 135
RIP 136, 204
G
GAN 23,32 S
Secure Socket Layer (SSL) 104, 389,
H
497, 519
hop 199, 253
SFT 525
I SKIP 518, 535
ICMP 136
IGMP 136 T
TCP 132
ID-сети (подсети) 143
TDMA 93
ID-узла (в сети) 143
token 91
intranet 24
TPMA 91
IoT 399
IP 134 U
IP-адрес 82, 143 UDP 133
V WDMA 95
VPN 377, 381, 384 Wi-Fi-адаптер 326
VPN-клиент 384 Wi-Fi-антенна 330
VPN-магистраль 386 Wi-Fi-сеть 249, 276, 325
VPN-сервер 384VPN-сервис 391 Wi-Fi-стандарт 278
VPN-туннелирование 387 Wi-Fi-точка доступа 325
W WinSock 131
WAN 23, 32 WLAN 276
А Д
абонентский канал 17 данные 50, 82
авторизация 455 двухфакторная аутентификация 455
адрес ввода-вывода 300 дейтаграмма 134
адрес назначения 202 декапсуляция пакетов 87
адресная информация 80 доменное пространство имен 174
адрес отправителя 80, 22 достоверность работы системы 453
адрес получателя 80, 223 доступ 454
активное дерево 57 древовидная топология 56
альтернативные потоки данных 541
З
аппаратный отказ 454
защита информации 453
архитектура «клиент-сервер» 48
звезда (топология) 53
архитектура сети 19, 45
звездно-кольцевая топология 60
архитектура «терминал – главный
звездно-шинная топология 60
компьютер» 45
злоупотребление доверием 489
атака на уровне приложений 488
аутентификация 380, 454 И
аутентичность 502 идентификатор подсети (сети) 143
избыточность 40, 459
Б
имя UNC 293
базовая станция 338
имя домена 174
безопасная система 127, 187, 455
инкапсуляция пакетов 86
блок данных 18, 79
интернет вещей 399
блокчейн 533
интерфейс 18
В интерфейс NetBIOS 127
вертикальная модель OSI 98 интерфейс пользователя 49
вес по Хеммингу 463 интерфейс сокетов Windows 131
взлом 503 интруз 456
виртуальная частная сеть 377, 381 информационная сеть 17
виртуальный (логический) канал 109 информационная система 17
вирус (компьютерный, сетевой) 485 информационная технология 17
витая пара 56, 249, 253 информационная топология 19, 63
волоконно-оптический кабель 260
К
время доступа (к сети) 80
кабель 251
вычислительная сеть 17
кабельная система 250
Г кабель связи 249
глобальная сеть 23, 32 кадр 79, 84, 111
горизонтальная модель OSI 97 канал связи 17, 18, 249
городская сеть 34 канальный уровень 111, 117
групповой адрес 82, 142, 149 клиент 19, 37, 48
567
клиент удаленного доступа 377 неэкранированная витая пара 254

коаксиальный кабель 258 номер сети (подсети) 143
код Хемминга 467 номер узла (номер компьютера
коллизия 88 в сети) 143
кольцо (топология) 53
О
коммуникационная сеть 16
облачная сеть 418
коммутатор 56, 58, 316
общая шина (топология) 53
компьютерная безопасность 453
объект 454
компьютерная преступность 492
одномерная решетка 59
компьютерная сеть (КС) 16
одноранговая архитектура 46
контрольная сумма (пакета) 82, 83
октет 143
конфиденциальность 20, 454
оптоволоконный кабель 260
концентратор 56, 307
отказ 453
концепция открытых систем 72
отказ в обслуживании (атака) 478
корпоративная сеть 41
отказоустойчивость 35, 454
криптографическая система 503
ошибка (информационная) 18
криптография 502
ошибка (устройства) 453
криптостойкость 502
П
Л
пакет 79
линейный блочный код 464
пассивное дерево 57
линейный код 464
паравиртуализация 438
линия связи 249
пароль 512
логическая (виртуальная) связь 98
парольные атаки 488
логическая топология 19, 63
переадресация портов 490
логический канал 18, 109
петля 153
логический сегмент 309, 316
повторитель 53, 307
локальная сеть 28, 32
полномочие 91
М порождающая матрица 464
маркер 91 последовательная топология 52
маршрутизатор 109, 322 преамбула 82
маршрутизация 109 представительский уровень 104
маска подсети 150 прикладной уровень 102
межсетевой экран 516 проверочная матрица 465
метод доступа 18 прозрачная сеть 67
метод наименее значащих бит 539, 554 прозрачное соединение 67
минимальное кодовое расстояние 466 прозрачность сети 66
многомашинная система 35 производительность сети 19
многомерная решетка 60 протокол 18
многосегментный концентратор 311 протокол передачи данных 18
модель OSI 96 Р
мост 315 рабочая станция 17
мультиплексирование 278, 399
радиосвязь 275
мультипроцессорный компьютер 35
разрешение IP-адреса 136
Н рандомизация сигналов 244
надежность компьютерной сети 453 распределение ключей 508
надежность системы 20, 73 распределенная вычислительная
накопление ключей 503 система 35
нелинейный код 464 распределенная программа 37
несанкционированный доступ 455 распределитель 292
региональная сеть 34 тор 60

редиректор 292 транспортный уровень 107
руткит 485 трафик 18
туннелирование 387
С
санкционированный доступ 454 У
сеансовый уровень 105 угроза (безопасности) 478
сегмент сети 65 удаленная атака 456
секретность 454 удаленный доступ 377
сервер 19, 37, 48 управление защитой данных 70
сервер удаленного доступа 377 управление ключами 507
сервис 48 управление конфигурацией 69
сетевая карта (адаптер) 299 управление неисправностями 70
сетевая ОС 49, 289 управление учетом использования
сетевая разведка 489 ресурсов 70
сетевой адрес 82, 143 управление эффективностью 69
сетевой уровень 109 управляемость сети 68
сетевые операционные системы 228 устройство Bluetooth 358
сеточная топография 59 утолщенное дерево 58
сеть 100VG-AnyLAN 123, 239 Ф
сеть Bluetooth 356 физическая среда 113
сеть Token Ring 122, 216 физическая топология 19, 62
cеть передачи данных 18 физические средства
синдром 465 соединения (связи) 18, 113
система имен NetBIOS 187 физический адрес 141
скрытый канал 455 физический интерфейс 114
служебная информация 82 физический сегмент 316
сниффер пакетов 481 физический уровень 114
совместимость сети 71
Х
сокеты Windows 131
хаб 53, 307
сообщение 102
хоп 199, 553
социальная инженерия 484
спуфинг 482 Ц
стандарт ASCII 24 целостность 20
стек OSI 128 цепочка (топология) 54
стек TCP/IP 130 циклический код 470
стек протоколов 126 Ш
стоповая комбинация 82 широковещательная топология 52
структурированная кабельная шифрование 502
система 250 шлюз 324
субъект 454 шлюз прикладного уровня 518
Т шлюз сетевого уровня 517
таблица маршрутизации 198 Э
теория защиты информации 452 электрический шум 253
теория надежности 453 электронная подпись 503, 508
терминал 45
терминатор 53 Я
топология 19, 52 ячеистая топология 59
569
РУССКОЯЗЫЧНЫЕ
ТЕРМИНЫ И ПОНЯТИЯ
Адаптер (Adapter) – устройство либо программа для согласо-

вания параметров входных и выходных сигналов в целях сопряжения
объектов.
Административная система (Management System) – система,
обеспечивающая управление сетью либо ее частью.
Адрес (Address) – закодированное обозначение пункта отправ-
ления либо назначения данных.
Адрес IP – адрес, однозначно определяющий компьютер в сети
(адрес состоит из 32 двоичных разрядов и не может повторяться во
всей сети TCP/IP). Адрес IP обычно разбивается на четыре октета по
восемь двоичных разрядов (один байт); каждый октет преобразуется
в десятичное число и отделяется точкой, например 102.54.94.97.
Альтернативный поток данных (Alternative Data Stream) – ме-
таданные, связанные с объектом файловой системы NTFS: файл в
NTFS представляет собой набор потоков, в которых хранятся данные.
По умолчанию все данные находятся в основном потоке, но при не-
обходимости к файлу можно добавлять дополнительные, альтерна-
тивные потоки данных. Альтернативные потоки данных дают возмож-
ность добавлять к файлу скрытую информацию.
Аналоговый сигнал (Analog Signal) – сигнал, величина которого
непрерывно изменяется во времени. Аналоговый сигнал обеспечи-
вает передачу данных путем непрерывного изменения во времени.
Аналого-дискретное преобразование (Analog-to-Digital Conver-
sion) – процесс преобразования аналогового сигнала в дискретный
сигнал.
Анонимные подключения (Anonymous Connections) – эта функ-
ция, которая разрешает удаленный доступ к ресурсам компьютера
по учетной записи компьютера без предъявления имени и пароля с
правами, определяемыми этой учетной записью.
Архитектура (Architecture) – концепция, определяющая модель,
структуру, выполняемые функции и взаимосвязь компонентов сети.
Архитектура охватывает логическую, физическую и программную
570 РУССКОЯЗЫЧНЫЕ ТЕРМИНЫ И ПОНЯТИЯ
структуры и функционирование сети, а также элементы, характер и

топологию взаимодействия элементов.
Асинхронная передача (Asynchronous Transfer) – метод передачи
основанный на пересылке данных по одному символу. При этом про-
межутки между передачами символов могут быть не равными.
База данных (БД) – совокупность взаимосвязанных данных, ор-
ганизованная по определенным правилам в виде одного или группы
файлов.
Базовый порт ввода-вывода (Base I/O Port) – адрес памяти, по
которому центральный процессор и адаптер проверяют наличие со-
общений, которые они могут оставлять друг для друга.
Безопасность данных (Data Security) – концепция защиты про-
грамм и данных от случайного либо умышленного изменения, уничто-
жения, разглашения, а также несанкционированного использования.
Блок данных (Data Unit) – последовательность символов фикси-
рованной длины, используемая для представления данных или само-
стоятельно передаваемая в сети.
Бод (Baud) – термин, используемый для измерения скорости мо-
дема, который описывает количество изменений состояния, проис-
ходящих за одну секунду в аналоговой телефонной линии.
Булева алгебра (Boolean Algebra) – алгебраическая структура с
тремя операциями: И, ИЛИ, НЕ.
Буфер (Buffer) – временная область, которую устройство исполь-
зует для хранения входящих данных перед тем, как они смогут быть
обработаны на входе, или для хранения исходящих данных до тех пор,
пока не появится возможность их передачи.
Виртуальная сеть (Virtual Network) – сеть, характеристики ко-
торой в основном определяются ее программным обеспечением.
Виртуальные локальные вычислительные сети (ВЛВС) – логи-
ческие наложения на коммутируемое объединение сетей, определя-
ющие группы пользователей. Это означает, что пользователь или
система, подключенные к физическому порту, могут участвовать в
нескольких ВЛВС-группах, поскольку логическая сеть не обязана
подчиняться ограничениям физической. Границы ВЛВС задают об-
ласть локального вещания. Обычно потоки данных в ВЛВС комму-
тируются на уровне 2, в то время как трафик между ВЛВС маршру-
тизируется с использованием внешнего маршрутизатора.
Витая пара (Twisted-Pair Cable) – два скрученных изолированных
провода, которые используются для передачи электрических сигналов.
571
Волновое сопротивление, импеданс (Impedance) – полное элек-

трическое сопротивление переменному току, включающее активную
и реактивную составляющие. Измеряется в омах.
Выделенная линия (Dedicated Line) – (точка – точка) частная или
адресуемая линия, наиболее популярная в глобальных вычислитель-
ных сетях. Обеспечивает полнодуплексную полосу пропускания в
результате установки постоянного соединения каждой оконечной
точки через мосты и маршрутизаторы с несколькими ЛВС.
Выделенный сервер (Dedicated Server) – сетевой сервер, который
действует только как сервер и не предназначен для использования в
качестве клиентской машины.
Гигабайт (Gigabyte) – обычно 1000 Мбайт. Точно 1024 Мбайт, где
1 Мбайт равен 1 048 576 байтам.
Гиперсреда (Hyperenvironment) – технология представления лю-
бых видов информации в виде блоков, ассоциативно связанных друг
с другом, не требующая подтверждения о приеме от принимающей
стороны.
Гипертекст (Hypertext) – текст, представленный в виде ассо-
циативно связанных друг с другом блоков.
Гипертекстовый протокол HTTP – протокол сети Internet, опи-
сывающий процедуры обмена блоками гипертекста.
Главный контроллер домена (Primary Domain Controller, PDC) –
это компьютер, на котором устанавливается Windows NT Server в
режиме PDC для хранения главной копии базы данных учетных за-
писей.
Глобальная вычислительная сеть, ГВС (Wide Area Network,
WAN) – компьютерная сеть, использующая средства связи дальнего
действия.
Группа (Group) – совокупность пользователей, определяемая
общим именем и правами доступа к ресурсам.
Данные (Data) – информация, представленная в формализован-
ном виде, пригодном для автоматической обработки при возможном
участии человека.
Дейтаграммы (Datagrams) – сообщения, которые не требуют под-
тверждения о приеме от принимающей стороны. Термин, используе-
мый в некоторых протоколах для обозначения пакета.
Дефрагментация (Defragmentation) – процесс воссоздания боль-
ших PDU (пакетных блоков данных) на более высоком уровне из на-
бора более мелких PDU с нижнего уровня.
Диагностическое программное обеспечение (Diagnostic Software) –

специализированные программы или специфические системные ком-
поненты, которые позволяют исследовать и наблюдать систему с
целью определения корректности функционирования при необходи-
мости определения причины проблемы.
Дискретный сигнал (Discrete Signal) – сигнал, имеющий конеч-
ное, обычно небольшое, число значений. Практически всегда дис-
кретный сигнал имеет два либо три значения. Нередко его называют
также цифровым сигналом.
Домен (Domain) – совокупность компьютеров, использующих опе-
рационную систему Windows NT Server, имеющих общую базу дан-
ных и систему защиты. Каждый домен имеет неповторяющееся имя.
Доменная система имен (Domain Name System, DNS) – система
обозначений для сопоставления адресов IP и имен, понятных поль-
зователю, используется в сети Internet. Система DNS иногда назы-
вается службой DNS.
Доступ (Access) – операция, обеспечивающая запись, модифи-
кацию, чтение или передачу данных.
Драйвер (Driver) – компонент операционной системы, взаимо-
действующий с внешним устройством или управляющий выполне-
нием программ.
Драйвер устройства (Device Driver) – это программа, которая
обеспечивает взаимодействие между операционной системой и кон-
кретными устройствами с целью ввода-вывода данных для этого
устройства.
Единица данных протокола (Protocol Data Unit, PDU) – это еди-
ничный блок информации, передаваемый между одноранговыми объ-
ектами компьютерной сети. PDU состоит из управляющей информа-
ции, зависящей от протокола, и пользовательских данных.
Единообразный локатор ресурсов (Uniform Resource Locator,
URL) – идентификатор, или адрес ресурсов, в сети Internet. Обеспе-
чивает гипертекстовые связи между документами WWW.
Жесткий диск (Hard Disk) – накопитель данных в вычислитель-
ных системах.
Заголовок кадра (Frame Preamble) – служебная информация ка-
нального уровня модели OSI, добавляемая в начало кадра.
Запрос прерывания (IRQ, Interrupt Request) – сигнал, посылаемый
центральному процессору от периферийного устройства. Сообщает
о событии, обработка которого требует участия процессора.
573
Запросчик, или редиректор (Requester, LAN Requester), – про-

грамма, находящаяся на компьютере клиенте. Переадресует на со-
ответствующий сервер запросы на сетевые услуги со стороны рабо-
тающих на этом же компьютере приложений.
Затухание (Attenuation) – ослабление сигнала при удалении его
от точки испускания.
Звезда (Star Topology) – вид топологии, при котором каждый
компьютер подключен к центральному компоненту, называемому
концентратором.
Зеркальные диски (Disk Mirroring) – уровень 1 технологии RAID,
при которой часть жесткого диска (или весь жесткий диск) дублиру-
ется на одном или нескольких жестких дисках. Позволяет создавать
резервную копию данных.
Импульсно-кодовая модуляция, ИКМ (Pulse Code Modulation,
PCM) – метод преобразования аналогового сигнала телефонии в дис-
кретный сигнал.
Интернет – совокупность компьютеров, объединенных в гло-
бальную сеть.
Информационная сеть (Information Network) – сеть, предназна-
ченная для обработки, хранения и передачи данных.
Информационная система (Information System) – объект, способный
осуществлять хранение, обработку или передачу данных. К этой систе-
ме относятся: компьютеры, программы, пользователи и другие состав-
ляющие, предназначенные для процесса обработки и передачи данных.
Информационно-поисковая система – (Information Retrieval Sys-
tem, IRS) – система, предназначенная для поиска информации в базе
данных.
Информация (Information) – данные, обработанные адекватными
им методами.
Инфракрасный канал (Infrared Channel) – канал, использующий
для передачи данных инфракрасное излучение. Инфракрасный ка-
нал работает в диапазоне высоких частот, где сигналы мало подвер-
жены электрическим помехам.
Кабель (Cable) – один либо группа изолированных проводников,
заключенных в герметичную оболочку.
Кадр (Frame) – блок информации канального уровня.
Кадр данных (Data Frame) – базовая упаковка битов, которая
представляет собой PDU (пакетный блок данных), посланный с од-
ного компьютера на другой по сетевому носителю.
Канал (Channel, Link) – среда или путь передачи данных.

Канал передачи данных (Data Channel) – кабели и инфраструк-
тура сети.
Канальный уровень (Date Link Layer) – второй уровень модели
OSI. Здесь из последовательности битов, поступающих от физиче-
ского уровня, формируются кадры.
Квитирование, или рукопожатие (Handshake), – подтверждение
установления связи.
Клиент (Client) – компьютер в сети, который запрашивает ре-
сурсы или услуги от некоторых других компьютеров.
Клиент-сервер (Client-Server) – модель вычислений, при кото-
рой некоторые компьютеры запрашивают услуги (это клиенты), а
другие отвечают на такие запросы на услуги (это серверы).
Коаксиальный кабель (Coaxial Cable) – кабель, состоящий из
изолированных друг от друга внутреннего и внешнего проводников.
Коаксиальный кабель имеет один либо несколько центральных мед-
ных проводников, покрытых диэлектрической изоляцией, которая
для защиты центральных проводников от внешних электромагнитных
воздействий покрыта металлической оплеткой (сеткой) либо трубкой.
Коллизия (Collision) – ситуация, когда две рабочие станции пы-
таются одновременно занять канал (использовать рабочую среду –
кабель).
Коммуникационная сеть (Communication Network) – сеть, пред-
назначенная для передачи данных, также она выполняет задачи, свя-
занные с преобразованием данных.
Коммутатор (Switch) – устройство или программа, осуществ-
ляющие выбор одного из возможных вариантов направления пере-
дачи данных.
Коммутатор кадров (Frame Switch) – многопортовый мост уров-
ня доступа к среде передачи, работающий со скоростью этой среды
и гарантирующий на порядок более высокую пропускную способ-
ность при связывании клиентских и серверных систем по сравнению
с концентраторами для среды с разделяемым доступом. При сегмен-
тации ЛВС коммутаторы кадров обеспечивают лучшие показатели
цена/производительность и меньшие задержки, чем традиционные
связки мостов и маршрутизаторов.
Коммутатор ячеек (Cell Switch) – устройство, реализующие ATM-
коммутацию данных, разделенных на короткие ячейки фиксирован-
ного размера. Ориентация на установление соединений позволяет
575
ATM обеспечивать классы (качество) обслуживания, пригодные для

всех видов мультимедийного трафика, включая данные, голос и видео.
Концентратор, или хаб (Concentrator or Hub), – связующий ком-
понент сети, к которому подключаются все компьютеры в сети топо-
логии «звезда». Концентратор обеспечивает связь компьютеров друг
с другом при использовании витой пары, также применяется в сетях
FDDI для подключения компьютеров в центральном узле.
Концентратор (Multi Station Access Unit, MSAU) – устройство
для доступа ко множеству станций, осуществляющее маршрутизацию
пакета к следующему узлу в сетях на основе метода доступа с пере-
дачей маркера.
Корпоративная сеть (Corporate Network) – крупномасштабная
сеть, обычно соединяющая многие локальные сети.
Логический диск (Logical Disk) – часть физического диска, от-
форматированная под конкретную файловую систему и имеющая
свое буквенное наименование.
Логический канал (Logical Channel) – путь, по которому данные
передаются от одного порта к другому. Логический канал прокла-
дывается в одном либо нескольких последовательно расположенных
физических каналах и через уровни области взаимодействия.
Локальная группа (Local Group) – в Windows NT Server учетная
запись, определенная на конкретном компьютере. Включает учетные
записи пользователей данного компьютера.
Локальная сеть (Local-Area Network) – сеть, системы которой
расположены на небольшом расстоянии друг от друга.
Магистраль (Backbone) – основной кабель, от которого кабели
трансиверов идут к компьютерам, повторителям и мостам.
Манчестерское кодирование (Manchester Encoding) – схема пе-
редачи двоичных данных, применяемая во многих сетях. При пере-
даче бита, равного 1, в течение временного интервала, который от-
веден для его передачи, значение сигнала меняется с положительного
на отрицательное. При передаче бита, равного 0, в течение времен-
ного интервала, который отведен для его передачи, значение сиг-
нала меняется с отрицательного на положительное.
Маркер (Token) – уникальная комбинация битов. Получая мар-
кер, рабочая станция в ЛВС имеет право начать передачу данных.
Маршрутизатор (Router) – протокол, ориентированное устрой-
ство, соединяющее две сети, иногда с абсолютно разными уровнями
МАС (канальный уровень, контроль доступа к среде).
Маршрутизация (Routing) – процесс определения в коммуни-

кационной сети пути, по которому блок данных может достигнуть
адресата.
Маска сети (Network Mask) – 32-битное число, по которому можно
определить диапазон IP-адресов, находящихся в одной IP-сети/подсети.
Масштабируемость (Scalability) – это возможность увеличить
вычислительную мощность Web-сайта или компьютерной системы
(в частности, выполнение большего числа операций или транзакций
за определенный период времени) за счет установки большего числа
процессоров или их замены на более мощные.
Мегабайт (Megabyte) – 1 048 576 байтов.
Метод доступа (Access Method) – способ определения рабочей
станции, которая сможет следующей использовать ЛВС. Кроме того,
точно так называется набор правил, используемых сетевым оборудо-
ванием, чтобы направлять поток сообщений через сеть, а также один
из основных признаков, по которым различают компоненты сетевого
оборудования.
Метод доступа к каналу (Channel Access Method) – правила,
используемые для определения компьютера, который может посы-
лать данные по сети, тем самым предотвращающие потерю данных
из-за коллизий.
Метод множественного доступа с прослушиванием несущей и
разрешением коллизий (Carrier Sense Multiple Access with Collision
Detection, CSMA/CD) – метод доступа к каналу связи, который уста-
навливает следующий порядок: если рабочая станция хочет восполь-
зоваться сетью для передачи данных, она сначала должна проверить
состояние канала, начинать передачу станция может, если канал сво-
боден. В процессе передачи станция продолжает прослушивание сети
для обнаружения возможных конфликтов. Если конфликт возникает
в случае, когда два узла попытаются занять канал, то обнаружившая
конфликт интерфейсная плата выдает в сеть специальный сигнал и
обе станции одновременно прекращают передачу.
Метод обработки запросов по приоритету (Request Processing
Method by Priority) – метод доступа к каналу связи, где всем узлам
сети предоставляется право равного доступа. Концентратор опра-
шивает каждый порт и проверяет наличие запроса на передачу, за-
тем решает этот запрос в соответствии с приоритетом.
Метод с передачей маркера или полномочия (Token Passing Mul-
tiple Access, TPMA) – метод доступа к каналу связи, в котором от
577
компьютера к компьютеру передается маркер, дающий разрешение

на передачу сообщения. При получении маркера рабочая станция
может передавать сообщение, присоединяя его к маркеру, который
переносит его по сети. Каждая станция, находящаяся между переда-
ющей и принимающей, «видит» это сообщение, но только станция-
адресат принимает его. При этом она создает новый маркер.
Микроядро (Microkernel) – это центральная часть операцион-
ной системы, которая выполняет основные функции управления си-
стемой.
Модем (Modem) – сокращение от МОДулятор/ДЕМодулятор.
Устройство связи, которое позволяет компьютеру передавать дан-
ные по обычной телефонной линии. При передаче преобразует циф-
ровые сигналы в аналоговые, а при приеме наоборот – аналоговые
в цифровые.
Монитор сети (Network Monitor) – это программно-аппаратное
устройство, которое отслеживает сетевой трафик. Проверяет пакеты
на уровне кадров, собирает информацию о типах пакетов и ошибках.
Мост (Bridge) – это прибор, позволяющий рабочим станциям
одной сети обращаться к рабочим станциям другой. Мосты исполь-
зуются для разделения ЛВС на маленькие сегменты, выполняют со-
единение на канальном уровне модели OSI. Мост преобразует фи-
зический и канальный уровни различных типов, используется для
увеличения длины или количества узлов.
Мост-маршрутизатор (Bridge-Router) – сетевое устройство, ко-
торое объединяет лучшие функции моста и маршрутизатора.
Мультиплексор (Multiplexor) – устройство, позволяющее раз-
делить канал передачи на два или более подканала. Может быть ре-
ализован программно. Кроме того, используется для подключения
нескольких линий связи к компьютеру.
Нейронная сеть (Neural Network) – сеть, образованная взаимо-
действующими друг с другом нервными клетками либо моделиру-
ющими их поведение компонентами.
Несущая (Carrier) – непрерывный сигнал, на который наклады-
вается другой сигнал, несущий информацию.
Неэкранированная витая пара (UTP, Unshielded Twisted Pair) –
кабель, в котором изолированная пара проводников скручена с не-
большим числом витков на единицу длины. Скручивание проводов
уменьшает электрические помехи извне при распространении сиг-
налов по кабелю.
Оболочка (Shell) – программное обеспечение, которое реализует

взаимодействие пользователя с операционной системой (пользова-
тельский интерфейс).
Обработка запросов по приоритету (Demand Priority) – высо-
коскоростной метод доступа к каналу, используемый сетями 100VG-
Any LAN в топологии «звезда».
Общий ресурс (Shared Resource) – любое устройство, данные или
программа.
Одноранговая архитектура (Peer-to-Peer Architecture) – концеп-
ция информационной сети, в которой каждая абонентская система
может предоставлять и потреблять ресурсы.
Октет – байт.
Оперативная память (Main Memory) – память, предназначен-
ная для хранения данных и команд, необходимых процессору для
выполнения им операций.
Оптический кабель (Optical Cable) – кабель, передающий сигналы
света. Для создания оптического кабеля используются световоды, каж-
дый из которых имеет несколько слоев защитных покрытий, улучша-
ющих механические и оптические характеристики этих световодов.
Оптический канал (Optical Channel) – канал, предназначенный
для передачи сигналов света.
Оптоволокно (Optical Fiber) – среда, по которой цифровые дан-
ные передаются в виде модулированных световых импульсов.
Пакет (Packet) – это единица информации, передаваемой между
станциями сети. Используется на сетевом уровне модели OSI.
Пароль (Password) – признак, подтверждающий право пользо-
вателя или прикладной программы на использование какого-нибудь
ресурса.
Передача данных (Data Communications) – процесс транспорти-
рования данных из одной системы в другую.
Повторитель, или репитер (Repeater), – устройство, усилива-
ющее сигналы с одного отрезка кабеля и передающее их в другой
отрезок без изменения содержания. Повторители увеличивают мак-
симальную длину трассы ЛВС.
Полномочие (Token) – специальный символ или группа симво-
лов, разрешающая системе передачу кадров.
Полоса пропускания (Bandwidth) – разность между максималь-
ной и минимальной частотой в заданном диапазоне; диапазон частот,
на которых может работать носитель.
579
Пользователь (User) – юридическое либо физическое лицо, ис-

пользующее какие-либо ресурсы, возможности.
Порт (Port) – точка доступа к устройству либо программе. Раз-
личают физические и логические порты.
Провайдер (Provider) – организация, которая обеспечивает под-
ключение к Internet и другие услуги за определенную плату.
Протокол (Protocol) – набор правил, регламентирующих порядок
сборки пакетов, содержащих данные и управляющую информацию на
рабочей станции-отправителе для передачи их по сети, а также поря-
док разборки пакетов по достижении ими рабочей станции-получателя.
Рабочая станция (станция, компьютер, ПК, клиент) – это рабо-
чие станции, которые используют ресурсы сервера и предоставляют
удобные интерфейсы пользователя.
Распределитель (Hub) – центр ЛВС или кабельной системы с
топологией «звезда». В этой роли могут быть файл-серверы или
концентраторы. Они содержат сетевое программное обеспечение и
управляют коммуникациями внутри сети, а также могут работать как
шлюзы к другим ЛВС.
Редиректор для ОС (Redirector) – сетевое программное обеспе-
чение, которое принимает запросы ввода-вывода для удаленных фай-
лов, именованных каналов или почтовых слотов и затем переназна-
чает их сетевым сервисам другого компьютера. Для Windows NT ре-
директоры выполнены как драйверы файловой системы.
Редиректор для протоколов (Redirector) – компонент набора
протоколов или сетевой операционной системы, ответственный за
перехват запросов от приложений и распределение их между локаль-
ной или удаленной службами сети.
Реестр (Registry) – архив БД Windows NT для хранения инфор-
мации о конфигурации компьютера, включая аппаратные средства,
установленное программное обеспечение, установки окружения и др.
Сеанс (Session) – сообщение, в котором предполагается созда-
ние логической связи для обмена сообщениями. Сначала сеанс должен
быть установлен, затем происходит обмен сообщениями. После окон-
чания обмена сеанс необходимо закрыть.
Сегмент (Segment) – часть сети, ограниченная ретранслирую-
щими устройствами (повторителями, мостами, маршрутизаторами
и шлюзами).
Сервер (Server) – это компьютер сети, предоставляющий сер-
вис другим объектам по их запросам.
Сервис (Service) – процесс обслуживания объектов.

Сетевая служба (Network Service) – вид сервиса, предоставля-
емого сетью.
Сеть (Network) – взаимодействующая совокупность сетевых уз-
лов, связанных друг с другом каналами связи, предназначенная для
передачи информации.
Слот адаптера (Adapter Slot) – гнездо, встроенное в материн-
скую плату.
Стандарт RS-232 – промышленный стандарт для последова-
тельных соединений.
Структурная избыточность (Structure Redundancy или Hardware
Redundancy) – структурный параметр, отражающий превышение об-
щего числа связей и/или элементов системы над необходимым ми-
нимальным числом связей и/или элементов.
Телекоммуникация (Telecommunication) – область деятельности,
предметом которой являются методы и средства передачи информации.
Терминал (Terminal) – устройство ввода-вывода данных и команд
в систему или сеть.
Тестирование (Testing) – процесс проверки правильности функ-
ционирования устройства либо программного обеспечения.
Тип кадра (Frame Type) – один из четырех стандартов, которые
определяют структуру пакета Ethernet: Ethernet 802.3, Ethernet 802.2,
Ethernet SNAP или Ethernet II.
Транзакция (Transaction) – короткий во времени цикл взаимо-
действия объектов, включающий запрос – выполнение задания –
ответ.
Трансивер (Transciever) – устройство, предназначенное для пе-
редачи данных с сетевых интерфейсных плат в физическую среду.
Трафик (Traffic) – поток данных.
Удаленная регистрация (Remote Logon) – подключение по сети
к другому компьютеру пользователя, зарегистрированного на своем
ПК по своей учетной записи.
Удаленный доступ (Dial-up) – доступ к системе или по сети к
другому компьютеру пользователя, зарегистрированного на своем
ПК по своей учетной записи.
Узел (Node) – точка присоединения к сети; устройство, подклю-
ченное к сети.
Утилита (Utility) – программа, выполняющая какую-либо функ-
цию сервиса.
581
Учетная запись (Account) – это информация, которая хранится

в базе данных Windows NT (учетная запись пользователя, компью-
тера, группы).
Факсимильная связь (Faximile) – процесс передачи через ком-
муникационную сеть неподвижных изображений и текста.
Фрагментация (Fragmentation) – процесс разделения длинного
пакета данных с более высокого уровня на последовательность бо-
лее коротких пакетов на нижнем уровне.
Центральный процессор (Central Processing Unit, CPU) – управ-
ляющий и вычислительный модуль компьютера. Устройство, кото-
рое интерпретирует и выполняет команды.
Циклический избыточный код (Cyclical Redundancy Code, CRC) –
число, получаемое в результате математических преобразований над
пакетом данных и исходными данными. При доставке пакета вычис-
ления повторяются. Если результат совпадает, то пакет принят без
ошибок.
Цифровая линия (Digital Line) – линия связи, передающая ин-
формацию только в двоичной (цифровой) форме.
Цифровая сеть комплексных услуг (Integrated Services Digital
Network, ISDN) – цифровая сеть связи, обеспечивающая коммутацию
каналов и коммутацию пакетов.
Четность (Parity) – способ контроля за безошибочной переда-
чей блоков данных с помощью добавления контрольных битов.
Шина (Bus) – канал передачи данных, отдельные части кото-
рого называются сегментами.
Широковещательная передача (Broadcast) – технология пере-
дачи сигналов, таких как сетевые данные, посредством использова-
ния передатчика какого-либо типа для посылки этих сигналов по
коммуникационному носителю.
Шифрование (Encryption) – преобразование информации для ее
защиты от несанкционированного доступа.
Шлюз (Gateway) – устройство, посредством которого соединя-
ются сети разных архитектур.
Экран (Shielding) – металлическая оплетка или цилиндр, нави-
тый из фольги. Защищает передаваемые данные, уменьшая внеш-
ние электрические помехи, которые называются шумом.
Экранированная витая пара (Shielded Twisted-Pair, STP) – ви-
тая пара, окруженная заземленной металлической оплеткой, которая
служит экраном.
Электронная почта (e-mail) – компьютерная система обмена со-

общениями, где текст и файлы могут быть посланы от одного поль-
зователя к одному или многим другим пользователям в той же сети.
Эталонная модель взаимодействия открытых систем (OSI, Open
System Interconnection) – семиуровневая модель, которая стандар-
тизирует уровни услуг и виды взаимодействия между системами в
информационной сети при передаче данных.
Эфир (Ether) – пространство, через которое распространяются
волны электромагнитного спектра и прокладываются каналы радио-
сетей и инфракрасных сетей. Электромагнитное поле не нуждается
в специальном носителе.
Язык HTML – инструментальное программное обеспечение, ис-
пользующее технологию гипертекста.
Язык описания страниц (Page Description Language) – язык про-
граммирования, который описывает вид страницы для печати. Ис-
пользуется для компоновки изображения страницы.
Язык структурированных запросов (SQL, Structured Query Lan-
guage) – язык управления базами данных, используемый для запроса,
обновления и управления реляционными базами данных.
Ячеистая топология сети (Mesh Network Topology) – тополо-
гия, используемая в глобальных вычислительных сетях. К любому
узлу существует несколько маршрутов.
583
АНГЛОЯЗЫЧНЫЕ
ТЕРМИНЫ И ПОНЯТИЯ
10Base2 (известный как «тонкий» Ethernet) – обозначение тех-

нологии Ethernet по стандарту IEEE 802.3 со скоростью передачи
данных 10 Мбит/с для тонкого коаксиального кабеля.
10Base5 (также известен как «толстый» Ethernet) – обозначение
технологии Ethernet по стандарту IEEE 802.3 со скоростью пере-
дачи данных 10 Мбит/с для толстого коаксиального кабеля.
10Base-FL – стандарт на сегменты сети Ethernet на оптоволо-
конном кабеле.
10Base-Т – обозначение технологии Ethernet в соответствии со
стандартом IEEE 802.3 со скоростью передачи данных 10 Мбит/с для
кабеля «витая пара».
100Base-FX – обозначение технологии Fast Ethernet по стандар-
ту IEEE 802.3 сети Fast Ethernet для передачи больших сообщений
по многомодовому оптоволокну в полудуплексном и полнодуплекс-
ном режимах.
100Base-T4 – обозначение технологии Fast Ethernet по стандар-
ту IEEE 802.3 со скоростью 100 Мбит/с для четырехпарной витой
пары. Вместо кодирования 4B/5В в этом методе используется коди-
рование 8B/6T.
100Base-ТX – обозначение технологии сети Fast Ethernet по стан-
дарту IEEE 802.3 для передачи больших сообщений c использова-
нием метода MLT-3 для передачи сигналов 5-битовых порций кода
4В/5B по витой паре, а также наличие функции автопереговоров
(Auto-negotiation) для выбора режима работы порта.
1000Base-CX – стандарт на сегменты сети Gigabit Ethernet на
экранированной витой паре.
1000Base-LX – стандарт на сегменты сети Gigabit Ethernet на
оптоволоконном кабеле с длиной волны света 1,3 мкм.
1000Base-SX – стандарт на сегменты сети Gigabit Ethernet на
оптоволоконном кабеле с длиной волны света 0,85 мкм.
Access – см. термин «доступ».
Access Auditing (Access Control) – контроль доступа.
584 АНГЛОЯЗЫЧНЫЕ ТЕРМИНЫ И ПОНЯТИЯ
Accounting Management – управление учетом использования ре-

сурсов (сети).
Addressing – адресация, способ указания объектов в сети либо
в системе.
Administration – администрирование, управление сетью.
Analog Network – аналоговая сеть, передающая и обрабатываю-
щая аналоговые сигналы.
Analog-to-Digital Conversion – аналого-дискретное преобразо-
вание, процесс преобразования аналогового сигнала в дискретный.
Animation – анимация, виртуальная реальность, мнимый мир,
создаваемый аудиовидиосистемой в воображении пользователя.
Application layer – прикладной уровень модели OSI, обеспечи-
вающий прикладным процессам средства доступа к области взаимо-
действия.
Archivator – архиватор, программа, обеспечивающая сжатие данных.
Arithmetic and Logical Unit (ALU) – арифметико-логическое
устройство, часть процессора, выполняющая арифметические и ло-
гические операции над данными.
Asynchronous Transfer Mode (ATM) – асинхронный способ пере-
дачи данных, пакетно-ориентированный метод скоростной передачи.
Banyan Network – баньяновая сеть, скоростная распределитель-
ная сеть с каскадной адресацией.
Baud – бод, единица скорости передачи данных. Число бод равно
количеству изменений сигнала (потенциала, фазы, частоты), проис-
ходящих в секунду. Для двоичных сигналов нередко считают, что бод
равен биту в секунду, например 1200 бод = 1200 бит/с.
Beaconing (iBeacon) – технология на основе API-сервиса iOS,
которая начиная с версии 7 позволяет передавать данные между бес-
проводными устройствами – маяками (beacon) – и устройствами, под-
держивающими Bluetooth.
Binary Code – двоичный код, алфавит кода ограничен двумя сим-
волами (0, 1).
Bipolar Code – биполярный код. Алфавит кода ограничен тремя
символами (–1, 0, +1), где единицы представляются чередующимися
импульсами. Отсутствие импульсов определяет состояние нуля.
Bit (BInary digiT) – бит, наименьшая единица информации в дво-
ичной системе счисления.
Bridge – мост, сетевое оборудование для преобразования физи-
ческого и канального уровней различных типов.
585
Broadband Channel – широкополосный канал.

Broadcasting – широковещание.
Bus – шина.
Byte – байт, единица количества информации, равная восьми битам.
Cable – кабель, длинномерное изделие для передачи сигналов.
Cache Memory – кэш-память, буферное запоминающее устрой-
ство, работающее со скоростью, обеспечивающей функционирова-
ние процессора без режимов ожидания.
Carrier – несущая, непрерывный сигнал, на который наклады-
вается другой сигнал, дающий информацию.
Cellular Packet Radio Network – сотовая пакетная радиосеть.
Channel – канал, среда или путь, по которому передаются данные.
Circuit Switching – коммутация каналов, предоставление после-
довательности каналов сети для монопольного использования при
передаче данных во время сеанса.
Client – клиент, объект использующий сервис, предоставляемый
другими объектами.
Client-Server Architecture – архитектура «клиент-сервер».
Clock Rate – тактовая частота.
Closed Channel – закрытый канал.
Communication Network – коммуникационная сеть, предназна-
ченная для передачи данных, также она выполняет задачи, связанные
с преобразованием данных.
Communication Protocol Stack – стек коммуникационных протоколов.
Compiler – компилятор, программа-транслятор, преобразующая
код в язык машинных команд (исполняемый файл).
Confidention – конфиденциальность, доверительность, секретность.
Configuration Management – управление конфигурацией.
Conformance – конформность, соответствие объекта его норма-
тивно-технической документации. Конформность объекта опреде-
ляется в результате процесса его тестирования.
Connection – соединение.
Console – консоль, одна либо несколько абонентских систем для
работы с платформой управления сетью.
Covert Channel – cкрытый канал.
Databank – банк данных.
Database – база данных.
Database Management System (DBMS) – система управления ба-
зой данных (СУБД).
Database Server – сервер базы данных.

Datagram – дейтаграмма, сообщение, которое не требует под-
тверждения о приеме от принимающей стороны.
Data Link Layer – канальный уровень, уровень модели OSI, от-
вечающий за формирование и передачу блоков данных и обеспечи-
вающий доступ к каналу связи области взаимодействия.
Data Management – управление данными.
Data Processing – обработка данных.
Data Protection – защита данных.
Data Security – безопасность данных.
Data Security Architecture – архитектура безопасности данных,
архитектура, определяющая методы и средства защиты данных.
Data Transfer – пересылка данных.
Data Unit – блок данных.
Decoding – декодирование.
Dedicated Channel – выделенный канал.
Designator – распределитель.
Determinate Access – детерминированный доступ, множествен-
ный доступ.
Device – устройство.
Diagnostic – диагностика.
Dialog – диалог.
Digital Network – дискретная сеть.
Digital Signal – цифровой сигнал, дискретный сигнал.
Digit-to-Analog Conversion – дискретно-аналоговое преобразо-
вание, процесс преобразования дискретного сигнала в аналоговый.
Direct Memory Access (DMA) – прямой доступ к памяти.
DirectDraw – часть набора драйверов DirectX, поддерживающих
непосредственную работу с видеокартой и позволяющих, например,
прямую запись в видеопамять.
Directory – каталог.
Directory Network Service – сетевая служба каталогов.
DirectX – набор драйверов, образующий интерфейс между про-
граммами в среде Windows и аппаратными средствами.
Disk Drive – дисковод.
Disk Operating System (DOS) – дисковая операционная система
(ДОС).
Domain – домен, группа компьютеров, находящаяся в одном
месте (здание, этаж, организация) и управляемая СОС.
587
Driver – компонент операционной системы, взаимодействующий

с устройством либо управляющий выполнением программ.
Duplex Channel – дуплексный канал, осуществляет передачу дан-
ных в обоих направлениях.
Electronic Mail – электронная почта, средства передачи сооб-
щений между пользователями в сети.
Emulation – эмуляция, организация структуры одного объекта,
при которой его функционирование неотличимо от другого объекта.
Encryption – шифрование (зашифрование), способ изменения дан-
ных с целью засекречивания.
Enterprise Network – корпоративная сеть, локальная сеть большого
предприятия.
Ether – эфир, пространство, через которое распространяются
волны электромагнитного спектра и прокладываются каналы, радио-
сетей и инфракрасных сетей.
Ethernet Network – сеть Ethernet, тип локальной сети, предло-
женный корпорацией Xerox.
Explorer – программа-браузер для просмотра Web-страниц.
External Device – внешнее устройство.
External Memory – внешняя память, непосредственно не доступ-
ная процессору.
Fast Ethernet – сеть Fast Ethernet, тип скоростной сети Ethernet
со скоростью передачи данных 100 Мбит/с.
Fault Management – управление неисправностями (отказами в
сети).
Faximile – факсимильная связь, процесс передачи через комму-
никационную сеть неподвижных изображений и текста.
Fiber Channel Network – сеть Fiber Channel, тип скоростной ло-
кальной сети, основанной на использовании оптических каналов.
Fiber Distributed Data Interface (FDDI) – оптоволоконный рас-
пределенный интерфейс данных.
Fiber-Optic Link – волоконно-оптическая линия связи.
Flash Memory – флэш-память, память на основе полупроводни-
ковой технологии.
Frame – кадр.
Frame Relay – ретрансляция кадров.
Frequency Band – полоса частот.
Frequency Division Multiple Access (FDMA) – множественный
доступ с разделением частоты.
Frequency Modulation – частотная модуляция.

Functional Profile – функциональный профиль.
Gateway – шлюз.
Global Network – глобальная сеть.
Gopher – интерактивная оболочка для поиска, присоединения и
использования ресурсов и возможностей Internet. Интерфейс с поль-
зователем осуществлен через систему меню.
Graphic Interface – графический интерфейс.
Hardware – техническое обеспечение.
Hardware Description Language (HDL) – язык описания техни-
ческих средств.
Hardware Platform – аппаратная платформа.
Heterogeneous Network – гетерогенная сеть, в которой работают
системы различных фирм производителей.
Hierarchical Addressing – иерархическая адресация, при которой
адреса объединяют в группы, отражая их взаимосвязь.
High-level Language – язык высокого уровня.
Host Computer – главный компьютер в архитектуре «терминал –
главный компьютер».
Hypermedia – гиперсреда.
Hypertext – гипертекст.
Hypertext Markup Language (HTML) – гипертекстовый язык раз-
метки.
Hypertext Transfer Protocol (HTTP) – гипертекстовый протокол
передачи.
Identification – идентификация.
Information – информация.
Information Network – информационная сеть.
Infrared Channel – инфракрасный канал.
Infrared Network – инфракрасная сеть.
Infrared Radiation – инфракрасное излучение.
Infrastructure – инфраструктура.
Input/output Device – устройство ввода-вывода.
Input/output Interface – интерфейс ввода-вывода.
Integrated Services Digital Network (ISDN) – цифровая сеть с ин-
тегральным обслуживанием.
Intelligent Hub – интеллектуальный концентратор. Интеллект
концентраторов состоит в том, что они могут выполнять операции
мониторинга и управления сетью.
589
Interconnection Area – область взаимодействия.

Internet Network – сеть Internet.
Interpreter – интерпретатор, программа, анализирующая построч-
но команды или операторы программы и непосредственно выпол-
няющая их.
Java Language – язык Java, имеющий объектно-ориентирован-
ную архитектуру, предложенный корпорацией SUN Microsystems.
Java Script Language – язык JavaScript.
Key – ключ.
Knowledge Base – база знаний (БЗ).
Light Guide – световод.
Link Access Procedure (LAP) – процедура доступа к каналу.
Loader – загрузчик, программа, выполняющая функции загрузки
объектного модуля в операционную память и динамического фор-
мирования загрузочного модуля.
Local-Area Network (LAN) – локальная сеть.
Locking – блокировка.
Logical Address – логический адрес, символический условный
адрес объекта.
Logical Channel – логический канал.
Low-Level Language – язык низкого уровня.
Machine Language – машинный язык.
Macro Instruction – макрокоманда.
Manageable Hub – управляемый концентратор. Еще одно назва-
ние для интеллектуальных хабов. Каждый порт управляемого кон-
центратора можно независимо конфигурировать, включать или вы-
ключать, а также организовать его мониторинг.
Manchester Coding – манчестерское кодирование.
Message – сообщение, единица данных на прикладном уровне.
Mirroring – зеркализация.
Modular Hub – модульный концентратор, или хаб. В основе мо-
дульного хаба лежит шасси, в которое помещаются специальные
платы или модули. Каждый из модулей функционирует подобно ав-
тономному концентратору, а модули взаимодействуют друг с другом
через шину шасси.
Narrowband Channel – узкополосный канал.
NetWare Network – сеть NetWare.
Network – сеть.
Network Analyzer – анализатор сети.
Network Basic Input/Output System (NetBIOS) – сетевая базовая

система ввода-вывода.
Network Compatibility – совместимость сети.
Network Layer – сетевой уровень.
Network Manageability – управляемость сети.
Network Management – управление сетью.
Network Operating System (NOS) – сетевая операционная система
(СОС).
Network Performance – производительность сети.
Network Printer – сетевой принтер.
Network Service – сетевая служба.
Network Transparency – прозрачность сети.
Neural Network – нейронная сеть.
Notebook Personal Computer – блокнотный персональный ком-
пьютер.
Object Linking and Embedding Technology (OLE) – технология
связи и внедрения объектов
Object-Oriented Architecture – объектно-ориентированная архи-
тектура.
Object-Oriented Database (OODB) – объектно-ориентированная
база данных.
Online Mode – интерактивный режим.
Optical Fiber – оптическое волокно.
Packet – пакет, единица данных на сетевом уровне.
Packet (Batch) Mode – пакетный режим.
Packets Encapsulation – инкапсуляция пакетов.
Packet Switching – коммутация пакетов.
Paging Device – пейджер, устройство радиовызова.
Parity – четность, паритет.
Pascal Language – язык Pascal.
Password – пароль.
PCI Bus – шина PCI.
Peer-to-Peer Architecture – одноранговая архитектура.
Performance Management – управление эффективностью (в сети).
Permission – разрешение.
Physical Address – физический адрес.
Physical Interconnection Facility – физические средства соединения.
Physical Layer – физический уровень.
Physical Link – физический канал.
591
Physical Medium – физическая среда.

Ping – утилита проверки связи с удаленной ЭВМ.
Presentation Layer – представительский уровень.
Quantization – квантование, разбиение диапазона значений ана-
логового сигнала на конечное число интервалов (кванты).
Quantum – квант.
Radio Channel – радиоканал.
Radio Local-Area Network – локальная радиосеть.
Radio Network – радиосеть.
Real-Time System – система реального времени, функциониро-
вание которой зависит не только от логической корректности вычис-
лений, но и от времени, за которое эти вычисления производятся.
Redirector – редиректор.
Relational Database (RDB) – реляционная база данных.
Relay System – ретрансляционная система.
Remote Access – удаленный доступ.
Repeater – повторитель, репитер.
Resource – ресурс.
Resource Sharing – совместное использование ресурса.
Ribbon Cable – плоский кабель.
Rout – маршрут, путь.
Router – маршрутизатор.
Routing – роутинг.
Routing Table – таблица маршрутизации.
Security Management – управление защитой данных или безопас-
ностью (сети).
Serial Interface – последовательный интерфейс.
Server – сервер.
Service – сервис.
Session – сеанс.
Session Layer – сеансовый уровень.
Sharing (разделение) – совместное использование.
Simulation – моделирование.
Software – программное обеспечение.
Stackable Hub – стековый хаб. Стековые хабы действуют как
автономные устройства с единственным отличием, они позволяют
организовать стек – группу концентраторов, работающих как одно
логическое устройство. С точки зрения сети стек концентраторов
является одним хабом.
Stand-alone – автономный.
Stand-alone Hub – автономный хаб. Устройство с несколькими
(обычно от 4 до 32) портами, способное функционировать незави-
симо. Обычно автономные концентраторы поддерживают способ на-
ращивания числа портов.
Subnet Mask – маска подсети.
Switch – коммутатор.
Synchronizing – синхронизация.
Syntax – синтаксис.
Telecommunications – телекоммуникации.
Telefax – факс-аппарат.
Telephone Mail – электронная почта.
Telephone Network – телефонная сеть.
Telnet – удаленный доступ. Дает возможность абоненту работать
на любой ЭВМ сети Internet как на своей собственной.
Time Sharing – разделение времени.
Token – полномочие.
Topology – топология.
Traffic – трафик.
Transaction – транзакция, короткий во времени цикл взаимодей-
ствия объектов, включающий запрос – выполнение задания – ответ.
Translator – транслятор, программа, преобразующая программу,
написанную на одном языке, в программу, представленную на дру-
гом языке.
Transparency – прозрачность, объект считается прозрачным для
пользователя либо программы в том случае, когда они, работая че-
рез (сквозь) объект, не видят его.
Transport Layer (транспортный уровень) – уровень, на котором
пакеты передаются через коммуникационную сеть.
Unauthorized Access – несанкционированный доступ.
Uninterruptible Power Supply (UPS) – источник бесперебойного
питания.
Unipolar Code – униполярный код.
Unique Address – уникальный адрес.
Universal Code (UNICODE) – это универсальный код, стандарт
16-разрядного кодирования символов. Код идет на смену использо-
вавшимся до сих пор 7–8-битовым обозначениям.
UNIX Operating System (операционная система) – сетевая опе-
рационная система (СОС), созданная фирмой Bell Laboratory.
593
User – пользователь, юридическое либо физическое лицо, ис-

пользующее какие-либо ресурсы, возможности.
User Interface – интерфейс пользователя.
Utility – утилита, программа, выполняющая какую-либо функ-
цию сервиса.
Verification – верификация, процедура проведения анализа с це-
лью установления подлинности, проверки истинности.
Video Board – видеоплата, одноплатный контроллер, вставляе-
мый в компьютер и осуществляющий в режиме реального времени
аналого-дискретное преобразование в потоки дискретных сигналов.
Video Bus – видеошина, предназначенная, в первую очередь, для
передачи изображений.
Video Conferencing – видеоконференция, методология проведе-
ния совещаний и дискуссий между группами удаленных пользова-
телей с использованием движущихся изображений.
Viewer – визуализатор, программа просмотра документов на экране.
Wavequide – волновод.
Whois – адресная книга сети Internet.
Wiring Concentrator – связной концентратор.
Workstation – рабочая станция, использующая ресурсы сервера
и предоставляющая удобные интерфейсы пользователя.
АНГЛОЯЗЫЧНЫЕ СОКРАЩЕНИЯ
ACF (Advanced Communications Function) – дополнительная

коммуникационная функция.
ACP (ANSI Code Page) – кодовая страница ANSI.
ACPI (Advanced Configuration and Power Interface) – современ-
ный интерфейс конфигурирования и управления энергопотреблением.
ACS (Advanced Connectivity System) – дополнительные системы
связи.
ADC (Analog Digital Converter) – аналого-цифровой преобразо-
ватель (АЦП). Предназначен для преобразования аналогового сигнала
в цифровой.
ADS (Alternate Data Streams) – альтернативный поток данных.
ADSL (Asymmetric Digital Subscriber Line) – асимметричная циф-
ровая абонентская линия.
AFP (AppleTalk File Protocol) – файловый протокол AppleTalk).
Протокол удаленного управления файлами Macintosh.
AMPS (Advanced Mobile Phone Service) – мобильная телефонная
система; аналоговый стандарт сотовой связи, относящийся к сетям
первого поколения (1G).
ANR (Automatic Network Routing) – автоматическая сетевая мар-
шрутизация.
ANSI (American National Standards Institute) – Американский на-
циональный институт стандартов.
API (Application Programming Interface) – интерфейс приклад-
ных программ. Набор процедур, которые вызываются прикладной
программой для осуществления низкоуровневых операций, испол-
няемых операционной системой.
APPC (Advanced Program-to-Program Communication) – высоко-
уровневый протокол для взаимодействия программ.
ARCU (Application-Resource-Context-User) – модель «приложение –
ресурс – контекст – пользователь».
ARP (Address Resolution Protocol) – протокол разрешения адреса.
ARQ (Automatic Repeat Request) – автоматический запрос повтор-
ной передачи.
595
ASCII (American Standard Code for Information Interchange) – аме-

риканский стандартный код для информационного обмена.
ASMP (ASymmetric Multi Processing) – асимметричная мульти-
процессорная обработка.
ASP (Active Server Page) – технология, позволяющая создавать
динамические Web-приложения.
ASP (Application Service Provider) – провайдер прикладных услуг.
AT (Advanced Technology) – усовершенствованная технология.
AT&T (American Telephone and Telegraph) – американский теле-
фон и телеграф, американский транснациональный телекоммуника-
ционный конгломерат.
ATM (Asynchronous Transfer Mode) – асинхронный режим пере-
дачи. Тип коммутационной технологии, при котором по сети пере-
даются небольшие ячейки фиксированного размера.
ATP (AppleTalk Protocol) – транзакционный сеансовый прото-
кол AppleTalk.
AUI (Attachment Unit Interface) – интерфейс подключаемого мо-
дуля. Интерфейс для подключения внешнего трансивера, установ-
ленного на магистральном коаксиальном кабеле.
BASE – сокращение BASEband, основная полоса канала.
BASIC (Beginning All-purpose Symbolic Instruction Code) – система
символического кодирования для начинающих.
BBS (Broadcast Bulletin System) – широковещательная система
объявлений. Электронная доска объявлений, компьютерный аналог
доски объявлений.
BDC (Backup Domain Controller) – вторичный контроллер домена.
BI (Business Intelligence) – система бизнес-аналитики.
ВIOS (Basic Input/Output System) – базовая система ввода-вывода.
ВISDN (Broadband Integrated Services Digital Network) – широ-
кополосная цифровая сеть с интегральным обслуживанием.
BNA (Broad Network Access) – широкий сетевой доступ (в облаке).
BNS (Broadband Network Service) – широкополосный сетевой сервис.
BSC (Base Station Controller) – контроллер базовой станции.
BSS (Base Station Subsystem) – подсистема базовой станции.
BTS (Base Transceiver Station) – базовая трансиверная станция.
B-WIN (Broadband-Wissenschafts Nets) – широкополосная иссле-
довательская сеть.
CAS (Column Address Strobe) – строб адреса столбца, сигнал,
используемый при работе с динамической памятью.
596 АНГЛОЯЗЫЧНЫЕ СОКРАЩЕНИЯ
CASE (Computer-Aided Software Engineering) – компьютерная

разработка программного обеспечения.
CBN (Cloud-Based Network) – облачная сеть.
CDDI (Copper Distributed Data Interface) – распределенный про-
водной интерфейс передачи данных.
CDMA (Code Division Multiple Access) – множественный доступ
с кодовым разделением каналов.
CDPD (Cellular Digital Packet Date) – сотовые дискретные па-
кетные данные, сотовая пакетная радиосеть.
CD-ROM (Compact Disk Read Only Memory) – компакт-диск с
памятью только для чтения.
CGI (Common Gateway Interface) – общий интерфейс шлюза.
CGM (Computer Graphics Metafile) – метафайл компьютерной
графики.
CHAP (Challenge Handshake Authentication Protocol) – прото-
кол аутентификации с предварительным (косвенным) согласованием
вызова.
CLNP (Connection Less Network Protocol) – сетевой протокол без
организации соединений.
CMIP (Common Management Information Protocol) – общий про-
токол управления информацией.
CPI (Common Programming Interface) – общий программный ин-
терфейс.
CPU (Central Processing Unit) – центральное процессорное устройство.
CRC (Cycle Redundancy Check) – контроль цикличной избыточ-
ности.
CSMA/CD (Carrier Sense Multiple Access with Collision Detection) –
множественный доступ с прослушиванием несущей и разрешением
коллизий.
CWIS (Campus Wide Information System) – глобальная информа-
ционная система.
DAS (Double Attached Station) – станция сети FDDI с двойным
подключением к магистральному кольцу или концентратор.
DBMS (Database Management System) – система управления ба-
зами данных (СУБД).
DC (Data Center) – центр обработки данных.
DDC (Display Data Channel) – интерфейс обмена данными между
компьютером и монитором.
DDE (Dynamic Date Exchange) – динамический обмен данными.
597
DDP (Datagram Delivery Protocol – протокол доставки дейтаграмм).

Протокол передачи данных Apple, используемый в AppleTalk.
DECT (Digital Enhanced Cordless Telecommunications) – стандарт
беспроводной телефонии домашнего или офисного назначения.
DHCP (Dynamic Host Configuration Protocol) – протокол дина-
мической конфигурации хоста.
DIPC (Data Integration Platform Cloud) – облачная платформа инте-
грации данных; это унифицированная платформа для репликации дан-
ных в реальном времени, преобразования данных, слежения за каче-
ством данных и управления данными; разработана корпорацией Oracle.
DLC (Dada Link Control) – протокол управления каналом пере-
дачи данных.
DLL (Dynamic Linked Library) – динамическая библиотека.
DMA (Direct Memory Access) – прямой доступ к памяти.
DMS (Data Management Server) – сервер управления данными.
DNS (Domain Name System) – доменная система имен.
DPS (Workstations/Data Processing Systems) – pабочие станции/
системы обработки данных.
DRAM (Dynamic Random Access Memory) – динамическая па-
мять прямого доступа, память, схемотехнически выполненная в виде
двумерной матрицы (строки и столбцы) конденсаторов.
DSL (Digital Subscriber Line) – цифровая абонентская линия.
DVI (Digital Video Interactive) – система аппаратного сжатия дви-
жущихся видеоизображений.
DVD (Digital Versatile Disk) – цифровой универсальный диск,
самый современный стандарт хранения информации на оптическом
(лазерном) диске.
DW (Data Warehouse) – хранилище данных.
EAP (Extensible Authentication Protocol) – расширяемый прото-
кол аутентификации.
EBCDIC (Extended Binary Coded Decimal Interchange Code) –
схема кодировки IBM. Используется мэйнфреймами и ПК.
ECC (Error Correction Code) – код коррекции ошибок.
ED (End Delimeter) – конечный ограничитель.
EDGE (Enhanced Data Rates for GSM Evolution) – цифровая тех-
нология для мобильной связи, которая функционирует как надстройка
над 2G- и 2.5G-сетями.
ЕНСS (Event Hub Cloud Service) – это управляемый облачный
сервис, который обеспечивает высокодоступную и масштабируемую
платформу обмена сообщениями для работы с потоковыми данными;

разработан корпорацией Oracle.
EIA (Electronic Industries Alliance) – альянс отраслей электрон-
ной промышленности в США.
EIR (Equipment Identity Register) – регистр идентификации обо-
рудования.
EISA (Enhanced Industry Standard Architecture) – 32-разрядная
архитектура системной шины для ПК на базе процессора Intel.
EMS (Element Management System) – система управления эле-
ментами сети.
ESP (Encapsulating Security Payload) – протокол, который обес-
печивает конфиденциальность, целостность и аутентификацию па-
кета при передаче данных.
ETR (Early Token Release) – алгоритм раннего освобождения маркера.
FAQ (Frequently Asked Questions) – часто задаваемые вопросы.
FCS (Frame Check Sequence) – поле контрольной суммы.
FDDI (Fiber Distributed Date Interface) – распределенный интер-
фейс передачи данных по волоконно-оптическому кабелю. Техно-
логия ЛВС, использующая скорость передачи 100 Мбит/с.
FDMA (Frequency Division Multiple Access) – множественный
доступ с разделением частоты.
FDSE (Full Duplex Switched Ethernet) – полнодуплексная ком-
мутируемая сеть Ethernet.
FEC (Forward Error Correction) – упреждающая (или прямая) кор-
рекция ошибок.
FQDN (Fully Qualified Domain Name) – полностью определен-
ное имя домена.
FTAM (File Transfer, Access, and Management) – протокол пере-
дачи, доступа и управления файлами.
FTP (File Transfer Protocol) – протокол передачи файлов. Поз-
воляет обмениваться файлами по сети.
GDI (Graphics Device Interface) – интерфейс графического устройства.
GIF (Graphics Interchange Format) – файлы растровых изображе-
ний, в которых используется не более 256 индексированных цветов.
GRE (Generic Routing Encapsulation) – общая инкапсуляция мар-
шрутов, протокол туннелирования сетевых пакетов, разработанный
компанией Cisco Systems.
GSM – от названия группы Groupe Spеcial Mobile, позже пере-
именован в Global System for Mobile Communications.
599
GUI (Graphics User Interface) – графический интерфейс пользо-

вателя.
HAL (Hardware Abstraction Layer) – уровень аппаратных абстракций.
HDL (Hardware Description Language) – язык описания техниче-
ских средств.
HDLC (High-level Data Link Control) – протокол управления ка-
налом передачи данных высокого уровня.
HLR (Home Location Register) – регистр исходного положения.
HP (Hewlett-Packard) – Хьюлитт – Паккард (корпорация НР).
HSTR (High-Speed Token Ring) – высокоскоростной Token Ring.
HTML (Hyper Text Markup Language) – язык гипертекстовой раз-
метки.
HTTP (Hyper Text Transfer Protocol) – протокол передачи гипер-
текста.
IaaS (Infrastructure as a Service) – инфраструктура как услуга.
IANA (Internet Assigned Numbers Authority) – служба распреде-
ления номеров.
IBM (International Business Machines) – международные бизнес-
машины, название известной корпорации.
IBSS (Independent Basic Service Set) – независимая базовая зона
обслуживания (или Р2Р).
ICANN (the Internet Corporation for Assigned Names and Num-
bers) – интернет-корпорация по распределению имен и адресов.
ICMP (Internet Control Message Protocol) – протокол управления
сообщениями Интернета.
IDE (Integrated Device Electronic) – интерфейс жестких дисков.
IDS (Intrusion Detection System) – система распознавания втор-
жений или атак.
IDS/IPS (Intrusion Detection System/Intrusion Prevention Systems) –
системы обнаружения/предотвращения вторжений.
IEEE (Institute of Electrical and Electronics Engineers) – Институт
инженеров электротехники и электроники.
IIS (Internet Information Server) – компонент Microsoft Back ofFice,
который действует как web-сервер в среде Windows NT.
IMAP (Internet Message Access Protocol) – протокол доступа к
электронной почте. Разработан на смену SMTP.
IMP (Interface Message Processors) – устройства для управления
трафиком в сети.
IoT (Internet of Things) – интернет вещей.
IP (Internet Protocol) – протокол Интернет, сетевой протокол

стека TCP/IP, который предоставляет адресную и маршрутную ин-
формацию.
IPsec (Internet Protocol Security) – набор протоколов для обес-
печения защиты данных, передаваемых по IP-сети.
IPTV (Internet Protocol Television) – телевидение по протоколу
Интернета.
IPX (Internetwork Packet Exchange) – протокол межсетевого об-
мена пакетами, предназначенный для адресации и маршрутизации
пакетов в сетях Novell.
IrМС (Infrared Mobile Communications) – мобильная связь в ин-
фракрасном диапазоне.
IRQ (Interrupt Request) – запрос на прерывание.
ISA (Industry Standard Architecture) – системная шина IBM PC/IT.
Позволяет подключить к системе различные адаптеры, установив до-
полнительную плату в гнездо расширения.
ISAPI (Inernet Server API) – интерфейсы прикладного програм-
мирования фирмы Microsoft.
ISDN (Integrated Services Digital Network) – цифровая сеть с ин-
теграцией служб (услуг), ЦСИС.
ISO (International Organization for Standardization) – организация
стандартизации различных стран.
JTM (Job Transfer and Manipulation) – сетевая служба передачи
и управления заданиями.
L2TP (Layer Two Tunneling Protocol) – протокол туннелирова-
ния, основанный на протоколе L2F (Layer Two Forwarding), разра-
ботанном компанией Cisco, и протоколе PPTP.
LAN (Local-Area Network) – локальная сеть.
LAP (Link Access Procedure) – процедура доступа к каналу.
LAT (Local-Area Transport) – немаршрутизируемый протокол
фирмы Digital Equipment Corporation, DEC).
LLC (Logical Link Control) – логический контроль связи.
LSB (Least Significant Bit) – метод наименее значащих битов, НЗБ.
LSL (Link Support Layer) – уровень поддержки связи.
LTE (Long-Term Evolution) – долговременное развитие; отно-
сится обычно к обозначению стандарта беспроводной связи 4G LTE.
MAC (Media Assess Control) – контроль доступа к среде.
MAPI (Messaging Application Program Interface) – интерфейс при-
кладных программ обработки сообщений.
601
MAU (Multiple Access Unit) – устройство с множественным до-

ступом).
MCA (Micro Channel Architecture) – 32-битная системная шина
в ПК IBM PS/2.
MIB (Management Information Base) – базы управляющей инфор-
мации.
MMF (Multi Mode Fiber) – многомодовый кабель.
MNP (Microcom Network Protocol) – серия стандартов, предна-
значенная для сжатия информации и исправления ошибок при асин-
хронной передачи данных по телефонным линиям.
MPLS (Multiprotocol Label Switching) – многопротокольная ком-
мутация по меткам (с использованием IP).
MSAU (или MAU, MultiStation Access Unit) – многостанционные
устройства доступа; концентратор.
MSC (Mobile Switching Center) – мобильный центр коммутации.
MTBF (Mean Time Between Failure) – среднее время между от-
казами; параметр надежности системы или устройства.
MTSO (Mobile Telecommunications Switching Office) – коммута-
тор мобильных телекоммуникаций.
MU-MIMO (Multi-User Multiple-Input/Multiple-Output) – много-
пользовательский многоканальный вход-выход.
NAF (Network Access Facilities) – средства доступа к сети.
NAS (Network-Attached Storage) – сетевой накопитель.
NBP (Name Binding Protocol) – транспортный протокол связы-
вания имен AppleTalk.
NCP (NetWare Core Protocol) – базовый протокол сетей NetWare.
NDIS (Network Device Interface Specification) – спецификация
интерфейса сетевого устройства, программный интерфейс, обеспе-
чивающий взаимодействие между драйверами транспортных прото-
колов и соответствующими драйверами сетевых интерфейсов. Поз-
воляет использовать несколько протоколов, даже если установлена
только одна сетевая карта.
NetBEUI (NetBIOS Extended User Interface) – протокол ЛВС,
поддерживаемый всеми СОС фирмы Microsoft, обеспечивает транс-
портные услуги для NetBIOS.
NetBIOS (Network Basis Input/Output System) – интерфейс при-
кладных программ для ЛВС. Устанавливает соединение между ком-
пьютерами.
NFS (Network File System) – сетевая файловая система.
NFV (Network Functions Virtualization) – виртуализация сетевых

функций.
NGN, или NGNe (Next Generation Network), – сети последующих
поколений.
NIS (Network Information System) – сетевая информационная си-
стема. Обеспечивает способ доступа к данным, благодаря которому
все узлы сети могут использовать единую БД, содержащую все учет-
ные записи пользователей сети и имена всех сетевых узлов.
NLM (NetWare Loadable Module) – загружаемый модуль NetWare.
NLSP (NetWare Link Service Protocol) – протокол канального
сервиса NetWare.
NMS (Network Management Server) – сервер управления сетью.
NOS (Network Operating System) – сетевая операционная система.
NRZ (Non-Return to Zero) – без возврата к нулю. Метод двоич-
ного кодирования информации, при котором единичные биты пред-
ставляются положительным значением, а нулевые отрицательным.
NSAPI (Netscape API) – интерфейсы прикладного программи-
рования фирмы Netscape.
ODBC (Open Database Connectivity) – открытый доступ к базам
данных.
ODI (Open Data-Link Interface) – интерфейс открытого драйвера.
ODSS (On-Demand Self-Service) – самообслуживание по запросу.
OFDM (Orthogonal Frequency Division Multiplexing) – мульти-
плексирование с разделением по ортогональным частотам.
OFDMA (Orthogonal Frequency Division Multiple Access) – мно-
жественный доступ с ортогональным частотным разделением каналов,
одна из важнейших фунуций повышения производительности сети.
OLAP (Online Analytical Processing) – онлайн-аналитическая об-
работка.
OLE (Object Linking and Embedding) – связь и внедрение объектов.
OME (Open Messaging Environment) – среда открытых сообщений.
OSA (Open Scripting Architecture) – архитектура открытых сце-
нариев.
OSI (Open System Interconnection) – взаимодействие открытых
систем.
OSINT (Open Source Intelligence) – разведка на основе открытых
источников.
OSPM (Operating System Power Management) – непосредствен-
ное управление энергопотреблением операционной системы.
603
OSPF (Open Shortest Path First) – протокол динамической марш-

рутизации.
PaaS (Platform as a Service) – платформа как услуга.
PAP (Password Authentication Protocol) – протокол простой про-
верки подлинности, предусматривающий отправку имени пользова-
теля и пароля на сервер.
PCI (Peripheral Component Interconnect) – соединение внешних
устройств, шина PCI.
PCN (Personal Communications Network) – персональные сети
связи.
PCS (Personal Communication Services) – персональные службы
связи.
PDC (Primary Domain Controller) – первичный контролер доме-
нов, ПК под управлением Windows NT Server, на котором хранятся
БД учетных записей домена.
PDU (Protocol Data Unit) – единица данных протокола.
PKI (Public Key Infrastructure) – инфраструктура системы с от-
крытыми ключами.
PLC (Power Line Carrier) – связь через линии электропередач, ЛЭП.
PnP (Plug-and-Play) – технология самонастраиваемого обору-
дования.
PoE (Power over Ethernet) – передача электроэнергии через Ethernet.
PPP (Point-to-Point Protocol) – протокол «точка – точка». Про-
токол, предназначенный для работы на двухточечной линии (линии,
соединяющей два устройства). Протокол канального уровня.
PSTN (Public Switched Telephone Network) – телефонные сети
связи общего пользования, ТфОП.
PTM (Packet Transfer Mode) – пакетный способ передачи.
PVC (Permanent Virtual Connection) – постоянные виртуальные
соединения (в сетях АТМ).
QoE (Quality of Experience) – качество восприятия.
QoS (Quality of Service) – качество обслуживания.
RAC (Remote Access Client) – клиент удаленного доступа.
RAID (Redundant Array of Independent Disks) – избыточный мас-
сив независимых дисков.
RAM (Random Access Memory) – память с произвольным доступом.
RARP (Reverse Address Resolution Protocol) – реверсивный про-
токол разрешения адреса.
RAS (Remote Access Server) – сервер удаленного доступа.
RDBMS (Relational Database Management System) – система управ-

ления реляционными базами данных.
RFS (Remote File System) – удаленная файловая система.
RIF (Routing Information Field) – поле маршрутной информации.
RIP (Routing Information Protocol) – протокол обмена маршрут-
ной информацией, протокол маршрутной информации.
RIP (Routing Internet Protocol) – протокол взаимодействия мар-
шрутизаторов в сети; протокол маршрутной информации.
RPC (Remote Procedure Call) – вызов удаленных процедур.
RRAS (Routing and Remote Access Service) – служба маршрути-
зации и удаленного доступа.
RTOS (Real-Time Operating System) – операционная система ре-
ального времени.
RTP (Real-Time Transport Protocol) – транспортный протокол пе-
редачи в реальном времени.
SaaS (Software as a Service) – программное обеспечение как услуга.
SAN (Storage-Area Networks) – сеть хранения данных.
SAP (Service Access Point) – точка доступа к службе. Точка, в
которой услуга какого-либо уровня OSI становится доступной бли-
жайшему вышележащему уровню. Точки доступа именуются в со-
ответствии с уровнями, обеспечивающими сервис.
SAS (Single Attached Station) – станция сети FDDI с одинарным
подключением.
SCADA (Supervisory Control and Data Acquisition) – диспетчер-
ское управление и сбор данных.
SCCP (Signaling Connection Control Part) – подсистема управле-
ния соединениями сигнализации.
SDH (Synchronous Digital Hierarchy) – синхронная дискретная
иерархия. Европейский стандарт на использование оптических ка-
белей в качестве физической среды для скоростных сетей передачи
на большие расстояния.
SDLC (Synchronous Data Link Control) – протокол синхронной
SDN (Software-Defined Network) – сеть, определяемая программным
обеспечением – виртуальная сеть; программно-конфигурируемая сеть.
SFD (Start of Frame Delimiter) – признак начала кадра.
SID (Security Identification) – идентификатор безопасности.
SKIP (Simple Key Management or Internet Protocol) – простой про-
токол управления криптоключами в Интернете.
605
SLA (Service Level Agreement) – соглашение об уровне обслу-

живания.
SLIP (Serial Line Internet Protocol) – Интернет-протокол для по-
следовательных линий. Протокол последовательной посимвольной
передачи данных. Позволяет компьютеру использовать IP (и, таким
образом, становится полноправным членом сети), осуществляет связь
с миром через стандартные телефонные линии и модемы, а также не-
посредственно через интерфейс RS-232.
SMF (Single Mode Fiber) – одномодовый кабель.
SMTP (Simple Mail Transfer Protocol) – простой протокол элек-
тронной почты.
SNA (System Network Architecture) – архитектура систем связи,
которая предназначена для обмена данными между ПК различных
типов.
SNAP (SubNetwork Access Protосоl) – протокол доступа к подсети.
SNMP (Simple Network Management Protocol) – простой протокол
сетевого управления. Протокол сетевого администрирования SNMP
очень широко используется в настоящее время. Управление сетью
входит в стек протоколов TCP/IP.
SONET (Synchronous Optical Network) – синхронная оптическая сеть.
SPX (Sequenced Packet Exchange) – протокол, осуществляющий
передачу сообщений с установлением соединений в сетях Novell.
SQL (Structured Query Language) – язык структурированных за-
просов.
SSL (Secure Socket Layer) – протокол защищенных сокетов; обес-
печивает секретный обмен сообщениями для протоколов приклад-
ного уровня стека TCP/IP.
STP (Spanning Tree Protocol) – протокол связующего дерева; ка-
нальный протокол, основной задачей которого является устранение
петель в топологии произвольной сети Ethernet, в которой есть один
или более сетевых мостов, связанных избыточными соединениями.
STP (Shielded Twisted Pair) – экранированная витая пара. Име-
ются защита в виде экрана для каждой пары и общий внешний экран
в виде сетки.
SVC (Switched Virtual Connection) – коммутируемые виртуаль-
ные соединения (в сетях АТМ).
TCP (Transmission Control Protocol) – протокол управления пе-
редачей.
TDI (Transport Driver Interface) – интерфейс транспортного драйвера.
TDMA (Time Division Multiple Access) – множественный доступ

с разделением во времени.
TFTP (Trivial File Transfer Protocol) – простейший протокол пе-
редачи файлов.
TIFF (Tagged Image Format File) – спецификация формата файла
изображения.
TLD (Top-Level Domain) – домены верхнего уровня.
TLI (Transport Level Interface) – интерфейс транспортного уровня.
TP4 (Transmission Protocol 4) – протокол передачи класса 4.
TPDDI (Twisted Pair Distributed Data Interface) – электрическая
реализация архитектуры FDDI на витой паре.
TPMA (Token Passing Multiple Access) – множественный доступ
с передачей полномочия или метод с передачей маркера.
UDP (User Datagram Protocol) – пользовательский протокол дей-
таграмм.
UMTS (Universal Mobile Telecommunication System) – универ-
сальная система мобильной связи.
UNI (User-to-Network Interface) – сетевой интерфейс пользова-
теля. Набор правил, который определяет взаимодействие оконечного
оборудования и сети ATM с физической и информационной точек
зрения.
UNC (Universal Name Convention) – стандартный метод имено-
вания в сети, имеющий вид \\сервер\общий_ресурс.
UPS (Uninterruptible Power Supply) – источник бесперебойного
питания.
URL (Uniform Resource Locator) – адрес универсального указа-
теля ресурсов.
USSD (Unstructured Supplementary Service Data) – неструктури-
рованные дополнительные сервисные данные.
UTP (Unsealing Twist Pare) – неэкранированная витая пара.
UUCP (Unix-to-Unix Copy Protocol) – протокол копирования от
Unix к Unix.
UWC (Universal Wireless Communications) – технология EDGE.
VESA (Video Electronics Standard Association) – ассоциация стан-
дартов электронной графики.
VGA (Video Graphics Array) – видеографическая матрица.
VHDL (Very High-speed integrated circuit Hardware Description
Language) – язык описания технических средств сверхскоростных
интегральных схем.
607
VLR (Visitor Location Register) – регистр местонахождения по-

сетителей.
VNF (Virtual Network Functions) – виртуальные сетевые функции.
VoIP (Voice over Internet Protocol) – IP-телефония.
VPI (Virtual Path Identifier) – идентификатор виртуального пути
(в технологии ATM).
VPN (Virtual Private Network) – виртуальная частная сеть.
WAIS (Wide Area Information Server) – протокол глобального ин-
формационного сервера.
WDM (Wavelength Division Multiplexing) – мультиплексирова-
ние с разделением по длине волны.
WDMA (Wavelength Division Multiple Access) – множественный
доступ с разделением длины волны.
WINS (Windows Internet Name Service) – сетевая служба Windows,
используемая для определения IP-адреса по имени NetBIOS.
WWW (Word Wide Web) – всемирная паутина.
Учебное издание
Урбанович Павел Павлович

Романенко Дмитрий Михайлович
КОМПЬЮТЕРНЫЕ СЕТИ
И СЕТЕВЫЕ ТЕХНОЛОГИИ
Учебное пособие
Редактор Т. Е. Самсанович
Компьютерная верстка А. Н. Петрова
Дизайн обложки П. П. Падалец
Корректор Т. Е. Самсанович
Подписано в печать 01.08.2022. Формат 60×841/16.

Бумага офсетная. Гарнитура Таймс. Печать ризографическая.
Усл. печ. л. 39,5. Уч.-изд. л. 33,0.
Тираж 150 экз. Заказ 00000.
Издатель и полиграфическое исполнение:

УО «Белорусский государственный технологический университет».
Свидетельство о государственной регистрации издателя,
изготовителя, распространителя печатных изданий
№ 1/227 от 20.03.2014.
Ул. Свердлова, 13а, 220006, г. Минск.
Переплетно-брошюровочные процессы
произведены в УП «Донарит».
Ул. Октябрьская, 25, офис 2, 220030, г. Минск

Урбанович Компьютерные Сети 2022

Загружено:

Авторское право:

Доступные форматы

Урбанович Компьютерные Сети 2022

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Урбанович Компьютерные Сети 2022

Загружено:

Авторское право:

Доступные форматы

Учреждение образования

ISBN 978-985-530-967-4 © УО «Белорусский государственный

1. ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ.

2. ОСНОВНЫЕ ПРИНЦИПЫ ПОСТРОЕНИЯ СЕТЕЙ......... 45

2.2.4. Топология «звезда» ............................................... 55

3. ОСНОВЫ ПЕРЕДАЧИ ДАННЫХ ПО СЕТИ ..................... 79

3.3.6. Сетевой уровень .................................................... 108

5.2.11. Unicast IPv6-адреса .............................................. 160

6. БАЗОВЫЕ ТЕХНОЛОГИИ ЛОКАЛЬНОЙ СЕТИ ............ 209

6.4. Сети 100VG-AnyLAN ...................................................... 239

7. ФИЗИЧЕСКАЯ СРЕДА ПЕРЕДАЧИ ДАННЫХ ............... 248

8. СЕТЕВЫЕ ОПЕРАЦИОННЫЕ СИСТЕМЫ ....................... 289

8.3. Серверное программное обеспечение............................ 293

9. АППАРАТНЫЕ СРЕДСТВА ДЛЯ ПЕРЕДАЧИ

10. СОВРЕМЕННЫЕ И ПЕРСПЕКТИВНЫЕ СЕТЕВЫЕ

11. ОСНОВНЫЕ ЭЛЕМЕНТЫ СОВРЕМЕННЫХ

12. НАДЕЖНОСТЬ И БЕЗОПАСНОСТЬ

13. КРИПТОГРАФИЧЕСКИЕ И СТЕГАНОГРАФИЧЕСКИЕ

ЛИТЕРАТУРА .......................................................................... 560

ПРЕДМЕТНЫЙ УКАЗАТЕЛЬ ................................................ 565

РУССКОЯЗЫЧНЫЕ ТЕРМИНЫ И ПОНЯТИЯ .................... 569

АНГЛОЯЗЫЧНЫЕ ТЕРМИНЫ И ПОНЯТИЯ ...................... 583

АНГЛОЯЗЫЧНЫЕ СОКРАЩЕНИЯ ...................................... 594

Термин «инновация» принято ассоциировать с трансформацией

сетей, их программного и аппаратного обеспечения и практического

После разделов даны вопросы для самостоятельного контроля

технологическим университетом и Люблинским Католическим уни-

1.1. Основные термины и определения

Международная организация по стандартизации (International

В общем случае различают два типа сетей: коммуникационную и

Рис. 1.1. Информационные и коммуникационные сети

Информационная сеть предназначена для хранения информа-

Каналы связи создаются по линиям связи при помощи сетевого

ее характеристики. В сети все рабочие станции физически соединены

К важнейшим техническим характеристикам сетей и сетевого

Производительность компьютерной сети определяет ско-

Безопасность информации (в сети) – защищенность информа-

Безопасность любого ресурса информационной системы скла-

Иначе: информационная безопасность – все аспекты, связанные

1.2. Историческая информация

Концепция вычислительных сетей является логическим резуль-

выполнить в единицу времени больше задач, чем любые другие ре-

1.2.1. Многотерминальные системы

По мере удешевления процессоров в начале 1960-х годов по-

Рис. 1.2. Многотерминальная система – прообраз вычислительной сети

В таких системах компьютер использовали сразу несколько про-

похожи на локальные вычислительные сети (ЛВС). Действительно,

Многотерминальные системы, работающие в режиме раз-

Но до появления локальных сетей нужно было пройти еще боль-

1.2.2. Зарождение глобальных сетей

Тем не менее потребность в соединении компьютеров, находя-

MIT Дж. С. Ликлидер написал работу, где высказал идею глобаль-

идею и предложил термин IMP – Interface Message Processors, обо-

данных и размеры пакетов. По сути дела, это была работа по созда-

Свое начало Интернет берет от сети ARPANET, но чаще всего

Многие эксперты называют временем зарождения Интернета на-

пор ARPANET становится магистральной сетью Интернет и активно

В 1988 г. Интернет становится международной сетью – к нему

В 1989 г. Т. Бернерс-Ли высказал идею гипертекста, которая

Т. Бернерс-Ли написал программу Eniquire, которая стала про-