Лекція 24 віддалений доступ

Лекція 24. Віддалений доступ: схеми віддаленого доступу

Тема: Віддалений доступ: схеми віддаленого доступу

Термін «віддалений доступ» (remote access) часто вживають, коли мова йде про доступ користувача домашнього комп'ютера до Інтернету або мережі підприємства, яка знаходиться від нього на значній відстані, що означає необхідність застосування глобальних зв'язків.

Останнім часом під віддаленим доступом стали розуміти не тільки доступ ізольованих комп'ютерів, але і домашніх мереж, які об'єднують кілька комп'ютерів членів сім'ї. Такими ж невеликими мережами розташовують малі офіси підприємств, які нараховують 2-3 співробітника.

Організація віддаленого доступу є однією з найбільш гострих проблем комп'ютерних мереж в даний час. Вона отримала назву «проблеми останньої милі», де під останньою милею мається на увазі відстань отточкі присутності (POP) оператора зв'язку до приміщень клієнтів.

Схеми віддаленого доступу

Лекція 24 віддалений доступ

Мал. 1. Клієнти віддаленого доступу

Типи клієнтів і абонентських закінчень

Для клієнта 1 такої можливості немає, тому оператор мережі повинен надати йому бездротовий зв'язок або ж прокласти новий кабель між його будинком і найближчою точкою присутності.

Відмінною особливістю клієнтів 1 і 2 є несиметричний характер трафіку, так як домашні користувачі в основному завантажують інформацію на свій комп'ютер в процесі подорожей по Інтернету. Відповіддю на такі потреби є асиметричні технології, такі як ADSL.

Клієнт 3 відрізняється від двох попередніх тим, що має кілька комп'ютерів, об'єднаних в локальну мережу. Таким клієнтом може бути як приватна особа, так і невеликий офіс.

Постачальник послуг віддаленого доступу може обслуговувати клієнтів всіх типів або ж спеціалізуватися на якомусь певному типі клієнтів, наприклад жителів приватних або багатоквартирних будинків, працівників невеликих офісів. Універсальний постачальник послуг доступу повинен підтримувати будь-які варіанти організації «останньої милі», що ускладнює його обладнання та вживані технології доступу.

Ще однією проблемою, яку повинен вирішити оператор, є організація доступу клієнтів, які фізично підключені до абонентських закінчень інших постачальників послуг зв'язку.

Так, нехай на малюнку РОР1 і РОР2 належать постачальнику А, а РОРЗ - постачальнику В. Для того щоб постачальник А міг надавати послуги доступу до мережі передачі даних клієнтам, підключеним до РОРЗ, у нього має бути укладена відповідна угода з постачальником В. Ця угода може регламентувати різні способи взаємодії постачальників послуг.

Найбільш простий варіант доступу в Інтернет надає клієнту незахищене з'єднання з серверами корпоративної мережі, однак таке з'єднання загрожує поганими наслідками.

По-перше, конфіденційні дані, що передаються по Інтернету, можуть бути перехоплені або перекручені.

Тому підприємства вважають за краще безпечний доступ, заснований на технології захищеного каналу.

Мультиплексування інформації на абонентському закінчення

В ідеалі бажано використовувати єдине абонентське закінчення, здатний передавати інформацію всіх трьох типів. На жаль, кручена пара на цю роль не підходить, так як її смуга пропускання на відстанях в декілька кілометрів не перевищує 1 МГц. Цього явно недостатньо для одночасної передачі голосу, комп'ютерних даних зі швидкостями в декілька мегабіт в секунду і кольорового телевізійного зображення. Тому на роль консолідуючого абонентського закінчення можуть претендувати тільки коаксіальний кабель мережі CATV і широкосмугові бездротові лінії зв'язку. Природно, ми маємо на увазі вже існуючі і широко поширені типи абонентських закінчень. Якщо ж говорити про прокладання нового кабелю, що актуально в основному для нових великих будівель, то до цього списку потрібно додати оптичний кабель.

Схема організації доступу за допомогою універсального абонентського закінчення показана на рис. 2.

Лекція 24 віддалений доступ

Мал. 2. Мультиплексування трьох типів інформації в абонентських закінченнях

І, нарешті, комп'ютерні дані надходять на пристрій, що концентрує комп'ютерний трафік і передає його в локальну мережу постачальника послуг. Це пристрій називають по-різному, на малюнку .можна бачити одне з популярних назв - сервер віддаленого доступу (Remote Access Server, RAS). Можна зустріти й інші назви, наприклад концентратор віддаленого доступу (Remote Access Concentrator, RAC), мультиплексор доступу або термінальна система. Будемо для визначеності називати тут такий пристрій сервером віддаленого доступу. Зазвичай воно містить велику кількість модемів, які виконують зворотні операції по відношенню до модемів користувачів, тобто модулюють спадний трафік і демодулюють висхідний.

Крім модемів, RAS включає маршрутизатор, який збирає трафік від модемів і передає його в локальну мережу POP. З цієї локальної мережі трафік передається звичайним способом в Інтернет або в певну корпоративну мережу.

Режим віддаленого вузла

Режим віддаленого вузла дозволяє комп'ютеру клієнта стати вузлом віддаленої локальної мережі, що означає для його користувача можливість отримання всього спектру послуг звичайного користувача вузла, фізично розташованого в локальній мережі.

Для забезпечення режиму віддаленого вузла RAS постачальника послуг підтримує протокол Proxy-ARP. Ця особливість відрізняє сервер віддаленого доступу від звичайного IP-маршрутизатора (рис. 3).

Лекція 24 віддалений доступ

Рис.3. Використання протоколу Proxy-ARP при організації віддаленого доступу

Режим віддаленого управління і протокол telnet

Режим віддаленого управління, званий також режимом термінального доступу, передбачає, що користувач перетворює свій комп'ютер у віртуальний термінал іншого комп'ютера, до якого він отримує віддалений доступ.

У період становлення комп'ютерних мереж, тобто в 70-і роки, підтримка такого режиму була одою з головних функцій мережі. Пристрої PAD мереж Х.25 існували саме для того, щоб забезпечити віддалений доступ до мейнфреймів для користувачів, які перебували в інших містах і працювали за простими алфавітно-цифровими терміналами.

Режим віддаленого управління забезпечується спеціальним протоколом прикладного рівня, які працюють поверх протоколів, що реалізують транспортне сполучення віддаленого вузла з комп'ютерною мережею. Існує велика кількість протоколів віддаленого управління, як стандартних, так і фірмових. Для IP-мереж найбільш старим протоколом цього типу є telnet (RFC 854).

Протокол telnet, який працює в архітектурі «клієнт-сервер», забезпечує емуляцію алфавітно-цифрового термінала, обмежуючи користувача режимом командного рядка.

При натисканні клавіші відповідний код перехоплюється клієнтом telnet, поміщається в TCP-повідомлення і відправляється через мережу вузла, яким користувач хоче управляти. При надходженні на вузол призначення код натиснутоюклавіші витягується з TCP-повідомлення сервером telnet і передається операційній системі (ОС) вузла. ОС розглядає сеанс telnet як один з сеансів локального користувача. Якщо ОС реагує на натискання клавіші висновком чергового символу на екран, то для сеансу віддаленого користувача цей символ також упаковується в TCP-повідомлення і по мережі відправляється віддаленого вузла. Клієнт telnet витягує символ і відображає його у вікні свого терміналу, емулюючи термінал віддаленого вузла.

Протокол telnet був реалізований в середовищі Unix і поряд з електронною поштою і FTP - доступам до архівів файлів був популярним сервісом Інтернету. Сьогодні цей протокол рідко використовується в публічних доменах Інтернету, так як ніхто не хоче надавати стороннім особам можливість управляти власним комп'ютером. Хоча для захисту від несанкціонованого доступу в технології telnet застосовуються паролі, вони передаються через мережу у вигляді звичайного тексту, тому можуть бути легко перехоплені і використані. Тому telnet застосовується переважно в межах однієї локальної мережі, де можливостей для перехоплення пароля набагато менше. Сьогодні основною областю застосування telnet є управління не комп'ютерами, а комунікаційними пристроями: маршрутизаторами, комутаторами і хабами. Таким чином, він вже скоріше не призначений для користувача протокол, а протокол адміністрування, тобто альтернатива SNMP. Проте відмінність між протоколами telnet і SNMP принципове. Telnet передбачає обов'язкову участь людини в процесі адміністрування, так як, по суті, він тільки транслює команди, які вводить адміністратор при конфігуруванні або моніторингу маршрутизатора або іншого комунікаційного пристрою. Протокол SNMP навпаки розрахований на автоматичні процедури моніторингу та управління, хоча і не виключає можливості участі адміністратора в цьому процесі. Для усунення небезпеки, яку породжує передачею паролів у відкритому вигляді через мережу, комунікаційні пристрої посилюють ступінь свого захисту. Зазвичай застосовується багаторівнева схема доступу, коли відкритий пароль дає можливість тільки читання базових характеристик конфігурації пристрою, а доступ до засобів зміни конфігурації вимагає іншого пароля, який вже не передається у відкритому вигляді.