Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Интернет в вопросах и ответах

Крис Льюис

Вопрос: Для управления Web-сервером с аутентификацией необходимо, чтобы каждый пользователь имел собственный идентификатор. В силу ограничений протокола HTTP невозможно задать предельное число пользователей, которые могут иметь одинаковые имена и пароли одновременно. Тем не менее Web-мастеру необходимо знать, кто, когда и чьи ресурсы использует, и при этом хотелось бы отучить пользователей применять одинаковые имена и пароли. Говорят, что в этой ситуации могут помочь так называемые cookies ("пирожки"). Так ли это? И если так, то что это такое?

Ответ: Обычные серверы (например, NetWare или Windows NT) сохраняют информацию о контексте соединения (кто и откуда подключился) в течение всего сеанса. HTTP-серверы предназначены для быстрой и эффективной передачи гипертекстовых документов и не сохраняют контекст соединения. Процесс HTTP-соединения осуществляется в четыре стадии.

1. Клиент обращается к серверу по адресу, указанному в URL.

2. Затем он направляет запрос на обслуживание и информирует сервер о своих возможностях.

3. Сервер отвечает клиенту строкой состояния и, если обработка запроса прошла успешно, выдает запрошенную информацию. В противном случае сервер передает клиенту код ошибки.

4. Соединение разрывается, и на сервере не сохраняется каких-либо данных о только что завершенной транзакции.

Поскольку сервер не "поддерживает" подключение на протяжении всего сеанса, он не "знает", сколько браузеров используют одни и те же имена и пароли. Результат такой неизвестности затрудняет работу Web-мастера: ведь в офисе с персоналом 50 или более человек все они способны обращаться к Web-серверу с аутентификацией одновременно, прибегая к одним и тем же пользовательскому имени и паролю.

В подобной ситуации и помогает cookie. С точки зрения протокола HTTP cookie — это своего рода разрешение, имеющее свой собственный уникальный числовой идентификатор. Если пользователь применяет прежние имя и пароль, обращаясь к серверу с другой рабочей станции, то механизм cookie заставляет его заново регистрироваться в системе.

Работает cookie следующим образом. При первичном вхождении пользователя в систему сервер выдает cookie — некоторое число, которое он затем будет ассоциировать с браузером рабочей станции этого пользователя. Последующие обращения к Web-серверу будут сопровождаться предъявлением этого числа-cookie и его сопоставлением с базой данных выданных чисел. Cookie будет передаваться всякий раз при обращении браузера к серверу с запросом любого типа. Если же запрос на вхождение в систему поступит от другой рабочей станции, применяющей те же пользовательское имя и пароль, то ее браузер не сможет предъявить данное числа-cookie — напротив, сервер выдаст новое число и заново зарегистрирует пользователя.

Теперь пусть пользователь первой рабочей станции опять обратится с запросом, предъявив ранее полученное число-cookie. Сервер "увидит", что уже было выдано новое число, и направит пользователю сообщение об отказе, предложив ему снова ввести свои имя и пароль.

Этот метод не гарантирует, что пользователи не смогут применять общие имена и пароли, но доставит им много хлопот, пока они наконец-то не обзаведутся собственными именами и паролями.

Вопрос: В нашей корпоративной сети имеется несколько удаленных узлов, которые необходимо подключить к главному офису и Интернет. Но нам не хватает адресов, присваиваемых IANA (Internet Assigned Numbers Authority). Хотелось бы узнать, нужно ли приобретать у поставщика услуг Интернет дополнительные сетевые адреса класса С, или можно применить метод трансляции сетевых адресов с помощью proxy-сервера системы firewall?

Ответ: Если вы уже имеете некую систему firewall, то заданный вопрос будет выглядеть несколько иначе: должен ли proxy-сервер путем адресной трансляции "прятать" схему адресации внутренней сети от внешнего мира, или следует применять "подлинные" IANA-адреса?

Преимущества применения proxy-сервера. Как правило, proxy-сервер устанавливают в качестве связующего звена между внутренней сетью и какой-либо внешней структурой (обычно это Интернет). Он служит для отделения схемы внутренней адресации от внешней с помощью трансляции адресов. Это означает, что со стороны Интернет proxy-сервер системы firewall будет иметь набор адресов, назначенных IANA, а со стороны внутренней сети — заданных пользователем. С помощью адресной трансляции proxy-сервер устанавливает соответствие внутренних и внешних адресов.

Такая процедура расширяет возможности выбора подходящей сетевой структуры при построении внутренней сети и устраняет необходимость платить поставщику услуг Интернет за предоставление дополнительных адресов класса C.

Недостатки применения proxy-серверов. Самым существенным из них является тот факт, что после присвоения своей внутренней сети сетевого номера, который уже присвоен какому-либо узлу Интернет, вы уже не сможете обращаться к этому узлу. В соответствии с таблицей маршрутизации proxy-сервера все пакеты, адресованные таким узлам, будут направляться обратно во внутреннюю сеть.

В IANA это предвидели и для использования в изолированных от Интернет с помощью proxy-сервера внутренних сетях зарезервировали номер 10.0.0.0 в классе A, номера со 172.16.0.0 по 172.31.0.0 в классе B и номера со 192.168.0.0 по 192.168.255.0 в классе C.

Организации, будучи уверенными в доступности всех узлов Интернет, могут использовать эти номера для своих внутренних сетей. Однако такое решение порождает другую проблему: так как системы firewall применяются не только для подсоединения к Интернет, все большее число корпораций подключают свои внутренние сети друг к другу и обмен информацией между ними тоже нуждается в защите и обеспечении надежности. Если, например, две организации для своих внутренних сетей используют номер 172.16.0.0, то они не могут соединять сети без перенумерации или применения сложной схемы трансляции адресов. В этом случае, чтобы воспользоваться трансляцией адресов, необходимо на каждом узле развернуть сервер трансляции сетевых адресов до того, как данный узел будет подсоединен к системе firewall, через которую "общаются" сети обеих организаций. А это не так-то просто.

Преимущества IANA-адресов. Используя в своей внутренней сети адреса, присваиваемые IANA, вы можете быть уверены, что она надежно укрыта от внешнего мира и что доступ к любому узлу Интернет при этом сохранен.

Недостатки IANA-адресов. Использование IANA-адресов также может вызывать и некоторые неудобства. Например, имея 200 хостов, которым нужно присвоить IP-адреса, скорее всего, вы получите только один адрес класса C — или от IANA, или от вашего поставщика услуг Интернет. И, как правило, его вам придется использовать в качестве номера подсети. Такая ситуация типична при создании IP-сетей, однако здесь могут возникнуть значительные трудности, особенно когда вы имеете дело с ограниченным пространством присваиваемых адресов. Если на границе двух подсетей применяется дистанционно-векторный протокол маршрутизации, например Routing Information Protocol (RIP) или Interior Gateway Routing Protocol (IGRP), то информация о подсетях между маршрутизаторами не передается. Такой метод называют объединением маршрутов.

Представьте себе, что хост-адреса нужно присвоить двум узлам, единственный путь между которыми проходит через магистральную сеть. Используя один и тот же сетевой номер, нельзя назначать адреса узлам из различных подсетей, поскольку на границе между этими подсетями маршрутная информация каждый раз суммируется. При составлении собственной (внутренней) схемы адресации для этих двух узлов следует использовать разные сетевые номера класса C.

Если вы все же попытаетесь развернуть два узла, имеющие собственные подключения к магистрали с подсоединенными к ней подсетями, относящимися к другой сети, то в маршрутные таблицы магистральных маршрутизаторов можно будет ввести лишь один новый сетевой номер. При этом в качестве маршрута ко всем адресам в пределах данного сетевого номера будет выбран узел, объявляющий о себе посредством наинизшей метрики


распечатать статью




  
7 '1997
СОДЕРЖАНИЕ

колонка редактора

• Microsoft и сыр

локальные сети

• Коммутаторы Ethernet и Fast Ethernet. Сделай правильный выбор

• Как Кристофер Робин модернизировал свое предприятие

• Масштабируемость сервера

корпоративные сети

• Лучшие продукты 1997 года

услуги сетей связи

• Оптические абонентские сети - уже сегодня

• CDMA: сказка становится былью

• Технология ADSL

интернет и интрасети

• Меняю ваучер на компьютер с доступом в Интернет

• Групповое ПО: миграция в Интернет

• Если TCP упрямится

• Прикладные программные интерфейсы для Web

защита данных

• ИБП для централизованных систем питания

• "Спасательное" ПО, или Как удержаться на плаву

новые продукты

• Коммутатор ForeRunnerLE 155 фирмы FORE Systems, Универсальный сетевой анализатор PrismLite

только на сервере

• Вокруг сетевого компьютера

• Интернет в вопросах и ответах

• Рецепты для корпоративных пользователей Интернет



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх