1. 1 История tcpIP
 Скачать 340.83 Kb.
|
3.1.8 Маски подсети переменной длины (VLSM)Использование одной маски позволяет организации разбить сеть только на подсети одинакового размера, что приводит к неэффективному использованию адресного пространства, особенно, если подсети содержат разное количество узлов. Может возникнуть ситуация, что в одной из подсетей допустимого количества узлов будет недостаточно, а в другой, наоборот, большая часть адресов не будет использована. Например, большое количество узлов является избыточным для подсети, которая связывает два маршрутизатора по каналу «точка-точка». В этом случае необходимо всего два IPv4-адреса для адресации интерфейсов соседних маршрутизаторов. Технология VLSM (Variable Length Subnet Mask, маска подсети переменной длины) позволяет организации использовать более одной маски подсети внутри того же самого адресного пространства и делить сеть на подсети разных размеров. Она была создана в 1987 году и определена в RFC 1009. Основная идея VLSM заключается в том, что сеть можно разбить на подсеть, потом подсеть разбить еще на подсети точно таким же образом, как была разбита первоначальная сеть. То есть сеть может быть разбита на подсети разных размеров, с разными масками. Вместо маски подсети в VLSM используется нотация «IP-адрес/длина префикса», аналогичная нотации бесклассовой адресации. Число после «/» означает количество единичных разрядов в маске подсети. Например, сетевой адрес 192.168.1.8 с маской подсети 255.255.255.248 также может быть записан, как 192.168.1.8/29. Число 29 указывает, что в маске подсети 255.255.255.248 имеется 29 единичных битов. Деление сети на подсети с использованием масок переменной длины аналогично традиционному делению на подсети. Рассмотрим пример, показанный на рисунке 3.22. Организация использует сеть класса С 192.168.1.0/24. Требуется разделить ее на 6 подсетей. В подсетях 1, 2, 3 и 4 должно быть 10 узлов, в 5-й подсети — 50 узлов, в 6-й подсети — 100. Теоретически для сети класса С 192.168.1.0/24 допустимое количество узлов равно 254, и разбить такую сеть на подсети с требуемым количеством узлов без использования VLSM невозможно. Сначала делим сеть 192.168.1.0/24 на две подсети. Для этого из 4-го октета необходимо занять 1 бит для идентификатора подсети, таким образом, для идентификации узлов останется 7 битов. В итоге получается две подсети: 192.168.1.0/25 и 192.168.1.128/25, в каждой из которых может быть по 126 (27 – 2) узлов. Первую из них оставим, так как требуется, чтобы в 6-й подсети было 100 узлов, а вторую разделим еще на две подсети. Для этого возьмем 1 бит из оставшихся 7 битов, отведенных под идентификатор узла. Таким образом, получается две подсети: 192.168.1.128/26 и 192.168.1.192/26, в каждой из которых допустимое количество узлов равно 62 (26 – 2). Первую подсеть необходимо оставить для 5-й подсети, в которой должно быть 50 узлов, а из второй подсети сформировать еще четыре подсети. Для этого займем еще 2 бита из оставшихся 6 битов, отведенных под идентификатор узла. В результате получим четыре подсети с 14 (24 – 2) узлами в каждой, что позволит адресовать требуемое количество узлов, необходимых для подсетей 1, 2, 3 и 4. VLSM повышает гибкость и эффективность разбиения сетей на подсети. Для использования этой функции в сети необходимо, чтобы маршрутизаторы или коммутаторы L3 поддерживали протоколы маршрутизации, передающие информацию о маске подсети в своих обновлениях. Технология VLSM похожа на технологию бесклассовой междоменной маршрутизации (Classless Inter Domain Routing, CIDR). Однако между ними существует следующее различие: VLSM имеет дело с подсетями одной сети конкретной организации, а CIDR применяет концепцию разбиения сетей на подсети разных размеров к Интернет в целом. 3.1.9 Бесклассовая адресация IPv4 Классовая модель IPv4-адресации оказалась нерациональной с точки зрения эффективного использования адресного пространства. Например, для сети из 1000 устройств выделялся диапазон адресов класса В, в котором 65 534 адресов. При этом 1000 адресов использовались, а оставшиеся 64 534 — не использовались. Разбиение сетей на подсети также не помогло повысить эффективность использования адресного пространства, т. к. оно применялось внутри «классовых» адресных блоков. Это также не смогло решить проблему экспоненциального увеличения размера таблиц маршрутизации. Решение проблемы было найдено в отказе от классовой схемы адресации и использовании бесклассовой модели. Эта модель была разработана в начале 1990-х годов и формализована в 1993 году в RFC 1517, 1518, 1519 и 1520. Бесклассовая модель адресации получила название бесклассовой междоменной маршрутизации (Classless Inter Domain Routing, CIDR). Несмотря на название CIDR является системой и адресации, и маршрутизации. Она заменила фиксированные классы адресов на гибкую многоуровневую структуру сетей различных размеров и добавила агрегацию маршрутов, известную как supernetting. В классовой схеме адресации IP-адрес имел три уровня иерархии: сеть, подсеть и идентификатор узла. При передаче пакета маршрутизатор определял класс адреса, и затем на его основе идентифицировал номер сети и номер узла. В CIDR для определения того, какая часть адреса идентифицирует сеть, а какая узел, используется битовая маска. CIDR применяет концепцию VLSM, т. е. деления сети на подсети разных размеров, не к одной конкретной сети, а в целом к Интернет. По сути Интернет становится одной гигантской сетью, которая делится на некоторое количество больших блоков (больших подсетей). Какие-то из этих больших блоков затем разбиваются на блоки меньших размеров, которые в дальнейшем также могут быть разбиты на еще меньшие блоки. Это разбиение может происходить несколько раз, позволяя таким образом разбить адресное пространство Интернет на куски разных размеров, соответствующие требованиям организаций. Таким образом, бесклассовая адресация полностью исключает понятие классов. Больше не существует блоков адресов класса А, B, C, которые определялись по нескольким первым битам адреса и имели фиксированное количество битов, отведенных под номер сети. При бесклассовой адресации все блоки адресного пространства Интернет имеют произвольный размер. Для того чтобы провести границу между номером сети и номером узла, CIDR использует маску подсети. Однако CIDR вместо привычной 32-х разрядной двоичной маски подсети использует слэш-нотацию (slash notation), которую также называют CIDR-нотацией (CIDR notation). Это метод записи с помощью косой черты «/». Количество битов, отведенных под идентификатор сети (network ID), которое называется длиной префикса, записывается после «/», следующей за IP-адресом — «IP-адрес/длина префикса». Например, запись адреса сети 184.13.152.0/22 говорит о том, что 22 бита в маске подсети отведено под идентификатор сети. Следовательно, для идентификации узлов остается 10 битов. По-другому этот адрес можно записать как IP-адрес 184.13.152.0 с маской подсети 255.255.252.0. Для использования бесклассовой адресации в сети необходимо, чтобы маршрутизаторы или коммутаторы L3 поддерживали протоколы маршрутизации, передающие информацию о маске подсети в своих обновлениях. Общие функции классовой и бесклассовой адресации Существует несколько аспектов адресации, которые были определены в рамках классовой схемы и перешли без изменения в CIDR: блоки частных IP-адресов; IP-адреса специального назначения; адреса интерфейса обратной петли (loopback). Выделение адресов Адресное пространство Интернет выделяется иерархическим образом. Первоначально было два уровня иерархии: IANA (Internet Assigned Numbers Authority, Агентство по выделению имен и уникальных параметров протоколов Интернет) — организация, которая выполняла централизованное выделение блоков адресов, регистрацию доменных имен DNS и публиковала параметры протоколов, например, номера портов TCP и UDP, и различные компании и группы, которым она напрямую выделяла блоки адресов. Управлял IANA Джонатан Постел, один их разработчиков TCP/IP и Интернет. В конце 1990-х годов появилась новая некоммерческая организация, отвечающая за глобальную координацию системы уникальных элементов Интернет, ее стабильную работу и безопасную организацию — ICANN (Internet Corporation for Assigned Names and Numbers, Корпорация по управлению доменными именами и IP-адресами). В настоящее время IANA является департаментом ICANN. Первоначальная схема IP-адресации была основана на классах, поэтому IANA назначала организациям блоки адресов класса A, B и C. С появлением CIDR IANA перестала выделять адреса непосредственно организациям, и в иерархической структуре выделения адресов появилось больше уровней. IANA делит адресное пространство на большие блоки, которые распределяет среди пяти региональных Интернет-реестров (Regional Internet Registries, RIR): AFRINIC (Африка), APNIC (Азия/Тихоокеанский регион), ARIN (Канада, США и некоторые Карибские острова), LACNIC (Латинская Америка и некоторые Карибские острова) и RIPE NCC (Европа, Ближний Восток и Центральная Азия). Региональные Интернет-реестры далее делят выделенные блоки адресов и выделяют их национальным Интернет-реестрам (National Internet Registries, NIR), локальным Интернет-реестрам (Local Internet Registries, LIR) и/или организациям, таким как провайдеры Интернет. Провайдеры могут делить полученные блоки адресов на меньшие и выделять их конечным пользователям или менее крупным провайдерским компаниям. Конечный пользователь, получив адрес, может выполнить деление своей сети на подсети одинаковых или разных размеров с использованием VLSM. Агрегирование маршрутов и суперсети Бесклассовая адресация позволяет уменьшить размер таблиц маршрутизации за счет агрегирования маршрутов. При классовой системе адресации, маршрутизаторы должны хранить в таблице маршрутизации записи о маршрутах к каждой сети. Бесклассовая маршрутизация позволяет хранить на маршрутизаторах Интернет только один агрегированный маршрут (supernet route) к сети соответствующего провайдера. Провайдер на маршрутизаторах своей сети хранит записи о маршрутах к сетям своих клиентов. Давайте рассмотрим пример. Предположим, что небольшая провайдерская компания получила от крупного провайдера блок адресов 71.94.0.0/15. «/15» говорит о том, что идентификатор сети занимает 15 битов, остальные 17 битов используются для идентификации узлов. Используя этот блок адресов, можно адресовать 131 070 узлов. Далее провайдер делит этот блок адресов на блоки разных размеров в зависимости от своих потребностей и требований клиентов. Благодаря CIDR провайдер может иерархически выделять блоки непрерывных IP-адресов, что позволит эффективно использовать адресное пространство и уменьшить количество записей в таблице маршрутизации. Запишем блок адресов, выделенных провайдеру в двоичном виде:  Синим цветом выделены биты, отведенные под идентификатор сети. Красным цветом выделен бит, который будет занят из части, отведенной под идентификатор узла с целью создания двух подсетей:  Так как выделенный бит теперь является частью идентификатора сети, то получается две подсети с адресами 71.94.0.0/16 (подсеть 0) и 71.95.0.0/16 (подсеть 1). Обратите внимание, что подсеть 0 имеет такой же IP-адрес, как и большая сеть, из которой она появилась. Это справедливо для всех нулевых подсетей. Пусть адресное пространство подсети 0 провайдер зарезервирует для будущих применений, а подсеть 1 разделит на четыре подсети. Для этого ему надо занять из части, отведенной под идентификатор узла, еще 2 бита.  Эти два бита дают 4 комбинации: 00, 01, 10 и 11. Таким образом, для идентификатора сети теперь используется 18 битов. В результате деления подсети 1 получаем 4 подсети с адресами:  Каждая из подсетей позволяет адресовать 16 382 узла. Далее каждую из полученных подсетей можно разделить на адресные блоки разных размеров, в зависимости от требования потенциальных конечных пользователей. Например, для удовлетворения требований организаций средних размеров, имеющих порядка 250 сотрудников, подсеть 71.95.0.0/18 можно разделить на 64 подсети с длиной префикса 24 бита. Т. е. для идентификации сети будет использоваться 24 бита, а для идентификации узлов 8 битов.  Адрес первой из 64 подсетей будет 71.95.0.0/24, второй — 71.95.1.0/24, третьей — 71.95.2.0/24, последней — 71.95.63.0/24. Если провайдер будет выделять клиентам непрерывные блоки IP-адресов, то это позволит агрегировать маршруты к сетям разных клиентов в одну суперсеть (supernetwork). Агрегирование маршрутов или supernetting является процессом обратным разбиению сети на подсети. Агрегирование подразумевает суммирование маршрутов и представление их в таблице маршрутизации в виде одного адреса. Агрегирование выполняется за счет выделения в маршрутах общих непрерывных битов высокого порядка. Например, если провайдер выделил клиентам адреса 71.95.0.0/24–71.95.7.0/24, то эти маршруты можно объединить и представить в виде одной записи. Запишем выделенные блоки адресов в двоичном виде:  У всех адресов имеется 21 одинаковый бит высокого порядка:  Агрегированный маршрут к этим восьми сетям будет:  Длина префикса равна 21 бит, так как у всех объединяемых маршрутов 21 общий бит. Агрегирование может выполняться в разных точках сети провайдера до тех пор, пока вся сеть не будет представлена в виде одного агрегированного маршрута 71.94.0.0/15. Надо отметить, что агрегирование маршрутов возможно только при поддержке маршрутизаторами или коммутаторами L3 протоколов маршрутизации, передающих информацию о маске подсети в своих обновлениях. Агрегирование будет работать правильно, если адреса будут назначаться в иерархическом порядке таким образом, чтобы суммируемые маршруты имели общие биты высокого порядка. 3.1.10 Технология NAT Бесклассовая адресация помогла улучшить использование адресного пространства IPv4 и на время замедлить его исчерпание. В конце 1990-х годов сокращение адресов IPv4 обещало стать критическим, и инженеры IETF разработали метод, который не только предотвращал исчерпание адресного пространства, но и решал две важные проблемы того времени: высокую стоимость IP-адресов и обеспечение безопасности при подключении к Интернет. Одним из решений этих задач было создание такой системы, где сеть организации не подключалась бы напрямую в Интернет. Создание такой системы было возможно благодаря следующим важным особенностям использования Интернет организациями: Большинство узлов сети были клиентскими устройствами, и при подключении в Интернет использовалась клиент/серверная модель. Клиентские устройства обычно не делались общедоступными. Одновременно в Интернет работало несколько узлов. Когда в организации большое количество узлов подключено в Интернет, в любой момент времени его активно использует небольшое количество клиентов. Подключение сети организации в Интернет выполнялось через маршрутизатор, который был точкой контроля трафика. Можно провести аналогию с телефонной системой организации. Обычно организация имеет один публичный номер телефона, а не получает отдельные номера для каждого сотрудника. Внутри организации используются локальные номера (внутренние номера). Когда кто-то звонит определенному сотруднику организации, он набирает публичный телефонный номер. Далее, если известен внутренний номер сотрудника, можно набрать его или дождаться ответа секретаря, который соединит с нужным человеком. Для подключения сети организации в Интернет стала использоваться похожая технология. Она получила название The IP Network Address Translator (NAT) и была формализована в мае 1994 года в RFC 1631. Основные операции NAT заключаются в следующем. Внутри своей локальной сети организация может использовать адреса из диапазона частных адресов. Эти адреса могут использоваться в сетях любых других организаций сколько угодно раз, т.к. не маршрутизируются в Интернет. Организации также присваивается один или несколько публичных IP-адресов. На границе между локальной сетью организации и публичной сетью устанавливается маршрутизатор с поддержкой функции NAT. Если точек подключения несколько, то NAT-маршрутизаторы устанавливаются в каждой из них. Перед передачей пакетов NAT-маршрутизатор транслирует частные адреса в публичные и наоборот с помощью специальных таблиц трансляции (таблиц NAT). Эти таблицы должны быть одинаковыми на всех маршрутизаторах сети организации. Трансляция заключается в изменении IP-адресов в заголовках пакетов, передаваемых между локальной и публичной сетью. Статическое и динамическое преобразование адресов NAT преобразует IPv4-адреса из частного адресного пространства в адресное пространство публичных адресов и наоборот, обеспечивая прозрачную маршрутизацию пакетов между ними. Для трансляции адресов NAT-маршрутизатор использует специальные таблицы. Таблицы трансляции содержат информацию, которая связывает частные IP-адреса устройств локальной сети с глобальными IP-адресами. В некоторых случаях преобразование может быть сделано и для идентификаторов транспортного уровня (таких как порты ТСР/UDP). Привязка адресов, если она не существовала, выполняется в начале сессии. Существует два способа добавления записей в таблицу. Простой формой NAT является статическое преобразование адресного пространства IP. Администратор сети устанавливает статическое однозначное соответствие один к одному между адресами частной сети и адресами внешней сети, которое будет существовать в течение всего времени функционирования NAT. При динамическом преобразовании соответствие между частными и глобальными адресами автоматически устанавливается NAT-маршрутизатором. Когда сессия, использующая соответствующую привязку адресов, заканчивается, NAT освобождает глобальный адрес, чтобы в дальнейшем он мог опять использоваться для другого узла из частной сети. Конкретный способ связывания адресов специфичен для каждой реализации NAT. |