Manual-DIONIS-DUAL-ARC - КРИПТОМАРШРУТИЗАТОР. Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под
 Скачать 7.28 Mb.
|
|
IP-адрес & Маска = Адрес сети & – операция логического умножения Маска сети, так же как и IP-адрес, записывается в точечно-десятичной (dotted-decimal) форме, как показано в примере: 0 8 16 24 31 1111 1111 1111 1111 1111 1111 1110 0000 255. 255. 255. 224 Классы каналов связи Для организации связи между сетевыми устройствами в сети передачи данных используются каналы связи. Все многообразие применяемых при использовании internet/intranet-технологии каналов связи можно разделить на два следующих класса. 1. Двухточечные каналы связи. На Рис. А.3 приведена условная схема двухточечного канала связи. Рис. А.3 Схема двухточечного канала связи Двухточечные каналы связи обладают следующими свойствами: - соединяют только два сетевых устройства; - поток данных от устройства A попадает только к устройству B; - отсутствует проблема адресации на канальном уровне и, как следствие, отсутствует необходимость определения адреса канального уровня для устройства-получателя, которому направляется IP-пакет; - для двухточечных каналов связи чаще всего используются следующие протоколы транспортировки IP-пакетов: PPP, SLIP, CSLIP. Благодаря отсутствию проблемы адресации канального уровня двухточечные каналы весьма просты с точки зрения их использования интерфейсами. Все подлежащие транспортировке IP-пакеты просто упаковываются в транспортные кадры (фреймы) канала и извлекаются на противоположной стороне. 2. Многоточечные каналы связи. Многоточечные каналы связи обладают следующими свойствами: - соединяют два и более сетевых устройств; - поток данных от устройства A может попасть к любому сетевому устройству, подключенному к каналу, следовательно, в заголовках кадров обязательно следует указывать адреса канального уровня для отправителя и получателя. Приложение А. Основы IP-адресации и маршрутизации 219 На Рис. А.4 приведена условная схема многоточечного канала связи. Рис. А.4 Схема многоточечного канала связи Примером многоточечных каналов связи могут служить каналы локальных Ethernet-сетей, в которых для транспортировки IP-пакетов используются Ethernet-кадры в формате фрейма Ethernet_II. Необходимость использования адресов канального уровня (L2-уровня модели OSI) при формировании транспортных кадров Ethernet-сети – Ethernet-кадров – требует применения специального протокола ARP (Address Resolution Protocol), который для каждого IP-адреса назначения в сети определяет транспортный адрес станции-получателя в данной локальной сети − т.н. MAC-адрес. Для транспортировки по локальной сети все IP-пакеты должны быть упакованы в транспортные Ethernet-кадры в формате Ethernet_II, имеющие приведенный ниже следующий формат. Формат кадров (фреймов) Ethernet_ 6 6 2 46-1500 Dest Source Type Payload (Данные) Dest – MAC-адрес получателя Source – MAC-адрес отправителя Type – Тип данных показывает, пакет какого из сетевых протоколов находится в поле данных Payload Payload – IP-пакет L3-уровня модели OSI размером от 46 до 1500 байт Примечание. Отметим, что в составе приведенного выше формата Ethernet-кадра фрейма Ethernet_II не показаны обрамляющие его поля, обработкой которых на физическом (L1) уровне занимается Ethernet-адаптер – поле Preamble длиной 8 байт – последовательность бит, по сути не являющаяся частью заголовка Ethernet-кадра, а только определяющая его начало, а также поле FCS (Frame Check Sequences) длиной 4 байта, содержащее значение CRC (Cyclic Redundancy Check) – контрольной суммы, используемой для выявления ошибок передачи с помощью применения методов циклических кодов, оставляющих без изменения исходное содержимое передаваемых данных; вычисляется передающей стороной и помещается в поле FCS; принимающая сторона вычисляет данное значение самостоятельно и, сравнивая с полученным, принимает решение о качестве передачи Ethernet-кадра по сети. MAC(Media Access Control) – шестибайтовый адрес канального уровня, присваиваемый изготовителем каждого Ethernet-адаптера, обеспечивающего физическое взаимодействие интерфейса изделия с локальной сетью. Специальное соглашение между изготовителями Ethernet-адаптеров гарантирует уникальность MAC-адресов в каждой из существующих локальных сетей. Пример записи MAC-адреса в принятом специалистами формате: 00:01:39:00:2F:54 Перед отправкой IP-пакета сетевой интерфейс должен определить значения для всех трех полей заголовка Ethernet-кадра в формате Ethernet_II. Значение поля Source интерфейс считывает непосредственно из своего Ethernet-адаптера. Поле Type должно иметь значение 0x0800 (в поле данных Ethernet-кадра находится IP-пакет). А вот значение поля Dest должно быть получено с помощью протокола ARP, схема работы которого приведена ниже на Рис. А.5. Рис. А.5 Схема работы ARP-протокола Между множествами IP-адресов и MAC-адресов нет никакой алгоритмической зависимости, поэтому единственным вариантом установления их взаимно однозначного соответствия является ARP-таблица, например, такая, как приведенная ниже. 220 Приложение А. Основы IP-адресации и маршрутизации IP-адрес MAC-адрес 192.168.1.1 00:00:39:00:2F:C3 192.168.1.2 00:01:28:A7:5A:17 192.168.1.3 00:00:10:99:AC:54 На Рис. А.6 приведена блок-схема алгоритма работы ARP-протокола. Принцип работы протокола ARP основан на возможности отправки Ethernet-кадров сразу всем станциям локальной сети – т.н. широковещательных broadcast-кадров. Рис. А.6 Блок-схема алгоритма работы ARP-протокола После запуска любого физического интерфейса изделия, работающего с каналом локальной Ethernet-сети, ARP-таблица маршрутизатора изделия обычно пуста. Первый же IP-пакет, отправляемый сетевым интерфейсом, активизирует работу ARP-протокола. Широковещательный Ethernet-кадр, содержащий ARP-запрос, включающий IP-адрес получателя IP-пакета, отправляется всем рабочим станциям broadcast-домена сети. Примечание. Обычно L2-коммутатор со всеми подключёнными к нему сетевыми устройствами представляет собой единый широковещательный домен (broadcast-домен). Если одно из этих сетевых устройств посылает Ethernet-кадр в сеть на специальный широковещательный адрес (это MAC-адрес, все позиции которого имеют значение единица, т.е: ff:ff:ff:ff:ff:ff ), коммутатор передает его во все свои порты (за исключением того порта, по которому Ethernet-кадр был коммутатором получен), и этот Ethernet-кадр получают все остальные сетевые устройства broadcast-домена. Если одна из станций опознает указанный IP-адрес в качестве собственного, то она обязана прислать ARP-ответ, в котором будет указан ее MAC-адрес. На основе ответа станции будет сформирована строка в ARP-таблице, что обеспечит дальнейшую работу ARP-протокола для данного IP-адреса без выдачи повторных запросов в сеть. Станции локальной сети в любой момент могут отключаться от сети, поэтому записи в ARP-таблице не могут храниться вечно. Их необходимо периодически удалять и заменять новыми. С этой целью каждой записи ARP-таблицы назначается время жизни (обычно от 5 до 15 минут), по истечении которого запись удаляется из таблицы. Адресация в локальных сетях В локальных сетях, как и во всех многоточечных каналах связи, возможны две формы адресации – прямая и косвенная. Прямая адресация. Используется для передачи IP-пакетов между станциями одного сегмента (broadcast-домена) локальной сети. Рассмотрим механизм прямой адресации на следующем примере. Пусть станции A, B и C подключены к одному сегменту локальной сети, и станции A необходимо отправить IP-пакет станции B. IP-уровень сетевого ПО станции A формирует IP-пакет, указывая в его заголовке следующие IP-адреса: отправителя – IP(A) и получателя – IP(B). Передавая этот IP-пакет интерфейсу, IP-уровень должен указать, что интерфейсу предписывается отправлять пакет с использованием прямой адресации. В этом случае интерфейс выполнит упаковку IP-пакета в транспортный кадр Ethernet_II и его отправку по следующему алгоритму. 1. MAC-адрес отправителя будет получен интерфейсом от его собственной платы локальной сети – MAC(A). Приложение А. Основы IP-адресации и маршрутизации 221 2. Для получения MAC-адреса получателя интерфейс воспользуется ARP-протоколом, который по IP-адресу станции B определит ее MAC-адрес – MAC(B). 3. Транспортный кадр будет отправлен в сеть непосредственно для станции B; интерфейс станции B его получит, извлечет IP-пакет и передаст на обработку. Схему работы механизма прямой адресации поясняют приведенные ниже на Рис. А.7 рисунок и таблица. Отличительной чертой прямой адресации является формирование MAC-адреса получателя транспортного кадра непосредственно по IP-адресу станции назначения. Адрес Отправитель Получатель IP-заголовок IP(A) IP(B) MAC-заголовок MAC(A) MAC(B) Рис. А.7 Схема работы механизма прямой адресации Косвенная адресация. Должна использоваться в тех случаях, когда необходима передача IP-пакетов между станциями, расположенными в разных сегментах локальной сети, или в разных локальных сетях. Рассмотрим механизм косвенной адресации на следующем примере. Пусть станции A, B и C подключены к одному сегменту локальной сети, а станции E, F и G – к другому. Взаимосвязь сегментов сети выполняет специальная станция D, называемая шлюзом. Пусть станции A необходимо отправить IP-пакет станции E. IP-уровень сетевого ПО станции A формирует IP-пакет, указывая в его заголовке следующие IP-адреса: отправителя – IP(A) и получателя – IP(E). Поскольку станция E непосредственно со станции A недоступна, то применение прямой адресации в данном случае невозможно. Следовательно, передавая этот IP-пакет интерфейсу, IP-уровень должен указать, что интерфейс должен отправлять пакет с использованием косвенной адресации, причем, в качестве шлюза необходимо использовать станцию D. В этом случае интерфейс выполнит упаковку IP-пакета в транспортный кадр Ethernet_II и его отправку по следующему алгоритму. 1. MAC-адрес отправителя будет получен интерфейсом от его собственной платы локальной сети – MAC(A). 2. Для получения MAC-адреса получателя интерфейс воспользуется ARP-протоколом, который по IP-адресу шлюза (станции D) определит его MAC-адрес – MAC(D). 3. Транспортный кадр будет отправлен станцией A в свой сегмент сети для станции D, интерфейс которой его получит, извлечет IP-пакет и будет принимать решение по вопросу его дальнейшей обработки. 4. По IP-адресу назначения шлюз D определит, что IP-пакет на самом деле предназначен не для него, а для станции с адресом IP(E). Поскольку станция E находится в одном сегменте сети со шлюзом D, то шлюз отправит этот транзитный IP-пакет станции E с использованием прямой адресации. Схему работы механизма косвенной адресации поясняют приведенные ниже на Рис. А.8 рисунок и таблицы. Отличительной чертой косвенной адресации является то, что в исходной точке отправки формирование MAC-адреса получателя транспортного кадра выполняется не по IP-адресу станции назначения, а по IP-адресу шлюза. Адрес Отправитель Получатель Отправитель Получатель IP-заголовок IP(A) IP(E) IP(A) IP(E) MAC-заголовок MAC(A) MAC(D) MAC(D) MAC(E) Рис. А.8 Схема работы механизма косвенной адресации 222 Приложение А. Основы IP-адресации и маршрутизации Устройство таблицы маршрутизации Как было сказано выше, каждому узлу сети приходится решать задачу маршрутизации – определения сетевого интерфейса дальнейшей доставки IP-пакета по содержащемуся в его заголовке IP-адресу назначения. Никакой функциональной связи между IP-адресами и интерфейсами конкретного маршрутизатора нет, поэтому единственной формой описания соответствия между множеством IP-адресов и множеством сетевых интерфейсов является таблица, называемая таблицей маршрутизации. Устройство таблицы маршрутизации рассмотрим на примере приведенной ниже схемы на Рис. А.9. Пусть имеется некоторый маршрутизатор с двумя сетевыми интерфейсами: Lan1 и Lan2. Интерфейс Lan1 включен в сеть с адресом 192.168.1.0 и маской сети 255.255.255.0. Интерфейс Lan2 включен в сеть с адресом 192.168.2.0 и маской 255.255.255.0. К этой же сети подключен внешний маршрутизатор, имеющий адрес 192.168.2.254 и обеспечивающий доступ по каналу связи в сеть Internet. Рис. А.9 Пример схемы, поясняющей устройство традиционной рабочей таблицы маршрутизации Для нормальной работы рассматриваемого маршрутизатора в него должна быть загружена следующая таблица маршрутизации. Адрес Маска Шлюз Интерфейс Метрика 192.168.1.0 255.255.255.0 0.0.0.0 Lan1 0 192.168.2.0 255.255.255.0 0.0.0.0 Lan2 0 0.0.0.0 0.0.0.0 192.168.2.254 Lan2 0 Каждая строка таблицы содержит описание одного правила маршрутизации. Каждое правило состоит из следующих полей: - Адрес/Маска – пара полей описывает множество IP-адресов, подпадающих под действие данного правила; - Шлюз – указывает IP-адрес шлюза, используемый для указания режима косвенной маршрутизации (доставки) IP-пакетов, подпадающих под действие данного правила; если в качестве адреса шлюза задано значение 0.0.0.0, то данное правило используется только для режима прямой маршрутизации; - Интерфейс – указывает имя интерфейса, который будет выполнять отправку IP-пакетов, подпадающих под действие данного правила; - Метрика – задает приоритет использования данной записи таблицы в операциях маршрутизации; значение метрики измеряется предполагаемым количеством транзитных узлов сети, которые должен пройти IP-пакет для достижения своей конечной цели; чем короче маршрут движения IP-пакета, тем лучше; следовательно, чем меньше значение поля Метрика, тем больший приоритет имеет данная запись маршрутной таблицы. Используется таблица маршрутизации следующим образом. 1. Из заголовка каждого IP-пакета извлекается IP-адрес назначения. 2. С помощью полей Адрес и Маска отыскивается строка таблицы маршрутизации, соответствующая IP-адресу назначения. Поиск строк производится по наиболее точному совпадению IP-адреса назначения. То есть сначала ищутся записи, совпадающие с IP-адресом назначения по всем 32 битам (по маске 255.255.255.255), затем – по 31 биту (по маске 255.255.255.254) и так далее. 3. Если найдено несколько подходящих записей маршрутной таблицы, то берется запись с наименьшим значением поля Метрика. Приложение А. Основы IP-адресации и маршрутизации 223 4. Из найденной записи извлекается имя интерфейса, которому IP-пакет передается на отправку. В зависимости от значения поля шлюз интерфейс выполняет отправку по алгоритму прямой или косвенной маршрутизации. 5. Если подходящей записи в маршрутной таблице нет, то IP-пакет снимается с дальнейшей доставки (сбрасывается). В маршрутной таблице каждого маршрутизатора может присутствовать запись с нулевым значением полей Адрес и Маска. Такая запись имеет специальное название – маршрут по умолчанию (default-маршрут). В соответствии с default-маршрутом отправляются те IP-пакеты, для которых нет подходящей обычной маршрутной записи. При наличии default-маршрута ситуация, когда «подходящей записи в маршрутной таблице нет », исключается. В маршрутной таблице может быть несколько default-маршрутов, имеющих разные значения параметра Маска. Таблица маршрутизации изделия Представление информации в таблицах маршрутизации, используемых маршрутизаторами изделий защиты, несколько отличается от традиционного: вместо громоздкого в представлении понятия Маска используется аналогичное по смыслу, но компактное в представлении понятие Количество значащих бит, которое означает, какое количество старших бит IP-адреса используется для указания номера сети. При настройке изделий количество значащих бит записывается непосредственно в поле Адрес через косую черту вслед за IP-адресом. С учетом этого отличия приведенная выше таблица маршрутизации, не изменяя смыслового содержания, будет выглядеть следующим образом. Адрес Шлюз Интерфейс Метрика 192.168.1.0/24 0.0.0.0 Lan1 0 192.168.2.0/24 0.0.0.0 Lan2 0 0.0.0.0/00 192.168.2.254 Lan2 0 Рабочая таблица маршрутизации в изделии автоматически создается в момент запуска изделия при инициализации работы сетевых интерфейсов и формируется как простая совокупность (суперпозиция) маршрутных таблиц, заданных в конфигурации каждого из сетевых интерфейсов соответствующего блока маршрутизации. Это обстоятельство приводит к необходимости еще одной трансформации традиционной таблицы маршрутизации. В блоках маршрутизации вместо единой таблицы, содержащей столбец |