Главная страница
Навигация по странице:

  • IP-адрес МАС-адрес Тип записи

  • 4.6 Протоколы маршрутизации в IP-сетях 81

  • 4.6 Протоколы маршрутизации в IP-сетях 83

  • № сети Адрес следующего маршрутизатора Порт Расстояние

  • Этап 2

  • Этап 4

  • 4.7 Виртуальные частные сети на базе стека протоколов TCP/IP 85

  • 4.7 Виртуальные частные сети на базе стека протоколов TCP/IP 87

  • Сети передачи данных - уч. пособие. Сети передачи данных


    Скачать 4.1 Mb.
    НазваниеСети передачи данных
    Дата04.12.2022
    Размер4.1 Mb.
    Формат файлаpdf
    Имя файлаСети передачи данных - уч. пособие.pdf
    ТипУчебное пособие
    #827286
    страница9 из 14
    1   ...   6   7   8   9   10   11   12   13   14
    Глава 4. IP-сети
    4.4 Распределение IP-адресов
    Для распределения IP-адресов создана международная организация — «Комис- сия по константам Интернет» (Internet Assigned Numbers Authority — IANA). IANA
    обладает абсолютными полномочиями и в своей структуре содержит три регио- нальных отдела (рис. 4.10).
    Рис. 4.10 – Структура распределения IP-адресов
    Эти отделы распределяют адреса по различным государствам (национальные отделы), а те в свою очередь местным крупным провайдерам. Как правило, провай- деры получают блоки адресов сетей класса C или сети класса B. Далее провайдеры выдают адреса своим клиентам.
    Как уже говорилось, при распределении IP-адресов наблюдается их дефицит и для преодоления этого используются разные пути.
    1. Ранее рассмотренная технология подсетей и масок.
    2. Использование в сетях предприятий и организаций собственных внутрен- них адресов, назначаемых произвольно местными администраторами. Эти сети соединяются с внешней сетью Интернет с помощью пограничных маршрутизато- ров, которые имеют несколько стандартных IP-адресов. При получении пакетов маршрутизатор транслирует IP-адрес во внутренние адреса.
    3. Применение динамических IP-адресов с помощью протокола Dynamic Host
    Configuration Protocol (DHCP). Эта процедура применяется широко при комму- тируемом доступе к сети Интернет (рис. 4.11). Здесь значительное количество абонентов с помощью модемов (dial up, ADSL) подключаются к маршрутизатору
    M через модемный пул (множество модемов), расположенный на узле сети пере- дачи данных.
    Каждому модемному соединению DHCP-сервер выделяет произвольный IP- адрес из своего набора (пула) адресов. Разумеется, что в этом случае число ис- пользуемых адресов значительно меньше числа абонентов.
    Другим замечательным свойством DHCP является автоматизация выделения адресов по процедуре «клиент — сервер». Клиент (компьютер) посылает в сеть широковещательный запрос на получение IP-адреса. DHCP-сервер в ответ в сво- ем сообщении направляет один из своих свободных IP-адресов на время сеанса

    4.5 Связь IP-адресов с другими системами адресации
    79
    связи. После окончания сеанса IP-адрес изымается. Такая процедура назначения
    IP-адресов называется динамической. Она освобождает администратора сети от ручной малопривлекательной работы.
    Рис. 4.11 – Коммутируемый доступ в IP-сеть
    Кроме динамических IP-адресов есть статические адреса, которые выделяются абонентам в постоянное пользование. Назначение статических адресов может про- изводиться либо вручную администратором, либо автоматически DHCP-сервером.
    4. Наиболее радикальным способом является внедрение следующей версии IP- протокола — IPv6. Основные особенности следующие:
    1) расширение поля адреса с 32 бит до 128 бит;
    2) упрощение формата заголовка, удаление ненужных полей, постоянная дли- на 40 байт;
    3) возможность маркирования потока;
    4) возможность расширения заголовка;
    5) возможность аутентификации и конфиденциальности.
    4.5 Связь IP-адресов с другими системами адресации
    Как было рассмотрено ранее, наряду с IP-адресами, рабочие станции, серверы,
    порты маршрутизаторов имеют еще и МАС-адреса (адреса сетевых карт), а так- же доменные (символьные) адреса. Все они используются одновременно, поэтому необходимы протоколы перехода от одной адресной системы к другой.
    Рассмотрим вначале переход от доменных адресов к IP-адресам. Для этого со- здана специальная служба DNS (Domain Name System). Она содержит распределен- ную систему серверов (DNS-серверы), в которых размещаются таблицы соответ- ствия «доменное имя» — IP-адрес для определенной группы символьных адресов,
    называемых доменом или поддоменом. Например,
    — tomsknet.ru — 195.161.2.0

    80
    Глава 4. IP-сети
    Процедура работы сервера следующая: абонент (рабочая станция) набирает доменное имя вызываемой стороны. Это может быть адрес сервера www, адрес электронной почты.
    Станция обращается с запросом к DNS-серверу, обслуживающему поддомен,
    к которому относится абонент. Если сервер в своей таблице имеет информацию об IP-адресе вызываемой стороны, то он сразу дает содержательный ответ. Ес- ли же запрашиваемой информации нет, то сервер поддомена переправляет запрос на верхний уровень к корневому серверу DNS. Ответ по инстанции передается абоненту.
    Переход от IP-адреса к МАС-адресу происходит при передаче IP-пакета на канальный уровень. Здесь также используются таблицы соответствия (табл. 4.5),
    которые устанавливаются протоколом ARP (Adress Resolution Protocol). Этим про- токолом по IP-адресу находится МАС-адрес.
    Таблица 4.5 – ARP-таблица
    IP-адрес
    МАС-адрес
    Тип записи
    193.112.76.40 004215DC7B21
    Динамический
    193.112.76.71 004215DC7B36
    Статический
    193.112.76.14 004215DC7B52
    Статический
    Считается, что станция-отправитель знает IP-адрес получателя. Если в ARP- таблице отправителя есть запись соответствия, то сразу происходит передача ин- формации с использованием известных МАС-адреса и IP-адреса. Если же в ARP- таблице нет записи, то станция посылает в сеть специальный широковещательный
    ARP-запрос. Этот запрос посылается по IP-сети, так как IP-адрес получателя изве- стен. Вместе с тем этот запрос помещается не в сам IP-пакет, а в пакет канального уровня. Так, в пакетах Ethernet есть специальное поле Type, содержащее 2 байта и определяющее тип передаваемого пакета (протокола верхнего уровня). Для про- токола IP в поле Type используется код 0
    
    0800, а для пакетов ARP код 0
    
    0806.
    В качестве данных передаются МАС- и IP-адреса отправителя и получателя.
    На ARP-запрос реагирует только та станция, которой он адресован. Получив запрос, она отправляет ARP-ответ, в котором содержится неизвестный МАС-адрес.
    Все новые адреса станции по необходимости заносят в свои таблицы.
    4.6 Протоколы маршрутизации в IP-сетях
    Для того чтобы пакеты могли передаваться в IP-сетях, необходимы таблицы маршрутизации, которые находятся в маршрутизаторах. Эти таблицы могут со- ставляться администраторами сетей вручную, но эти процедуры составления и об- новления таблиц лучше выполнять автоматически. Для этого и служат специальные протоколы маршрутизации: RIP, OSPF, BGP и другие.
    Эти протоколы не надо путать с сетевыми протоколами IP, IPX,
    X.25, которые были рассмотрены ранее.

    4.6 Протоколы маршрутизации в IP-сетях
    81
    При структуризации IP-сетей и распределении адресов вводится понятие авто- номной системы.
    Автономная система (АС) — подключенный сегмент сетевой топологии, со- стоящий из набора подсетей и взаимодействующий через набор маршрутизаторов.
    Каждая автономная система имеет свой уникальный номер (сетевой адрес или префикс) и находится под единым управлением. Типичной автономной системой является сеть крупной компании или провайдера сетевых услуг. На рисунке 4.12
    показана сложная сеть, состоящая из нескольких автономных систем. В составе этой сети есть магистральная сеть, которая представляет собой тоже автономную систему. Внутри каждой АС действует внутренний протокол маршрутизации IGP —
    Internal Gateway Protocol. В качестве IGP используются:
    ˆ
    RIP — Routing Information Protocol;
    ˆ
    OSPF — Open Shortest Path First.
    Рис. 4.12 – Сложная IP-сеть
    Между АС действуют внешние протоколы маршрутизации:
    ˆ
    EGP — External Gateway Protocol;
    ˆ
    BGP — Border Gateway Protocol.
    Связь АС происходит через пограничные маршрутизаторы, называемые шлюза- ми. Основной смысл разделения IP-сетей на АС — создание модульной и иерархич- ной системы, простой в управлении и способной к развитию. Простота управления

    82
    Глава 4. IP-сети
    достигается тем, что для глобальной IP-сети автономная система представлена все- го одним адресом внешнего маршрутизатора, да и то не всем, а только его старшими разрядами. Так, префикс 176.18.0.0/16 задает на внешнем шлюзе АС без излишней детализации. Все остальные адреса 176.18.ххх.ххх. находятся внутри системы.
    Наряду с АС вводятся понятия:
    1) «соседи» — маршрутизаторы, удаленные друг от друга на одно попадание
    («хоп»);
    2) метрики маршрутизации — количественные характеристики, определяющие процедуру передачи пакетов. Они служат для сравнения и выбора маршрута;
    3) протоколы маршрутизации, определяют процедуру составления таблиц марш- рутизации. Они делятся на два класса:
    ˆ
    протоколы вектора расстояния (distance vector). В этих протоколах ли- бо считается число хопов между начальным и конечным пунктами —
    RIP, либо применяется более сложная метрика (пропускная способ- ность, задержка, надежность доставки, стоимость и т. д.) — IGP, EGP;
    ˆ
    протоколы состояния связей (link station). Здесь путем опроса маршру- тизаторов создается карта всей сети и исследуется путь между двумя любыми заданными узлами. При этом также применяются различные метрики. Наиболее распространенный протокол — OSPF.
    Содержание таблиц маршрутизации:
    ˆ
    адрес сети, подсети или системы назначения;
    ˆ
    IP-адрес маршрутизатора следующего попадания;
    ˆ
    сетевой интерфейс для доступа к следующему маршрутизатору;
    ˆ
    маска для точки назначения;
    ˆ
    расстояние до точки назначения (в хопах);
    ˆ
    время жизни в секундах от последнего изменения маршрута.
    Рассмотрим теперь в качестве примера один из первых протоколов RIP (RFC
    1058). Этот протокол анализирует маршрут на основе вектора расстояния, когда каждому хопу присваивается вес (обычно 1). Для каждого пути все веса суммиру- ются, а затем из всех путей выбирается маршрут с наименьшей метрикой.
    Для участка цепи, приведенной на рисунке 4.13, наилучшим маршрутом от сети A к сети B будет маршрут M
    1
    M
    2
    M
    4
    Рис. 4.13 – Выбор маршрута по протоколу RIP

    4.6 Протоколы маршрутизации в IP-сетях
    83
    Основные свойства протокола RIP:
    1. Протокол очень простой. Он используется в небольших сетях.
    2. Каждый маршрутизатор осуществляет широковещательную рассылку сво- их таблиц.
    3. Имеется две версии: RIP v. 1 и RIP v. 2.
    4. Протокол RIP v. 1 не поддерживает маски.
    5. Все адреса различают только по классам A, B, C (для RIP v. 1).
    6. В качестве метрики в RIP v. 1 используются только хопы.
    Рассмотрим работу протокола RIP v. 1 на примере (рис. 4.14).
    Рис. 4.14 – Пример IP-сети
    Этап 1. Создание минимальных таблиц, фиксирующих начальное состояние
    (табл. 4.6). При этом учитываются только сети, непосредственно подключенные к маршрутизатору. Далее будем рассматривать маршрутизатор M
    1
    . Для него мини- мальная таблица имеет вид.
    Таблица 4.6 – Минимальная таблица начальных состояний для M
    1
    № сети
    Адрес следующего маршрутизатора
    Порт
    Расстояние
    201.36.14.0 201.36.14.3 1
    1 132.11.0.0 132.11.0.7 2
    1 194.27.18.0 194.27.18.1 3
    1
    Аналогично составляются таблицы и для других маршрутизаторов.
    Этап 2. Маршрутизаторы рассылают минимальные таблицы соседям. В нашем примере маршрутизатор M
    1
    отправит данные к M
    2
    и M
    3
    Этап 3. Получение RIP сообщений от соседей, заполнение таблиц и обработка полученной информации. Таблица M
    1
    (табл. 4.7) на этом этапе будет выглядеть так.
    Обработка здесь заключается в том, что если появляется повторная запись, то оставляется та, которая имеет наименьшую метрику. Если у двух записей метрики равны, остается та, которая появилась первой.

    84
    Глава 4. IP-сети
    Таблица 4.7 – Таблица обработки информации
    № сети
    Адрес следующего маршрутизатора
    Порт
    Расстояние
    201.36.14.0 201.36.14.3 1
    1 132.11.0.0 132.11.0.7 2
    1 194.27.18.0 194.27.18.1 3
    1 132.17.0.0 132.11.0.101 2
    2 132.15.0.0 132.11.0.101 2
    2 194.27.19.0 194.27.18.51 3
    2 202.101.15.0 194.27.18.51 3
    2
    Этап 4. Рассылка новой таблицы соседям.
    Этап 5. Получение RIP-сообщений и их обработка (повторение этапа 3).
    В конечном итоге на всех маршрутизаторах устанавливается стационарное со- стояние, способное обеспечить передачу пакетов по протоколу IP.
    Протокол RIP имеет ряд ограничений.
    1. Время между рассылками составляет 30 секунд.
    2. Максимальное число хопов, которое может пройти пакет, —
    15. Если пакет использовал все хопы, он уничтожается.
    3. Длина RIP-пакетов составляет 512 байт.
    Простота протокола и эти ограничения приводят к появлению ряда проблем.
    1. Если на появление новых маршрутов RIP-1 реагирует быстро, то к потере маршрутов он приспосабливается сложнее и медленнее, так как у него нет по- ля, которое сигнализирует о прекращении маршрута. Рассмотрим фрагмент сети,
    изображенный на рисунке 4.15.
    Рис. 4.15 – Фрагмент сети
    Пусть сеть N стала недоступной. Маршрутизатор M
    1
    вносит в метрику значение
    16 (недоступность объекта). Рассылку этой информации он начинает не сразу,
    а только тогда, когда наступает очередной 30-секундный интервал. Если до этого времени M
    2
    начнет свою рассылку, то M
    1
    увидит, что до сети N есть более короткий путь в 2 хопа (через M
    2
    ) и запись с метрикой 16 будет заменена. M
    1
    отправит в сеть информацию о том, что у него до N метрика равна 3. Таким образом, произойдет
    «зацикливание» и пакеты будут курсировать между M
    1
    и M
    2
    до тех пор, пока не закончится время жизни пакета. Исходя из вышесказанного можно сделать вывод,
    что RIP-1 хорошо работает в стационарных сетях.
    2. RIP не может работать в больших сетях, так как максимальное расстояние между станциями — 15 хопов.

    4.7 Виртуальные частные сети на базе стека протоколов TCP/IP
    85
    3. RIP работает с кратчайшими маршрутами, которые не обязательно самые быстрые (рис. 4.16).
    Рис. 4.16 – Неравноценность маршрутов по скорости
    Протокол RIP-1 на рисунке изберет маршрут M
    1
    M
    3
    M
    2
    . Этот недостаток возникает из-за того, что метрика единственная. Разницу в скорости можно ком- пенсировать множителями: 1
    xoп
    
    2, 1
    xoп
    
    3 и т. д., но в этом случае сокращается диаметр сети.
    4. Широковещательная рассылка RIP-пакетов перегружает сеть. Пусть, напри- мер, имеем 300 сетей. Для каждого IP-адреса выделяется 20 байт. Размер UDP- пакета 512 байт. Поэтому в одном UDP-пакете можно послать 25 адресов. Всего для 300 сетей потребуется 12 пакетов. Таким образом, каждый маршрутизатор через каждые 30 секунд посылает 12 широковещательных пакетов.
    5. RIP-1 не работает с масками, как говорилось ранее.
    Для устранения недостатков протокола RIP-1 применяют следующие меры:
    ˆ
    Метод расщепленного горизонта (split horizont).
    Его суть заключается в том, что маршрутизатор не отсылает информацию о но- вом маршруте на тот порт, через который она была получена. Теперь в примере на рисунке 4.15 при обрыве сети N появится и останется метрика 16.
    ˆ
    Введение таймера неисправностей.
    Получив информацию о недоступной сети, маршрутизатор игнорирует все по- следующие обновления о ней в течение 60 секунд.
    Введение версии RIP v. 2, в которой предусмотрены авторизация (2 допол- нительных байта), дополнительное поле для передачи наряду с адресом и маски и другие меры.
    4.7 Виртуальные частные сети на базе стека протоколов TCP/IP
    Виртуальные частные сети (VPN — Virtual Private Networks) организуют потоки данных одного предприятия, которые существуют в открытой сети с коммутацией пакетов и в достаточной степени защищены от влияния потоков данных других абонентов этой сети.
    IP-адресация позволяет строить корпоративные сети любого масштаба и обла- дает рядом преимуществ:

    86
    Глава 4. IP-сети
    ˆ
    удаленный доступ к ресурсам ЛВС практически из любой точки, имеющей выход в сеть Интернет;
    ˆ
    высокая скорость передачи информации, ограниченная скоростью сети дос- тупа;
    ˆ
    низкие затраты на создание сети, так как можно воспользоваться услугами провайдера Интернета (оператора связи);
    ˆ
    стоимость передачи IP-пакетов значительно меньше стоимости передачи трафика по цифровым каналом.
    Основные недостатки VPN на базе IP-протоколов:
    ˆ
    сравнительно низкий уровень качества обслуживания (отсутствие гарантии заявленной пропускной способности и доставки пакетов);
    ˆ
    низкий уровень безопасности, который объясняется открытым характером сети.
    Эти недостатки сейчас всячески нейтрализуются путем внедрения различных механизмов QoS и мер повышения безопасности (криптография, сетевые экраны и т. п.).
    Таким образом, основное отличие VPN-IP от обычной IP-сети за- ключается в повышенном уровне безопасности, который может обеспечиваться практически на всех уровнях семиуровневой мо- дели взаимодействия открытых систем.
    В основе всех методов защиты лежит принцип инкапсуляции (туннелирования),
    рисунок 4.17. В этом случае IP-пакет снабжается аутентификационным заголовком,
    который включает в себя пакетный ключ и электронную цифровую подпись пакета
    (ЭЦП).
    Рис. 4.17 – Инкапсуляция пакета VPN
    Исходный пакет шифруется полностью вместе с заголовком. Этот зашифрован- ный пакет помещается в другой внешний пакет с открытым заголовком. Пакетный ключ также шифруется в пограничном устройстве (шифрующий маршрутизатор или межсетевой экран — МЭ). Для передачи данных по открытой сети использу-

    4.7 Виртуальные частные сети на базе стека протоколов TCP/IP
    87
    ют открытые IP-адреса пограничных устройств. По прибытии внешнего пакета в конечную точку защищенного канала из него извлекают внутренний пакет, рас- шифровывают и используют его заголовок для дальнейшей передачи в частной сети.
    Схема VPN приведена на рисунке 4.18.
    Рис. 4.18 – Схема VPN
    Здесь VPN-агент может быть отделен от маршрутизатора R, а может быть сов- мещен с ним. В качестве протоколов в IP VPN сетях используют специальные про- токолы. На канальном уровне — протокол PPTP (Point to Point Tunneling Protocol),
    который базируется на протоколе PPP в архитектуре клиент-сервер и использует механизм общей маршрутной инкапсуляции (GRE — Generic Routing Encapsulation)
    для передачи пакетов PPP. На сетевом уровне — протокол IPSec.
    Он ориентирован только на протокол IP и решает следующие задачи:
    ˆ
    аутентификация пользователей;
    ˆ
    шифрование и аутентификация передаваемых данных;
    ˆ
    автоматическое снабжение конечных точек секретными ключами.
    Кроме этих протоколов, существует множество других, работающих на всех уровнях семиуровневой модели ЭМВОС. Более подробные сведения можно полу- чить в специальной литературе.
    При реализации IP VPN следует учитывать следующие особенности. Допол- нительные операции по защите каналов и данных приводят к увеличению доли служебной информации (перегрузка сети) и к увеличению задержки (падение про- изводительности). Чем выше требования к конфиденциальности, тем сильнее про- являются эти факторы.
    Вот некоторые данные, характеризующие падение производительности. Если процедура маршрутизации требует относительной вычислительной мощности — 1,
    то аутентификация пакетов — 12, а шифрование по алгоритму DES (Data Encryption
    Standard — Стандарт шифрования данных) — 22. Поэтому VPN, реализованные на базе маршрутизаторов, межсетевых экранов и персональных компьютеров, имеют производительность не более 10 Мбит/с. Для повышения производительности VPN
    применяют специальные процессоры.
    Механизмы появления дополнительных задержек:
    ˆ
    установление защищенного соединения;

    88
    1   ...   6   7   8   9   10   11   12   13   14


    написать администратору сайта