Сети передачи данных - уч. пособие. Сети передачи данных
Скачать 4.1 Mb.
|
Глава 4. IP-сети 4.4 Распределение IP-адресов Для распределения IP-адресов создана международная организация — «Комис- сия по константам Интернет» (Internet Assigned Numbers Authority — IANA). IANA обладает абсолютными полномочиями и в своей структуре содержит три регио- нальных отдела (рис. 4.10). Рис. 4.10 – Структура распределения IP-адресов Эти отделы распределяют адреса по различным государствам (национальные отделы), а те в свою очередь местным крупным провайдерам. Как правило, провай- деры получают блоки адресов сетей класса C или сети класса B. Далее провайдеры выдают адреса своим клиентам. Как уже говорилось, при распределении IP-адресов наблюдается их дефицит и для преодоления этого используются разные пути. 1. Ранее рассмотренная технология подсетей и масок. 2. Использование в сетях предприятий и организаций собственных внутрен- них адресов, назначаемых произвольно местными администраторами. Эти сети соединяются с внешней сетью Интернет с помощью пограничных маршрутизато- ров, которые имеют несколько стандартных IP-адресов. При получении пакетов маршрутизатор транслирует IP-адрес во внутренние адреса. 3. Применение динамических IP-адресов с помощью протокола Dynamic Host Configuration Protocol (DHCP). Эта процедура применяется широко при комму- тируемом доступе к сети Интернет (рис. 4.11). Здесь значительное количество абонентов с помощью модемов (dial up, ADSL) подключаются к маршрутизатору M через модемный пул (множество модемов), расположенный на узле сети пере- дачи данных. Каждому модемному соединению DHCP-сервер выделяет произвольный IP- адрес из своего набора (пула) адресов. Разумеется, что в этом случае число ис- пользуемых адресов значительно меньше числа абонентов. Другим замечательным свойством DHCP является автоматизация выделения адресов по процедуре «клиент — сервер». Клиент (компьютер) посылает в сеть широковещательный запрос на получение IP-адреса. DHCP-сервер в ответ в сво- ем сообщении направляет один из своих свободных IP-адресов на время сеанса 4.5 Связь IP-адресов с другими системами адресации 79 связи. После окончания сеанса IP-адрес изымается. Такая процедура назначения IP-адресов называется динамической. Она освобождает администратора сети от ручной малопривлекательной работы. Рис. 4.11 – Коммутируемый доступ в IP-сеть Кроме динамических IP-адресов есть статические адреса, которые выделяются абонентам в постоянное пользование. Назначение статических адресов может про- изводиться либо вручную администратором, либо автоматически DHCP-сервером. 4. Наиболее радикальным способом является внедрение следующей версии IP- протокола — IPv6. Основные особенности следующие: 1) расширение поля адреса с 32 бит до 128 бит; 2) упрощение формата заголовка, удаление ненужных полей, постоянная дли- на 40 байт; 3) возможность маркирования потока; 4) возможность расширения заголовка; 5) возможность аутентификации и конфиденциальности. 4.5 Связь IP-адресов с другими системами адресации Как было рассмотрено ранее, наряду с IP-адресами, рабочие станции, серверы, порты маршрутизаторов имеют еще и МАС-адреса (адреса сетевых карт), а так- же доменные (символьные) адреса. Все они используются одновременно, поэтому необходимы протоколы перехода от одной адресной системы к другой. Рассмотрим вначале переход от доменных адресов к IP-адресам. Для этого со- здана специальная служба DNS (Domain Name System). Она содержит распределен- ную систему серверов (DNS-серверы), в которых размещаются таблицы соответ- ствия «доменное имя» — IP-адрес для определенной группы символьных адресов, называемых доменом или поддоменом. Например, — tomsknet.ru — 195.161.2.0 80 Глава 4. IP-сети Процедура работы сервера следующая: абонент (рабочая станция) набирает доменное имя вызываемой стороны. Это может быть адрес сервера www, адрес электронной почты. Станция обращается с запросом к DNS-серверу, обслуживающему поддомен, к которому относится абонент. Если сервер в своей таблице имеет информацию об IP-адресе вызываемой стороны, то он сразу дает содержательный ответ. Ес- ли же запрашиваемой информации нет, то сервер поддомена переправляет запрос на верхний уровень к корневому серверу DNS. Ответ по инстанции передается абоненту. Переход от IP-адреса к МАС-адресу происходит при передаче IP-пакета на канальный уровень. Здесь также используются таблицы соответствия (табл. 4.5), которые устанавливаются протоколом ARP (Adress Resolution Protocol). Этим про- токолом по IP-адресу находится МАС-адрес. Таблица 4.5 – ARP-таблица IP-адрес МАС-адрес Тип записи 193.112.76.40 004215DC7B21 Динамический 193.112.76.71 004215DC7B36 Статический 193.112.76.14 004215DC7B52 Статический Считается, что станция-отправитель знает IP-адрес получателя. Если в ARP- таблице отправителя есть запись соответствия, то сразу происходит передача ин- формации с использованием известных МАС-адреса и IP-адреса. Если же в ARP- таблице нет записи, то станция посылает в сеть специальный широковещательный ARP-запрос. Этот запрос посылается по IP-сети, так как IP-адрес получателя изве- стен. Вместе с тем этот запрос помещается не в сам IP-пакет, а в пакет канального уровня. Так, в пакетах Ethernet есть специальное поле Type, содержащее 2 байта и определяющее тип передаваемого пакета (протокола верхнего уровня). Для про- токола IP в поле Type используется код 0 0800, а для пакетов ARP код 0 0806. В качестве данных передаются МАС- и IP-адреса отправителя и получателя. На ARP-запрос реагирует только та станция, которой он адресован. Получив запрос, она отправляет ARP-ответ, в котором содержится неизвестный МАС-адрес. Все новые адреса станции по необходимости заносят в свои таблицы. 4.6 Протоколы маршрутизации в IP-сетях Для того чтобы пакеты могли передаваться в IP-сетях, необходимы таблицы маршрутизации, которые находятся в маршрутизаторах. Эти таблицы могут со- ставляться администраторами сетей вручную, но эти процедуры составления и об- новления таблиц лучше выполнять автоматически. Для этого и служат специальные протоколы маршрутизации: RIP, OSPF, BGP и другие. Эти протоколы не надо путать с сетевыми протоколами IP, IPX, X.25, которые были рассмотрены ранее. 4.6 Протоколы маршрутизации в IP-сетях 81 При структуризации IP-сетей и распределении адресов вводится понятие авто- номной системы. Автономная система (АС) — подключенный сегмент сетевой топологии, со- стоящий из набора подсетей и взаимодействующий через набор маршрутизаторов. Каждая автономная система имеет свой уникальный номер (сетевой адрес или префикс) и находится под единым управлением. Типичной автономной системой является сеть крупной компании или провайдера сетевых услуг. На рисунке 4.12 показана сложная сеть, состоящая из нескольких автономных систем. В составе этой сети есть магистральная сеть, которая представляет собой тоже автономную систему. Внутри каждой АС действует внутренний протокол маршрутизации IGP — Internal Gateway Protocol. В качестве IGP используются: RIP — Routing Information Protocol; OSPF — Open Shortest Path First. Рис. 4.12 – Сложная IP-сеть Между АС действуют внешние протоколы маршрутизации: EGP — External Gateway Protocol; BGP — Border Gateway Protocol. Связь АС происходит через пограничные маршрутизаторы, называемые шлюза- ми. Основной смысл разделения IP-сетей на АС — создание модульной и иерархич- ной системы, простой в управлении и способной к развитию. Простота управления 82 Глава 4. IP-сети достигается тем, что для глобальной IP-сети автономная система представлена все- го одним адресом внешнего маршрутизатора, да и то не всем, а только его старшими разрядами. Так, префикс 176.18.0.0/16 задает на внешнем шлюзе АС без излишней детализации. Все остальные адреса 176.18.ххх.ххх. находятся внутри системы. Наряду с АС вводятся понятия: 1) «соседи» — маршрутизаторы, удаленные друг от друга на одно попадание («хоп»); 2) метрики маршрутизации — количественные характеристики, определяющие процедуру передачи пакетов. Они служат для сравнения и выбора маршрута; 3) протоколы маршрутизации, определяют процедуру составления таблиц марш- рутизации. Они делятся на два класса: протоколы вектора расстояния (distance vector). В этих протоколах ли- бо считается число хопов между начальным и конечным пунктами — RIP, либо применяется более сложная метрика (пропускная способ- ность, задержка, надежность доставки, стоимость и т. д.) — IGP, EGP; протоколы состояния связей (link station). Здесь путем опроса маршру- тизаторов создается карта всей сети и исследуется путь между двумя любыми заданными узлами. При этом также применяются различные метрики. Наиболее распространенный протокол — OSPF. Содержание таблиц маршрутизации: адрес сети, подсети или системы назначения; IP-адрес маршрутизатора следующего попадания; сетевой интерфейс для доступа к следующему маршрутизатору; маска для точки назначения; расстояние до точки назначения (в хопах); время жизни в секундах от последнего изменения маршрута. Рассмотрим теперь в качестве примера один из первых протоколов RIP (RFC 1058). Этот протокол анализирует маршрут на основе вектора расстояния, когда каждому хопу присваивается вес (обычно 1). Для каждого пути все веса суммиру- ются, а затем из всех путей выбирается маршрут с наименьшей метрикой. Для участка цепи, приведенной на рисунке 4.13, наилучшим маршрутом от сети A к сети B будет маршрут M 1 – M 2 – M 4 Рис. 4.13 – Выбор маршрута по протоколу RIP 4.6 Протоколы маршрутизации в IP-сетях 83 Основные свойства протокола RIP: 1. Протокол очень простой. Он используется в небольших сетях. 2. Каждый маршрутизатор осуществляет широковещательную рассылку сво- их таблиц. 3. Имеется две версии: RIP v. 1 и RIP v. 2. 4. Протокол RIP v. 1 не поддерживает маски. 5. Все адреса различают только по классам A, B, C (для RIP v. 1). 6. В качестве метрики в RIP v. 1 используются только хопы. Рассмотрим работу протокола RIP v. 1 на примере (рис. 4.14). Рис. 4.14 – Пример IP-сети Этап 1. Создание минимальных таблиц, фиксирующих начальное состояние (табл. 4.6). При этом учитываются только сети, непосредственно подключенные к маршрутизатору. Далее будем рассматривать маршрутизатор M 1 . Для него мини- мальная таблица имеет вид. Таблица 4.6 – Минимальная таблица начальных состояний для M 1 № сети Адрес следующего маршрутизатора Порт Расстояние 201.36.14.0 201.36.14.3 1 1 132.11.0.0 132.11.0.7 2 1 194.27.18.0 194.27.18.1 3 1 Аналогично составляются таблицы и для других маршрутизаторов. Этап 2. Маршрутизаторы рассылают минимальные таблицы соседям. В нашем примере маршрутизатор M 1 отправит данные к M 2 и M 3 Этап 3. Получение RIP сообщений от соседей, заполнение таблиц и обработка полученной информации. Таблица M 1 (табл. 4.7) на этом этапе будет выглядеть так. Обработка здесь заключается в том, что если появляется повторная запись, то оставляется та, которая имеет наименьшую метрику. Если у двух записей метрики равны, остается та, которая появилась первой. 84 Глава 4. IP-сети Таблица 4.7 – Таблица обработки информации № сети Адрес следующего маршрутизатора Порт Расстояние 201.36.14.0 201.36.14.3 1 1 132.11.0.0 132.11.0.7 2 1 194.27.18.0 194.27.18.1 3 1 132.17.0.0 132.11.0.101 2 2 132.15.0.0 132.11.0.101 2 2 194.27.19.0 194.27.18.51 3 2 202.101.15.0 194.27.18.51 3 2 Этап 4. Рассылка новой таблицы соседям. Этап 5. Получение RIP-сообщений и их обработка (повторение этапа 3). В конечном итоге на всех маршрутизаторах устанавливается стационарное со- стояние, способное обеспечить передачу пакетов по протоколу IP. Протокол RIP имеет ряд ограничений. 1. Время между рассылками составляет 30 секунд. 2. Максимальное число хопов, которое может пройти пакет, — 15. Если пакет использовал все хопы, он уничтожается. 3. Длина RIP-пакетов составляет 512 байт. Простота протокола и эти ограничения приводят к появлению ряда проблем. 1. Если на появление новых маршрутов RIP-1 реагирует быстро, то к потере маршрутов он приспосабливается сложнее и медленнее, так как у него нет по- ля, которое сигнализирует о прекращении маршрута. Рассмотрим фрагмент сети, изображенный на рисунке 4.15. Рис. 4.15 – Фрагмент сети Пусть сеть N стала недоступной. Маршрутизатор M 1 вносит в метрику значение 16 (недоступность объекта). Рассылку этой информации он начинает не сразу, а только тогда, когда наступает очередной 30-секундный интервал. Если до этого времени M 2 начнет свою рассылку, то M 1 увидит, что до сети N есть более короткий путь в 2 хопа (через M 2 ) и запись с метрикой 16 будет заменена. M 1 отправит в сеть информацию о том, что у него до N метрика равна 3. Таким образом, произойдет «зацикливание» и пакеты будут курсировать между M 1 и M 2 до тех пор, пока не закончится время жизни пакета. Исходя из вышесказанного можно сделать вывод, что RIP-1 хорошо работает в стационарных сетях. 2. RIP не может работать в больших сетях, так как максимальное расстояние между станциями — 15 хопов. 4.7 Виртуальные частные сети на базе стека протоколов TCP/IP 85 3. RIP работает с кратчайшими маршрутами, которые не обязательно самые быстрые (рис. 4.16). Рис. 4.16 – Неравноценность маршрутов по скорости Протокол RIP-1 на рисунке изберет маршрут M 1 – M 3 – M 2 . Этот недостаток возникает из-за того, что метрика единственная. Разницу в скорости можно ком- пенсировать множителями: 1 xoп 2, 1 xoп 3 и т. д., но в этом случае сокращается диаметр сети. 4. Широковещательная рассылка RIP-пакетов перегружает сеть. Пусть, напри- мер, имеем 300 сетей. Для каждого IP-адреса выделяется 20 байт. Размер UDP- пакета 512 байт. Поэтому в одном UDP-пакете можно послать 25 адресов. Всего для 300 сетей потребуется 12 пакетов. Таким образом, каждый маршрутизатор через каждые 30 секунд посылает 12 широковещательных пакетов. 5. RIP-1 не работает с масками, как говорилось ранее. Для устранения недостатков протокола RIP-1 применяют следующие меры: Метод расщепленного горизонта (split horizont). Его суть заключается в том, что маршрутизатор не отсылает информацию о но- вом маршруте на тот порт, через который она была получена. Теперь в примере на рисунке 4.15 при обрыве сети N появится и останется метрика 16. Введение таймера неисправностей. Получив информацию о недоступной сети, маршрутизатор игнорирует все по- следующие обновления о ней в течение 60 секунд. Введение версии RIP v. 2, в которой предусмотрены авторизация (2 допол- нительных байта), дополнительное поле для передачи наряду с адресом и маски и другие меры. 4.7 Виртуальные частные сети на базе стека протоколов TCP/IP Виртуальные частные сети (VPN — Virtual Private Networks) организуют потоки данных одного предприятия, которые существуют в открытой сети с коммутацией пакетов и в достаточной степени защищены от влияния потоков данных других абонентов этой сети. IP-адресация позволяет строить корпоративные сети любого масштаба и обла- дает рядом преимуществ: 86 Глава 4. IP-сети удаленный доступ к ресурсам ЛВС практически из любой точки, имеющей выход в сеть Интернет; высокая скорость передачи информации, ограниченная скоростью сети дос- тупа; низкие затраты на создание сети, так как можно воспользоваться услугами провайдера Интернета (оператора связи); стоимость передачи IP-пакетов значительно меньше стоимости передачи трафика по цифровым каналом. Основные недостатки VPN на базе IP-протоколов: сравнительно низкий уровень качества обслуживания (отсутствие гарантии заявленной пропускной способности и доставки пакетов); низкий уровень безопасности, который объясняется открытым характером сети. Эти недостатки сейчас всячески нейтрализуются путем внедрения различных механизмов QoS и мер повышения безопасности (криптография, сетевые экраны и т. п.). Таким образом, основное отличие VPN-IP от обычной IP-сети за- ключается в повышенном уровне безопасности, который может обеспечиваться практически на всех уровнях семиуровневой мо- дели взаимодействия открытых систем. В основе всех методов защиты лежит принцип инкапсуляции (туннелирования), рисунок 4.17. В этом случае IP-пакет снабжается аутентификационным заголовком, который включает в себя пакетный ключ и электронную цифровую подпись пакета (ЭЦП). Рис. 4.17 – Инкапсуляция пакета VPN Исходный пакет шифруется полностью вместе с заголовком. Этот зашифрован- ный пакет помещается в другой внешний пакет с открытым заголовком. Пакетный ключ также шифруется в пограничном устройстве (шифрующий маршрутизатор или межсетевой экран — МЭ). Для передачи данных по открытой сети использу- 4.7 Виртуальные частные сети на базе стека протоколов TCP/IP 87 ют открытые IP-адреса пограничных устройств. По прибытии внешнего пакета в конечную точку защищенного канала из него извлекают внутренний пакет, рас- шифровывают и используют его заголовок для дальнейшей передачи в частной сети. Схема VPN приведена на рисунке 4.18. Рис. 4.18 – Схема VPN Здесь VPN-агент может быть отделен от маршрутизатора R, а может быть сов- мещен с ним. В качестве протоколов в IP VPN сетях используют специальные про- токолы. На канальном уровне — протокол PPTP (Point to Point Tunneling Protocol), который базируется на протоколе PPP в архитектуре клиент-сервер и использует механизм общей маршрутной инкапсуляции (GRE — Generic Routing Encapsulation) для передачи пакетов PPP. На сетевом уровне — протокол IPSec. Он ориентирован только на протокол IP и решает следующие задачи: аутентификация пользователей; шифрование и аутентификация передаваемых данных; автоматическое снабжение конечных точек секретными ключами. Кроме этих протоколов, существует множество других, работающих на всех уровнях семиуровневой модели ЭМВОС. Более подробные сведения можно полу- чить в специальной литературе. При реализации IP VPN следует учитывать следующие особенности. Допол- нительные операции по защите каналов и данных приводят к увеличению доли служебной информации (перегрузка сети) и к увеличению задержки (падение про- изводительности). Чем выше требования к конфиденциальности, тем сильнее про- являются эти факторы. Вот некоторые данные, характеризующие падение производительности. Если процедура маршрутизации требует относительной вычислительной мощности — 1, то аутентификация пакетов — 12, а шифрование по алгоритму DES (Data Encryption Standard — Стандарт шифрования данных) — 22. Поэтому VPN, реализованные на базе маршрутизаторов, межсетевых экранов и персональных компьютеров, имеют производительность не более 10 Мбит/с. Для повышения производительности VPN применяют специальные процессоры. Механизмы появления дополнительных задержек: установление защищенного соединения; |