Сети передачи данных - уч. пособие. Сети передачи данных

4.5 Связь IP-адресов с другими системами адресации
79
связи. После окончания сеанса IP-адрес изымается. Такая процедура назначения
IP-адресов называется динамической. Она освобождает администратора сети от ручной малопривлекательной работы.
Рис. 4.11 – Коммутируемый доступ в IP-сеть
Кроме динамических IP-адресов есть статические адреса, которые выделяются абонентам в постоянное пользование. Назначение статических адресов может про- изводиться либо вручную администратором, либо автоматически DHCP-сервером.
4. Наиболее радикальным способом является внедрение следующей версии IP- протокола — IPv6. Основные особенности следующие:
1) расширение поля адреса с 32 бит до 128 бит;
2) упрощение формата заголовка, удаление ненужных полей, постоянная дли- на 40 байт;
3) возможность маркирования потока;
4) возможность расширения заголовка;
5) возможность аутентификации и конфиденциальности.
4.5 Связь IP-адресов с другими системами адресации
Как было рассмотрено ранее, наряду с IP-адресами, рабочие станции, серверы,
порты маршрутизаторов имеют еще и МАС-адреса (адреса сетевых карт), а так- же доменные (символьные) адреса. Все они используются одновременно, поэтому необходимы протоколы перехода от одной адресной системы к другой.
Рассмотрим вначале переход от доменных адресов к IP-адресам. Для этого со- здана специальная служба DNS (Domain Name System). Она содержит распределен- ную систему серверов (DNS-серверы), в которых размещаются таблицы соответ- ствия «доменное имя» — IP-адрес для определенной группы символьных адресов,
называемых доменом или поддоменом. Например,
— tomsknet.ru — 195.161.2.0

80
Глава 4. IP-сети
Процедура работы сервера следующая: абонент (рабочая станция) набирает доменное имя вызываемой стороны. Это может быть адрес сервера www, адрес электронной почты.
Станция обращается с запросом к DNS-серверу, обслуживающему поддомен,
к которому относится абонент. Если сервер в своей таблице имеет информацию об IP-адресе вызываемой стороны, то он сразу дает содержательный ответ. Ес- ли же запрашиваемой информации нет, то сервер поддомена переправляет запрос на верхний уровень к корневому серверу DNS. Ответ по инстанции передается абоненту.
Переход от IP-адреса к МАС-адресу происходит при передаче IP-пакета на канальный уровень. Здесь также используются таблицы соответствия (табл. 4.5),
которые устанавливаются протоколом ARP (Adress Resolution Protocol). Этим про- токолом по IP-адресу находится МАС-адрес.
Таблица 4.5 – ARP-таблица
IP-адрес
МАС-адрес
Тип записи
193.112.76.40 004215DC7B21
Динамический
193.112.76.71 004215DC7B36
Статический
193.112.76.14 004215DC7B52
Статический
Считается, что станция-отправитель знает IP-адрес получателя. Если в ARP- таблице отправителя есть запись соответствия, то сразу происходит передача ин- формации с использованием известных МАС-адреса и IP-адреса. Если же в ARP- таблице нет записи, то станция посылает в сеть специальный широковещательный
ARP-запрос. Этот запрос посылается по IP-сети, так как IP-адрес получателя изве- стен. Вместе с тем этот запрос помещается не в сам IP-пакет, а в пакет канального уровня. Так, в пакетах Ethernet есть специальное поле Type, содержащее 2 байта и определяющее тип передаваемого пакета (протокола верхнего уровня). Для про- токола IP в поле Type используется код 0

0800, а для пакетов ARP код 0

0806.
В качестве данных передаются МАС- и IP-адреса отправителя и получателя.
На ARP-запрос реагирует только та станция, которой он адресован. Получив запрос, она отправляет ARP-ответ, в котором содержится неизвестный МАС-адрес.
Все новые адреса станции по необходимости заносят в свои таблицы.
4.6 Протоколы маршрутизации в IP-сетях
Для того чтобы пакеты могли передаваться в IP-сетях, необходимы таблицы маршрутизации, которые находятся в маршрутизаторах. Эти таблицы могут со- ставляться администраторами сетей вручную, но эти процедуры составления и об- новления таблиц лучше выполнять автоматически. Для этого и служат специальные протоколы маршрутизации: RIP, OSPF, BGP и другие.
Эти протоколы не надо путать с сетевыми протоколами IP, IPX,
X.25, которые были рассмотрены ранее.

4.6 Протоколы маршрутизации в IP-сетях
81
При структуризации IP-сетей и распределении адресов вводится понятие авто- номной системы.
Автономная система (АС) — подключенный сегмент сетевой топологии, со- стоящий из набора подсетей и взаимодействующий через набор маршрутизаторов.
Каждая автономная система имеет свой уникальный номер (сетевой адрес или префикс) и находится под единым управлением. Типичной автономной системой является сеть крупной компании или провайдера сетевых услуг. На рисунке 4.12
показана сложная сеть, состоящая из нескольких автономных систем. В составе этой сети есть магистральная сеть, которая представляет собой тоже автономную систему. Внутри каждой АС действует внутренний протокол маршрутизации IGP —
Internal Gateway Protocol. В качестве IGP используются:
ˆ
RIP — Routing Information Protocol;
ˆ
OSPF — Open Shortest Path First.
Рис. 4.12 – Сложная IP-сеть
Между АС действуют внешние протоколы маршрутизации:
ˆ
EGP — External Gateway Protocol;
ˆ
BGP — Border Gateway Protocol.
Связь АС происходит через пограничные маршрутизаторы, называемые шлюза- ми. Основной смысл разделения IP-сетей на АС — создание модульной и иерархич- ной системы, простой в управлении и способной к развитию. Простота управления

82
Глава 4. IP-сети
достигается тем, что для глобальной IP-сети автономная система представлена все- го одним адресом внешнего маршрутизатора, да и то не всем, а только его старшими разрядами. Так, префикс 176.18.0.0/16 задает на внешнем шлюзе АС без излишней детализации. Все остальные адреса 176.18.ххх.ххх. находятся внутри системы.
Наряду с АС вводятся понятия:
1) «соседи» — маршрутизаторы, удаленные друг от друга на одно попадание
(«хоп»);
2) метрики маршрутизации — количественные характеристики, определяющие процедуру передачи пакетов. Они служат для сравнения и выбора маршрута;
3) протоколы маршрутизации, определяют процедуру составления таблиц марш- рутизации. Они делятся на два класса:
ˆ
протоколы вектора расстояния (distance vector). В этих протоколах ли- бо считается число хопов между начальным и конечным пунктами —
RIP, либо применяется более сложная метрика (пропускная способ- ность, задержка, надежность доставки, стоимость и т. д.) — IGP, EGP;
ˆ
протоколы состояния связей (link station). Здесь путем опроса маршру- тизаторов создается карта всей сети и исследуется путь между двумя любыми заданными узлами. При этом также применяются различные метрики. Наиболее распространенный протокол — OSPF.
Содержание таблиц маршрутизации:
ˆ
адрес сети, подсети или системы назначения;
ˆ
IP-адрес маршрутизатора следующего попадания;
ˆ
сетевой интерфейс для доступа к следующему маршрутизатору;
ˆ
маска для точки назначения;
ˆ
расстояние до точки назначения (в хопах);
ˆ
время жизни в секундах от последнего изменения маршрута.
Рассмотрим теперь в качестве примера один из первых протоколов RIP (RFC
1058). Этот протокол анализирует маршрут на основе вектора расстояния, когда каждому хопу присваивается вес (обычно 1). Для каждого пути все веса суммиру- ются, а затем из всех путей выбирается маршрут с наименьшей метрикой.
Для участка цепи, приведенной на рисунке 4.13, наилучшим маршрутом от сети A к сети B будет маршрут M
1
– M
2
– M
4
Рис. 4.13 – Выбор маршрута по протоколу RIP

4.6 Протоколы маршрутизации в IP-сетях
83
Основные свойства протокола RIP:
1. Протокол очень простой. Он используется в небольших сетях.
2. Каждый маршрутизатор осуществляет широковещательную рассылку сво- их таблиц.
3. Имеется две версии: RIP v. 1 и RIP v. 2.
4. Протокол RIP v. 1 не поддерживает маски.
5. Все адреса различают только по классам A, B, C (для RIP v. 1).
6. В качестве метрики в RIP v. 1 используются только хопы.
Рассмотрим работу протокола RIP v. 1 на примере (рис. 4.14).
Рис. 4.14 – Пример IP-сети
Этап 1. Создание минимальных таблиц, фиксирующих начальное состояние
(табл. 4.6). При этом учитываются только сети, непосредственно подключенные к маршрутизатору. Далее будем рассматривать маршрутизатор M
1
. Для него мини- мальная таблица имеет вид.
Таблица 4.6 – Минимальная таблица начальных состояний для M
1
№ сети
Адрес следующего маршрутизатора
Порт
Расстояние
201.36.14.0 201.36.14.3 1
1 132.11.0.0 132.11.0.7 2
1 194.27.18.0 194.27.18.1 3
1
Аналогично составляются таблицы и для других маршрутизаторов.
Этап 2. Маршрутизаторы рассылают минимальные таблицы соседям. В нашем примере маршрутизатор M
1
отправит данные к M
2
и M
3
Этап 3. Получение RIP сообщений от соседей, заполнение таблиц и обработка полученной информации. Таблица M
1
(табл. 4.7) на этом этапе будет выглядеть так.
Обработка здесь заключается в том, что если появляется повторная запись, то оставляется та, которая имеет наименьшую метрику. Если у двух записей метрики равны, остается та, которая появилась первой.

84
Глава 4. IP-сети
Таблица 4.7 – Таблица обработки информации
№ сети
Адрес следующего маршрутизатора
Порт
Расстояние
201.36.14.0 201.36.14.3 1
1 132.11.0.0 132.11.0.7 2
1 194.27.18.0 194.27.18.1 3
1 132.17.0.0 132.11.0.101 2
2 132.15.0.0 132.11.0.101 2
2 194.27.19.0 194.27.18.51 3
2 202.101.15.0 194.27.18.51 3
2
Этап 4. Рассылка новой таблицы соседям.
Этап 5. Получение RIP-сообщений и их обработка (повторение этапа 3).
В конечном итоге на всех маршрутизаторах устанавливается стационарное со- стояние, способное обеспечить передачу пакетов по протоколу IP.
Протокол RIP имеет ряд ограничений.
1. Время между рассылками составляет 30 секунд.
2. Максимальное число хопов, которое может пройти пакет, —
15. Если пакет использовал все хопы, он уничтожается.
3. Длина RIP-пакетов составляет 512 байт.
Простота протокола и эти ограничения приводят к появлению ряда проблем.
1. Если на появление новых маршрутов RIP-1 реагирует быстро, то к потере маршрутов он приспосабливается сложнее и медленнее, так как у него нет по- ля, которое сигнализирует о прекращении маршрута. Рассмотрим фрагмент сети,
изображенный на рисунке 4.15.
Рис. 4.15 – Фрагмент сети
Пусть сеть N стала недоступной. Маршрутизатор M
1
вносит в метрику значение
16 (недоступность объекта). Рассылку этой информации он начинает не сразу,
а только тогда, когда наступает очередной 30-секундный интервал. Если до этого времени M
2
начнет свою рассылку, то M
1
увидит, что до сети N есть более короткий путь в 2 хопа (через M
2
) и запись с метрикой 16 будет заменена. M
1
отправит в сеть информацию о том, что у него до N метрика равна 3. Таким образом, произойдет
«зацикливание» и пакеты будут курсировать между M
1
и M
2
до тех пор, пока не закончится время жизни пакета. Исходя из вышесказанного можно сделать вывод,
что RIP-1 хорошо работает в стационарных сетях.
2. RIP не может работать в больших сетях, так как максимальное расстояние между станциями — 15 хопов.

4.7 Виртуальные частные сети на базе стека протоколов TCP/IP
85
3. RIP работает с кратчайшими маршрутами, которые не обязательно самые быстрые (рис. 4.16).
Рис. 4.16 – Неравноценность маршрутов по скорости
Протокол RIP-1 на рисунке изберет маршрут M
1
– M
3
– M
2
. Этот недостаток возникает из-за того, что метрика единственная. Разницу в скорости можно ком- пенсировать множителями: 1
xoп

2, 1
xoп

3 и т. д., но в этом случае сокращается диаметр сети.
4. Широковещательная рассылка RIP-пакетов перегружает сеть. Пусть, напри- мер, имеем 300 сетей. Для каждого IP-адреса выделяется 20 байт. Размер UDP- пакета 512 байт. Поэтому в одном UDP-пакете можно послать 25 адресов. Всего для 300 сетей потребуется 12 пакетов. Таким образом, каждый маршрутизатор через каждые 30 секунд посылает 12 широковещательных пакетов.
5. RIP-1 не работает с масками, как говорилось ранее.
Для устранения недостатков протокола RIP-1 применяют следующие меры:
ˆ
Метод расщепленного горизонта (split horizont).
Его суть заключается в том, что маршрутизатор не отсылает информацию о но- вом маршруте на тот порт, через который она была получена. Теперь в примере на рисунке 4.15 при обрыве сети N появится и останется метрика 16.
ˆ
Введение таймера неисправностей.
Получив информацию о недоступной сети, маршрутизатор игнорирует все по- следующие обновления о ней в течение 60 секунд.
Введение версии RIP v. 2, в которой предусмотрены авторизация (2 допол- нительных байта), дополнительное поле для передачи наряду с адресом и маски и другие меры.
4.7 Виртуальные частные сети на базе стека протоколов TCP/IP
Виртуальные частные сети (VPN — Virtual Private Networks) организуют потоки данных одного предприятия, которые существуют в открытой сети с коммутацией пакетов и в достаточной степени защищены от влияния потоков данных других абонентов этой сети.
IP-адресация позволяет строить корпоративные сети любого масштаба и обла- дает рядом преимуществ:

86
Глава 4. IP-сети
ˆ
удаленный доступ к ресурсам ЛВС практически из любой точки, имеющей выход в сеть Интернет;
ˆ
высокая скорость передачи информации, ограниченная скоростью сети дос- тупа;
ˆ
низкие затраты на создание сети, так как можно воспользоваться услугами провайдера Интернета (оператора связи);
ˆ
стоимость передачи IP-пакетов значительно меньше стоимости передачи трафика по цифровым каналом.
Основные недостатки VPN на базе IP-протоколов:
ˆ
сравнительно низкий уровень качества обслуживания (отсутствие гарантии заявленной пропускной способности и доставки пакетов);
ˆ
низкий уровень безопасности, который объясняется открытым характером сети.
Эти недостатки сейчас всячески нейтрализуются путем внедрения различных механизмов QoS и мер повышения безопасности (криптография, сетевые экраны и т. п.).
Таким образом, основное отличие VPN-IP от обычной IP-сети за- ключается в повышенном уровне безопасности, который может обеспечиваться практически на всех уровнях семиуровневой мо- дели взаимодействия открытых систем.
В основе всех методов защиты лежит принцип инкапсуляции (туннелирования),
рисунок 4.17. В этом случае IP-пакет снабжается аутентификационным заголовком,
который включает в себя пакетный ключ и электронную цифровую подпись пакета
(ЭЦП).
Рис. 4.17 – Инкапсуляция пакета VPN
Исходный пакет шифруется полностью вместе с заголовком. Этот зашифрован- ный пакет помещается в другой внешний пакет с открытым заголовком. Пакетный ключ также шифруется в пограничном устройстве (шифрующий маршрутизатор или межсетевой экран — МЭ). Для передачи данных по открытой сети использу-

4.7 Виртуальные частные сети на базе стека протоколов TCP/IP
87
ют открытые IP-адреса пограничных устройств. По прибытии внешнего пакета в конечную точку защищенного канала из него извлекают внутренний пакет, рас- шифровывают и используют его заголовок для дальнейшей передачи в частной сети.
Схема VPN приведена на рисунке 4.18.
Рис. 4.18 – Схема VPN
Здесь VPN-агент может быть отделен от маршрутизатора R, а может быть сов- мещен с ним. В качестве протоколов в IP VPN сетях используют специальные про- токолы. На канальном уровне — протокол PPTP (Point to Point Tunneling Protocol),
который базируется на протоколе PPP в архитектуре клиент-сервер и использует механизм общей маршрутной инкапсуляции (GRE — Generic Routing Encapsulation)
для передачи пакетов PPP. На сетевом уровне — протокол IPSec.
Он ориентирован только на протокол IP и решает следующие задачи:
ˆ
аутентификация пользователей;
ˆ
шифрование и аутентификация передаваемых данных;
ˆ
автоматическое снабжение конечных точек секретными ключами.
Кроме этих протоколов, существует множество других, работающих на всех уровнях семиуровневой модели ЭМВОС. Более подробные сведения можно полу- чить в специальной литературе.
При реализации IP VPN следует учитывать следующие особенности. Допол- нительные операции по защите каналов и данных приводят к увеличению доли служебной информации (перегрузка сети) и к увеличению задержки (падение про- изводительности). Чем выше требования к конфиденциальности, тем сильнее про- являются эти факторы.
Вот некоторые данные, характеризующие падение производительности. Если процедура маршрутизации требует относительной вычислительной мощности — 1,
то аутентификация пакетов — 12, а шифрование по алгоритму DES (Data Encryption
Standard — Стандарт шифрования данных) — 22. Поэтому VPN, реализованные на базе маршрутизаторов, межсетевых экранов и персональных компьютеров, имеют производительность не более 10 Мбит/с. Для повышения производительности VPN
применяют специальные процессоры.
Механизмы появления дополнительных задержек:
ˆ
установление защищенного соединения;

88