9...Маршрутизация

Интернет – это комбинация сетей, соединяемых с помощью маршрутизаторов.

Выбор оптимального пути определяется метрикой.

Метрика – это условная стоимость передачи по сети. Полное измерение конкретного маршрута равно сумме метрик сетей, которые включают в себя маршрут.

Протокол маршрутной информации (RIP – Routing Information Protocol) рассматривает все сети как одинаковые. Стоимость прохождения через каждую сеть одна и та же, и для определения метрики подсчитываются участки.

Протокол "первоочередное открытие наикратчайших путей" (OSPF — Open Shortest Path First) позволяет администратору назначить стоимость для передачи через сеть, основанную на типе требуемого обслуживания.

Протокол пограничной маршрутизации (BGP — Border Gateway Protocol), критерий для выбора пути — называется "политика", т.е. данные для выбора, которые может устанавливать администратор. "Политика" — это принцип, по которому определяется путь.

В любой метрике маршрутизатор должен иметь таблицы маршрутизации для того, чтобы консультироваться при дальнейшей передаче пакета.

Таблица может быть либо статическая, либо динамическая. Статическая таблица — одна из тех, которые часто не меняются. Динамическая таблица, с другой стороны, одна из тех, которая обновляется автоматически, когда имеются изменения где-либо в сети.

Интернет разделяется на автономные системы. Автономная система (Autonomous System – AS) — группа сетей и маршрутизаторов под управлением одного администратора.

Маршрутизация внутри автономной системы отнесена к внутренней маршрутизации. Маршрутизация между автономными системами отнесена к внешней маршрутизации.

Протокол маршрутной информации (RIP – Routing Information Protocol) — внутренний протокол маршрутизации, используется внутри автономной системы. Это очень простой протокол, основанный на использовании дистанционного вектора маршрутизации (вектора расстояния).

Каждый маршрутизатор хранит таблицы маршрутизации, имеющие один вход для каждой сети назначения, которую маршрутизатор зарегистрировал. Вход содержит: адрес сети пункта назначения, кратчайший путь, для того чтобы достичь пункта назначения, следующий участок (следующий маршрутизатор), к которому должен быть доставлен пакет, счетчик участка – это число сетей.

При использовании протокола RIP таблица маршрутизации обновляется после получения "квитанции" — ответного сообщения RIP согласно алгоритму модификации RIP.

При использовании протокола RIP используется дистанционный вектор, который определяет количество участков для каждого объявленного маршрута к сети назначения.

Сообщение-запрос посылается маршрутизатором, который только что включен в систему, или маршрутизатором, который запущен по тайм-ауту.

Ответ на запрос может быть двух типов: либо запрошенный, либо не запрошенный. Запрошенный ответ посылается только в ответ на запрос. Не запрошенный ответ посылается периодически, каждые 30 с.

RIP использует три таймера для поддержки своих операций — периодический таймер посылает сообщения, таймер окончания времени проверяет правильность маршрута и еще один таймер собирает мусор объявленных ошибочными маршрутов.

Нестабильность – это явление, когда пакет от одного маршрутизатора к другому может идти по петле.

Для увеличения стабильности предлагаются: запускаемое обновление, "расщепленный горизонт", поглощение возврата.

Протокол "первоочередное открытие кратчайших путей" (OSPF — Open Shortest Path First) — это внутренний протокол. Для того чтобы обработать маршрутизацию эффективно и вовремя, OSPF разделяет автономную систему на зоны.

Зона — это набор всех сетей, хостов и маршрутизаторов, содержащихся в автономной системе. Автономная система может разделяться на много различных зон. Все сети внутри зоны должны быть соединены.

Маршрутизаторы внутри зоны содержат зоновую информацию маршрутизации. На границе зоны специальные маршрутизаторы, называемые пограничными маршрутизаторами зоны, суммируют информацию о зоне и посылают другим зонам. Среди зон внутри автономной системы есть специальная зона, называемая основной.

Протокол OSPF позволяет администратору назначать стоимость, называемую метрикой, для каждого маршрута. Метрика может быть основана на типе сервиса (минимальная задержка, максимальное число переприемов и так далее). Фактически, маршрутизатор может иметь множество таблиц, каждая из которых базируется на различном типе сервиса.

Для обновления таблиц маршрутизации OSPF использует маршрутизацию по состоянию канала. Маршрутизация по состоянию линии — процесс, при помощи которого каждый маршрутизатор распространяет свою информацию о его соседях каждому маршрутизатору в зоне.

В OSPF-терминологии соединение называется связь (link). Определены четыре типа связи: "точка-точка", транзит, ответвление и виртуальная.

Для того чтобы распределять информацию о соседях, каждый вход распределяет извещения о состоянии связи (Link State Advertisements – LSAs).

Пограничный межсетевой протокол (BGP – Border Gateway Protocol) – это протокол маршрутизации между автономными системами. Он основан на методах маршрутизации, называемых "маршрутизация вектором пути".

Путь обычно определяется как упорядоченный список автономной системы, который должен пройти пакет для достижения пункта назначения. Каждый вход в таблицу маршрутизации содержит сеть пункта назначения, следующий маршрутизатор и путь до пункта назначения.

Имеется четыре типа BGP-сообщения: открытия, обновления, дежурное и извещения.

Маршрутизация с помощью вектора расстояния маршрута может быть нежелательной, потому что имеются случаи, в которых маршрут, вычисленный с наименьшим числом участков, не является предпочтительным. Например, существует запрет на передачу через автономную систему, которая не обеспечивает безопасности по наикратчайшему маршруту. Вектор маршрутизации с использованием вектора длины маршрута ведет к нестабильности, поскольку путь маршрутизации рассчитывается только по числу участков к пункту назначения, без анализа состояния всего пути (например, перегрузки участков), который ведет к этому пункту назначения.

Маршрутизация по состоянию линий также не является желательной для системы маршрутизации между автономными системами, потому что Интернет обычно слишком большая сеть для этого метода маршрутизации. Чтобы использовать маршрутизацию по состоянию линий для всего Интернета, каждому маршрутизатору понадобилось бы иметь огромную базу данных состояний. Это также привело к длительному времени работы каждого маршрутизатора для вычисления его таблицы маршрутов с использованием алгоритма Дейкстры.

Маршрутизация с использованием вектора путей отличается и от маршрутизации с использованием вектора длины маршрута, и от маршрутизации состоянием линии. Каждый вход в таблицу маршрутизации содержит сеть пункта назначения, следующий маршрутизатор и путь до пункта назначения. Путь обычно определяется как упорядоченный список автономной системы, который должен пройти пакет для достижения пункта назначения. Табл. 8.4. показывает пример таблицы маршрутизации векторов пути.

Сеть Следующий маршрутизатор Путь

N01 R01 AS14,AS23, AS67

N02 R05 AS22,AS67, AS05, AS89

N03 R06 AS67,AS89, AS09, AS34

N04 R12 AS62,AS02, AS09

Автономный пограничный маршрутизатор, который участвует в маршрутизации с использованием вектора путей, извещает о достижимости сетей в их собственной автономной системе для соседних автономных пограничных маршрутизаторов. Концепция окружения здесь та же самая, как в уже рассмотренных протоколах RIP и OSPF. Два пограничных маршрутизатора автономных систем, подключенные к той же самой сети, – соседи.

Заметим, что пограничный маршрутизатор автономной системы получает свою информацию от внутреннего алгоритма маршрутизации, такого как RIP и OSPF.

Каждый маршрутизатор, который получает вектор пути, проверяет, что предложенный путь согласован с его политикой (набором правил, назначаемых администратором, который управляет маршрутизатором). Если политика маршрутизации соответствует записанной в программе, маршрутизатор обновляет таблицы маршрутизации и модифицирует сообщение, прежде чем послать его к следующему соседу. Модификация содержит дополнение номера своего АС для пути и замещающий номер следующего маршрутизатора, входящего со своим собственным идентификатором.

Политика маршрутизации может быть просто реализована с использованием вектора путей. Когда маршрутизатор получает сообщение, он проверяет путь. Если одна из автономных систем, указанных в списке, не совпадет с его политикой, он может игнорировать этот путь и этот конечный пункт. Он не обновляет свою таблицу маршрутизации в части этого пути и не посылает сообщения своим соседям. Это означает, что таблицы маршрутизации в методе маршрутизации с использованием вектора путей не основываются на подсчете наикратчайшего пути или минимальной метрике. Они основаны на политике, навязываемой маршрутизатору администратором.

Рис. 8.27. Заголовок пакета BGP

Маркер. Это 16-байтовое поле, зарезервированное для опознавания.

Длина. Это поле в 2 байта, которое определяет длину полного сообщения, включающего заголовок.

Тип. Это поле 1 байт тип пакета. Как было сказано раньше, мы имеем четыре типа, от 1 до 4.

BGP использует четыре различных типа сообщений: открытия, обновления, дежурные и уведомления.

Сообщение "открытие"

Для того чтобы создать информацию об окружении, маршрутизатор, выполняющий протокол BGP, устанавливает TCP-соединение с соседями и посылает сообщение "открытие". Если сосед согласно политике принимает отношения соседства, он отвечает дежурным сообщением, которое означает, что отношения между двумя маршрутизаторами установлены.

Сообщение "обновление" — основа протокола BGP — используется маршрутизатором для изменения пункта назначения, который был заявлен раньше, объявления маршрута к новому конечному пункту или замены обеих пунктов назначения. Заметим, что BGP может отозвать несколько пунктов назначений, которые были переданы раньше, но может известить только один новый пункт назначения в одном сообщении.

Маршрутизатор (называемый равный – peers на языке BGP), выполняющий BGP-протоколы, обменивается регулярно с соседями дежурными сообщениями (прежде чем истечет время удержания) для того, чтобы сказать друг другу, что они в режиме ожидания. Дежурные сообщения, с типом сообщений 3 (поле Тип = 3), содержат только общий заголовок, Сообщение уведомления посылается маршрутизатором всегда, когда обнаружены признаки ошибки или маршрутизатор завершает соединение.

10 ….......Беcклассовая адресация (англ. Classless InterDomain Routing, англ. CIDR) — метод IP-адресации, позволяющий гибко управлять пространством IP-адресов, не используя жёсткие рамки классовой адресации. Использование этого метода позволяет экономно использовать ограниченный ресурс IP-адресов, поскольку возможно применение различных масок подсетей к различным подсетям.

Беcклассовая адресация основывается на переменной длине маски подсети (англ. Variable Length Subnet Mask — VLSM), в то время, как в классовой (традиционной) адресации длина маски строго фиксирована 0,1, 2 или 3 установленными октетами.

Вот пример записи IP-адреса с применением беcклассовой адресации: 192.0.2.32/27. Число 27 означает количество единиц в маске: 11111111.11111111.11111111.11100000 = 255.255.255.224. В таком случае множество всех адресов обозначается как /0, а конкретный адрес IPv4 — как /32.

Для упрощения таблиц маршрутизации можно объединять блоки адресов, указывая один большой блок вместо ряда мелких. Например, 4 смежные сети класса C (4 × 255 адресов, маска 255.255.255.0 или /24) могут быть объединены в одну сеть /22. И напротив, сети можно разбивать на более мелкие подсети, и так далее.

11....The Transmission Control Protocol (TCP) (протокол управления передачей) — один из основных сетевых протоколов Internet, предназначенный для управления передачей данных в сетях и подсетях TCP/IP.

TCP — это транспортный механизм, предоставляющий поток данных, с предварительной установкой соединения, за счёт этого дающий уверенность в достоверности получаемых данных, осуществляет повторный запрос данных в случае потери данных и устраняет дублирование при получении двух копий одного пакета В отличие от UDP, гарантирует, что приложение получит данные точно в такой же последовательности, в какой они были отправлены, и без потерь.

TCP часто обозначают "TCP/IP". Когда осуществляется передача от компьютера к компьютеру через Internet, TCP работает на верхнем уровне между двумя конечными системами, например, интернет-браузер и интернет-сервер. Также TCP осуществляет надежную передачу потока байт от одной программы на некотором компьютере в другую программу на другом компьютере. Программы для электронной почты и обмена файлами используют TCP. TCP контролирует длину сообщения, скорость обмена сообщениям, сетевой траффикФормат TCP-сегмента

Формат TCP-сегментаБит 0 — 3 4 — 9 10 — 15 16 — 31

0 Порт источника Порт назначения

32 Последовательный номер

64 Номер подтверждения

96 Смещение данных Зарезервировано Флаги Окно

128 Контрольная сумма Указатель важности

160 Опции (необязательное)

160/192+

Данные

Порт источника идентифицирует порт, с которого отправлены пакеты.

Порт назначения идентифицирует порт, на который отправлен пакет

Номер последовательности выполняет две задачи:

Если установлен флаг SYN, то это начальное значение номера последовательности и первый байт данных — это номер последовательности плюс 1.

В противном случае, если SYN не установлен, первый байт данных — номер последовательности

Поскольку TCP-поток в общем случае может быть длинее чем, число различных состояний этого поля, то все операции с номером последовательности должны выполняться по модулю 2^32. Это накладывается практическое ограничение на использование TCP. Если скорость передачи комуникационной системы такова, чтобы в течении MSL (максимального времени жизни сегмента) произошло переполнение номера последовательности, то в сети может появиться два сегмента с одинаковым номером, относящихся к разным частям потока, и приемник получит некорректные данные .

Если установлен флаг ACK, то это поле содержит номер последовательности, ожидаемый получателем в следующий раз. Помечает этот сегмент как подтверждение получения.

Это поле определяет размер заголовка пакета TCP в 32-битных словах. Минимальный размер составляет 5 слов, а максимальный — 15, что составляет 20 и 60 байт соответственно. Смещение считается от начала заголовка TCP.

Зарезервировано (6 бит) для будущего использования и должны устанавливаться в ноль. Из них два (8-й и 9-й) уже определены:

CWR (Congestion Window Reduced) — Поле «Окно перегрузки уменьшено» — флаг установлен отправителем, чтоб указать, что получен пакет с установленным флагом ECE (RFC 3168)

ECE (ECN-Echo) — Поле «Эхо ECN» — указывает, что данный хост способен на ECN (явное уведомление перегрузки) и для указания отправителю о перегрузках в сети (RFC 3168)

Это поле содержит 6 битовых флагов:

URG — Поле Указатель важности значимо (англ. Urgent pointer field is significant)

ACK — Поле Номер подтверждения значимо (англ. Acknowledgement field is significant)

PSH — (англ. Push function) инструктирует получателя протолкнуть данные, накопившиеся в приемном буфере, в приложение пользователя

RST — Оборвать соединения, сбросить буфер (очистка буфера) (англ. Reset the connection)

SYN — Синхронизация номеров последовательности (англ. Synchronize sequence numbers)

FIN (англ. final, бит) — флаг, будучи установлен, указывает на завершение соединения (англ. FIN bit used for connection termination).

Поле контрольной суммы — это 16-битное дополненение суммы всех 16-битных слов заголовка и текста. Если сегмент содержит нечетное число октетов в заголовке /или тексте, последние октеты дополняются справа 8 нулями для выравнивания по 16-битовой границе. Биты заполнения (0) не передаются в сегменте и служат только для расчета контрольной суммы. При расчете контрольной суммы значение самого поля контрольной суммы принимается равным 0.

16-битовое значение положительного смещения от порядкового номера в данном сегменте. Это поле указывает порядковый номер октета которым заканчиваются важные (urgent) данные. Поле принимается во внимание только для пакетов с установленным флагом URG.

Состояния сеанса TCPСостояния сеанса TCP

CLOSED Начальное состояние узла. Фактически фиктивное

LISTEN Сервер ожидает запросов установления соединения от клиента

SYN-SENT Клиент отправил запрос серверу на установление соединения и ожидает ответа

SYN-RECEIVED Сервер получил запрос на соединение, отправил ответный запрос и ожидает подтверждения

ESTABLISHED Соединение установлено, идёт передача данных

FIN-WAIT-1 Одна из сторон (назовём её узел-1 ) завершает соединение, отправив сегмент с флагом FIN

CLOSE-WAIT Другая сторона (узел-2) переходит в это состояние, отправив, в свою очередь сегмент ACK и продолжает одностороннюю передачу

FIN-WAIT-2 Узел-1 получает ACK, продолжает чтение и ждёт получения сегмента с флагом FIN

LAST-ACK Узел-2 заканчивает передачу и отправляет сегмент с флагом FIN

TIME-WAIT Узел-1 получил сегмент с флагом FIN, отправил сегмент с флагом ACK и ждёт 2*MSL секунд, перед окончательным разрушением канала

CLOSING Состояние закрытия соединения (фиктивное?)

Процесс начала сеанса TCP называется "тройным рукопожатием". Клиент, который намеревается установить соединение, посылает серверу сегмент с номером последовательности и флагом SYN. Сервер получает сегмент, запоминает номер последовательности и пытается создать сокет (буфера и управляющие структуры памяти) для обслуживания нового клиента. В случае успеха сервер посылает клиенту сегмент с номером последовательности и флагами SYN и ACK, и переходит в состояние SYN-RECEIVED. В случае неудачи сервер посылает клиенту сегмент с флагом RST.

Если клиент получает сегмент с флагом SYN, то он запоминает номер последовательности и посылает сегмент с флагом ACK, если он одновременно получает и флаг ACK (что обычно и происходит), то он переходит в состояние ESTABLISHED. Если клиент получает сегмент с флагом RST, то он прекращает попытки соединиться.

Если клиент не получает ответа в течении 10 секунд, то он повторяет процесс соединения заново.

Если сервер в состоянии SYN-RECEIVED получает сегмент с флагом ACK, то он переходит в состояние ESTABLISHED. В противном случае после таймаута он закрывает сокет и переходит в состояние CLOSED.

Процесс называется "тройным рукопожатием", поскольку в идеале возможен процесс установления соединения с использованием 4 сегментов (SYN в сторону сервера, ACK в сторону клиента, SYN в сторону клиента, ACK в сторону сервера), но для экономии времени используется 3 сегмента.

При обмене данными приемник использует номер последовательности, содержащийся в получаемых сегментах, для восстановления их исходного порядка. Приемник уведомляет передающую сторону о номере последовательности, до которой он успешно получил данные, включая его в поле "номер подтверждения". Все получаемые данные, относящиеся к промежутку подтвержденных последовательностей, игнорируются. Если полученный сегмент содержит номер последовательности больший, чем ожидаемый, то данные из сегмента буферизируется, но номер подтвержденной последовательности не изменяется. Если в последствии будет принят сегмент, относящийся к ожидаемому номеру последовательности, то порядок данных будет автоматически восстановлен исходя из номеров последовательностей в сегментах.

Для того, чтобы передающая сторона не отправляла данные интенсивнее, чем их может обработать приемник, TCP содержит средства управления потоком. Для этого используется поле "окно". В сегментах, направляемых от приемника передающей стороне в поле "окно" указывается текущий размер приемного буфера. Передающая сторона сохраняет размер окна и отправляет данных не более, чем указал приемник. Если приемник указал нулевой размер окна, то передача данных в направлении этого узла не происходит, до тех пор пока приемник не сообщит о большем размере окна.

В некоторых случаях передающее приложение может явно затребовать протолкнуть данные до некоторой последовательности принимающему приложению, не буферизируя их. Для этого используется флаг PSH. Если в полученном сегменте обнаруживается флаг PSH, то реализация TCP отдает все буферизированные на текущий момент данные принимающему приложению. "Проталкивание" используется, например, в интерактивных приложениях. В сетевых терминалах нет смысла ожидать ввода пользователя после того, как он закончил набирать команду. Поэтому последний сегмент, содержащий команду, обязан содержать флаг PSH, чтобы приложение на принимающей стороне смогло начать её выполнение.

Завершение соединения можно рассмотреть в три этапа: 1. Посылка серверу от клиента флагов FIN и ACK на завершения соединения. 2. Сервер посылает клиенту флаги ответа ACK , FIN, что соединение закрыто. 3. После получение этих флагов клиент закрывает соедиение и в подтверждение отправляет серверу ACK , что соедиение закрыто.

TCP требует явного указания максимального размера сегмента (MSS) в случае если виртуальное соединение осуществляется через сегмент сети, где максимальный размер блока (MTU) менее чем стандартный MTU Ethernet (1500 байт).

В протоколах туннелирования, таких как GRE, IPIP, а так же PPPoE MTU туннеля меньше чем стандартный, поэтому сегмент TCP максимального размера имеет длину пакета больше, чем MTU. Поскольку фрагментация в подавляющем большинстве случаев запрещена, то такие пакеты отбрасываются.

Проявление этой проблемы выглядит как "зависание" соединений. При этом "зависание" может происходить в произвольные моменты времени, а именно тогда, когда отправитель использовал сегменты длинее допустимого размера.

Для решения этой проблемы на маршрутизаторах применяются правила Firewall-а, добавляющие параметр MSS во все пакеты, инициирующие соединения, чтобы отправитель использовал сегменты допустимого размера.

12.....UDP (англ. User Datagram Protocol — протокол пользовательских дейтаграмм) — это транспортный протокол для передачи данных в сетях IP. Он является одним из самых простых протоколов транспортного уровня модели OSI. Его IP-идентификатор — 17.

В отличие от TCP, UDP не гарантирует доставку пакета, поэтому аббревиатуру иногда расшифровывают как «Unreliable Datagram Protocol» (протокол ненадёжных дейтаграмм). Это позволяет ему гораздо быстрее и эффективнее доставлять данные для приложений, которым требуется большая пропускная способность линий связи, либо требуется малое время доставки данных.Для взаимодействия сетевых приложений протокол UDP использует 16-ти битные порты, которые могут принимать значения от 0 до 65535. Порт 0 является зарезервированным, но может использоваться как порт источника, если приложение не ожидает ответных данных.

Порты с 1 по 1023 являются системными и фиксированными, во многих ОС привязка к ним требует повышенных привилегий приложения.

Порты с 1024 по 49151 — зарегистрированные.

Порты с 49152 по 65535 — свободно используемые и временные. Используются клиентскими приложениями для связи с серверами.

Заголовок UDP содержит 4 поля.

Поле «порт отправителя» (16 бит) определяет порт на хосте отправителя, пославший пакет. В случае, если процесс-отправитель не ожидает от получателя никаких ответных данных, это поле может быть установлено в «0».

Поле «порт получателя» (16 бит) определяет порт на хосте получателя, которому предназначен данный пакет.

Поле «Длина пакета» (16 бит) содержит суммарный размер UDP-пакета в октетах. Минимально возможное значение этого поля равно 8 (т.к. 8 октетов занимает сам заголовок пакета).

Поле «контрольная сумма» имеет длину 16 бит.

Формат UDP-сегмента+ Биты 0—15 16—31

0 Порт отправителя Порт получателя

32 Длина пакета Контрольная сумма

64 Данные

Арифметически, максимальная длина UDP-пакета составляет 216-1 = 65535 октетов. Вычитая из этой длины размер заголовка (8 октетов), получаем максимальный размер данных, которые могут быть переданы в одном UDP пакете — 65527 октетов. Однако следует учесть, что UDP пакет является полезной нагрузкой IP пакета, в заголовке которого поле «Полная длина» также из 16 бит учитывает как заголовок IP, так и полезную нагрузку, которая как раз и является UDP-пакетом. IP заголовок, в общем случае, имеет переменную длину не менее 20 октетов. Таким образом, UDP-пакет с максимальной арифметической длиной обязательно будет фрагментирован или отброшен, если фрагментация запрещена.

Недостаточная надёжность протокола может выражаться как в потере отдельных пакетов, так и в их дублировании. UDP используется при передаче потокового видео, игр реального времени, а также некоторых других типов данных.

Ненадёжность протокола UDP надо понимать в том смысле, что в случаях влияния внешних факторов, приводящих к сбоям, протокол UDP не предусматривает стандартного механизма повторения передачи потерянных пакетов. В этом смысле он настолько же надежен, как и ICMP ECHO протокол.

Если приложению требуется большая надёжность, то используется протокол TCP или SCTP, либо реализуется какой-нибудь свой нестандартный алгоритм повторения передач в зависимости от условий.

UDP используется в следующих протоколах:

DNS

RTP и RTCP

TFTP

SNTP

NTP

uTP

13....NAT (от англ. Network Address Translation — «преобразование сетевых адресов») — это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов. Также имеет названия IP Masquerading, Network Masquerading и Native Address Translation.Преобразование адресов методом NAT может производиться почти любым маршрутизирующим устройством — маршрутизатором, сервером доступа, межсетевым экраном. Суть механизма состоит в замене адреса источника (source) при прохождении пакета в одну сторону и обратной замене адреса назначения (destination) в ответном пакете. Наряду с адресами source/destination могут также заменяться номера портов source/destination.

Помимо source NAT (предоставления пользователям локальной сети с внутренними адресами доступа к сети Интернет) часто применяется также destination NAT, когда обращения извне транслируются межсетевым экраном на сервер в локальной сети, имеющий внутренний адрес и потому недоступный извне сети непосредственно (без NAT).

Существует 3 базовых концепции трансляции адресов: статическая (Static Network Address Translation), динамическая (Dynamic Address Translation), маскарадная (NAPT, PAT).

NAT выполняет две важных функции.

Позволяет сэкономить IP-адреса, транслируя несколько внутренних IP-адресов в один внешний публичный IP-адрес (или в несколько, но меньшим количеством, чем внутренних).

Позволяет предотвратить или ограничить обращение снаружи ко внутренним хостам, оставляя возможность обращения изнутри наружу. При инициации соединения изнутри сети создаётся трансляция. Ответные пакеты, поступающие снаружи, соответствуют созданной трансляции и поэтому пропускаются. Если для пакетов, поступающих снаружи, соответствующей трансляции не существует (а она может быть созданной при инициации соединения или статической), они не пропускаются.

Не все протоколы могут «преодолеть» NAT. Некоторые не в состоянии работать, если на пути между взаимодействующими хостами есть трансляция адресов. Некоторые межсетевые экраны, осуществляющие трансляцию IP-адресов, могут исправить этот недостаток, соответствующим образом заменяя IP-адреса не только в заголовках IP, но и на более высоких уровнях (например, в командах протокола FTP).

Из-за трансляции адресов «много в один» появляются дополнительные сложности с идентификацией пользователей и необходимость хранить полные логи трансляций.

DoS со стороны узла, осуществляющего NAT — если NAT используется для подключения многих пользователей к одному и тому же сервису, это может вызвать иллюзию DoS атаки на сервис (множество успешных и неуспешных попыток). Например, избыточное количество пользователей ICQ за NAT’ом приводит к проблеме подключения некоторых пользователей из-за превышения допустимой скорости коннектов к серверу. Частичным решением проблемы является использование пула адресов (группы адресов), для которых осуществляется трансляция.

Публикация локальных ресурсов во внешней IP-сети

• Экономическая выгода вследствие приобретения единственного IP-подключения, а не IP-сети.

• Сокрытие от внешнего наблюдателя структуры внутренней IP-сети.

• Организация системы с распределенной нагрузкой

• При общем доступе через NAT прозрачно открывается доступ к внутренней структуре с защитой без использования FireWall и т. п.

• Через NAT корректно работают многие сетевые протоколы. Конструктивные реализации (общий доступ — это и есть подключение NAT) есть аппаратная реализация NAT (интегрированы FireWall’ы).

Трансляция сетевых адресов - это технология, которая позволяет использовать для внутренней сети любые адреса, возможно даже из класса А; при этом сохраняется одновременный и прозрачный доступ в Интернет для всех хостов.

Механизм функционирования такого процесса достаточно прост: каждый раз, когда хост с зарезервированным адресом пытается получить доступ в Интернет, межсетевой экран контролирует эту попытку и автоматически преобразует его адрес в разрешенный. Когда хост назначения отвечает и посылает данные на разрешенный адрес, межсетевой экран преобразует его обратно в зарезервированный адрес и передает данные внутреннему хосту. При этом ни клиент, ни сервер не знают о существовании этого преобразования.

Кроме уже упомянутых преимуществ, трансляция сетевых адресов позволяет все хосты внутренней сети сделать невидимыми для внешней сети, что увеличивает уровень безопасности.

Трансляция сетевых адресов не может быть использована для сервисов, которые передают информацию об IP-адресах или портах внутри протокола. Межсетевой экран Aker из сервисов такого вида поддерживает только сервисы FTP и Real Audio/Real Video.

Что представляет собой моя внутренняя сеть?

Внутренняя сеть состоит из хостов, входящих в состав одной или более подсетей, защищенных межсетевым экраном Aker. Сюда включаются также внутренние сетевые устройства, такие как маршрутизаторы, коммутаторы, серверы, клиенты и т.д. В межсетевом экране Aker внутренняя сеть называется частной сетью (Private Network).

Что представляет собой моя внешняя сеть?

Независимо от технических возможностей, адреса внутренней сети не следует выбирать случайным образом. Специально для этих целей существуют зарезерезерированные адреса. Эти адреса не присвоены и никогда не будут присвоены какому-либо хосту, непосредственно соединенному с Интернет.

Зарезервированными являются следующие адреса:

От 10.0.0.0 до 10.255.255.255, маска 255.0.0.0 (класс A)

От 172.16.0.0 до 172.31.0.0, маска 255.255.0.0 (класс B)

От 192.168.0.0 до 192.168.255.255, маска 255.255.255.0 (класс C)

Трансляция 1-1 и много - 1

Существуют два различных типа преобразования сетевых адресов: 1-1 и много - 1. Каждый из них обладает своими характерными особенностями. Для улучшения результатов обычно применяют их комбинацию.

1-1

Тип 1-1 - наиболее понятный, но обычно наименее полезный. Он заключается в создании пары адресов с отображением одного зарезервированного адреса в один реальный адрес. В результате различные хосты будут иметь различные адреса трансляции.

Очень существенное ограничение этого типа состоит в невозможности отображения большего количества хостов, чем количество реальных адресов, поскольку они всегда преобразуются по схеме один-в-один. С другой стороны, эта процедура позволяет иметь доступ извне к хостам с зарезервированными адресами.

Много - 1

Преобразование много-в-один, как свидетельствует его название, делает возможным нескольким хостам с зарезервированными адресами использовать один и тот же реальный адрес. Чтобы достичь этой цели, преобразование использует IP-адреса в комбинации с портами (в случае TCP и UDP протоколов) и в комбинации с порядковыми номерами (в случае ICMP). Это отображение производится динамически межсетевым экраном каждый раз, когда устанавливается соединение. Поскольку существует 65535 портов или различных порядковых номеров, то можно осуществить до 65535 одновременных активных соединений, использующих один и тот же адрес.

Единственным ограничением этой технологии является то, что она не позволяет иметь доступ к внутренним хостам снаружи. Все соединения должны инициироваться изнутри.

Применения трансляции сетевых адресов в межсетевом экране

Предположим, что некоторая организация получает сеть класса С (обозначим ее А.В.С.0). Эта сеть позволяет описать 254 реальных хоста (адреса А.В.С.0 и А.В.С.255 резервируются для специальных целей и не быть использованы, остаются значения между А.В.С.1 и А.В.С.254). Предположим еще, что локальная сеть состоит из 1000 хостов, которые необходимо подключить к Интернет. Так как реальных адресов недостаточно, необходимо воспользоваться трансляцией сетевых адресов. Поэтому для использования во внутренней сети была выбрана зарезервированная сеть класса А 10.x.x.x c cетевой маской 255.0.0.0.

Межсетевой экран Aker устанавливается на границе между Интернет и внутренней сетью, имеющей адреса из зарезервированной сети. Aker будет выполнять преобразование зарезервированных адресов 10.x.x.x в реальные адреса А.В.С.x. В результате межсетевой экран должен иметь по крайней мере два адреса: реальный адрес, до которого можно добраться через Интернет, и зарезервированный, к которому возможен доступ только из внутренней сети. (Как правило на межсетевом экране устанавливают два или более адаптера, один для внешней сети, а один или более - для внутренней. Возможно, хотя крайне нежелательно установить на межсетевой экран всего один сетевой адаптером, с присвоением реального и зарезервированного адреса одному и тому же адаптеру.)

Предположим, что адрес А.В.С.2 выбран для реального (внешнего) сегмента, а адрес 10.0.0.2 для внутреннего сегмента. Реальный адрес будет использоваться межсетевым экраном для преобразования всех соединений из внутренней сети в Интернет. С внешней стороны все соединения будут выглядеть так, как будто они начинаются на межсетевом экране.

В межсетевом экране Aker такой адрес называется виртуальным адресом (он виртуальный, поскольку на самом деле соединения не инициируются межсетевым экраном). Этот адрес должен быть настроен на одном из сетевых интерфейсов межсетевого экрана. Если на сетевом интерфейсе описано более одного реального адреса, виртуальным адресом может быть любой из них.

Предположим, что в вашей сети существует WWW сервер с адресом 10.1.1.5. Предположим еще. что вам хотелось бы, чтобы этот сервер предоставлял информацию как для внутренней сети, так и для Интернет. В этом случае нужно так выбрать реальный адрес, чтобы он мог использоваться внешними клиентами для соединения с этим сервером. Положим, что выбранный адрес есть А.В.С.10. Тогда в таблицу статического преобразования должен прибавиться элемент для отображения адреса А.В.С.10 во внутренний адрес 10.1.1.5. С этого момента все обращения к адресу А.В.С.10 будут автоматически направляться по адресу 10.1.1.5

Межсетевой экран Aker использует технологию proxy-arp для взаимодействия внешних сетевых устройств (например, внешний маршрутизатор) с виртуальными серверами.

Примеры настройки трансляции сетевых адресов

С Интернет существует выделенный канал

Оборудование: 1 роутер, 1 Aker Firewall, n клиентов, 2 сервера во внутренней сети

Реальный адрес: А.В.С.x ; сетевая маска 255.255.255.0

Зарезервированный адрес: 10.x.x.x ; сетевая маска 255.0.0.0

Адреса серверов: 10.1.1.1, 10.2.1.1

Адреса клиентов: 10.x.x.x

Адрес маршрутизатора: реальная сеть: А.В.С.1 , Интернет: x.x.x.x

Конфигурация межсетевого экрана Aker:

Адреса адаптера: внутренняя сеть: 10.0.0.2 ,

Виртуальный IP адрес A.B.C.2

Внутренняя сеть: 10.0.0.0

Маска внутренней сети: 255.0.0.0

Таблица серверной трансляции:

A.B.C.10 - 10.1.1.1

A.B.C.30 - 10.2.1.1

Взаимодействие отделов

В этом примере мы покажем, как обеспечить взаимодействие между собой отделов одной компании с использованиемтрансляции адресов между ними.

Оборудование: 1 роутер, 3 Aker Firewalls, n клиентов, 4 внутренних сетевых клиента

Реальные адреса: A.B.C.x, маска 255.255.255.0

Зарезервированные адреса: 10.x.x.x маска 255.255.0.0

Зарезервированные адреса:172.16.x.x, маска 255.240.0.0

Адреса подсети 1:

10.1.x.x

Адрес сервера: 10.1.1.1

Адрес клиента: 10.1.x.x

Адрес роутера: внутренняя сеть: A.B.C.1 , Интернет:x.x.x.x

Конфигурация межсетевого экрана Aker:

Внутренняя сеть: 10.1.0.1, Реальная сеть A.B.C.2

Виртуальный IP адрес: A.B.C.2

Внутренняя сеть: 10.0.0.0

Маска внутренней сети: 255.0.0.0

Адреса подсети 3:

Внешние: 10.2.x.x

Внутренние: 172.16.x.x

Адрес сервера: 172.16.1.1

Адреса клиента: 172.x.x.x

Конфигурация межсетевого экрана Aker:

Подсеть 2: 172.16.0.1, Подсеть 1:10.1.0.2

Виртуальный IP адрес: 10.1.0.2

Внутренняя сеть (2): 172.16.0.0

Маска внутренней сети: 255.240.0.0

Таблица трансляции серверов:

10.2.1.1 - 172.16.1.1

Адреса подсети 3:

Внешний: 10.3.x.x

Внутренний: 172.16.x.x

Адрес сервера: 172.16.1.1

Адреса клиента: 172.x.x.x

Конфигурация межсетевого экрана Aker:

Подсеть3: 172.16.0.1, Подсеть 1:10.1.0.3

Виртуальный IP адрес: 10.1.0.3

Внутренняя сеть (3): 172.16.0.0

Маска внутренней сети: 255.240.0.0

Таблица трансляции серверов:

10.3.1.1 - 172.16.1.1

При такой конфигурации необходимо описать в таблице маршрутизации маршруты к подсетям 10.1.х.х , 10.2.х.х и 10.3.х.х .

15 ...Механизм кодирования

Цифровая передача данных требует выполнения нескольких обязательных операций:

синхронизация тактовой частоты передатчика и приемника;

преобразование последовательности битов в электрический сигнал;

уменьшение частоты спектра электрического сигнала с помощью фильтров;

передача урезанного спектра по каналу связи;

усиление сигнала и восстановление его формы приемником;

преобразование аналогвого сигнала в цифровой.

Рассмотрим взаимосвязь тактовой частоты и битовой последовательности. Битовый поток передается со скоростью, определяемой числом бит в единицу времени. Другими словами биты в секунду - это число дискретных изменений сигнала в единицу времени. Тактовая частота, измеряемая в герцах, это число синусоидальных изменений сигнала в единицу времени.

Данное очевидное соответствие породило ошибочное представление об адекватности значений герц и бит в секунду. На практике все сложнее. Скорость передачи данных, как правило, выше тактовой частоты. Для увеличения скорости передачи сигнал может идти параллельно по нескольким парам. Данные могут передаваться битами или байтами. Кодированный сигнал может иметь два, три, пять и более уровней. Некоторые методы кодирования сигналов требуют дополнительного кодирования данных или синхронизации, которые уменьшают скорость передачи информационных сигналов.

Каждый протокол требует определенную ширину спектра или, если хотите, ширину информационной магистрали. Схемы кодирования усложняют для того, чтобы эффективнее использовать информационные магистрали. Как и в аналогии с двигателем, совсем необязательно раскручивать его до максимальных оборотов, целесообразнее включить передачу.

RZ - это трехуровневый код, обеспечивающий возврат к нулевому уровню после передачи каждого бита информации. Его так и называют кодирование с возвратом к нулю (Return to Zero). Логическому нулю соответствует положительный импульс, логической единице - отрицательный.

Информационный переход осуществляется в начале бита, возврат к нулевому уровню - в середине бита. Особенностью кода RZ является то, что в центре бита всегда есть переход (положительный или отрицательный). Следовательно, каждый бит обозначен. Приемник может выделить синхроимпульс (строб), имеющий частоту следования импульсов, из самого сигнала. Привязка производится к каждому биту, что обеспечивает синхронизацию приемника с передатчиком. Такие коды, несущие в себе строб, называются самосинхронизирующимися.

Недостаток кода RZ состоит в том, что он не дает выигрыша в скорости передачи данных. Для передачи со скоростью10 Мбит/с требуется частота несущей 10 МГц. Кроме того, для различения трех уровней необходимо лучшее соотношение сигнал / шум на входе в приемник, чем для двухуровневых кодов.

Наиболее часто код RZ используется в оптоволоконных сетях. При передаче света не существует положительных и отрицательных сигналов, поэтому используют три уровня мощности световых импульсов.

Код Манчестер-II или манчестерский код получил наибольшее распространение в локальных сетях. Он также относится к самосинхронизирующимся кодам, но в отличие от кода RZ имеет не три, а только два уровня, что обеспечивает лучшую помехозащищенность.

Логическому нулю соответствует переход на верхний уровень в центре битового интервала, логической единице - переход на нижний уровень. Логика кодирования хорошо видна на примере передачи последовательности единиц или нулей. При передаче чередующихся битов частота следования импульсов уменьшается в два раза.

Информационные переходы в средине бита остаются, а граничные (на границе битовых интервалов) - при чередовании единиц и нулей отсутствуют. Это выполняется с помощью последовательности запрещающих импульсов. Эти импульсы синхронизируются с информационными и обеспечивают запрет нежелательных граничных переходов.

Изменение сигнала в центре каждого бита позволяет легко выделить синхросигнал. Самосинхронизация дает возможность передачи больших пакетов информацию без потерь из-за различий тактовой частоты передатчика и приемника.

Большое достоинство манчестерского кода - отсутствие постоянной составляющей при передаче длинной последовательности единиц или нулей. Благодаря этому гальваническая развязка сигналов выполняется простейшими способами, например, с помощью импульсных трансформаторов.

Частотный спектр сигнала при манчестерском кодировании включает только две несущие частоты. Для десятимегабитного протокола - это 10 МГц при передаче сигнала, состоящего из одних нулей или одних единиц, и 5 МГц - для сигнала с чередованием нулей и единиц. Поэтому с помощью полосовых фильтров можно легко отфильтровать все другие частоты.

Код Манчестер-II нашел применение в оптоволоконных и электропроводных сетях. Самый распространенный протокол локальных сетей Ethernet 10 Мбит/с использует именно этот код.

Код NRZ (Non Return to Zero) - без возврата к нулю - это простейший двухуровневый код. Нулю соответствует нижний уровень, единице - верхний. Информационные переходы происходят на границе битов. Вариант кода NRZI (Non Return to Zero Inverted) - соответствует обратной полярности.

Несомненное достоинство кода - простота. Сигнал не надо кодировать и декодировать.

Кроме того, скорость передачи данных вдвое превышает частоту. Наибольшая частота будет фиксироваться при чередовании единиц и нулей. При частоте 1 Гц обеспечивается передача двух битов. Для других комбинаций частота будет меньше. При передаче последовательности одинаковых битов частота изменения сигнала равна нулю.

Код NRZ (NRZI) не имеет синхронизации. Это является самым большим его недостатком. Если тактовая частота приемника отличается от частоты передатчика, теряется синхронизация, биты преобразуются, данные теряются.

Для синхронизации начала приема пакета используется стартовый служебный бит, например, единица. Наиболее известное применение кода NRZI - стандарт ATM155. Самый распространенный протокол RS232, применяемый для соединений через последовательный порт ПК, также использует код NRZ. Передача информации ведется байтами по 8 бит, сопровождаемыми стартовыми и стоповыми битами.

Код трехуровневой передачи MLT-3 (Multi Level Transmission - 3) имеет много общего с кодом NRZ. Важнейшее отличие - три уровня сигнала.

Единице соответствует переход с одного уровня сигнала на другой. Изменение уровня сигнала происходит последовательно с учетом предыдущего перехода. Максимальной частоте сигнала соответствует передача последовательности единиц. При передаче нулей сигнал не меняется. Информационные переходы фиксируются на границе битов. Один цикл сигнала вмещает четыре бита.

Недостаток кода MLT-3, как и кода NRZ - отсутствие синхронизации. Эту проблему решают с помощью преобразования данных, которое исключает длинные последовательности нулей и возможность рассинхронизации.

Протоколы, использующие код NRZ, чаще всего дополняют кодированием данных 4B5B. В отличие от кодирования сигналов, которое использует тактовую частоту и обеспечивает переход от импульсов к битам и наоборот, кодирование данных преобразует одну последовательность битов в другую.

В коде 4B5B используется пяти-битовая основа для передачи четырех-битовых информационных сигналов. Пяти-битовая схема дает 32 (два в пятой степени) двухразрядных буквенно-цифровых символа, имеющих значение в десятичном коде от 00 до 31. Для данных отводится четыре бита или 16 (два в четвертой степени) символов.

Четырех-битовый информационный сигнал перекодируется в пяти-битовый сигнал в кодере передатчика. Преобразованный сигнал имеет 16 значений для передачи информации и 16 избыточных значений. В декодере приемника пять битов расшифровываются как информационные и служебные сигналы. Для служебных сигналов отведены девять символов, семь символов - исключены.

Исключены комбинации, имеющие более трех нулей (01 - 00001, 02 - 00010, 03 - 00011, 08 - 01000, 16 - 10000). Такие сигналы интерпретируются символом V и командой приемника VIOLATION - сбой. Команда означает наличие ошибки из-за высокого уровня помех или сбоя передатчика. Единственная комбинация из пяти нулей (00 - 00000) относится к служебным сигналам, означает символ Q и имеет статус QUIET - отсутствие сигнала в линии.

Кодирование данных решает две задачи - синхронизации и улучшения помехоустойчивости. Синхронизация происходит за счет исключения последовательности более трех нулей. Высокая помехоустойчивость достигается контролем принимаемых данных на пяти-битовом интервале.

Цена кодирования данных - снижение скорости передачи полезной информации. В результате добавления одного избыточного бита на четыре информационных, эффективность использования полосы частот в протоколах с кодом MLT-3 и кодированием данных 4B5B уменьшается соответственно на 25%.

При совместном использовании кодирования сигналов MLT-3 и данных 4В5В четвертая передача работает фактически как третья - 3 бита информации на 1 герц несущей частоты сигнала. Такая схема используется в протоколе TP-PMD.

При байтовом кодировании уровень сигнала задают два бита и более.

В пятиуровневом коде PAM 5 используется 5 уровней амплитуды и двухбитовое кодирование. Для каждой комбинации задается уровень напряжения. При двухбитовом кодировании для передачи информации необходимо четыре уровня (два во второй степени - 00, 01, 10, 11). Передача двух битов одновременно обеспечивает уменьшение в два раза частоты изменения сигнала.

Пятый уровень добавлен для создания избыточности кода, используемого для исправления ошибок. Это дает дополнительный резерв соотношения сигнал / шум 6 дБ.

Код PAM 5 используется в протоколе 1000 Base T Gigabit Ethernet (см. Схема передачи Gigabit Ethernet). Данный протокол обеспечивает передачу данных со скоростью 1000 Мбит/с при ширине спектра сигнала всего 125 МГц.

Как это достигается? Данные передаются по всем четырем парам одновременно. Следовательно, каждая пара должна обеспечить скорость 250 Мбит/с. Максимальная частота спектра несущей при передаче двухбитовых символов кода PAM 5 составляет 62,5 МГц. С учетом передачи первой гармоники протоколу 1000 Base T требуется полоса частот до 125 МГц.

Ширина магистрали - требуемая полоса частот

Скорость движения зависит не только от возможностей автомобиля, но и от качества магистрали. То же самое справедливо и для передачи данных. Рассмотрим возможности информационных магистралей.

Кодирование сигналов - это способ преобразования тактовой частоты в скорость передачи данных. С какой целью выполняют преобразование? Для того, чтобы увеличить скорость без изменения частотного диапазона канала связи. Кодирование требует использования более сложной приемо-передающей аппаратуры. Это минус. Зато при переходе к более скоростным протоколам можно использовать те же кабели. А это уже большой плюс.

Ширина спектра сигнала

Сигнал, имеющий синусоидальную форму, называется гармоническим. Его параметры определяются частотой и амплитудой. Чем больше форма сигнала отличается от синусоиды, тем больше гармонических составляющих он несет. Частоты гармоник кратны частоте несущей. Стандарты электропитания, например, требуют оценки качества напряжения сигнала вплоть до тридцатой гармоники.

Спектральную ширину сигнала не следует путать с тактовой частотой. Тактовая частота - это метроном, задающий темп мелодии. На рисунке 6 тактовой частоте соответствует скорость чередования битов. Спектральная ширина сигнала в данной аналогии это огибающая сигнала при условии, что она позволяет восстановить исходный импульсный сигнал.

Однополосный и двухполосный сигналы

Сигнал, который не имеет спектральной энергии нулевой частоты, является двухполосным. У двухполосного ширина первой гармоники в два раза больше, чем у однополосного. Спектр сигнала после манчестерского кодирования является двухполосным. Кодирование методами NRZ, MLT-3 и PAM 5 дает однополосный сигнал.

Как было отмечено выше, код Манчестер-II дает две несущие частоты: 5 МГц и 10 МГц.

Частота 10 МГц передается с одной гармоникой (несущая и гармоники обозначены на рис. 7 красным цветом). Частота 5 МГЦ (обозначенная зеленым цветом) имеет три гармоники в верхнем диапазоне. Остальные гармоники обрезаются фильтрами.

Итак, при передаче однополосного сигнала, кодированного методом NRZ, со скоростью10 Мбит/с, требуется 10 МГц. Для двухполосного сигнала, который создается манчестерским десятимегабитным протоколом необходимо 20 МГц полосы пропускания.

Для спектра несущей протокола ATM 155, в котором реализован метод кодирования сигналов NRZ, а тактовая частота составляет 155,52 МГц, требуется полоса частот 77,76 МГц. С учетом одной несущей полоса сигнала составляет 155,52 МГц.

Стандартный канал категории 5 максимальной длины обеспечивает полосу 100 Мгц с запасом сигнал / шум 3,1 дБ. Нулевой запас превышения мощности сигнала на шумом при этом будет на частоте 115 МГц. Таким образом, анализ спектра позволяет сделать вывод о недостаточной ширине информационной магистрали.

Методы кодирования и сложные схемы, использующие все витые пары, обеспечивают увеличение скоростей передачи данных без пропорционального увеличения диапазона частот среды передачи или ширины информационных магистралей.

Анализ методов кодирования позволяет сделать вывод о том, что системы категории 5 имеют дефицит ресурсов даже для приложений своего класса. Современные информационные магистрали требуют более тщательной подготовки для перехода от десятимегабитных приложений к высокоскоростным протоколам.

16...Утилиты запускаются из командной строки или из сеанса MS-Dos. Некоторые утилиты в разных вариантах операционных систем могут отсутствовать, где точно они все есть - так это в UNIX`е.

Полный набор средств для диагностики TCP/IP.

PING. Проверяет связь с IP-хостом.

TRACERT (Traceroute). Отображает адреса всех маршрутизаторов на пути от клиента до удаленного хоста.

NSLOOKUP. Сетевая утилита Windows NT.

IPCONFIG. Отображает текущую конфигурацию сети TCP/IP.

NETSTAT. Отображает статистику и текущие соединения по протоколу TCP/IP.

ROUTE. Позволяет конфигурировать сетевые маршрутные таблицы.

ARP (Address Resolution Protocol) - протокол преобразования адресов. Отображает IP-адреса в адреса Ethernet.

FTP (File Transfer Protocol) - протокол передачи файлов. Позволяет выводить список файлов, осуществлять передачу файлов, а также управлять каталогами на удаленной системе.

Nbstat. Выводит статистику и текущие соединения по протоколу NetBIOS поверх TCP/IP.

Утилита PING.

Используется для проверки коннективности с удаленным хостом. Действует посредством посылки IMCP пакетов и ожидания ответа в течение 1 секунды (значение по умолчанию). Посылается 4 одинаковых пакета (значение по умолчанию). На экран выводится время в миллисекундах, затраченоое на ожидание отклика.

Формат команды:

ping [-n значение1][-w значение2][-t] IP-address или DNS-имя удаленного хоста

значение -n - число посылаемых на удаленный хост пакетов (значение по умолчанию -4),

значение -w - время ожидания отклика в миллисекундах (значение по умолчанию -1000)

-t - установка утилиты ping в непрерывный режим действия.

В поле time указывается, за какое время (в миллисекундах) посланный пакет доходит до удаленного хоста и возвращается на Ваш хост. Так как значение по умолчанию для ожидания отклика от удаленного хоста равно 1 секунде, то все значения данного поля будут меньше 1000 миллисекунд.

Утилита tracert используется для отслеживания маршрута пакета, посланного текущим хостом удаленному. Она может показаться более удобной и содержательной, чем ping, особенно в тех случаях, когда удаленный хост недостижим. Вы сможете определить район проблем со связью ( у Вашего Интернет-провайдера, в опорной сети либо в сети удаленного хоста) по тому, насколько далеко будет отслежен маршрут. Если Вы увидете строку со зведочками (*) либо с сообщениями типа "Destination net unreachable" , "Destination host unreachable"или"Request time out", возможно, Вы обнаружили район проблем со связью.

Формат команды:

tracert [-d][-h количество ретрансляций][-j список_систем][-w тайм-аут] IP-address или DNS-имя удаленного хоста.

Утилита tracert срабатывает следующим образом: посылается по 3 пробных пакета на каждый хост, через который проходит маршрут до удаленного хоста. Утилита tracert использует параметр time-to-live (TTL) для ограничения времени прохождения пакета по маршруту, на котором каждый хост обнаруживается. TTL -это количество "скачков" или последовательных хостов, через которые разрешается пройти пакету. Стартуя со значения равного 1, TTL возрастает до тех пор пока, либо пакет не достигнет удаленного хоста либо не будет достигнуто максимальное значение "скачков" (30 по умолчанию).

C:\>tracert –d –h 16 ftp.microsoft.com

Параметр -d используется для отключения режима определения dns-имен хостов по IP-адресам для удобства чтения информации с экрана. Возможно Вы не захотите использовать этот параметр, так как dns-имена хостов на маршруте от Вашего хоста до удаленного позволяют Вам понять, где физически эти хосты расположены.

-j список_систем -свбодный выбор пути среди систем в указанном списке.

-w тайм_аут-ожидать каждый ответ указанное число миллисекунд.

имя_системы -имя системы, поиск пути к которой производится.

Данную утилиту также можно использовать для определения скорости действия путей.

Эта утилита поможет получить Вам получить море информации, определить причину возникших проблем. В приведенном ниже примере эта утилита используется для определения DNS-серверов домена microsoft.com.

C:\>nslookup –type=ns microsoft.com

В этом примере использован ключ -type=ns, так как был необходим лишь список name-серверов.

Теперь известно, где следует искать авторизованную информацию о домене microsoft.com.

По IP-адресам name-серверов становится понятно, что им принадлежит сеть класса В 131.107.0.0

Следующий запрос следует направить на один из name-серверов.

C:\>nslookup –type=any microsoft.com dns1.microsoft.com

Указав ключ -type=any, Вы сможете получить полную информацию об интересующем Вас домене.

Теперь Вы знаете, что, посылая письмо на любой адрес *@microsoft.com, Вы посылаете его на один из почтовых серверов, перечисленных выше. И, если у Вас проблемы с посылкой почты на этот адрес, то теперь Вы знаете, что следует проверить с помощью утилит ping или tracert коннективность почтового сервера. Теперь Вы также знаете, что первичный DNS-сервер для домена microsoft.com- dns1.microsoft.com, что компания microsoft владеет несколькими сетями класса С - 207.68.*.0, и, что с доменным именем microsoft.com ассоциируется множество IP-адресов.

Так как nslookup дает для www.microsoft.com схожий список, можно предположить, что это веб-сервера компании microsoft. Также можно предположить, что 207.68.*.* IP-адреса из сеток 207.68.*.* , увиденные Вами в предыдущем примере трассировки, принадлежат Интернет провайдеру компании microsoft.

По умолчанию данная утилита выводит только IP-адрес, маску подсетии шлюз по умолчанию для данного сетевого адаптера.

C:\WINDOWS>ipconfig

Настройка IP для Windows 98

0 Ethernet: плата :

IP-адрес. . . . . . . . . . . . . . : 128.1.158.62

Маска подсети . . . . . . . . . . . : 255.255.0.0

Стандартный шлюз. . . . . . . . . . : 128.1.100.5

1 Ethernet: плата :

IP-адрес. . . . . . . . . . . . . . : 0.0.0.0

Маска подсети . . . . . . . . . . . : 0.0.0.0

Стандартный шлюз. . . . . . . . . . :

C:\WINDOWS>

ключ /ALL. Этот ключ позволяет для каждого сетевого интерфейса, помимо информации по умолчанию, получить имя узла, адреса серверов DNS, тип запроса NetBIOS, используется ли для данного сетевого интерфейса DHCP, а также аппаратный адрес интерфейса.

IPCONFIG может использоваться для того, чтобы вручную продлить или прекратить DHCP-аренду. Команда IPCONFIG/RENEW указывает системе провести попытку продления аренды. Эта команда особенно удобна в случае, если сервер должен быть остановлен на некоторое время.

Как правило, клиент не прекращает аренду автоматически по завершении работы. Утилита IPCONFIG позволяет Вам завершить DHCP-аренду при помощи ключа /RELEASE. Эта команда часто используется перед перемещением компьютера в другую сеть. После использования команды IPCONFIG/RELEASE IP-адрес немедленно становиться доступен для назначения его другим компьютерам. Когда клиент включен в новую сеть, он запросит новый адрес.

Утилита NETSTAT выводит статистику для протоколов (TCP, IP, ICMP, UDP) и информацию об IP-соединениях.Команда NETSTAT имеет следующий синтаксис.:

netstat [-a][-e][-n][-s][-p имя][-r][интервал]

-a Отображение всех подключений и портов, на которых компьютер ожидает соединения. (Подключения со стороны сервера обычно не отображаются).

-e Отображение статистики Ethernet. Этот ключ может применяться вместе с ключом -s.

-n Отображение адресов и номеров портов в числовом формате, без попыток определения имен.

-p протокол -- Отображение подключений для протокола "имя": tcp или udp. Используется вместе с ключом -s для отображения статистики по протоколам. Допустимые значения "имя": tcp, udp или ip.

-r Отображение содержимого таблицы маршрутов (таблица маршрутизации).

-s Отображение подробной статистики по протоколам. По умолчанию выводятся данные для TCP, UDP и IP. Ключ -p позволяет указать подмножество выводящихся данных по определенному протоколу.

интервал - повторный вывод статистических данных через указанный интервал в секундах. Для прекращения вывода данных нажмите клавиши CTRL+C. Если параметр не задан, сведения о текущей конфигурации выводятся один раз.

Является утилитой TCP/IP, которая используется для создания или модификации статических таблиц маршрутизации на компьютере, работающем под управлением Windows NT Server.

Формат команды:

route [-f][-p][команда [адресат][маска][шлюз][метрика] ]

-f -удаление всех записей для шлюзов. Если этот параметр используется в сочетании с другими, то сначала производится удаление записей для шлюзов.

-p-добавить (при помощи команды Add) постоянные записи. По умолчанию добавляемые записи не сохраняются при перезапуске системы. Все постоянные пути могут быть выведены на экран при помощи команды print.

команда -может бвть указана одна из четырех команд: print (вывести список путей), add (добавить путь), delete (удалить путь), change (изменить существующий путь).

адресат-определяет компьютер, которомунужно послатьуказанную команду.

маска -определяет маску подсети для указанного пути. По умолчанию используется 255.255.255.255

шлюз -шлюз для указанного пути.

метрика-установка поля метрика в таблице маршрутизации в указанное значение. Может быть задано любое значение от 1 до 9999.

Все произведенные изменения в статической таблице маршрутизации будут потеряны после перезапуска системы,чтобы произвести постоянные изменения, используйте команду ROUTE с параметром -p.

Утилита просмотра и модификации ARP-кэша. Адреса можно вводить в ARP-кэш вручную при помощи утилиты ARP.exe.

Формат команды:

arp -s IP-адрес MAC-адрес.

-a-вывод записей, содержащихся в ARP-кэше.

-q-вывод записей, содержащихся в ARP-кэше (этот ключ недоступен в Windows for Workgroups).

-N-вывод записей, содержащихся в ARP-кэше и относящихся к определенному сетевому интерфейсу.

-s -добавление статической записи в ARP-кэш. Синтаксис: ARP -s IP-адрес MAC-адрес.

-d -удаление статической записи из ARP-кэша.

Протокол передачи файлов-FTP.

Бльшинство файловых архивов предоставляют доступ посредством FTP (File Transfer Protocol) - сетевого протокола передачи файлов между компьютерами (FTP-архивамы). Посредством ftp вы можете найти, получить, и переслать нужные файлы через Интернет. При доступе к FTP-архивам обычно используется стандартное имя пользователя anonymous (Name: anonymous; часто вместо anonymous можно использовать имя ftp), а в качестве пароля следует вводить Ваш адрес электронной почты (например, Password: vasya@mail.ru). Также такой доступ называют доступом по anonymous FTP. Адреса FTP-архивов соответствуют IP-адресам машин, обеспечивающих доступ к локальным архивам по FTP. Обычно эти адреса приводятся в следующей форме, например: ftp.netscape.com, . Реже используются адреса, состоящие из четырех чисел, разделенных точками. Такие адреса, обычно, заключают в квадратные скобки, например [195.34.32.10] и [207.46.131.30]. Ftp-сервер - программа, работающая на некотором компьютере в сети Итернет, на котором хранится общедоступный файловый архив, доступный для удаленных пользователей. Ftp-сервер обеспечивает обработку запросов к архиву. Ftp-клиенты - программы, используемые для доступа к архивам в режиме online.

Для того, чтобы запустить Ftp-клиент, в командной строке пишем ftp, появляется диалоговое окно:

Microsoft(R) Windows 98

(C)Copyright Microsoft Corp 1981-1998.

C:\WINDOWS>ftp

ftp>

help или ? - запрашивает помощь по командам ftp. Может иметь параметр - имя open - устанавливает связь с ftp-директорией. Эта команда нужна, если при вызове программы ftp-связь с требуемой ftp-директорией не была установлена, например, из-за ошибки в названии удаленной машины. Она применяется также при обращении к разным ftp-директориям во время сеанса работы с ftp. При этом нужно сначала закрыть связь с одной ftp-директорией с помощью команды close или disconnect, а затем вызвать другую машину (например open ftp1.cuteftp.com). Если вы находитесь в локальной сети, то после команды open следует вводить IP-адрес прокси-сервера (например open 128.1.100.5).

user - позволяет повторно ввести входное имя пользователя и пароль. Полезно, скажем если удаленная машина не допускает пользователей с именем ftp, но может допустить с именем anonymous.

close - закрывает связь с данной ftp-директорией.

bye или quit - закрывает все связи и прекращает выполнение программы ftp.

Команды передачи и получения файлов:

get или recv - получить файл с удаленного компьютера. В качестве обязательного параметра требуется указать имя этого файла на удаленной машине, например get/pub/os/msdos/news.zip.

mget - получить несколько файлов по списку или в соответствии с маской (наример, get/mailserv/*.doc).

put или s - переслать файл с локальной машины на удаленную. По аналогии с командой get указывается имя файла на локальном компьютере в качестве параметра. Вторым параметром может быть указано новое имя файла на новой машине. (наример, put myfile for_allfile).