- •2. Версии iPv4 и iPv6
- •3. Пакеты и их инкапсуляция
- •4. Адресация пакетов
- •Глава 14. Сети tcp/ip 505
- •6. Cidr: протокол бесклассовой междоменной маршрутизации
- •7. Частные адреса и система nat
- •8. Маршрутизация
- •9. Таблицы маршрутизации
- •10. Arp: протокол преобразования адресов
- •11. Dhcp: протокол динамического конфигурирования узлов
- •12. Ррр: протокол двухточечного соединения
- •13. Команда ifconfig: конфигурирование сетевых интерфейсов
- •14. Демоны маршрутизации
- •Глава 15. Маршрутизация 571
- •15. Основные протоколы маршрутизации
- •Глава 15. Маршрутизация 567
- •16. Технология Ethernet: сетевая панацея
- •17. Беспроводной стандарт: локальная сеть для кочевников
- •18. Dsl и кабельные модемы: “последняя миля” 8
- •Глава 16. Сетевые аппаратные средства 593
- •20. Основные задачи системы dns
- •Глава 18. Сетевой протокол Network File System 737
- •22. Серверная часть протокола nfs
- •Глава 18. Сетевой протокол Network File System 745
- •23. Клиентская часть протокола nfs
- •Глава 18. Сетевой протокол Network File System 753
- •24. Ldap: упрощенный протокол доступа к каталогам
- •25. Структура данных ldap
- •Глава 19. Совместное использование системных файлов 775
- •26. Nis: Сетевая информационная служба
- •27. Системы электронной почты
- •Глава 20. Электронная почта 789
- •28. Протоколы smtp, pop3.
- •30. Почтовые серверы
- •Часть II. Работа в сети
- •31. Cпам и вредоносные программы
- •Глава 20. Электронная почта 813 ip range
- •32. Фильтрация почты
- •33. Почтовый агент sendmail
- •34. Почтовый агент Postfix
- •Глава 20. Электронная почта 877
- •35. Поиск неисправностей в сетях
- •Глава 21. Управление сетями 911
- •36. Kоманда traceroute: трассировка ip-пакетов
- •Глава 21. Управление сетями 915
- •37. Команда netstat: получение информации о состоянии сети
- •Глава 21. Управление сетями 919
- •39. Snmp: простой протокол управления сетями
- •40. Протокол NetFlow: мониторинг соединений
- •Глава 21. Управление сетями 939
- •41. Ключевые аспекты безопасности
- •Глава 22. Безопасность 951
- •42. Пароли и учетные записи пользователей
- •43. Эффективное использование команды chroot
- •44. Команда nmap: сканирование сетевых портов
- •45. Bro: программная система для распознавания вторжения в сеть
- •Глава 22. Безопасность 967
- •46. Мандатное управление доступом
- •47. Ssh: безопасная оболочка
- •48. Брандмауэры
- •Глава 22. Безопасность 983
- •49. Функциональный стек lamp
- •50. Обнаружение ресурсов в сети веб
- •Глава 23. Веб-хостинг 1003
- •51. Принцип работы http
- •52. Конфигурирование сервера Apache
- •Глава 23. Веб-хостинг 1011
- •53. Виртуальные интерфейсы
- •54. Протокол Secure Sockets Layes
- •Глава 23. Веб-хостинг 1017
12. Ррр: протокол двухточечного соединения
Протокол РРР определен в документе RPC1331.
РРР (Point-to-Point Protocol — протокол двухточечного соединения) представляет базовый канал связи в виде интерфейса виртуальной сети. Однако поскольку базовый канал может не иметь свойств реальной сети, связь ограничена двумя узлами, располо женными на концах соединения, т.е. виртуальная сеть состоит из двух узлов. Протокол РРР по-разному используется как в самых медленных, так и в самых быстрых IP- соединениях, но по разным причинам.
В асинхронной форме протокол РРР широко известен как протокол, обеспечиваю щий выход в Интернет по телефонным и последовательным каналам. Эти каналы не предназначены для работы с пакетами, поэтому за кодирование и декодирование сете вых пакетов, передаваемых в поток однородных данных, отвечает драйвер РРР. Он до бавляет к пакетам заголовки канального уровня и маркеры-разграничители.
В синхронной форме протокол РРР представляет собой протокол инкапсуляции пакетов, используемый в высокоскоростных соединениях, на обоих концах которых установлены мощные маршрутизаторы. Протокол РРР широко применяется для реали зации DSL и кабельных модемов при оказании услуг по широкополосному доступу в Интернет. Во втором случае протокол РРР не только превращает базовую сетевую си стему (например, ATM (Asynchronous Transfer Mode — асинхронный способ передачи
Данных) в технологии DSL (Digital Subscriber Line — цифровая абонентская линия)) в форму, подходящую для работы с протоколами IP, но и осуществляет аутентификацию и управлением доступом в рамках самого соединения. Неким сюрреалистическим обра зом протокол РРР позволяет реализовать семантику, подобную технологии Ethernet, на основе реальной технологии Ethernet. Эта конфигурация известна под названием “РРР over Ethernet” или РРРоЕ.
Поскольку протокол РРР был разработан группой, он представляет собой протокол инкапсуляции “всего на свете и кухонной мойки”. Помимо спецификации установки,
524 Часть II. Работа в сети
наладки и демонтажа соединения, протокол РРР осуществляет проверку ошибок, аутен тификацию, шифрование и сжатие. Эти функциональные возможности позволяют адап тировать его к любым ситуациям.
Протокол РРР, реализующий сетевые технологии на основе телефонных каналов, когда-то представлял большой интерес для системных администраторов, работающих с операционными системами UNIX или Linux, но быстрое распространение широко полосных сетей сделало телефонные конфигурации практически ненужными. В то же время протокол РРР был широко внедрен в разнообразные специальные сетевые устройства. В настоящее время главной областью применения протокола РРР является обеспечение соединений с помощью сотовых модемов.
13. Команда ifconfig: конфигурирование сетевых интерфейсов
Команда ifconfig используется для подключения и отключения сетевого интер фейса, а также задания его IP-адреса, маски подсети, других опций и параметров. Она обычно выполняется на этапе начальной загрузки. Аргументы командной строки берут ся из конфигурационного файла, но могут применяться и для внесения изменений в ра ботающую систему. Будьте осторожны при модификации удаленной системы, так как не всегда есть возможность оперативно исправить ошибки.
В большинстве случаев команда ifconfig имеет следующий формат. ifconfig интерфейс [семейство] адрес опции ...
Например, команда
ifconfig eth0 128.138.240.1 netmask 255.255.255.0 up
задает IPv4-адрес и сетевую маску, связанную с интерфейсом eth0, и приводит интер фейс в состояние готовности.
Параметр интерфейс обозначает аппаратный интерфейс, к которому применяется команда. Обычно он представляет собой двух- или трехсимвольное имя, за которым следует число, но в системе Solaris этот параметр может быть длиннее. Наиболее распро страненные имена — ie0, lе0, le1, ln0, en0, we0, qe0, nme0, eth0 и lan0. В системе Linux интерфейс обратной связи называется lo, а в системах Solaris, HP-АХ и AIX — lо0. В большинстве систем команда ifconfig -а перечисляет сетевые интерфейсы си стемы и их текущие установки. В системе HP-UX для этой цели используется команда netstat -i.
В системе Solaris необходимо сначала “присоединить” сетевые интерфейсы с помощью команды ifconfig интерфейс plumb и лишь затем настраивать конфигурации и выводить на экран с помощью команды ifconfig -а.
Параметр семейство сообщает команде ifconfig, какой именно протокол (“семей ство адресов”) вы хотите конфигурировать. Вы можете установить несколько протоко лов для одного интерфейса и использовать их одновременно, но конфигурировать их необходимо по отдельности. Основными опциями являются inet для протокола IPv4 и inet6 — для протокола IPv6. По умолчанию используется параметр inet. Система Linux поддерживает также множество унаследованных протоколов, таких как AppleTalk и Novell IPX.
Параметр адрес задает IP-адрес интерфейса. Имя узла также допускается в качестве адресного параметра, но на этапе загрузки по имени узла должен определяться его адрес.
Для основного машинного интерфейса это значит, что имя узла должно находиться в локальном файле hosts, поскольку другие методы разрешения имен зависят от инициа лизированной сети.
Ключевое слово up указывает на активизацию интерфейса, а ключевое слово down — на его отключение. Когда команда ifconfig назначает интерфейсу IP-адрес, как в опи санном выше примере, ключевое слово up подразумевается неявно и может быть опущено.
Команда ifconfig понимает множество опций. Мы рассмотрим лишь самые основ ные. Как всегда, детали, касающиеся конкретной системы, можно узнать на страницах интерактивного руководства. Все опции имеют символические имена. Некоторые опции требуют аргументов, которые должны следовать сразу за названием опции через пробел.
Опция netmask задает маску подсети для данного интерфейса. Эта опция обязатель на, если подсеть формируется не на основании класса адреса (А, В или С). Маску можно указывать в точечной нотации либо в виде четырехбайтового шестнадцатеричного чис ла, начинающегося с префикса 0х. В любом случае единичные биты являются частью номера сети, а нулевые биты — частью номера узла.
Опция broadcast задает широковещательный IP-адрес интерфейса в шестнадцате ричной или точечной записи. По умолчанию в широковещательном адресе все биты ма шинной части равны единице. В приведенном выше примере использования команды ifconfig автоматически конфигурируется широковещательный адрес 192.168.1.255.
В качестве широковещательного адреса можно использовать любой IP-адрес, допу стимый в сети, к которой подключен компьютер. В некоторых организациях широкове щательный адрес специально выбран нестандартным для предотвращения сетевых атак, основанных на широковещательной команде ping. Однако это рискованно и, вероятно, излишне. Сбой при конфигурации каждого широковещательного адреса компьютера может вызвать широковещательный шторм, в ходе которого пакеты будут блуждать от машины к машине, пока не будет исчерпано время TTL (Time to live — время жизни Па кета данных в протоколе IP. — Примеч. ред.)17
Лучший способ избежать проблем с широковещательными запросами состоит в том, чтобы запретить пограничному маршрутизатору перенаправлять их, а отдельным узлам — отвечать на них. В главе 22 будет рассказано о том, как реализовать подобные ограничения.
Система Solaris интегрирует команду ifconfig с клиентским демоном про токола DHCP. Команда ifconfig интерфейс dhcp конфигурирует именован ный интерфейс с помощью параметров, арендованных у локального DHCP- сервера, затем запускает программу dhcpagent, чтобы управлять этими параметрами в течение долгого времени. Другие системы используют команду ifconfig независимо от протокола DHCP, при этом программное обеспече ние DHCP функционирует на отдельном уровне.
17 Широковещательный шторм (broadcast storm) возникает из-за того, что для транспорта паке тов должен использоваться один и тот же широковещательный адрес, независимо от того, какой адрес установлен. Например, машина X считает, что широковещательный адрес равен А1, а маши на Y считает, что он равен А2. Если машина X посылает пакет по адресу А1, то машина Y получит пакет (поскольку адрес назначения на уровне соединения — это широковещательный адрес), затем увидит, что этот пакет предназначен ни ей, ни широковещательному адресу (поскольку машина Y полагает, что широковещательный адрес равен А2), и может возвратить этот пакет обратно в сеть. Если обе машины находятся в состоянии машины Y, то пакет будет циркулировать в сети, пока не закончится его время жизни. Широковещательные штормы могут разрушить полосу пропускания, особенно в больших коммутируемых сетях.
528 Часть II. Работа в сети
Кроме того, с помощью команды ifconfig интерфейс можно получить конфигура цию отдельного интерфейса.
solaris$ ifconfig e1000g0
e1000g0: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500
index 2 inet 192.168.10.10 netmask ffffff00 broadcast 192.168.10.255 redhat$ ifconfig e1000g0
eth0 Link encap:Ethernet HWaddr 00:02:B3:19:C8:86
inet addr:192.168.1.13 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU: 1500 Metric:1
RX packets:206983 errors:0 dropped:0 overruns:0 frame:0
TX packets:218292 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
Interrupt:7 Base address:0xef00
Отсутствие коллизий в интерфейсе Ethernet во втором примере может указывать на слабо загруженную сеть или, что более вероятно, на коммутируемую сеть. В сети обще го доступа (организованной с помощью концентраторов, а не коммутаторов) этот по казатель должен быть ниже уровня 5% от числа отправленных пакетов. Большое число коллизий свидетельствует о загруженности сети, которую, возможно, требуется разбить на подсети или перевести на коммутируемую инфраструктуру.
Теперь, когда мы рассмотрели процедуру ручного конфигурирования сетевого ин терфейса, осталось выяснить, как задавать параметры команды ifconfig на этапе на чальной загрузки системы. Кроме того, требуется убедиться в том, что новые значения введены правильно. Для этого необходимо отредактировать один или несколько конфи гурационных файлов. Информация, касающаяся конкретных систем, приведена далее в этой главе.
И еще одно замечание по поводу команды ifconfig: вы можете назначать интерфей су несколько адресов, используя “интерфейсы виртуальной сети” или “IP-псевдонимы” (IP-aliases). Администраторы могут делать это для того, чтобы позволить одной машине служить хостом для нескольких веб-сайтов (см. раздел 23.3).