Принципы маршрутизации в Internet. Самое полное описание протокола BGP 4 - Сэм Хелеби

Рис. 3.17. Получение адресов от третьей стороны (вне диапазона провайдеров)

Рекомендации по проведению объединения (агрегирования)

Домен, для которого был выделен диапазон IP-адресов, должен обеспечить возможность их объединения (агрегирования). При выполнении объединения адресов в домене следует подвергать этой процедуре максимально возможное количество адресов, исключая всякую неоднозначность, присущую многоканальным сетям.

Однако следует помнить, что каждый конкретный случай требует индивидуального подхода. Не существует единого простого решения на все случаи жизни. Для одноканальных схем подключения клиентам рекомендуется получать простые непрерывные блоки IP-адресов от своего провайдера и выполнять совместно статическую маршрутизацию, если есть возможность не прибегать к более сложным схемам подключения. При смене провайдера клиентам с одноканальным соединением желательно перейти на использование адресного диапазона нового провайдера. Для клиентов с многоканальными соединениями назначение адресов должно проводиться с учетом максимально возможного объединения адресного пространства. В тех случаях, когда объединение влияет на резервирование, вопросы резервирования должны превалировать, для чего следует определять дополнительные сети с соответствующими маршрутами к ним.

Введение CIDR в течение последних нескольких лет помогло остановить лавинообразный рост глобальных таблиц маршрутов в сети Internet. Для сети Internet дефакто стад стандартом междоменный протокол маршрутизации граничного шлюза версии 4 Border Gateway Protocol (BGP-4), частично благодаря эффективной обработке объединенных маршрутов и их распространению между доменами маршрутизации. По мере чтения книги вы познакомитесь с примерами, поясняющими важность применения CIDR в управлении трафиком и сохранении стабильной работы сети.

Дополнительную информацию о CIDR, текущих и исторических сведениях о размерах таблиц маршрутов в сети Internet и другую интересную информацию вы можете получить, обратившись к приложению А в конце книги.

Частные адреса и преобразование сетевых адресов

Для снижения темпов распределения IP-адресов очень важно было определить требования к создаваемым сетям и распределению адресов в них. Сети организаций могут иметь:

•глобальную связность (Global connectivity);

•внутреннюю связность (Private connectivity).

Глобальная связность

Глобальная связность означает, что все хосты внутри организации должны иметь доступ как к хостам внутренней корпоративной сети, так и к хостам сети Internet. В этом случае хостам нужно назначать уникальные IP-адреса, которые опознавались бы как во внутренней сети организации, так и во внешней глобальной сети. Организации, которым необходима глобальная связность, должны запрашивать IP-адреса у своих сервиспровайдеров.

Внутренняя связность

Внутренняя связность означает, что доступ друг к другу должны иметь только хосты внутри корпоративной сети организации, при этом не требуется, чтобы они могли соединяться с хостами в сети Internet. Примерами хостов, нуждающихся лишь во внутренней связности, могут выступать банкоматы, электронные кассовые аппараты в магазинах розничной торговли и другое оборудование, для которого не требуется соединение с хостами вне сети компании. Внутренние хосты могут иметь уникальные IP-адреса лишь внутри корпоративной сети организации. Для этих целей организацией IANA зарезервированы три блока IP-адресов, которые предназначены для использования во внутренних сетях организаций (так называемых "частных сетях" (private internet)):

•10.0.0.0 — 10.255.255.255 (одна сеть класса А)

•172.16.0.0 — 172.31.255.255 (16 непрерывных блоков класса В)

•192.168.0.0 — 192.168.255.255 (256 непрерывных сетей класса С) Исчерпывающую информацию об их использовании, а также сведения о других

зарезервированных адресах можно найти в документе RFC 19185.

Компания, выбирающая адреса для внутренней сети из вышеприведенных диапазонов, не нуждается в специальном разрешении на их использование от IANA или реестра сети Internet. Все хосты, которые получают внутренние IP-адреса, могут соединяться с хостами внутри компании, но не могут соединяться с хостами вне сети организации без специальных устройств-посредников (proxy) или шлюза (gateway). Хосты внутренней сети не смогут общаться с хостами сети Internet, потому что пакеты, исходящие из внутренней сети, имеют IP-адрес отправителя, который не определен в сети Internet, и, следовательно, они не могут пересылаться через глобальные сети общего пользования. Дело в том, что несколько компаний могут строить свои частные сети с использованием одних и тех же внутренних IPадресов, что недопустимо. Для этих целей можно использовать только уникальные глобальные IP-адреса.

Однако следует отметить, что хосты с внутренними IP-адресами могут нормально сосуществовать с хостами, имеющими глобальные IP-адреса. На рис. 3.18 представлен пример такой среды.

Часть хостов компании может находиться во внутренней сети, а отдельные сегменты иметь выход в глобальные сети. При такой схеме половина хостов в корпоративной сети может достичь сети Internet без каких-либо дополнительных ухищрений. Компании, использующие лишь внутренние адреса, также могут организовывать доступ своим хостам в сеть Internet, но при этом требуется применение специальных сетевых фильтров, которые не пропускают пакеты с внутренними адресами в сеть Internet. Большинство провайдеров Internet все же пользуются определенными IP-адресами для организации маршрутизации с клиентами, которые используют обычные IP-адреса.

Рис. 3.18. Общий вид сети со смешанной связностью

Недостаток такого подхода заключается в следующем: если организация позднее решит разрешить доступ своим хостам в сеть Internet, то придется провести перенумерование всех хостов в сети с внутренних IP-адресов на глобальные IP-адреса. С появлением и внедрением новых протоколов, таких как протокол динамической конфигурации хоста Dynamic Host Configuration Protocol (DHCP)6, эта задача намного упростилась. Протокол DHCP обеспечивает механизм для передачи параметров конфигурации (включая IP-адреса) для хостов, в которых используется стек протоколов TCP/IP. Если на хостах разрешено использование протокола DHCP, то они могут получать IP-адреса динамически от центрального сервера.

Рис. 3.19. Доступ к ресурсам Internet из внутренней корпоративной сети

Вторая возможность — установка так называемого бастионного хоста (bastion host), который действует как шлюз между внутренней сетью и глобальной сетью Internet. Итак, хост А (рис. 3.19) имеет внутренний IP-адрес. Если с этого хоста необходимо установить сеанс Telnet с хостом, который находится в Internet, то это можно проделать, связавшись по Telnet с хостом Б, который затем выходит в наружную сеть. Теперь все пакеты, исходящие из корпоративной сети компании, будут иметь в качестве адреса отправителя IP-адрес хоста Б, который "виден" из сети Internet. И третье — использовать транслятор сетевого адреса (Network Address Translator).

Транслятор сетевого адреса

Некоторые компании при переходе от использования внутренних IP-адресов к глобальным IP-адресам могут воспользоваться технологией трансляции (или преобразования) сетевых адресов Network Address Translator (NAT)7. Технология преобразования адресов NAT позволяет подключать корпоративные сети с внутренними адресами к сети Internet без перенумерования IP-адресов хостов во внутренней сети. Маршрутизатор с NAT располагается обычно на границе домена и преобразует внутренние IP-адреса в обычные для сети Internet глобальные адреса, и наоборот, для обеспечения нормальной работы хостов из внутренней сети с хостами в сети Internet.

На рис. 3.20 представлены хосты А и Б, которые имеют IP-адреса 10.1.1.1 и 10.1.1.2, соответственно.

Рис. 3.20. Пример преобразования сетевых адресов

Если хостам А и Б требуется связаться с узлом вне внутренней сети компании, то NAT-устройство преобразует IP-адрес источника в пакетах согласно установленному (или динамически выделяемому) IP-адресу из таблицы NAT. Таким образом, пакеты от хоста А достигнут удаленного узла с IP-адресом источника 128.213.x.у. Хостам в глобальной сети даже не будет известно о преобразовании IP-адресов, и они будут отвечать на глобальный IPадрес. Ответные пакеты, приходящие из глобальной сети, будут иметь IP-адрес пункта назначения узла, где проводилось преобразование сетевых адресов. Далее этот глобальный адрес согласно таблице NAT, будет преобразован во внутренний IP-адрес хоста, который начал сеанс связи.

Подробное рассмотрение работы NAT-устройств не входит в круг вопросов, рассматриваемых в книге, так как эта тема имеет много "острых углов" и достойна отдельной книги. В число частных случаев использования NAT входит ситуация, когда в сети предприятия применялись адреса, которые не предназначены IANA для корпоративного использования. В этом случае может возникнуть ситуация, когда реестром Internet эти адреса уже выделены какой-либо другой организации. Случается также, что предприятию или организации выделено меньше адресов, чем им необходимо. В этом случае с помощью NAT можно динамически транслировать внутренние IP-адреса в меньшие пулы глобальных адресов.

В принципе функционирование NAT не всегда требует выделения отдельного устройства, и часто его можно организовать на базе программного обеспечения маршрутизатора, который уже развернут в сети. Так, например, функции NAT являются частью операционной системы маршрутизаторов, выпускаемых компанией Cisco Systems —

Cisco Internetwork Operating System (IOS).

IP версии 6

Протокол IP версии 6 (IPv6)8 также известен под названием IP следующего поколения (IP next generation — IPng) и является следующим шагом по улучшению существующего протокола IPv4.

Первые предложения по использованию IPng были выдвинуты в июле 1992 года на встрече группы инженеров Internet Engineering Task Force (IETF) в Бостоне (США). Было сформировано несколько рабочих групп по разработке нового протокола. Протокол IPv6 решает проблему исчерпания адресного пространства IP, закрепляет критерии качества обслуживания (Quality of Service), имеет улучшенные механизмы по автоматической

настройке узлов и аутентификации пользователей, обладает повышенной безопасностью.

В настоящее время IPv6 находится все еще в экспериментальной стадии. Для компаний и администраторов, которые вложили большие средства в развитие инфраструктуры под IPv4 нелегко перестроиться на IPv6. Пока реализации протокола IPv4 обеспечивают различные методы и технологии (какими бы громоздкими они ни казались), позволяющие выполнять основные задачи, для решения которых был разработан IPv6, переход к этой версии протокола IP не кажется компаниям необходимым. Пока невозможно точно сказать, когда начнется повальный переход на IPv6. В этой книге мы затронем лишь часть системы адресации протокола IPv6 и сравним ее с тем, что вам известно как IPv4.

Адреса IPv6 имеют 128 битов, в отличие от 32-битовых адресов IPv4. Это должно обеспечить достаточное адресное пространство, чтобы избежать проблемы его исчерпания и масштабируемости в сети Internet. При адресации с помощью 128 бит можно адресовать 2128 хостов, а это огромное количество!

Типы адресов IPv6 также определяются старшими битами в адресе в поле переменной длины, которое называется префикс формата Format Prefix (FP) (рис. 3.21).

Рис. 3.21. Формат адреса и префикса в IPv6

В табл. 3.7 выделены начальные префиксы. Как уже отмечалось, в IPv6 определено несколько типов адресов. Нас в этой книге интересуют лишь уникальные адреса, используемые провайдерами, и локальное применение адресов IPv4 различными компаниями.

Таблица 3.7. Распределение префиксов в IPv6

Уникальные адреса для провайдеров

Уникальные адреса для провайдеров во многом имеют сходство с глобальными IPадресами IPv4. Их общий вид представлен на рис. 3.22.

Рис. 3.22. Формат уникального адреса IPv6 для провайдеров

Ниже описаны поля в уникальных адресах для провайдеров.

Префикс формата (Format prefix) — первые три бита 010, указывающие на то, что данный адрес является уникальным адресом провайдера.

Идентификатор реестра (REGISTRY ID) — указывает, какой реестр Internet выдал идентификатор провайдера (PROVIDER ID).

Идентификатор провайдера (PROVIDER ID) — идентифицирует провайдера, которому присвоен данный адрес.

Идентификатор абонента (SUBSCRIBER ID) — идентифицирует абонента, подключенного к провайдеру.

Идентификатор подсети (SUBNET ID) — идентифицирует физический канал, к которому принадлежит данный адрес.

Идентификатор интерфейса (INTERFACE ID) — определяет интерфейс среди множества интерфейсов, принадлежащих подсети с заданным SUBNET ID. Например, в этом качестве может выступать 48-битовый адрес управления доступом к среде передачи Media Access Control (MAC), описанный стандартом IEEE-802.

Глобальные адреса IPv6 включают в себя все функции бесклассовой междоменной маршрутизации CIDR, реализованные для IPv4. Все адреса определяются иерархически, т.е. каждый элемент адреса состоит из части вышестоящего адреса (рис. 3.23).

Рис. 3.23. Иерархия в назначении адресов IPv6

Адреса для локального пользования

Адреса для локального пользования имеют сходство с внутренними адресами для общего пользования IPv4, описанными в RFC 1918. Адреса для локального пользования делятся на две категории:

Адреса для локального использования при организации соединений (префикс

1111111010), которые являются внутренними для определенного физического сегмента.

Адреса для локального использования при организации узлов (префикс 1111111011), которые являются внутренними для определенного узла.

На рис. 3.24 приведен формат адресов для локального использования.

Адреса для локального использования имеют значение только для локального сегмента сети (адреса для организации соединений) и только для определенного узла (адреса для организации узлов).

Компании, которые не имеют соединения с сетью Internet, могут легко назначать собственные адреса, при этом не требуется запрашивать соответствующие префиксы из глобального адресного пространства. Если позднее компания решит подключиться к глобальной сети, то к уже имеющимся локальным адресам добавятся лишь значения REGISTRY ID, PROVIDER ID и SUBSCRIBER ID. Это одно из основных преимуществ IPv6 перед IPv4, так как в этом случае не требуется замена всех внутренних адресов глобальными или применение таблиц NAT для нормальной работы с внутренними адресами в сети Internet.

Рис. 3.24. Форматы адресов для локального использования

Забегая вперед

Итак, IP-адреса и система адресации являются основными элементами междоменной маршрутизации. С помощью IP-адресации определяется местонахождение нужной информации, но при этом не указывается путь, по которому можно получить доступ к этой информации. Хосты нуждаются в специальном механизме для обмена информацией о пунктах назначения и для вычисления оптимального маршрута к заданному пункту назначения. И, естественно, этим механизмом в сети является маршрутизация.

Этой главой завершается изложение фундаментального материала, который необходим для дальнейшего изучения структуры системы маршрутизации сети Internet. В следующей главе рассмотрены основы междоменной маршрутизации, концепции адресации, глобальные сети и домены, которых мы уже коснулись ранее. В следующей части книги будут рассмотрены протоколы маршрутизации и в частности протокол BGP, реализации которого подробно рассмотрены в главе 5 и далее.

Часто задаваемые вопросы:

В – Чем отличается применение VLSM om простого разбиения на подсети?

О — Применение VLSM ничем не отличается от разбиения на подсети, а является лишь расширением для проведения такого разбиения, посредством чего адреса классов А, В

иC могут образовывать подсети с помощью масок различной длины.

В— Для чего может понадобиться VLSM?

О—VLSM предоставляют возможность более эффективного назначения IP-адресов.

Сих : помощью обеспечивается большая гибкость при назначении соответствующих адресов хостов и подсетей при ограниченном количестве IP-адресов.

B— Какая разница между CIDR и созданием суперсетей?

О- Бесклассовая междоменная маршрутизация представляет собой механизм, позволяющий сетям объявлять и суперсети, и подсети вне диапазона адресов классовой се:ти. При создании суперсетей разрешается использование сетевых масок, которые короче нормальных масок, что позволяет выделять суперсети.

В — Влияет ли классовая модель на рост глобальных таблиц маршрутов?

О— Нет. Рост глобальных таблиц маршрутов обусловлен ростом числа организаций, подключаемых к сети Internet. Дело в том, что классовая модель не предусматривает масштабируемого решения для того, чтобы справиться с подобным ростом.

В — В моей сети используются устаревшие протоколы, такие как RIP-1 и IGRP. Что мне может понадобиться при переходе на новые протоколы маршрутизации, которые поддерживают CIDR u VLSM?

О— Если вы считаете, что реализация в сети VLSM и CIDR поможет более эффективно использовать ваше адресное пространство и улучшит общую маршрутизацию в сети, то вам следует провести модернизацию. Одним из критериев при принятии такого решения является способность вашего аппаратного обеспечения работать с новыми протоколами, которые предъявляют повышенные требования к производительности и размерам оперативной памяти. Конечно, это зависит и от протокола, на который вы переходите. Нужно также не забывать о необходимости обеспечения совместимости при совместной работе нового и старого протоколов. Ввиду того что модернизация сетей проводится, как правило, поэтапно, рано или поздно вы столкнетесь с ситуацией, когда новый и старый протоколы работают в сети параллельно. Так как старые протоколы не "понимают" VLSM и CIDR, то может понадобиться широкое применение статической маршрутизации для обеспечения нормальной работы домена в переходный период.

В — Могу ли я объединять любые маршруты в таблице маршрутов?

O – Вы можете объединять лишь те маршруты, за администрирование которых несете ответственность. При объединении маршрутов вне своего домена вы можете спровоцировать появление "черных дыр" в маршрутизации.

В – Если я меняю провайдеров, могу ли я не менять свои IP-адреса?

О– На сегодняшний день, с точки зрения обеспечения наилучшего объединения маршрутов рекомендуется (а иногда и требуется), чтобы вы вернули старые адреса бывшему провайдёру и получили новые от вашего нового провайдера. Проконсультируйтесь у своего провайдера о правилах подключения клиентов к сети, которыми он руководствуется.

В — У меня есть хосты, которым необходимо oбеспечить выход в Internet, остальным же доступ в Internet требуется закрыть. Могу ли я использовать внутренние IP-адреса на одних хостах в сети, и глобальные на других?

О— Да, совместное применение внутренних и глобальных IP-адресов в одной сети полне допустимой При этом при объявлении маршрутов в сеть провайдера, вам следует указать лишь легальные IP-сети (не внутренние).

В — Мне необходимо подключиться к сети Internet, но не все адреса в моей сети зарегистрированы в соответствующих инстанциях. Я не могу провести перенумерование всех хостов в сети. Что мне следует делать в этом случае?

О — В таком случае вы можете воспользо&аться процедурой преобразования сетевых адресрв Network Address Translation (NAT), которая позволяет преобразовать незарегистрированные адреса в диапазон легальных IP-адресов, полученных от вашего провайдера.

Ссылки

1RFC 791, "Internet Protocol (IP)", www.isi.edu/in-notes/rfc791.txt

2RFC 917, "Internet Subnets", www.isi.edu/in-notes/rfc917.txt

3RFC 1878, "Variable Length Subnet Table for IPv4", www.isi.edu/in-notes/rfcl878.txt

4RFC 1519, "Classless Inter-Domain Routing (CIDR)", www.isi.edu/in-notes/rfcl519.txt

5RFC 1918, "Address Allocation for Private Internets", www.isi.edu/in-notes/rfcl918.txt

6RFC 1541, "Dynamic Host Configuration Protocol", www.isi.edu/in-notes/rfcl541.txt

7RFC 1631, "The IP Network Address Translator", www.isi.edu/in-notes/rfcl631.txt

8RFC 1884, "IP version 6 Addressing Architecture", www.isi.edu/in-notes/rfcl884.txt