4.3.3. Трансляция сетевых адресов и адресация в закрытой сети
Адресация в закрытой сети и трансляция сетевых адресов (NAT) – это два взаимосвязанных метода, которые способствуют резкому сокращению потребности в использовании открытых IP-адресов. В закрытой сети хостам присваиваются адреса, которые зарезервированы для локальных целей и не используются в сети Internet. При возникновении необходимости организовать обмен данными между хостом в закрытой сети и хостом в открытой сети первый посылает запрос в сетевой шлюз, который преобразует закрытый IP-адрес в открытый IP-адрес. Благодаря этому уменьшается потребность в использовании открытых IP-адресов, поскольку не приходится присваивать открытый IP-адрес каждому хосту, для которого необходимо обеспечить работу в Internet. Вместо этого присваивается один (или несколько) адресов устройству NAT, которое обеспечивает доступ к Internet.
Трансляция сетевых адресов может выполняться маршрутизатором, но чаще всего этот процесс осуществляется в специализированном устройстве, который принято называть прокси-сервером. Прокси-сервер выполняет основные функции трансляции сетевых адресов NAT, а также обеспечивает выполнение целого ряда других процессов. В частности, прокси-сервер обеспечивает кэширование информационного наполнения (записывает файлы, как правило, Web-страницы, к которым часто происходит доступ, на своем жестком диске, чтобы при получении повторного запроса к этим данным с другого хоста не приходилось снова выполнять их загрузку из Internet), преобразование пакетов других протоколов (таких как IPX/SPX) в пакеты IP и фильтрацию пакетов (принимает или отбрасывает пакеты с учетом таких критериев, как IP-адрес отправителя или номер порта). Но независимо от того, каким устройством осуществляется трансляция сетевых адресов, метод NAT применяется более эффективно при использовании пула IP-адресов, а не отдельного адреса, поскольку при наличии нескольких IP-адресов устройству NAT не приходится слишком часто выполнять трансляцию номеров портов.
Хотя метод NAT может применяться при использовании любой структуры IP-адресов (включая открытые адреса), обычно лучше использовать пространство адресов, зарезервированное для закрытой сети. Причина этого очень проста – если в закрытой сети применятся открытые адреса, то общедоступный ресурс, обозначенный этим адресом (а также все другие ресурсы, обозначенные применяемой маской), станут недоступными из закрытой сети. Например, если организация использует в своей внутренней сети адрес 207.46.230.0/24, то ее сотрудники не смогут обратиться к любому компьютеру в Internet, находящемуся в сети 207.46.230.0 (которая принадлежит Microsoft), поскольку хост локальной сети будет рассматривать такой адрес получателя в пакете как локальный адрес и не отправит пакет в устройство NAT.
Метод адресации в закрытой сети определен в документе RFC 1918, а метод NAT – в документе RFC 3022.
4.3.4. Маршрутизация
Основной функцией маршрутизаторов является передача пользовательских пакетов из сети отправителя в сеть получателя в соответствии с адресами, содержащимися в заголовке IP пакета. Для этого используются таблицы маршрутизации, которые формируются с помощью следующих двух основных способов:
Статическая маршрутизация;
Динамическая маршрутизация.
При статической маршрутизации администратор сети вручную вводит пути передачи пакетов в таблицы маршрутизации всех маршрутизаторов. Статическая маршрутизация, как правило, используется в сетях небольшого размера, а также в пограничных маршрутизаторах (маршрутизатор, непосредственно соединенный с сетью провайдера).
При динамической маршрутизации таблицы маршрутизации формируются с помощью протоколов маршрутизации (routing protocols). Для формирования и обновления таблиц маршрутизации эти протоколы обмениваются служебной информацией, объем которой существенно зависит от количества маршрутизаторов в сети. При существенном росте объединенной сети (прежде всего Internet) в ней возникают следующие проблемы:
Производительность протоколов маршрутизации значительно снижается;
Объем служебного трафика, которым обмениваются маршрутизаторы для поддержания своих таблиц маршрутизации, растет, что требует все больших ресурсов маршрутизатора и все большей пропускной способности сети;
Большое число маршрутизаторов, работающих с протоколами маршрутизации, делают поддержку механизмов обнаружения и изоляции сбоев в сети практически невозможной.
Для того чтобы в какой-то степени снизить влияние этих факторов сеть Internet разделили на отдельные автономные системы (Autonomous System – AS). Автономная система представляет собой группу сетей и маршрутизаторов, находящихся под единым административным управлением. При подключении автономной системы к Internet, Network Information Center присваивает ей уникальный 16-разрядный номер AS, который и указывается при настройке системы. На рис. 4.5 показана одна из возможных структур AS.
Рисунок 4.5. Одна из возможных структур автономных систем
Четыре автономные системы объединены через магистраль (как правило, сеть провайдера), которые обмениваются данными только с магистралью и маршрутизаторами на магистрали. Такая структура снижает объем передачи ненужных данных, так как большая часть данных не выходит за пределы AS. Маршрутизация внутри автономной системы или домена называется внутридоменной. Маршрутизаторы, соединяющие эти области с магистралью, называются внешними, междоменными или межсистемными.
В объединенных сетях используются два типа протоколов маршрутизации: IGP (Interior Gateway Protocol – протокол внутреннего шлюза) и EGP (Exterior Gateway Protocol – протокол внешнего шлюза). Протоколы маршрутизации IGP служит для обмена информацией о путях между маршрутизаторами внутри автономной системы. К таким протоколам относятся: Routing Information Protocol (RIP), Open Shortest Path First (OSPF), Novell's Link-State Protocol (NLSP), лицензированные протоколы фирмы Cisco – Interior Gateway Routing Protocol (IGRP) и Enhanced Interior Gateway Routing Protocol (EIGRP). Протокол EGP нужен для взаимодействия между автономными системами. Примером протокола типа EGP является BGP (Border Gateway Protocol – протокол граничного шлюза)