Sb97949
.pdf10
в сетях IPv6 определены некоторые перманентные групповые IPv6-адреса. Например, аналогом адреса 224.0.0.1 для IPv6 является ff02::1 (RFC 2375).
На смену IGMP в IPv6 пришёл протокол MLD – Multicast Listener Discovery.
Для обмена информацией об участии в группах хосты и маршрутизаторы используют сообщения ICMPv6 (RFC 2710). В остальном механизм управления группами в сетях IPv6 схож с механизмом управления группами в сетях IPv4: маршрутизаторы рассылают запросы локальным хостам, а те в ответ отправляют им список всех групп, к которым принадлежат, либо подтверждение принадлежности к конкретной группе, интересующей маршрутизатор.
2.5. Назначение IP-адресов
Адрес узла может быть фиксирован (аппаратно или программно) либо назначен ему при присоединении к сети. В первом случае говорят, что узел имеет статический IP-адрес, а во втором – динамический IP-адрес.
Статический адрес назначается администратором непосредственно на узле. Для назначения динамического адреса существует несколько способов.
В «штатных условиях» динамические IP-адреса назначаются узлам сервером DHCP (Dynamic Host Configuration Protocol), он будет рассмотрен в 5.
В случае отсутствия или неработоспособности DHCP-сервера узлы должны быть способны назначить себе адрес самостоятельно. Для этого в IPv4 выделен диапазон 169.254.0.0/16 (RFC 3927), а в IPv6 – fe80::/10 (RFC 4862). Это позволяет узлам сети взаимодействовать друг с другом, однако такие адреса не маршрутизируются за пределы сети – в том числе и в Интернет.
3. МАРШРУТИЗАЦИЯ
IP-маршрутизация – это довольно простой процесс, особенно с точки зрения хоста. Если пункт назначения напрямую подключён к хосту (например, канал точка–точка) или хост включён между несколькими сетями (Ethernet или Token ring), IP-датаграмма направляется непосредственно в пункт назначения, иначе хост посылает датаграмму на маршрутизатор по умолчанию, тем самым предоставляя маршрутизатору решать вопрос как доставить датаграмму в пункт назначения. Эту простую схему реализуют практически все хосты [3].
IP-уровень может быть сконфигурирован таким образом, чтобы выполнять функции маршрутизации в дополнение к тому, что он работает в качестве сетевого интерфейса. Основная и фундаментальная разница между
11
хостом и маршрутизатором заключается в том, что хост никогда не перенаправляет датаграммы с одного своего интерфейса на другой, тогда как маршрутизатор их перенаправляет.
IP может получать датаграммы от собственных уровней TCP, UDP, ICMP и IGMP (это датаграммы, формирующиеся здесь же), которые необходимо отправить, однако датаграммы могут быть приняты с какого-либо сетевого интерфейса (эти датаграммы должны быть перенаправлены). IP-уровень имеет
впамяти таблицу маршрутизации, которую он просматривает каждый раз при получении датаграммы, которую необходимо перенаправить. Когда датаграмма принята с сетевого интерфейса, IP, во-первых, проверяет, не принадлежит ли ему указанный IP-адрес назначения или не является ли этот IP-адрес широковещательным. Если это так, то датаграмма доставляется в модуль протокола, указанный в поле протокола в IP-заголовке. Если датаграмма не предназначается для этого IP-уровня, то пакет перенаправляется (в этом случае датаграмма обрабатывается как исходящая), если IP-уровень был сконфигурирован для работы в качестве маршрутизатора, иначе датаграмма уничтожается.
Каждый пункт таблицы маршрутизации содержит следующую информацию:
IP-адрес назначения. Это может быть полный адрес хоста (host address) или адрес сети (network address), что указывается в поле флагов (описывается ниже). Адрес хоста имеет ненулевое значение идентификатора хоста и указывает на один конкретный хост, тогда как адрес сети имеет идентификатор хоста, установленный
в0, и указывает на все хосты, включённые в опредёленную сеть (Ethernet, Token Ring).
IP-адрес маршрутизатора следующей пересылки (next-hop router), или, другими словами, IP-адрес непосредственно подключённой сети. Маршрутизатор следующей пересылки принадлежит одной из непосредственно подключённых сетей, в которую можно отправить датаграммы для их доставки. Маршрутизатор следующей пересылки – это не конечный пункт назначения, однако он принимает отправленные датаграммы и перенаправляет их в направлении конечного пункта.
Флаги. Один флаг указывает, является ли IP-адрес пункта назначения адресом сети или адресом хоста. Другой флаг указывает на то, является ли маршрутизатор следующей пересылки действительно маршрутизатором или это непосредственно подключённый интерфейс.
12
Указание на сетевой интерфейс, на который должны быть переданы датаграммы для передачи.
IP-маршрутизация осуществляется по принципу «пересылка за пересылкой». Как видно из таблицы маршрутизации, IP не знает полный маршрут к пункту назначения (за исключением тех пунктов назначения, которые непосредственно подключены к посылающему хосту). Всё, что может предоставить IP-маршрутизация – это IP-адрес маршрутизатора следующей пересылки, на который отправляется датаграмма. При этом предполагается, что маршрутизатор следующей пересылки ближе к пункту назначения, чем посылающий хост. Также делается предположение, что маршрутизатор следующей пересылки напрямую подключён к посылающему хосту.
IP-маршрутизация осуществляет следующие действия:
1.Поиск в таблице маршрутизации – при этом ищется пункт, который совпадет с полным адресом пункта назначения (должны совпасть идентификатор сети и идентификатор хоста). Если пункт найден, пакет посылается на указанный маршрутизатор следующей пересылки или на непосредственно подключённый интерфейс (в зависимости от поля флагов). Как правило, так определяются каналы точка–точка, при этом другой конец такого канала, как правило, является полным IP-адресом удалённого хоста.
2.Осуществляется поиск в таблице маршрутизации пункта, который совпадет как минимум с идентификатором сети назначения. Если пункт найден, пакет отправляется на указанный маршрутизатор следующей пересылки или на непосредственно подключённый интерфейс (в зависимости от поля флагов). Маршрутизация ко всем хостам, находящимся в сети назначения, осуществляется
сиспользованием этого единственного пункта таблицы маршрутизации. (Например, все хосты локальной сети Ethernet представляются в таблицах маршрутизации именно таким образом.) Эта проверка совпадения идентификатора сети осуществляется с использованием возможной маски подсети.
3.В таблице маршрутизации ищется пункт, помеченный «по умолчанию» (default). Если пункт найден, пакет отсылается на указанный маршрутизатор по умолчанию.
13
A, .13.35 |
B, .13.33 |
Ethernet, 140.252.13
link |
IP |
|
|
hdr |
hdr |
|
|
|
|
|
|
Назначение IP = 140.252.13.33
Рассмотрим еще один пример: A имеет IP-датаграмму, которую необходимо послать на хост ftp.uu.net, IP-адрес которого – 192.48.96.9. На рисунке показан путь датаграммы к первому маршрутизатору. A просматривает свою таблицу маршрутизации, однако не находит совпадающий хост или совпадающую сеть. Он использует пункт таблицы маршрутизации по умолчанию, в соответствии с которым необходимо послать датаграмму на B, который является маршрутизатором следующей пересылки. Когда датаграмма передается от A к B, IP-адрес для неё – это конечный адрес назначения (192.48.96.9), однако адрес канального уровня – это 48-битный Ethernet-адрес интерфейса Ethernet-машины B.
Когда B получает датаграмму, он понимает, что IP-адрес назначения этой датаграммы – не его собственный, и если B сконфигурирован для выполнения функций маршрутизатора, он перенаправляет датаграмму. Происходит просмотр его таблицы маршрутизации, в результате чего выбирается пункт по умолчанию. Из этого пункта следует, что B должен перенаправить датаграмму на маршрутизатор следующей пересылки – C, IP-адрес которого, например, 140.252.13.183. Датаграмма пересылается по PPP-каналу точка–точка с использованием минимальной инкапсуляции, показанной на рисунке. Заголовок канального уровня не показан, как в случае с Ethernet, потому что его не существует для PPP-канала.
Когда C получает датаграмму, он поступает аналогично B: датаграмма не предназначается какому-либо из его IP-адресов, а поскольку C сконфигурирован так, чтобы выполнять функции маршрутизатора, он перенаправляет датаграмму. В данном случае также используется пункт таблицы маршрутизации по
14
умолчанию, при этом датаграмма посылается на маршрутизатор следующей пересылки D (140.252.1.4). Используя ARP в сети Ethernet 140.252.1, C получает
48-битный Ethernet-адрес, соответствующий адресу 140.252.1.4. Именно этот Ethernet-адрес становится адресом назначения в заголовке канального уровня.
D осуществляет те же шаги, что и 2 предыдущих маршрутизатора; в его таблице маршрутизации пункт по умолчанию указывает на адрес 140.252.104.2 как на адрес маршрутизатора следующей пересылки.
Из приведённого примера можно сделать несколько важных выводов:
1.Все хосты и маршрутизаторы в данном примере используют маршрут по умолчанию.
2.IP-адрес назначения датаграммы никогда не меняется. Все решения о маршрутизации основываются на этом адресе назначения.
Для каждого канала могут быть использованы различные заголовки канального уровня, а адрес назначения канального уровня (если присутствует) всегда содержит адрес маршрутизатора следующей пересылки. В данном примере датаграммы, инкапсулированные во фреймы канального уровня, содержали Ethernet-адрес следующей пересылки, однако PPP не содержал.
4. NAT
Трансляция сетевых адресов (Network Address Translation, NAT) –
механизм замены информации о сетевых адресах в заголовках IP-пакетов в процессе их передачи через маршрутизирующие устройства. Трансляция производится с целью отображения одного адресного пространства IP на другое, «прозрачное» для конечных пользователей.
Многие компании выбирают для своей сети частные IP-адреса, чтобы сэкономить на приобретении общих IP-адресов. Применение частных IPадресов – эффективное и недорогое решение, но оно не дает пользователям прямого доступа к Интернету. В таких случаях для обеспечения связи с Интернетом нужно преобразовывать частные IP-адреса в маршрутизируемые общие адреса. NAT позволяет небольшим компаниям, использующим схему адресации для частной сети, подключаться к ресурсам Интернета. IP-адреса, приведенные в табл. 4.1, маршрутизируемы только в частных или корпоративных сетях и не маршрутизируются в Интернете.
Если узлу сети или рабочей станции назначить такой IP-адрес, подключить его к Интернету будет невозможно.
15
|
|
Таблица 4.1 |
|
|
|
Класс сети |
Адрес сети / маска подсети |
Диапазон IP-адресов |
|
|
|
A |
10.0.0.0/8 |
10.0.0.1–10.255.255.254 |
|
|
|
B |
172.16.0.0/12 |
172.16.0.1–172.16.31.254 |
|
|
|
C |
192.168.0.0/16 |
192.168.0.11–192.168.255.254 |
|
|
|
NAT преобразует частные IP-адреса и связанные с ними номера портов TCP/UDP в общие и назначает каждому сеансу уникальный порт. Всем клиентам частной сети сопоставляется один общий IP-адрес, выданный Internet Network Information Center (InterNIC) или ISP, и каждому клиенту назначается уникальный порт, сгенерированный сервером NAT. Это сопоставление позволяет серверу NAT отправлять пакеты нужной рабочей станции в частной сети. В табл. 4.2 показано содержимое таблицы сопоставлений на компьютере с Windows Server 2008. На рисунке показан сервер NAT в небольшой сети.
|
|
|
|
|
|
|
|
|
|
|
Cетевая плата |
|
|
|
|
|
|
|
|
|
|
|
|
||
192.168.8.2 |
|
|
|
|
|
|
Cетевая плата |
|||||
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
66.x.130.77 |
|||
192.168.8.1 |
||||||||||||
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
Таблица 4.2 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Значение |
|
|
|
|
|
|
|
|
Описание |
|
||
|
|
|
|
|
|
|
|
|
|
|
||
Протокол |
Используемый для передачи пакетов протокол (TCP или UDP) |
|||||||||||
Направление |
Входящий или исходящий трафик |
|
||||||||||
Частный |
IP-адрес компьютера внутренней сети |
|
||||||||||
адрес |
|
|
|
|
|
|
|
|
|
|
|
|
Частный |
Номер частного порта, назначенного клиентскому сеансу |
|||||||||||
порт |
|
|
|
|
|
|
|
|
|
|
|
|
Общий адрес |
Маршрутизируемый общий IP-адрес, выдаётся провайдером или |
|||||||||||
|
InterNIC |
|
|
|
|
|
|
|
||||
Общий порт |
Общий порт, назначенный сеансу |
|
||||||||||
Удалённый |
Удалённый IP-адрес, к которому обращается клиент. Если клиент |
|||||||||||
адрес |
подключается к Web-сайту, это обычно IP-адрес DNS-сервера, |
|||||||||||
|
обслуживающего клиентов внутренней сети |
|
||||||||||
Удалённый |
Номер порта, назначенного сеансу. Если подключение выполняется к |
|||||||||||
порт |
удалённому DNS-серверу, будет использован порт 53 |
|||||||||||
Время |
Отводится для отслеживания записей таблицы сопоставлений. Если в |
|||||||||||
бездействия |
течение заданного периода времени через подключение не передавались |
|||||||||||
|
данные, запись удаляется, при получении от клиента новых данных |
|||||||||||
|
время бездействия сбрасывается |
|
||||||||||
16
Сервер NAT сопоставляет все частные IP-адреса общему IP-адресу 66.x.130.77, доступному из Интернета. При этом происходит следующее:
1.Клиент пытается подключиться к общему IP-адресу из внутренней частной сети.
2.Клиентский стек IP генерирует пакет, в котором указаны IP-адрес назначения (адрес узла, к которому пытается подключиться клиент), исходный IP-адрес (192.168.8.2), порт назначения (TCP или UDP), а также исходный порт.
3.IP-адрес назначения не обнаруживается в локальной подсети, поэтому пакет отправляется в основной шлюз, которым является сервер NAT.
4.NAT преобразует исходный IP-адрес клиентского пакета в общий (внешний) IP-адрес 66.x.130.77, сопоставляет исходный порт TCP или UDP, сохраняет эту информацию в таблице сопоставлений и отправляет пакет в Интернет.
5.Компьютер-получатель пакета отвечает серверу NAT, который с помощью сведений таблицы сопоставлений преобразует общий IP-адрес и номер внешнего порта в IP-заголовке в частный IP-адрес и внутренний порт клиента, которому предназначен отклик.
5. DHCP
Протокол DHCP реализован в виде службы ОС Windows Server. Роль DHCP-сервера может играть любой сервер, на котором работает служба DHCP. Сервер автоматически назначает DHCP-клиентам IP-адрес с маской подсети и другие параметры TCP/IP, такие, как IP-адреса серверов WINS, DNS, основного шлюза.
Процедура назначения IP-адреса DHCP-клиенту состоит из четырех шагов (рис. 5.1):
1.При запуске DHCP-клиент передаёт широковещательный пакет запроса DHCP-сервера. Этот этап называется фазой обнаружения аренды IP-
адреса (IP Lease Discover).
2.Все DHCP-серверы, у которых есть свободные подходящие для данной ситуации IP-адреса, посылают DHCP-клиенту пакеты предложения аренды. Эти пакеты включают МАС-адрес клиента, предлагаемый IP-адрес, маску подсети, срок действия аренды и IP-адрес DHCP-сервера, предлагающего IPадрес.
17
3.DHCP-клиент принимает предложение от первого ответившего ему DHCPсервера и посылает ему запрос аренды в виде сообщения DHCPDISCOVER с МАСадресом своей сетевой платы и своим хост-именем.
4.Этот DHCP-сервер отвечает на сообщение DHCPDISCOVER, и за клиентом закрепляется предложенный IP-адрес. Предложения же остальных DHCP-серверов просто игнорируются. Не получив подтверждения от клиента, DHCP-сервер через небольшое время освобождает этот адрес.
|
Широковещательный запрос |
|
|
обнаружения аренды |
DHCP-сервер, |
|
|
|
|
|
ответивший |
|
Предложение аренды |
клиенту первым |
|
|
|
|
Запрос аренды |
|
DHCP- |
Подтверждение аренды |
DHCP-сервер |
клиент |
|
|
|
|
Широковещательный запрос обнаружения аренды
Предложение аренды
DHCP-сервер
Рис. 5.1
Как видно из рис. 5.1, процедура назначения IP-адреса проста, но для её работы требуется определить диапазон IP-адресов или область (scope), из которой DCHP-серверу разрешено выдавать IP-адреса.
Областью DHCP называется диапазон допустимых IP-адресов, предназначенных для DHCP-клиентов. Каждому DHCP-серверу требуется по крайней мере одна область со следующими свойствами:
диапазон IP-адресов для назначения DHCP-клиентам;
маска подсети;
срок действия аренды;
параметры области DHCP, такие, как IP-адреса DNSили WINS-серверов;
18
список резервированных адресов, позволяющий назначать конкретным DHCP-клиентам конкретные, определённые администратором IP-адреса и настройки TCP/IP.
Например, если нужно, чтобы DHCP-сервер назначал IP-адреса всем рабочим станциям в подсети 192.168.1.0/24, можно настроить для него область 192.168.1.1–192.168.1.254. Разумно назначать таким хостам, как сетевые принтеры или серверы, статические IP-адреса, поэтому имеет смысл исключить эти IP-адреса из области. Назначение IP-адресов рабочим станциям и серверам большой сети с использованием DHCP экономит время, освобождая от необходимости лично посещать все рабочие станции для их настройки. Если бы DHCP-сервер назначал только IP-адреса, то IP-адреса WINS- и DNS серверов, а также основного шлюза всё равно пришлось бы назначать вручную. Но DHCP поддерживает дополнительные параметры конфигурации (таблица), что позволяет назначать DHCP-клиентам эти настройки TCP/IP.
Параметр |
Описание |
|
|
003 Router |
Назначает IP-адрес основного шлюза |
|
|
006 DNS Servers |
Настраивает IP-адрес DNS-сервера |
|
|
015 DNS Domain Name |
Настраивает имя домена DNS для разрешения имен |
|
|
044 WINS/NBNS Servers |
Назначает IP-адрес WINS-сервера |
|
|
46 WINS/NBT Node Type |
Настраивает тип узла DHCP-клиента в плане |
|
разрешения имён (возможные варианты – b-, h-, р- или |
|
m-узел) |
|
|
47 NetBIOS Scope ID |
Настраивает идентификатор области NetBIOS (редко |
|
используется на современных компьютерах). |
|
Идентификатор области NetBIOS позволяет |
|
администратору разделять NetBIOS-хосты подобно |
|
тому, как маска подсети позволяет разбивать сеть на |
|
подсети |
|
|
Агент DHCP-ретрансляции. Поскольку широковещательный трафик не передается IP-маршрутизатором, если DHCP-клиенты оказываются в подсети без DHCP-сервера (рис. 5.2), то с получением адреса будут проблемы.
Когда DHCP-клиенты из подсети А посылают широковещательный запрос для поиска DHCP-сервера, эти запросы не выходят из подсети А и не достигают DHCP-сервера, расположенного в подсети В. Эту проблему можно решить двумя способами:
19
Рис. 5.2
настроить одну или несколько рабочих станций в подсети А как агенты DHCP-ретрансляции;
настроить маршрутизатор как агент DHCP-ретрансляции.
Впервом случае такая рабочая станция, настроенная как агент DHCP-
ретрансляции, получив широковещательный запрос DHCP-клиента, передает его DHCP-серверу как одноадресный, а не широковещательный пакет, т. е. отсылает его на указанный ей раньше IP-адрес DHCP-сервера через маршрутизатор. Если же маршрутизатор совместим со стандартом DHCP/BOOTP (RFC 1542), агент DHCP-ретрансляции не нужен – эту задачу выполнит сам маршрутизатор, если, конечно, администратор не забыл его настроить.
Автоматическая частная IP-адресация (APIPA). Если DHCP-клиент пошлёт DHCP-серверу широковещательный запрос на IP-адрес в то время, когда DHCP-сервер остановлен или маршрутизатор – агент DHCP-ретран- сляции случайно выключен администратором, то широковещательный запрос не достигнет DHCP-сервера. Получит ли DHCP-клиент сообщение об ошибке из-за недоступного DHCP-сервера? Нет – его некому послать. Через некоторое время DHCP-клиент, так и не получив ответа от DHCP-сервера, может (если ему так разрешил администратор) автоматически выбрать себе IP-адрес из диапазона 169.254.0.1–169.254.255.254. Конечно, он сначала убедится, что никто другой этот адрес уже не использует. Теперь можно попытаться связаться с коллегами, которые оказались в такой же ситуации, но нужно регулярно пытаться снова получить нормальный IP-адрес от DHCP-сервера – вдруг он уже опять доступен.
Защита инфраструктуры DHCP. В сети всегда есть опасность создания неавторизованных DHCP-серверов по невнимательности (или, что хуже, по злому умыслу) пользователей. Получив от такого сервера неверную IPконфигурацию, DHCP-клиенты не смогут получать доступ к ресурсам сети.