Концентратор
Рис. 6.3. Схематичное отображение сетевой топологии
типа «звезда»
При этом сетевое оборудование центрального абонента должно быть существенно более сложным, чем оборудование периферийных абонентов. Как правило, центральный абонент является самым мощным, и именно на него возлагаются все функции по управлению обменом. Никакие конфликты в сети с топологией «звезда» в принципе невозможны, так как управление полностью централизовано, конфликтовать нечему.
«Звезда» устойчива к отказам компьютеров, так как выход из строя периферийного компьютера никак не отражается на функционировании оставшейся части сети, зато любой отказ центрального устройства делает сеть полностью неработоспособной. Обрыв любого кабеля или короткое замыкание в нем при топологии «звезда» нарушает обмен только с одним компьютером, а все остальные компьютеры могут нормально продолжать работу.
В отличие от шины, в звезде на каждой линии связи находятся только два абонента (один приемник и один передатчик), что существенно упрощает сетевое оборудование по сравнению с шиной. Проблема затухания сигналов в линии связи также решается в «звезде» проще, чем в «шине», так как ведь каждый приемник всегда получает сигнал одного уровня.
Топология типа «Кольцо»
Это топология (рис.6.4), в которой каждый компьютер соединен линиями связи только с двумя другими, т.е. от одного он только получает информацию, а другому только передает.
При этом на каждой линии связи, как и в случае «звезды», работает только один передатчик и один приемник. Это позволяет отказаться от применения внешних терминаторов.
Важная особенность «кольцевой) топологии состоит в том, что каждый компьютер ретранслирует (восстанавливает) приходящий к нему сигнал, то есть выступает в роли так называемого репитера, поэтому затухание сигнала во всем кольце не имеет никакого значения, важно только затухание между соседними компьютерами «кольца».
Четко выделенного центра в данном случае нет, все компьютеры могут быть одинаковыми. Однако довольно часто в «кольце» выделяется специальный абонент, который управляет обменом или контролирует обмен.
Рис. 6.4. Схематичное отображение сетевой топологии
типа «кольцо»
Понятно, что наличие такого управляющего абонента снижает надежность сети, так как выход его из строя сразу же парализует весь обмен.
Так как сигнал в кольце проходит через все компьютеры сети, выход из строя хотя бы одного из них (или же его сетевого оборудования) нарушает работу всей сети в целом. Точно так же любой обрыв или короткое замыкание в любом из кабелей «кольца» делает работу всей сети невозможной. Кольцо наиболее уязвимо к повреждениям кабеля, поэтому в этой топологии обычно предусматривают прокладку двух (или более) параллельных линий связи, одна из которых находится в резерве.
В то же время серьезным преимуществом «кольца» является то, что ретрансляция сигналов каждым абонентом позволяет существенно увеличить размеры всей сети в целом (до десятков километров).
Недостатком «кольца» (по сравнению со «звездой») можно считать то, что к каждому компьютеру сети необходимо подвести два кабеля.
Стандратные ACL (Standard ACLs).
ACL (Access-lists, списки доступа) позволяют фильтровать трафик только по адресу отправителя по причине синтаксиса, в котором отражён лишь IP-адрес устройства, с которого должен фильтроваться поток данных.
router(conf)# access-list <1-99> <permit | deny | remark> source [source-wildcard]
Пример
router(conf)# access-list 10 permit 192.168.0.0 0.0.0.255
Как видно, любой ACL имеет строгую структуру. У него есть идентификатор (в данном примере – 10), который позволяет осуществить привязку ACL к чему-либо; правило, которое определяет действия с трафиком (в данном примере «permit» т.е. разрешить), и, собственно, адрес отправителя, с которого был отправлен пакет данных.
Работает это следующим образом:
Если информация (трафик) получен из сети 192.168.0.0/24 (обратите внимание, в синтаксисе стандартных Access-lists используется обратная маска – wildcard типа 0.0.0.255, ей будет соответствовать прямая 255.255.255.0) то, руководствуясь списком доступа под номером 10, мы пропускаем его.
В случае, когда сообщение не попало под это правило, то в конце любого ACL существует «неявное» (от англ. “Implicit”) правило отброса всего остального трафика, т.е. любой поток данных, который попадает под действие списка управления доступом №10 и не исходит из сети 192.168.0.0/24, будет отброшен.
Остается только определить, попадает ли трафик под действие ACL. Для этого списки управления доступом привязываются при помощи команды связки к интерфейсам.
router(conf-if)# ip access-group <1-99> <in | out>
Пример
router(conf-if)# ip access-group 10 in
Как видно из примера, настройка происходит из режима конфигурации интерфейса (conf-if) и ACL будет иметь имя Access-group.
Кроме определения того, на каком порту устройства применять список управления доступом, надо ещё указать направление, в котором трафик будет фильтроваться (на вход или на выход). Для стандартных ACL имеет смысл ставить режим «на вход», так как фильтрация осуществляется исходя из IP-адреса отправителя.
Необходимо отметить так называемый «побочной эффект», заключающийся в том, что такие ACL «ставятся» как можно ближе к пункту назначения, чтобы охватить весь поток трафика и не расходовать ресурсы системы, так как на фильтрацию они затрачиваются весьма активно.
Расширенные ACL (Extended ACLs)
Применение расширенных списков управления доступом представляется более гибким инструментом управления. кроме адреса отправителя, они могут содержать в себе информацию о типе протокола, номере порта, а также (или/и) адрес получателя. Следовательно, данный тип списка управления доступом функционально богаче, а сам список функций – шире. В отличие от стандартных ACL расширенные могут найти широкое применение в зависимости от потребностей администратора. Настройка Extended ACL имеет следующий вид:
router(conf)# access-list acl-number <permit|deny> <ip|icmp|ospf|eigrp...> source source-wildcard destination destination-wildcard
router(conf)# access-list acl-number <deny|permit> <tcp|udp> source source-wildcard [operator [port]] destination destination-wildcard [operator [port]] [log]
Пример
R1(conf)# access-list 100 deny tcp host 10.0.3.2 host 192.168.3.10 eq 3389
R1(conf)# access-list 100 deny tcp host 10.0.3.1 any eq 80
R1(conf)# access-list 100 permit ip 10.0.3.0 0.0.0.255 any
R1(conf)# access-list 100 deny ip any any
Имена Extended ACL имеют диапазон 100 ÷ 999, а синтаксис инструкций похож на управление стандартными ACL.
Как стандартные, так и расширенные списки управления доступом могут иметь несколько строк, причём выполнение условий осуществляется сверху вниз построчно.
Приоритет у любой команды равный. Меньший приоритет только у правил неявного запрета: логика подсказывает, что это сделано для того, чтобы трафик имел возможность прохода через устройство.
Конфигурация NAT
Конфигурация NAT выглядит следующим образом (рис.6.5).
Рис. 6.5. Внешний вид сетевой топологии с применением
технологии статического NAT
Инструкции при настройке данной технологии имеют следующий вид:
Router#conf t
Router(config)#ip route 0.0.0.0 0.0.0.0 gigabitEthernet 0/1
%Default route without gateway, if not a point-to-point interface, may impact performance
Router(config)#interface gigabitEthernet 0/0
Router(config-if)#ip address 192.168.0.1 255.255.255.0
Router(config-if)#no shutdown
%LINK-5-CHANGED: Interface GigabitEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to up
Router(config-if)#ip nat inside
Router(config-if)#exit
Router(config)#interface gigabitEthernet 0/1
Router(config-if)#ip address 11.0.0.1 255.255.255.0
Router(config-if)#no shutdown
%LINK-5-CHANGED: Interface GigabitEthernet0/1, changed state to up
Router(config-if)#ip nat outside
Router(config-if)#exit
Router(config)#ip nat inside source static 192.168.0.2 11.0.0.3
При анализе введенных инструкций может возникнуть вопрос о необходимости 2-х интерфейсов inside и outside, когда использование одного представляется более логичным.
Для ответа на него рассмотрим трансляции пошагово.
Прямая трансляция
1. Трафик, получаемый с помощью интерфейса, обозначенного inside, если он соответствует тому, что необходимо транслировать, маркируется как возможно транслируемый, однако трансляция в этот момент не происходит.
2. На следующем этапе трафик подвергается маршрутизации. Если при этом трафик направляется на интерфейс, помеченный как outside - трансляция осуществляется. Если трансляция динамическая, то маршрутизатор проверяет ее наличие в таблице трансляций. Если ее там нет – то она создается, если не она есть - то обнуляется счетчик неактивности. Если же пакет приходит на выход интерфейса, не помеченного как outside, то трансляция НЕ осуществляется.
Обратная трансляция.
Трафик, «попадая» на outside интерфейс, в отличие от прямой трансляции, сначала подвергается трансляции с применением технологии NAT. Если трансляция существует (динамическая или статическая), то в случае с inside source NAT у него меняется параметр destination. И только после этого трафик подвергается маршрутизации и перенаправляется по назначению.
Поэтому маркировать интерфейсы как inside и outside необходимо, именно принимая во внимание механизм этой работы.
Необходимо рассмотреть особенности маршрутизации, если существует несколько адресов.
Если количество хостов, с которых необходимо выходить в интернет, увеличивается, то в этом случае необходимо использовать Dynamic NAT.
Принцип маршрутизации при этом тот же, однако, возможности (функционал) Dynamic NAT позволяет использовать пулы (диапазоны) IP-адресов.
Причём, возможна настройка таким образом, чтобы все хосты локальной сети получали доступ к сервисам Интернет через один и тот же официальный IP-адрес по очереди. В таком случае конфигурация маршрутизатора несколько изменится, как показано ниже:
Router#conf t
Router(config)#ip route 0.0.0.0 0.0.0.0 gigabitEthernet 0/1
Router(config)#interface gigabitEthernet 0/0
Router(config-if)#ip address 192.168.0.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#ip nat inside
Router(config-if)#exit
Router(config)#interface gigabitEthernet 0/1
Router(config-if)#ip address 11.0.0.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#ip nat outside
Router(config-if)#exit
Router(config)#ip nat pool Test 11.0.0.2 11.0.0.10 netmask 255.255.255.0
Router(config)#access-list 10 permit 192.168.0.0 0.0.0.255
Router(config)#ip nat inside source list 10 pool Test
Как видно, в этом случае добавляется список управления доступом, который определяет, какие хосты имеют право пользоваться NAT-ом, а также добавляется пул адресов, которые выделяются для доступа в Интернет (приобретены у провайдера). В остальном все также, как в случае статического NAT.
Однако, остается нерешенной проблема одновременного доступа в Интернет устройств (хостов), количество которых превышает количество выделенных, т.н. «белых» адресов.
Для решения такой задачи применяется технология PAT (Port Address Translation, или трансляция порт-адрес).
При этом для доступа в интернет будет использован один адрес + порт, который для каждого хоста локальной сети будет отличаться.
Например, наш выделенный или «белый» IP - 11.0.0.2, но нам необходимо, чтобы одновременно доступ к сервисам Интернет мог быть организован с хостов с адресами:
192.168.0.11;
192.168.0.12;
192.168.0.13;
192.168.0.14.
В этом случае каждый из них будет выходить в глобальную сеть, имея привязку адрес+порт как показано в табл.6.1:
Таблица 5.1
Привязка адрес+порт по технологии PAT
Адрес в локальной |
Адрес в глобальной сети |
192.168.0.11 |
11.0.0.2 port 678 |
192.168.0.12 |
11.0.0.2 port 664 |
192.168.0.13 |
11.0.0.2 port 679 |
192.168.0.14 |
11.0.0.2 port 456 |
Имена портов берутся из диапазона, не зарезервированного за определёнными протоколами, и, в сущности, служат средством распознавания того или иного хоста в локальной сети.
Пример: Получая доступ в Интернет хост 192.168.0.12 будет всегда иметь адрес 11.0.0.2 и все службы Интернет будут «знать» его именно под этим адресом, а порт значения не имеет. Однако, пакеты данных, адресованные в нашу локальную сеть, должны попасть в адрес хоста 192.168.0.12 и именно для распознавания этого хоста будет использован порт 664. Пакет данных, попадая на пограничный маршрутизатор, в процессе обратной трансляции конвертирует связку «IP-адрес+port» в адрес 192.168.0.12.
В этом случае настройки PAT изменятся и будут следующими:
Router#conf t
Router(config)#ip route 0.0.0.0 0.0.0.0 gigabitEthernet 0/1
Router(config)#interface gigabitEthernet 0/0
Router(config-if)#ip address 192.168.0.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#ip nat inside
Router(config-if)#exit
Router(config)#interface gigabitEthernet 0/1
Router(config-if)#ip address 11.0.0.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#ip nat outside
Router(config-if)#exit
Router(config)#access-list 10 permit 192.168.0.0 0.0.0.255
Router(config)# ip nat inside source list 10 interface gigabitEthernet 0/1 overload