Администрирование_в_информационных_системах_Беленькая_М_Н_

Классовые протоколы маршрутизации не содержат в обновлениях маршрутной информации информацию о подсетях. Поскольку маршрутная информация не содержит информацию о подсетях, то маршрутизатор делает предположение о маске подсети по адресу сети, пришедшему в сообщении об обновлении. Такое предположение основывается на классе IP-адреса. После получения пакета с обновлением маршрутизатор, чтобы определить сетевую составляющую IP-адреса, делает следующее:

—если обновление маршрутизации содержит тот же адрес сети, что настроен на интерфейсе, на который пришло обновление, маршрутизатор добавляет к маршруту маску подсети, определенную для интерфейса при конфигурации;

—если обновление содержит адрес сети отличный от настроенного на интерфейсе, маршрутизатор назначает адресу сети стандартную маску для класса, к которому принадлежит адрес сети.

Все подсети сети Class A, B или C при использовании классового протокола маршрутизации должны иметь ту же маску подсети. Когда производится деление на подсети адресного пространства для классовых протоколов маршрутизации, используются маски подсетей фиксированной длины FLSM. Администратор системы должен помнить, что при несоблюдении этого маршрутизатор может неправильно назначать маску подсети для полученных маршрутов.

Еще одним недостатком классовых протоколов маршрутизации является автоматическое суммирование маршрутов при переходе через границу сети.

Бесклассовые протоколы маршрутизации разрабатывались, чтобы снять ограничения, которые накладывали классовые протоколы маршрутизации. К бесклассовым протоколам относятся такие протоколы, как RIP v2, EIGRP и OSPF.

При использовании бесклассовых протоколов маршрутизации применяется технология VLSM, подсети одной сети могут иметь маски переменной длины. Таблицы маршрутизации также содержат маршруты с указанием масок подсетей. При обработке трафика в качестве маршрута, по которому он будет отправлен, выбирается маршрут с наибольшим совпадением префикса сети и действует принцип наибольшего совпадения маршрута.

В бесклассовых протоколах маршрутизации процесс суммирования маршрутов можно контролировать вручную, создавая суммарные маршруты в ключевых точках сети, причем можно суммировать по любому количеству бит в пределах адреса. Ручное суммирование маршрутов может уменьшить размер таблиц маршрутизации.

Операторами связи применяется целый ряд технологий маршрутизации для работы специальных внешних протоколов, например протокола BGP. В частности, бесклассовая междоменная маршрутизация CIDR (Classes Inter-Domain Routing) представляет собой механизм, разработанный для решения проблемы истощения IP-адресного пространства и роста размеров таблиц маршрутизации. Замысел CIDR-маршрутизации заключается в комбинировании или агрегировании в блоки множества адресов Class С. Это и позволяет создавать большие бесклассовые наборы IP-адресов. Затем эти множества адресов Class C суммируются в таблицах маршрутизации, что в результате уменьшает количество рассылаемых объявлений маршрута, т. е. схема адресации реализует адресную сверхсеть (supernet) для представления множества адресов IP. Маршрутизатор использует адреса в сверхсети, позволяющие анонсировать один маршрут для всех адресатов взамен анонсирования отдельных маршрутов по каждому адресату. Стратегия назначения адресов и агрегирования описана в RFC 1519.

Администраторам систем следует знать, что фактически определение типа протокола маршрутизации дается оператором связи при присоединении к нему ИС предприятия. Требования оператора надо учесть при создании плана IP-адресов и помнить, что не все протоколы могут использоваться в маршрутизаторах вашего предприятия. Например, если у вас уже есть маршрутизаторы, использующие версии протокола BGP ниже BGP v4, то ОС маршрутизатора не поддерживает CIDRмаршрутизацию.

7.3.3. Технология NAT

При получении пула адресов от оператора связи администратор системы может столкнуться еще с одной проблемой — с нехваткой их для своей сети. Для максимально эффективного использования зарегистрированных IP-адресов программное

обеспечение маршрутизаторов использует службу преобразования адресов NAT (Network Address Translation). Соответствующая служба программного обеспечения представляет собой реализацию рекомендаций RFC 1631. Она представляет собой способ использования одних и тех же IP-адресов в нескольких внутренних подсетях, уменьшая тем самым потребность в зарегистрированных IP-адресах.

Технология NAT позволяет корпоративным IP сетям, которые используют незарегистрированные IP-адреса (частные), подсоединяться к открытой сети передачи данных, такой как Internet. Маршрутизатор NAT располагается на границе тупикового домена (внутренней сети) и открытой сети (внешней) и преобразует внутренние локальные адреса в уникальные глобальные IP-адреса перед отправкой пакетов во внешнюю сеть.

Трансляция, выполняемая NAT, может быть статической либо динамической.

Статическая трансляция осуществляется при ручной конфигурации таблицы преобразования адресов. Определенные внутренние адреса преобразуются в указанные внешние адреса. Внутренняя часть таблицы адресов однозначно отображается во внешнюю часть таблицы.

Динамическое преобразование происходит, когда на граничном маршрутизаторе сконфигурирован пул внешних адресов, в которые можно транслировать внутренние адреса. Может применяться несколько пулов внешних адресов.

Множество внутренних хостов могут использовать один внешний IP-адрес для экономии адресного пространства. Совместное использование адреса выполняется мультиплексированием порта или заменой исходного порта на исходящих пакетах таким образом, чтобы ответные пакеты смогли быть отправлены на соответствующий хост. Эта возможность называется трансляцией адреса на основе порта PAT (Port Address Translation) или перегрузкой.

Чтобы разобраться с концепцией и конфигурацией NAT, необходимо понять терминологию, используемую NAT.

Все IP-адреса могут быть классифицированы как внутренние и внешние или как местные (локальные) и глобальные (рис. 7.8.)

Внутренние и внешние IP-адреса определяют физическое расположение хостов относительно устройства NAT.

Рис. 7.8. Классификация IP адресов в технологии NAT

Локальные и глобальные IP-адреса определяют местоположение пользователя относительно устройства NAT.

Например, внутренний глобальный адрес является адресом хоста в локальной сети, с точки зрения пользователя, находящегося в глобальной сети. Это тот адрес, которым воспользуется пользователь глобальной сети, чтобы обратиться к ресурсам хоста в локальной сети.

Внутренняя, или локальная, — это одна сторона устройства NAT, которая обычно обозначает внутреннюю, или частную, сеть. Внешняя, или глобальная, — это сторона NATустройства, обычно обозначающая внешнюю, или общедоступную, сеть.

Ключевым отличием является то, что термин внутренний/внешний применяется к местоположению хоста, а локальный/глобальный — к местоположению пользователя.

Маршрутизатор NAT осуществляет трансляцию внутренних локальных адресов в глобальные зарегистрированные адреса перед отправкой их во внешнюю сеть. Служба NAT использует факт, что относительно немногие хосты тупикового домена ИС выходят во внешнее пространство домена в одно и то же время. По этой причине лишь немногие IP-адреса тупикового домена должны транслироваться в глобальные уникальные IP-адреса.

Приведем пример конфигурации службы динамического NAT на маршрутизаторах Cisco c операционной системой IOS.

Службам администратора системы необходимо выполнить следующие шаги.

Шаг 1. В качестве подготовительного этапа сконфигурировать на маршрутизаторе IP-маршрутизацию и указать соответствующие IP адреса.

Шаг 2. Далее необходимо задать стандартный IP список доступа с помощью команды access-list.

Шаг 3. Указать пул адресов для службы NAT протокола IP с помощью команды ip nat pool.

Шаг 4. Выполнить привязку списка доступа к пулу службы NAT с помощью команды ip nat inside source list.

Шаг 5. Включить службу NAT, по крайней мере, на одном внутреннем и на одном внешнем интерфейсе с помощью команды ip nat {inside | outside}.

Транслироваться будут только пакеты, перемещающиеся между внутренними и внешними интерфейсами. Например, если пакет получен на внутреннем интерфейсе и не направляется во внешний интерфейс, то его адрес не будет преобразован.

Приведем пример команд IOS Cisco:

ip nat pool dyn–nat 192.168.2.1 192.168.2.254 netmask 255.255.255.0 ip nat inside source list 1 pool dyn–nat

!

interface Ethernet 0

ip address 10.1.1.10 255.255.255.0 ip nat inside

!

interface Serial 0

ip address 172.16.2.1 255.255.255.0 ip nat outside

!

access–list 1 permit 10.1.1.0 0.0.0.255

!

Теперь рассмотрим пример конфигурации перегрузки внутренних глобальных адресов.

Шаг 1. В качестве подготовительного этапа сконфигурировать на маршрутизаторе IP–маршрутизацию и указать соответствующие IP-адреса.

Шаг 2. Сконфигурировать службу динамического преобразования адресов.

Шаг 3. После того, как сконфигурирован список доступа для пула адресов службы NAT, необходимо ввести команду ip nat inside source list

Шаг 4. Включить службу NAT на соответствующих интерфейсах с помощью команды ip nat {inside | outside}.

ip nat pool ovrld–nat 192.168.2.2 192.168.2.2 netmask 255.255.255.0 ip nat inside source list 1 pool ovrld–nat overload

!

interface Ethernet 0/0

ip address 10.1.1.10 255.255.255.0 ip nat inside

!

interface Serial 0/0

ip address 172.16.2.1 255.255.255.0 ip nat outside

!

access–list 1 permit 10.1.1.0 0.0.0.255 access–list 2 permit 10.1.1.127

Администратор системы должен проверить результаты своей деятельности. Для этого в ОС IOS можно использовать специальные команды show ip nat translation show. Приведем пример вывода информации для статической конфигурации адресов

Сервисы NAT могут быть использованы и в целях защиты от несанкционированного доступа ИС. Но эта проблема в рамках решения ее для ИС в целом обсуждается в главе 10.

Еще раз обращаем внимание на то, что даже самая простая задача из всех задач последней мили — создание плана адресов требует подробного изучения сетевых технологий и технологий Интернет [10, 21, 22, 26].

Дополнительная информация

1.www.wimaxforum.org

2.www.broadbandforum.com

3.www.adsl.com

4.www.paradyne.com

5.www.mobilecomputing.com

6.www.wirelessdata.org

7.www.broadband-guide.com — Международные акты и постановления по беспроводным технологиям

8.www.ti.com/cs/data/wireless/panosl.pdf — Обзоры и технологии беспроводных систем

9.www.ti.com/cs/docs/wireless/cellterm.htm — Толковый словарь беспроводных технологий

Контрольные вопросы

1.Что принято называть последней милей?

2.Что такое базовый доступ и первичный доступ?

3.Какова архитектура сети xDSL-доступа?

4.Когда следует использовать технологию HDSL?

5.Когда следует использовать технологии ADSL и VDSL?

6.В каких частотных диапазонах работают беспроводные сети?

7.Какие проблемы при организации беспроводного доступа должен учесть АС?

8.Какие основные действия должен осуществить администратор системы по подключению к узлу оператора связи?

Глава 8

АДМИНИСТРИРОВАНИЕ ПРОЦЕССА ПОИСКА И ДИАГНОСТИКИ ОШИБОК

Процесс поиска и диагностики ошибок в ИС может быть чрезвычайно сложным и многосторонним. В данном случае он будет рассматриваться на основе поиска и диагностики ошибок сетевых систем. Но поскольку практически любой специалист по информационным технологиям сталкивается в настоящее время со средой протоколов TCP/IP, особое внимание и место в этой главе уделено практическому решению проблем, возникающих при их использовании. Как уже отмечалось, администрирование систем осуществляется на основе различных моделей управления, а администрирование сетевых систем — на основе модели FCAPS, согласно которой, все аспекты управления сетью могут быть описаны с помощью пяти областей управления.

Как уже отмечалось, рекомендации ITU-T X.700 и близкий к ним стандарт ISO 7498-4 делят задачи системы управления на пять функциональных групп:

(F)Fault Management (управление отказами) — обнаружение отказов в устройствах сети, сопоставление аварийной информации от различных устройств, локализация отказов и инициирование корректирующих действий.

(C)Configuration Management (управление конфигурированием) — возможность отслеживания изменений, конфигурирования, передачи и установки программного обеспечения на всех устройствах сети.

(A)Accounting Management (управление учетом) — возможность сбора и передачи учетной информации для генерации отчетов об использовании сетевых ресурсов.

(P)Performance Management (управление производительностью) — непрерывный источник информации для мониторинга показателей работы сети (QoS, ToS) и распределения сетевых ресурсов.

(S)Security Management (управление безопасностью) — возможность управления доступом к сетевым ресурсам.

В данной главе рассматриваются вопросы первой группы — управление администрацией системы отказами и соответствующие действия по поиску и диагностике ошибок системы, приводящих к отказам или ухудшению производительности системы.

8.1.Задачи функциональной группы F. Двенадцать задач управления

при обнаружении ошибки

Эта группа задач включает выявление, определение и устранение последствий сбоев и отказов в работе сети. На этом уровне выполняется не только регистрация сообщений об ошибках, но и их фильтрация, маршрутизация и анализ на основе знаний и опыта администратора системы [64]. Фильтрация позволяет выделить только важные сообщения из весьма интенсивного потока сообщений об ошибках, который обычно наблюдается в большой сети. Маршрутизация обеспечивает их доставку нужному элементу системы управления, а корреляционный анализ позволяет найти причину, породившую поток взаимосвязанных сообщений. Например, обрыв кабеля может быть причиной большого количества сообщений о недоступности сетей и серверов.

Устранение ошибок в системе может быть автоматическим и полуавтоматическим. При автоматическом устранении ошибок ИС непосредственно управляет оборудованием или программными комплексами и обходит отказавший элемент за счет резервных каналов или специальных технологий, например протоколов. В полуавтоматическом режиме основные решения и действия по устранению неисправности выполняют службы администратора системы, а специализированная система управления MS (Management System) только помогает в организации этого процесса, например, оформляет квитанции на выполнение работ и отслеживает их поэтапное выполнение. Система MS — это специализированное программное обеспечение (ПО), например HP Open View, которое ведет журнал ошибок, собирает статистику, фиксирует конфигурации средств системы, опознает тревожные ситуации. Но это ПО только помогает администратору системы и не устраняет

Рис. 8.1. Функциональная схема работы NMS

SDB — сервер БД; FS — файл-сервер; switch — коммутатор

аппаратные или кабельные проблемы. Для управления только сетевыми системами используют NMS (Network Management System). Обычно при реализации своих функций NMS использует протокол SNMP. На рис. 8.1 приведена функциональная схема работы NMS.

Дадим пояснения к схеме работы NMS. SYSLOG — это сервер, который собирает все журналы (логи) системы, например журнал ошибок, журнал сообщений. На коммутаторе работает программный продукт — SNMP-агент, который посылает информацию о своей деятельности по протоколу SNMP специальному серверу NMS, где работает другой программный продукт — SNMP-менеджер. Агенты SNMP могут работать и на файл-сервере (FS) и на сервере БД (DBS). Информация собирается менеджером в БД MIB для дальнейшего анализа и соответствующих действий администратора системы и NMS.

В группе задач F иногда выделяют особую подгруппу задач управления проблемами, подразумевая под проблемой сложную ситуацию, требующую для разрешения обязательного привлечения квалифицированных администраторов систем и технических служб для решения вопросов в ручном режиме. То есть проблема разрешается без NMS с использованием дополнительных программных и аппаратных средств (прото-