Yazov_ITKS
.pdfперенос. Никакая обработка информационного поля (например, контроль наличия ошибок) на уровне АТМ не выполняется. Граница между уровнем АТМ и уровнем адаптации соответствует границе между функциями, относящимися к заголовку, и функциями, относящимися к информационному полю.
Назначением уровня адаптации АТМ является определение процедур, в соответствии с которыми выполняется преобразование блоков данных верхних уровней в поток ячеек АТМ. Для того чтобы преобразование в ячейке оптимальным образом соответствовало типу трафика пользователя, применяется несколько стандартных уровней адаптации АТМ: ATM Adaptation Layer1 (AAL1), ATM Adaptation Layer3/4 (AAL3/4), ATM Adaptation Layer5 (AAL5).
Уровень адаптации AAL1 предназначен для обеспечения передачи по сетям АТМ трафика типа CBR (оцифрованный голос, видеоконференции).
Уровень адаптации AAL3/4 предназначен для обеспечения передачи по сетям АТМ блоков данных SMDS
(Switched Multi megabit Data Service).
Уровень адаптации AAL5 наиболее часто используется для передачи по сетям АТМ трафика локальных вычислительных сетей и имеет специальное название - SEAL (Simple and Efficient Adaptation Layer).
С точки зрения защиты информации в технологии ATM предусмотрено управление сетью в интересах обеспечения ее устойчивого функционирования, включающее управление конфигурацией, отказами, производительностью сети, а также управление учетными записями и использование известных механизмов, таких как аутентификация и шифрование.
71
Базовая технология MPLS (англ. multiprotocol label switching – многопротокольная коммутация по меткам) – технология передачи данных от одного узла сети к другому с помощью меток [1, 8, 9]. В сети, основанной на MPLS, пакетам данных присваиваются метки, при этом решение о дальнейшей передаче пакета данных другому узлу сети осуществляется только на основании значения присвоенной метки без необходимости изучения самого пакета данных. За счет этого возможно создание сквозного виртуального канала, независимого от среды передачи и использующего любой протокол передачи данных. По виду коммутации MPLS относится к сетям с коммутацией пакетов.
Технология MPLS была разработана в конце 90-х годов прошлого века. Она основана на формировании заголовка MPLS, добавляемого к каждому пакету данных. Заголовок MPLS может состоять из одной или нескольких «меток». Несколько записей (меток) в заголовке MPLS называются стеком меток. Каждая запись в стеке меток состоит из следующих четырех полей:
поле значения метки (англ. Label); занимает 20 бит;
поле класса трафика (англ. Traffic Class), необ-
ходимое для реализации механизмов качества обслуживания и явного уведомления о перегруз-
ке (англ. Explicit Congestion Notification, ECN),
занимает 3 бита;
флаг дна стека (англ. Bottom of stack); если флаг установлен в 1, то это означает, что текущая метка последняя в стеке, занимает 1 бит;
поле TTL (Time to live), необходимое для предотвращения петель коммутации, занимает 8 бит.
MPLS-метки включаются в заголовок пакета MPLS, который вставляется в пересылаемый IPпакет (рис. 1.24).
72
Заголовок |
MPLS- |
Заголовок |
Данные L3 |
|
канального |
заголовок |
сетевого |
||
|
||||
уровня |
|
уровня |
|
|
|
|
|
|
Рис. 1.24. Структура кадра MPLS со встроенным заголовком
Каждый маршрутизатор работает с первой меткой в стеке, пока пакет не достигнет пункта назначения предписанного ею маршрута. Маршрутизатор, выполняющий маршрутизацию пакетов данных, основываясь только на значении метки, называется LSR (англ. Label Switching Router — коммутирующий метки маршрутизатор). Маршрутизаторы, расположенные на входе или выходе сети MPLS, называются LER (англ. Label Edge Router — граничный маршрутизатор меток). LER на входе в сеть MPLS добавляют метки к пакетам данных, а LER на выходе из сети MPLS удаляют метки из пакетов данных. Когда пакет IP достигает магистрали на базе MPLS, он в первую очередь классифицируется по адресу назначения или по принадлежности к определенной клиентской сети, затем снабжается одной или несколькими метками и направляется дальше. На каждом транзитном узле верхняя метка заменяется на новую, после чего пакет передается следующему соседу. Для взаимного информирования о назначаемых метках маршрутизаторы используют стандартизованный протокол распределения меток LDP (Label Distribution
Protocol).
Архитектура MPLS предусматривает два метода распределения меток: по запросу и без него. В первом случае маршрутизаторы LSR запрашивают создание метки для соединения, во втором – самостоятельно извещают соседей о назначенных метках без каких-либо запросов. Использование стека меток и протокола резервирования ре-
73
сурсов RSVP (Resource Reservation Protocol) обеспечивает явную коммутацию пакетов через так называемые туннели в сети MPLS, что повышает эффективность загрузки каналов в сети с альтернативными путями, так как определенный трафик с меткой идет по конкретному пути с заданными параметрами качества обслуживания.
Сети, построенные по технологии MPLS, работают совместно с протоколом IP (Internet Protocol), поэтому такую технологию иногда называют IP/MPLS. Пример такой сети MPLS показан на рис. 1.25.
IP-сеть |
|
IP-сеть |
|
|
LER 3 |
|
LER 2 |
|
|
MPLS-сеть |
|
|
LSR 6 |
LSR 7 |
|
|
|
IP-сеть
|
|
LSR 8 |
LER 1 |
|
|
|
|
LER 4 |
|
LER 5 |
|
IP-сеть |
Однонаправленные |
IP-сеть |
виртуальные каналы |
|
Рис. 1.25. Сеть, построенная по технологии MPLS
Наиболее значимые решения в архитектуре MPLS – возможность разделения IP-трафика и создания частных виртуальных сетей (Virtual Private Network – VPN, см. раз-
дел 4), а также независимость адресных пространств операторской и клиентских сетей.
74
Построенные на основе технологий MPLS сети VPN отличаются исключительно высокой масштабируемостью, простотой настройки и естественной интеграцией с другими сервисами.
Разделение трафика и изоляция сетей обеспечиваются автоматической фильтрацией маршрутных объявлений и применением туннелей MPLS для передачи клиентского трафика по внутренней сети провайдера.
Маршрутная информация из сети клиента с помо-
щью протокола BGP (Borger Gateway Protocol) попадает только в сети этого же клиента.
Маршрутизаторы разных клиентов не имеют маршрутной информации друг о друге и сети провайдера, чем и достигается изоляция сетей. Использование маршрутизаторами MPLS-туннелей связывает сети клиентов и снимает необходимость иметь маршрутную информацию на всех маршрутизаторах в сети оператора. Сведения о клиентских маршрутах имеются только на пограничных маршрутизаторах оператора, к которым непосредственно подключены эти клиенты. Данные маршрутизаторы разделяют внутреннюю операторскую и клиентские таблицы маршрутизации
спомощью технологии VRF (VPN Routing and Forwarding),
суть которой состоит в том, что на граничном устройстве создается по одной VRF-таблице для каждого клиента. А ограничение маршрутной информации пределами отдельного VPN изолирует адресные пространства разных VPN. Повышение уровня защищенности MPLS/VPN достигается
спомощью устанавливаемых в сетях клиентов или сети провайдера традиционных средств аутентификации и шифрования, например IPSec (см. раздел 1.3).
Основные преимущества технологии IP/MPLS: более высокая скорость продвижения IP-пакетов по сети за счет сокращения времени обработки маршрутной инфор-
75
мации и возможность организации информационных потоков в каналах связи. С помощью меток каждому информационному потоку (например, несущему телефонный трафик) может назначаться требуемый класс обслуживания.
1.3. Адресация и маршрутизация в информационнотелекоммуникационных системах
Адресация и маршрутизация в ИТКС рассматривается применительно к наиболее распространенному стеку протоколов TCP/IP9, применяемому не только в Internet, но и в подавляющем большинстве корпоративных и локальных сетей [1 - 3].
Каждый компьютер в сети, использующей стек TCP/IP, имеет адреса трех видов.
1.Физический или локальный адрес узла, определяемый технологией, с помощью которой построена отдельная сеть, в которую входит данный узел. Для узлов, входящих в локальные сети, - это МАС-адрес сетевого адаптера или порта маршрутизатора. Для узлов, входящих в глобальные сети, такие как Х.25 или Frame Relay, локальный адрес назначается администратором глобальной сети;
2.Сетевой или IP-адрес, который назначается всем узлам сети администратором во время конфигурирования компьютеров и маршрутизаторов. IP-адрес состоит из двух частей: номера сети и номера узла. Номер сети может быть выбран администратором произвольно, либо назначен по
рекомендации специального подразделения Internet
9 Стеком протоколов называется иерархически организованная совокупность протоколов. Стек протоколов TCP/ IP назван по аббревиатурам двух основных протоколов этого стека: TCP (Transmission Control Protocol) и IP (Internet Protocol). О протоколе TCP более подробно из-
лагается в следующем разделе
76
(Network Information Center, NIC), если сеть должна рабо-
тать как составная часть Internet. Обычно провайдеры услуг Internet получают диапазоны адресов у подразделений NIC, а затем распределяют их между своими абонентами.
Номер узла в протоколе IP назначается независимо от локального адреса узла. Деление IP-адреса на поле номера сети и номера узла - гибкое, и граница между этими полями может устанавливаться весьма произвольно. Узел может входить в несколько IP-сетей. В этом случае узел должен иметь несколько IP-адресов по числу сетевых связей. Таким образом, IP-адрес характеризует не отдельный компьютер или маршрутизатор, а одно сетевое соединение.
3. Мнемонический адрес или символьный иденти- фикатор-имя, например, rtr.ru. Этот адрес назначается администратором и состоит из нескольких частей, например, имени машины, имени организации, имени домена. Такой адрес, называемый также DNS-именем10, используется пользователями и стандартами на прикладном уровне.
MAC-адрес в соответствии со стандартами IEEE может быть одним из трех типов:
физический адрес одного сетевого интерфейса;
широковещательный сетевой адрес;
групповой адрес.
Например, физический адрес одного сетевого интерфейса в шестнадцатеричном счислении может иметь вид: 11-A0-17-3D-BC-01, широковещательный –
0xFFFFFFFFFFFF, а групповой – 01-00-5E-0F-00-00.
10 В соответствии с аббревиатурой названия службы Domain Name System (DNS). Служба DNS предназначена для автоматического поиска IP-адреса по известному символьному имени узла
77
Физический адрес одного сетевого интерфейса содержит 48 разрядов (6 байтов), разделенных на четыре части. Первые 3 байта (в порядке их передачи по сети это старшие 3 байта, если рассматривать их в традиционной бит-реверсной шестнадцатеричной записи MAC-адресов) содержат 24-битный уникальный идентификатор органи-
зации (Organizational Unique Identifier, OUI) – фирмы про-
изводителя. Младшие 3 байта содержат «номер интерфейса», который устанавливается на заводе и является уникальным для каждого выпущенного устройства. Номер интерфейса производитель получает в IEEE. При этом используются только младшие 22 разряда, два старших имеют специальное назначение:
первый бит (младший бит первого байта) указывает, для какого адресата предназначен кадр: для одиночного (0) или группового (1);
следующий бит указывает, является ли MACадрес глобально (0) или локально (1) админи-
стрируемым.
Следующие три байта выбираются изготовителем для каждого экземпляра устройства.
Таким образом, глобально администрируемый MAC-адрес устройства уникален и обычно «зашит» в аппаратуру. Администратор сети имеет возможность, вместо использования «зашитого», назначить устройству MACадрес по своему усмотрению. Такой локально администрируемый MAC-адрес выбирается произвольно и может не содержать информации об OUI.
Существует распространенное мнение, что MACадрес жестко «вшит» в сетевую карту и сменить его нельзя или можно только с помощью программатора. На самом деле это не так. MAC-адрес легко меняется программным путем, так как значение, указанное через драйвер, имеет
78
более высокий приоритет, чем зашитое в плату. Однако всё же существует оборудование, в котором смену MACадреса произвести невозможно иначе, как воспользовавшись программатором. Обычно это телекоммуникационное оборудование, например, приставки для IP-TV.
В некоторых устройствах, оснащённых вебинтерфейсом управления, возможна смена MAC-адреса во время настройки. Например, в операционной системе семейства Windows смену MAC-адреса можно осуществить встроенными средствами – в свойствах сетевой платы, во вкладке «Дополнительно» для редактирования доступно свойство «Сетевой адрес» (англ. «Network Address», у некоторых изготовителей сетевых плат это свойство называ-
ется «Locally Administered Address»), позволяющее прину-
дительно присвоить нужный MAC-адрес. В операционных системах FreeBSD, OpenBSD MAC-адрес меняется одной командой от пользователя - root.
Сетевой или IP-адрес имеет длину 4 байта и обычно записывается в виде четырех чисел, представляющих значения каждого байта в десятичной форме, и разделенных точками, например:
128.10.2.30 при традиционной десятичной форме представления адреса;
10000000 00001010 00000010 00011110 при дво-
ичной форме представления этого же адреса.
На рис. 1.26 показана структура IP-адреса.
79
Класс А
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
0 |
|
|
|
|
|
Номер сети |
|
|
|
|
|
Номер узла |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Класс В |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1 |
0 |
|
|
|
|
|
|
|
|
Номер сети |
|
|
|
|
|
Номер узла |
||||
Класс С |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1 |
1 |
0 |
|
|
|
|
|
|
|
Номер сети |
|
|
|
|
|
Номер узла |
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Класс D |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1 |
1 |
1 |
0 |
|
|
|
|
|
|
|
адрес группы multicast |
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Класс Е |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1 |
1 |
|
|
1 |
|
|
1 |
|
|
0 |
|
|
|
|
|
зарезервирован |
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рис. 1.26. Структура IР-адреса
Адрес состоит из двух логических частей - номера сети и номера узла в сети. Какая часть адреса относится к номеру сети, а какая к номеру узла, определяется значениями первых битов адреса:
если адрес начинается с 0, то сеть относят к классу А, и номер сети занимает один байт, остальные 3 байта интерпретируются как номер узла в сети. Сети класса А имеют номера в диапазоне от 1 до 126 (номер 0 не используется, а номер 127 зарезервирован для организации обратной связи при тестировании работы программного обеспечения узла без реальной отправки пакета по сети. Этот адрес имеет название loopback). В сетях класса А количество узлов должно быть больше 216, но не превышать 224.
если первые два бита адреса равны 10, то сеть относится к классу В и является сетью средних размеров с числом узлов 28- 216. В сетях класса В под адрес сети и под адрес узла отводится по 2 байта.
80