Мельников Д. А. - Организация и обеспечение безопасности информационно-технологических сетей и систем - 2012
.pdf132 |
Глава 11. Маршрутизация в IP-сетях |
о«Маска сети» («Network mask») - 32-битовое число, опреде ляющее маску сети;
в«Интервал передачи Hello-сообщений» («Hellolnterval») - 16-битовое поле, содержащее число секунд, которое определя ет интервал передачи Hello-сообщений;
о«Дополнительные функции» («Options») - 8-битовое поле, оп ределяющее дополнительные функции, которые обеспечивает маршрутизатор. Биты, входящие в это поле имеют следующее значение (рис. 11.14):
-«Е» - этот бит указывает на то, что используется режим мас сового распространения LSA-блоков в пределах АС;
-«МС» - этот бит указывает на доставку OSPF-сообщения с использованием групповой IP-адресации (RFC-1584);
-«N/Р» - этот бит указывает на тип управления распростра нением LSA-блоков (RFC-1587);
-«ЕА» - этот бит указывает на готовность маршрутизатора к приёму и доставке LSA-блоков, содержащих атрибуты внешних систем;
-«DC» - этот бит указывает на то, что маршрутизатор управ ляет требуемыми обходными маршрутами (RFC-1793);
в«Приоритет маршрутизатора» («Rtr Pri») - 8-битовое поле, оп ределяющее приоритет маршрутизатора, который использует ся при выборе «назначенного» (резервного назначенного) маршрутизатора. Если это поле нулевое, то это означает, что маршрутизатор не подходит для присвоения ему статуса «на значенного» (резервного назначенного);
в«Бремя до объявления того, что маршрутизатор неисправен или выключен» («RouterDeadlnterval») - 64-битовое поле, со держащее число секунд, которое определяет интервал до пе редачи Hello-сообщения о неисправности или отключения маршрутизатора;
в«Назначенный маршрутизатор» («Designated Router») 32-битовое поле, содержащее кодовую последовательность, ко торая подтверждает, что для данной сети этот маршрутизатор (передавший это Hello-сообщение) является «назначенным» маршрутизатором. Назначенный в сети маршрутизатор иден тифицируется IP-адресом соответствующего физического ин терфейса. Если маршрутизатор не является назначенным, то тогда это поле - нулевое («0.0.0.0»);
о«Резервный назначенный маршрутизатор» («Backup Designat ed Router») - 32-битовое поле, содержащее кодовую последова тельность, которая подтверждает, что для данной сети этот маршрутизатор (передавший это Hello-сообщение) является
«резервным назначенным» маршрутизатором, дублирующим «назначенный» в этой сети маршрутизатор. Резервный назна ченный в сети маршрутизатор идентифицируется IP-адресом соответствующего физического интерфейса. Если маршрути затор не является резервным назначенным, то тогда это поле - нулевое («0.0.0.0»);
о«Сосед» («Neighbor») - идентификаторы тех маршрутизато ров, от которых поступали в сеть приемлемые (допустимые) Hello-сообщения.
8 б и т |
|
8 б и т |
|
8 б и т |
< |
8 б и т |
В ерсия |
j |
2 |
j |
Р а зм е р со о б щ ен и я |
||
Ид е н ти ф и ка то р м а р ш р ути зато р а
Ид е н ти ф и като р зоны
П ров еро чн ая сум м а |
| |
Тип а у те н ти ф и ка ц и й 1 |
§ |
|
А у те н ти ф и кац и я |
га |
|
|
|
|
о |
А у те н ти ф и кац и я
М акси м ал ь ны й р азм е р IP -п а ке та |
Дополнительные |
0 0 0 0 0 |
1 М MS |
функции
П осл ед о вател ь ны й но м ер О М Д Б -с о о б щ е н и я
З агол ов ок L S A -б л о ка
Рис. 11.15. Формат ОМДБ-сообщения
Сообщение, содержащее описание МДБ (ОМДБ-сообщение), явля ется OSPF-сообщением второго типа (рис. 11.15). Обмен этими со общениями осуществляется при формировании виртуального пула соседствующих маршрутизаторов. ОМДБ-сообщения описывают содержание МДБ. Для описания содержания МДБ могут использо ваться несколько ОМДБ-сообщений. В этих целях используется про цедура опроса/ответа. Один из маршрутизаторов является назна ченным в качестве ведущего (master), а другие - ведомые (slave). Ве дущий маршрутизатор передаёт ОМДБ-сообщения (в режиме опро са), на которые ведомые маршрутизаторы передают ответные ОМДБ-сообщения. Все ответные ОМДБ-сообщения, передаваемые ведущему маршрутизатору имеют последовательную нумерацию.
Кодирование полей этого типа сообщений следующее:
о«Максимальный размер IP-пакета» («Interface MTU») - 16-битовое число, определяющее максимальный размер в байтах IP-пакета, который может быть передан без применения процедуры фрагментации;
134 |
Глава 11. Маршрутизация в IP-сетях |
о«Дополнительные функции» («Options») - 8-битовое поле, оп ределяющее дополнительные функции, которые обеспечивает маршрутизатор (рис. 11.14);
в«I» («Init») - если этот бит равен «1», то это ОМДБ-сообщение является первым в последовательности таких сообщений;
о«М» («More») - если этот бит равен «1», то за этим ОМДБсообщением последуют ещё сообщения такого типа;
о«М/S» («Master/Slave») - если этот бит равен «1», то данный маршрутизатор является ведущим в течение процедуры обме на ОМДБ-сообщениями. В противном случае - ведомым;
в«Последовательный номер ОМДБ-сообщения» («DD sequence number») - 32-битовое число, которое используется для нуме рации ОМДБ-сообщений. Начальное значение этого номера должно быть уникальным (бит «I» определяет первое сообще ние в последовательности). Значение этого номера увеличива ется до тех пор, пока не будет переданы все данные, описы вающие МДБ;
о«Заголовок LSA-блока» («LSA Header») - 20-байтовое поле, яв ляющееся заголовком LSA-блока. Этот заголовок позволяет од нозначно идентифицировать тип LSA-блока. На рис.11.16 представлен формат LSA-заголовка, поля которого имеют сле дующее кодирование:
-«Время отправки LSA-блока» («LS age») - 16-битовое число, определяющее количество секунд, которое прошло до мо мента отправки LSA-блока;
8 бит |
| |
8 бит |
|
8 бит |
8 бит |
В р ем я отправки L S A -б л о ка |
|
Дополнительные |
|
||
|
Ти п L S A -б л о ка |
||||
|
|
|
|
функции |
|
|
И д е н ти ф и ка то р зоны , iописы ваем ой L S A -б ло ком |
|
|||
|
И д е н ти ф и ка то р м а р ш р у ти за то р а , п е р е д а в ш е го д анны й L S A -б л о к |
|
|||
|
|
П о сл ед о вател ь ны й но м ер L S A -б л о ка |
|
||
П ров еро чн ая сум м а L S A -б л о ка |
| |
Р а зм е р L S A -б ло ка |
|
||
Рис. 11.16. Формат LSA-заголовка
-«Дополнительные функции» («Options») - 8-битовое поле, определяющее дополнительные функции, которые обеспе чивает маршрутизатор (рис. 11.14);
-«Тип LSA-блока» («LS type») - 8-битовое поле, определяю щее тип LSA-блока. В OSPF-протоколе рассматриваются следующие типы LSA-блоков:
Раздел II. |
135 |
Тип LSA-блока |
Описание |
1 |
LSA-блоки маршрутизатора |
2 |
LSA-блоки сети |
3 |
Итоговые LSA-блоки сети |
4 |
Итоговые LSA-блоки широковещательной АС |
5 |
LSA-блоки внешней АС; |
-«Идентификатор зоны, описываемой LSA-блоком» («Link State ID») - 32-битовое поле, содержащее кодовую последо вательность, которая идентифицирует сегмент (зону) Internetсети, который описывается с помощью этого LSA-блока. Со держание этого поля зависит от типа LSA-блока;
-«Идентификатор маршрутизатора, передавшего данный LSA-блок» («Advertising Router») - 32-битовое поле, содер жащее кодовую последовательность, которая идентифици рует маршрутизатор, передавший данный LSA-блок;
-«Последовательный номер LSA-блока» («LS sequence number») - 32-битовое поле, содержащее кодовую последо вательность, которая идентифицирует данный LSA-блок. Этот номер позволяет выявлять устаревшие и продублиро ванные LSA-блоки;
8 б и т |
|
8 б и т |
|
8 б и т |
8 б и т |
! |
В ерсия |
| |
3 |
j |
Р а |
зм е р соо б щ ен и я |
|
Ид ен ти ф и като р м а р ш р у ти за то р а
Ид е н ти ф и като р зоны
П ров еро чн ая сум м а |
| |
► ы |
Ти п а у тен ти ф и кац и и |
Ау те н ти ф и кац и я
Ау те н ти ф и кац и я Тип L S A -б л о ка
Ид е н ти ф и ка то р зоны , описы в аем ой L S A -б ло ком
Ид е н ти ф и ка то р м а р ш р ути зато р а , п е р е д а в ш е го д анны й L S A -б л о к
Рис. 11.17. Формат МДБ-запроса
-«Проверочная сумма LSA-блока» («LS checksum») - 16-битовое поле, содержащее проверочную сумму, которая рассчиты вается по всей последовательности LSA-блока, включая LSAзаголовок, но исключая поле «Время отправки LSA-блока»;
-«Размер LSA-блока» («length») - 16-битовое число, опреде ляющее длину LSA-блока в байтах (октетах).
136 |
|
|
|
Глава 11. Маршрутизация в IP-сетях |
8 б и т _______; |
8 б и т |
‘______ 8 б и т ______ ’_______8 б и т |
||
Версия |
| |
4 |
| |
Р а зм е р соо б щ ен и я |
Ид ен ти ф и като р м а р ш р ути зато р а _________________
Ид ен ти ф и като р зоны
П ров еро чн ая сум м а | Тип аутен ти ф и кац и и
___________________________ А у те н ти ф и кац и я __________________________
А у те н ти ф и кац и я
К ол и честв о п е р ед ав аем ы х L S A -блоков
L S A -блоки
Рис. 11.18. Формат OSPF-сообщения «Запрос данных
о состоянии линии связи»
OSPF-сообщение, содержащее запрос МДБ (МДБ-запрос), является сообщением третьего типа (рис. 11.17). После обмена ОМДБсообщениями с соседом, маршрутизатор может обнаружить, что не которые части его МДБ просрочены или устарели. Для устранения такой ситуации маршрутизатор использует МДБ-запрос для полу чения компонентов МДБ соседнего маршрутизатора.
Сообщение «Запрос данных о состоянии линии связи» («Link State Up date packet») является OSPF-сообщением четвёртого типа (рис. 11.18). Этот тип OSPF-сообщений используется для массовой рассылки LSA-блоков, при этом каждое такое сообщение содержит несколько LSA-блоков. Для повышения надёжности такой рассылки LSA-блоков используется OSPF-сообщение пятого типа (рис. 11.19), которое служит подтверждением корректного приёма OSPF-сообщения четвёртого ти па. Если необходима повторная передача, то тогда LSA-блоки переда ются непосредственно соседнему маршрутизатору. В OSPF-сообщении «Запрос данных о состоянии линии связи» используется следующая кодировка:
•«Количество передаваемых LSA-блоков» - 32-битовое число, которое определяет количество LSA-блоков, которое включено
в данное сообщение.
OSPF-сообщение «Ответ на запрос данных о состоянии линии связи»
(«Link State Acknowledgment packet») содержит ответные LSA-блоки, при этом каждый из них имеет свой LSA-заголовок.
11.4. Решение проблемы нехватки IPv4-aApecoB
Протокол трансляции сетевых адресов (Network Address Trans lation - NAT). Опубликованный в мае 1994 г. стандарт RFC-1631 ввёл понятие транслятора сетевых адресов, который используется как средство преодоления проблемы уменьшение числа свободных 1Ру4-адресов. В основе решения этой проблемы лежит способ, с по-
Раздел II. |
137 |
мощью которого IP-адреса отображаются из одного адресного про странства (принадлежащего какой-либо сетевой администрации) в другое (принадлежащего другой сетевой администрации). Специа лизированный программный модуль, реализующий NAT-функцию (NAT-модуль), ничего не знает о прикладной службе (процессе), со общения которой транслируются через него, так как он «просмат ривает» только IP-адреса (рис. 11.20).
8 б и т |
8 б и т |
|
8 б и т |
8 б и т |
В е рси я |
|
|
Р а зм е р соо б щ ен и я |
|
|
И д е н ти ф и като р м а р ш р у ти за то р а |
|
||
|
И д ен ти ф и като р зоны |
|
||
П р ов еро чн ая сум м а |
I |
Тип а утен ти ф и кац и и |
||
|
|
А у те н ти ф и кац и я |
|
|
|
|
А у те н ти ф и кац и я |
|
|
М акси м ал ь ны й р азм е р IP -п а ке та Дополнительные о о о о о 1 М MS функции
П о сл ед о вател ь ны й ном ер О М Д Б -с о о б щ е н и я
З агол ов ок L S A -б л о ка
Рис. 11.19. Формат OSPF-сообщения «Ответ на запрос данных
о состоянии линии связи»
Теперь, по прошествии нескольких лет, применение NAT-моду лей стало повсеместным в Internet-сети. Более того, сейчас проводит ся работа по адаптации NAT-модулей к 1Ру6-адресации. Архитек турный смысл NAT-модулей состоит в том, чтобы разделить всю Internet-сеть на независимые адресные зоны (административные зо ны) и способствовать более упрощенному использованию специ ально выделенных и зарегистрированных (RFC-1918) диапазонов корпоративных (локальных) IP-адресов (10.0.0.0 - 10.255.255.255; 172.16.0.0 - 172.31.255.255; 192.168.0.0 - 192.168.255.255). Как было ука зано в RFC-2101, как только в сети началось корпоративное (локаль ное) использование 1Ру4-адресов, то сразу после этого IP-адреса бы ли обречены на неоднозначность и двусмысленность.
Важным фактором нормального функционирования Internetсети является ее гибкость, которая, в свою очередь, является следст вием двух фундаментальных принципов:
ви прежде всего, это принцип «сквозного соединения» (end-to-end principle), который гласит, что сетевые терминалы (оконечные прикладные программные модули/процессы) могут выпол нять только определенные функции, и к тому же осуществля ют контроль соединения. Сеть же должна быть просто служ бой доставки IP-пакетов (дейтаграмм), которая транслирует биты между этими сетевыми терминалами;
Ри с . 1120. Простейший вариант конфигурации NAT
вдругим принципом является то, что сеть функционирует на основании информации о состоянии самой сети, то есть всех возможных соединений (а не только лишь одного соединения). Это позволяет быстро перенаправлять трафик по альтерна тивным маршрутам в обход неисправного сетевого сегмента, и улучшать масштабирование всей сети в целом.
NAT-модули (включая разновидности NAPT-модулей) наруша
ют эти базовые принципы, в частности, принцип сквозного соедине ния, снижая, тем самым, функциональную гибкость сети и увеличи вая, во многих случаях, алгоритмическую сложность обработки тра фика, а также затрудняя проведение диагностических процедур. Не которые разновидности NAT-модулей, такие как RSIP-NAT-модули (Realm Specific IP), были нацелены на снижение числа проблем, ко торые связанны с их функционированием.
Однако, несмотря на то, что такие RSIP-NAT-модули могут обеспечить некоторое повышении эффективности при обслужива нии корпоративного IP-узла с глобальным IP-адресом (если порты транспортного уровня доступны), тем не менее они не устраняют некоторые проблемы, в частности, связанные с сетевым управлени ем, управлением сеансов связи транспортного уровня, или пробле мы, связанные с функционированием «хорошо известных» портов транспортного уровня. Каждый из этих «хорошо известных» портов имеет свои специфические (отличные от других) алгоритмы муль типлексирования данных. Они также накладывают определенные ограничения при взаимодействии с DNS-системой, как и при функ
Раздел II. |
139 |
ционировании NAPT-модулей. Каждая прикладная служба, имею щая свой «хорошо известный» порт, предъявляет определенные тре бования к составу протоколов и интерфейсов (архитектуре 1Р-узлов), обеспечивающих ее функционирование.
Б стандарте RFC-1631 рассматриваются NAT-модули, которые обслуживают корпоративные сети, имеющие только одно соедине ние с Internet-сетью общего пользования. Однако на практике часто встречаются корпоративные сети, имеющие несколько соединений с остальной частью Internet-сети, и такие ситуации гораздо более сложные, так как NAT-модули, обслуживающие такие корпоративные сети (на одно соединение необходим как минимум один NAT-модуль), должны координировать выполнение своих функций, чтобы быть уверенными в том, что они согласованно выполняют отображение адресов в каждом индивидуальном NAT-модуле.
Модель «сквозного соединения». Концепция «сквозного соеди нения» представлена в стандарте RFC-2775 («Internet Transparency»).
140 |
Глава 11. Маршрутизация в IP-сетях |
Одно из ключевых понятий этой концепции звучит следующим обра зом: «режим соединения между оконечными IP-узлами должен управ ляться только прикладными процессами (программными модулями), функционирующими в этих IP-узлах, и с этой точки зрения, соедине ние может быть прервано (нарушено) только тогда, когда один из око нечных процессов прервет себя сам». Одним из путей преодоления таких ситуаций является обеспечение отказоустойчивости (живучести) сети. Так как сети расширяются, вероятность прерывания соединения вследствие отказа одного из сетевых компонентов становится все больше и больше. Если такие сбои приводят к потере связи, так как нарушается соединение, то тогда сеть становится все более и более уязвимой, а ее значимость снижается. Однако если оконечный при кладной процесс прерывает сам себя, то тогда вообще нет уверенности в том, что возможно установление последующих соединений. Более того, модель «сквозного соединения» доказывает, насколько это воз можно, что именно оконечные прикладные процессы должны под держивать соединение в критических ситуациях.
При использовании NAT-модулей модель «сквозного соедине ния» трансформируется в модель системы с трансляцией адресов, причем NAT-модули становятся критическими элементами сетевой инфраструктуры. Действительно, если один из них выйдет из строя, то тогда все соединения, проходящие через него, будут прерваны. И даже в той ситуации, когда основное внимание уделяется гаранти рованному обеспечению согласованного и стабильного функциони рования NAT-модуля, все равно, восстанавливаемое NAT-модулем соединение, которое ранее «проходило» через него и было прервано по его вине, считается потерянным (так как NAT-модуль не может больше преобразовывать IP-адреса, используя для этого одно и то же отображение). Другие наиболее важные аспекты модели «сквоз ного соединения» следующие:
вкогда соединение управляется IP-узлом в корпоративной сети, то тогда трафик зависит от режима функционирования со единения, так как трафик не может перенаправляться по об ходному маршруту, минуя вышедший из строя сетевой объект (если конечно возникший сбой не вывел из строя и другие се тевые объекты);
включевым принципом расширения (масштабирования) сетей является перемещение функций управления соединениями на границы сети. Если управление состоянием соединений осу ществляется сетевыми объектами, расположенными в магист ральной части сети, то тогда в случае расширения сети, коли чество сетевых объектов, осуществляющих управление соеди нениями, также должно увеличиться. Условия функциониро вания сетевых объектов могут ухудшиться, сделав их «узким
Раздел II. |
141 |
местом» в сети, и, следовательно, число соединений, которые могут выйти из строя, также возрастет;
оесли безопасность соединений должна осуществляется сетевыми объектами, расположенными внутри сети, то тогда число воз можных моделей надежного обеспечения сетевой безопасности, которые может реализовать сеть, существенно снижается.
Сеть, в которой оконечные IP-узлы не нуждаются в услугах до веренного сетевого провайдера, обладает большей гибкостью и универсальностью при обеспечении безопасности по сравнению с той сетью, в которой IP-узлам необходимы услуги доверенного сете вого провайдера.
В сети существуют распределенные прикладные службы, ко торые предполагают, что IP-адреса являются глобальными и прием лемыми для осуществления процедур маршрутизации, и что все другие IP-узлы и прикладные службы имеют такое же представле ние об IP-адресах. Действительно, такие прикладные службы ис пользуют стандартный способ организации соединения и дальней шего управления им, при котором один IP-узел передает другому IP-узлу свой IP-адрес и номер порта транспортного уровня, чтобы второй IP-узел (получатель этого адресного блока) смог бы соеди ниться с первым IP-узлом (инициатором соединения). К сожалению, NAT-модули нарушают функционирование таких прикладных служб. Также существуют и другие прикладные службы, которые предпола гают, что все порты транспортного уровня для конкретного IP-адреса отображаются в точно такие же порты транспортного уровня на дру гом оконечном IP-узле. Однако, NAPT-модули (и их RSIP-разно- видность), использующие методы объединения нескольких портов в один, нарушают функционирование таких прикладных служб.
Ограничение функционирования распределенных прикладных служб не является второстепенной проблемой: основной причиной сегодняшнего успешного и стремительного развития Internet-сети яв ляется «лёгкость и простота», с которой новые прикладные службы могут встраивать свои программные модули в оконечные IP-узлы, не требуя при этом каких-либо изменений в объектах сетевой инфра структуры. Если новые прикладные службы должны иметь встроен ные программные NAT-модули и при этом необходимо обеспечить их повсеместное распространение и внедрение, то тогда, очевидно, что быстрое их распространение и внедрение не возможно, так как будут тормозиться по причине использования NAT-модулей.
Преимущества NAT-модулей. Беглый взгляд на весьма попу лярный NAT-метод показывает, что он позволяет решить несколько реальных глобальных проблем, когда он используется на границе сетевого субсегмента:
•путем сокрытия изменений IP-адресов, которые имели место вследствие использования наборного доступа в сеть или смены