Мельников Д. А. - Организация и обеспечение безопасности информационно-технологических сетей и систем - 2012
.pdf142 |
Глава 11. Маршрутизация в IP-сетях |
провайдера, минимизируется отрицательное влияние на кор поративную сеть, то есть не требуется перенумерация объек тов внутри корпоративной сети;
вглобальные IP-адреса, которые используются в процедурах маршрутизации, могут быть повторно использованы при спо радическом доступе корпоративных пользователей в глобаль ную сеть. А это влечет за собой спрос на IP-адреса только для активных IP-узлов, а не для всех имеющихся IP-узлов в корпо ративной сети;
®существует возможность для Internet-провайдера, который об служивает и управляет NAT-модулями, снизить бремя собст венной нагрузки, если он встроит дополнительный программ ный модуль с заранее известными параметрами в пользова тельский интерфейс доступа в сеть;
•разбиение Internet-сети на совокупность сетевых адресных сегментов, каждый из которых управляется своей полномоч ной администрацией, снижает необходимость постоянно объ яснять причины и порядок того или иного распределения ад ресного субпространства, а также позволяет сетевым админи страторам отказаться от использования более сложных мето дов маршрутизации;
•IP-узлы, в которых размещаются программные модули при кладных служб, не должны использовать процедуры защиты целостности заголовка IP-пакета или не включать IP-адреса в поля полезной нагрузки своих сообщений;
вподобно сетевым экранам на основе фильтрации IP-пакетов, NAPT-модули (и их RSIP-разновидность) блокируют входные соединения на всех портах транспортного уровня, причем до тех пор, пока не будет получено административное разреше ние на их преобразование.
Недостатки NAT-модулей. Функционирование NAT-модулей вызвает следующие проблемы:
•нарушают принцип «сквозного соединения» в Internet;
вявляются точками отказа всей системы, то есть их отказ в рабо те влечет сбой всей системы, так как они контролируют со стояние соединения и динамически преобразуют данные;
вограничивают применение многоадресных соединений, ис пользуемых IP-узлами для повышения надежности их связей между собой в Internet-сети;
вне позволяют использовать средства обеспечения информаци онной безопасности на IP(сетевом)-уровне Internet-архитектуры;
вмогут привести к конфликтным ситуациям, являющимся след ствием применения корпоративных IP-адресов;
Раздел II. |
143 |
оспособствуют более легкой привязки существующих корпора тивных наборов имен к DNS-именам общего пользования;
о(и их RSIP-разновидности) увеличивают функциональную сложность прикладных систем особенно в тех случаях, когда программные модули прикладных служб общего пользования располагаются внутри корпоративных сетей;
оусложняют или вообще могут исключить применение проце дур аутентификации в интересах SNMPv3-npoTOKona;
осетевые объекты не могут использовать NAT-функции без оповещения других сетевых объектов об этом.
NAT-модули накладывают ограничения на распространение прикладных служб, которые включают IP-адреса (или их производ ные) в поля полезной нагрузки своих сообщений.
И в заключении, несмотря на то, что различные разновидно сти NAPT-модулей (с функцией объединения портов транспортно го уровня - Network Address Port Translation) работают весьма хо рошо, когда корпоративные IP-узлы устанавливают соединения с серверами прикладных служб общего пользования (NAPT-модули популярны как раз потому, что позволяют обеспечивать множест венный доступ в Internet-сеть, используя для этого только один IP-адрес), но они порождают проблемы управления соединением, ко гда серверы прикладных служб, расположенные в сети общего пользо вания, устанавливают соединение с корпоративными IP-узлами. В та ких случаях, понятие «хорошо известный» порт нарушается, по скольку только одна корпоративная часть системы может быть ото бражена с помощью одного номера порта транспортного уровня внешней части системы.
Базовая Internet-архитектура достаточно универсальна, так как она определяет общий способ доставки данных, с помощью которого могут бьггь созданы самые разнообразные прикладные и технологиче ские сетевые системы (даже самые невообразимые). Несмотря на то, что можно построить и «карточный домик» (на основе применения NAT-протокола), время и накопленный практический опыт склоняют разработчиков к созданию стандартов с максимально целостной структурой. Система 1Ру6-адресации является долгосрочным решени ем проблемы нехватки IP-адресов, которая сохраняет принцип «сквоз ного соединения» (прозрачности соединения). NAT-метод представля ет собой технологический «отвлекающий маневр» с целью продления «жизни» существующей системы 1Ру4-адресации.
Глава 12. Протокол IP шестой версии
Все IP-адреса шестой версии (1Ру6-адреса) представляют собой 128-битовые логические идентификаторы для канальных (физиче ских) интерфейсов и групп канальных (физических) интерфейсов (RFC-2460). Существуют следующие три типа 1Ру6-адресов:
воднонаправленный (unicast). Он представляет собой иденти фикатор одного интерфейса (IP-узла). Переданный с таким адресом IP-пакет доставляется на интерфейс (IP-узел), имею щий такой адрес;
вальтернативный (anycast). Он представляет собой идентифи катор группы канальных (физических) интерфейсов (обычно принадлежащих различным IP-узлам). Переданный с таким адресом IP-пакет доставляется на один из канальных (физиче ских) интерфейсов (IP-узлов), имеющих такой адрес (то есть «ближайший» в соответствии с принятой метрикой протокола маршрутизации);
«групповой (multicast). Он представляет собой идентификатор группы канальных (физических) интерфейсов (обычно при надлежащих различным IP-узлам). Переданный с таким адре сом IP-пакет доставляется на все интерфейсы (IP-узлы), имею щие такой адрес.
В1Ру6-адресации нет широковещательных (broadcast) адресов, так как эту функцию выполняют групповые 1Ру6-адреса.
12.1. Модель 1Руб-адресации
1Ру6-адреса (RFC-4291) всех типов приписываются (привязаны) к канальным (физическим) интерфейсам, а не к IP-узлам (на прак тике один IP-узел может иметь несколько канальных (физических) интерфейсов).
Однонаправленный 1Ру6-адрес указывает на одиночный ка нальный (физический) интерфейс. Так как каждый канальный (фи зический) интерфейс принадлежит одному IP-узлу, то в принципе, однонаправленные 1Ру6-адреса можно использовать в качестве идентификатора 1Р-узла.
Одно из требований к любому канальному (физическому) ин терфейсу заключается в том, что он должен иметь, по крайней мере, один однонаправленный 1Ру6-адрес, связанный с конкретным ло кальным каналом связи. Один канальный (физический) интерфейс
Раздел II. |
145 |
может также иметь несколько 1Ру6-адресов различных типов (одно направленный, альтернативный и групповой) или целый диапазон.
Однонаправленные 1Ру6-адреса в большом диапазоне превы шают диапазон конкретной линии связи, и поэтому нет необходи мости присваивать их интерфейсам «не соседних» IP-узлов, которые не используются как источники или получатели 1Ру6-пакетов. Они наиболее приемлемы для идентификации оконечных интерфейсов при сквозном соединении («point-to-point»). Существует только одно исключение в данной модели адресации: однонаправленные IPv6адреса или группа таких 1Ру6-адресов может быть присвоена не скольким физическим интерфейсам, если в конкретной подсети эта группа физических интерфейсов рассматриваются как один ин терфейс, когда его представляют как интерфейс физического уров ня. Это бывает весьма полезным при распределении нагрузки меж ду несколькими физическими интерфейсами.
В настоящее время модель 1Ру6-адресации совпадает с моде лью 1Ру4-адресации, в которой префикс подсети соответствует од ной линии связи. Более того несколько префиксов подсети могут присваиваться одной и той же линии связи.
12.2. Текстуальное представление IPve-адресов
Существуют три стандартные формы текстуального представле ния 1Ру6-адресов (в форме текстовых строк или последовательностей):
о рекомендуемая (полная) форма:
х:х:х:х:х:х:х:х,
где «х» - от одного до четырех шестнадцатеричных чисел из восьми 16-битовых отрезков (полей/субполей) 1Ру6-адреса. Например:
ABCD:EF01:2345:6789:ABCD:EF01:2345:6789;
2001:DB8:0:0:8:800:200C:417A.
(.Примечание. Нет необходимости записывать все четыре нуля в одном 16-битовом поле 1Ру6-адреса. Однако, в каждом поле долж на присутствовать хотя бы одна цифра.);
•сокращённая форма. Несмотря на некоторые способы форми рования определённых вариантов 1Ру6-адресов, в большинстве случаев 1Ру6-адреса будут содержать весьма длинные последо вательности нулевых битов. С целью облегчения записи Шубадресов, содержащих такие нулевые последовательности, су ществуют специальные правила для сокращения длины адре са. В частности, для этого используется символ «::», который
146 |
Глава 12. Протокол IP шестой версии |
служит для замены нулевых 16-битовых полей в 1Ру6-адресе. Этот символ может размещаться в 1Ру6-адресе только один раз. Он также может использоваться для сокращения начальных или конечных нулевых последовательностей. Следующая таб лица содержит примеры использования символа
Типы 1Ру6-адресов |
Р е ко м е н д у е м а я ф ор м а |
|
О дн о н а п р ав л ен н ы й а д |
2 0 0 1 :D B 8 :0 :0 :8 :8 0 0 :2 0 0 C :4 1 7 A |
|
рес |
||
|
||
Групповой а д р е с |
F F 0 1 :0 :0 :0 :0 :0 :0 :101 |
|
П етл ев о й а д р е с 1 |
0 :0 :0 :0 :0 :0 :0 :1 |
|
Н еустан о в л ен н ы й а д р е с |
0 :0 :0 :0 :0 :0 :0 :0 |
С о кр а щ ё н н а я ф о р м а
2 0 0 1 :D B 8 ::8 :8 0 0 :2 0 0 C :4 1 7 A
L |
1—1 |
т |
о |
г |
L |
1— |
|||
Lо |
|
|||
L |
|
|
|
|
::1
всмешанная (альтернативная) форма. Данная форма применя ется в тех случаях, когда речь идет IP-узлах, использующих од новременно IPv4- и 1Ру6-адресацию, и поэтому она имеет сле дующий формат записи:
x:x:x:x:x:x:d.d.d.d,
где «х» - шестнадцатеричные числа в первых шести 16-битовых по лей смешанного адреса, «d» - десятичные числа последних четырёх 8-битовых полей (в соответствии с 1Ру6-адресацией) смешанного ад реса. Следующая таблица содержит примеры смешанной формы адресации.
С м е ш а н н а я ф о р м а |
С о кр а щ ё н н а я ф ор м а |
||
0 :0 :0 :0 :0 :0 :1 3 . |
1 .6 8 |
.3 |
::1 3 .1 .6 8 .3 |
0 :0 :0 :0 :0 :F F F F : 1 2 9 |
.1 4 4 |
.5 2 .3 8 |
: :FFFF: 1 2 9 .1 4 4 .5 2 .3 8 |
12.3. Текстуальное представление префиксов 1Ру6-адресов
Текстуальное представление префиксов 1Ру6-адресов анало гично записи префиксов 1Ру4-адресов при использовании бесклас сового способа межсетевой маршрутизации.
Префикс 1Ру6-адреса имеет следующий формат записи:
ipv6-address/prefix-length,
где «ipv6-address» - любой из перечисленных выше типов 1Ру6-ад- ресов, a «prefix-length» - десятичное число, указывающее на количество
1 Петлевой (loopback) адрес используется для передачи контрольных IPпакетов (эхо-контроль,« ping»)
Раздел II. |
147 |
крайних слева последовательных битов адреса, представляющих пре фикс. Далее приведены примеры допустимых форматов записи 60-би- тового шестнадцатеричного префикса «20010DB80000CD3»:
2001:0DB8:0000:CD30:0000:0000:0000:0000/60;
2001:0DB8::CD30:0:0:0:0/60;
2001:0DB8:0:CD30::/60.
Далее приведены примеры не допустимых форматов записи 60-битового шестнадцатеричного префикса «20010DB80000CD3»:
о«20Ql:0DB8:0:GD3/60» - в этом случае могут быть потеряны на чальные последовательности нулей (но не конечных) в преде лах любого 16-битового поля адреса;
о«2001:0DB8::CD30/60» - в этом случае адрес слева от символа «/» «расширяется» до неверного значения «2001:0DB8:0000: 0000:0000:0000:0000:CD30»;
о«2001:0РВ8::СРЗ/60» - в этом случае адрес слева от символа «/» «расширяется» до неверного значения «2001:0РВ8:0000:0000: 0000:0000:0000:0СРЗ».
При записи 1Ру6-адреса IP-узла совместно с префиксом этого 1Ру6-адреса IP-узла (например, префикс IP-узла некой подсети) до пускаются следующие форматы:
о 1Ру6-адрес IP-узла - «2001:0PB8:0:CP30:123:4567:89AB:CPEF»;
®номер подсети, в которой расположен IP-узел -» 2001:0РВ8:0: СРЗО::/60»;
окомбинация адрес/префикс -» 2001:0РВ8:0:СР30:123:4567: 89AB:CPEF/60».
12.4. Идентификация типа IPve-адреса
Тип 1Ру6-адреса определяется битами старшего порядка адреса. Следующая таблица определяет кодирование типов 1Ру6-адресов.
Ти п IP v6 -aflp e ca |
Двоичны й пр еф и кс |
Ф орм ат IP v6 -a flp e c a |
||
Н еустано вл ен ны й а д р е с |
0 0 ...0 |
(1 2 8 б и т) |
::/12 8 |
|
П етл ев ой а д р е с |
00 ...1 |
(1 2 8 б и т) |
::1 /1 2 8 |
|
Групповой а д р е с |
11111111 |
F F 0 0 :./8 |
||
О днонаправ л енны й а д р е с |
1111111010 |
F E 8 0 ::/1 0 |
||
для локальной линии связи |
||||
|
|
|
||
Глобальны й |
Лю бой другой |
- |
||
од нонаправл енны й а д р е с |
||||
|
|
|
148 |
Глава 12. Протокол IP шестой версии |
Альтернативные 1Ру6-адреса, выбираемые из пространства однонаправленных 1Ру6-адресов, с точки зрения семантики ничем не отличаются от однонаправленных 1Ру6-адресов.
В последующих стандартах для определённых целей могут быть введены один или несколько субдиапазонов глобальных одно направленных 1Ру6-адресов, но до тех пор, пока этого не произой дет, в прикладных системах все адреса должны трактоваться как глобальные однонаправленные 1Ру6-адреса, за исключением других типов адресов, представленных в приведенной выше таблице.
12.5. Однонаправленные IPve-адреса
Однонаправленные 1Ру6-адреса записываются вместе с пре фиксами произвольной длины в битах, что - аналогично 1Ру4-адре- сации при использовании бесклассового способа межсетевой маршру тизации.
128 бит
1Ру6-адрес 1Р-узла
Рис. 12.1. Формат 1Ру6-адреса, не имеющего какой-либо
внутренней структуры
В настоящее время существует несколько типов однонаправ ленных 1Ру6-адресов, а именно: глобальные, для локальных терми налов (сетевых устройств) и для локальных линий связи (1Р-узлов). Также существует несколько специализированных подтипов гло бальных однонаправленных 1Ру6-адресов, среди которых совме щенные IPv6- и 1Ру4-адреса. В дальнейшем могут быть определены новые типы и подтипы адресов.
IP-узлы работающие с 1Ру6-адресацией могут иметь достаточ но много или мало данных о внутренней структуре 1Ру6-адресов, это зависит от роли, которую играет IP-узел (например, сервер или маршрутизатор). Как минимум, IP-узел может знать, что однона правленный 1Ру6-адрес (включая свой собственный) не имеет какойлибо внутренней структуры (рис. 12.1).
Немного более сложный IP-узел (но по-прежнему весьма про стой) дополнительно может быть «осведомлён» о префиксе(ах) под сети для линии(ий) связи, которая(ые) за ними закреплена(ы), при этом различные 1Ру6-адреса могут иметь различные значения дли ны («п») префикса (рис. 12.2).
раздел II. |
149 |
п бит |
128 бит |
Префикс подсети |
Идентификатор интерфейса |
Рис. 12.2. Формат 1Ру6-адреса с префиксом подсети длиной «п»
Очень простой маршрутизатор может не иметь данных о внутренней структуре однонаправленных 1Ру6-адресов, однако должен иметь более полные данные об одной или нескольких ие рархических границах топологического сетевого пространства, в рамках которого функционируют протоколы маршрутизации. При этом даже известные границы будут различаться от маршрутизато ра к маршрутизатору, в зависимости от того, какое место занимает маршрутизатор в иерархии маршрутизации.
Целесообразно не «нагружать» IP-узлы какой-либо информа цией о структуре 1Ру6-адресов, за исключением данных о границах подсетей, которые они обслуживают.
Идентификаторы интерфейсов. В однонаправленных 1Ру6-ад- ресах для обозначения канальных (физических) интерфейсов на конкретной линии связи используются идентификаторы интерфей сов. Они должны быть уникальными в пределах префикса подсети. Рекомендуется, чтобы идентификатор одного и того же интерфейса не был присвоен различным IP-узлам, связанным одной линией свя зи. Они также должны быть уникальными в рамках более широкого диапазона. В некоторых случаях, идентификатор интерфейса может быть получен прямо из адреса канального уровня, связанного с этим канальным интерфейсом. Один и тот же идентификатор интерфей са может использоваться в нескольких интерфейсах в одном 1Р-узле, но до тех пор, пока они присвоены различным подсетям.
(.Примечание. Уникальность идентификаторов интерфейсов не зависит от уникальности 1Ру6-адресов. Например, глобальный одно направленный 1Ру6-адрес может быть сформирован с идентификато ром интерфейса в пределах границ локальной зоны, а 1Ру6-адрес для локального канала (линии) связи может быть сформирован с иденти фикатором интерфейса в пределах границ универсальной зоны.)
Для всех однонаправленных 1Ру6-адресов, за исключением тех, которые начинаются с бинарного значения «000», идентификаторы интерфейсов должны иметь длину 64 бита и формат EUI-64 (усо вершенствованный вариант).
Идентификаторы интерфейсов в формате EUI-64 могут иметь универсальную зону применения, когда они извлекаются из универ сальной метки (например, 48-битовый МАС-адрес1 стандарта
1 Media Access Control - управление доступом к среде передачи данных.
150 |
Глава 12. Протокол IP шестой версии |
ШЕЕ 802, или идентификаторы стандарта IEEE EUI-64), или иметь ло кальную зону применения, в которой глобальные метки не исполь зуются (например, терминальные окончания туннелей, последова тельные линии передачи данных) или такие глобальные метки не допустимы (например, метки времени для обеспечения безопасно сти).
Идентификаторы интерфейсов в усовершенствованном фор мате EUI-64 формируются путем инверсии бита «и» (универсаль ный/ локальный бит в терминологии ШЕЕ EUI-64), если они созда ются из идентификаторов стандарта ШЕЕ EUI-64. Таким образом, в результате инверсии бита «и» имеем:
в «1» - указывает на универсальную зону применения; о «0» - указывает на локальную зону применения.
0 |
|
7: |
8 |
15 |
16 |
23 |
СССС |
с с и д |
|
СССС |
СССС |
СССС |
СССС |
Рис. 12.3. Формат первых трех октетов идентификаторов
стандарта IEEE EUI-64
На рис. 12.3 представлен формат первых трех октетов (в двоич ной форме) идентификаторов стандарта IEEE EUI-64. Порядок следо вания битов соответствует порядку передачи битов в Internetсообществе. Бит «и» - универсальный/локальный бит, бит «g» - инди видуальный/групповой бит, «с» - биты идентификатора компании.
Причина инверсии бита «и» при формировании идентифика тора интерфейса весьма банальна - облегчить системным админи страторам ручную настройку не глобальных идентификаторов, ко гда аппаратные метки не допустимы. За исключением, например, случаев последовательных линий передачи данных и терминальных окончаний туннелей (при сквозных соединениях). Альтернативной формой могла бы быть форма «0200:0:0:1, 0200:0:0:2, ...», за исключе нием уж слишком упрощенной формы как «0:0:0:1, 0:0:0:2, ...». Сете вые 1Ру6-узлы, не требующие того, чтобы в идентификаторах ин терфейсов в усовершенствованном формате EUI-64 бит «и» не был установлен в положение «универсальный» (значение «1»), являются уникальными.
Неустановленные адреса. Адрес «0:0:0:0:0:0:0:0» называется неустановленным 1Ру6-адресом. Он никогда не должен присваи ваться какому-либо IP-узлу. Этот адрес указывает на отсутствие ад реса. Существует только один пример использования такого адреса: в поле «Адрес отправителя сообщения» в любых 1Ру6-пакетах, кото
Раздел II. |
151 |
рые передаются сервером для собственной идентификации, еще до того как этот сервер узнает свой собственный 1Ру6-адрес.
Неустановленный адрес никогда не должен использоваться как «Адрес получателя» в 1Ру6-пакетах или в заголовках маршрути зации 1Ру6-пакетов. 1Ру6-пакет с неустановленным «Адресом отпра вителя сообщения» никогда не должен транслироваться IPv6маршрутизатором.
Петлевые адреса. Специальный однонаправленный IPv6адрес «0:0:0:0:0:0:0:1» называется петлевым адресом. Этот адрес мо жет использоваться IP-узлом для передачи 1Ру6-пакета «самому се бе». Он не должен никогда присваиваться какому-либо физическо му интерфейсу. Петлевой адрес интерпретируется как адрес, имеющий диапазон в рамках локального канала (линии) связи, и может восприниматься как однонаправленный адрес виртуального интерфейса в рамках локального канала (линии) связи (часто име нуемый «петлевым интерфейсом»), а именно мнимой линии связи, которая идёт в «никуда».
Петлевой адрес никогда не должен использоваться в качестве «Адрес отправителя сообщения» в любых 1Ру6-пакетах, которые пере даются одиночным IP-узлом. 1Ру6-пакет с петлевым адресом в поле «Адрес получателя» никогда не должен передаваться одиночным IP-узлом, а также никогда не должен транслироваться 1Ру6-мар- шрутизатором. Пакет с петлевым адресом в поле «Адрес получателя», поступивший на сетевой интерфейс, должен быть уничтожен.
Глобальные однонаправленные 1Ру6-адреса. Общий формат глобального однонаправленного 1Ру6-адреса представлен на рис. 12.4.
п бит |
1 |
т бит |
128-(п+т) бит |
Преф икс глобальной |
|
И д ен ти ф и катор подсети |
И д ен ти ф и катор интерф ейса |
|
|
м арш рутизации
Рис. 12.4. Общий формат глобального однонаправленного 1Ру6-адреса
Префикс глобальной маршрутизации (обычно имеет иерар хическую структуру) присваивается группе подсетей (линий связи), а идентификатор подсети присваивается линии связи в рамках этой группы подсетей.
Все глобальные однонаправленные 1Ру6-адреса (за исключе нием тех, которые начинаются с нулевой последовательности «000») имеют 64-битовой поле «Идентификатор интерфейса» (то есть, п + т = 64). Глобальные однонаправленные 1Ру6-адреса, которые начи наются с нулевой последовательности «000», имеют другую конст рукцию и формат.
Смешанная форма адресов. Существуют два типа 1Ру6-ад- ресов, которые содержат 1Ру4-адреса в 32 битах младшего порядка 1Ру6-адреса: