Мельников Д. А. - Организация и обеспечение безопасности информационно-технологических сетей и систем - 2012

© 1Ру6-адрес, совмещенный с 1Ру4-адресом;

в1Ру6-адрес, отображающий 1Ру4-адрес.

!Pv6-adpec, совмещенный с 1Ро4-адресом. Это тип адреса был

предназначен для поддержки процесса перехода от 1Ру4-адресации к 1Ру6-адресации. На рис. 12.5 представлен формат 1Ру6-адреса, со­ вмещённого с 1Ру4-адресом.

Рис. 12.5. Формат 1Ру6-адреса, совмещённого с 1Ру4-адресом

(Примечание. 1Ру4-адрес, который используется в 1Ру6-адресе, совмещённом с 1Ру4-адресом, должен быть глобальным уникальным однонаправленным 1Ру4-адресом.)

В настоящее время применение 1Ру6-адреса, совмещённого с 1Ру4-адресом, опротестовано, так как современные способы перехо­ да к 1Ру6-адресации больше не используют такие адреса. Поэтому новые и усовершенствованные алгоритмы и способы маршрутиза­ ции могут не использовать этот тип 1Ру6-адресов.

!Pv6-adpec, отображающий IPv4-adpec. В настоящее время опре­ делён второй тип 1Ру6-адреса, в который «вложен» 1Ру4-адрес. Этот тип 1Ру6-адреса используется для согласования с 1Ру4-адресами в IPузлах с 1Ру4-адресацией. На рис.12.6 представлен формат IPv6адреса, отображающего 1Ру4-адрес.

Рис. 12.6. Формат 1Ру6-адреса, отображающего 1Ру4-адрес

В стандарте RFC-4038 представлены правила использования 1Ру6-адресов, отображающих 1Ру4-адреса.

Однонаправленные 1Ру6-адреса для локальных линий свя­ зи. Такие 1Ру6-адреса используются в пределах одной линии связи. На рис. 12.7 представлен формат однонаправленного 1Ру6-адреса для локальной линии связи.

Данные адреса предназначены для использования для обозна­ чения интерфейсов в рамках одного канала (линии) связи в сле­ дующих целях:

вавтоматическая настройка адресов; о поиск соседних 1Р-узлов;

вв условиях отсутствия маршрутизаторов.

Марш рутизаторы никогда не долж ны транслировать в дру­ гие линии (каналы) связи какие-либо пакеты, содержащ ие в своих

долях «Адрес отправителя сообщения» или «Адрес получателя» {Руб-адрес для локальной линии связи.

10 б и т _______|__________ 54 б и т а __________;__________________ 64 б и т а __________________ j

Г 1 1 1 1 1 1 1 0 1 0 1 0 I И д ен ти ф и като р и нтерф ейса 1

Рис. 12.7. Формат однонаправленного 1Ру6-адреса для локальной

линии связи

Однонаправленные 1Ру6-адреса для локальных групп под­

сетей. Такие адреса были специально разработаны для обозначения интерфейсов внутри группы подсетей без использования в них гло­ бальных префиксов. Однако в настоящее время применение данных адресов опротестовано (RFC-3879).

На рис. 12.8 представлен формат однонаправленного IPv6адреса для локальных групп подсетей.

Рис. 12.8. Формат однонаправленного 1Ру6-адреса для локальных

групп подсетей

Специализированное применение этого префикса (RFC-3513) б ол ьш е не должно использоваться во вновь создаваемых системах (т() есть в новых сетях это префикс должен рассматриваться как гло­

ба л ь н ы й однонаправленный 1Ру6-адрес).

Всуществующих сетях он может использоваться по-прежнему.

12.6.Альтернативные IPve-адреса

Альтернативный 1Ру6-адрес представляет собой адрес, кото­ рой присваивается нескольким канальным (физическим) интер­ фейсам (обычно принадлежащих различным IP-узлам). Передан­ ной с таким адресом IP-пакет доставляется на один из канальных (физических) интерфейсов (IP-узлов), имеющих такой адрес (то есть ближайший» в соответствии с принятой метрикой протокола мар­ шрутизации).

Альтернативные адреса выбирают из пространства однона­ правленных 1Ру6-адресов, используя для этого один из возможных Форматов однонаправленных адресов. Таким образом, альтерна­ тивные адреса, с точки зрения семантики, ничем не отличаются от однонаправленных адресов. Если однонаправленный адрес при­ паивается нескольким канальным (физическим) интерфейсам, то

он превращается в альтернативный адрес, а IP-узлы, которым при­ своен этот адрес, должны однозначно «знать» (при их настройке), что такой адрес является альтернативным.

Во всех назначаемых альтернативных адресах присутствует более длинный префикс «Р», идентифицирующий топологический регион (сетевой сегмент), в котором постоянно присутствуют все интерфейсы, обозначенные альтернативными адресами с этим префиксом. Внутри региона, обозначенного префиксом «Р», аль­ тернативный адрес должен обслуживаться как выделенный компо­ нент конкретной системы маршрутизации (обычно именуемый как главный маршрут - «host route»). За пределами региона, обозначен­ ного префиксом «Р», альтернативный адрес может быть объединен с префиксом «Р» в общий компонент маршрутизации.

(Примечание. В наихудшем случае, префикс «Р» в группе аль­ тернативных адресов может иметь нулевое значение, то есть адреса этой группы могут вообще не принадлежать топологическому сег­ менту. В таком случае, альтернативный адрес должен обслуживать­ ся как выделенный компонент маршрутизации во всем пространст­ ве Internet, в котором точно известно предельное число поддержи­ ваемых «глобальных» групп альтернативных адресов. Более того, это предполагает, что обслуживание глобальных групп альтерна­ тивных адресов недопустимо или очень ограничено.)

Предполагаемое использование альтернативных адресов за­ ключается в следующем. Они могут применяться для идентифика­ ции группы маршрутизаторов, принадлежащей какой-либо органи­ зации, обеспечивающей функционирование Internet. Такие адреса могут использоваться как промежуточные адреса в заголовках мар­ шрутизации 1Ру6-пакетов, для решения задачи доставки пакетов че­ рез систему соответствующего провайдера или группы провайдеров.

Другим возможным применением альтернативных адресов может быть идентификация группы маршрутизаторов, закреплен­ ной за соответствующим сегментом сети, или группы маршрутиза­ тором, обеспечивающих доступ к сегменту по соответствующему маршруту.

Востребованные альтернативные 1Ру6-адреса. В настоящее время определены альтернативные адреса для маршрутизаторов подсетей. Формат таких адресов представлен на рис. 12.9.

Рис. 12.9. Формат альтернативных 1Ру6-адресв для маршрутизаторов подсетей

«Префикс подсети» в альтернативном адресе представляет собой префикс, который идентифицирует конкретную (выделенную) ли­ нию связи. Такой альтернативный адрес, с точки зрения семантики, совпадает с однонаправленным адресом интерфейса для линии связи, у которой групповой идентификатор интерфейсов равен нулю.

IP-пакеты, переданные на альтернативный адрес маршрутизато­ ра подсети, будут транслироваться на один маршрутизатор конкрет­ ной подсети. Необходимо, чтобы все маршрутизаторы транслировали IP-пакеты с альтернативными адресами маршрутизаторов подсетей в те подсети, в которых имеются интерфейсы с такими адресами.

Альтернативный адрес маршрутизатора подсети используется в тех реальных сетях, в которых IP-узлу необходимо иметь соедине­ ние хотя бы с одним маршрутизатором из группы маршрутизато­ ров, обслуживающих сеть.

12.7. Групповые IPve-адреса

Групповой 1Ру6-адрес представляет собой идентификатор группы интерфейсов (обычно на различных IP-узлах). Интерфейс может иметь любое количество групповых 1Ру6-адресов. Формат та­ ких адресов представлен на рис. 12.10.

Рис. 12.10. Формат групповых 1Ру6-адресов

Поля группового 1Ру6-адреса имеют следующие значения:

о8-битовое поле, состоящее из единиц - указывает на то, что ад­ рес является групповым 1Ру6-адресом;

•4-битовое поле «Флаги». Старший бит поля зарезервирован и всегда должен быть нулевым. Назначение и правила использо­ вания бита «R» представлены в стандарте RFC-3956. Назначе­ ние и правила использования бита «Р» представлены в стан­ дарте RFC-3306. Если бит «Т» имеет нулевое значение - это оз­ начает, что имеет место жестко закрепленный за кем-то или за чем-то (так называемый «всем (хорошо) известный» - «wellknown») групповой 1Ру6-адрес, назначаемый IANA. Если же бит «Т» имеет значение «1» - это означает, что имеет место временно закрепленный за кем-то или за чем-то («временно» или «динамически» назначаемый) групповой 1Ру6-адрес;

о4-битовое поле «Диапазон». Это поле используется для характе­ ристики (ограничения) диапазона используемого набора груп­ повых адресов. Оно может принимать следующие значения:

-«О» - зарезервировано;

-«1» - в пределах локального интерфейса. Этот адрес пере­ крывает диапазон только одного сетевого интерфейса (пет­ левой интерфейс или интерфейс с петлевым адресом), и используется только для групповой передачи 1Ру6-пакетов по петлевому маршруту;

-«2» - в пределах локальной линии связи. Этот адрес пере­ крывает диапазон в рамках одного и того же топологическо­ го пространства (сетевого сегмента) как диапазон соответст­ вующих однонаправленных адресов;

-«3» - зарезервировано;

-«4» - в пределах зоны локального администрирования. Этот адрес перекрывает наименьший диапазон, который управ­ ляется администратором сети (подсети), то есть в данном случае речь идёт об адресах, устанавливаемых «вручную» без каких-либо автоматизированных управляющих проце­ дур (включая удаленные) или процедур, не связанных с на­ стройкой групповых адресов;

-«5» - в пределах локальной группы подсетей. Этот адрес предназначен для покрытия диапазона одиночной группы подсетей (конкретного сетевого сегмента);

-«6» - назначение не определено («unassigned»). В этом слу­ чае (и последующих тоже) речь идет о том, что администра­ торам сетей (подсетей) разрешено использовать дополни­ тельные диапазоны групповых адресов в сетевых сегментах, находящихся в зонах их ответственности;

-«7» - назначение не определено;

-«8» - в пределах зоны ответственности организации. Этот ад­ рес предназначен для покрытия диапазона нескольких групп подсетей (конкретного сетевого сегмента), принадлежащих (находящихся в зоне ответственности) одной организации;

-«9» - назначение не определено;

-«А» - назначение не определено;

-«В» - назначение не определено;

-«С» - назначение не определено;

-«D» - назначение не определено;

-«Е» - глобальный диапазон;

-«F» - зарезервировано.

о112-битовое поле «Идентификатор группы». Оно идентифи­ цирует определённый набор групповых адресов, назначенных в постоянное или временное использование в рамках конкрет-

ного диапазона. Более подробное назначение и правила ис­ пользования данного поля представлены в стандарте RFC-3306. Особенность постоянно-назначенных групповых адресов за­ ключается в их независимости от величины диапазона. Например, если группе серверов сетевого времени (NTP-серверы, Network Time Protocol) присвоен постоянный групповой 1Ру6-адрес с идентифи­

катором группы «101» (шестнадцатеричный), то тогда:

о«FF01:0:0:0:0:0:0:101» означает, что все NTP-серверы в качестве отправителя сообщения имеют одинаковый идентификатор интерфейса (то есть один и тот же 1Р-узел);

о«FF02:0:0:0:0:0:0:101» означает, что все NTP-серверы в качестве отправителя сообщения имеют одинаковый идентификатор линии (канала) связи;

о«FF05:0:0:0:0:0:0:101» означает, что все NTP-серверы в качестве отправителя сообщения имеют одинаковый идентификатор группы подсетей (то есть сетевого сегмента);

о«FF0E:0:0:0:0:0:0:101» означает, что все NTP-серверы «размеще­ ны» в Internet.

Временно присваиваемые групповые номера имеют «смысл» только в пределах конкретного диапазона. Например, группе интер­ фейсов конкретного сетевого сегмента присвоен временный группо­ вой адрес для локальной группы подсетей «FF15:0:0:0:0:0:0:101», причем этот сегмент никак не связан с аналогичным сегментом, группа ин­ терфейсов которого использует тот же самый адрес, либо с другим сегментом, группа интерфейсов которого использует тот же самый идентификатор группы, но в другом диапазоне, либо с другим сег­ ментом, группа интерфейсов которого использует постоянный груп­ повой адрес, но с таким же идентификатором группы.

Групповые 1Ру6-адреса не должны использоваться как «Адрес отправителя сообщения» в 1Ру6-пакетах или присутствовать в ка­ ком-либо заголовке маршрутизации. Маршрутизаторы никогда не должны транслировать любые 1Ру6-пакеты с групповыми адресами, принадлежащим диапазону, который обозначен в поле «Диапазон» группового адреса, размещенного в поле «Адрес получателя».

IP-узлы никогда не должны отправлять пакеты с групповыми ад­ ресами в поле «Адрес отправителя сообщения», в котором поле «Диа­ пазон» содержит зарезервированное нулевое значение. Если, тем не менее, такой пакет принят, он должен быть по умолчанию уничтожен. Целесообразно, чтобы IP-узлы никогда не отправляли пакеты с груп­ повыми адресами в поле «Адрес отправителя сообщения», в котором поле «Диапазон» содержит зарезервированное значение «F». Если, тем не менее, такой пакет принят, он должен восприниматься как IPv6пакеты с глобальным групповым адресом (диапазон «Е»).

П редварительно назначенны е групповы е IPv6-aApeca. К пред­ варительно назначенным групповым ГРуб-адресам относятся так на­ зываемые «всем (хорошо) известные» групповые адреса. Рассмот­ ренные далее групповые идентификаторы имеют точные значения своих диапазонов.

Использование этих групповых идентификаторов в пределах любых других диапазонов запрещено, если флаг «Т» имеет нулевое значение.

К зарезервированным групповым 1Ру6-адресам относятся сле­ дующие:

FF00:0:0:0:0:0:0:0; FF01:0:0:0:0:0:0:0; FF02:0:0:0:0:0:0:0; FF03:0:0:0:0:0:0:0; FF04:0:0:0:0:0:0:0; FF05:0:0:0:0:0:0:0; FF06:0:0:0:0:0:0:0; FF07:0:0:0:0:0:0:0; FF08:0:0:0:0:0:0:0; FF09:0:0:0:0:0:0:0; FF0A:0:0:0:0:0:0:0; FF0B:0:0:0:0:0:0:0; FF0C:0:0:0:0:0:0:0; FF0D:0:0:0:0:0:0:0; FF0E:0:0:0:0:0:0:0; FFOF:0:0:0:0:0:0:0.

Эти адреса являются резервными и никогда не должны при­ сваиваться какой-либо группе интерфейсов.

К групповым Шуб-адресам для всех IP-узлов относятся сле­ дующие:

FFO1:0:0:0:0:0:0:1; FF02:0:0:0:0:0:0:1.

Эти адреса идентифицируют группу, состоящую из всех Шубузлов, в которой адрес содержит поле «Диапазон» со значением «1» или «2».

К групповым 1Ру6-адресам для всех маршрутизаторов относят­ ся следующие:

FF01:0:0:0:0:0:0:2; FF02:0:0:0:0:0:0:2; FF05:0:0:0:0:0:0:2 .

Эти адреса идентифицируют группу, состоящую из всех Шубмаршрутизаторов, в которой адрес содержит поле «Диапазон» со значением «1», или «2», или «5».

К групповым Шуб-адресам запрашиваемых Ш-узлов относятся следующие:

FF02:0:0:0:0:1:FFXX:XXXX.

Эти адреса вычисляются как функция однонаправленных и альтернативных адресов Ш-узлов. Групповой 1Ру6-адрес запраши­ ваемых Ш-узлов формируется следующим образом: 24 младших бит адреса (однонаправленного и альтернативного) присоединяются к префиксу «FF02:0:0:0:0:1:FF00::/104» и в результате имеем следую­ щий диапазон групповых адресов:

FF02:0:0:0:0:1:FF00:0000 ... FF02:0:0:0:0:1:FFFF:FFFF .

Например, Шуб-адресу «4037::01:800:200Е:8С6С» соответствует следующий групповой Шуб-адрес запрашиваемых Ш-узлов: «FF02::1:FF0E:8C6C».

головком верхнего уровня. Для такой доставки существует несколь­ ко так называемых заголовков расширения, причём каждый из них идентифицируется собственным значением в поле «Следующий заголовок». На рис. 12.12 приведены примеры нескольких заголов­ ков расширения в 1Ру6-пакетах.

Рис. 12.12. Примеры заголовков расширения в 1Ру6-пакетах

За одним исключением, заголовки расширения не проверяются и не обрабатываются IP-узлами на протяжении всего маршрута дос­ тавки 1Ру6-пакета, причём до тех пор, пока последний не достигнет IP-узла (или каждого IP-узла из группы IP-узлов, в случае групповой рассылки пакета), адрес которого содержится в поле «Адрес получа­ теля пакета» 1Ру6-заголовка. В данном случае при нормальном де­ мультиплексировании поле «Следующий заголовок» ГРуб-заголовка «запрашивает» специализированный модуль для обработки первого заголовка расширения или заголовка вышележащего уровня, если конечно заголовок расширения отсутствует. Содержание и семантика каждого заголовка расширения определяет необходимо или нет пе­ реходить к обработке следующего заголовка. Более того, заголовки расширения должны обрабатываться именно в том порядке, как они представлены в 1Ру6-пакете. Приёмный модуль никогда не должен, например, сканировать весь 1Ру6-пакет в поисках соответствующего типа заголовка расширения и обрабатывать найденный заголовок прежде всех остальных заголовков расширения.

Указанное выше исключение относится к заголовку «Допол­ нительные функции: ретрансляция» («Нор-Ьу-Нор Options»), со­ держащему информацию, которая должна контролироваться и об­ рабатываться каждым IP-узлом, расположенном на маршруте дос­ тавки 1Ру6-пакета, включая IP-узлы отправителя и получателя. Если такой заголовок представлен, то он должен следовать сразу же после