close

Вход

Забыли?

вход по аккаунту

?

Vasin Tehnologii paketnoj kommutacii uchebnik dlya vuzov 2017

код для вставкиСкачать
Н.Н. Васин
Технологии пакетной коммутации
УЧЕБНИК
Для студентов по направлению подготовки бакалавров:
11.03.02 – Инфокоммуникационные технологии и системы связи
Самара, ПГУТИ
2017
1
УДК 004.3
621.395
Васин Н.Н.
В Технологии пакетной коммутации: Учебник для вузов. – Самара: ПГУТИ, 2017. – 460 с.
Рассматриваются принципы построения сетей пакетной коммутации, основные
технологии локальных сетей, принципы и средства межсетевого взаимодействия,
принципы
построения
и
функционирования
глобальных
сетей.
Описано
функционирование и основные характеристики коммутаторов и маршрутизаторов,
приводятся примеры технологий конфигурирования устройств, их проверки и отладки.
Рекомендовано Учебно-методическим советом ФГБОУ ВО «Поволжский
государственный университет телекоммуникаций и информатики» к изданию в качестве
учебника по дисциплине «Технологии пакетной коммутации», входящей в учебный план
направления подготовки бакалавров 11.03.02 – Инфокоммуникационные технологии и
системы связи.
Рекомендовано ФГБОУ ВО «Санкт-Петербургский государственный университет
телекоммуникаций им. проф. М.А. Бонч-Бруевича» в качестве учебника по дисциплине
«Технологии пакетной коммутации» для подготовки бакалавров, обучающихся по
направлению 11.03.02 – Инфокоммуникационные технологии и системы связи.
Регистрационный номер рецензии № 2959/54 от 13.12.2016, подписанной
проректором по научной работе СПбГУТ, к.т.н., доцентом К.В. Дукельским.
Рецензенты:
заведующий кафедрой сетей связи и передачи данных СПбГУТ,
председатель 11 исследовательской комиссии МСЭ-Т, почетный член НТОРЭС им.
А.С. Попова, д.т.н., профессор А.Е. Кучерявый;
декан факультета инфокоммуникационных сетей и систем, заведующий кафедрой
программной инженерии и вычислительной техники СПбГУТ, к.т.н., профессор
Л.Б. Бузюков.
Федеральное государственное бюджетное образовательное учреждение
высшего образования
«Поволжский государственный университет телекоммуникаций и информатики»
 Васин Н.Н., 2017
2
ОГЛАВЛЕНИЕ
стр
6
7
Предисловие
Введение
Часть 1. Основы построения сетей пакетной коммутации
9
Глава 1. Общие вопросы технологий сетей пакетной коммутации
1.1. Основные термины и определения
1.2. Локальные и глобальные сети
1.3. Мультисервисные сети
1.4. Информационная безопасность
9
9
15
20
24
Глава 2. Операционная система и конфигурационный файл
2.1. Программно аппаратные средства локальных и глобальных сетей
2.2. Основы конфигурирования устройств Cisco
2.3. Конфигурирование интерфейсов
32
32
38
47
Глава 3. Протоколы обмена сообщениями
3.1. Общие сведения о протоколах обмена сообщениями по сети
3.2. Организации по стандартизации протоколов
3.3. Семиуровневая модель взаимодействия открытых систем
3.4. Процесс передачи сообщений по сети
55
55
57
59
66
Глава 4. Физический уровень сетевой модели
4.1. Общие сведения о физическом уровне
4.2. Медные кабели
4.3. Волоконно-оптические кабели
4.4. Беспроводная среда
4.5. Кодирование передаваемых по сети данных
4.6. Модуляция
4.7. Топология сетей
72
72
73
78
84
87
91
95
Глава 5. Канальный уровень сетевой модели OSI
5.1. Общие сведения о канальном уровне
5.2. Форматы кадров канального уровня
5.3. Адресация в локальных сетях
5.4. Протокол ARP
5.5. Коммутаторы в локальных сетях
5.6. Режимы коммутации
5.7. Параметры коммутаторов
5.8. Коммутаторы второго и третьего уровня
104
104
109
114
116
119
123
125
127
Глава 6. Сетевой уровень модели OSI
6.1. Общие сведения о сетевом уровне
6.2. Протокол IPv4
6.3. Протокол IPv6
6.4. Принципы маршрутизации
134
134
136
138
143
Глава 7. Адресация в IP-сетях
7.1. Логические адреса версии IPv4
7.2. Виды рассылки данных
7.3. Частные и публичные адреса
7.4. Общие сведения об адресах версии IPv6
151
151
156
158
160
3
7.5. Типы адресов IPv6
7.6. Протокол ICMPv6
7.7. Методы сетевой миграции
163
173
175
Глава 8. Формирование подсетей
8.1. Формирование подсетей IPv4
8.2. Агрегирование адресов
8.3. Особенности формирования подсетей IPv6
181
181
188
190
Глава 9. Транспортный уровень моделей OSI, TCP/IP
9.1. Общие сведения о транспортном уровне
9.2. Установление соединения
9.3. Передача данных
195
195
203
205
Глава 10.Прикладной уровень
10.1. Верхние уровни сетевых моделей
10.2. Модели построения сети
10.3. Примеры протоколов прикладного уровня
210
210
212
213
Часть 2. Маршрутизация и коммутации
225
Глава 11. Принципы и средства межсетевого взаимодействия
11.1. Функции маршрутизаторов
11.2. Маршрутизаторы в сетях IPv6
11.3. Передача данных в сетях с маршрутизаторами
225
Глава 12. Статическая маршрутизация
12.1. Основы статической маршрутизации
12.2. Конфигурирование статической маршрутизации
12.3. Конфигурирование статической маршрутизации по умолчанию
12.4. Маршрутизация в сетях с бесклассовой адресацией
12.5. Статическая маршрутизация в сетях IPv6
248
248
250
255
257
259
Глава 13. Динамическая маршрутизация
13.1. Общие сведения о протоколах динамической маршрутизации
13.2. Протокол RIP
13.3. Протоколы RIP-2 и RIPng
13.4. Протокол EIGRP
266
266
273
282
289
Глава 14. Протокол OSPF
14.1. Общие сведения о протоколе OSPF
14.2. Конфигурирование протокола OSPF
14.3. Особенности конфигурирования протокола OSPF3
303
303
313
322
Глава 15. Списки контроля доступа
15.1. Функционирование списков доступа
15.2. Конфигурирование стандартных списков доступа
15.3. Конфигурирование расширенных списков доступа
15.4. Списки доступа IPv6
331
331
335
339
344
Глава 16. Коммутируемые сети
16.1. Иерархическая модель построения локальных сетей
16.2. Конфигурирование коммутаторов
16.3. Безопасность сетей на коммутаторах
16.4. Протокол охватывающего дерева STP
350
350
358
366
371
4
225
233
237
Глава 17. Виртуальные локальные сети
17.1. Общие сведения о виртуальных локальных сетях
17.2. Конфигурирование виртуальных локальных сетей
17.3. Конфигурирование транковых соединений
17.4. Безопасность сетей VLAN
17.5. Маршрутизация между виртуальными локальными сетями
385
385
393
399
402
405
Глава 18. Протокол динамического конфигурирования узлов
18.1. Общие сведения о динамическом конфигурировании узлов
18.2. Конфигурирование сервера DHCP на маршрутизаторе
18.3. Общие сведения о протоколе DHCPv6
18.4. Конфигурирование сервера DHCPv6 на маршрутизаторе
416
416
418
423
426
Глава 19. Трансляция адресов
19.1. Общие сведения о трансляции адресов
19.2. Конфигурирование трансляторов
434
434
440
Заключение
453
Список литературы
454
Список терминов и сокращений
455
5
ПРЕДИСЛОВИЕ
Настоящий учебник «Технологии пакетной коммутации» предназначен
для подготовки бакалавров по направлению «Инфокоммуникационные
технологии и системы связи» (11.03.02). Он может быть полезен для
подготовки специалистов 090302 – «Информационная безопасность
телекоммуникационных систем», а также для слушателей курсов повышения
квалификации в области технологий пакетной коммутации.
Вопросам создания компьютерных сетей посвящен достаточно
обстоятельный учебник [1], который выдержал ряд изданий. Однако большой
объем учебника затрудняет пользование им студентами. Кроме того, в
учебнике практически не рассматриваются вопросы и примеры
конфигурирования аппаратных средств сетей связи, что стало актуально в
последнее время.
В учебнике [2] излагаются материалы по созданию сетей и систем
практически
всех
видов.
Вопросам
построения
современных
мультисервисных сетей связи посвящены учебные пособия [3, 4]. Однако
вопросы конфигурирования аппаратных средств в них также не
рассматриваются.
При создании сетей передачи данных в настоящее время широко
используются аппаратные средства фирм Cisco и Huawei. Вопросы
конфигурирования, отладки и проверки оборудования в таких сетях
приведены в узкоспециализированных учебных руководствах [5 - 8], которые
характеризуются очень большим объемом.
Поэтому возникла необходимость в учебнике для обучения студентов
технологиям сетей передачи данных с коммутацией пакетов. В связи с
переходом на ФГОС 3+ были созданы учебные пособия [9, 10], на основе
которых издан учебник [11]. Вашему вниманию предлагается электронная
версия учебника [11] с небольшими изменениями.
Учебным планом по направлению подготовки бакалавров 11.03.02 –
Инфокоммуникационные технологии и системы связи предусмотрен
двухсеместровый курс «Технологии пакетной коммутации». Поэтому
учебник разделен на 2 части: Часть 1 – Основы построения сетей пакетной
коммутации; Часть 2 – Маршрутизация и коммутация.
6
ВВЕДЕНИЕ
В настоящее время Интернет является глобальной сетью передачи
данных на земле, которая создала единое информационное пространство.
Интернет состоит из множества больших и малых сетей, а также
индивидуальных компьютеров, которые связаны между собой. Основу
Интернета составляют IP-технологии пакетной коммутации сообщений.
Современные тенденции развития систем и сетей телекоммуникаций
предполагают предоставление разных видов услуг: обмен данными, передача
аудио- и видеоинформации по единой мультисервисной сети связи. Для этой
цели создаются сети следующего поколения Next Generation Network – NGN.
Передача мультисервисной информации по сети Интернет реализуется,
главным образом, на базе протокола TCP/IP (Transmission Control Protocol /
Internet Protocol – Протокол управления передачей/Межсетевой протокол).
Стек TCP/IP – это набор протоколов (правил), которые были развиты, чтобы
позволить компьютерам совместно использовать ресурсы сети.
Широко распространенным оборудованием в сетях TCP/IP являются
коммутаторы и маршрутизаторы фирмы Cisco. Поэтому в настоящем
учебнике вопросы конфигурирования сетевых устройств рассматривается на
примере оборудования фирмы Cisco, которое используется на кафедрах
ПГУТИ, где работает автор, и в Самарском региональном техническом
тренинг центре (СРТТЦ), на базе которого функционирует сетевая академия
Cisco – учебный центр международного стандарта. В настоящее время
ведется подготовка студентов и переподготовка специалистов в соответствии
с программой CCNA 5 версии, на которую и ориентирован настоящий
учебник, готовится переход на версию 6.
При использовании реального оборудования, например, из 4
маршрутизаторов и 4 коммутаторов группа студентов из 5 – 7 человек
вынуждена конфигурировать один маршрутизатор, что снижает
эффективность обучения. Для устранения данного недостатка в дополнение к
существующему оборудованию используются программные имитаторы
функционирования сети. В настоящее время сетевая академия Cisco
предоставляет каждому слушателю курсов CCNA симулятор Packet Tracer,
имеющий очень широкие возможности по моделированию сети.
7
Общедоступный открытый симулятор Graphical Network Simulator –
GNS3 имеет большие возможности, но требует много вычислительных
ресурсов. Открытое программное обеспечение GNS3 можно бесплатно
скачать с официального сайта (https://www.gns3.com/). Уникальной
особенностью GNS3 является способность объединения моделируемой сети
и реального оборудования.
Конфигурирование маршрутизаторов и коммутаторов в среде
симулятора внешне ничем не отличается от работы с реальным
оборудованием. При этом на каждом компьютере с установленным
симулятором можно конфигурировать достаточно сложную сеть,
включающую несколько маршрутизаторов, коммутаторов и компьютеров, а
также некоторых других сетевых устройств, таких как серверы, IP телефоны.
Данный комплекс позволяет студентам и слушателям курсов повышения
квалификации полноценно освоить программирование аппаратуры без риска
повредить реальную аппаратуру сетевого комплекса. На реальном же
оборудовании проводится закрепление полученных знаний и навыков.
В предлагаемом учебнике рассматриваются принципы технологий
пакетной коммутации, построения сетей передачи данных, основные
технологии локальных сетей, принципы и средства межсетевого
взаимодействия,
функционирование
и
основные
характеристики
коммутаторов и маршрутизаторов, конфигурирование и маршрутизацию
сетей и устройств. Теоретический материал закрепляется в процессе ответов
на вопросы и выполнения упражнений, приведенных в конце каждой главы.
8
Часть 1. Основы построения сетей пакетной
коммутации
Глава 1. ОБЩИЕ ВОПРОСЫ ТЕХНОЛОГИЙ СЕТЕЙ ПАКЕТНОЙ
КОММУТАЦИИ
Приведены основные понятия и определения технологий сетей пакетной
коммутации. Назначение, виды, архитектура сетей пакетной коммутации, виды
информационного обслуживания, службы и услуги электросвязи. Технологии сетей
передачи данных.
1.1. Основные термины и определения
Сети и системы передачи информации представляют собой комплекс
аппаратных
и
программных
средств,
обеспечивающих
обмен
информационными сообщениями между абонентами с заданными
параметрами качества. По системам и сетям передаются телефонные
сообщения фиксированной и подвижной (мобильной) связи, цифровые
данные компьютеров, видеоинформация.
Сообщение – форма представления информации, удобная для передачи
на расстояние. Отображение сообщения обеспечивается изменением какоголибо параметра информационного сигнала, который представляет собой
определенный физический процесс. В сетях и системах передачи сообщений
используются электромагнитные сигналы, передача и прием которых
производится по направляющей среде: по медным проводам, по оптическому
волокну или беспроводной среде распространения. Процесс обмена
сообщениями посредством электромагнитных сигналов получили название
электросвязь.
Множество источников и приемников сообщений, соединенных между
собой аппаратными средствами и средой передачи сигналов (линиями связи),
образуют сеть передачи информации (инфокоммуникационную сеть).
Абоненты, получающие услуги инфокоммуникационных сетей по обмену
сообщениями (компьютерными данными, аудио- и видеоинформацией),
являются пользователями сетевых услуг.
9
Аппаратура абонентов (рис. 1.1) представлена узлами (У) или, подругому, конечными узлами сетей, которым соответствует широко
распространенное англоязычное наименование Host (хост). Соединение
многочисленных узлов, находящихся на большом расстоянии между собой,
обычно производится через транзитные (промежуточные) сетевые элементы
(СЭ) или пункты связи.
У1
Маршрут
B
У2
A СЭ1
У4
Интерфейс
C
D
Маршрут
B
A
У3
СЭ2
D
СЭ3
E
B
A
У5
C
C
У6
Маршрут
Рис.1.1. Сеть передачи сообщений
Конечные узлы сетей (серверы, рабочие станции, персональные
компьютеры, ноутбуки, планшеты, смартфоны, телефонные аппараты и т.д.)
создают и принимают передаваемые сообщения, обычно в виде цифровых
данных. Конечные узлы всех видов условно представлены на рис. 1.1 в виде
компьютеров. Сетевые элементы направляют передаваемые сообщения по
определенному пути (маршруту) от источника до получателя и управляют
передаваемым потоком данных.
Таким образом, инфокоммуникационная сеть представляет собой
совокупность узлов (У) и сетевых элементов (СЭ), соединенных линиями
(каналами) связи. При этом сетевые элементы производят переключение
(коммутацию) поступившего сообщения с входного порта (интерфейса) на
10
выходной. Например, в сети рис. 1.1 при передаче сообщения от конечного
узла У1 узлу У6 сетевой элемент СЭ1 производит коммутацию сообщения с
входного интерфейса В на выходной интерфейс С, сетевой элемент СЭ3 – с
входного интерфейса В на выходной Е. При этом формируется определенный
канал (или маршрут), по которому передается сообщение. Процесс
формирования канала и передачи сообщения с входного интерфейса на
выходной получил название коммутация. В сетях с коммутацией каналов
сформированный канал передается абонентам (пользователям) на
определенное время или в постоянное пользование.
В некоторых сетях все возможные маршруты заранее созданы и
необходимо только выбрать оптимальный. Процесс выбора оптимального
маршрута получил название маршрутизация, а устройство ее реализующее
– маршрутизатор. Таким образом, промежуточные сетевые элементы могут
выполнять функции коммутаторов, которые формируют маршрут, и (или)
маршрутизаторов, которые производят выбор оптимального маршрута.
Совокупность передаваемых сообщений, или последовательность
информационных единиц, объединенных общими признаками, получила
название информационный поток.
По отдельным соединениям (линиям связи) сети может одновременно
передаваться несколько сообщений, которые не должны мешать друг другу.
Поэтому для каждого сообщения в линии связи создается свой канал.
Процесс формирования каналов и объединения (уплотнения) нескольких
исходных (трибутарных) потоков на передающей стороне получил название
мультиплексирование, а разделение объединенного (агрегированного)
потока на его составляющие на приемной стороне называется
демультиплексирование. Эти процессы реализуют сетевые элементы
мультиплексоры, входящие в состав систем передачи информации.
В связи с большим разнообразием видов передаваемых сообщений и
сигналов, среды распространения, методов и устройств коммутации или
маршрутизации сигналов и информационных потоков существующие сети
классифицируются согласно требованиям Единой сети электросвязи
Российской Федерации (ЕСЭ РФ). Разнообразные классификационные
признаки, характеристики, параметры обусловили большое количество видов
(типов) сетей, примерами которых могут служить:
- сети транспортные и сети доступа;
11
- сети магистральные и местные;
- телефонные сети общего пользования (ТфОП), т.е. сети
фиксированной связи, и сети подвижной связи (сотовые, спутниковые);
- сети передачи данных (компьютерные, телеграфные);
- сети с коммутацией каналов и сети с коммутацией пакетов;
- сети локальные и глобальные.
В настоящем курсе рассматриваются, в той или иной степени, все сети
передачи информации с вышеприведенными классификационными
признаками. За основу принята классификация сетей с коммутацией
каналов и коммутацией пакетов. В сетях с коммутацией каналов
предварительно сформированный канал предоставляется в распоряжение
абонентов, обменивающихся сообщениями. Поэтому в таких сетях
сравнительно легко обеспечиваются требования безопасности и качества
передачи сообщений, однако эффективность использования канала
сравнительно низкая. Формирование каналов реализуют коммутаторы.
В сетях с коммутацией пакетов все возможные маршруты заранее
созданы (скоммутированы) и маршрутизатор выбирает оптимальный путь.
Эффективность использования каналов в сетях с коммутацией пакетов выше,
чем в сетях с коммутацией каналов. Поэтому сети с коммутацией пакетов
стали основой при создании всемирной сети Интернет.
Всемирная сеть Интернет образована совокупностью сетей операторов
и провайдеров (Internet Service Provider – ISP) фиксированной и мобильной
связи (рис. 1.2). Провайдеры ISP предоставляют доступ в Интернет (и
связанные с этим услуги) отдельным пользователям (абонентам), а также
пользователям, объединенным в локальные сети, примером которых
являются домашние сети, а также сети малых предприятий, компьютерные
классы.
Интернет является глобальной сетью передачи информации на Земле,
создавшей единое информационное пространство. Функционирование
Интернета базируется на технологиях сетей с коммутацией пакетов, основу
которых составляет разработанный набор (стек) протоколов TCP/IP
(Transmission Control Protocol/Internet Protocol – Протокол управления
передачей/Межсетевой протокол). Стек протоколов TCP/IP представляет
собой совокупность правил, позволяющих абонентам совместно
использовать сетевые ресурсы.
12
Оператор
фиксированной
связи
Провайдер
Оператор
мобильной
связи
Провайдер
Сеть доступа
Локальная сеть
Локальная сеть
Пользователи
Пользователи
Рис.1.2. Схематичное изображение сети Интернет
Как правило, сетевые ресурсы и услуги сосредоточены на выделенных
серверах, которые представляют собой компьютеры с соответствующим
серверным программным обеспечением, например, веб-серверы. На
компьютерах пользователей сетевых услуг устанавливается клиентское
программное обеспечение, например, веб-браузеры. Для получения
требуемых услуг клиенты обращаются к серверам.
Создание Всеобъемлющего Интернета (Internet of Everything – IoE)
предполагает объединение в рамках общего сетевого пространства не только
всех видов компьютеров пользователей, но и бытовых приборов, а также
технологических процессов.
При движении к созданию Всеобъемлющего Интернета (IoE) получил
развитие целый ряд сетевых технологий:
веб-журналы (блоги), представляющие собой персональные дневники;
вики-ресурсы – дневники, создаваемые группой людей, например,
википедия;
13
подкасты – технологии, позволяющие предоставлять созданные
пользователями аудио-файлы широкой аудитории через блоги и викиресурсы;
технологии Tele Presence, которые позволяют в режиме реального
времени проводить видеоконференции;
системы обмена мгновенными сообщениями (Instant Messaging – IM)
также относятся к технологии реального времени, когда общение обычно
происходит между двумя собеседниками;
одноранговые сети (peer-to-peer) и их приложения P2P, позволяющие
пользователям обмениваться сообщениями без их загрузки и хранения на
выделенном сервере.
Сравнивая между собой сети с выделенными серверами и
одноранговые сети, следует отметить, что сети peer-to-peer проще. В них
компьютеры могут выступать в роли, как серверов, так и клиентов. Однако в
одноранговых сетях сложнее реализовать управление и безопасность, сети
Р2Р плохо масштабируются. Поэтому в настоящее время большее
распространение получили сети с выделенными серверами.
Новые инфокоммуникационные технологии позволяют студентам
использовать на занятиях сетевые ресурсы учебных заведений через личные
планшеты и смартфоны. Доступ к ресурсам учебного заведения может быть
организован через проводную или беспроводную сеть. Использование
собственных устройств сотрудников и учащихся получило специфическое
название «принеси свое собственное устройство» (Bring Your Own Device –
BYOD). При этом используются совместные ресурсы сети предприятия и
устройств сотрудников. Однако в этом случае локальные сети предприятий и
учебных заведений необходимо перестраивать, поскольку возрастает риск
безопасности из-за того, что личные устройства не контролируются
сотрудниками информационной службы предприятия или вуза.
Другой способ получения дополнительных ресурсов – облачные
вычисления, когда через Интернет по подписке или через оплачиваемые
услуги можно получать доступ к приложениям, организовать хранение
файлов. При этом экономятся финансовые средства, т.к. нет необходимости
создания дополнительного программного обеспечения или развертывания
новых серверов.
14
Крупные предприятия, создавая собственные корпоративные сети,
выделяют в них области сети (сегменты), предназначенные только для
сотрудников (интранет), а также области, где внешние (сторонние) партнеры
получают доступ к некоторым (ограниченным) ресурсам сети (экстранет).
Экстранет обычно представлен серверами, к которым имеют доступ внешние
пользователи, например, предоставление пациентам доступа к серверу для
записи на прием к врачу.
1.2. Локальные и глобальные сети
Локальные сети (Local Area Network – LAN) функционируют в
пределах ограниченного географического пространства (в пределах комнаты,
этажа, здания или группы близко расположенных зданий). Совокупность
нескольких локальных сетей, объединенных линиями связи, называют
составной, распределенной или глобальной сетью (Wide Area Network –
WAN). Глобальные сети обеспечивают связь между далеко расположенными
локальными сетями, удаленными пользователями (рис. 1.3). Сети WAN
должны переносить различные типы трафика (голос, видео, данные) с
требуемым качеством обслуживания. Сети WAN строят на основе различных
технологий, в том числе с коммутацией каналов и с коммутацией пакетов.
Локальная сеть А
Switch
Глобальная сеть С
Локальная сеть В
Switch
Router
Router
Router
Router
Host
Host
Host
Host
Рис. 1.3. Локальные и глобальные сети
Любые сети (локальные, глобальные) включают три составляющих:
устройства, среда передачи, услуги (сервисы). Сетевые устройства на
рис.1.3 представлены конечными узлами (Host) и промежуточными
устройствами: коммутаторами (Switch), маршрутизаторами (Router).
15
Среда передачи на рис.1.3 представлена черными прямыми линиями
соединений Ethernet и молниевидными линиями глобальных соединений. В
качестве среды в сетях передачи могут использоваться медные и волоконнооптические кабели, а также радиоканалы беспроводной среды. При выборе
среды передачи данных необходимо учитывать скорость и расстояние, на
которое требуется передавать сигналы, а также условия эксплуатации (город,
сельская местность, горы, болота и т.д.). Определяющую роль часто играет
стоимость оборудования, прокладки кабелей, стоимость эксплуатации.
Конечные узлы (host) сетей создают и принимают передаваемые по
сети сообщения (компьютеры, видеокамеры, сетевые принтеры, аппараты IPтелефонии и т.д.). Конечные узлы всех видов условно представлены на рис.
1.3 в виде компьютеров. Чтобы передача сообщений была адресной, всем
узлам должны быть присвоены адреса.
Промежуточные сетевые устройства (маршрутизаторы, коммутаторы)
сами не создают и не изменяют передаваемые сообщения, но выбирают
наилучший путь от источника до адресата назначения и управляют
передаваемыми потоками, обеспечивая требуемый уровень качества и
безопасности передаваемой информации, фильтруя потоки данных. При
выходе из строя основного маршрута промежуточные устройства
перенаправляют сообщения по альтернативным путям.
Локальные сети LAN, функционируя на ограниченном географическом
пространстве при ограниченном количестве пользователей, обеспечивают
более высокую скорость передачи сообщений по сравнению с глобальными
сетями WAN. Управление локальными сетями обычно производится одной
организацией, что повышает качество и безопасность передаваемой
информации. Администрирование глобальных сетей, разнесенных на
большие расстояния, реализуют разные провайдеры ISP. Причем, для разных
информационных потоков, передаваемых по глобальным сетям,
предъявляются разные требования по скорости, информационной
безопасности и надежности.
Интернет сервис-провайдеры ISP обеспечивают доступ в Интернет,
используя различные технологии. В настоящее время все более широкое
распространение получают технологии оптических сетей доступа с
обобщенным названием FTTx. Технология Fiber-To-The-Curb (FTTC)
предусматривает передачу сигнала от оператора или провайдера,
16
предоставляющих услуги глобальных сетей, до распределительного узла,
связанного с пользователями (абонентами). Распределительный узел может
быть один на несколько зданий. От распределительного узла до здания
передача информации ведется с использованием технологии Fiber-To-TheBuilding (FTTB). Технологии Fiber-To-The-Home (FTTH) предусматривает
передачу оптического сигнала до квартиры пользователя.
Кроме FTTB, FTTH для доступа пользователей в Интернет широко
используются технологии передачи сигналов по медным кабелям.
Ассиметричные (ADSL) и симметричные (SHDSL) цифровые абонентские
линии (Digital Subscriber Line) передают сообщения по аналоговым
телефонным линиям с использованием DSL-модемов. В сетях DSL
используется частотное разделение каналов (телефонного, канала получение
и канала передачи сообщений). Скорость получения информации обычно
составляет несколько Мбит/с и выше. С увеличением расстояния между
абонентом и провайдером скорость передачи снижается.
Коммутируемый доступ по аналоговым телефонным линиям (Dial-up)
через модем в настоящее время практически не используется.
Для подключения к Интернету домашних сетей и сетей малых
предприятий операторы кабельного телевидения широко используют уже
проложенные медные коаксиальные кабели. Кабельные технологии, также
как DSL, обеспечивают постоянный доступ в Интернет с высокой скоростью.
Операторы сотовой связи предоставляют беспроводные модемы, что
делает пользователя мобильным, однако скорость передачи информации
существенно ниже кабельного и DSL подключений.
В удаленных труднодоступных местах, когда невозможно использовать
вышеперечисленные
технологии
доступа
можно
воспользоваться
спутниковыми системами связи.
Для подключения корпоративных сетей (intranet) требуются
широкополосные сети доступа на основе технологий плезиохронной (PDH) и
синхронной (SDH) цифровых иерархий. Потоки иерархии PDH обеспечивают
скорость передачи от 2 Мбит/c до 139 Мбит/c, синхронный цифровой
иерархии – от 155 Мбит/c до 10 Гбит/c и выше. Кроме того используются
соединения MetroEthernet со скоростями передачи информации 10 Гбит/c, 40
Гбит/c, 100 Гбит/c.
17
На рис. 1.4 приведены основные технологии локальных и глобальных
сетей передачи данных.
Технологии сетей
передачи данных
Локальные
Ethernet
Fast
Ethernet
Gigabit
Ethernet
Глобальные
10 Gigabit
Ethernet
С коммутацией
пакетов
С коммутацией
каналов
MPLS
FR
ATM
PDH, SDH,
WDM, OTN
IP
Выделенные
линии
Рис. 1.4. Классификация технологий сетей передачи данных
В сетях с коммутацией пакетов (рис. 1.4) основной является технология
Интернет протокола (Internet Protocol – IP), которая использует
дейтаграммный метод передачи сообщений. Совместимыми с IP-сетями
являются сети технологии на основе протокола коммутации по меткам (Multi
Protocol Label Switching – MPLS). В настоящее время MPLS
рассматривается в качестве основной транспортной технологии для сетей с
пакетной коммутацией. Активно развивается технология Ethernet
операторского класса для глобальных сетей (Carrier Ethernet Transport – CET).
Сети, использующие технологии виртуальных каналов (X.25; сети
трансляции кадров Frame Relay – FR; Asynchronous Transfer Mode – ATM),
вытесняются технологиями IP.
Глобальные сети с коммутацией каналов (рис. 1.4) используют
технологии плезиохронной цифровой иерархии (Plesiochronous Digital
Hierarchy – PDH), синхронной цифровой иерархии (Synchronous Digital
Hierarchy – SDH), а также технологии оптических линий связи спектрального
уплотнения по длине волны (Wave-length Division Multiplexing – WDM). В
настоящее время внедряются технологии оптических транспортных сетей –
ОТС (Optical Transport Network – OTN), объединивших технологии систем
цифровой иерархии SDH и спектральное уплотнение по длине волны WDM.
18
Технологии транспортных сетей с коммутацией каналов PDH, SDH
характеризуются высокой скоростью передачи данных. Например, скорость
передачи данных по сетям технологии PDH составляет от 2 Мбит/с до 139
Мбит/с; технологии SDH – от 155 Мбит/с до 40 Гбит/с. Дальнейшее
увеличение скорости передачи данных достигнуто в системах со
спектральным уплотнением по длине волны (технологии CWDM, DWDM) на
волоконно-оптических кабелях. Основными аппаратными средствами
высокоскоростных технологий с коммутируемыми цифровыми линиями
связи являются мультиплексоры (MUX).
В сетях с коммутацией пакетов в зависимости от предъявляемых
требований могут использоваться технологии виртуальных каналов,
применяемые в сетях ATM, Frame Relay или технологии передачи
дейтаграммных сообщений – сети IP технологий. В сетях с виртуальными
каналами предварительно прокладывается маршрут, по которому передаются
данные. После приема данных адресат подтверждает их получение. Это
обеспечивает надежность передачи.
Технология X.25 использует ненадежные аналоговые линии связи,
поэтому характеризуется низкой скоростью передачи данных (до 48 кбит/с).
Однако данная технология применяется до настоящего времени, например, в
сетях банкоматов, из-за своей высокой надежности при ненадежных линиях.
Технология Frame Relay обеспечивает более высокую по сравнению с Х.25
скорость передачи данных до 2 – 4 Мбит/с. Но линии связи должны быть
более надежными по сравнению с Х.25. Наибольшую скорость передачи
данных (155 или 620 Мбит/c, а также 2,4 Гбит/c) обеспечивают сети АТМ.
Однако развитие этих сетей сдерживает их высокая стоимость.
Компромиссное решение по цене и скорости передачи данных
предоставляют IP-сети, получившие в настоящее время наиболее широкое
распространение. Поэтому на базе технологии IP сетей и технологии
протокола коммутации по меткам MPLS создается транспортный уровень
современных
сетей.
В
дейтаграммных
IP-сетях
соединение
предварительно не устанавливается и подтверждение приема данных не
производится. Для обеспечения надежности сети создаются на базе стека
(набора) протоколов TCP/IP (Transmission Control Protocol/Internet
Protocol). Именно протокол TCP обеспечивает надежность передачи.
19
Следует отметить еще одну сетевую технологию, которая
стремительно развивается в последнее время, это технология виртуальных
частных сетей (Virtual Private Network - VPN). Данная технология
использует сеть общего пользования Интернет, в которой формирует
защищенные каналы связи с гарантированной полосой пропускания. Таким
образом, при экономичности и доступности сети VPN обеспечивают
безопасность и секретность передаваемых сообщений. Используя VPN,
сотрудники фирмы могут получить безопасный дистанционный доступ к
корпоративной сети компании через Интернет.
1.3. Мультисервисные сети
Передаваемые по сетям сообщения (дискретные данные, аудио- и
видеоинформация) различны по своей природе, поэтому различны и
требования к сетям передачи информации. Традиционно для передачи
телефонных сообщений используются сети с коммутацией каналов, где
предварительно устанавливается соединение между абонентами (создается
канал связи), затем по созданному каналу производится обмен сообщениями.
В цифровых телефонных сетях при передаче аудио-сигналов трафик
равномерный (потоковый), как показано на рис. 1.5а. При передаче
потокового трафика предъявляются требования минимизации задержки и
вариации задержек (джиттера), чтобы не влиять на качество передаваемой
информации. Потеря отдельных элементов потока не критична.
Поскольку канал связи полностью выделяется паре абонентов, то для
него можно задать параметры и характеристики, обеспечив требуемые
значения задержки и вариации задержек – джиттера. Когда все доступные
каналы заняты, новому запросу на соединение отказывают в обслуживании.
Выделенный в распоряжение пары абонентов скоммутированный канал
связи используется не эффективно. При обмене аудио-сообщениями паузы
между словами и между фразами могут быть достаточно большими.
Коэффициент использования канала обычно оценивают значением 0,25. В
отличие от сетей с коммутацией каналов сети с коммутацией пакетов могут
более эффективно использовать свои ресурсы.
20
t
T
,
a)
t
T1
T2
T
,
T3
б)
Рис. 1.5. Равномерный (а) и неравномерный (б) потоки данных
Сети с коммутацией пакетов или сообщений (компьютерные сети)
изначально создавались для передачи данных, поэтому значения задержки и
джиттер не играли существенной роли. При передаче компьютерных данных
трафик (рис.1.5б) является неравномерным (пульсирующим или
эластичным). Передаваемые данные слабо чувствительны к задержкам и
джиттеру, однако очень чувствительны к потерям и искажениям пакетов.
Поэтому наряду со средней скоростью трафика и его пульсацией,
необходимо обеспечить надежность приема передаваемых пакетов.
Из рис. 1.5б видно, что на интервале времени Т2 канал не используется
парой абонентов (источником передаваемых данных и адресатом –
получателем). Поэтому на этом интервале времени можно передавать
информацию других абонентов, что повышает эффективность сети с
пакетной коммутацией. Это и предопределило использование сетей с
коммутацией пакетов для передачи всех видов трафика
В создаваемых в настоящее время сетях следующего поколения (Next
Generation Network - NGN) используют коммутацию пакетов для передачи
всех видов трафика: аудио-сигналов (IP-телефония), видео-информации,
компьютерных данных. Подобные сети также называют мультисервисными
в отличие от ранее существовавших моносервисных сетей. Поскольку в сети
NGN передается трафик различного вида, то и требования к качеству
обслуживания (Quality of Service – QoS) разных видов передаваемого
трафика будут различны. Качество обслуживания и сетевые показатели
качества определены Рекомендацией МСЭ-Т Y.1541. Услуга передачи
21
указанной триады (голоса, данных, и видеоинформации) по единой
мультисервисной сети получила название Triple Play.
При передаче потокового трафика аудио- и видеоинформации главным
требованием является минимизация задержки и джиттера. Поэтому такие
сообщения должны передаваться в первую очередь при минимальном
времени обработки в промежуточных устройствах. При передаче
эластичного трафика главным требованием является надежность передачи
сообщений. Поэтому при потере отдельных пакетов передаваемого
сообщения они должны быть переданы повторно, на что тратится
дополнительное время.
В сетях NGN обеспечивается слияние (конвергенция) всех
существующих сетей в единую мультисервисную инфокоммуникационную
сеть для передачи мультимедийной информации. Иногда в литературе такие
сети называют объединенными, сошедшимися или конвергентными.
Пользователи такой сети должны иметь широкий выбор сетевых услуг с
гарантированным качеством, что обеспечивается соответствующим уровнем
управления, транспортным уровнем и уровнем доступа пользователей к
мультисервисной сети (рис. 1.6).
Уровень услуг
Уровень управления
Транспортный уровень
Уровень доступа
Аналоговые
телефоны
Цифровые
телефоны
Сотовые
телефоны
Компьютеры
Рис.1.6. Уровни мультисервисной сети NGN
22
Серверы
Транспортный уровень сети NGN создается на базе IP сетей с
распределенной коммутацией пакетов. Доступ к транспортной сети
обеспечивается через соответствующие устройства и шлюзы.
На
рис.1.7
приведен
пример
структурной
схемы
сети
инфокоммуникаций, в которой пользователи (абоненты) через сети доступа
подключаются к магистральной сети, обеспечивающей транспорт
сообщений.
Пользователи
Сеть доступа
Сеть доступа
Магистральная
Сеть доступа
сеть
Сеть доступа
Сеть доступа
Телекоммуникационная
сеть
Локальная сеть
Пользователи Локальная сеть
Рис. 1.7. Структурная схема инфокоммуникационной сети
Ко всем сетям, и особенно к мультисервисным, предъявляется ряд
требований: надежность, масштабируемость, качество обслуживания,
безопасность.
Надежность обеспечивается резервированием устройств и соединений.
При выходе из строя какого-либо устройства или соединения в сети
производится переключение на резервный канал, чтобы пользователь
продолжал получать затребованную услугу. То есть, сети должны быть
отказоустойчивы и всегда доступны для авторизованных пользователей.
Масштабируемость предполагает возможность расширения сети без
снижения скорости передачи и ухудшения качества предоставляемых услуг
пользователям.
23
Требования качества обслуживания (QoS) для разных видов
передаваемого трафика различны. Они, как правило, связаны со скоростью,
задержками и надежностью передачи данных. Когда требуемая скорость
передачи данных превышает пропускную способность канала, то в сети
возникает перегрузка или затор (congestion), при этом возникает очередь на
обслуживание. Поэтому в сетях формируется система приоритетов передачи
разных видов сообщений. Наивысший приоритет отдается управляющим
сообщениям, следующие уровни приоритета – передача аудио- и
видеоинформации, низший приоритет –передача данных (электронная почта,
пересылка файлов).
1.4. Информационная безопасность
В сети Интернет, в корпоративных, глобальных и локальных сетях, по
которым передаются пакеты цифровых данных, аудио- и видеоинформации,
важно обеспечить информационную безопасность. Поскольку сеть
Интернет является общедоступной, то ей могут воспользоваться
злоумышленники для проникновения во внутренние сети предприятий, на
серверы и на конечные узлы пользователей. Злоумышленников, получающих
несанкционированный доступ к информации, передаваемой по внутренней
сети организации, часто называют хакерами.
Стандарт ISO/IEC 27002 определяет информационную безопасность
как «сохранение конфиденциальности (уверенности в том, что информация
доступна только тем, кто уполномочен иметь такой доступ), целостности
(гарантии точности и полноты информации, а также методов её обработки) и
доступности (гарантии того, что уполномоченные пользователи имеют
доступ к информации и связанным с ней ресурсам)».
Конфиденциальность подразумевает, что только авторизованные
пользователи могут иметь доступ к передаваемой информации.
Конфиденциальность обеспечивается введением паролей и шифрованием
данных.
Устройства
шифрования
должны
быть
обеспечены
соответствующими ключами шифрования.
Целостность подтверждает, что информация при ее передаче по сети
не была искажена или частично потеряна. Для подтверждения целостности
24
на передающей стороне из передаваемого сообщения формируется
проверочное слово. На приемной стороне из принятого сообщения также
формируется проверочное слово, которое сравнивается с переданным. Если
они совпадают, то подтверждается целостность сообщения.
Конфиденциальность и целостность передаваемой информации могут
быть нарушены при различных видах атак:
атаки методом грубой силы;
использование шпионского программного обеспечения (ПО).
В атаках методом грубой силы производится подбор паролей и
дешифрование зашифрованной информации. Для реализации подобной атаки
требуется быстродействующий компьютер, чтобы перебрать большое число
вариантов паролей и ключей шифрования. Шпионское ПО собирает
персональные данные пользователей (имена, пароли и др.) с конечных узлов.
Эти данные затем могут быть использованы в атаках методом грубой силы.
Перехват информации, приводящий к потере ее конфиденциальности и
целостности, помогает предотвратить система идентификации и
аутентификации
пользователей.
Важным
элементом
системы
идентификации и аутентификации пользователей являются пароли и
цифровая подпись.
Доступность данных только для авторизованных пользователей
обеспечивается рядом мер по предотвращению несанкционированного
доступа (межсетевые экраны, шифрование передаваемых сообщений).
Угроза вторжения во внутреннюю сеть исходит от злоумышленников,
расположенных как внутри, так и за пределами организации, использующей
сеть передачи данных. При реализации внешних угроз хакеры совершают
атаки обычно из Интернета, по беспроводным сетям. Внутренние угрозы
исходят от пользователей, которые имеют санкционированный доступ в сеть.
В ряде случаев легальные пользователи сетевых услуг вносят угрозу во
внутреннюю сеть организации несознательно, например, при копировании
зараженных вирусом файлов. Получив доступ во внутреннюю сеть, хакер
может реализовать ряд угроз:
хищение личных данных авторизованных пользователей;
хищение информации;
уничтожение или изменение данных;
нарушение нормальной работы сети.
25
Среди внешних угроз можно выделить:
- вредоносные программы (вирусы, черви, троянские кони);
- шпионские программы, которые собирают сведения о пользователе;
- хищение личных данных пользователя с целью снятия денег с
кредитных карт и оплаты чужих товаров и услуг;
- хищение у предприятий служебной информации (технологические
процессы, результаты научных исследований).
Передаваемая по сети информация подвергается атакам, среди которых
можно выделить атаки доступа, модификации, отказа в обслуживании.
Атака доступа производится для получения неавторизованным
пользователем (злоумышленником, хакером) не предназначенной ему
конфиденциальной информации. Пассивная атака доступа реализуется
путем подсматривания (snooping) или подслушивания (sniffing)
интересующей злоумышленника информации, проходящей по сети.
Прослушивание легко реализуется в сетях с разделяемой средой передачи, а
также в беспроводных сетях.
При активной атаке производится перехват трафика и после анализа
перехваченной информации хакер решает вопрос о ее дальнейшей передаче
адресату назначения или уничтожении. Для этого хакер может перенаправить
трафик коммутатора к «сниферу». Перенаправление трафика путем подмены
адреса назначения передаваемого кадра получило название «спуфинг»
(spoofing).
Перехваченная информация затем может быть уничтожена, искажена
или без искажения передана адресату назначения. Атака модификации – это
неправомочное изменение информации, т.е. нарушение целостности
информации. При этом производится либо замена передаваемой
информации, либо добавление новых данных, либо удаление старых
передаваемых данных. Для реализации такой атаки необходимо
предварительно выполнить перехват передаваемой информации, затем
провести ее модификацию и передать на узел назначения.
Атака на отказ в обслуживании (Denial-of-service – DoS) не дает
возможность авторизованному легальному пользователю возможность
передавать по сети свою информацию. Для этого хакер наводняет (flooding)
системы и сети посторонним трафиком, что блокирует доставку легитимного
трафика. При реализации такой атаки взломщик организует лавинообразную
26
рассылку данных по сети, например, широковещательных сообщений
(запросов). При этом буферы сетевых устройств и конечных узлов
переполняются, и вся полоса пропускания линии связи расходуется на
пересылку ложных сообщений – сеть «падает». Обычно DoS-атаки
запускаются с подложных адресов, IP-протокол не проверяет адрес
источника информации, который использовался при создании пакета.
Система мер информационной безопасности включает антивирусное
программное обеспечение, управление доступом к сети и файлам (пароли,
средства аутентификации, позволяющие установить подлинность личности),
шифрование передаваемой по сети информации, системы обнаружения и
предотвращения вторжения, средства физической безопасности. Для
домашних сетей и малых предприятий необходимо, по крайней мере,
антивирусное программное обеспечение, межсетевой экран и программное
обеспечение защиты от шпионских программ.
Следует отметить, что ни один из методов, устройств или средств не
способен реализовать надежную защиту информации. Только комплекс мер
может обеспечить безопасность требуемого уровня. Ряд принципов или
комплекс мер по защите информации называется политикой безопасности.
Политика задает общие правила развертывания и функционирования
системы безопасности, определяет цель системы безопасности, область ее
применения и ответственность пользователей.
Таким образом, для обеспечения информационной безопасности сетей
и систем передачи информации необходимо сочетание методов и средств
физической и технической безопасности. Среди методов и средств
обеспечения технической безопасности наиболее известными являются:
формирование комплекса паролей, межсетевые экраны (сетевые фильтры),
виртуальные локальные сети.
27
Краткие итоги главы 1
1. Инфокоммуникационная сеть образуется совокупностью конечных узлов
и сетевых элементов, соединенных линиями (каналами) связи.
2. Конечные узлы (серверы, рабочие станции, персональные компьютеры,
ноутбуки, планшеты, смартфоны, телефонные аппараты и т.д.) создают и
принимают передаваемые сообщения.
3. Промежуточные сетевые элементы (коммутаторы, маршрутизаторы)
направляют передаваемые сообщения по определенному пути (маршруту)
от источника до получателя и управляют передаваемым потоком данных,
не внося в него изменений.
4. Информационный поток данных – совокупность передаваемых
сообщений, или последовательность информационных единиц,
объединенных общими признаками.
5. Формирование каналов в общей линии связи необходимо, чтобы
множество одновременно передаваемых сигналов сообщений не влияли
друг на друга.
6. Процесс формирования каналов и объединения (уплотнения) нескольких
исходных (трибутарных) потоков в агрегированный поток на передающей
стороне получил название мультиплексирование. Обратный процесс на
приемной стороне – демультиплексирование.
7. Различают сети: с коммутацией каналов и с коммутацией пакетов
(сообщений). В сетях с коммутацией каналов канал формируется
коммутаторами и предоставляется в полное распоряжение абонентов. В
сетях с коммутацией пакетов все маршруты созданы и маршрутизатор
выбирает наилучший путь к адресату назначения.
8. Интернет сервис-провайдеры ISP предоставляют доступ в Интернет (и
связанные с этим услуги) отдельным пользователям (абонентам), а также
пользователям, объединенным в локальные сети.
9. При создании Всеобъемлющего Интернета (IoE) получил развитие целый
ряд новых сетевых технологий: веб-журналы (блоги); вики-ресурсы –
дневники, создаваемые группой людей (википедия); подкасты –
технологии, позволяющие предоставлять созданные пользователями
аудио-файлы широкой аудитории; технологии Tele Presence, позволяющие
проводить видеоконференции; системы обмена мгновенными
сообщениями (IM); одноранговые сети (peer-to-peer) и их приложения
P2P, позволяющие пользователям обмениваться сообщениями без их
загрузки и хранения на выделенном сервере.
10. Новые инфокоммуникационные технологии BYOD позволяют
использовать собственные устройства сотрудников и учащихся совместно
с сетевыми ресурсами учебных заведений и предприятий.
11. Облачные вычисления позволяют через Интернет (по подписке или
через оплачиваемые услуги) получать доступ к приложениям,
организовать хранение файлов. При этом экономятся финансовые
28
средства, т.к. нет необходимости создания дополнительного
программного обеспечения или развертывания новых серверов.
12. Крупные предприятия создают собственные корпоративные сети,
выделяя в них сегменты, предназначенные только для сотрудников
(интранет), а также области, где внешние (сторонние) партнеры получают
доступ к некоторым (ограниченным) ресурсам сети (экстранет).
13. Основной технологией сетей с коммутацией пакетов является
технология Интернет протокола (Internet Protocol – IP). Сети технологии
IP являются дейтаграммными, когда отсутствует предварительное
соединение конечных узлов, и нет подтверждения приема сообщения.
14. Высокую надежность передачи дейтаграмм обеспечивает протокол
управления передачей TCP.
15. Сети передачи данных с коммутацией пакетов подразделяются на
локальные и глобальные. Как локальные, так и глобальные сети включают
три составляющих: устройства, среда передачи, услуги (сервисы).
16. Управление локальными сетями обычно производится одной
организацией. Администрирование глобальных сетей, разнесенных на
большие расстояния, реализуют разные провайдеры.
17. Провайдеры ISP обеспечивают доступ в Интернет, используя различные
технологии: FTTx, DSL, телевизионные коаксиальные кабели, системы
сотовой и спутниковой связи.
18. Для подключения корпоративных сетей (intranet) требуются
широкополосные сети доступа на основе технологий плезиохронной
(PDH) и синхронной (SDH) цифровых иерархий, а также спектрального
уплотнения по длине волны (WDM).
19. Передаваемые по сетям сообщения характеризуются двумя
принципиально различными видами трафика:
потоковым (равномерным), например, трафиком телефонных сетей связи;
пульсирующим (не равномерным, эластичным) трафиком компьютерных
сетей передачи данных.
20. Потоковый трафик, например, при передаче аудиоинформации,
чувствителен к «задержкам» и «вариации задержек» (джиттеру), которые
должны быть минимальны.
21. При передаче компьютерных данных трафик является неравномерным,
пульсирующим. Передаваемые данные слабо чувствительны к задержкам
и джиттеру, однако очень чувствительны к потерям и искажениям
пакетов.
22. В сетях нового поколения NGN обеспечивается слияние (конвергенция)
всех существующих сетей в единую мультисервисную
инфокоммуникационную сеть для передачи мультимедийной
информации. Такие сети также называют объединенными, сошедшимися
или конвергентными.
23. Сети следующего поколения (NGN) используются для передачи
различных видов информации: дискретных данных, аудио- и видеоинформации. Они создаются на базе сетей с коммутацией пакетов. К
29
сетям предъявляется требования надежности, масштабируемости,
заданного качества обслуживания, безопасности.
24. Стандарт ISO/IEC 27002 определяет информационную безопасность как
«сохранение конфиденциальности (уверенности в том, что информация
доступна только тем, кто уполномочен иметь такой доступ), целостности
(гарантии точности и полноты информации, а также методов её
обработки) и доступности (гарантии того, что уполномоченные
пользователи имеют доступ к информации и связанным с ней ресурсам)».
25. Передаваемая по сети информация подвергается атакам, среди которых
можно выделить атаки доступа, модификации, отказа в обслуживании.
26. Атака доступа производится для получения неавторизованным
пользователем (злоумышленником, хакером) не предназначенной ему
конфиденциальной информации.
27. Атака модификации – это неправомочное изменение информации, т.е.
нарушение целостности информации. При этом производится либо замена
передаваемой информации, либо добавление новых данных, либо
удаление старых передаваемых данных.
28. Атака на отказ в обслуживании (DoS) не дает возможность легальному
авторизованному пользователю возможность передавать по сети свою
информацию. Для этого хакер наводняет (flooding) системы и сети
посторонним трафиком, что блокирует доставку легитимного трафика.
Вопросы по главе 1
1. Что собой представляют сети передачи информации?
2. Почему нельзя соединить всех абонентов непосредственно между собой?
3. Какие элементы входят в обобщенную структурную схему системы
передачи информации?
4. Какие функции выполняют конечные узлы и промежуточные сетевые
элементы?
5. Чем отличаются сети с коммутацией каналов от сетей с коммутацией
сообщений (пакетов)?
6. Какие функции выполняет коммутатор? Какие функции выполняет
маршрутизатор?
7. В чем различие коммутации пакетов и коммутации сообщений?
8. В чем заключается процесс мультиплексирования?
9. Кто предоставляет доступ в Интернет?
10.Какие сетевые технологии получили развитие при создании
Всеобъемлющего Интернета (IoE)?
11.Чем характерны технологии BYOD, технологии облачных вычислений?
12.Что характеризуют понятия интранет, экстранет?
13.Какие технологии используются в локальных и глобальных сетях?
14.Почему технологию IP называют дейтаграммной?
30
15.Какие технологии используются для доступа в Интернет в домашних и
корпоративных сетях?
16.К каким параметрам канала чувствителен равномерный (потоковый)
трафик?
17.К каким параметрам канала чувствителен неравномерный
(пульсирующий) трафик?
18.Что такое конвергентные сети? Как они еще называются?
19.Какие требования предъявляются к сетям следующего поколения NGN?
20.Какие технологии используются в локальных и глобальных сетях?
21.В чем различие технологий виртуальных каналов и передачи
дейтаграммных сообщений?
22.На базе какого стека (набора) протоколов создаются современные сети?
23.Как определяется информационная безопасность?
24.Что такое конфиденциальность, целостность и доступность информации?
25.Какие виды атак производятся на передаваемую по сети информацию?
Какие существуют методы борьбы с атаками?
Упражнения
1. Изобразите структурную схему сети передачи. Объясните функции
конечных узлов и сетевых элементов.
2. Изобразите структурную схему сети Интернет. Объясните функции ISP.
3. Изобразите схему распределенной сети на коммутаторах и
маршрутизаторах. Объясните, в чем различие сетей LAN и WAN.
4. Приведите классификацию технологий сетей передачи данных. Объясните
особенности технологий.
5. Изобразите равномерный и неравномерный трафики сообщений.
Проведите сравнительный анализ их основных параметров.
6. Дайте определение информационной безопасности.
7. Приведите примеры атак на сети передачи сообщений. Меры борьбы с
атаками.
31
Глава 2. ОПЕРАЦИОННАЯ СИСТЕМА И КОНФИГУРАЦИОННЫЙ
ФАЙЛ
Приведены основные программно-аппаратные средства локальных и глобальных
сетей: операционные системы, конфигурационные файлы, описаны методы межсетевого
взаимодействия, основные элементы маршрутизаторов, принципы маршрутизации,
функции протокола ARP, функционирование таблиц маршрутизации.
2.1. Программно-аппаратные средства локальных и глобальных сетей
Основными сетевыми элементами технологий пакетной коммутации
являются: маршрутизаторы (Router), коммутаторы (Switch),межсетевые
экраны (Firewall), беспроводные точки доступа (Wireless Access Point –
WAP). В простых домашних сетях перечисленные устройства, как правило,
объединены в одном интегрированном (домашнем) маршрутизаторе, через
который все конечные узлы (персональные компьютеры – ПК, ноутбуки,
смартфоны, принтеры и др.) подключаются к сети Интернет. В
корпоративных сетях каждый сетевой элемент (маршрутизатор, коммутатор,
WAP, межсетевой экран) обычно является автономным устройством.
Коммутаторы с помощью кабелей объединяют конечные узлы в
локальные сети LAN. Аналогичные функции, но с использованием
радиоканалов, выполняют беспроводные точки доступа WAP. Сами
беспроводные точки доступа могут по кабелям подключаться к
коммутаторам LAN. Маршрутизаторы производят объединение нескольких
локальных сетей в глобальную (распределенную, составную) WAN-сеть.
Если LAN объединяют рабочие станции, периферию, терминалы и другое
сетевое оборудование в одной аудитории или в одном здании, то WAN
обеспечивают соединение LAN на широком географическом пространстве. В
составную распределенную сеть (internetwork, internet) входят как локальные
сети и подсети (subnet), так и отдельные пользователи. Межсетевые экраны
(firewall) отфильтровывают нежелательный трафик, обеспечивая (вместе с
другими устройствами и методами) информационную безопасность сетей.
Наиболее
распространенными
устройствами
межсетевого
взаимодействия сетей, подсетей и устройств являются маршрутизаторы.
Они представляют собой специализированные компьютеры для выполнения
специфических функций сетевых устройств. Маршрутизаторы используют
32
WAN интерфейсы, чтобы связываться друг с другом и сетью Интернет, а
также LAN интерфейсы для связи с конечными узлами (компьютерами),
например, через коммутаторы. Поэтому маршрутизаторы являются
устройствами как локальных, так и глобальных сетей.
На рис. 2.1 приведен пример того, как маршрутизаторы А, В и С
объединяют нескольких локальных сетей (Локальные сети №1, №2, №3) в
распределенную (составную) сеть и обеспечивают подключение к сети
Интернет. Поэтому маршрутизаторы имеют интерфейсы как локальных,
так и глобальных соединений. К локальным сетям, созданным на
коммутаторах, маршрутизатор присоединен через интерфейсы, которые на
рис. 2.1 обозначены через F0/1, что означает: интерфейс FastEthernet, слот
0, порт 1; (слот – объединение портов). Глобальные соединения на рис. 2.1
представлены последовательными или серийными (serial) интерфейсами
S0/1, S0/2. Через такой же последовательный интерфейс реализовано
соединение составной сети с сетью Интернет (Internet).Подобная структурная
схема,
включающая
несколько
последовательно
соединенных
маршрутизаторов, характерна для многих корпоративных сетей. В
большинстве случаев соединение маршрутизатора локальной сети с сетью
Интернет производится через сеть провайдера.
B
A
S0/1
S0/2
C
S0/1
S0/2
Internet
F0/1
F0/1
F0/1
Локальная
сеть № 1
Локальная
сеть № 2
Локальная
сеть № 3
Рис. 2.1. Составная сеть на маршрутизаторах
33
Главными функциями маршрутизаторов являются:
- выбор наилучшего пути для пакетов к адресату назначения.
- продвижение (коммутация) принятого пакета с входного интерфейса
на соответствующий выходной интерфейс.
Таким образом, маршрутизаторы обеспечивают связь между сетями и
определяют наилучший путь пакета данных к сети адресата, причем,
технологии объединяемых локальных сетей могут быть различными.
Функционирование маршрутизаторов происходит по правилам
сетевого протокола IP – Internet Protocol. Для определения наилучшего пути
передачи данных через связываемые сети, маршрутизаторы строят таблицы
маршрутизации и обмениваются сетевой маршрутной информацией с
другими маршрутизаторами. Маршрутизаторы принимают решения,
базируясь на сетевых логических адресах (IP-адресах) в заголовке пакета и
обращаясь к таблицам маршрутизации. Администратор может создавать
(конфигурировать) статические маршруты и поддерживать таблицы
маршрутизации вручную. Однако большинство таблиц маршрутизации
создается и поддерживается динамически, за счет использования
протоколов маршрутизации (Routing Protocol), которые позволяют
маршрутизаторам автоматически обмениваться информацией о сетевой
топологии друг с другом.
Функционирование маршрутизаторов, коммутаторов и других сетевых
элементов и узлов происходит под управлением сетевой операционной
системы (Internetwork Operation System – IOS), для хранения которой
используется несколько видов памяти (рис.2.2). Аппаратура фирмы Cisco
имеет свою собственную IOS. Текущая версия IOS при включении
устройства копируется в оперативную память RAM. Помимо текущей версии
IOS оперативная память RAM, пока включено питание, содержит активный
конфигурационный файл (Active Configuration File), таблицы протоколов
динамической маршрутизации, таблицу протокола ARP, выполняет
буферизацию пакетов и поддерживает их очередь.
Постоянное запоминающее устройство (ПЗУ – ROM) содержит
программу начальной загрузки (bootstrap) и сокращенную версию
операционной системы, установленную при изготовлении маршрутизатора
(рис. 2.2). Обычно эта версия IOS используется только при выходе из строя
Flash памяти для загрузки новой версии операционной системы.
34
ПЗУ (ROM)
Bootstrap
Программа начальной
загрузки и тестирования
ППЗУ (Flash)
Сервер TFTP
ПЗУ (ROM)
Internetwork
Operation
Sistem (IOS)
Нахождение и загрузка
Операционной Системы
ППЗУ (NVRAM)
Сервер TFTP
Консоль
Конфигурационный файл
Нахождение, загрузка
или создание
файла конфигурации
Рис. 2.2. Элементы памяти и программ маршрутизатора
Память ROM также поддерживает команды для теста диагностики
аппаратных средств (power-on self test - POST). Именно с программы POST
начинается загрузка маршрутизатора. Затем в оперативную память
загружается код начальной загрузки, определяющий, откуда следует
загружать образ операционной системы IOS.
Загрузка операционной системы IOS в оперативную память обычно
производится из энергонезависимой флэш-памяти (Flash), которая является
перепрограммируемым запоминающим устройством (ППЗУ). После
модернизации IOS она перезаписывается во флэш-память, где может
храниться несколько версий. Версию операционной системы можно также
сохранять на TFTP-сервере, откуда загружать в оперативную память
(рис.2.2).
На следующем этапе производится загрузка конфигурационного
файла из энергонезависимой (non-volatile) оперативной памяти NVRAM
маршрутизатора, которая является перепрограммируемым запоминающим
устройством (ППЗУ), в оперативную память. NVRAM хранит стартовый
конфигурационный файл (startup config), который после изменения
конфигурации перезаписывается в ППЗУ, где создается резервная копия
(backup). При включении маршрутизатора стартовый конфигурационный
файл копируется в оперативную память, где называется файлом текущей
конфигурации (running config).
35
Конфигурационные файлы содержат команды и параметры для
управления потоком трафика, проходящим через маршрутизатор.
Конфигурационный файл используется для выбора сетевых протоколов и
протоколов маршрутизации, которые определяют наилучший путь для
пакетов к адресуемой сети. Первоначально конфигурационный файл обычно
создается с консольной линии (console) и помимо памяти NVRAM может
сохраняться на TFTP-сервере (рис. 2.2). Временное хранение входящих и
исходящих пакетов обеспечивается в памяти интерфейсов, которые могут
быть выполнены на материнской плате или в виде отдельных модулей.
При включении маршрутизатора начинает функционировать
программа начальной загрузки bootstrap, которая тестирует оборудование и
загружает операционную систему IOS в оперативную память RAM. В
оперативную память загружается также конфигурационный файл,
хранящийся в NVRAM. В процессе конфигурирования маршрутизатора
задаются адреса интерфейсов, пароли, создаются таблицы маршрутизации,
устанавливаются протоколы, проводится проверка параметров. Процесс
коммутации и продвижения данных проходит под управлением
операционной системы.
Для работы операционной системы IOS маршрутизатор (коммутатор)
должен иметь достаточный объем оперативной памяти RAM и
энергонезависимой флэш-памяти. Маршрутизаторы не только реализуют
буферизацию и маршрутизацию передаваемых пакетов на основе IP-адресов,
но и обеспечивают качество передаваемой информации, ее безопасность,
управляют сетевыми и вычислительными ресурсами.
В программных средствах операционной системы выделяют ядро,
которое взаимодействует с аппаратными средствами конечных узлов и
сетевых элементов, и оболочку, обеспечивающую взаимодействие
(интерфейс) человека с устройствами. Такое взаимодействие производится
либо через интерфейс командной строки (Command Line Interface - CLI),
либо с помощью графического интерфейса пользователя (Graphical User
Interface – GUI).
Помимо интерфейсов локальных (например, Ethernet) и глобальных
(например, serial) соединений маршрутизаторы имеют порты управления:
консольный порт (console) для прямого подключения к устройству и
дополнительный порт AUX для подключения через модем и телефонную
36
линию. Через эти порты обеспечивается доступ к интерфейсу командной
строки CLI для создания и изменения конфигурационного файла. Также
конфигурирование может производиться через графический интерфейс GUI.
Кроме того, к маршрутизатору может быть также организован удаленный
доступ через виртуальные линии vty по протоколу Telnet или SSH.
Таким образом, доступ к сетевому устройству (коммутатору,
маршрутизатору) для его конфигурирования или проверки состояния
производится:
- через консольный порт Console;
- через дополнительный порт AUX (имеются особенности);
- через виртуальные линии (vty) удаленного доступа.
Вход с консольной линии Console обеспечивает полный доступ ко всем
установкам маршрутизатора и коммутатора, поэтому необходима защита
сетевых элементов: ограничение физического доступа и разрешение доступа
по паролю. Подключение через консольный порт называют внеполосным,
т.к. для подключения не используется дополнительная полоса пропускания
сети. Подключение реализуется по консольному кабелю (rollover).
Подключение через дополнительный порт AUX возможно только к
маршрутизатору Cisco, у коммутаторов такой порт отсутствует. Соединение
с портом AUX реализуется по телефонной линии через модем. В настоящее
время используется редко.
Удаленный доступ по виртуальным линиям (vty) с использованием
протоколов Telnet, Secure Shell – SSH, позволяет на расстоянии изменять
конфигурацию сетевых элементов и обеспечивать контроль проходящего по
ним трафика. Telnet, SSH – это протоколы удаленного доступа, которые
содержат программное обеспечение клиента и сервера. Протоколы Telnet и
SSH обеспечивают подключение к командной строке удаленного узла, т.е.
обеспечивают виртуальное соединение пользователя с удаленным сетевым
устройством (маршрутизатором или коммутатором). Для организации
удаленного доступа необходимо предварительно сконфигурировать
маршрутизатор (или коммутатор), прежде всего, требуется задать имя
удаленного устройства и установить пароль на виртуальные линии. Если
пароль не установлен, то реализация удаленного доступа не возможна.
37
Вся обработка информации и использование памяти производится на
процессоре удаленного сетевого устройства, а отображение результатов
конфигурирования протокол Telnet транслирует на монитор пользователя.
Telnet не поддерживает криптографирование данных, которые
передаются по сети как простой текст. Это означает, что данные могут быть
перехвачены. Для защиты передаваемой информации разработан протокол
удаленного доступа, обеспечивающий шифрование передаваемых данных
(Secure Shell – SSH). Он обеспечивает криптографирование данных и более
надежную аутентификацию.
2.2. Основы конфигурирования устройствCisco
Изучение основ конфигурирования устройств Cisco может
производиться как с использованием реального оборудования (рис. 2.3), так и
моделей симулятора Packet Tracer.
Рис. 2.3. Оборудование Cisco кафедры систем связи ПГУТИ
38
Для нормального функционирования маршрутизатора требуется запуск
операционной системы (IOS) и конфигурационного файла (см. рис. 2.2).
Нормальное функционирование маршрутизатора требует использования
полной версии системы IOS, которая хранится во флэш-памяти или на tftpсервере, и при включении копируется в оперативную память.
Инициализация маршрутизатора происходит при загрузке в
оперативную память операционной системы и конфигурационного файла.
Конфигурационный файл обычно хранится в энергонезависимой памяти
NVRAM, откуда загружается в оперативную память RAM. Если
маршрутизатор не может найти конфигурационный файл в памяти NVRAM
или на tftp-сервере (см. рис. 2.2), то он входит в диалоговый режим создания
конфигурационного файла. По завершению диалогового режима резервная
копия конфигурационного файла (backup configuration) может быть
сохранена в NVRAM. При последующем включении маршрутизатора
сохраненный в NVRAM конфигурационный файл (startupconfiguration) будет
загружен в оперативную память RAM. Отказавшись от диалогового режима,
администратор может вручную создать конфигурационный файл.
Операционные системы маршрутизаторов имеют интерфейс командной
строки (CLI) для создания и изменения конфигурационного файла.
Изучение основных процессов конфигурирования маршрутизаторов и
коммутаторов проводится на примере схемы сети (рис. 2.4). Схема
реализуется либо на реальном оборудовании, либо на базе программного
пакета Packet Tracer. Она содержит два маршрутизатора R-A и R-B,
коммутатор Sw, конечные узлы (персональные компьютеры РС0, РС1, РС2).
Компьютер РС0 служит для конфигурирования сетевых устройств.
G0/0/0
R-A
Console
Sw
РС1
S0/0/0
РС2
РС0
COM1
Рис. 2.4. Схема сети
39
S0/0/0
R-B
Создание конфигурационного файла реального маршрутизатора или
коммутатора производится через его консольный порт (console), который
подключают к последовательному порту (СОМ1, СОМ2) или USB-порту
компьютера консольным кабелем. Затем включают маршрутизатор и
обращаются к одной из программ эмуляции терминала для настройки
сетевого элемента: Hyper Terminal, Putty, TerraTerm, Minicom. Задав
страну (Россия), код города (например, 846), надо обозначить подключение
(например, 111), и затем ввести интерфейс терминала, например – СОМ1.
Кроме того, необходимо задать параметры порта:
скорость – 9600 бит/с; биты данных – 8; четность – нет; стоповые биты – 1;
управление потоком – нет.
После этого при нажатии клавиши «Enter» происходит начальная
загрузка маршрутизатора.
После начальной загрузки маршрутизатора операционная система
предложит продолжить конфигурирование в диалоговом режиме, от
которого следует отказаться (Continue with configuration dialog? [yes/no]:
no). Подобная запись появляется как при работе с реальными устройствами,
так и при работе с симуляторами. В некоторых версиях операционных систем
затем необходимо подтвердить завершение диалогового режима.
Создание конфигурационного файла маршрутизатора (коммутатора)
производится в нескольких режимах. Если на маршрутизаторе (коммутаторе)
Cisco установлена работоспособная версия IOS, то первоначально интерфейс
CLI входит в пользовательский режим конфигурирования (user EXEC mode).
При этом на мониторе появляется следующее приглашение:
Router>
или Switch>
Дальнейшее рассмотрение основ конфигурирования производится на
примере маршрутизатора. Конфигурирование коммутатора рассматривается
только в тех случаях, когда есть существенные особенности.
Создание конфигурационного файла маршрутизатора производится в
нескольких режимах. Аппаратура Cisco предусматривает 4 режима
конфигурирования, представленных в табл. 2.1.
40
Таблица 2.1
Режимы конфигурирования маршрутизаторов и коммутаторов Cisco
Название режима
User EXEC Mode.
Privileged EXEC Mode
Global Configuration
Mode
Complex and multipleline Configuration
Приглашение
(Prompt)
Router>
Switch>
Router#
Switch#
Router(config)#
Switch(config)#
Router(configmode)#
Switch(configmode)#
Описание
Пользовательский режим
Привилегированный режим
Глобальный режим
конфигурирования
Режим детального (специального)
конфигурирования
Пользовательский режим (user mode) применяется, для просмотра
состояния устройства, поэтому его иногда называют режимом просмотра, а
также для перехода в привилегированный режим (privileged mode). Никаких
изменений в конфигурационном файле, в том числе удаление и сохранение
текущей конфигурации, в пользовательском режиме производиться не
может. В этом режиме доступны только некоторые команды (show)проверки
(верификации) установок маршрутизатора.
Для перехода в привилегированный режим, необходимо ввести
команду enable. При этом приглашение изменяется с Router>
на
Router#:
Router>enable
Router#
В привилегированном режиме доступны все команды просмотра show
параметров маршрутизатора, возможно удаление конфигурации и
сохранение конфигурационного файла в памяти NVRAM. Возврат в
пользовательский режим производится командой disable или exit:
Router#exit
Router>
При конфигурировании обычно используется сокращенное написание
команд, например команда enable может быть представлена как en:
Router>en
Router#
41
Изменение и создание конфигурации маршрутизатора Cisco возможно
в режиме глобального конфигурирования, вход в который реализуется из
привилегированного по команде configure terminal (сокращенно –
conf t), которая вводит устройство в глобальный режим и позволяет
изменять текущую конфигурацию (running-config). При этом приглашение
изменяет вид на Router(config)#.
Router>ena
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#
В глобальном режиме производятся изменения, которые затрагивают
маршрутизатор в целом, поэтому он и называется global configuration mode.
Например, в этом режиме можно, например, устанавливать имя
маршрутизатора по команде hostname. Имя маршрутизатора не имеет
значения в сети Интернет и существенно только в локальной сети, оно
удобно при конфигурировании и отладке сети.
Router(config)#hostname R-А
R-А(config)#
Имя должно начинаться с буквы, включать буквы, цифры и тире, не
содержать пробелов.
Команда всегда состоит из текста собственно команды и
следующих за ней ключевых слов и параметров.
В режиме глобального конфигурирования на маршрутизатор можно
устанавливать пароли. Существует несколько видов паролей для обеспечения
безопасности маршрутизаторов. Два пароля enable secret и enable password
используются для обеспечения авторизованного входа в привилегированный
режим, поскольку в привилегированном режиме можно посмотреть все
установки устройства. На маршрутизаторе устанавливается один (или оба) из
этих паролей. Ниже приведен формат команд установки паролей cisco и
cisco1 для защиты входа в привилегированный режим:
R-A(config)#enable secret cisco
R-A(config)#enable password cisco1
42
После установки пароля система запрашивает его у пользователя, когда
вводится команда enable. Пароль enable secret по умолчанию
криптографируется, поэтому является более строгим. Если установлены оба
пароля enable secret и enable password, то в приведенном выше примере
система будет реагировать на пароль cisco. Пароль enable password по
умолчанию не криптографируется, поэтому его можно посмотреть,
например, по команде просмотра текущей конфигурации show runningconfig (сокращенно sh run), которая выполняется из привилегированного
режима. Здесь sh – команда, run - ключевое слово. Ниже приведена часть
распечатки этой команды, из которой видно, что пароль enable secret
зашифрован:
R-A#sh run
Building configuration..
version 12.3
no service password-encryption
!
hostname R-A
!
enable secret 5 $1$mERr$hx5rVt7rPNos4wqbXKX7m0
enable password cisco1
Из пользовательского режима команда show running-config не
выполняется!
Возврат из режима глобального конфигурирования в привилегированный
режим производится по команде exit.
Конфигурирование маршрутизатора может производиться из различных
источников через разные линии, например:
с линии консольного порта (Console);
с виртуальных линий интерфейсов терминалов (Virtual Terminals – vty
0-4) при использовании протоколов Telnet или SSH. Цифры 0-4 означают,
что можно использовать 5 сессий Telnet для удаленного доступа.
Вход с линий происходит в пользовательском режиме, поэтому на каждый из
этих входов можно и нужно установить свой пароль. Однако пароль может
общим для всех линий.
43
Выше было отмечено, что создание и изменение конфигурационного
файла маршрутизатора или коммутатора производится через его консольный
порт (console), поэтому необходимо задать пароль для входа в
пользовательский режим через консоль. Например, установка пароля на
линию 0 консольного порта (console 0) осуществляется следующей
последовательностью команд:
R-A(config)#line console 0
R-A(config-line)#password cisco2
R-A(config-line)#login
Команда login вводит пароль в действие.
Защита паролем виртуальных линий vty 0 4 для организации удаленного
доступа Telnet в маршрутизатор реализуется последовательностью команд:
R-A(config-line)#line vty 0 4
R-A(config-line)#password cisco3
R-A(config-line)#login
После ввода команды line маршрутизатор переходит в режим детального
конфигурирования, приглашение изменяет вид R-А(config-line)#.
После установки паролей следует провести верификацию текущей
конфигурации по команде sh run, для чего перейти в привилегированный
режим, последовательно используя: либо последовательно две команды
exit, либо команду end, либо комбинацию клавиш ctrz:
R-A#sh run
...
enable secret 5 $1$mERr$hx5rVt7rPNos4wqbXKX7m0
enable password cisco1
!
line con 0
password cisco2
login
line vty 0 4
password cisco3
login
Из других видов режима детального конфигурирования следует
отметить режим конфигурирования интерфейсов:
Router(config-if)#,
субинтерфейсов:
Router(config-subif)#,
44
конфигурирования протоколов динамической маршрутизации:
Router(config-router)#.
В ряде случаев необходимо распространить режим криптографирования
паролей на все виды паролей. Это делается по команде service passwordencryption в режиме глобального конфигурирования:
R-A(config)#service password-encryption
При этом в текущей конфигурации будут следующие изменения:
R-A#sh run
...
service password-encryption
!
hostname R-A
!
enable secret 5 $1$mERr$hx5rVt7rPNos4wqbXKX7m0
enable password7 0822455D0A1654
!
line con 0
password7 0822455D0A164545
login
line vty 0 4
password7 0822455D0A164544
login
!
end
R-A#
Из распечатки следует, что все пароли зашифрованы (криптографированы),
причем пароль enable secret имеет сложную криптограмму, а остальные
пароли – сравнительно простую. Возврат из режима детального
конфигурирования в привилегированный режим производится по команде
end или с использованием комбинации клавиш Ctrl+Z.
Баннеры выводят на экран монитора определенные сообщения,
например, баннер текущего дня (banner motd) может при включении
устройства выводить приветствие или некоторое предупреждение. Текст
баннера находится между символами #
#. Например, баннер motd
реализованный по команде:
Router(config)#banner motd #Privet!#
45
Сохранение конфигурации
При вводе команды она немедленно вступает в действие, текущая
конфигурация устройства при этом сразу изменяется. Однако после
выключения устройства изменения текущей конфигурации, хранящейся в
оперативной памяти RAM, пропадают. При новом включении в оперативную
память будет загружена старая конфигурация startup-config, хранящаяся в
NVRAM. Поэтому текущую конфигурацию нужно сохранять, что в системе
Cisco производится по команде:
R-А#copy running-config startup-config
или сокращенно
R-А#copy run start
При конфигурировании может возникнуть и другая ситуация, когда
после неоправданного изменения текущей конфигурации потребуется
вернутьсяк старой (backup). В Cisco это можно сделать по команде
перезагрузки reload:
R-А#reload
В ряде случаев требуется удалить конфигурацию startup-config,
что реализуется по команде:
R-А#erase startup-config
Команду нужно использовать с осторожностью!!!
46
2.3. Конфигурирование интерфейсов
Для обмена сообщениями в сети Интернет все устройства должны
иметь логические адреса версий IPv4 или IPv6. Логические адреса версии
IPv4 содержат 32 двоичных разряда, т.е. 4 байта (октета). Значение каждого
октета находится в диапазоне от 0 до 255; каждый байт адреса в технической
документации отображается десятичным числом (от 0 до 255), а значения
октетов разделяются точкой. Например, в сети рис. 2.5 одному из конечных
узлов (РС1) присвоен адрес 192.168.10.11.
Сеть 192.168.10.0/24
Сеть 200.30.30.0/24
.1
G0/0
Sw
РС1
.11
R-A
.1
S0/0/0
.2
S0/0/1
РС2
.12
R-B
G0/0
Рис. 2.5. Адреса узлов и интерфейсов
IP-адреса являются иерархическими: старшие разряды задают
адрес сети, а младшие разряды номер узла (интерфейса) в этой сети. Для
идентификации сетевой части адреса используется маска, которая в старших
(сетевых) разрядах содержит единицы. Например, маска 255.255.255.0 в
вышеприведенном примере показывает, что адрес сети будет 192.168.10.0, а
номер узла в этой сети – 11. Каждый конечный узел и каждый интерфейс
маршрутизатора должен иметь свой уникальный IP-адрес.
Конфигурирование интерфейса GigabitEthernet 0/0 маршрутизатора
R-A (рис. 2.5) сводится к заданию IP-адреса и маски по команде ip
address. В аппаратуре Cisco все интерфейсы маршрутизатора в исходном
состоянии выключены, поэтому их необходимо включить (активировать)
по команде no shutdown. Выключение интерфейсов производится по
команде shutdown. Порты коммутаторов находятся во включенном
состоянии, поэтому их активировать не нужно.
47
При конфигурировании интерфейса маршрутизатор переходит в режим
детального
конфигурирования
(появляется
расширение
config-if),
например:
R-A(config)#interface GigabitEthernet 0/0
R-A(config-if)#ip address 192.168.10.1 255.255.255.0
R-A(config-if)#no shutdown
R-A(config-if)#int s0/0/0
R-A(config-if)#ip add 200.30.30.1 255.255.255.0
Сведения о состоянии интерфейсов маршрутизатора Cisco в компактной
форме можно получить по команде show ip interface brief:
R-A#sh ip int brief
Interface
IP-Address
OK? Method Status Protocol
GigabitEthernet0/0 192.168.10.1 YES manual up
up
Serial0/0/0
200.30.30.1
YES manual down
down
R-A#
Результат показывает, что на интерфейсе GigabitEthernet 0/0 установлен
адрес 192.168.10.1, интерфейс (порт и протокол) включен (up). Интерфейс
Serial0/0/0 выключен (down).
Чтобы изменить IP-адрес, можно либо ввести новый адрес, либо
удалить информацию командой no ip address.
Для конечного узла помимо IP-адреса и маски необходимо задать адрес
шлюза по умолчанию, который является адресом интерфейса
маршрутизатора, через который все узлы локальной сети могут выходить в
составную глобальную сеть. На рис. 2.5 шлюзом по умолчанию для
конечных узлов сети 192.168.10.0 будет интерфейс GigabitEthernet 0/0 с
адресом 192.168.10.1 (на схеме обозначен G0/0).
IP-адреса узлов могут назначаться администратором вручную
(статическая адресация). Однако это очень кропотливое занятие. Поэтому
протокол динамического конфигурирования узлов (Dynamic Host
Configuration Protocol – DHCP) позволяет узлу динамически без участия
администратора получать IP-адрес. Администратору нужно только
определить диапазон разрешенных IP-адресов на DHCP-сервере.
48
Кроме того, при конфигурировании задают адреса серверов системы
доменных имен (Domain Name System – DNS), которые преобразуют имена
сайтов назначения в IP-адреса.
Вручную назначаются адреса сетевым принтерам, серверам и
интерфейсам маршрутизаторов.
Настройку адресов компьютеров, например РС1 (рис. 2.5), можно
посмотреть по команде ipconfig в командной строке:
PC1>ipconfig
Link local IPv6 address...........:
IP address........................:
Subnet mask.......................:
Default Gateway...................:
fe80::260:47ff:fe69:6cd4
192.168.10.11
255.255.255.0
192.168.10.1
PC1>
Проверка работоспособности сетевых устройств производится с
использованием ряда команд. Например, по команде ping 127.0.0.1
узел PC1 производит самотестирование для проверки, установлен ли на узле
стек протоколов TCP/IP. Адрес 127.0.0.1 является зарезервированным
Loopback-адресом обратной связи. Результат выполнения команды ping
127.0.0.1 показывает, что было послано четыре пакета эхо-запроса длиной по
32 байта, на которые получены четыре эхо-ответа за время менее 1 мс.
PC1>ping 127.0.0.1
Pinging 127.0.0.1 with 32 bytes of data:
Reply
Reply
Reply
Reply
from
from
from
from
127.0.0.1:
127.0.0.1:
127.0.0.1:
127.0.0.1:
bytes=32
bytes=32
bytes=32
bytes=32
time=18ms
time=20ms
time=20ms
time=21ms
TTL=128
TTL=128
TTL=128
TTL=128
Ping statistics for 127.0.0.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 18ms, Maximum = 21ms, Average = 19ms
PC1>
49
По команде ping
192.168.10.1с конечного узла проверяется
работоспособность шлюза по умолчанию (рис. 2.5).
PC1>ping 192.168.10.1
Pinging 192.168.10.1 with 32 bytes of data:
Reply
Reply
Reply
Reply
from
from
from
from
192.168.10.1:
192.168.10.1:
192.168.10.1:
192.168.10.1:
bytes=32
bytes=32
bytes=32
bytes=32
time=72ms TTL=255
time=0ms TTL=255
time=0ms TTL=255
time=0ms TTL=255
Ping statistics for 192.168.10.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 72ms, Average = 18ms
Результат показал, что интерфейс G0/0 – работоспособен.
PC1>ping 200.30.30.2
Pinging 200.30.30.2 with 32 bytes of data:
Request
Request
Request
Request
timed
timed
timed
timed
out.
out.
out.
out.
Ping statistics for 200.30.30.2:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
«Прозвонка» последовательного (serial) интерфейса S0/0/1 маршрутизатора
R-B с адресом 200.5.5.2 показала, что все 4 пакета потеряны.
Материалы главы 2 позволяют студентам начать выполние
лабораторных работ, что повышает их заинтересованность в изучении
технологий пакетной коммутации, когда сочетаются теория и практика.
50
Краткие итоги главы 2
1. Основными сетевыми элементами технологий пакетной коммутации
являются: маршрутизаторы, коммутаторы, межсетевые экраны,
беспроводные точки доступа.
2. Маршрутизаторы производят объединение нескольких локальных сетей в
глобальную сеть, причем, технологии объединяемых локальных сетей
могут быть различными.
3. Маршрутизаторы имеют интерфейсы как локальных LAN, так и
глобальных WAN соединений.
4. Главными функциями маршрутизаторов являются выбор наилучшего пути
для пакетов к адресату назначения и коммутация принятого пакета с
входного интерфейса на соответствующий выходной интерфейс.
5. Функционирование маршрутизаторов, коммутаторов и других сетевых
элементов и узлов происходит под управлением сетевой операционной
системы IOS. При включении устройства текущая версия IOS копируется
в оперативную память RAM.
6. Загрузка операционной системы IOS в оперативную память RAM обычно
производится из энергонезависимой флэш-памяти.
7. Оперативная память RAM содержит активный конфигурационный файл,
таблицы протоколов динамической маршрутизации, таблицу протокола
ARP, выполняет буферизацию пакетов.
8. Постоянное запоминающее устройство (ПЗУ – ROM) содержит программу
начальной загрузки (bootstrap), сокращенную версию операционной
системы, установленную при изготовлении маршрутизатора, команды для
теста диагностики аппаратных средств POST.
9. Энергонезависимая память NVRAM хранит стартовый файл
конфигурации, который перезаписывается после изменения. При
включении маршрутизатора стартовый конфигурационный файл
копируется в оперативную память, где называется файлом текущей
конфигурации.
10.Доступ к сетевому устройству (коммутатору, маршрутизатору) для его
конфигурирования или проверки состояния производится: через
консольный порт Console; через дополнительный порт AUX (только к
маршрутизатору); через виртуальные линии (vty) удаленного доступа с
использованием протоколов Telnet, Secure Shell – SSH.
11.Для реализации удаленного доступа к устройству необходимо установить
пароль на виртуальные линии и задать имя устройства для его
идентификации. Если пароль не установлен, то реализация удаленного
доступа невозможна.
12.При создании конфигурационного файла маршрутизатора (коммутатора)
через интерфейс CLI система первоначально входит в пользовательский
режим конфигурирования.
13.Помимо пользовательского режима IOS Cisco использует режимы
привилегированный, глобального и специфического конфигурирования.
51
14.Команда конфигурирования всегда состоит из текста собственно команды
и следующих за ней ключевых слов и параметров (аргументов).
15.Система IOS включает несколько доступных видов помощи: контекстная
справка (context-sensitive help), проверка синтаксиса команд (Command
Syntax Check), горячие клавиши и их комбинации (Hot Keys and Shortcut).
16.Два пароля enable secret и enable password используются для
обеспечения авторизованного входа в привилегированный режим, где
можно посмотреть все параметры устройства.
17.Для защиты входа в устройство через консольный порт необходимо задать
пароль на консольную линию (console 0).
18.Для защиты удаленного входа в устройство необходимо задать пароль на
виртуальные линии (vty).
19.Шифрование (криптографирование) всех видов паролей Cisco делается по
команде service password-encryption в режиме глобального
конфигурирования.
20.Сохранение текущей конфигурации производится по команде copy
running-config startup-config.
21.IP-адреса являются иерархическими: старшие разряды задают адрес сети,
а младшие разряды номер узла.
22.Для идентификации сетевой части адреса используется маска, которая в
старших (сетевых) разрядах содержит двоичные единицы.
23.При конфигурировании интерфейсов маршрутизатора задают IP-адреса по
команде ip address. Все интерфейсы маршрутизатора Cisco по
умолчанию выключены.
24.Конечным узлам сети необходимо задать IP-адрес, маску, адрес шлюза по
умолчанию.
25.Вручную назначаются адреса сетевым принтерам, серверам и
маршрутизаторам. Конечным узлам IP-адреса обычно присваивает
протокол динамического конфигурирования узлов DHCP.
26.Настройки адресов компьютера можно посмотреть по команде ip
config в командной строке.
27.По команде ping 127.0.0.1 узел производит самотестирование для
проверки, установлен ли стек протоколов TCP/IP.
52
Вопросы по главе 2
1. Каковы главные функции маршрутизатора?
2. Откуда перезаписываются в оперативную память операционная система и
конфигурационный файл?
3. Каковы функции флеш-памяти?
4. Где хранится стартовый файл конфигурации?
5. Какая информация хранится в ПЗУ ROM?
6. Какие средства используются для начального конфигурирования
маршрутизаторов и коммутаторов?
7. Какие параметры устройства должны быть настроены для удаленного
доступа к нему?
8. Какой протокол обеспечивает обмен шифрованной информацией при
удаленном доступе к сетевому устройству?
9. Каков начальный режим конфигурирования при работе через интерфейс
командной строки CLI?
10.Какие режимы конфигурирования используются в маршрутизаторах и
коммутаторах, какие параметры задаются в каждом из них?
11.Какие символы можно использовать в именах устройств?
12.Какие интерфейсы и режимы можно защищать паролями?
13.Почему для удаленного доступа необходимо задавать имя устройства и
пароль на вход через виртуальные линии?
14.Для чего используется команда service password-encryption?
15.В каких случаях выполняется команда перезагрузки?
16.По какой команде проводится сохранение текущей конфигурации? Где
оно сохраняется?
17.Как удалить стартовую конфигурацию?
18.Какие команды используются для конфигурирования адресной
информации маршрутизатора?
19.В каком состоянии по умолчанию находятся интерфейсы
маршрутизаторов и коммутаторов Cisco? Как их включить?
20.Что такое шлюз по умолчанию? Как его сконфигурировать?
21.По какой команде можно посмотреть адресную информацию компьютера?
22. Каким устройствам адреса назначаются вручную администратором?
23.Что проверяется по команде ping 127.0.0.1?
24.Какие сведения можно получить по команде show ip interface
brief:
53
Упражнения
1. На реальном оборудовании или в среде Packet Tracer сформируйте схему
сети передачи:
G0/0
R1
G0/1
Sw1
РС1
Sw2
РС2
РС3
РС4
2. Посмотрите начальную конфигурацию сетевых элементов.
3. Конфигурацию конечных узлов посмотрите по команде ipconfig в
командной строке.
4. Сконфигурируйте имя и интерфейсы G0/0, G0/1 маршрутизатора.
Используйте адреса G0/0 – 192.168.1.1/24; G0/1 – 192.168.2.1/24.
5. Вновь проверьте конфигурации. Объясните изменения. Сохраните
конфигурацию.
6. Внесите изменения в конфигурацию маршрутизатора, установив все
известные Вам пароли.
7. Проверьте функционирование паролей. Конфигурацию не сохраняйте.
8. Посмотрите конфигурацию по команде show run. Прокомментируйте
конфигурацию.
9. Введите команду перезагрузки. Снова проверьте текущую конфигурацию.
Прокомментируйте проделанную работу.
54
Глава 3. ПРОТОКОЛЫ ОБМЕНА СООБЩЕНИЯМИ
Рассмотрены принципы функционирования сетевых протоколов. Многоуровневые
модели взаимодействия сетевых устройств. Приведены функции устройств, реализующих
обмен сообщениями по сети.
3.1. Общие сведения о протоколах обмена сообщениями по сети
Для успешного обмена сообщениями между источником и получателем
информации необходимы правила, которые определяют конкретные
требования по передаче сообщений:
тип сообщения (компьютерные данные, аудио- или видео сообщение);
размер сообщения, его формат;
методы доставки сообщения и другие параметры.
Совокупность правил по реализации конкретного требования
составляет протокол, а набор протоколов для реализации обмена
сообщениями по сети называется стек протоколов (stack). Протоколы стека
ранжированы по уровням, и нижележащие уровни предоставляют услуги
вышележащим.
Сложность
сетевых
структур
и
разнообразие
телекоммуникационных устройств, выпускаемых различными фирмами,
привели к необходимости стандартизации как устройств, так и процедур
обмена данными между пользователями. Если программно-аппаратные
средства отвечают заданным стандартным правилам (протоколам) и у них
используются стандартные устройства сопряжения (интерфейсы), то они
способны взаимодействовать между собой, даже если созданы разными
производителями и даже если на устройствах установлены различные
операционные системы.
Протоколы, используемые для обмена сообщениями по сети, могут
быть открытыми и «проприетарными», т.е. частными, для использования
которых необходимо разрешение разработчика. Некоторые проприетарные
протоколы со временем становятся открытыми.
Наиболее известным открытым стеком протоколов является TCP/IP, в
котором выделено 4 уровня (рис. 3.1). На верхнем уровне приложений
функционируют протоколы передачи сообщений. Например, протокол
передачи гипертекстовой информации (Hypertext Transfer Protocol – HTTP)
55
определяет правила взаимодействия веб-клиента и веб-сервера. Веб-клиент
посылает запросы на веб-сервер и получает ответы.
Протоколы передачи сообщений
(Приложения – HTTP, SMTP, FTP)
Протоколы управления передачей
(Транспортные – TCP, UDP)
Протоколы межсетевого обмена
(Internet Protocol – IPv4, IPv6)
Протоколы сетевого доступа
(Ethernet)
Рис. 3.1. Стек протоколов TCP/IP
Процессом передачи сообщений управляют протоколы транспортного
уровня (TCP, UDP). Они определяют, какое приложение верхнего уровня
требуется для обработки данного сообщения. Если сообщение большого
размера, то делят его на более мелкие части – сегменты. Кроме того,
протокол TCP обеспечивает надежность передачи – при потере или
искажении части сообщения производится его повторная передача.
Протоколы уровня межсетевого обмена (IPv4, IPv6) обеспечивают
доставку сообщения по наилучшему (оптимальному) маршруту адресату
назначения. Единицы информации, передаваемые на этом уровне, получили
название пакеты. Поддержку протокола IP осуществляет протокол
межсетевых управляющих сообщений (Internet Control Message Protocol –
ICMP), а также протоколы маршрутизации.
Протоколы сетевого доступа (например, Ethernet и совместимые с
ним) адаптируют передаваемые пакеты к физической среде передачи
сообщений. Существуют различные методы доступа к среде. Среда может
быть разной (медная, волоконно-оптическая, беспроводная), поэтому и
передаваемые электромагнитные сигналы будут разными. На этом уровне
функционируют драйверы интерфейсов.
56
3.2. Организации по стандартизации протоколов
В связи с множеством задач по передаче сообщений по сети
разработано большое количество сетевых протоколов. Целый ряд
организаций разрабатывают и внедряют открытые стандарты. Среди
организаций по стандартизации сетевых протоколов наиболее известными
являются:
ISOC – Общество Интернет (Internet Society), которое осуществляет
общее руководство по развитию и обеспечению доступности сети Интернета.
является организационной основой для ряда организаций (IAB, IETF, IRTF).
IAB – Совет по архитектуре (Internet Architecture Board) руководит
разработкой и редактированием стандартов и протоколов Интернет.
IETF – Инженерная группа по развитию Интернета (Internet
Engineering Task Force) решает текущие задачи по разработке и поддержке
технологий TCP/IP, в том числе создание документов RFC (Request for
Comments), которые являются рабочими предложениями стандартов и могут
обсуждаться. Создает стандарты пространства от межсетевого уровня до
уровня приложений.
IRTF – Инженерная группа перспективных долгосрочных
исследований (Internet Research Task Force).
IEEE – Институт инженеров по электротехнике и электронике (Institute
of Electrical and Electronics Engineers) разработал целый ряд важнейших
стандартов в области технологий проводных и беспроводных локальных
сетей. Например, IEEE 802.1, IEEE 802.3, IEEE 802.11, IEEE 802.16 и др.
Широко известный стандарт IEEE 802.3 определяет правила доступа к
проводной среде передачи для локальных сетей стандартов, совместимых
сEthernet (FastEthernet, GigabitEthernet, 10 GigabitEthernet). Стандарт IEEE
802.11 определяет правила взаимодействия устройств беспроводных
локальных сетей (Wi-Fi). Для разработки стандартов IEEE предлагает
интерактивные ресурсы.
ISO – Международная организация по стандартизации (International
Organization for Standardization) широко известна в связи с созданием
семиуровневой базовой эталонной модели открытых систем (Open Systems
Interconnection Basic Reference Model – OSI). ISO взаимодействует с
57
Международной электротехнической комиссией – МЭК (International
Electrotechnical Commission – IEC).
В таблице 3.1 приведен еще ряд организаций, занимающихся
разработкой стандартов сетевых протоколов.
Таблица 3.1
Организации по разработке сетевых протоколов
ICANN Интернет корпорация по присвоению имен и номеров. Создает
политику выделения доменных имен и IP-адресов, которые
используются системой доменных имен DNS. Задает
идентификаторы протоколов уровня приложений. Согласовывает
международные имена сайтов и IP-адресов.
Администрация адресного пространства Интернет является
IANA
отделом ICANN, который распределяет IP-адреса и выделяет
доменные имена. Является хранилищем для реестра имен и
номеров протоколов. Управляет корневой зоной системы DNS.
ITU-T Международный союз электросвязи, сектор стандартизации
электросвязи определяет стандарты передачи телевидения (IPTV),
сжатия видеоинформации. ITU также занимается глобальными
вопросами голода, изменений климата.
Ассоциация электронной промышленности создает стандарты по
EIA
телекоммуникационным стойкам, разъемам и кабелям.
Ассоциация телекоммуникационной промышленности создает
TIA
стандарты станций сотовой связи, устройств голосовой связи по
IP. Международные стандарты по кабельным разъемам, а также
стандарты по облачным технологиям. Вопросы экстренного
реагирования для обеспечения национальной безопасности.
В учебнике приводятся ссылки на перечисленные организации и
разработанные ими стандарты.
58
3.3. Семиуровневая модель взаимодействия открытых систем
Международная организация по стандартизации (International Standards
Organization - ISO) создала базовую эталонную модель взаимодействия
открытых систем (Open System Interconnection reference model - OSI),
которая определяет концепцию и методологию создания сетей передачи
данных. Модель описывает стандартные правила функционирования
устройств и программных средств при обмене данными между узлами
(компьютерами) в открытой системе. Открытая система состоит из
программно-аппаратных средств, способных взаимодействовать между собой
при использовании стандартных правил и устройств сопряжения
(интерфейсов).
Модель ISO/OSI включает семь уровней. На рис. 3.2 показана модель
взаимодействия двух устройств: узла источника (source) и узла назначения
(destination). Совокупность правил, по которым происходит обмен
данными между программно-аппаратными средствами, находящимися
на одном уровне, называется протоколом. Набор протоколов называется
стеком протоколов и задается определенным стандартом. Взаимодействие
между уровнями определяется стандартными интерфейсами.
Уровни узла источника
Уровни узла назначения
Примеры протоколов
7. Прикладной
7. Прикладной
HTTP, FTP, SMTP,DNS
6. Представления
6. Представления
ASCII, MPEG, JPEG
5. Сеансовый
5. Сеансовый
4. Транспортный
4. Транспортный
TCP, UDP
3. Сетевой
3. Сетевой
IPv4, IPv6
2. Канальный
2. Канальный
Ethernet, GigabitEthernet
1. Физический
1. Физический
ISO/IEC 11801
Рис. 3.2. Семиуровневая модель ISO/OSI
59
Взаимодействие соответствующих уровней является виртуальным, за
исключением физического уровня, на котором происходит обмен данными
по физической среде, соединяющей компьютеры. На рис. 3.3 приведены
также примеры протоколов, управляющих взаимодействием узлов на
различных уровнях модели OSI. Взаимодействие уровней между собой
внутри узла происходит через межуровневый интерфейс, и каждый
нижележащий уровень предоставляет услуги вышележащему.
Виртуальный обмен между соответствующими уровнями узлов A и B
(рис. 3.3) происходит определенными единицами информации. На трех
верхних уровнях – это сообщения или данные (Data). На транспортном
уровне – сегменты (Segment), на сетевом уровне – пакеты (Packet), на
канальном уровне – кадры (Frame) и на физическом – последовательность
битов.
Узел А
7. Прикладной
6. Представления
5. Сеансовый
4. Транспортный
3. Сетевой
2. Канальный
1. Физический
Узел В
Данные
Данные
Данные
Сегменты
Пакеты
Кадры
Биты
7. Прикладной
6. Представления
5. Сеансовый
4. Транспортный
Маршрутизатор
(Router)
3. Сетевой
2. Канальный
1. Физический
Sw
Коммутатор
(Switch)
Hub
Концентратор
(Hub)
Рис. 3.3. Устройства и единицы информации соответствующих уровней
Базовая эталонная модель OSI (рис. 3.2, 3.3) регламентируется ГОСТом
Р ИСО/МЭК 7498–1–99, где канальный уровень 2 представлен, как уровень
звена данных. Однако в большей части литературы этот уровень именуется
канальным. В некоторых литературных источниках [5, 6] верхний уровень 7
называется уровнем приложений.
60
Для каждой сетевой технологии существуют свои протоколы и свои
технические средства, часть из которых имеет условные обозначения,
приведенные на рис. 3.3. Данные обозначения введены фирмой Cisco и стали
общепринятыми. Среди технических средств физического уровня следует
отметить кабели, разъемы, повторители сигналов (repeater), многопортовые
повторители или концентраторы (hub), преобразователи среды (transceiver),
например, преобразователи электрических сигналов в оптические и
наоборот. На канальном уровне это мосты (bridge), коммутаторы (switch). На
сетевом уровне – маршрутизаторы (router). Сетевые карты или адаптеры
(Network Interface Card – NIC) функционируют как на канальном, так и на
физическом уровне, что обусловлено сетевой технологией и средой передачи
данных. При передаче данных от источника к узлу назначения,
подготовленные передаваемые данные последовательно проходят от самого
верхнего 7-го уровня Приложений узла источника информации до самого
нижнего – Физического уровня 1, затем передаются по физической среде
узлу назначения, где последовательно проходят от нижнего уровня 1 до
уровня 7.
Самый верхний уровень Прикладной (Application Layer) 7 оперирует
наиболее общей единицей данных – сообщением. На этом уровне
реализуется управление общим доступом к сети, потоком данных, сетевыми
службами (протоколами), такими как FTP, TFTP, HTTP, SMTP, SNMP и др.
Уровень 6 Представления (Presentation Layer) изменяет форму
представления данных. Например, передаваемые с уровня 7 данные
преобразуются в общепринятый формат ASCII. При приеме данных
происходит обратный процесс. На уровне 6 также происходит шифрация и
сжатие данных (протоколы MPEG, JPEG).
Сеансовый (Session Layer) уровень 5 устанавливает сеанс связи двух
конечных узлов (компьютеров), определяет, какой узел является ведущим, а
какой ведомым, задает для передающей стороны время передачи. Этот
уровень определяет также сеанс связи с сетью Интернет.
Транспортный уровень (Transport Layer) 4 делит большое сообщение
узла источника информации на части, при этом добавляет заголовок и
формирует сегменты определенного объема, а короткие сообщения может
объединять в один сегмент. В узле назначения происходит обратный
61
процесс. В заголовке сегмента задаются номера порта источника и
назначения, которые адресуют службы верхнего уровня приложений для
обработки данного сегмента. Кроме того, транспортный уровень
обеспечивает надежную доставку пакетов. При обнаружении потерь и
ошибок на этом уровне формируется запрос повторной передачи, при этом
используется протокол TCP. Когда необходимость проверки правильности
доставленного сообщения отсутствует, то используется более простой и
быстрый протокол дейтаграмм пользователя (User Datagram Protocol –
UDP). Протокол UDP используется пре передаче потоковых данных (аудиои видеоинформации).
Сетевой уровень (Network Layer) 3 адресует сообщение, задавая
единице передаваемых данных (пакету) логические сетевые адреса узла
назначения и узла источника (IP-адреса), определяет маршрут, по которому
будет отправлен пакет данных, транслирует логические сетевые адреса в
физические, а на приемной стороне – физические адреса в логические.
Сетевые логические IP-адреса принадлежат пользователям.
Канальный уровень (Data Link) 2 формирует из пакетов кадры
данных (frames). На этом уровне задаются физические адреса устройстваотправителя и устройства-получателя данных, например, МАС-адреса при
использовании технологии Ethernet. Физический адрес устройства может
быть прописан в ПЗУ сетевой карты компьютера. На этом же уровне к
передаваемым данным добавляется контрольная сумма, определяемая с
помощью алгоритма циклического кода. На приемной стороне по
контрольной сумме определяют наличие ошибок.
Физический уровень (Physical) 1 осуществляет передачу потока битов
по соответствующей физической среде (электрический или оптический
кабель, радиоканал) через соответствующий интерфейс. На этом уровне
производится кодирование данных, синхронизация передаваемых битов
информации.
Протоколы трех верхних уровней являются сетенезависимыми, три
нижних уровня являются сетезависимыми. Связь между тремя верхними и
тремя нижними уровнями происходит на транспортном уровне.
Важным процессом при передаче данных является инкапсуляция
(encapsulation) данных, когда на каждом уровне происходит обрамление
данных заголовками со служебной информацией. Названия информационных
62
единиц на каждом уровне, их размер и другие параметры инкапсуляции
задаются согласно протоколу единиц данных (Protocol Data Unit – PDU).
Итак, на трех верхних уровнях – это сообщение (Data), на Транспортном
Уровне 4 – сегмент (Segment), на Сетевом Уровне 3 – пакет (Packet), на
Канальном Уровне 2 – кадр (Frame), на Физическом Уровне 1 –
последовательность битов.
Поскольку большое сообщение может делиться на части
(сегментирование), то инкапсуляция позволяет идентифицировать
сегменты, как часть общего сообщения, направить сегменты устройству
назначения и на приемной стороне реассемблировать сегменты в сообщение.
Передаваемое сообщение, сформированное приложением, проходит
три верхних сетенезависимых уровня и поступает на транспортный уровень,
где делится на части и каждая часть инкапсулируется (помещается) в сегмент
данных (рис. 3.4). В заголовке сегмента содержится номер протокола уровня
приложений, с помощью которого подготовлено сообщение, и номер
протокола, который будет обрабатывать данный сегмент на приемной
стороне.
Прикладной
Представления
Данные
Сеансовый
Транспортный
Сетевой
Канальный
Физический
Заголовок
сегмента
Данные
Сегмент
Заголовок Заголовок
пакета
сегмента
Данные
Пакет
Заголовок Заголовок Заголовок
кадра
пакета
сегмента
Данные
Биты передаваемых данных
Рис. 3.4. Инкапсуляция данных
63
Концевик
Кадр
На сетевом уровне сегмент инкапсулируется в пакет данных, заголовок
(header) которого содержит, кроме прочего, сетевые (логические) адреса
отправителя информации (источника) – Source Address (SA) и получателя
(назначения) – Destination Address (DA). В данном курсе – это IP-адреса.
На канальном уровне пакет инкапсулируется в кадр (frame) данных,
заголовок которого содержит физические адреса узла передатчика и
приемника, а также другую информацию. Кроме того, на этом уровне
добавляется концевик (трейлер) кадра, содержащий информацию,
необходимую для проверки правильности принятой информации.
Помимо семиуровневой OSI модели на практике применяется
четырехуровневая модель TCP/IP (рис. 3.5).
Модель TCP/IP
Модель OSI
Прикладной
Представления
Прикладной
Сеансовый
Транспортный
Транспортный
Сетевой
Межсетевой
Канальный
Сетевого доступа
Физический
Рис. 3.5. Модели OSI и TCP/IP
Прикладной уровень модели TCP/IP по названию совпадает с названием
модели OSI, но по функциям гораздо шире, поскольку охватывает три
верхних сетенезависимых уровня (Приложений, Представления и
Сеансовый). Транспортный уровень обеих моделей и по названию, и по
функциям одинаков. Сетевой (Network) уровень модели OSI соответствует
64
межсетевому (Internet) уровню модели TCP/IP, а два нижних уровня
(канальный и физический) представлены объединенным уровнем сетевого
доступа (Network Access).
Ниже в табл. 3.2 приведены обобщенные сведения об основной
информации, добавляемой в заголовках сообщений на разных уровнях OSI
модели.
Таблица 3.2
Основная информация в заголовках сообщений
Физический
уровень
Канальный
уровень
Сетевой
уровень
Частотновременные
параметры и
синхронизация
Физические
адреса
источника и
назначения
Логические
адреса
источника и
назначения
Транспортный
уровень
Верхние
уровни
Номера порта Сопряжение
источника и пользователей
назначения
с сетью
На транспортном уровне в заголовке сегмента задаются номера портов
приложений источника и назначения. Номера портов адресуют приложения
или службы (сервисы) верхнего уровня, которые создавали сообщение и
будут его обрабатывать на приемной стороне. Например, сервер электронной
почты с номерами портов 25 и 110 позволяет посылать e-mail сообщения и
принимать их, № порта 80 адресует веб-сервер.
Протоколы транспортного уровня (TCP, UDP) взаимодействуют с
определенными протоколами уровня приложений. Так протокол TCP,
обеспечивающий надежность передачи данных, взаимодействует с
протоколами HTTP, FTP, SMTP и др. Он имеет возможность не только
обеспечивать повторную передачу потерянных пакетов, но и управлять
потоком передаваемых данных, предотвращая их потерю из-за чрезмерно
высокой скорости передачи источником информации.
Вместе с физическими, например, МАС-адресами и логическими IPадресами задание номеров портов образует тройную систему адресации,
которая позволяет адресовать устройства, пользователей и программное
обеспечение приложений.
65
3.4. Процесс передачи сообщений по сети
Процесс передачи большого сообщения по сети может занять много
времени, до завершения которого другие пользователи не имели бы
возможности передавать свои данные. Поэтому большое сообщение делится
на сегменты, которые определенным образом нумеруются, и по сети
передается чередующаяся последовательность сегментов разных сообщений.
Процесс чередования сегментов разных сообщений получил название
мультиплексирование.
Для доставки сообщения от источника до назначения, передаваемые
информационные единицы (сегменты, пакеты, кадры – см. рис. 3.4) должны
адресоваться. На транспортном уровне задаются номера портов, на сетевом
уровне – логические адреса, на канальном уровне – физические адреса (см.
табл. 3.2), что образует тройную систему адресации сообщений.
Логические IP-адреса задаются протоколом IPv4 в виде 32-х разрядного
двоичного кода. В документации IP-адреса представлены в виде четырех
октетов (байтов) в десятичном коде, октеты отделены десятичной точкой,
например, 192.168.10.73. Протоколом IPv6 предусмотрены адреса длиной 128
двоичных разрядов, представленные в шестнадцатеричной системе,
например, 2001:0DB8:000A:0001:0002:B3FF:FE18:A1D7. Физические MACадреса содержат 48 двоичных разрядов, представленных в документации в
шестнадцатеричной системе в одной из следующих форм;
03:A7:BE:59:4D:8C; 03-A7-BE-59-4D-8C; 03A7.BE59.4D8C.
В заголовке пакета указывается как IP-адрес источника сообщения,
так и IP-адрес назначения (рис. 3.6). Эти адреса функционируют во всей сети
Интернет. IP-адреса являются иерархическими: старшая часть адреса
задает номер сети, а младшая часть – номер узла в этой сети. Если источник
сообщения и адресат назначения находятся в одной сети, то кадр сообщения
канального уровня передается по каналу с использованием физических,
например, МАС-адресов. В заголовке кадра указывается как МАС-адрес
источника сообщения, так и МАС-адрес назначения.
МАС-адрес МАС-адрес IP-адрес
IP-адрес
назначения источника источника назначения
Данные
Трейлер
Рис.3.6. Адресация назначения и источника в пакете и кадре данных
66
На передающей стороне сообщение последовательно проходит все
уровни модели OSI (рис. 3.2, 3.4) сверху вниз. В процессе инкапсуляции
последовательно формируются сегменты с номерами портов, пакеты с
логическими IP-адресами, кадры с физическими МАС-адресами. Номера
портов задаются исходя из требуемого сервиса (сервер HTTP, SMTP, FTP или
др.). Логические IP-адреса определяют пользователя. Физический МАСадрес источника назначается автоматически самим устройством-источником
передаваемой информации.
Для определения МАС-адреса назначения по IP-адресу используется
протокол разрешения адресов (Address Resolution Protocol – ARP). Узел,
передающий
сообщение,
посылает
в
свою
локальную
сеть
широковещательный ARP-запрос, в котором указан IP-адрес назначения.
Узел, распознавший свой IP-адрес, посылает ответ со своим МАС-адресом.
Если адресат назначения находится в другой сети, то в ответ на
широковещательный ARP-запрос приходит МАС-адрес шлюза по
умолчанию. Шлюз по умолчанию это IP-адрес интерфейса маршрутизатора,
через который пакеты из локальной сети передаются в составную сеть (см.
рис. 2.5). Если шлюз по умолчанию сконфигурирован неверно, то в этом
случае возможен обмен сообщениями между узлами локальной сети, но не
возможен обмен с удаленными устройствами из других сетей.
Источник сообщения всегда единственный, поэтому имеет уникальный
логический и физический адрес. Однако сообщение может быть адресовано
единственному (уникальному) устройству, или группе устройств, или всем
устройствам в сети. При этом реализуется либо одноадресная рассылка
сообщения (unicast), либо многоадресная групповая (multicast), либо
широковещательная рассылка сообщения (broadcast). Для каждого вида
рассылки сообщения существуют свои особенности задания логических и
физических адресов.
Поскольку на трех нижних уровнях модели OSI функционируют
аппаратно-программные средства, то обработка сообщения проводится с
высокой скоростью. На верхних же уровнях функционируют программные
средства, что увеличивает время обработки. В выше приведенных примерах
(рис. 3.2, 3.3) два конечных узла взаимодействовали непосредственно между
собой. В реальных сетях сообщение от одного конечного узла до другого
проходит через целый ряд промежуточных устройств (коммутаторов,
67
маршрутизаторов). Поэтому для снижения времени задержки (повышения
быстродействия) на промежуточных устройствах сообщение обрабатывается
средствами только трех, или даже двух, нижних уровней (рис. 3.7).
Конечный узел X
Конечный узел Y
Прикладной
Предствления
Сеансовый
Прикладной
Промежуточный
узел А
Промежуточный
узел В
Транспортный
Предствления
Сеансовый
Транспортный
Сетевой
Сетевой
Сетевой
Сетевой
Канальный
Канальный
Канальный
Канальный
Физический
Физический
Физический
Физический
Рис. 3.7. Передача сообщения по сети
Сформированное на узле источнике сообщение последовательно
проходит все семь уровней с 7 по 1, на что тратится много времени. Таким
образом, Транспортный уровень, обеспечивающий надежность передачи
данных, и верхние уровни (Приложений, Представления, Сеансовый)
функционирует только на конечных узлах, что снижает задержку передачи
сообщения по всей сети от одного конечного узла до другого. В приведенном
примере (рис. 3.7) протокол IP функционирует на всех сетевых элементах, а
полный стек протоколов TCP/IP – только на конечных узлах.
68
Краткие итоги главы 3
Для успешного обмена сообщениями между источником и получателем
информации необходимы правила, которые определяют конкретные
требования по передаче сообщений.
2. Совокупность правил по реализации конкретного требования составляет
протокол, а набор протоколов для реализации обмена сообщениями по
сети называется стек (stack).
3. Наиболее известным открытым стеком протоколов является TCP/IP, в
котором выделено 4 уровня.
4. На верхнем уровне приложений функционируют протоколы передачи
сообщений, например, протокол HTTP, который определяет правила
взаимодействия веб-клиента и веб-сервера.
5. Процессом передачи сообщений управляют протоколы транспортного
уровня (TCP, UDP), которые делят большой сообщение на сегменты.
6. Протоколы уровня межсетевого обмена (IPv4, IPv6) обеспечивают
доставку сообщения по наилучшему (оптимальному) маршруту адресату
назначения. Единицы информации, передаваемые на этом уровне,
получили название пакеты.
7. Протоколы сетевого доступа или канального уровня (например, Ethernet)
адаптируют передаваемые пакеты к физической среде передачи
сообщений, используя различные методы доступа к среде.
8. В связи с высокой сложностью необходима стандартизация сетевых
протоколов. Созданием стандартов занимается ряд международных
организаций: ISOC, IETF, ICANN, IANA, ITU-T, IEEE, ISO и др.
9. Эталонная модель взаимодействия открытых систем ISO/OSI определяет
концепцию и методологию создания сетей передачи данных и включает
семь уровней.
10. Виртуальный обмен между соответствующими уровнями конечных
узлов происходит определенными единицами информации (PDU). На трех
верхних уровнях – это сообщения или данные. На транспортном уровне –
сегменты, на сетевом уровне – пакеты, на канальном уровне – кадры и на
физическом – последовательность битов.
11. Процесс обрамления информационных единиц заголовками со
служебной информацией называется инкапсуляцией. На сетевом уровне
сегменты инкапсулируются в пакеты, на канальном уровне – пакеты
инкапсулируются в кадры.
12. Тройная система адресации (логические адреса, физические адреса,
номера портов) позволяет адресовать устройства, пользователей и
программное обеспечение приложений.
13. Номера портов, адресующих приложения верхнего уровня задаются на
транспортном уровне. Логические адреса пользователей (IP-адреса)
задаются на сетевом уровне модели OSI (межсетевом уровне модели
TCP/IP). Физические адреса устройств задаются на канальном уровне
модели OSI (на уровне доступа к среде модели TCP/IP).
1.
69
14. Технические средства физического уровня представлены кабелями,
разъемами, повторителями сигналов, многопортовыми повторителями или
концентраторами (hub), преобразователями среды (transceiver). На
канальном уровне это мосты (bridge) и коммутаторы (switch). На сетевом
уровне – маршрутизаторы (router). Сетевые карты или адаптеры (Network
Interface Card – NIC) функционируют на канальном и физическом уровне.
15. Большое сообщение делится на сегменты, которые определенным
образом нумеруются, и по сети передается чередующаяся
последовательность сегментов разных сообщений. Процесс чередования
сегментов разных сообщений получил название мультиплексирование.
16. Логические IP-адреса, задаваемые протоколом IPv4, имеют длину 32
двоичных разряда. В документации IP-адреса представлены в виде
четырех октетов (байтов) в десятичном коде, октеты отделены десятичной
точкой, например, 192.168.10.73.
17. Протоколом IPv6 предусмотрены адреса в 128 двоичных разрядов,
представленных в документации в шестнадцатеричной системе, например,
2001:0DB8:000A:0001:0002:B3FF:FE18:A1D7.
18. Физические MAC-адреса содержат 48 двоичных разрядов,
представленных в документации в шестнадцатеричной системе в одной из
следующих форм; 03:A7:BE:59:4D:8C; 03-A7-BE-59-4D-8C;
03A7.BE59.4D8C.
19. Для определения МАС-адреса назначения по известному адрес уIPv4
используется протокол разрешения адресов ARP.
20. Сообщение может быть адресовано единственному устройству
(одноадресная рассылка), или группе устройств (многоадресная групповая
рассылка), или всем устройствам в сети (широковещательная рассылка).
21. Если шлюз по умолчанию сконфигурирован неверно, то в этом случае
возможен обмен сообщениями между узлами локальной сети, но не
возможен обмен с удаленными устройствами из других сетей.
70
Вопросы по главе 3
1.Какие модели используются в технологиях сетей пакетной коммутации?
2. Какие протоколы называются проприетарными?
3. Какой стандарт определяет правила взаимодействия устройств
беспроводных локальных сетей Wi-Fi?
4. Какие известны уровни модели TCP/IP?
5. Каковы основные функции Уровня 1 модели OSI?
6. Каковы основные функции Уровня 2 модели OSI?
7. Каковы основные функции Уровня 3 модели OSI?
8. Каковы основные функции Уровня 4 модели OSI?
9. Каковы основные функции Уровня 5 модели OSI?
10.Каковы основные функции Уровня 6 модели OSI?
11.Каковы основные функции Уровня 7 модели OSI?
12.Что собой представляет инкапсуляция данных?
13.На каком уровне модели OSI задаются IP адреса?
14.Какие устройства функционируют на Уровне 3 модели OSI?
15.Какие устройства функционируют на Уровне 2 модели OSI?
16.Какие устройства функционируют на Уровне 1 модели OSI?
17.Какие уровни моделей OSI и TCP/IP одинаковы по функциям и по
названию?
18.Что определяет PDU?
19.В чем заключается управление потоком протоколом TCP?
20.Каковы функции протокола TCP?
21.При передаче каких видов трафика используется протокол UDP?
22.Какие виды рассылки сообщений используются в сетях?
23.Какие три системы адресации используются в сетевых технологиях?
24.Каковы функции протокола ARP?
25.Если адресат назначения находится в другой сети, какой МАС-адрес
назначения будет установлен в заголовке кадра?
Упражнения
1. Изобразите эталонную модель взаимодействия открытых системISO/OSI.
2. Сравните функции уровней моделей OSI и TCP/IP.
3. Изобразите схему инкапсуляции единиц информации на транспортном,
сетевом и канальном уровнях.
4. Приведите примеры логических и физических адресов.
5. Объясните, почему в сетях используется три системы адресации.
71
Глава 4. ФИЗИЧЕСКИЙ УРОВЕНЬ СЕТЕВОЙ МОДЕЛИ
Приведено описание основных устройств и средств физического уровня модели
OSI. Даны характеристики медных и оптоволоконных кабелей, беспроводных
радиоканалов. Рассмотрены понятия физической и логической топологии.
4.1. Общие сведения о физическом уровне
Программно-аппаратные средства нижних уровней модели сети (OSI
или TCP/IP) обеспечивают доступ к сетевой среде передачи информации.
Программные и аппаратные средства физического и канального уровней
зависят от сетевых технологий. Аппаратные средства физического уровня
представлены медными и оптоволоконными кабелями, беспроводной средой
передачи данных, разъемами, повторителями сигналов (repeater),
многопортовыми
повторителями
или
концентраторами
(hub),
преобразователями среды (transceiver), например, преобразователями
электрических сигналов в оптические и наоборот. Аппаратные средства
канального уровня представлены коммутаторами (switch). Отдельно следует
отметить сетевые карты или адаптеры (Network Interface Card – NIC),
функционирование которых охватывает как канальный, так и физический
уровни. В модели TCP/IP канальный и физический уровни представлены
объединенным уровнем сетевого доступа Network Access.
В качестве среды передачи данных используют коаксиальный кабель
(coaxial cable), неэкранированную (UTP – Unshielded Twisted Pair) или
экранированную витую пару (STP – Shielded Twisted Pair), оптоволоконный
кабель (fiber optic), беспроводные радиоканалы. Для каждой среды и
технологии передачи данных определены свои протоколы и стандарты,
разработкой которых занимается целый ряд международных организаций,
перечисленных в разделе 3.2.
Канальный уровень обеспечивает обмен пакетами с сетевым
(межсетевым) уровнем и реализует доступ к физической среде передачи
данных. Поэтому протоколы сетевого уровня и выше инвариантны к сетевой
физической среде.
Различная физическая среда позволяет передавать данные по сети с
разной скоростью. При этом измеряются и учитываются следующие
параметры:
72
пропускная
способность
(bandwidth),
отображающая
объем
переданных данных за единицу времени (Кбит/с, Мбит/с);
производительность (throughput) ниже пропускной способности из-за
возникновения очередей и различных задержек при передаче данных;
полезная пропускная способность (goodput) – это объем переданных за
единицу времени данных без учета заголовков сегментов, пакетов, кадров, а
также другой служебной информации.
Как правило, наибольшую скорость и дальность передачи данных
обеспечивают оптоволоконные кабели, у которых меньше влияние
электромагнитных (EMI) и радиочастотных помех (RFI), а также
отсутствуют перекрестные помехи (crosstalk) из-за взаимного влияния
сигналов в соседних волокнах. Беспроводная среда характеризуется
сравнительно малой скоростью и дальностью передачи. Однако мобильность
пользователей
и
легкость
развертывания
беспроводных
сетей
предопределили их бурное развитие. Главной проблемой беспроводных
сетей стала информационная безопасность. Медные кабели имеют средние
показатели при сравнении с беспроводной средой и оптоволоконными
кабелями. Медные кабели получили широкое распространение в локальных
сетях технологий Ethernet, FastEthernet, GigabitEthernet.
4.2. Медные кабели
Локальные сети, как правило, строятся на основе неэкранированной
витой пары (Unshielded Twisted Pair – UTP). Экранированная витая пара
(STP), по сравнению с неэкранированной, обеспечивает лучшую защиту
передаваемого сигнала от помех. Однако UTP дешевле, поэтому широко
применяется в наиболее популярных технологиях Ethernet, FastEthernet,
GigabitEthernet. Такие кабели называют также симметричными в отличие от
коаксиальных медных кабелей, используемых, например, в телевидении.
В кабеле UTP четыре пары свитых медных проводов. Для подключения
кабеля к сетевым устройствам используется разъем (коннектор) 8Р8С (8
Position, 8 Contact) или, по-другому RJ-45, имеющий 8 контактов.
Основными характеристиками кабелей являются: максимальная
частота передаваемого по кабелю сигнала, затухание, величина перекрестных
73
помех. Для снижения влияния электромагнитных (EMI)и радиочастотных
помех (RFI), вызванных электромагнитными полями электромоторов, печей
СВЧ, ламп дневного света, выполняют свивание пар медных проводов. Эта
мера также снижает перекрестные помехи (crosstalk) из-за взаимного
влияния сигналов в соседних витых парах. Для лучшего эффекта
увеличивают число витков на единицу длины кабеля, а шаг свивания
соседних пар делают немного разным.
Основные характеристики кабелей специфицированы международным
стандартом ISO/IEC 11801 (или стандартом TIA/EIA-568A, 568В), который
специфицирует кабели по категориям (табл. 4.1). Кабели категории 7 –
экранированные.
Таблица 4.1
Категории кабелей и разъемов
Категория Полоса Скорость
кабеля и
частот, передачи,
Типовые приложения
разъема
МГц
Мбит/c
Телефонный кабель для передачи
Категория 1
0,1
0,5
голоса или данных при помощи модема
Категория 2
1
4
Локальные сети Token Ring
10
Локальные сети Ethernet 10Base-T.
Категория 3
16
100
Локальные сети Ethernet 100Base-T4
Категория 5
100
100
Сети FastEthernet 100Base-TХ
Категория 6
250
1000
Сети FastEthernet и GigabitEthernet
Категория 7
600
10000
Сети 10 Gigabit Ethernet
Кабели категорий 3 – 7, предназначены для работы в сетях Ethernet и
совместимых с ними, позволяют передавать данные на расстояние до 100 м.
Широко распространенный в настоящее время симметричный кабель
UTP категории 5 характеризуется: затуханием от 0,8 дБ на частоте 64 кГц до
22 дБ на частоте 100 МГц; волновое сопротивление 100 или 120 Ом;
активное сопротивление не более 9,4 Ом на 100 м; емкость не более 5,6 нФ
на 100 м.
В настоящее время кабель UTP категории 5 в сетях FastEthernet
100Base-TХ заменяется кабелем категории 5е, по которому можно
передавать данные со скоростью выше 125 Мбит/с.
Симметричные кабели UTP обеспечивают передачу сигналов на
расстояние до 100 м.
74
Кабели категории 7 – экранированные, они имеет общий экран и
экраны вокруг каждой пары. Седьмая категория, строго говоря, не UTP, а
S/FTP (Screened Fully Shielded Twisted Pair).
Витая пара категории 7aс полосой частот до 1200 МГц разработана для
передачи данных на скоростях до 40 Гбит/с на расстояние до 50 м, а при
скорости до 100 Гбит/с – на расстояние до 15 м. Это меньше обычного для
витой пары расстояния 100 м, но скорость передачи очень высокая.
На рис. 4.1 приведена схема формирования витых пар симметричного
кабеля с использованием 8-ми контактного разъема 8Р8С (RJ-45). Такие
кабели являются основными в локальных сетях технологий Ethernet и
совместимых с ними.
1
2
3
4
5
6
7
8
Рис. 4.1. Схема формирования витых пар симметричного кабеля
Для подключения конечного узла локальной сети, например,
компьютера к коммутатору, коммутатора к маршрутизатору (рис. 4.2а)
используется прямой кабель (Straight-through Cable), схема подключения
проводов которого к контактам разъемов RG-45 соответствует схеме рис. 4.1
и приведена на рис. 4.2б.
Прямой кабель
Straight-through Cable
Прямой кабель
Straight-through Cable
Компьютер
Коммутатор
Маршрутизатор
а)
8Р8С
RJ-45
1
2
3
4
5
6
7
8
1
2
3
4
5
6
7
8
б)
Рис. 4.2. Прямой кабель
75
8Р8С
RJ-45
Первая пара проводов (бело-оранжевого и оранжевого цвета, контакты
1, 2) используется для передачи, вторая пара (бело-зеленого и зеленого цвета,
контакты 3, 6) – для приема. Оставшиеся 2 пары (синего и бело-синего цвета,
контакты 4, 5; бело-коричневого и коричневого цвета, контакты 7, 8) в
технологии Ethernet не используются.
Прямой кабель в локальных сетях используется для соединения
следующей аппаратуры:
1. Коммутатора с маршрутизатором
2. Коммутатора с компьютерами или серверами
3. Концентратора с компьютерами или серверами.
Для соединения между собой компьютеров, коммутаторов или
концентраторов (рис. 4.3а) используется кроссовый кабель (Crossover
Cable). При соединении однотипных устройств прямым кабелем передатчик
одного устройства соединялся бы с передатчиком другого, что приводило бы
к перегрузке передатчиков. Кроссовый кабель, схема которого приведена на
рис. 4.3б, позволяет избежать такого соединения.
Кроссовый кабель
Crossover Cable
Кроссовый кабель
Crossover Cable
Кроссовый кабель
Crossover Cable
а)
8Р8С
RJ-45
1
2
3
4
5
6
7
8
1
2
3
4
5
6
7
8
8Р8С
RJ-45
б)
Рис. 4.3. Кроссовый кабель
В кроссовом кабеле обычно используют 2 витых пары, причем,
контакты 1 и 2 одного разъема RJ-45 соединяются с контактами 3 и 6 другого
(рис. 4.3б).
76
Кроссовый кабель используется для соединений однотипных устройств:
1. Коммутатора с коммутатором
2. Коммутатора с концентратором
3. Концентратора с концентратором
4. Маршрутизатора с маршрутизатором
5. Маршрутизатора с компьютером
6. Компьютера с компьютером.
В современных сетевых устройствах имеются определители портов,
которые при необходимости автоматически выполняют кроссирование
соединения внутри устройства (технология Auto-MDIX), поэтому кроссовые
кабели практически не используются.
Для конфигурирования коммутатора или маршрутизатора их
соединяют с последовательным СОМ-портом (RS-232) или с USB-портом
компьютера (терминала). При этом используется консольный кабель,
называемый также Rollover Cable (рис. 4.4). Из рис. 4.4 следует, что второй
разъем кабеля имеет нумерацию контактов обратную первому. В отличие от
прямого или кроссового кабелей, имеющих круглое сечение, консольный
кабель – плоский, голубого или черного цвета.
8Р8С
RJ-45
1
2
3
4
5
6
7
8
8
7
6
5
4
3
2
1
8Р8С
RJ-45
Рис. 4.4. Консольный кабель
Интерфейс коммутатора или маршрутизатора для связи с терминалом
называется консольным портом. Консольные кабели старого типа
используют переходные адаптеры от разъема RJ-45 консольного кабеля к
разъему DB-9 или DB-25 СОМ-порта терминала. В консольных кабелях
нового типа с одной стороны установлен разъем RJ-45, а с другой стороны
разъем DB-9 или USB.
77
4.3. Волоконно-оптические кабели
В качестве среды передачи сигналов в сетях наряду с медными
кабелями широко используются волоконно-оптические кабели (fiber optic).
Достоинством волоконно-оптического кабеля является отсутствие
необходимости свивания волокон или их экранирования, т.к. отсутствуют
проблемы перекрестных помех (crosstalk) и электромагнитных помех от
внешних источников. Это позволяет передавать сигналы с большей
скоростью и на большее расстояние по сравнению с медным кабелем.
Передача оптических сигналов производится в трех диапазонах (окнах
прозрачности) оптического волокна (ОВ) со средней длиной волны 830 нм,
1310 нм, 1550 нм, где затухание a существенно меньше, чем на соседних
участках инфракрасного диапазона (рис. 4.5). Причем, затухание снижается
примерно вдвое при переходе к более длинноволновому диапазону.
а, дБ/км
1,0
0,5
0,25
λ, мкм
0
1,31
0,83
1,55
Рис. 4.5. Зависимость затухания ОВ от длины волны
Оптическое
волокно
представляет
собой
двухслойную
цилиндрическую структуру в виде сердцевины (оптического световода) и
оболочки. Причем, сердцевина и оболочка имеют разную оптическую
плотность или показатель преломления n. Чем больше оптическая плотность
материала, тем больше замедляется свет по сравнению со скоростью в
78
вакууме. Значение показателя преломления сердцевины n1 выше показателя
преломления n2 оболочки (n1>n2).
Передача оптического излучения по световоду реализуется за счет
свойства внутреннего отражения, которое обеспечивается неравенством
показателей преломления сердцевины и оболочки n1>n2, при этом сердцевина
с большим показателем преломления является оптически более плотной
средой. Когда луч света 1 (рис. 4.6)падает на границу раздела двух
прозрачных материалов с коэффициентами преломления n1 и n2, причем
n1>n2, свет делится на две части. Часть светового луча отражается назад в
исходную среду (сердцевину) с углом отражения 3 равным углу падения 1.
Другая часть энергии светового луча пересекает границу раздела двух сред и
поступает во второе вещество (оболочку) под углом 2. Эта часть энергии,
попавшая в оболочку, характеризует потери энергии, которая должна была
распространяться по сердцевине.
n2
2
n1
1  3
Луч 1
Луч 2
1 3
1 3
Луч 3
Рис. 4.6. Отражение и преломление лучей света
При увеличении угла падения 1 возрастает угол преломления 2. При
некотором значении угла 1, называемом критическим кр, луч 2 (рис. 4.6) не
преломляется; часть его отражается, а часть скользит вдоль границы раздела,
т.е. угол преломления равен о. При условии, что угол падения будет
больше критического 1>кр и n1>n2, наступает эффект полного внутреннего
отражения, когда вся энергия светового луча остается внутри сердцевины,
т.е. луч света распространяется по световоду без потерь на большое
расстояние.
Диапазон углов падения луча света на торец оптического волокна, при
котором реализуется первое условие полного внутреннего отражения
79
(1>кр), называется числовой апертурой волокна А (рис. 4.7). Лучи света
должны входить в сердцевину только под углом, находящимся внутри
числовой апертуры волокна.
А
Рис. 4.7. Ввод луча света в оптическое волокно
Поскольку составляющие луча света входят в оптическое волокно под
разными углами, то они отражаются от границы раздела сердцевины и
оболочки под разными углами, при этом взаимодействуют между собой
(интерферируют) и частично подавляют или усиливают друг друга.
Оставшиеся усиленные составляющие части луча света формируют так
называемые моды.
Поскольку моды проходят разное расстояние до устройства назначения
(рис. 4.8а), то формируемый на выходе оптического волокна импульс не
только задерживается на время tз и подвергается затуханию (когда снижается
его уровень), но и получается размытым (рис. 4.8б).
pвх
t
pвых
t
tз
а)
б)
Рис. 4.8. Прохождение импульсного сигнала по оптическому волокну
Явление размыва (уширения) импульса на выходе оптического
волокна получило название дисперсия. Таким образом, наличие многих мод
в оптическом волокне приводит к появлению межмодовой дисперсии
передаваемого импульсного сигнала. Из-за дисперсии снижается скорость
передачи данных, т.к. размытые импульсы накладываются друг на друга, и
80
уменьшается расстояние, на которое можно передать данные. Возникновение
многих мод в оптическом волокне возможно, когда диаметр сердцевины
сравнительно большой. Такое волокно называется многомодовым (multi
mode – ММ). В многомодовом оптическом кабеле используется волокно с
сердцевиной диаметром 62,5 или 50 микрон и оболочкой диаметром 125
микрон. Такие кабели обозначаются 62,5/125 или 50/125.
Для снижения влияния многих мод на величину дисперсии при
большом диаметре сердцевины (50/125) разработано специальное
многомодовое волокно с градиентным показателем преломления.
Одномодовое волокно (single mode – SM) имеет меньший диаметр
сердцевины, что позволяет только одной моде луча света распространяться
по сердцевине вдоль оси волокна (рис. 4.9). Диаметр сердцевины
одномодового волокна уменьшен до значения 8 – 10 микрон. Обычно
одномодовое волокно маркируют следующим образом – 9/125. Это означает,
что диаметр сердцевины составляет 9 микрон, а оболочки – 125 микрон.
Одномодовое волокно более дорогое по сравнению с многомодовым.
Рис. 4.9. Одномодовое волокно
Однако в одномодовых кабелях выше скорость передачи данных и больше
расстояние, на которое могут быть переданы данные. Поэтому кабели с
одномодовым волокном используется в локальных сетях и сетях доступа для
соединений между зданиями, а в технологиях транспортных сетей – для
междугородней связи.
В одномодовом волокне межмодовая дисперсия отсутствует. Однако,
присутствует хроматическая дисперсия характерная как для многомодового,
так и для одномодового волокна. В многомодовом волокне она незаметна на
фоне большого значения межмодовой дисперсии. Хроматическая дисперсия
возникает из-за того, что волны света разной длины проходят через
оптическое волокно с несколько различными скоростями. То есть, дисперсия
81
возникает из-за нелинейности фазо-частотной характеристики ОВ. В идеале
источник света (светодиод или лазер) должны генерировать свет только
одной частоты, тогда хроматической дисперсии не было бы. Однако лазеры,
и особенно светодиоды, генерируют спектр частот (длин волн). Поэтому
расстояние и скорость передачи данных ограничиваются как дисперсией, так
и затуханием сигнала в волокне.
Таким образом, хроматическая дисперсия одномодового оптического
волокна зависит от длины волны. Параметры ОВ определяются
рекомендациями Международного союза электросвязи (G.652, G.653, G.654,
G.655). Для стандартного одномодового оптического волокна (G.652) эта
зависимость проходит через ноль на длине волны 1310 нм. Поэтому для
работы в длинноволновом диапазоне (λ = 1550 нм), где наименьшее
затухание (рис. 4.5), разработано одномодовое оптическое волокно (G.653) со
смещенной дисперсией, у которого нулевое значение дисперсии смещено в
район 1550 нм. Оптическое волокно (G.655) со смещенной ненулевой
дисперсией предназначено для работы в системах со спектральным
уплотнением по длине волны WDM.
В современных линиях передачи комбинируют участки оптического
волокна, характеризующиеся положительной дисперсией, с участками
волокна с отрицательной дисперсией, чтобы в некоторой мере
скомпенсировать дисперсию.
Расстояние передачи сигналов в локальных сетях по одномодовому
волокну, определенное стандартом GigabitEthernet, составляет до 5 км, а
стандартом 10GigabitEthernet – до 40 км. В линейных трактах
телекоммуникационных систем на длине волны 1550 нм реализована
передача данных на расстояние до 100 км без усиления и регенерации
сигналов.
Для приема оптических сигналов используют фотодиоды, которые
работают на длинах волн 850, 1310 или 1550 нм, преобразуя принятые
оптические импульсы в электрические сигналы.
Для проверки волоконно-оптических кабелей используются различные
тестеры. Наиболее полную проверку оптоволоконных кабелей реализуют
оптические рефлектометры (OTDR). Тестирующий световой импульс
отражается от неоднородностей волокна (обратное рассеивание), что дает
возможность локализации этих неоднородностей.
82
Для подключения оптоволоконных кабелей к сетевым устройствам
используют различные соединители (разъемы), приведенные на рис. 4.10.
Рис. 4.10. Соединители (разъемы) оптоволоконных кабелей (ST, SC, FC, LC)
Прямоконечный соединитель (Straight-Tip – ST) ранее использовался с
многомодовым волокном.
Разъем абонента (Subscriber Connector – SC) широко используется в
настоящее время с одномодовым волокном.
Разъем FC рекомендуется для работы с одномодовым волокном.
Малогабаритный светящийся разъем (Lucent Connector – LC)
функционирует с одномодовым волокном, а также поддерживает
многомодовое волокно.
Для соединения устройств внутри телекоммуникационных шкафов
используются сравнительно короткие соединительные оптоволоконные
кабели (патчкорды): многомодовый кабель SC-SC, многомодовый ST-LC,
одномодовый LC-LC, одномодовый SC-ST. С многомодовыми кабелями
используют соединительный кабель SC-SC.
83
4.4. Беспроводная среда
Беспроводная среда образуется совокупностью радиоканалов,
сгруппированных в несколько частотных диапазонов. Три частотных
диапазона: 900 МГц, 2,4 ГГц и 5 ГГц, рекомендованы Международным
союзом телекоммуникаций ITU для использования в промышленности, науке
и медицине (Industrial, Scientific, Medical – ISM) и не требуют
лицензирования. В указанных частотных диапазонах и строится большинство
беспроводных локальных и глобальных сетей связи. Более низкий частотный
диапазон увеличивает расстояние передачи и улучшает распространение
радиоволн внутри зданий. Однако число каналов и, следовательно,
пользователей при этом снижается.
Техника модуляции широкополосных сигналов позволяют повысить
помехозащищенность при сосредоточенных помехах высокого уровня и
низком уровне сигнала. На практике широко используются технологии
прямого последовательного расширения спектра (Direct Sequence Spread
Spectrum – DSSS) и ортогонального частотного мультиплексирования
(Orthogonal Frequency Division Multiplexing – OFDM). Устройства,
использующие OFDM, имеют более высокую скорость передачи данных.
Однако устройства с модуляцией DSSS – проще и дешевле.
Мультиплексирование каналов производится на основе техники, называемой
Множественным доступом с кодовым разделением (Code Division Multiple
Access – CDMA).
В настоящее время широко применяются беспроводные сети, которые
реализуют соединения абонентов через точки беспроводного доступа
(Wireless Access Point – WAP). При этом абоненты (хосты) должны
комплектоваться беспроводными сетевыми картами. В свою очередь, точки
беспроводного доступа могут соединяться с другими сетевыми
устройствами, например с коммутаторами, маршрутизаторами, посредством
кабелей, образуя достаточно разветвленную сеть.
Беспроводная (wireless) среда регламентируется набором стандартов,
которые различаются частотным диапазоном, скоростью передачи данных и
расстоянием.
84
Стандарт IEEE 802.11 (Wi-Fi) является основным стандартом
беспроводных локальных сетей (Wireless LAN – WLAN). Параметры
беспроводных сетей в значительной мере определяются используемой
техникой модуляции. Основные параметры технологий стандарта 802.11 (WiFi) приведены в табл. 4.2.
Таблица 4.2
Параметры стандартов Wi-Fi беспроводной среды передачи
Стандарт
Частотный
Макс. скорость
Совместимость с
диапазон, ГГц передачи, Мбит/с другими стандартами
802.11a
5
54
нет
802.11b
2,4
11
нет
802.11g
2,4
54
802.11 b
802.11n
2,4 или 5
200 – 600
802.11 a/b/g
802.11ac
2,4 и 5
450 – 1300
802.11 a/ b/g/n
802.11ad
2,4, 5 и 60
7000
802.11 a/ b/g/n/ac
Стандарт IEEE 802.11a регламентирует работу устройств WLAN в
частотном диапазоне 5 ГГц. Скорость передачи – до 54 Мбит/с, а в
некоторых случаях – до 108 Мбит/с. В производственных технологических
сетях скорость передачи обычно оценивается в 20-26 Мбит/с. Использование
высокочастотного диапазона 5 ГГц стандарта 802.11a ограничивает
расстояние передачи и распространение радиоволн внутри зданий.
Используемый вид модуляции – OFDM. Устройства стандарта 802.11a не
могут взаимодействовать с устройствами стандарта 802.11b и 802.11g,
поскольку последние работают в диапазоне 2,4 ГГц.
В настоящее время устройства стандарта 802.11b и 802.11g получили
широкое распространение. Устройства стандарта 802.11b функционируют в
частотном диапазоне 2,4 ГГц и характеризуется скоростью передачи до 11
Мбит/с, вид модуляции – DSSS.
Устройства стандарта 802.11g являются совместимыми с устройствами
802.11b, поскольку работают в том же частотном диапазоне 2,4 ГГц. В
устройствах этого стандарта может использоваться как техника модуляции
OFDM, так и DSSS. При технике модуляции OFDM скорость передачи
данных такая же, как в устройствах стандарта 802.11a (до 54 Мбит/с). При
технике модуляции DSSS скорость передачи данных – до 11 Мбит/с. В
настоящее время разработаны точки доступа, которые позволяют
устройствам стандартов 802.11b и 802.11a сосуществовать в одной
85
беспроводной сети WLAN. Точка доступа предоставляет услуги шлюза
(gateway) для связи устройств двух разных стандартов. Более низкий
частотный диапазон увеличивает расстояние передачи и улучшает
распространение радиоволн внутри зданий по сравнению с 802.11a.
Достоинства частотного диапазона 2,4 ГГц обусловили большое
количество пользователей, что приводит к его перегрузке и взаимному
влиянию устройств.
Устройства стандарта 802.11n способны работать как в частотном
диапазоне 5 ГГц, так и 2,4 ГГц. Максимальное значение скорости передачи
200 – 600 Мбит/с. Устройства стандарта 802.11n совместимы с устройствами
стандартов 802.11a/b/g.
Новые устройства стандартов 802.11ac и 802.11ad обеспечивают более
высокую скорость передачи (табл. 4.2) и совместимость с предыдущими
стандартами.
Все технологии 802.11 используют метод множественного доступа к
среде с контролем несущей и предотвращением (избежанием) коллизий
(Carrier Sense Multiple Access/Collision Avoidance – CSMA/CA). Согласно
этому методу устройство, которому требуется передать данные, проверяет
среду передачи на наличие сигнала данных. Если среда свободна, устройство
отправляет уведомление о своем намерении использовать ее. Затем
устройство отправляет данные.
В отличие от метода множественного доступа к среде с контролем
несущей и обнаружением коллизий (Carrier Sense Multiple Access/Collision
Detection – CSMA/CD), который использовался в ранних версиях Ethernet,
метод CSMA/CA позволяет значительно уменьшить количество коллизий в
сети с разделяемой средой передачи, но не предотвратить их полностью.
Помимо сетей вышеприведенных стандартов 802.11 создаются и
эксплуатируются сети стандарта IEEE 802.15 (Wireless Personal Area Network
– WPAN) или "Bluetooth", которые являются примером персональных сетей
(Personal Area Network – PAN). Кроме того, сети стандарт IEEE 802.16
(Worldwide Interoperability for Microwave Access – WiMAX), которые
обеспечивают широкополосную связь на значительно большее расстояние по
сравнению с вышеприведенными технологиями.
86
При создании беспроводных сетей особое внимание следует уделять
зоне покрытия, помехозащищенности и обеспечению информационной
безопасности, поскольку среда является общей для всех пользователей, в
том числе и неправомочных.
4.5. Кодирование передаваемых по сети данных
Информационные сигналы могут передаваться по сети синхронно с
частотой тактовых сигналов, которые определяют интервал времени для
передачи бита информации (бит-тайм), и асинхронно, когда
информационные биты передаются без синхронизации с тактовыми
импульсами.
Кодирование сигналов представляет собой процесс преобразования
информации в заданный код. Кодирование позволяет различить биты
информационных данных и биты сигналов управления. При асинхронной
передаче для определения начала и конца кадра используются флаги,
которые кодируются определенным образом, например, как на рис. 4.11.
Поле физических
Поле
адресов назначения и
управления
01111110
источника
Флаг
Поле данных
Флаг
Поле контр.
суммы
01111110
Рис. 4.11. Обобщенный формат кадра
Кодовая комбинация 01111110 всегда обозначает флаг начала и (или)
конца кадра. Если такая кодовая комбинация встречается при передаче
информационных данных, то она модифицируется специальными
устройствами – скремблерами. В поле адреса кадра задаются физические
адреса устройства-назначения и устройства-источника. Поле управления
используется для дополнительной служебной информации. Для проверки
отсутствия ошибок в передаваемой в кадре информации используется поле
контрольной суммы (Frame Check Sequence – FCS), которая вычисляется при
передаче кадра. На приемной стороне контрольная сумма вычисляется вновь
и сравнивается с принятой. Если они совпадают, то считают, что кадр
передан без ошибок. При расхождении значений FCS кадр отбрасывается и
требуется его повторная передача.
87
При передаче по физической среде сигнал подвержен линейным
искажениям и воздействию помех. Для уменьшения влияния искажений и
помех последовательность бит передаваемой информации преобразуется в
линейный код, который передается по линии связи.
В зависимости от направляющей среды (медные или волоконнооптические кабели, радиоканалы) используются различные коды, которые в
разной степени устойчивы к воздействию линейных искажений и помех,
имеют разные свойства самосинхронизации и разные спектральные
характеристики. Спектры сигналов при использовании разных кодов
различаются. В многоканальных системах при передаче информации по
линии связи с ограниченной полосой пропускания спектр сигнала должен
быть узкополосным, чтобы по одной линии передать много сообщений.
Важной характеристикой кода является свойство самосинхронизации.
Оборудование на приемной стороне должно работать синхронно с
передающей аппаратурой, поэтому на приемной стороне сигнал
синхронизации выделяют из принятого сигнала. Для этого сигнал должен
достаточно часто изменять свое состояние (переходить из низкого уровня в
высокий и наоборот). Если передается длинная последовательность нулей
или единиц, то синхронизация на приемной стороне может быть потеряна.
Поэтому принимаются меры по искусственному изменению состояния
передаваемого сигнала.
Из всего разнообразия линейных кодов на рис. 4.12 приведены
наиболее распространенные. Наиболее простым и естественным является
потенциальный код без возврата к нулю (Non Return to Zero – NRZ), где
нулю соответствует низкий уровень сигнала, единице – высокий (рис. 4.11).
Однако при длинных последовательностях нулей у кода NRZ плохие
свойства самосинхронизации, поскольку нет переходов сигнала из одного
состояния в другое. Поэтому применяют специальные меры для улучшения
свойств самосинхронизации: использование блочных кодов, искусственная
вставка (стаффинг) единичных импульсов при передаче длинных
последовательностей нулей.
Наряду с кодом NRZ широко используется код с возвратом к нулю
(Return to Zero – RZ), обычно со скважностью q = 2. При передаче по линии
связи сигнал кода NRZ (и RZ) подвержен линейным искажениям и
88
воздействию помех. Особенно сильно это проявляется при передаче сигнала
по медным кабелям.
1 0 0 1 1 0 1 1 0 0 1 0 1 1 1 0 0 1 0 1 1 0 1 0
NRZ
RZ
NRZI
Манчестер
AMI
MLT-3
Рис. 4.12. Линейные коды систем передачи информации
Модифицированный (инверсный) потенциальный код (Non-Return to
Zero Inverted – NRZI) изменяет свое состояние на противоположное при
передаче нуля и не меняет – при передаче единицы (рис. 4.12). Его свойства
самосинхронизации несколько лучше, чем кода NRZ, поэтому он
применяется в технологии FastEthernet спецификации 100 Base-FX.
Для уменьшения влияния помех и линейных искажений в медных
кабелях однополярные сигналы кода NRZ (RZ) преобразуются в биполярные
(двуполярные) импульсы. Хорошими свойствами самосинхронизации и
устойчивостью к воздействию помех характеризуются биполярные коды:
Alternate Mark Inversion – AMI и Multi Level Transmission – MLT-3 (рис.
4.12). Нулевые биты кода AMI представлены нулевым уровнем сигнала, а
единичные биты – чередующимися значениями +V, -V. При передаче
нулевого бита кода MLT-3 значение сигнала не изменяется, оставаясь таким,
89
каким оно было к этому моменту. При передаче единичных бит данных
значение сигнала изменяется в следующей последовательности: +V, 0, -V, 0,
+V и т.д. Сигналы кода MLT-3 характеризуются более узкой полосой частот
по сравнению с кодом NRZI, модификацией которого он является. Коды
AMI, MLT-3, как и другие биполярные коды, применяются при передаче
информации по медным кабелям. Например, код MLT-3 используется в
локальных сетях технологии FastEthernet спецификации 100 BaseТX.Недостатком кодов AMI, MLT-3 является плохая самосинхронизация при
передаче длинной последовательности нулей, поэтому необходимо
использование стаффинга или блочных кодов.
Наилучшими свойствами самосинхронизации обладает манчестерский
код (Манчестер – рис. 4.12). Однако у него более широкая полоса спектра
частот по сравнению с потенциальным кодом NRZI и, особенно, по
сравнению с биполярными кодами AMI, MLT-3. Манчестерский код
использовался в локальных сетях Ethernet спецификации 10 Base-Т. Однако
полоса частот его спектра примерно в 1,5 раза шире вышеприведенных
кодов. Поэтому в новых технологиях локальных сетей (FastEthernet,
GigabitEthernet) манчестерский код не применяется.
Недостатком кодов AMI, MLT-3 является плохая самосинхронизация
при передаче длинной последовательности нулей. Для устранения этого
недостатка используется либо избыточный блочный код 4В/5В, либо
специальное устройство – скремблер.
В случае применения избыточного блочного кода 4В/5В
информационная последовательность разбивается на блоки по 4 бита,
которые образуют 16 кодовых комбинаций. К каждому блоку добавляется
дополнительный (избыточный) пятый бит, при этом можно сформировать 32
кодовых комбинации (табл. 4.3), из которых для передачи данных
используются только 16 комбинаций, содержащих чередующиеся значения
нулей и единиц. В последовательности передаваемых бит число нулей не
может быть больше трех. Остальные кодовые комбинации считаются
запрещенными или используются для передачи служебной информации.
Наличие запрещенных кодовых комбинаций повышает помехозащищенность
передаваемых данных.
90
Таблица 4.3
Код 4B/5B
4В
5В
4В
5В
4В
5В
4В
5В
0000
11110
0100
01010
1000
10010
1100
11010
0001
01001
0101
01011
1001
10011
1101
11011
0010
10100
0110
01110
1010
10110
1110
11100
0011
10101
0111
01111
1011
10111
1111
11101
Спектр потенциального избыточного кода 4B/5B уже спектра
манчестерского кода, поэтому избыточный блочный код применяется в
новых высокоскоростных технологиях, например, в FastEthernet.
4.6. Модуляция
При передаче сигналов линейных кодов (рис. 4.12) по линиям связи на
них воздействуют помехи, линейные и нелинейные искажения, что снижает
дальность и скорость передачи. Поэтому для передачи информации на
большие расстояния используют специальные сигналы – переносчики,
способные эффективно противостоять воздействию искажений и помех. При
передаче сообщения производится изменение какого-либо параметра сигнала
переносчика, которое отображает передаваемую информацию. Процесс
изменения информационного параметра переносчика в соответствии с
передаваемой информацией получил название модуляция. Если в качестве
модулирующего информационного сигнала выступает цифровой сигнал, то
модуляция называется манипуляцией. Примеры сигналов, получаемых при
различных видах манипуляции гармонических колебаний цифровой
последовательностью двоичного кода приведены на рис. 4.13.
При амплитудной модуляции (Amplitude Modulation – AM) или
амплитудной манипуляции (Amplitude Shift Keying – ASK) значениям
передаваемых данных (0 и 1) соответствует два разных значения амплитуды
гармонического колебания переносчика. В частном случае нулевому
значению передаваемой информации соответствует нулевое значение
амплитуды переносчика (рис. 4.13).
91
При частотной модуляции – ЧМ (Frequency Modulation – FM) или
частотной манипуляции (Frequency Shift Keying – FSK) значениям 0 и 1
передаваемых данных соответствует разная частота передаваемого сигнала.
Если на приемной стороне можно распознать не 2, а 4, 8, 16,… значений
амплитуды или частоты, то за один такт Т можно передать 2, 3, 4,… бита
информации.
1
0
1
1
0
0
1
АМ
ЧМ
ФМ
ОФМ
Т
Рис. 4.13. Различные виды манипуляции
При фазовой манипуляции – ФМ (Phase Shift Keying – PSK) за один
такт Т передается один бит информации, когда значению 0 передаваемых
данных соответствует фаза 0º переносчика, а значению 1 – соответствует
фаза 180º. Такой вид модуляции получил название двоичной фазовой
манипуляции (Binary PSK). На приемной стороне фаза сигнала сравнивается
92
с фазой опорного сигнала, полученного с помощью узкополосного фильтра
из принятого сигнала.
При воздействии импульсных помех фаза опорного сигнала может
измениться на 180º, тогда начинается обратный прием, т.е. принимается
инверсное значение данных. Для борьбы с этим явлением была разработана
относительная фазовая модуляция – ОФМ. В этом случае при передаче 0
фаза передаваемого сигнала не меняется, а при передаче 1 – фаза изменяется
на 180º (рис. 4.13).
Если фаза передаваемого сигнала может принимать одно из четырех
значений (0º, 90º, 180º, 270º), то за один такт Т можно передать два бита
информации (00, 01, 10, 11), как показано на рис. 4.14. Такая модуляция
называется квадратурной фазовой манипуляцией.
0
0
0
1
1
0
1
1
Т
Рис. 4.14. Квадратурная фазовая манипуляция
Скорость передаваемой информации измеряется либо в Бодах, либо в
бит/с. Значение в Бодах определяет частоту следования тактов: Бод = 1/Т
(рис. 4.14). Поскольку при квадратурной фазовой манипуляции за один такт
передается два бита информации, то значение «битовой» скорости передачи
будет вдвое выше значения скорости, заданной в Бодах. Если же
использовать фазовую манипуляцию, при которой значение фазы может
принимать 8 значений через 45º, то за один такт будет передаваться три бита
информации, а значение «битовой» скорости передачи будет втрое выше
значения скорости, заданной в Бодах.
В настоящее время на практике широко используется квадратурная
амплитудная модуляция (Quadrature Amplitude Modulation – QAM), когда
комбинируется амплитудная и фазовая модуляции. Например, при четырех
значениях амплитуды и восьми значениях фазы можно получить 32
93
информационных комбинации, что отображено на рис. 4.15. Из 32 кодовых
комбинаций 16 являются разрешенными (затемненные точки на рис. 4.15), а
остальные – запрещенными. Это сделано для лучшего распознавания на
приемной стороне передаваемых кодовых комбинаций на фоне помех,
поскольку на диаграмме рис. 4.15 разрешенные кодовые комбинации по
возможности максимально удалены друг от друга. Такая квадратурная
амплитудная модуляция с 16 кодовыми комбинациями получила название
КАМ-16 (QAM-16), т.е. за один такт передается четыре бита информации.
Для высокоскоростных систем разработана модуляция КАМ-64, когда за
один такт передается шесть бит информации.
90°
135°
45°
180°
0°
315°
225°
270°
Рис. 4.15. Квадратурная амплитудная модуляция КАМ-16
94
4.7. Топология сетей
При создании систем и сетей передачи информации сетевые элементы
объединяются на основе различных топологий. Выбор топологии зависит от
типа сети:
- с коммутацией каналов или пакетов;
- транспортные или сети доступа;
- локальные или глобальные.
В различных типах сетей используются различные топологии и
различные методы обеспечения надежности. Однако некоторые топологии
используются практически во всех типах сетей. Далее рассмотрены широко
распространенные топологии локальных сетей.
В инфокоммуникационных сетях различают физическую и логическую
топологии сети. Физическая топология представляет собой наиболее
общую структуру сети и отображает схему соединения сетевых элементов и
узлов кабелями связи. Логическая топология показывает, как по сети
передаются определенные единицы информации, и определяет метод доступа
к сетевой среде передачи данных. В данном разделе рассматривается,
главным образом, физическая топология локальных сетей.
В локальных сетях наибольшее распространение получили следующие
физические топологии (рис. 4.16): шина, кольцо, звезда, расширенная звезда,
древовидная (иерархическая) топология, а также полносвязная топология, где
все узлы связаны между собой индивидуальными линиями связи.
Разделяемая (shared) линия или среда передачи данных, когда
пользователи делят ресурсы линии связи между собой, снижает стоимость
сети. Но в каждый момент времени линией может пользоваться только одна
пара абонентов, из-за чего могут возникнуть очереди, а также коллизии.
Топология шина (рис. 4.16а) характеризуется тем, что передачу
данных в данный момент времени может вести только один узел. Ожидание
своей очереди на передачу данных является недостатком топологии. Если два
узла одновременно начали передачу данных, то в сети возникает коллизия.
При выходе какого-то узла из строя вся остальная сеть будет
функционировать без изменений. Другими достоинствами топологии
являются экономное расходование кабеля, простота, надежность и легкость
95
расширения сети. Топология шина характерна для технологий ранних версий
локальных сетей Ethernet, когда использовали коаксиальный кабель.
Узлы
...
Кольцо
Шина
а)
б)
Расширенная
звезда
Звезда
в)
г)
Древовидная
(иерархическая)
топология
Полносвязная
топология
д)
е)
Рис. 4.16. Физические топологии локальных сетей
При использовании топологии кольцо (рис.4.16б) сигналы передаются
в одном направлении от узла к узлу. При выходе из стоя любого узла,
прекращается функционирование всей сети, если не предусмотрен обход
вышедшего из строя узла. Подобная физическая топология использовалась,
например, в технологиях локальных сетей Token Ring, где для исключения
коллизий реализован детерминированный доступ к разделяемой среде
(кольцу). Передавать данные может только тот узел, который захватывает и
96
удерживает специальный маркер, который циркулирует по кольцу. В
настоящее время кольцевая топология широко используется в магистральных
транспортных сетях.
Топология звезда (рис. 4.16в) требует применения центрального
устройства, к которому подключены все узлы. Выход из стоя одного узла не
влияет на работоспособность остальной сети. Сеть легко модифицируется
путем подключения новых узлов, в ней легко организовать управление и
обеспечить безопасность. Из недостатков можно отметить уязвимость центра
и увеличенный расход кабеля по сравнению с топологией шина.
Топология расширенная звезда (рис. 4.16г) используется в
современных крупных локальных сетях и сетях доступа, где широко
распространены технологии GigabitEthernet. В качестве центрального
устройства обычно устанавливается коммутатор. Разновидностью топологии
расширенная звезда является древовидная или иерархическая (рис. 4.16д)
топология, где функциональные возможности коммутаторов определяются
уровнем иерархии.
Для повышения надежности и отказоустойчивости сетей их строят по
полносвязной топологии (рис. 4.16е), где все узлы соединены между собой.
Подобная топология характеризуется избыточностью, повышенным
расходом кабеля, но все узлы постоянно связаны между собой, имеются
запасные пути передачи данных.
На практике широко используется комбинация топологий. Например,
ядро сети (рис. 4.17) содержит сетевые коммутаторы (СК1,…СК5),
объединенные для повышения надежности и отказоустойчивости по
полносвязной топологии. В целом топология сети представляет собой
расширенную звезду или радиально-узловой способ построения сети, когда
конечные узлы (У) подключены к концентраторам К, которые в свою
очередь, соединены с сетевыми коммутаторами СК ядра сети. Конечные узлы
(У) сети вместе с концентраторами (К) образуют локальные сети.
97
У
У
У
К
У
У
У
У
СК2
К
У
К
СК1
СК3
СК5
У
СК4
У
К
К
У
У
У
У
У
Рис. 4.17. Сеть передачи информации с комбинированной топологией
Совокупность локальных сетей образует глобальную (составную,
распределенную) сеть (Wide Area Network – WAN). Объединение
нескольких локальных сетей в глобальную сеть (Wide Area Network – WAN)
происходит с помощью устройств и протоколов сетевого Уровня 3
семиуровневой эталонной модели OSI или уровня межсетевого
взаимодействия четырехуровневой модели TCP/IP. Если LAN объединяют
рабочие станции, периферию, терминалы и другое сетевое оборудование в
одной аудитории или в одном здании, то WAN обеспечивают соединение
LAN на широком географическом пространстве.
Логическая топология сети определяет, как узлы общаются через
среду, т.е. как обеспечивается управление доступом к среде. Наиболее
известные
логические
топологии:
«точка-точка»
(point-to-point),
множественного доступа (multi access), широковещательная (broadcast) и
маркерная (token passing).
Логическая топология «точка-точка» обеспечивает передачу данных от
одного узла до другого, независимо от промежуточных устройств между
ними. Протокол управления передачей данных при такой топологии может
быть очень простым, поскольку другие адресаты отсутствуют.
98
Логическая топология множественного доступа характерна для
Ethernet-сетей, реализованных на многопортовых повторителях (hub). Доступ
к разделяемой общей шине имеют все узлы, но в каждый момент времени
передавать данные может только один узел. При этом остальные узлы могут
только «слушать».
Использование широковещательной топологии определяет, что узел
посылает свои данные всем другим узлам сетевой среды.
Маркерная
логическая
топология,
также
как
топология
множественного доступа реализует разделение общей среды. Однако, если в
топологии multi-access Ethernet-сетей доступ к среде случайный (не
детерминированный), то в маркерной топологии доступ к среде
детерминированный. Электронный маркер (token) последовательно
передается каждому узлу по кольцу. Узел, получивший маркер, может
передавать данные в сеть. Если в узле нет данных для передачи, то он
передает маркер следующему узлу и процесс повторяется. Топологию token
passing используют сети: Token Ring и Fiber Distributed Data Interface (FDDI).
Широко известная сетевая технология Ethernet может использовать
концентраторы (hub) и кабель “витая пара” (рис. 4.18). Физическая
топология на рис. 4.18 представляет собой звезду, поскольку все
компьютеры подключены к центральному устройству – концентратору (hub).
Логическая же топология – шина, поскольку внутри концентратора все
компьютеры подсоединены к общей магистрали. Поэтому выяснить, о какой
топологии идет речь можно только из контекста.
...
hub
...
Рис. 4.18. Топология: физическая – звезда, логическая – шина
99
Краткие итоги главы 4
1. Сеть характеризуется следующими параметрами: пропускная способность
(bandwidth), отображающая объем переданных данных за единицу
времени; из-за возникновения очередей и различных задержек при
передаче данных производительность (throughput) ниже пропускной
способности; полезная пропускная способность (goodput) – это объем
переданных за единицу времени данных без учета заголовков сегментов,
пакетов, кадров, а также другой служебной информации.
2. В качестве среды передачи в сетях передачи данных используют
коаксиальный и симметричный медный кабель (неэкранированную UTP и
экранированную STP витую пару), оптоволоконный кабель, беспроводные
радиоканалы.
3. Кабель UTP содержит четыре пары свитых медных проводов, поэтому
используется разъем 8Р8С (RJ-45), имеющий 8 контактов.
4. Для снижения влияния помех выполняют свивание пар медных проводов.
Эта мера также снижает перекрестные помехи. Для лучшего эффекта
увеличивают число витков на единицу длины кабеля, а шаг свивания
соседних пар делают немного разным.
5. Кабель UTP широко используется в локальных сетях Ethernet,
FastEthernet, GigabitEthernet,обеспечивая передачу сигналов на расстояние
до 100 м.
6. Для соединения устройств между собой используются прямой, кроссовый
и консольный кабели.
7. Волоконно-оптические кабели характеризуются отсутствием влияния
перекрестных помех и электромагнитных помех от внешних источников.
Это позволяет передавать сигналы на большее расстояние по сравнению с
симметричным медным кабелем.
8. Одномодовое волокно оптических кабелей по сравнению с многомодовым
позволяет передавать данные на большее расстояние с более высокой
скоростью.
9. Передача данных по оптическому волокну производится на длинах волн
850, 1310 или 1550 нм.
10.Наиболее полную проверку оптоволоконных кабелей реализуют
оптические рефлектометры (OTDR).
11.Для соединения устройств внутри телекоммуникационных шкафов
используются сравнительно короткие соединительные оптоволоконные
кабели (патчкорды), например, многомодовый кабель SC-SC.
12.При создании беспроводных сетей особое внимание следует уделять зоне
покрытия, помехозащищенности и обеспечению информационной
безопасности, поскольку среда является общей для всех пользователей, в
том числе и неправомочных.
13.Беспроводная среда образуется совокупностью радиоканалов,
сгруппированных в частотных диапазонах 900 МГц; 2,4 ГГц и 5 ГГц.
100
14.Стандарт IEEE 802.11 (Wi-Fi) является основным стандартом
беспроводных локальных сетей.
15.Наибольшую скорость обеспечивает аппаратура новых стандартов
802.11aс, 802.11ad.
16.Технологии 802.11 используют метод множественного доступа к среде с
контролем несущей и предотвращением (избежанием) коллизий (Carrier
Sense Multiple Access/Collision Avoidance – CSMA/CA).
17.Использование кадров канального уровня избавляет протоколы верхних
уровней (сетевой и выше) от необходимости учитывать специфику среды
передачи.
18.При асинхронной передаче для определения начала и конца кадра
используются флаги, которые кодируются определенным образом.
19.Наиболее известными являются потенциальный код без возврата к нулю
(NRZ),код с возвратом к нулю (RZ), модифицированный (инверсный)
потенциальный код (NRZI), биполярные коды AMI и MLT-3.
20.Применения избыточного блочного кода 4В/5В улучшает свойства
самосинхронизации и повышает помехозащищенность передаваемых
данных.
21.Для передачи информации на большие расстояния используют
технологию модуляции (манипуляции).
22.Объединение сетевых узлов и станций в сеть связи реализуется на основе
различных топологий. Следует различать физическую и логическую
топологии сети.
23.Физическая топология представляет собой наиболее общую структуру
сети и отображает схему соединения сетевых элементов и узлов кабелями
связи.
24.Логическая топология сети определяет, как узлы общаются через среду,
т.е. как обеспечивается управление доступом к среде.
Вопросы по главе 4
1.
2.
3.
4.
5.
6.
7.
В чем состоит различие измеряемых параметров сети: пропускная
способность (bandwidth); производительность (throughput); полезная
пропускная способность (goodput)?
Какие типы кабелей используются в локальных сетях передачи данных?
Какие меры борьбы принимают для снижения влияния внешних (EMI,
RFI) и перекрестных помех в симметричных медных кабелях?
Какова скорость и дальность передачи кабеля UTP 3 категории?
Какова скорость и дальность передачи кабеля UTP 5, 5е категории?
Для соединения, каких устройств используется прямой кабель?
Для соединения, каких устройств используется кроссовый кабель?
101
8. Для соединения, каких устройств используется консольный кабель?
9. В чем преимущества волоконно-оптического кабеля перед медным?
10. На какое расстояние можно передавать сигналы в локальных сетях по
оптическому кабелю?
11. На каких длинах волн производится передача сигналов по оптическому
кабелю?
12. Какие разъемы используются в волоконно-оптических кабелях?
13. Какие проблемы необходимо учитывать при создании беспроводных
сетей?
14. Какие частотные диапазоны рекомендованы для использования в
промышленности, науке и медицине и не требуют лицензирования?
15. Какой стандарт является основным в беспроводных локальных сетях?
16. Какой стандарт предусматривает передачу данных в диапазоне 5 ГГц со
скоростью до 54 Мбит/с ?
17. Какой стандарт предусматривает передачу данных в диапазоне 2,4 ГГц
со скоростью до 54 Мбит/с?
18. В чем состоят особенности синхронной и асинхронной передачи
данных?
19. Что позволяет протоколам верхних уровней (сетевой и выше) не
учитывать специфику среды передачи?
20. Что используется для определения начала и конца кадра?
21. Какие адреса задаются в поле адресов кадра?
22. Какой механизм используется для проверки отсутствия ошибок в
передаваемой в кадре информации?
23. Для чего используется избыточный блочный код 4В/5В?
24. Почему для передачи информации на большие расстояния используют
модуляцию?
25. В чем состоит различие модуляции и манипуляции?
26. Какие топологии получили наибольшее распространение в локальных
сетях?
27. Каковы достоинства и недостатки топологии «общая шина»?
28. Каковы достоинства и недостатки топологии «звезда»?
29. В чем различие физической и логической топологий?
30. К какому виду относится топология множественного доступа, для каких
сетей она характерна?
102
Упражнения
1. Укажите скорости и дальность передачи симметричных медных кабелей.
2. Изобразите схемы прямого, кроссового и консольного кабелей.
3. Объясните условия, при которых возникает полное внутреннее отражение
в волокне оптического кабеля.
4. Укажите основные параметры стандартов Wi-Fi беспроводной среды
передачи.
5. Изобразите линейные коды, применяемые в системах передачи
информации. Проведите их сравнительный анализ.
6. Изобразите сигналы при различных видах модуляции (манипуляции).
7. Изобразите диаграмму квадратурной амплитудной модуляция КАМ-16.
8. Изобразите основные физические топологии локальных сетей.
9. Приведите пример, когда при одинаковой структурной схеме сети
физическая и логическая топологии будут различны.
103
Глава 5. КАНАЛЬНЫЙ УРОВЕНЬ СЕТЕВОЙ МОДЕЛИ OSI
Приведено описание основных устройств и средств канального уровня модели OSI.
Приведены параметры основных протоколов канального уровня: верхнего подуровня
логической передачи данных LLC и нижнего подуровня управления доступа к среде MAC.
Даны основные характеристики технологии Ethernet; проведен сравнительный анализ
режимов работы коммутаторов.
5.1. Общие сведения о канальном уровне
Программно-аппаратные средства канального уровня (Data Link)
модели OSI обеспечивают доступ к сетевой среде передачи информации, и
организуют обмен данными через общую локальную среду. Канальный
уровень находится между сетевым и физическим уровнями модели OSI,
поэтому он должен предоставлять сервис вышележащему уровню,
взаимодействуя с сетевым протоколом, и обеспечивая инкапсулированным в
кадр пакетам доступ к сетевой среде. В то же время, канальный уровень
управляет процессом размещения передаваемых данных в физической среде.
Поэтому канальный уровень разделен на 2 подуровня (рис. 5.1): верхний
подуровень управления логическим каналом передачи данных (Logical
Link Control – LLC), являющийся общим для всех технологий, и нижний
подуровень управления доступом к среде (Media Access Control – MAC).
Кроме того, средства канального уровня позволяют обнаруживать ошибки в
передаваемых данных.
802.2
Подуровень логической передачи данных
Logical Link Control - LLC
Подуровень
LLC
Подуровень
МАС
Ethernet (802.3)
Спецификации 10 Base-T
Витая пара
10 Base-FB
Fast Ethernet (802.3u)
10 Base-FL 100Base-T4 100Base-TX 100Base-FX
Оптоволокно Оптоволокно Витая пара
Витая пара Оптоволокно
Рис. 5.1. Подуровни канального уровня
104
Взаимодействие узлов локальных сетей происходит на основе
протоколов канального уровня. Передача данных в локальных сетях
происходит на сравнительно короткие расстояния (внутри зданий или между
близко расположенными зданиями), но с высокой скоростью (10 Мбит/с –
100 Гбит/с). Расстояние и скорость передачи данных определяется
аппаратурой соответствующих стандартов.
Международным институтом инженеров по электротехнике и
радиоэлектронике (Institute of Electrical and Electronics Engineers – IEEE)
было разработано семейство стандартов 802.х, которое регламентирует
функционирование канального и физического уровней семиуровневой
модели ISO/OSI. Ряд этих протоколов являются общими для всех
технологий, например стандарт 802.2, другие протоколы (например, 802.3,
802.3u, 802.5) определяют особенности технологий локальных сетей.
Подуровень LLC реализуется программными средствами. На
подуровне LLC существует несколько процедур, которые позволяют
устанавливать или не устанавливать связь перед передачей кадров,
содержащих данные, восстанавливать или не восстанавливать кадры при их
потере или обнаружении ошибок. Подуровень LLC реализует связь с
протоколами сетевого уровня, обычно с протоколом IP. Связь с сетевым
уровнем и определение логических процедур передачи кадров по сети
реализует протокол 802.2. Протокол 802.1 дает общие определения
локальных вычислительных сетей, связь с моделью ISO/OSI. Существуют
также модификации этого протокола.
Подуровень МАС определяет особенности доступа к физической
среде при использовании различных технологий локальных сетей. Каждой
технологии МАС-уровня (каждому протоколу: 802.3, 802.3u, 802.3zи др.)
соответствует несколько вариантов спецификаций (протоколов) физического
уровня (рис. 5.1). Спецификация технологии МАС-уровня – определяет
среду физического уровня и основные параметры передачи данных (скорость
передачи, вид среды, узкополосная или широкополосная).
На канальном уровне передающей стороны формируется кадр, в
который инкапсулируется пакет. В процессе инкапсуляции к пакету
сетевого протокола, например IP, добавляется заголовок и концевик
(трейлер) кадра. Таким образом, кадр любой сетевой технологии состоит из
трех частей:
105
- заголовка,
- поля данных, где размещен пакет,
- концевика.
На приемной стороне реализуется обратный процесс декапсуляции,
когда из кадра извлекается пакет.
Заголовок включает разделители кадров, поля адресов и управления.
Разделители кадров позволяют определить начало кадра и обеспечить
синхронизацию между передатчиком и приемником. Адреса канального
уровня являются физическими адресами. При использовании Ethernetсовместимых технологий адресацию данных в локальных сетях
осуществляют МАС-адреса, которые обеспечивают доставку кадра узлу
назначения.
Концевик содержит поле контрольной суммы (Frame Check Sequence –
FCS), которая вычисляется при передаче кадра с использованием
циклического кода CRC. На приемной стороне контрольная сумма кадра
вычисляется вновь и сравнивается с принятой. Если они совпадают, то
считают, что кадр передан без ошибок. При расхождении значений FCS кадр
отбрасывается и требуется его повторная передача.
При передаче по сети кадр последовательно проходит целый ряд
соединений, характеризующихся разной физической средой. Например, при
передаче данных с Узла А на Узел В (рис. 5.2)
А
Оптика
В
Медь
WAP
Беспроводная
точка доступа
Медь
Радиоканалы
Медь
Узел В
Узел А
Рис. 5.2. Сеть с разнородными соединениями
данные последовательно проходят через: соединение Ethernet между Узлом А
и маршрутизатором А (медь, неэкранированная витая пара), соединение
106
между маршрутизаторами А и В (волоконно-оптический кабель), медный
кабель
последовательного
соединения
«точка-точка»
между
маршрутизатором В и беспроводной точкой доступа WAP, беспроводное
соединение (радиоканал) между WAP и конечным Узлом В. Поэтому для
каждого соединения формируется свой кадр специфического формата.
Пакет, подготовленный Узлом А, инкапсулируется в кадр локальной
сети, который передается в маршрутизатор А. Маршрутизатор декапсулирует
пакет из принятого кадра, определяет на какой выходной интерфейс передать
пакет, затем формирует новый кадр для передачи по оптической среде.
Маршрутизатор В декапсулирует пакет из принятого кадра, определяет на
какой выходной интерфейс передать пакет, затем формирует новый кадр для
передачи по медной среде последовательного соединения «точка-точка».
Беспроводная точка доступа WAP, в свою очередь, формирует свой кадр для
передачи данных по радиоканалу на конечный Узел В.
При создании сетей используются различные логические топологии,
которые определяет, как узлы общаются через среду, как обеспечивается
управление доступом к среде. Наиболее известные логические топологии:
«точка-точка» (point-to-point), множественного доступа (multiaccess),
широковещательная (broadcast) и маркерная (token passing).
Совместное использование среды несколькими устройствами
реализуется на основе двух основных методов:
- метод конкурентного (недетерминированого) доступа (Contentionbased Access), когда все узлы сети равноправны, очередность передачи
данных не организована. Для передачи данный узел должен прослушать
среду, если она свободна, то можно передать информацию. При этом могут
возникнуть конфликты (коллизии), когда два (или более) узла одновременно
начинают передачу данных;
- метод контролируемого (детерминированного) доступа (Controlled
Access), который обеспечивает узлам очередность доступа к среде для
передачи данных.
На ранних этапах создания Ethernet-сетей использовалась топология
«шина», разделяемая среда передачи данных являлась общей для всех
пользователей. При этом реализовался метод множественного доступа к
107
общей среде передачи (протокол 802.3). При этом требовался контроль
несущей, наличие которой говорило о том, что какой-то узел уже передает
данные по общей среде. Поэтому узел, желающий передать данные, должен
был дождаться окончания передачи и при освобождении среды попытаться
передать данные.
Переданную в сеть информацию может получить любой компьютер, у
которого адрес сетевого адаптера NIC совпадает с МАС-адресом назначения
передаваемого кадра, или все компьютеры сети при широковещательной
передаче. Однако передавать информацию в любой момент времени может
только один узел. Прежде чем начать передачу, узел должен убедиться, что
общая шина свободна, для чего узел прослушивает среду.
При одновременной передаче данных двумя или более компьютерами
возникает конфликт (коллизия), когда данные передающих узлов
накладываются друг на друга, происходит искажение и потеря информации.
Поэтому требуется обработка коллизии и повторная передача участвовавших
в коллизии кадров.
Подобный метод недетерминированного (ассоциативного) доступа к
среде получил название множественного доступа к среде с контролем
несущей и обнаружением коллизий (Carrier Sence Multiply Access with
Collision Detection – CSMA/CD).
Метод CSMA/CD не организует и не обслуживает очередность доступа
к среде передачи, поэтому не требует больших вычислительных ресурсов и
пропускной способности сети. Однако при высокой загрузке сети количество
коллизий возрастает и производительность (throughput) снижается. Данный
метод использовался в сетях технологии Ethernet, выполненными на
концентраторах с полудуплексными проводными соединениями (медными
и волоконно-оптическими кабелями).
В настоящее время использование в локальных сетях коммутаторов с
полнодуплексными соединениями позволило полностью устранить
коллизии. Однако возможность использования метода CSMA/CD
сохранилась в сетях технологий FastEthernet и GigabitEthernet. Стандарт
технологии 10 GigabitEthernet законодательно запретил использовать метод
CSMA/CD, т.е. запретил строить локальные сети на концентраторах.
В
беспроводных
сетях
технологий
802.11
используется
ассоциативный метод множественного доступа к среде с контролем
108
несущей и предотвращением (избежанием) коллизий (Carrier Sense Multiple
Access/Collision Avoidance – CSMA/CA). Обмен сообщениями производится
через беспроводную точку доступа. Согласно этому методу, устройство,
которому требуется передать данные, проверяет среду передачи на наличие
сигнала несущей. Если среда свободна, устройство отправляет уведомление
беспроводной точке доступа о своем намерении использовать ее. Затем
устройство отправляет данные.
В отличие от метода множественного доступа к среде с контролем
несущей и обнаружением коллизий (CSMA/CD), метод CSMA/CA позволяет
значительно уменьшить количество коллизий в сети с разделяемой средой
передачи, но не предотвратить их полностью.
Метод контролируемого (детерминированного) доступа с
маркерной логической топологией использовался в сетях Token Ring и Fiber
Distributed Data Interface (FDDI). В этих сетях, также как в сетях Ethernet,
реализуется разделение общей среды и множественный доступ. Однако, если
в топологии множественного доступа Ethernet-сетей доступ к среде
случайный (не детерминированный), то в маркерной топологии доступ к
среде детерминированный. Электронный маркер (token) последовательно
передается каждому узлу по кольцу. Узел, получивший маркер, может
передавать данные в сеть. Если в узле нет данных для передачи, то он
передает маркер следующему узлу и процесс повторяется. Сети Token Ring и
FDDI в настоящее время вытеснены технологиями Ethernet.
5.2. Форматы кадров канального уровня
В локальных и глобальных сетях на канальном уровне используются
различные протоколы и различные форматы кадров. В локальных сетях
основным протоколом канального уровня является Ethernet и совместимые с
ним. В глобальных соединениях «точка-точка» наиболее распространенным
является протокол Point-to-Point Protocol – PPP. В беспроводных сетях
технологий 802.11 используется метод множественного доступа к среде с
контролем несущей и предотвращением (избежанием) коллизий (CSMA/CA).
109
Формат кадра Ethernet
Формат кадров канального уровня практически одинаков для всех
Ethernet совместимых технологий. Технология Ethernet предусматривает
кадры четырех форматов, которые незначительно отличаются друг от друга.
Один из форматов кадра (802.3) подуровня МАС приведен на рис. 5.3.
Преамбула
SFD
DA
7 байт (10101010) 10101011 6 байт
SA
L/T
6 байт 2 байта
Data
FCS
46 - 1500 байт
4 байта
Рис. 5.3. Формат кадра 802.3 подуровня МАС
Разделитель кадров, позволяющий определить начало кадра и
обеспечить синхронизацию между передатчиком и приемником, представлен
преамбулой и начальным ограничителем кадра (Start of Frame Delimiter SFD). Преамбула кадра состоит из семи байт 10101010, необходимых для
вхождения приемника в режим синхронизации. Начальный ограничитель –
10101011 отмечает начало кадра. В некоторых форматах все 8 байт, которые
перечислены, называются преамбулой.
Формат кадра включает поля физических адресов узла назначения (DA
– Destination Address) и узла источника (SA – Source Address). В технологиях
Ethernet физические адреса получили название МАС-адресов. МАС-адреса
содержат 48 двоичных разрядов и отображаются в шестнадцатеричной
системе одной из следующих форм: 00-19-D1-93-7E-BC, 00:19:D1:93:7E:BC,
0019.D193.7EBC. МАС-адреса являются «плоскими» не иерархическими.
В локальных сетях адресация сообщений производится на основе
МАС-адресов, которые «прошиты» в ПЗУ сетевых карт конечных узлов и на
интерфейсах сетевых элементов. При запуске компьютера МАС-адрес из
ПЗУ копируется в оперативную память ОЗУ. В современной аппаратуре
программаторы
позволяют
изменять
МАС-адреса,
что
снижает
эффективность фильтрации трафика на основе МАС-адресов, т.е. снижает
информационную безопасность.
Адрес, состоящий из всех единиц FF-FF-FF-FF-FF-FF, является
широковещательным адресом (broadcast), когда передаваемая в кадре
информация предназначена всем узлам локальной сети.
110
Младшие 24 разряда МАС-адреса (6 шестнадцатеричных разрядов)
задают уникальный номер оборудования, например, номер сетевой карты.
Старшие 24 разряда физического МАС-адреса, называемые уникальным
идентификатором организации (OUI), присваиваются производителю
оборудования институтом IEEE. Израсходовав все 1024МАС-адреса,
задаваемые младшими 24 разрядами, производитель оборудования должен
получить новый идентификатор OUI от IEEE. Несмотря на то, что в МАСадресе выделена старшая и младшая части, он считается, в отличие от IPадреса, плоским (не иерархическим).
Поле L (рис. 5.3) определяет длину поля данных Data, которое может
быть от 46 до 1500 байт. Если поле данных меньше 46 байт, то оно
дополняется до 46 байт.
В настоящее время часто используется формат кадра стандарта
Ethernet-II, в котором вместо поля L задается поле типа Т, где указан
протокол сетевого уровня. Например, при использовании на сетевом уровне
протокола IPv4 шестнадцатеричное значение поля Т будет 0×0800. В случае
передачи кадра протокола ARP значение поля Т – 0×0806. Остальные поля
кадра Ethernet-II идентичны кадру стандарта 802.3.
Поле контрольной суммы (FCS – Frame Check Sequence) длиной в 4
байта позволяет определить наличие ошибок в полученном кадре, за счет
использования алгоритма проверки на основе циклического кода CRC.
Таким образом, минимальный размер кадра с учетом адресного поля
(12 байт), поля L/T (2 байта) и поля контрольной суммы FCS (4 байта)
составляет 64 байта, а максимальный размер – 1518 байт. С учетом
преамбулы минимальный размер кадра – 72 байта.
При использовании широко известных технологий виртуальных
локальных сетей (Virtual Local Area Network – VLAN) в формате кадра
необходимо задать изменения, определяемые протоколом 802.1Q:
идентификатор VLAN (12 бит), индикатор формата (1 бит), приоритет (3
бита) и идентификатор протокола (2 байта), итого 4 дополнительных байта.
Поэтому максимальный размер кадра, определяемый стандартом IEEE
802.3ac, составляет 1522 байта. Дополнительные 4 байта заголовка
вставляются между полем адреса источника и полем L/T (рис. 5.4).
111
Преамбула
SFD
DA
SA
7 байт
1 байт
6 байт
6 байт
VLAN
Данные
L/T
FCS
4 байта 2 байта 46 – 1500 байт 4 байта
Рис. 5.4. Формат кадра VLAN (802.3ac)
Когда сетевое устройство принимает кадр, размер которого меньше
минимального или больше максимального, то устройство отбрасывает такой
кадр, поскольку считает, что кадр искажен в результате коллизии или
воздействия помех.
Формат кадра протокола «точка-точка» РРР
Для связи между двумя узлами в сетях широко используется протокол
«точка-точка» (Point-to-Point Protocol – РРР), формат кадра которого
приведен на рис. 5.5
Флаг
01111110
Адрес
11111111
Управление
00000011
Протокол
2 байта
Поле
данных
Поле контр.
суммы
Рис.5.5. Формат кадра протокола РРР
Кадр начинается с флага 01111110. Поскольку сеть ограничена двумя узлами,
то в кадре задается широковещательный адрес узла назначения 11111111
размером в 1 байт, поскольку в двухточечном соединении кадр, переданный
одним узлом, в любом случае попадет на другой узел. По этой же причине не
задается адрес узла-источника. В поле управления длиной 1 байт задан код
00000011. Поле протокола длиной в 2 байта идентифицирует протокол
вышележащего уровня. Поле данных содержит пакет, определенный в поле
протокола. Поле контрольной суммы (FCS) длиной 2 или 4 байта позволяет
обнаруживать ошибки в полученном кадре.
Короткий заголовок кадра РРР позволяет эффективно использовать
пропускную способность канала. Протокол РРР позволяет производить
аутентификацию узлов, обменивающихся данными. Протокол РРР широко
используется как в локальных, так и в глобальных сетях.
112
Формат кадра беспроводной локальной сети
В технологиях беспроводных сетей стандарта 802.11, называемых
также Wi-Fi (Wireless Fidelity),используется формат кадра, изображенный на
рис. 5.6.
Управл.
кадром
Длитель/
Идентиф
DA
SA
RA
Управл.
последов
TA
Основной
текст кадра
FCS
Рис. 5.6. Формат кадра стандарта 802.11
Также как в сетях Ethernet в сетях Wi-Fi на уровне управления
логическим каналом LLC используется протокол 802.2. В формате кадра
используются МАС-адрес назначения DA и МАС-адрес источника SA по 48
двоичных разряда. Концевик кадра содержит контрольную сумму FCS для
проверки принятого кадра на наличие ошибок.
Обмен сообщениями в сетях Wi-Fi обычно производится через
промежуточные устройства (беспроводные точки доступа). Поэтому в
формате кадра 802.11 дополнительно предусмотрены:
- поле адреса приемника (Receiver Address – RA), которое содержит
МАС-адрес беспроводного устройства, являющегося непосредственным
получателем кадра;
- поле адреса передатчика (Transmitter Address – TA), которое содержит
МАС-адрес беспроводного устройства, передавшего кадр.
Поле управления кадром содержит информацию о версии протокола,
типе кадра (контроль, управление, данные), о наличии дополнительных
фрагментов кадров, о шифровании данных, и другую информацию.
Поле Длительность/Идентификатор используется по-разному, в
зависимости от типа кадра. В этом поле указывается либо время, требуемое
для передачи кадра, либо идентификатор станции, передавшей кадр.
Поле управления последовательностью размером в 2 байта состоит
из двух частей: первые 4 бита задают номер фрагмента кадра; оставшиеся 12
бит задают номер последовательности, который был присвоен кадру.
В кадрах могут передаваться данные (пакет IP) или служебная
информация, размещаемые в поле основного текста кадра (Frame Body).
113
5.3. Адресация в локальных сетях
Адресация в локальных сетях реализуется на основе МАС-адресов.
Адресация может быть одноадресная (unicast), многоадресная (multicast),
широковещательная (broadcast). В одноадресном режиме узел-источник,
например, с IP-адресом 192.168.10.11 передает данные только одному узлу с
IP-адресом 192.168.10.22 (рис. 5.7).
192.168.10.22
01-C9-FA-E5-77-2A
192.168.10.11
192.168.10.33
01-C9-FA-DB-55-89
01-C9-FA-E5-77-FF
192.168.10.44
01-C9-FA-B4-32-85
Рис.5.7.Одноадресный режим передачи данных
При этом передаваемый по локальной сети кадр (рис. 5.8) содержит в своем
заголовке МАС-адреса назначения и источника.
01-C9-FA-E5-77-2A 01-C9-FA-DB-55-89 192.168.10.11 192.168.10.22
IP-пакет
FCS
MAC-адрес назначен MAC-адрес источн. IP-адрес источ IP-адрес назн.
Данные
Контр.
сумма
Рис.5.8.Кадр одноадресной рассылки
В многоадресном режиме (групповая адресация) IP-адреса задаются из
диапазона 224.0.0.0 – 239.255.255.255. Так узел-источник, с IP-адресом
192.168.10.11 передает данные тем узлам, которые имеют групповой адрес,
например, 224.0.0.202 (рис. 5.9, 5.10).
01-00-5Е-00-00-СA
01-C9-FA-DB-55-89 192.168.10.11
224.0.0.202
MAC-адрес назначен MAC-адрес источн. IP-адрес источ IP-адрес назн.
Рис.5.9.Кадр многоадресной рассылки
114
IP-пакет
FCS
Данные
Контр.
сумма
224.0.0.202
01-00-5Е-00-00-СA
192.168.10.11
192.168.10.33
01-C9-FA-DB-55-89
01-C9-FA-E5-77-FF
224.0.0.202
01-00-5Е-00-00-СА
Рис.5.10.Многоадресный режим передачи данных
Групповым IP-адресам соответствуют МАС-адреса, начинающиеся с
01-00-5Е. Младшие разряды МАС-адреса формируются из младших разрядов
IP-адреса. Например, IP-адресу 224.0.0.202 соответствует групповой МАСадрес 01-00-5Е-00-00-СА.
В широковещательном режиме узел-источник, например, с IP-адресом
192.168.10.11 передает данные всем узлам локальной сети по адресу
192.168.10.255 (рис. 5.11, 5.12). Широковещательный МАС-адрес назначения
FF-FF-FF-FF-FF-FF содержит 48 двоичных единиц.
01-C9-FA-DB-55-89 192.168.10.11 192.168.10.255
IP-пакет
FCS
MAC-адрес назначен MAC-адрес источн. IP-адрес источ IP-адрес назн.
Данные
Контр.
сумма
FF-FF-FF-FF-FF-FF
Рис.5.11. Кадр широковещательной рассылки
192.168.10.22
01-C9-FA-E5-77-2A
192.168.10.11
192.168.10.33
01-C9-FA-DB-55-89
01-C9-FA-E5-77-FF
192.168.10.44
01-C9-FA-B4-32-85
Рис.5.12. Широковещательный режим передачи данных
115
5.4. Протокол ARP
В локальных сетях телекоммуникаций устройствам необходимы как
физический МАС-адрес, так и логический IP-адрес, которые однозначно
адресуют любое устройство в сети, образуя соответствующую пару.
Указанные пары МАС- и IP-адресов узлов локальной сети (называемые
также сопоставлениями) хранятся в таблице протокола разрешения адресов
(Address Resolution Protocol – ARP). Протокол ARP входит в стек протоколов
TCP/IP и реализует процесс нахождения МАС-адреса по известному
сетевому IP-адресу.
На каждом конечном узле можно посмотреть его физический адрес и
IP-адрес по команде ipconfig или ipconfig /all (рис. 5.13).
Рис. 5.13. Результат выполнения команды ipconfig /all
Из распечатки следует, что физическим МАС-адресом конечного узла
является 00-19-D1-93-7E-BE, а логическим IP-адресом – 10.0.118.52.
Протокол ARP может по IP-адресу определить МАС-адрес устройства.
Каждое устройство в сети поддерживает таблицу ARP, которая содержит
соответствующие MAC и IP адреса других устройств той же локальной сети.
Таблица ARP любого узла может быть просмотрена по команде arp –
116
a(рис.5.14). Записи таблицы хранятся в памяти RAM, где динамически
поддерживаются. Если узлы долго не передают данные, то соответствующие
записи из таблицы удаляются, что представлено на рис. 5.14, где таблица
содержит только одну пару IP и MAC адресов.
Рис. 5.14. Таблица ARP
Таблица ARP пополняется динамически путем контроля трафика
локального сегмента сети. Все узлы локальной сети Ethernet анализируют
трафик, чтобы определить, предназначены ли данные для них. При этом IP и
MAC-адреса источников дейтаграмм записываются в таблице ARP.
Например, после общения с узлом 10.0.118.65 в таблице ARP появляется
дополнительная, по сравнению с рис. 5.14, запись (рис. 5.15).
Рис. 5.15. Изменения в таблице ARP
Для проверки записей ARP-таблицы маршрутизатора используется
команда show ip arp. Когда устройство передает пакет по IP-адресу
назначения, оно проверяет, имеется ли в ARP-таблице соответствующий
МАС-адрес назначения. Если соответствующая запись имеется, то она
используется при инкапсуляции пакета в кадр данных. Данные передаются
по сетевой среде, устройство назначения принимает их.
117
Если узел не находит соответствующей записи в таблице ARP, то он
для получения MAC-адреса назначения посылает в локальную сеть
широковещательный ARP-запрос, в котором задается сетевой логический
IP-адрес устройства назначения. Все другие устройства сети анализируют
его. Если у одного из устройств локальной сети IP-адрес совпадает с
запрашиваемым, то устройство посылает ARP-ответ, который содержит пару
IP и MAC адресов. Эта пара IP и MAC адресов записывается в ARP-таблице.
Если в локальной сети нет запрашиваемого IP-адреса, то устройство
источник сообщает об ошибке.
Когда данные передаются за пределы локальной сети, то для передачи
сообщения необходимы IP и MAC-адреса как устройства назначения, так и
МАС-адреса промежуточных маршрутизирующих устройств. Поскольку
маршрутизаторы не транслируют широковещательные запросы в другие
сегменты сети, то в этом случае маршрутизатор в ответ на запрос посылает
ARP-ответ с MAC-адресом своего входного интерфейса, на который
поступил запрос. Таким образом, сформированный конечным устройством
кадр поступит на входной интерфейс маршрутизатора, который после
анализа адреса сети назначения и обращения к таблице маршрутизации
продвинет пакет на выходной интерфейс.
Входной интерфейс маршрутизатора, через который узлы локальной
сети могут передавать сообщения в удаленные сети, получил название шлюз.
IP-адрес входного интерфейса маршрутизатора на пути к устройству
назначения (шлюз по умолчанию – Default Gateway) обычно
конфигурируется на всех конечных узлах (хостах). Источник сообщения
сравнивает IP-адрес назначения со своим IP-адресом и определяет, находятся
ли эти адреса в одном сегменте сети или в разных сегментах. Если они
находятся в разных сегментах, то данные будут переданы только при
условии, что установлен шлюз по умолчанию.
Таким образом, при передаче данных по сети узел для нахождения
МАС-адреса назначения посылает в сеть широковещательный ARP
запрос, в котором задается IP-адрес устройства назначения, на который
в ответ получает: либо МАС-адрес узла назначения из той же локальной
сети, либо МАС-адрес входного интерфейса маршрутизатора (шлюза по
умолчанию), если адресат находится в удаленной сети.
118
При передаче по сети IP-адреса источника и назначения остаются
неизменными на всем пути следования пакета. При поступлении в
маршрутизатор из кадра извлекается пакет, определяется на какой выходной
интерфейс необходимо его передать (продвинуть). На выходном интерфейсе
формируется новый кадр, в котором задаются новые МАС-адреса источника
и назначения. То есть, МАС-адреса изменяются в каждом маршрутизаторе.
В крупных сетях широковещательные ARP-запросы могут приводить к
перегрузке сети. Кроме того, широковещательные запросы легко
перехватывают хакеры, получая информацию об IP- и МАС-адресах сети.
Поэтому для сокращения широковещательных ARP-запросов администратор
может создавать записи в таблице ARP статически. Статические записи
динамически не удаляются, удалить их может только сам администратор.
5.5. Коммутаторы в локальных сетях
Для предотвращения коллизий крупные локальные сети делятся на
сегменты или домены
коллизий, с помощью маршрутизаторов или
коммутаторов. Непосредственно к маршрутизатору конечные узлы обычно
не подключаются; подключение выполняется через коммутаторы. Каждый
порт коммутатора оснащен процессором, память которого позволяет
создавать буфер для хранения поступающих кадров. Общее управление
процессорами портов осуществляет системный модуль.
Каждый сегмент, образованный портом (интерфейсом) коммутатора с
присоединенным к нему узлом (компьютером) или с концентратором со
многими узлами, является сегментом (доменом) коллизий. При
возникновении коллизии в сети, реализованной на концентраторе, сигнал
коллизии распространяется по всем портам концентратора. Однако на другие
порты коммутатора сигнал коллизии не передается.
Существует два режима двусторонней связи: полудуплексный (halfduplex) и полнодуплексный (full-duplex). В полудуплексном режиме в любой
момент времени одна станция может либо вести передачу, либо принимать
данные. В полнодуплексном режиме устройство может одновременно
принимать и передавать информацию, т.е. обе станции в соединении точкаточка, могут передавать данные в любое время, независимо от того, передает
119
ли другая станция. Для разделяемой среды полудуплексный режим является
обязательным. Ранее создававшиеся сети Ethernet на коаксиальном кабеле
были только полудуплексными. Неэкранированная витая пара UTP и
оптическое волокно могут использоваться в сетях, работающих в обоих
режимах. Новые высокоскоростные сети 10-GigabitEthernet работают только
в полнодуплексном режиме. Большинство коммутаторов могут использовать
как полудуплексный, так и полнодуплексный режим.
В случае присоединения компьютеров индивидуальными линиями к
портам коммутатора каждый узел вместе с портом образует микросегмент.
В сети, узлы которой соединены с коммутатором индивидуальными
линиями, и работающей в полудуплексном режиме, возможны коллизии,
если одновременно начнут работать передатчики коммутатора и сетевого
адаптера узла.
В полнодуплексном режиме работы при микросегментации коллизий
не возникает. При одновременной передаче данных от двух источников
одному адресату буферизация кадров позволяет запомнить и передать кадры
поочередно и, следовательно, избежать их потери. Отсутствие коллизий
обусловило широкое применение топологии сети с индивидуальным
подключением узлов к портам коммутатора.
Современные коммутаторы используют функцию Auto-MDIX, которая
позволяет автоматически определять требуемый тип медного кабеля (прямой
или кроссовый). Таким образом, отпадает необходимость создания и
хранения двух типов кабеля.
Коммутатор является устройством канального уровня семиуровневой
модели ISOOSI, где для адресации используются МАС-адреса (рис. 5.16).
Адресация происходит на основе МАС-адресов сетевых адаптеров узлов.
Для передачи кадров используется алгоритм, определяемый
стандартом 802.1D. Реализация алгоритма происходит за счет создания
статических или динамических записей адресной таблицы коммутации.
Статические записи таблицы создаются администратором. Важно отметить,
что коммутатор можно не конфигурировать, он будет работать по
умолчанию, создавая записи адресной таблицы в динамическом режиме. При
этом в буферной памяти порта запоминаются все поступившие на порт
кадры.
120
Коммутатор (Switch)
Порт 1
Порт n
Порт 2
Порт k
Концентратор
(Hub)
...
0B1481182001
Концентратор
(Hub)
...
0002B318A102
...
0002B318A103
0AA0C9851004
Рис. 5.16. Сеть на базе коммутатора
Первоначально в коммутаторе отсутствует информация о том, какие
МАС-адреса имеют подключенные к портам узлы. Поэтому коммутатор,
получив кадр, передает его на все свои порты, за исключением того, на
который кадр был получен, и одновременно запоминает МАС-адрес
источника в адресной таблице. Например, если узел с МАС-адресом
0В1481182001 передает кадр данных узлу 0АА0С9851004 (рис. 5.16), то в
таблице (табл. 5.1) появится первая запись. В этой записи будет указано, что
узел с МАС-адресом 0В1481182001 присоединен к порту № 1. При передаче
данных от узла 0АА0С9851004 узлу 0002В318А102 в табл. 5.1 появится
вторая запись и т.д. Таким образом, число записей в адресной таблице может
быть равно числу узлов в сети, построенной на основе коммутатора.
Таблица 5.1
Адресная таблица коммутации
№ записи МАС-адрес
№ порта
1
0В1481182001 1
2
0АА0С9851004 n
3
4
Когда адресная таблица коммутации сформирована, продвижение
кадров с входного интерфейса коммутатора на выходной происходит на
основании записей в адресной таблице. При получении кадра коммутатор
121
проверяет, существует ли МАС-адрес узла назначения в таблице
коммутации. При обнаружении адресата в таблице коммутатор производит
еще одну проверку: находятся ли адресат и источник в одном сегменте. Если
они в разных сегментах, то коммутатор производит коммутацию или
перенаправление кадра (продвижение, forwarding) в порт, к которому
подключен узел назначения. Если адресат и источник находятся в одном
сегменте, например оба подключены к одному концентратору (рис. 5.16), то
передавать кадр на другой порт не нужно. В этом случае кадр должен быть
удален из буфера порта, что называется фильтрацией кадров.
Использование концентратора приводит к тому, что в адресной таблице к
одному порту будет приписано несколько МАС-адресов.
С появлением в сети новых узлов адресная таблица пополняется. Если
в течение определенного времени какой-то узел не передает данные, то
считается, что он в сети отсутствует, тогда соответствующая запись из
таблицы удаляется. При необходимости администратор может включать в
таблицу статические записи, которые не удаляются динамически. Такую
запись может удалить только сам администратор.
При получении кадров с широковещательными адресами коммутатор
передает их на все свои порты. В ряде случаев такой режим удобен. Однако,
если какой либо узел из-за сбоя начинает ошибочно генерировать кадры с
широковещательными адресами, то сеть очень быстро оказывается
перегруженной, наступает широковещательный шторм (broadcast storm),
сеть “падает”. Этим пользуются злоумышленники, нарушающие нормальное
функционирование сети. Они «наводняют» сеть широковещательными
сообщениями с ложными адресами источника, адресная таблица коммутации
переполняется, и коммутатор начинает работать, как концентратор. При этом
злоумышленник получает возможность анализировать всю информацию,
передаваемую по локальной сети. С широковещательным штормом может
бороться маршрутизатор (рис. 5.17).
Маршрутизатор делит сеть на широковещательные домены, т.е. на
отдельные сети (подсети). Поэтому широковещательные сообщения
распространяются только в пределах локальной сети. Во второй части
настоящего курса будет показано, что деление на широковещательные
домены может реализовать коммутатор при создании виртуальных
локальных сетей VLAN.
122
Маршрутизатор
Коммутатор
Коммутатор
Коммутатор
Концентратор
Шир. вещ-ый
домен № 1
Широковещательный
домен № 2
Широковещательный
домен № 3
Рис. 5.17. Деление сети на широковещательные домены
5.6. Режимы коммутации
Коммутаторы могут работать в нескольких режимах, при изменении
которых меняются задержка и надежность. Для обеспечения максимального
быстродействия коммутатор может начинать передачу кадра сразу, как
только получит МАС-адрес узла назначения. Такой режим получил название
сквозной коммутации или коммутации “на лету” (cut-through switching), он
обеспечивает наименьшую задержку при прохождении кадров через
коммутатор. Однако в этом режиме невозможен контроль ошибок, поскольку
поле контрольной суммы находится в конце кадра. Следовательно, этот
режим характеризуется низкой надежностью. В данном режиме сеть
«засоряется» поврежденными кадрами, что снижает ее производительность.
Во втором режиме коммутатор получает кадр целиком, помещает его в
буфер, проверяет поле контрольной суммы (FCS) и затем пересылает
адресату. Если получен кадр с ошибками, то он отбрасывается (discarded)
коммутатором. Поскольку кадр перед отправкой адресату назначения
запоминается в буферной памяти, то такой режим коммутации получил
название коммутации с промежуточным хранением или буферизацией
(store-and-forward switching). Таким образом, в этом режиме обеспечивается
высокая надежность, но сравнительно низкая скорость коммутации.
123
Коммутация с буферизацией является
Основным режимом современных коммутаторов.
Промежуточное положение между режимами сквозной коммутацией на
лету и буферизацией занимает режим коммутации свободного фрагмента
(fragment-free mode). В этом режиме в буфер помещается 64 байта кадра,
читаются заголовок кадра, поле данных минимальной длины и контрольная
сумма, после этого начинается передача кадра. Таким образом, проверка
контрольной суммы производится только у коротких кадров, в кадрах
большего размера контрольная сумма не проверяется.
Когда используется режим сквозной коммутации на лету, порты
устройств источника и назначения должны иметь одинаковую скорость
передачи. Такой режим называется симметричной коммутацией. Если
скорости не одинаковы, то кадр должен запоминаться (буферизироваться)
перед тем, как будет передаваться с другой скоростью. Такой режим
называется асимметричной коммутацией, при этом должен использоваться
режим с буферизацией.
Асимметричная коммутация обеспечивает связь между портами с
разной полосой пропускания. Данный режим является характерным,
например, для потока данных между многими клиентами и сервером, при
котором многие клиенты могут одновременно соединяться с сервером.
Поэтому на это соединение должна быть выделена широкая полоса
пропускания.
Для буферизации коммутатор может использовать буферную память
портов или общую память коммутатора. Во втором случае требуемый
каждому порту объем памяти выделяется динамически, что позволяет
успешно реализовать асимметричную коммутацию.
124
5.7. Параметры коммутаторов
Выбор коммутаторов для проектируемой сети определяется рядом
параметров: скоростью фильтрации кадров, скоростью продвижения кадров,
пропускной способностью, длительностью задержки передачи кадра, а также
возможностью подачи питания на конечный узел по кабелю Ethernet (PoE),
конструктивными особенностями коммутатора (конфигурацией) и другими
характеристиками.
Скорость фильтрации определяется временем приема кадра,
запоминанием его в буфере, обращением к адресной таблице коммутации и
удалением кадра из буферной памяти, если адресат и источник находятся в
одном сегменте. Коммутатор обычно успевает фильтровать кадры в темпе их
поступления в интерфейс, поэтому фильтрация не вносит дополнительной
задержки.
Скорость продвижения кадров определяется временем приема кадра,
запоминанием его в буфере, обращением к адресной таблице и передачей
кадра с входного порта на выходной, который связан с устройством
назначения. Скорость фильтрации и скорость продвижения задаются в
кадрах в секунду, причем, для оценки этих параметров обычно берутся кадры
минимальной длины 64 байта.
Пропускная способность коммутатора определяется количеством
передаваемых данных, содержащихся в поле Data кадра, в единицу времени.
Пропускная способность достигает своего максимального значения при
передаче кадров максимальной длины.
Задержка передачи кадров определяется временем от момента
появления первого байта кадра на входном порте коммутатора до момента
появления этого байта на выходном порте. В зависимости от режима
коммутации время задержки составляет от единиц до сотен микросекунд.
Основные параметры коммутаторов иногда называют обобщенным
термином – форм-фактор.
Конструктивно коммутатор может быть фиксированной или
модульной конфигурации. Коммутатор фиксированной конфигурации
содержит определенное количество портов, например, 24 порта FastEthernet и
2 порта GigabitEthernet, и эту конфигурацию изменить нельзя. В
коммутаторах модульной конфигурации пользователь может устанавливать
125
требуемое количество модулей портов в пределах возможностей линейной
платы. Добавление новой линейной платы увеличивает количество портов и
повышает плотность портов. Стекируемые (наращиваемые) коммутаторы
соединяются между собой специальным кабелем, образуя единое мощное
сетевое устройство.
Для расширения функциональных возможностей коммутаторов
используют компактные приемо-передатчики (трансиверы) стандарта SFP
(Small Form-factor Pluggable). Через модули SFP (рис. 5.18) реализуется
присоединение оптического или симметричного медного кабеля (витая пара)
к порту коммутатора. Разные модули SFP позволяют использовать как
многомодовое, так и одномодовое волокно на различных длинах волн (850
нм, 1310 нм, 1550 нм) для передачи данных на разное расстояние. Широкая
номенклатура модулей SFP позволяет создавать сетевые устройства
различного назначения. В технологиях Ethernet модули SFP реализуют
скорости передачи 100 Мбит/c, 1 Гбит/c, 10 Гбит/c, 20 Гбит/c; в технологиях
SDH модули SFP позволяют передавать потоки данных уровня STM-1, STM4, STM-16.
Рис.5.18. Модули SFP
126
5.8. Коммутаторы второго и третьего уровня
Во многих сетях пакетной коммутации используются комбинации
устройств: маршрутизатор, коммутатор, конечные узлы (рис.5.19а). В этом
случае коммутатор реализует коммутацию и фильтрацию кадров локальной
сети на основе МАС-адресов, т.е. выполняет функции устройства второго
уровня модели OSI.
а)
б)
Рис. 5.19. Элементы сети
Маршрутизацию и передачу пакетов между сетями выполняет
маршрутизатор, характеризующийся широким спектром функций.
Коммутатор характеризуется большим количеством портов и высокой
производительностью. Поэтому в новых сетевых элементах (коммутаторахмаршрутизаторах) объединили функции коммутатора и маршрутизатора
(рис. 5.19б). Такое устройство получило название коммутатора уровня 3
модели OSI. Коммутатор уровня 3 пересылает данные, базируясь на IP- и
МАС-адресах назначения. Пересылка данных происходит с высокой
скоростью, характерной для классических коммутаторов уровня 2.
Коммутаторы уровня 3 фирмы Catalist функционируют на базе
технологии Cisco Express Forwarding (CEF), которая для пересылки данных
создает и поддерживает базу данных о переадресации (FIB) и таблицу
смежности.
У коммутаторов уровня 3 существует три основных типа интерфейсов:
127
- виртуальный интерфейс коммутатора (SVI) – связан с виртуальной
локальной сетью VLAN. Виртуальный интерфейс необходим для
конфигурирования коммутатора, в том числе, для удаленного доступа;
- маршрутизируемый порт уровня 3 функционирует, как интерфейс
маршрутизатора, который образует отдельную IP-сеть. Маршрутизируемый
порт может функционировать с протоколами уровня 3 и не поддерживает
протоколы уровня 2.
- логический интерфейс Ether Chanel является портом уровня 3,
образованным группой маршрутизируемых портов. Агрегирование каналов
позволяет повысить пропускную способность логического интерфейса Ether
Chanel, например, для связи с сервером.
Для конфигурирования маршрутизируемого порта уровня 3 нужно
выполнить команду no
switchport, назначить IP-адрес, включить
интерфейс, например:
Switch(config)#interfase f0/2
Switch(config-if)#no switchport
Switch(config-if)#ip address 192.168.10.1 255.255.255.0
Switch(config-if)#no shutdown
Коммутатор уровня 3 пересылает сообщения на основе комбинации IPадресов и МАС-адресов.
Протокол STP
Когда сеть строится с использованием топологии иерархического
дерева, то коммутационные петли отсутствуют. Однако сети часто
проектируются с избыточными путями, чтобы обеспечить надежность и
устойчивость сети (рис.5.7).
Избыточные пути могут приводить к образованию коммутационных
петель, что, в свою очередь, может привести к широковещательному шторму
и обрушению сети.
128
Switch 3
Switch 5
Switch 1
Switch 2
Switch 4
Switch 6
Рис. 5.7. Образование маршрутных петель в сетях на коммутаторах
Протокол для предотвращения петель в коммутируемых сетях
(Spanning-Tree Protocol – STP) используется в сетях с избыточными путями.
Коммутаторы используют алгоритм STA, чтобы перевести в резервное
состояние избыточные пути, которые не соответствуют иерархической
топологии. Запасные избыточные пути задействуются, если основные
выходят из строя.
Таким образом, протокол STP используется для создания логической
иерархии без петель, т.е. даже при наличии физических петель, логические
петли отсутствуют. Каждый коммутатор в локальной сети рассылает
уведомления STP во все свои порты, чтобы позволять другим коммутаторам
знать о их существовании. Эта информация используется, чтобы выбрать
корневой коммутатор для сети. Протокол STP создает древовидную
топологию, где от каждого коммутатора и от каждого сегмента сети будет
единственный путь минимальной длины до корневого коммутатора. Для
определения длины пути используется соответствующая метрика.
Каждый порт коммутатора, который используя STP, находится в одном
из следующих 5 состояний:
- Блокировка (Blocking)
- Прослушивание (Listening)
- Обучение (Learning)
- Продвижение (Forwarding)
- Выключен (Disabled)
129
Подробности работы протокола STP приведены во второй части
настоящего курса. Существенным недостатком протокола STP является
слишком долгое время формирования новой конфигурации сети, которое
может составлять значение порядка минут. Ускорение процесса
формирования новой конфигурации сети достигнуто за счет разработки
быстродействующих протоколов, среди которых наиболее
известен
протокол Rapid Spanning Tree Protocol (RSTP), специфицированный
организацией IEEE как 802.1D-2004, затем как 802.1W.
130
Краткие итоги главы 5
1. Канальный уровень (Data Link) обеспечивает обмен данными через
общую локальную среду. Он разделен на два подуровня (LLC и МАС).
2. Подуровень LLC реализуется программными средствами и обеспечивает
связь с протоколами сетевого уровня.
3. Формат кадра протокола LLC является общим для всех технологий
канального уровня.
4. Подуровень МАС определяет особенности доступа к физической среде
при использовании различных технологий локальных сетей.
5. Каждой технологии МАС-уровня соответствует несколько вариантов
(спецификаций) протоколов физического уровня, которые определяют
скорость передачи, вид среды.
6. Формат кадра Ethernet содержит следующие поля: преамбула, поля
адресов источника и устройства назначения, поле длины данных или поле
типа протокола вышележащего уровня, поле данных от 46 до 1500 байт,
поле контрольной суммы.
7. На МАС подуровне сетей используются технологии: Ethernet, FastEthernet,
GigabitEthernet, 10 GigabitEthernet и 40 GigabitEthernet.
8. В локальных сетях адресация узлов производится на основе МАС-адресов,
содержащих 48 двоичных разрядов. МАС-адреса представлены в
шестнадцатеричной системе.
9. При передаче по сети IP-адреса источника и назначения остаются
неизменными на всем пути следования пакета. МАС-адреса изменяются в
каждом маршрутизаторе.
10.Протокол ARPпри запросе может по IP-адресу определить МАС-адрес
устройства. Если адресат находится в удаленной сети, то протокол ARP
выдает адрес шлюза по умолчанию.
11.В больших сетях широковещательные запросы ARP могут снижать
пропускную способность соединений. Перехват ARP-запросов хакерами
снижает информационную безопасность.
12.В сетях технологии Ethernet, построенных на основе логической
топологии “общая шина”, разделяемая среда передачи данных является
общей для всех пользователей. При этом реализуется метод
множественного доступа к среде с контролем несущей и обнаружением
коллизий (CSMA/CD).
13.Для предотвращения коллизий современные локальные сети строятся на
базе коммутаторов, которые делят сеть на сегменты коллизий.
14.Продвижение кадров с входного интерфейса коммутатора на выходной
происходит на основании записей в адресной таблице коммутации.
15.Различные режимы коммутации позволяют изменять производительность
коммутатора и надежность передачи данных.
16.У коммутаторов уровня 3 существует три основных типа интерфейсов:
виртуальный интерфейс, маршрутизируемый порт, логический интерфейс
Ether Chanel.
131
17.Маршрутизируемый порт может функционировать с протоколами
третьего уровня и не поддерживает протоколы уровня 2.
18.Протоколы для предотвращения петель в коммутируемых сетях (STP,
RSTP) используются в сетях с избыточными путями.
Вопросы по главе 5
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
Какие функции выполняет верхний подуровень канального уровня?
Какие функции выполняет нижний подуровень канального уровня?
Что определяют спецификации технологии МАС-уровня?
Сколько двоичных разрядов содержит МАС-адрес и в какой системе он
представлен?
Что задают первые и последние три байта МАС-адреса?
Каким типом адреса является FF-FF-FF-FF-FF-FF?
Какой МАС-адрес соответствует групповому IP-адресу 224.0.61.200?
Какие адреса остаются неизменными на всем пути следования пакета, а
какие изменяются в каждом маршрутизаторе?
Какой протокол может по IP-адресу определить МАС-адрес устройства?
Какие недостатки ARP-протокола?
Какой метод доступа к среде отображается аббревиатурой CSMA/CD?
В чем различие ассоциативного (конкурентного) и детерминированного
(контролируемого) методов доступа к среде?
Для чего необходима преамбула в кадре Ethernet?
Как адресуются источник и устройство назначения в кадре Ethernet?
Какую функцию выполняет контрольная сумма в кадре Ethernet?
Что такое коллизия?
Какое устройство ограничивает коллизию пределами одного сегмента?
Что такое микросегмент?
На базе каких адресов происходит адресация узлов в локальных сетях?
Чем различаются продвижение и фильтрация кадров?
Какое устройство делит сеть на широковещательные домены?
Какими параметрами определяется производительность коммутатора?
Что определяет термин форм-фактор коммутатора?
Чем отличается сквозная коммутация или коммутация “на лету” от
коммутации с промежуточным хранением или буферизацией?
Какой метод коммутации используется, если порт входящих сообщений
работает со скоростью 100 Мбит/с, а порт исходящих – 1000 Мбит/с?
Для чего используется протокол STP?
Какая совокупность команд необходима для конфигурирования
маршрутизируемого порта уровня 3?
132
Упражнения
1. Перечислите спецификации технологий Ethernet, FastEthernet. Приведите
их основные характеристики.
2. Изобразите формат кадра МАС. Укажите размер и назначение его полей.
3. Объясните, почему задается минимальная длина поля данных.
4. Изобразите схему локальной сети на коммутаторе с пятью конечными
узлами, укажите номера портов и МАС-адреса узлов. Создайте таблицу
коммутации для случая, когда все узлы активно обмениваются данными.
133
Глава 6. СЕТЕВОЙ УРОВЕНЬ МОДЕЛИ OSI
Приведены основные устройства, протоколы и методы межсетевого
взаимодействия, основные элементы маршрутизаторов, принципы маршрутизации,
функционирование таблиц маршрутизации.
6.1. Общие сведения о сетевом уровне
Объединение
нескольких
локальных
сетей
в
глобальную
(распределенную, составную)WAN сеть происходит с помощью устройств
и протоколов сетевого уровня 3 семиуровневой эталонной модели или
уровня межсетевого взаимодействия модели TCP/IP. Если LAN объединяют
рабочие станции, периферию, терминалы и другое сетевое оборудование в
одной аудитории или в одном здании, то WAN обеспечивают соединение
LAN на широком географическом пространстве. В составную
распределенную сеть (internetwork, internet) входят как локальные сети и
подсети, так и отдельные пользователи.
При передаче по сети большое сообщение сегментируется, а сегменты
инкапсулируются в пакеты, которые представляют формат информационных
данных третьего сетевого уровня. Для функционирования программноаппаратных средств сетевого уровня 3 необходимо реализовать процессы
адресации пакетов, их маршрутизации, инкапсуляции сегментов в пакеты
на передающей стороне и декапсуляции сегментов из пакетов на приемной.
Основными устройствами, объединяющими LAN в составную сеть,
являются маршрутизаторы (routers). Функционирование маршрутизаторов
на Уровне 3 модели OSI происходит по правилам сетевых протоколов
(Internet Protocol) версий 4 или 6 (IPv4 или IPv6). Другие сетевые протоколы
(IPX,Apple Talk) в настоящее время практически не используются. Сетевые
протоколы IP функционируют без предварительного установления
соединения (connectionless) между источником и получателем сообщения.
При этом доставка сообщения производится с максимальными усилиями
(best effort delivery), но без гарантий, т.е. доставка ненадежная (unreliable).
Такой метод доставки (передачи) данных получил название дейтаграммный.
Поскольку при дейтаграммном методе передачи пакеты отправляются
адресату назначения без предварительного установления соединения, то
134
пакет будет отправлен даже, если адресат не может его принять. При
повреждении пакетов или их потере требуется повторная передача
поврежденных или потерянных данных. Сетевые протоколы IP не имеют
средств подтверждения доставки пакетов, их целостности, что и определяет
ненадежность доставки. Однако дейтаграммные протоколы IP создают
сравнительно небольшую нагрузку на сеть, что определило их высокую
эффективность и широкое распространение. Такой способ доставки является
оптимальным. Функции надежности доставки возложены на другие
протоколы, в частности на протокол TCP транспортного уровня.
Важно отметить, что сетевые протоколы независимы от среды
передачи. Поэтому один и тот же пакет может передаваться по медным и
оптоволоконным кабелям, радиоканалам. Однако максимальный размер поля
данных кадра может различаться в зависимости от среды, поэтому пакеты в
ряде случаев разбиваются на более мелкие фрагменты (фрагментирование).
Для определения наилучшего пути передачи данных через
связываемые сети, маршрутизаторы строят таблицы маршрутизации и
обмениваются
сетевой
маршрутной
информацией
с
другими
маршрутизаторами. Маршрутизаторы принимают решения, базируясь на
сетевых логических адресах (IP-адресах), находящихся в заголовке пакета
(дейтаграммы). Администратор может конфигурировать статические
маршруты и поддерживать таблицы маршрутизации вручную. Однако
большинство таблиц маршрутизации создается и поддерживается
динамически, за счет использования протоколов маршрутизации (routing
protocol), которые позволяют маршрутизаторам автоматически обмениваться
информацией о сетевой топологии друг с другом, т.е. разделять маршрутную
информацию.
135
6.2. Протокол IPv4
В настоящее время широко используется сетевой протокол IPv4 и
начинает внедряться IPv6.Формат пакета сетевого протокола IPv4 (рис. 6.1)
включает заголовок, состоящий из 12 полей общей длиной в 160 бит (5 слов
по 4 байта, т.е. 20 байт), поле опций переменной длины и поле данных.
0…3
4…7
8 … 15
16 … 18
1. Версия 2. Дл. заг 3. Диф-е сервисы
5. Идентификатор
8. Время жизни
19 … 31
4. Общая длина пакета
6. Флаги
9. Протокол
7. Смещение
10. Контрольная сумма заголовка
11. Адрес источника сообщения
12. Адрес назначения
13. Поле опций
14. Поле опций
Рис. 6.1. Формат заголовка пакетаIPv4
1. Первое 4-х разрядное поле (Vers) задает номер версии протокола.
Например, номер версии IPv4 будет задан в двоичной системе – 0100. В
описаниях версия 4 выглядит следующим образом: Version = 4 (0x4).
Согласно версии IPv4, длина адреса источника (Source IP address) и
адреса назначения (Destination IP address) равна 32 разрядам (4 байтам).
2. Длина заголовка – количество 32-разрядных слов в заголовке,
задается вторым полем (HLEN). Например, код в этом поле – 0101 или
запись Header Length = 20 (0x14) означает, что заголовок содержит 5 слов
по 32 разряда или 20 байт.
3. В новых спецификациях протокола IPv4 третье поле называется
дифференцированные сервисы (DS). Старшие шесть бит поля
определяют код дифференциальных сервисов (DSCP) и обеспечивают
качество обслуживания QoS. Два младших бита используются для
уведомления о перегрузке сети (ECN). В старых спецификациях это поле
типа сервиса (Type of Service – ToS) длиной 8 бит включает четыре
идентификатора: трехразрядный идентификатор PR и одноразрядные D, T,
136
R. Идентификатор PR определяет тип пакета (нормальный, управляющий
и др.) и в соответствие с этим задает приоритет передаваемого пакета.
Установка 1 в разряде D означает требование минимизации задержки при
передаче пакета; единица в разряде Т означает требование максимальной
пропускной способности; установка 1 в разряде R требует обеспечение
максимальной надежности.
4. Поле Total Length задает общую длину пакета, включая заголовок и
поле данных. 16 разрядов поля позволяют задавать максимальную длину
64 Кбайт (65 535). Поскольку максимальная длина поля данных кадра в
большинстве технологий локальных сетей меньше 64 Кбайт, например, в
Ethernet она составляет 1500 байт, то большие пакеты разбивают на
фрагменты. При фрагментации пакета используется информация 5, 6 и 7
полей. Все фрагменты должны иметь: идентификационный номер пакета;
определитель порядка следования фрагмента при сборке пакета;
дополнительную
информацию.
Фрагментацию
пакетов
может
производить конечный узел, исходя из максимального размера единицы
передаваемой информации (Maximum Transmission Unit – MTU) на
канальном уровне. Вторичную фрагментацию может выполнять
транзитный сетевой элемент, если пакет передается из сети с большим
значением MTU в сеть с меньшим MTU.
5. Пятое поле заголовка Идентификатор используется при фрагментации
пакета и содержит его идентификационный номер.
6. Трехразрядное поле флагов (Flags) содержит два одноразрядных флага
фрагментации. Установка 1 в разряде DF запрещает маршрутизатору
производить фрагментацию данного пакета. Единичка в разряде MF
указывает, что данный пакет не является последним.
7. 13-разрядное поле смещения данных (Fragment Offset) помогает
собрать фрагменты в единый пакет. Оно задает смещение в байтах поля
данных этого пакета от начала общего поля данных исходного не
фрагментированного пакета.
8. Из заданного значения время жизни (Time to Live – TTL), которое
может составлять значение от 0 до 255, при прохождении каждого
маршрутизатора (или каждую секунду) вычитается 1. Таким образом,
137
число узлов, через которые может пройти пакет, ограничено.
9. Поле протокол (Protocol) указывает тип протокола верхнего уровня
(TCP – тип 6, UDP – тип 17 и др.), которому будет передан принятый
пакет после завершения IP процесса.
10. Поле контрольной суммы заголовка (Header Checksum). Поскольку
при прохождении маршрутизатора значения некоторых полей заголовка
изменяются, например время жизни TTL, то расчет контрольной суммы
производится в каждом маршрутизаторе заново.
11. Адрес источника информации(Source IP address) длиной 4 байта (32
двоичных разряда).
12. Адрес назначения(Destination IP address) длиной 4 байта (32
разряда). При передаче по сети адреса источника и назначения остаются
неизменными.
13. Поле опций (IP option) позволяет поддерживать различные опции,
например, опцию защиты информации. Поскольку это поле может иметь
разную длину, то оно дополняется нулями до 32 разрядов.
14. Поле данных Data имеет длину более 64 двоичных разрядов.
6.3. Протокол IPv6
Для повышения скорости передачи данных по сети в протоколе IPv6,
по сравнению с протоколом IPv4, исключены некоторые функции
маршрутизатора. Так, маршрутизатор не выполняет фрагментирование
пакетов, объем которых превышает MTU канального уровня. Функция
фрагментирования возложена на конечные узлы. Поэтому информация о
фрагментировании удалена из основного фиксированного заголовка и, при
необходимости, может быть включена в расширенные заголовки.
Расширенные заголовки обычно обрабатываются конечными узлами. Кроме
того, исключена функция вычисления и проверки контрольной суммы,
поскольку подобная проверка проводится на канальном и транспортном
уровне. Вычисление контрольной суммы в каждом маршрутизаторе
138
протокола IPv4 было обусловлено тем, что значение поля TTL
декрементировалось.
Пакет протокола IPv6 включает фиксированный заголовок и поле
полезных данных (нагрузку). Кроме основного фиксированного заголовка
управляющая информация может содержаться в одном из необязательных
дополнительных (расширенных) заголовков. Расширенные заголовки
размещаются между фиксированным заголовком и заголовком протокола
более высокого уровня. Полезные данные обычно включают сегменты
транспортного уровня или данные сетевого уровня, например сообщения
протокола ICMP.
Формат заголовка пакета IPv6 приведен на рис. 6.2. Он состоит из 9
полей общей длиной в 320 бит (10 слов по 32 бита или по 4 байта, т.е. всего
40 байт). Сравнительный анализ заголовков IPv4 (рис. 6.1) и IPv6 показывает,
что в заголовке IPv6 сохранилось поле версии, которое содержит значение
0110. Изменился размер полей адреса источника информации и адреса
назначения, которые стали по 128 бит (4 строки по 4 байта). Вместо поля
«Время жизни» появилось поле «Ограничения переходов» (Hop Limit) c
аналогичными функциями.
4
…
11 12 …15
…
16
23
24
…
31
3. Метка потока
1. Версия 2. Класс трафика
4. Длина поля нагрузки
5. След. заголовок 6. Огранич. перех.
7. Адрес источника информации
8. Адрес назначения
9. Поле данных
Рис. 6.2. Формат заголовка пакетаIPv6
139
10 слов
0 … 3
В заголовке IPv6 вместо поля дифференцированные сервисы (тип
сервиса)IPv4 появилось поле «Класс трафика» (Traffic Class), которое
определяет приоритет передаваемого пакета. Первые 6 бит определяют класс
трафика,оставшиеся 2 бита используются для контроля перегрузки.
Новое поле заголовка IPv6 «Метка потока» (Flow Label) позволяет
идентифицировать различные транспортные потоки без декапсуляции пакета
транспортного уровня. При использовании версии IPv4 только на
транспортном уровне задавался номер порта, т.е. адресовалось приложение
верхнего уровня. «Метка потока» позволяет значительно упростить
маршрутизацию однородного потока пакетов. При этом маршрутизаторы
будут передавать пакеты сообщения реального времени (аудио- и
видеоинформация) вдоль одного и того же пути, чтобы избежать вариации
задержек (джиттера) и избежать приема пакетов не в том порядке, в котором
они передавались.
Вместо поля «Общая длина пакета» в новой версии появилось «Длина
поля нагрузки» (Payload Length), которое не учитывает длину заголовка.
В заголовке IPv6 отсутствуют поля, связанные с фрагментированием
пакетов, нет поля контрольной суммы заголовка и поля опций. Функция
фрагментирования пакета передана конечным узлам, которые
определяют размер единицы передаваемой информации MTU вдоль всего
маршрута передачи пакета. Для этого маршрутизаторы посылают сообщение
протокола ICMP конечному узлу источнику, который уменьшает размер
пакета.
Поле «Следующего заголовка» (Next Header) позволяет создавать
расширенные
(дополнительные)
заголовки,
задавая
заголовки
маршрутизации, фрагментации, аутентификации, а также тип заголовка, где
определяется протокол транспортного уровня (TCP, UDP). Расширенный
заголовок может также определять тип приложения верхнего уровня. Таким
образом, расширенные заголовки содержат дополнительную информацию и
размещены между фиксированным заголовком и заголовком протокола более
высокого уровня (рис. 6.3).
140
Фиксированный заголовок IPv6
Дополнительный заголовок маршрутизации
Дополнительный заголовок аутентификации
...
Поле данных
Рис. 6.3. Расширенные (дополнительные) заголовкиIPv6
Подводя итог, можно отметить ряд преимуществ IPv6по сравнению с
IPv4. Он характеризуется расширенной IP адресацией, легким
агрегированием префиксов адресов. Конечный узел может иметь несколько
IP-адресов поверх одного физического соединения, что позволяет
реализовать соединение с несколькими Интернет-сервис провайдерами.
Протокол IPv6 обеспечивает переадресацию частных адресов в
общедоступные (публичные) и обратно без использования транслятора NAT.
Упрощенный заголовок повышает производительность маршрутизации. При
этом не используются широковещательные передачи, не вычисляется
контрольная сумма заголовка, передаваемые потоки помечаются. Протокол
IPv6 обеспечивает подвижную связь и более высокий уровень безопасности
передаваемой информации по сравнению с IPv4. Для обеспечения
безопасности протокол IPv6 использует аутентификацию и протокол IPSec,
поддержка которого является для него обязательной. Упрощенный заголовок
повышает производительность маршрутизации.
Протокол IPv6 имеет еще целый ряд отличий от IPv4. Например, для
самотестирования (loopback) в IPv4 использовался адрес 127.0.0.1, а в версии
IPv6 для этих целей предусмотрен адрес 0:0:0:0:0:0:0:1, который может быть
представлен как ":: 1".
Переход от IPv6 к IPv4 и обратно обеспечивается за счет создания
двойного стека и туннелей. При реализации двойного стека на интерфейсе
каждого узла конфигурируется два стека протоколов, т.е. маршрутизатор и
141
коммутатор конфигурируются, чтобы поддерживать оба протокола, причем,
IPv6, является привилегированным. Это позволяет узлу осуществлять
соединения как с сетью IPv4, так и с сетью IPv6.
При туннелировании пакет IPv6 инкапсулируется внутрь протокола,
например, IPv4, когда пакет включает 20-байтовый заголовок IPv4 без опций,
заголовок IPv6 и полезную нагрузку. При этом также требуются
маршрутизаторы двойного стека.
142
6.4. Принципы маршрутизации
Заголовок пакета содержит сетевые IP-адреса узла назначения и узла
источника. На основе этой информации маршрутизаторы осуществляют
передачу пакетов между конечными узлами составной сети по
определенному наилучшему маршруту. Процесс прокладывания наилучшего
маршрута к адресату назначения получил название маршрутизация.
Конечный узел может адресовать сообщение узлу из той же локальной
сети, в этом случае маршрутизация не потребуется, доставка сообщения
реализуется с использованием МАС-адресов. При адресации сообщения узлу
в удаленной сети пересылка данных происходит через маршрутизатор,
подключенный к локальной сети, и называемый шлюзом по умолчанию
(Default Gateway). Точнее, шлюзом по умолчанию называется входной
интерфейс маршрутизатора, через который пакеты из локальной сети
пересылаются в удаленные сети.
Маршрутизатор оценивает доступные пути к адресату назначения и
выбирает наиболее рациональный маршрут на основе некоторого критерия –
метрики. При оценке возможных путей маршрутизаторы используют
информацию о топологии сети. Эта информация может быть
сконфигурирована сетевым администратором или собрана в ходе процесса
динамического обмена служебной информацией между маршрутизаторами,
который выполняется в сети протоколами маршрутизации.
Процесс прокладывания маршрута происходит последовательно от
маршрутизатора к маршрутизатору. При прокладывании пути для пакета
каждый маршрутизатор анализирует сетевую часть адреса узла назначения,
заданного в заголовке поступившего пакета, т.е. вычленяет адрес сети
назначения из адреса узла. Затем маршрутизатор обращается к таблице
маршрутизации, в которой хранятся адреса всех доступных сетей, и
определяет свой выходной интерфейс, на который необходимо передать
(продвинуть) пакет. Таким образом, маршрутизатор ретранслирует пакет,
продвигая его с входного интерфейса на выходной, для чего использует
сетевую часть
маршрутизации.
адреса
назначения
143
и
обращается
к
таблице
В процессе передачи пакетов от маршрутизатора A к маршрутизатору В
(рис. 6.4) может быть выбран один из путей:
1. Через маршрутизатор С;
2. Через маршрутизаторы D и E;
3. Через маршрутизаторы F, G и H.
Молниевидной линией на рисунке обозначены соединения последовательных
(serial) интерфейсов (портов) маршрутизаторов. Пакет, принятый на одном
(входном) интерфейсе, маршрутизатор должен отправить (продвинуть) на
другой (выходной) интерфейс на пути к адресату назначения.
2c
1c
C
2a
3a
1a
A
1d
3c
1e
2d
D
4a
1f
F
1b
2b
2e
Е
2h
2f
B
3b
1h
H
1g
G
2g
Рис. 6.4. Определения пути пакета
Оценка наилучшего пути производится на основе метрики.
Например, если метрика учитывает только количество маршрутизаторов на
пути к адресату, то будет выбран первый (верхний) маршрут. Если же
метрика учитывает полосу пропускания линий связи, соединяющих
маршрутизаторы, то может быть выбран второй или третий маршрут при
условии, что на этом пути будут наиболее широкополосные линии связи.
Маршрутизаторы в целом сетевого адреса не имеют, но каждый
интерфейс маршрутизатора имеет уникальный адрес, сетевая часть которого
совпадает с адресом сети, соединенной с данным интерфейсом.
Для продвижения пакета к узлу назначения маршрутизатор использует
таблицу маршрутизации, основными параметрами которой являются адрес
(номер) сети назначения и адрес входного интерфейса следующего
маршрутизатора на пути к адресату назначения. Этот адрес интерфейса
получил название следующего перехода (next hop).
144
На рис. 6.5 приведен пример того, как маршрутизаторы А и В
объединяет нескольких локальных сетей (локальные сети №1, №2, №3) в
распределенную (составную) сеть. Поэтому маршрутизаторы имеют
интерфейсы как локальных, так и глобальных соединений. К локальным
сетям, созданным на коммутаторах, маршрутизатор присоединен через
интерфейсы, которые на рис. 6.5 обозначены через F0/0, F0/1, что означает:
интерфейс FastEthernet;слот 0,порт 0 или 1 (слот – объединение портов).
Глобальные соединения на рис. 6.5 созданы последовательными или
серийными (serial) интерфейсами S1/1, S1/2. Подобная структурная схема,
включающая несколько последовательно соединенных маршрутизаторов,
характерна для многих корпоративных сетей.
Сеть 4
200.4.4.0/30
F0/1
A
F0/0
S1/1
S1/2
B
F0/0
Узел 1-1 Узел 1-n
Узел 2-1 Узел 2-k
Узел 3-1 Узел 3-m
Сеть 1
Сеть 2
Сеть 3
192.168.1.0/24
192.168.20.0/24
172.30.0.0/16
Рис. 6.5. Принцип маршрутизации в сети
Каждый маршрутизатор создает таблицу маршрутизации, где задаются:
- источник созданного маршрута;
- адрес сети назначения, маска;
- административное расстояние или другой аналогичный параметр;
- значение метрики;
- адрес следующего перехода (next hop);
- выходной интерфейс маршрутизатора на пути к сети назначения.
145
В таблице маршрутизации указываются непосредственно (прямо)
присоединенные сети (directly connected) и маршруты к удаленным сетям.
Административное расстояние определяет тип источника созданного
маршрута.
Если в таблице маршрутизации не создан путь к сети назначения
пакета, то маршрутизатор отбрасывает (discard) такой пакет. Однако на
маршрутизаторе можно сконфигурировать маршрут по умолчанию, когда
пакеты с незаданными в таблице маршрутизации адресами сети назначения,
будут пересылаться через определенный интерфейс, называемый «шлюзом
последней надежды» – Gateway of last resort.
Конечный узел также формирует таблицу маршрутизации к другим
узлам локальной сети, чтобы пакеты направлялись в сеть назначения. Эту
таблицу можно посмотреть по команде netstat –r или route print
узла. На рис. 6.6 приведена таблица маршрутизации реального компьютера,
подключенного к сети Интернет.
Рис. 6.6. Таблица маршрутизации конечного узла
146
Таблица маршрутизации узла (хоста) содержит пять столбцов:
- сетевой адрес содержит адреса доступных сетей назначения;
- маски сети определяют сетевую часть адреса;
- адрес шлюза, через который пакеты могут передаваться за пределы
локальной сети;
- интерфейс представляет IP-адрес физического интерфейса узла, через
который пакеты направляются к шлюзу;
- метрику использует маршрутизатор для определения наилучшего
пути к устройству назначения.
Самый первый маршрут с адресом 0.0.0.0 и маской 0.0.0.0 является
маршрутом по умолчанию. Все пакеты, у которых адреса сетей назначения
с любыми масками отсутствуют в таблице маршрутизации хоста,
пересылаются к шлюзу с IP-адресом 10.225.75.13 (в данном примере). Шлюз
пересылает пакет на выходной интерфейс маршрутизатора в соответствии с
адресом назначения и таблицей маршрутизации. Для адресации узлов внутри
локальной сети шлюз не используется.
Узлы должны создавать и поддерживать собственную локальную
таблицу маршрутизации, что пакеты направлялись в соответствующую сеть
назначения (локальную или удаленную).
147
Краткие итоги главы 6
1. Объединение нескольких локальных сетей в глобальную
(распределенную, составную) WAN сеть происходит с помощью
устройств и протоколов сетевого Уровня 3 модели OSI.
2. Наиболее распространенными устройствами межсетевого взаимодействия
сетей, подсетей и устройств являются маршрутизаторы.
3. Основными сетевыми протоколами всемирной сети Интернет являются
IPv4, IPv6.Они функционируют без предварительного установления
соединения между источником и получателем сообщения и без
подтверждения доставки сообщения (дейтаграммный метод).
4. Дейтаграммный способ доставки создает сравнительно небольшую
нагрузку на сеть, поэтому является оптимальным.
5. Функции надежности доставки возложены на протоколы более высокого
уровня, в частности на протокол TCP транспортного уровня.
6. Сетевые протоколы определяют формат пакета, логические адреса узла
источника и назначения, прокладывают маршрут пакета на основе
имеющихся таблиц маршрутизации.
7. Приоритет передаваемого пакета IPv4 определяет поле заголовка
«Дифференцированные сервисы» (DS), которое ранее называлось «Тип
сервиса» (ToS). В пакетах IPv6 это поле называется «Класс трафика» (TC).
8. Новое поле IPv6 «Метка потока» (FL) позволяет идентифицировать
различные транспортные потоки без декапсуляции сегмента
транспортного уровня. При этом маршрутизаторы могут передавать
пакеты сообщения реального времени (аудио- и видеоинформация) вдоль
одного и того же пути.
9. Пакеты большого размера протоколом IPv4 фрагментируются, у них
задается идентификационный номер. Протокол IPv6 пакеты не
фрагментирует, эта функция передана конечным узлам.
10. Вместо поля «Время жизни» (TTL) протокола IPv4, в заголовке IPv6
имеется поле «Ограничения переходов» (HL) c аналогичными функциями.
Время жизни уменьшается на 1 при прохождении каждого
маршрутизатора.
11. Пакет протокола IPv6включает фиксированный заголовок и может
содержать необязательные дополнительные (расширенные) заголовки.
12. Адрес назначения и источника информации протокола IPv4 длиной 4
байта (32 двоичных разряда). Адрес назначения и источника информации
протокола IPv6 длиной 16 байт (128 двоичных разрядов). При передаче
пакетов по сети адреса источника и назначения остаются неизменными.
13. Шлюзом по умолчанию называется входной интерфейс маршрутизатора,
через который пакеты из локальной сети пересылаются в удаленные сети.
То есть, это интерфейс, через который все пакеты из локальной сети будут
передаваться в удаленные сети.
14. Протокол IPv6 обеспечивает переадресацию частных адресов в
общедоступные (публичные) и обратно без использования транслятора
148
NAT. При большом количестве публичных адресов нет необходимости их
экономии.
15. Маршрутизатор оценивает доступные пути к адресату назначения и
выбирает наиболее рациональный маршрут на основе определенного
критерия – метрики.
16. Маршрутизатор ретранслирует пакет, продвигая его с входного
интерфейса на выходной, для чего использует сетевую часть адреса
назначения и обращается к таблице маршрутизации.
17. В таблице маршрутизации обычно задаются: источник созданного
маршрута, адрес сети назначения, административное расстояние, значение
метрики, адрес следующего перехода, выходной интерфейс.
18. Если в таблице маршрутизации не создан путь к сети назначения пакета,
то маршрутизатор отбрасывает такой пакет. Однако на маршрутизаторе
можно сконфигурировать маршрут по умолчанию. Интерфейс, через
который пересылаться пакеты с неизвестными адресами, называется
шлюзом последней надежды.
19. Таблицы маршрутизации создаются и поддерживаются либо статически
(администратором), либо динамически, за счет использования протоколов
маршрутизации.
20. Администратор может конфигурировать статические маршруты и
поддерживать таблицы маршрутизации вручную. Однако большинство
таблиц маршрутизации создается и поддерживается динамически, за счет
использования протоколов маршрутизации, когда маршрутизаторам
автоматически обмениваться информацией о сетевой топологии друг с
другом.
21. Функционирование маршрутизатора происходит под управлением
операционной системы IOS.
22. Конфигурационный файл хранится в NVRAM, откуда загружается в
оперативную память. Он содержит команды и параметры для управления
потоком трафика. Конфигурационный файл задает сетевые протоколы и
протоколы маршрутизации, которые определяют наилучший путь для
пакетов к адресуемой сети.
149
Вопросы по главе 6
Какие устройства объединяют LAN в распределенную составную сеть?
Какие сетевые протоколы используются в сети Интернет?
Почему дейтаграммный способ доставки является оптимальным?
Что обеспечивает надежность доставки при использовании
дейтаграммных сетевых протоколов?
5. На основании чего маршрутизатор ретранслирует пакет, продвигая его с
входного интерфейса на выходной?
6. Что служит оценкой наилучшего пути к адресату назначения?
7. Какие поля заголовка IPv4, IPv6 определяют приоритет пакета?
8. Для чего введено новое полеIPv6 «Метка потока» (FL)?
9. Почему протокол IPv6 не фрагментирует пакеты? На кого возложена эта
функция?
10.Какое поле, вместо «Время жизни» (TTL) протокола IPv4, введено в
заголовке IPv6?
11.Какую информацию содержат необязательные дополнительные
(расширенные) заголовки IPv6?
12.Какой размер адреса назначения и источника протокола IPv6?
13.Почему в сетях протокола IPv6 не используется транслятор NAT?
14.Как формируются таблицы маршрутизации?
15.Какие основные параметры содержит таблица маршрутизации?
16.Что означает термин адрес следующего перехода (next hop)?
17. Что означает термин Шлюз по умолчанию?
18.Какие параметры содержит таблица марщрутизации?
19.Для чего узлы должны создавать и поддерживать собственную локальную
таблицу маршрутизации?
1.
2.
3.
4.
Упражнения
1. Поясните, с использованием какой линии создается конфигурационный
файл, и где он может сохраняться.
2. Изобразите схему составной сети из четырех маршрутизаторов,
последовательно соединенных через FastEthernet интерфейсы. Обозначьте
интерфейсы. Укажите, МАС-адреса каких интерфейсов будут
использоваться в качестве адресов источников и адресов назначения в
передаваемых кадрах при их прохождении через каждый маршрутизатор.
3. Укажите основные параметры таблицы маршрутизации маршрутизатора В
(рис. 6.5), для чего используйте распечатку.
4. Поясните, какие параметры можно посмотреть на каждом конечном узле
по команде ipconfig /all.
150
Глава 7. АДРЕСАЦИЯ В IP - СЕТЯХ
Рассмотрены логические адреса IPv4 на основе классов. Виды рассылки данных.
Частные и публичные адреса. Приведены параметры адресации IPv6. Типы адресов IPv6
(индивидуальные, групповые, глобальные, локальные). Приведены примеры
конфигурирования интерфейсов маршрутизаторов. Приведены основные параметры
протоколаICMPv6.
7.1. Логические адреса версии IPv4
Узлы IP-сети имеют уникальные физические и логические адреса.
Физический адрес устанавливается изготовителем аппаратных средств,
например, МАС-адрес сетевой карты NIC, который «прошивается» в ПЗУ.
Логический адрес устанавливается администратором или назначается
динамически протоколом DHCP из диапазона выделенных провайдером
адресов.
Логические адреса узлов в IP-сетях версии IPv4, используемой в
настоящее время, содержат 32 двоичных разряда, т.е. 4 байта (4 октета).
Каждый из 4 байт адреса в технической документации отображается
десятичным числом, а байты разделяются точкой, например, 172.100.220.14.
Часть этого адреса (старшие разряды) является номером сети, а другая
часть (младшие разряды) – номером узла в сети. Таким образом, IP-адреса
являются иерархическими, в отличие от плоских МАС-адресов.
Граница между сетевой и узловой частью может проходить в
произвольной части адреса, при этом адресация называется бесклассовой
(classless). Если же граница проходит по границе байтов и сетевая часть
строго определенного размера, то реализуется адресация на основе полного
класса (classfull). В соответствии с тем, сколько байт адреса относится к
номеру сети, а сколько к номеру узла – адреса делятся на классы. Для
уникальной адресации узлов (unicast) используются три класса адресов.
В адресе класса А старший байт задает адрес сети, а три младших байта
– адрес узла (host). Причем старший бит адреса равен 0.
0
      
2-ой байт
№ сети – 1 байт
3-ий байт
№ узла – 3 байта
151
4-ый байт
В адресе класса В два старших байта задают адрес сети, а два младших байта
– адрес узла. Значение двух старших бит адреса – 10.
0      
1
2-ой байт
3-ий байт
№ сети – 2 байта
4-ый байт
№ узла – 2 байта
В адресе класса С три старших байта задают адрес сети, а младший байт –
адрес узла. Значение трех старших бит адреса – 110.
1
1 0     
2-ой байт
3-ий байт
№ сети – 3 байта
4-ый байт
№ узла – 1 байт
Существует также многоадресный или групповой (multicast) класс D
и резервный класс E. При групповой адресации сообщение передается всем
узлам и интерфейсам, на которых помимо уникальных адресов unicast
сконфигурированы адреса класса D (multicast). Дополнительная информация
по классам и адресам приведена в табл. 7.1.
Таблица 7.1
Классы IP адресов
Класс
Первый байт
адреса
Наименьший
адрес сети
Наибольший
адрес сети
Максимальное
число узлов
A
0
1.0.0.0
126.0.0.0
224 - 2
B
10
128.0.0.0
191.255.0.0
216 - 2
C
110
192.0.0.0
223.255.255.0
D
1110
224.0.0.0
239.255.255.255
multicast
E
11110
240.0.0.0
247.255.255.255
Резерв
254
Номер узла (адрес host) не может состоять только из одних единиц или
нулей. Если в поле адреса узла все нули, то это означает, что задается
номер (адрес) сети или подсети. Если же в этом поле все двоичные разряды
равны единице, то это означает широковещательный (broadcast) адрес,
когда сообщение предназначено всем узлам сети, в которой находится узел,
сформировавший данный пакет, т.е. источник передаваемой информации.
Этим объясняется уменьшение максимального числа узлов в сети на 2 (см.
табл.7.1). Таким образом, максимальное число узлов в сети класса С будет
равно 28 – 2 = 254.
152
Старший разряд адреса класса А всегда равен 0, поэтому адреса сетей
могут находиться в диапазоне от 1 до 127. Однако адрес 127.0.0.1
предназначен для самотестирования, по этому адресу узел обращается к
самому себе, проверяя, установлен ли протокол TCP/IP на этом узле.
Поэтому адрес сети 127.0.0.0 не входит в состав адресов таблицы 7.1.
С целью сокращения количества адресов, которыми оперирует
маршрутизатор, в его таблице маршрутизации (см. раздел 6.4) задаются
адреса сетей, а не узлов. В то же время, в адресной части пакета задаются
адреса узлов (см. рис. 6.1). Поэтому маршрутизатор, получив пакет, должен
из адреса узла назначения получить адрес сети. Эту операцию
маршрутизатор реализует путем логического умножения сетевого адреса
узла на маску. Число разрядов маски равно числу разрядов IP-адреса.
Непрерывная последовательность единиц в старших разрядах маски
соответствует числу разрядов адреса, относящихся к номеру сети. Младшие
разряды маски, равные нулю, соответствуют разрядам адреса узла в сети.
При логическом умножении адреса узла на маску получается адрес сети.
Например, при умножении IP-адреса 192.100.12.67 на стандартную маску
класса С, равную 255.255.255.0, получается следующий результат:
11000000.01100100.00001100.01000011
11111111.11111111.11111111.00000000
11000000.01100100.00001100.00000000
т.е. получен адрес сети 192.100.12.0.
Аналогичная запись предыдущего адреса с соответствующей маской
класса С может также иметь следующий вид: 192.100.12.67/24, означающий,
что маска содержит единицы в 24 старших разрядах. При этом 24 старших
разряда будут одинаковы для всех узлов сети, т.е. образуют общую часть
адреса, называемую префиксом. Именно префикс имеет обозначение /24 в
данном примере..
Стандартная маска адреса класса В имеет 16 единиц в старших
разрядах и 16 нулей в младших. Поэтому, если адрес узла будет равен
172.16.37.103/16, то адрес сети будет равен 172.16.0.0. Маска адреса класса А
имеет 8 единиц в старших разрядах и 24 нуля в младших. Поэтому,
например, адресу узла 10.116.37.103/8 соответствует адрес сети 10.0.0.0.
153
Разбиение адресов на классы жестко задает максимальное количество
узлов в сети. Этому типу адресации соответствуют протоколы
маршрутизации типа Classful, которые требуют, чтобы использовалась
единая (стандартная) маска сети. Например, сети с адресом 192.168.187.0
соответствует стандартная маска 255.255.255.0, а сети 172.16.0.0 –
стандартная маска 255.255.0.0.
IP-адреса узлов могут назначаться администратором вручную
(статическая адресация), что очень кропотливо. Протокол динамического
конфигурирования узлов (Dynamic Host Configuration Protocol – DHCP)
позволяет узлу динамически без участия администратора получать IP-адрес.
Нужно только определить диапазон разрешенных IP-адресов на DHCPсервере.
Для назначения адреса вручную в главном меню компьютера нужно
последовательно выбрать: “Пуск”, “Настройка”, “Панель управления”,
“Сетевые подключения”, “Подключение по локальной сети”. Во
всплывшем окне (рис. 7.1 а) выбрать “Свойства”. В следующем окне
выбрать “Протокол Интернета (TCP/IP)” (рис. 7.1 б), затем “Свойства”.
а)
б)
Рис. 7.1. Окна выбора протокола TCP/IP
154
При
использовании
статической
адресации
администратору
необходимо вручную назначить IP-адрес, маску подсети и основной шлюз по
умолчанию (рис. 7.2).
Рис. 7.2. Назначение IP-адреса администратором вручную
Кроме того, при конфигурировании могут задаваться адреса серверов
системы доменных имен (Domain Name System – DNS), которые преобразуют
имена сайтов назначения в IP-адреса.
Вручную назначаются адреса сетевым принтерам, серверам и
интерфейсам маршрутизаторов.
Протокол динамического конфигурирования узлов DHCP позволяет
узлу динамически без участия администратора получать IP-адрес, облегчая
работу администратора и исключая ошибочное назначение адресов, уже
используемых другим пользователями. Протокол DHCP присваивает узлам
IP-адреса временно из пула (набора) адресов, полученного у сетевого
оператора (провайдера). Если пользователь уходит из сети, то его IP-адрес
возвращается в пул и может быть использован другим пользователем или
прежним при возвращении в сеть. Протокол DHCP старается сохранять за
пользователем ранее использовавшийся IP-адрес.
155
Настройки адресов компьютера можно посмотреть по команде ipconfig
в командной строке (рис. 7.3). В данном примере на компьютере задан адрес
IPv4 – 10.0.100.62 и адрес IPv6 – 2001:0:9d38:6ab8:10d7:3e31:f5ff:9bc1.
Рис. 7.3. Результат выполнения команды ipconfig
7.2. Виды рассылки данных
В сетяхIPv4 используются следующие виды рассылки данных:
одноадресная (unicast),
широковещательная (broadcast),
многоадресная (multicast).
При одноадресной рассылке, например, когда узел А (рис. 7.4)
посылает сообщение узлу G, в заголовке пакета задаются индивидуальные
(уникальные) адреса источника (192.168.1.11) и назначения (192.168.1.30).
Следует отметить, что адрес источника сообщения – всегда уникальный.
При широковещательной рассылке пакет адресуется всем узлам в сети.
Например, адреса источника (192.168.1.11) и назначения (192.168.1.255).
Узловая (хостовая) часть адреса в двоичном коде содержит все единицы, в
десятичной форме – 255. Адрес назначения 192.168.1.255 является адресом
прямой широковещательной рассылки, когда сообщение передается всем
156
узлам в сети (192.168.1.0), причем, сообщение можно переслать даже из
другой сети.
S1/1
S1/2
F0/0
A
B
192.168.1.11
192.168.1.12
C
...
192.168.1.13
224.0.0.50
G
192.168.1.30
224.0.0.50
Рис. 7.4. Сеть передачи данных
Ограниченная широковещательная рассылка только внутри
локальной сети всегда использует адрес 255.255.255.255. Маршрутизаторы
блокируют сообщения с ограниченной широковещательной рассылкой,
разделяя сеть на широковещательные домены.
При многоадресной рассылке, например, когда узел А (рис. 7.4)
одновременно посылает сообщение узлам С и G, в заголовке пакета задаются
индивидуальный (уникальный) адрес источника (192.168.1.11) и групповой
адрес назначения (224.0.0.50). Такое сообщение получат все узлы, имеющие
групповой адрес 224.0.0.50. Следует отметить, что узлы С и G будут также
получать сообщения с уникальными адресами назначения 192.168.1.13 и
192.168.1.30 соответственно. Групповые адреса назначаются из диапазона
224.0.0.0 – 239.255.255.255. Зарезервированные локальные адреса диапазона
224.0.0.0 – 224.0.0.255 обычно используется маршрутизаторами при обмене
маршрутной информацией. Пакеты с такими адресами не пересылаются за
пределы локальной сети. Глобальные адреса 224.0.1.0 – 238.255.255.255
используются для многоадресной рассылки сообщений через Интернет.
157
7.3. Частные и публичные адреса
Адреса всех пользователей сети Internet должны быть уникальными.
Первоначально уникальность адресов обеспечивал центр Internet Network
Information Center (Inter NIC), на смену которому пришла Администрация
адресного пространства Интернет (Internet Assigned Numbers Authority –
IANA). IANA управляет IP-адресами, чтобы не произошло дублирования
общедоступных (публичных) адресов, распределяя их между пятью
Региональными Интернет регистраторами (Regional Internet Regiestry – RIR):
ARIN (Северная Америка), RIPE (Россия, Европа, страны СНГ, Ближняя
Азия), APNIC (Азия и Австралия), LACNIC (Латинская и Южная Америка),
AfriNIC (Африка). Таким образом, все общедоступные (публичные) адреса
должны быть зарегистрированы регистратором RIR, который выделяет
адреса сетевым операторам и провайдерам, а те, в свою очередь, выделяет
адреса сетевым администраторам и отдельным пользователям.
В связи с быстрым ростом Internet, существует дефицит публичных
адресов IPv4. Радикально решить проблему дефицита IP-адресов может
созданная новая шестая версия (IPv6) адресации в IP-сетях. Для смягчения
проблемы нехватки публичных адресов IPv4были разработаны новые схемы
адресации, такие как бесклассовая междоменная маршрутизация (CIDR) и
адресация на основе масок переменной длины (VLSM).
Кроме того, проблему нехватки публичных адресов может в некоторой
мере ослабить использование частных адресов (Private IP addresses). Сети с
частными адресами, не подключенные к Internet, могут иметь любые адреса,
лишь бы они были уникальны внутри частной сети. Выход в Интернет
пакетов с частными адресами блокируется маршрутизатором. Документ
RFC 1918 устанавливает три блока частных адресов для использования
внутри частных сетей (табл. 7.2).
Таблица 7.2
Диапазоны частных адресов
№
Диапазон адресов
Префикс
1
10.0.0.0 – 10.255.255.255
/8
2
172.16.0.0 – 172.31.255.255
/12
3
192.168.0.0 – 192.168.255.255
/16
158
Таким образом, частные адреса не могут быть использованы
непосредственно в сети Интернет, т.к. маршрутизаторы отбрасывают пакеты
с частными адресами. Чтобы узлы с частными адресами могли при
необходимости подключаться к сети Интернет, используются специальные
трансляторы частных адресов в публичные, например, транслятор сетевых
адресов (Network Address Translation – NAT). Данный транслятор переводит
один частный адрес в один публичный. Поэтому экономия IP-адресов может
быть достигнута только за счет того, что не всем узлам частной сети
разрешается выход в Интернет.
Второй тип транслятора (Port Address Translation – PAT) один
публичный адрес комбинирует с набором номеров порта узла источника, т.е.
формируется совокупность комплексных адресов, называемых сокетами,
например 192.168.10.17:1275, 192.168.10.17:1086, 192.168.10.17:2013. При
этом один IP-адрес могут использовать сразу несколько узлов частной сети.
Поэтому данный метод трансляции частных адресов в публичные
эффективно экономит общедоступные IP-адреса.
В адресном пространстве IPv4 выделен специальный блок локальных
адресов (169.254.0.0 – 169.254.255.255), когда пересылка сообщений
возможна только в пределах локальной сети. Эти адреса используются в тех
случаях, когда получениеIP-адреса от DHCP-сервера невозможно, например,
в одноранговых сетях peer-to-peer.
Другой блок адресов (192.0.2.0 – 192.0.2.255), называемый TEST-NET,
зарезервирован для учебных целей и для использования в документации.
Для использования в сетях операторов связи выделены частные адреса
общего адресного пространства 100.64.0.0/10.
159
7.4. Общие сведения об адресах версии IPv6
Версия IPv6 использует для адресации 128 двоичных разрядов, что
обеспечивает адресацию 3,4 1038 объектов.
АдресIPv6 состоит из 8 блоков по 16 двоичных разрядов. Каждый блок
представлен в виде четырех шестнадцатеричных чисел.
Блоки разделяются двоеточием:
2001:0000:7ee5:d947:0009:01c5:6b9f:00c4.
Впереди стоящие нули могут быть пропущены:
2001:0:7ee5:d947:9:1c5:6b9f:c4
Несколько нулей подряд в адресе IPv6 могут быть заменены двойным
двоеточием, так адрес 2001:0:0:0:0:0:0:c4 может быть представлен 2001::c4.
Два двоеточия подряд могут быть использованы только один раз.
Адреса версии IPv6 являются иерархическими, также как и IPv4.
Младшие разряды задают номер узла (идентификатор интерфейса), а
старшие разряды – для задания префикса адреса, т.е. (номера) сети, подсети.
Длина префикса может находиться в диапазоне от 0 до 128. В большинстве
случаев префикс составляет /64, т.е. сетевая часть адреса составляет 64 бита.
Оставшиеся 64 бита идентифицируют интерфейс или узел сети (рис. 7.5).
Префикс адреса (64 бита)
127
Идентификатор интерфейса (64 бита)
64 63
0
Рис. 7.5. Формат адреса IPv6
Поле префикса формата версии IPv6 имеет размер 3 бита. Адреса
версии IPv6 могут начинаться либо с шестнадцатеричной цифры 2 (0010),
либо 3 (0011). В настоящее время организация IANA задает три старших
разряда адреса IPv6 в шестнадцатеричном коде в виде 200, т.е. все адреса
начинаются с цифры 2.
Таким образом, IANA в настоящее время определяет 12 старших битов
адреса IPv6 (0010 0000 0000). Следующие 12 разрядов адреса
идентифицируют регионального регистратора RIR. Например, регистратор
APNIC представлен шестнадцатеричным значением 102 (0001 0000
0010),ARIN– значением 104 (0001 0000 0100), а RIPE представлен значением
106 (0001 0000 0110). Следовательно, IANA и RIR задают старшие 24
160
двоичные разряда адреса IPv6. Например, адрес RIPE в шестнадцатеричной
форме будет следующим2001:06. Оставшиеся два шестнадцатеричных числа
второго блока адреса IPv6 идентифицируют крупных сетевых операторов.
В протоколе IPv6 адрес 2001:0DB8::/32зарезервирован для
использования в документациии в примерах. Поэтому во всех
последующих примерах использован именно этот адрес.
Старшие 32 двоичных разряда адреса (рис. 7.6) образуют префикс
провайдера /32 (2001:0db8).
Идентификатор интерфейса (64 бит)
2001
Префикс ISP /32
Префикс сайта /48
Префикс подсети /64
Рис. 7.6. Префиксы формата адреса IPv6
Следующий (третий) блок образует префикс глобальной
маршрутизации или, по-другому, префикс сайта/48. Префикс глобальной
маршрутизации/48 обычно выделяется интернет-регистратором крупным
корпоративным сетям, но может назначаться и индивидуальным
пользователям. Администраторы, получившие в пользование диапазон
адресов с префиксом /48, имеют возможность создания 64К (65536) подсетей,
адреса которых задаются четвертым блоком, т.е. 16 двоичными разрядами
указанного блока адреса IPv6. Ниже на рис. 7.7приведен пример адреса
2001:db8:a:1:2:b3ff:fe18:a1d7и функций его отдельных разрядов.
200
10d
b8
000a
IANA Регистратор ISP
Сайт
Префикс глобальной маршрутизации
(префикс сайта /48)
0001
0002:b3ff:fe18:a1d7
ID подсети
(16 бит)
Идентификатор (ID)
интерфейса (64 бит)
Рис. 7.7. Поля адреса IPv6
161
В приведенном примере организация IANA задает значение 200 трех
старших шестнадцатеричных чисел адреса IPv6. Региональный регистратор
идентифицируется значением 10d. Таким образом, IANA и RIR задают
старшую часть адреса IPv6 (2001:0d). Оставшиеся два шестнадцатеричных
числа (b8) второго блока (второго хекстета) адреса IPv6 идентифицируют
провайдера (ISP). Поэтому старшие 32 двоичных разряда адреса (рис. 7.7)
образуют префикс провайдера (2001:0db8/32).
Значение адреса поля сайта (000a) выдается провайдером отдельным
городам, районам, организациям, т.е. адресует определенный сайт. Поэтому
старшие 48 двоичных разрядов адреса образуют префикс сайта или префикс
глобальной маршрутизации (рис. 7.7).
Четвертый блок адреса (0001) задает адрес подсети внутри сайта, т.е.
используется для адресации подсетей пользователя. Таким образом, сетевой
администратор, имея 16 двоичных разрядов поля ID подсети, может
сформировать до 65536 отдельных подсетей. То есть, старшие 64 двоичных
разрядов адреса IPv6 образуют префикс подсети 2001:db8:000a:0001/64
или2001:db8:a:1/64.
Последние 4 блока шестнадцатеричного адреса (0002:b3ff:fe18:a1d7 на
рис. 7.7) составляют идентификатор интерфейса, где могут задаваться
МАС-адреса, АТМ-адреса, телефонные номера, а также адреса IPv4, что
обеспечивает совместимость с ранее разработанными технологиями.
Идентификатор интерфейса может быть сконфигурирован вручную
администратором или задан динамически, например, с использованием
механизма расширенного уникального идентификатора EUI-64 (Extended
Unique Identifier). При задании МАС-адреса в поле идентификатора
интерфейса механизм EUI-64 расширяет 48 бит MAC-адреса до 64 битов. Для
этого 16-битовое число 0xFFFE, представленное в шестнадцатеричной
системе, вставляется в середину MAC-адреса, чтобы создать 64-битовый
уникальный идентификатор интерфейса, как показано в примере рис. 7.8.
00
0С B3 18 A1 D7
02 0С B3 FF FE 18 A1 D7
Рис. 7.8. Формирование идентификатора интерфейса из MAC-адреса
162
Старшие 24 двоичных разряда идентификатора интерфейса
представляют собой уникальный идентификатор организации (OUI),
выпускающей сетевое оборудование. В процессе создания идентификатора
интерфейса с использованием механизма EUI-64 старший седьмой бит
инвертируется (00:0С:В3 → 02:0С::В3). В двоичном коде:
0000 0000:0000 1100:1011 0011 → 0000 0010:0000 1100:1011 0011.
Младшие 24 двоичных разряда являются уникальным идентификатором
устройства.
Таким образом, в поле идентификатора интерфейса можно
разместить физический МАС-адрес длиной 48 бит (вместе со вставкой FFFE
образуют физический адрес длиной 64 двоичных разряда). Идентификаторы
интерфейса могут быть динамически получены из адреса Уровня 2. Поэтому
отпадает необходимость в протоколе ARP, что ускоряет процесс
продвижения пакета. Кроме того, в поле идентификатора интерфейса могут
задаваться, например, АТМ-адреса, номера телефонов международной и
междугородной связи, номера мобильных телефонов, а также адреса IPv4.
7.5. Типы адресов IPv6
Протокол IPv6 предусматривает 3 типа адресов:
1. Индивидуальный (unicast) – идентифицирует интерфейс устройства.
Адрес источника сообщения всегда должен быть индивидуальным.
2. Групповой (multicast) – реализует многоадресный режим передачи.
Протокол IPv6 не предусматривает широковещательную передачу
сообщений. Однако групповой метод может осуществить рассылку
сообщений всем узлам локальной сети.
3. Произвольный (anycast) – назначается нескольким устройствам (как
при групповом методе передачи), но пакет с произвольным адресом
назначения доходит только до ближайшего устройства с таким
адресом.
163
7.5.1. Индивидуальные адреса IPv6
Протокол IPv6 предусматривает несколько типов индивидуальных адресов:
1. Специальные адреса
2. Глобальные индивидуальные адреса
3. Локальные адреса канала
Специальные адреса
1. Адрес логического интерфейса loopback ::1/128 или ::1 протокола
IPv6 аналогичен адресу 127.0.0.1 протокола IPv4. Он служит для
самотестирования, когда проверяется, установлен ли стек протоколов TCP/IP.
2. Неопределенный адрес ::/128 или :: протокола IPv6 в некоторых
случаях используется в качестве адреса источника в пакете, когда источнику
еще не назначен постоянный индивидуальный адрес.
3. Встроенные адреса IPv4 необходимы на период перехода от IPv4 к
IPv6.
Для преобразования адреса IPv6 в адрес IPv4 разработан подтип
адреса, в котором 4 младших байта содержат адрес предыдущей версии
IPv4, а старшие 12 байт – содержат нули. При преобразовании адреса
IPv4 в адрес IPv6 младшие 4 байта содержат адрес версии IPv4, байты 5 и
6 содержат единицы, а старшие 10 байт содержат нули.
Глобальные индивидуальные адресаIPv6
Глобальные индивидуальные адреса IPv6 являются уникальными во
всей сети Интернет. Также как уникальные адреса IPv4 они либо
назначаются
администратором
статически,
либо
присваиваются
динамически.
Глобальный индивидуальный адрес IPv6 состоит из трех частей (рис. 7.9):
1. префикса глобальной маршрутизации (48 старших бит адреса)
2. идентификатора подсети (16 бит)
3. идентификатора интерфейса (64 младших бита адреса).
164
Префикс глобальной
маршрутизации
48 бит
Идентификатор
подсети
16 бит
Идентификатор интерфейса
64 бита
Рис. 7.9. Три части адреса IPv6
Глобальные индивидуальные адреса могут либо назначаться
администратором статически, либо динамически (автоматически).
Статическое конфигурирование интерфейсов IPv6 аналогично IPv4
и сводится к заданию адресов, включению интерфейсов, конфигурированию
DCE на последовательных соединениях. Ниже приведен пример
конфигурирования интерфейсов Cisco-маршрутизатора А сети IPv6 (рис.
7.10). Префикс глобальной маршрутизации 2001:db8:a/48, подсети 1, 2, 3, 4.
2001:DB8:A:3::2/64
2001:DB8:A:1::15/64
С
G0/0
G0/1 2001:DB8:A:3::1/64
B
2001:DB8:A:1::1/64 G0/0
S0/0/0
2001:DB8:A:2::2/64
S0/0/1
2001:DB8:A:2::1/64
G0/0 2001:DB8:A:4::1/64
S0/0/0
A
Интернет
2001:DB8:A:4::12/64
Рис. 7.10. Пример адресов интерфейсов сети IPv6
R-A(config)#int g0/0
R-A(config-if)#ipv6 address 2001:db8:a:1::1/64
R-A(config-if)#no shutdown
R-A(config-if)#int s0/0/1
R-A(config-if)#ipv6 address 2001:db8:a:2::1/64
R-A(config-if)#clock rate 64000
R-A(config-if)#no shutdown
Поскольку IPv6 позволяет устанавливать на интерфейс несколько адресов, то
ошибочно введенный адрес необходимо удалить по команде no ipv6
address <адрес>, а не просто перезаписать новый, как в IPv4.
165
При автоматическом назначении глобальных индивидуальных
адресов IPv6 используются три варианта:
1.
Автоконфигурирование без сохранения состояния адреса, когда
адресную информацию (значение префикса, адрес шлюза по
умолчанию) устройство получает от маршрутизатора.
2.
Всю адресную информацию устройство получает от сервера DHCP.
3.
Адресную информацию устройство получает от маршрутизатора,
дополнительную информацию – от сервера DHCP.
В первом случае используются сообщения «Объявления
маршрутизатора IPv6», которые маршрутизатор IPv6 рассылает
периодически каждые 200 секунд в режиме многоадресной групповой
рассылки. Для ускорения получения адресной информации устройство может
послать «Запрос маршрутизатора IPv6», ответ на который приходит
немедленно.
Во втором случае сервер DHCPv6 назначает устройству полный
глобальный адрес, включающий префикс и идентификатор интерфейса.
МАС-адрес, созданный EUI-64, позволяет определять идентификатор узла
назначения, что снижает безопасность передачи данных по сети. Случайно
сгенерированное
значение
идентификатора
интерфейса
повышает
безопасность.
Третий случай – гибридный, часть адресной информации (префикс)
узел получает от маршрутизатора, а дополнительную, например, адрес DNS –
от сервера DHCPv6.
Конфигурирование адресов IPv6 интерфейсов маршрутизатора не
достаточно для того, чтобы маршрутизатор мог функционировать, рассылая
сообщения «Объявления маршрутизатора IPv6». Маршрутизация IPv6
включается после формирования команды ipv6 unicast-routing в
режиме глобального конфигурирования:
R-A(config)#ipv6 unicast-routing
Кроме того, на маршрутизаторе необходимо сконфигурировать
протокол динамической маршрутизации или сконфигурировать статические
маршруты. После этого маршрутизатор сможет пересылать пакеты и
отправлять служебные сообщения «Объявления маршрутизатора IPv6».
166
При конфигурировании устройств IPv6 необходимо учитывать, что
устройство может получить индивидуальный IPv6-адрес динамически и,
кроме того, на нем может быть сконфигурировано статически несколько
IPv6-адресов одной сети. Устройство также может функционировать с
несколькими шлюзами по умолчанию.
При рассылке сообщений «Объявления маршрутизатора IPv6» в
качестве адреса источника сообщения и адреса шлюза по умолчанию
используются локальные адреса.
Локальные индивидуальные адреса канала
Локальные индивидуальные адреса канала используются для обмена
сообщениями внутри подсети (локального канала), где они должны быть
уникальными. Пакеты с локальными адресами канала не могут пересылаться
в другие подсети. Локальные индивидуальные адреса канала могут быть
назначены администратором вручную или динамически, когда устройство
автоматически создает его без обращения к серверу DHCP.
Локальные индивидуальные адреса канала назначаются из диапазона
FE80::/10 – FEBF::/10. В двоичном коде эти адреса будут следующие:
1111 1110 1000 0000 – 1111 1110 1011 1111. Для локальных индивидуальных
адресов канала обычно используется префикс FE80::/64 с идентификатором
интерфейса, сгенерированным случайным образом или созданным
механизмом EUI-64 (рис. 7.11).
10 бит
54 бита
64 бита
Идентификатор интерфейса
1111 1110 10
FE80::/64
Рис. 7.11. Локальные индивидуальные адреса канала
Локальный МАС-адрес действителен только в пределах сетевого
сегмента канального уровня. Для определения адресов в других сетях узел
может запросить информацию о настройках сети, отправив запрос протокола
ICMPv6. Объединив сетевой префикс и идентификатор интерфейса, узел
сформирует адрес назначения.
167
Динамическое назначение локальных индивидуальных адресов IPv6
производится даже тогда, когда глобальный адрес IPv6 не назначен. Шлюзу
по умолчанию назначается локальный адрес маршрутизатора. Это позволяет
сетевым устройствам обмениваться маршрутной информацией и
пересылать сообщения внутри локального канала без использования
глобальных адресов (рис. 7.12). То есть, узел FE80::A1 может обмениваться
сообщениями с любым узлом (FE80::A2, FE80::A3, FE80::A4,…) из своей
локальной сети (из своего локального канала).
FE80::A1
FE80::A2
FE80::A3
FE80::A4
Рис. 7.12. Обмен сообщениями внутри локального канала
Локальные адреса используются:
1. Для адресации шлюза по умолчанию
2. Для обмена сообщениями протоколов маршрутизации
3. Для адреса следующего перехода в таблицах маршрутизации
Локальные адреса IPv6 могут быть получены динамически или
сконфигурированы вручную. Например, ниже приведен результат
конфигурирования, когда локальные адреса были получены динамически:
R-А#show ipv6 interface brief
GigabitEthernet0/0
[up/up]
FE80::260:47FF:FE9A:1A01
2001:DB8:A:1::1
...
Serial0/0/1
[up/up]
FE80::20A:F3FF:FEB5:CE02
2001:DB8:A:2::1
Vlan1
[administratively down/down]
168
Из распечатки следует, что идентификаторы интерфейсов локальных адресов
FE80::260:47FF:FE9A:1A01 и FE80::20A:F3FF:FEB5:CE02 были
созданы с использованием механизма EUI-64, поскольку в средину 48разрядного МАС-адреса вставлено число FF:FE и получен идентификатор
размером 64 бита. На каждом интерфейсе установлен как локальный, так
и глобальный адрес.
Локальные адреса могут быть заданы администратором вручную:
R-А(config)#int g0/0
R-А(config-if)#ipv6 add fe80::1 link-local
R-А(config-if)#int s0/0/1
R-А(config-if)#ipv6 add fe80::1 link-local
Ниже в распечатке приведены новые локальные адреса:
R-А#sh ipv6 int brief
GigabitEthernet0/0
FE80::1
2001:DB8:A:1::1
...
Serial0/0/1
FE80::1
2001:DB8:A:2::1
Vlan1
[up/up]
[up/up]
[administratively down/down]
В вышеприведенном примере на всех интерфейсах маршрутизатора А
был сконфигурирован одинаковый локальный адрес
FE80::1. Это
возможно, поскольку он должен быть уникальным только в пределах канала
(подсети). На всех интерфейсах второго маршрутизатора В может быть
сконфигурирован, например, локальный адрес ipv6 add fe80::2 linklocal. При посылке пакета с локальным адресом назначения, например при
выполнении команды ping, может потребоваться указать выходной
интерфейс, поскольку одинаковый локальный адрес может быть в разных
подсетях, присоединенных к разным интерфейсам.
Поскольку последовательные интерфейсы (serial) стандартно не имеют
МАС-адреса, то для них могут использоваться МАС-адреса интерфейсов
Ethernet.
Проверку состояния интерфейсов маршрутизатораIPv6 можно
проводить с помощью ряда команд: show
169
running-config, show
interfaces, show ipv6 interface brief, а также с помощью
команды show ipv6 route.
Часть распечатки команды show ipv6 route приведена ниже:
R-A>sh ipv6 route
IPv6 Routing Table - 5 entries
...
C
2001:DB8:A:1::/64 [0/0]
via ::, GigabitEthernet0/0
L
2001:DB8:A:1::1/128 [0/0]
via ::, GigabitEthernet0/0
C
2001:DB8:A:2::/64 [0/0]
via ::, Serial0/0/1
L
2001:DB8:A:2::1/128 [0/0]
via ::, Serial0/0/1
L
FF00::/8 [0/0]
via ::, Null0
R-A
В распечатке отражены помеченные символом С непосредственно
присоединенные сети, которые имеют префикс /64, и помеченные символом
L локальные сети (интерфейсы) с префиксом /128. Через эти интерфейсы и
присоединены сети. Назначение локальных маршрутов, помеченных
символом L, облегчает маршрутизацию пакетов с адресом назначения
данного интерфейса.
Следует отметить, что индивидуальный глобальный адрес не является
обязательным, во многих случаях достаточно локального адреса канала,
который создается при конфигурировании соответствующего интерфейса
IPv6.
7.5.2. Групповые адреса IPv6
Групповые адреса IPv6 используются только в качества адреса
назначения и не могут быть адресами источника. Они имеют префикс
FF00::/8 и классифицируются на:
1. Присвоенные групповые адреса
2. Групповые адреса запрошенного узла
170
Присвоенные групповые адреса
Присвоенный групповой адрес FF02::1 используется для передачи
сообщений всем узлам, имеющим такой адрес. Например, в сети рис. 7.13
узлы имеют групповой адрес FF02::1, наряду с индивидуальным адресом. С
использованием группового адресаFF02::1 всем узлам в сети рассылаются
объявления маршрутизатора, содержащие значение префикса, его длину и
адрес шлюза по умолчанию.
2001:0DB8:A:1::1/64
...
FF02::1
2001:0DB8:A:1::2/64
FF02::1
2001:0DB8:A:1::3/64
FF02::1
2001:0DB8:A:1::14/64
Рис. 7.13. Рассылка сообщений по групповому адресу FF02::1
Присвоенный групповой адрес FF02::2 используется для передачи
сообщений всем маршрутизаторам, которым присваивается такой адрес.
Технология вступает в действие после ввода команды:
Router(config)#ipv6 unicast-routing
Групповой адрес FF02::2 используется устройствами при формировании
запросов маршрутизаторам.
Многоадресный режим широко используется для обмена маршрутной
информацией между маршрутизаторами. Примеры таких адресов протоколов
IPv4 и IPv6 приведены в табл. 7.3.
171
Таблица 7.3
Адреса многоадресного режима
Протокол
IPv4 (multicast)
IPv6 (multicast)
1
OSPF
224.0.0.5
FF02::5
2
OSPF
224.0.0.6
FF02::6
3
RIP-2
224.0.0.9
FF02::9
4
EIGRP
224.0.0.10
FF02::A
Групповой адрес запрошенного узла
Многоадресные сообщения на адрес FF02::1 позволяют реализовать
широковещательные (broadcast) передачи, поскольку передача сообщения
идет всем узлам в сети. Для сокращения трафика может использоваться
групповой адрес запрашиваемого узла (multicast), когда объединяется
префикс группового адреса FF02:0:0:0:0:1:FF00::/104 и младшие 24 бита
глобального индивидуального адреса IPv6.
Пакеты с такими групповыми адресами будут предназначаться только
запрошенным узлам, у которых младшие 24 бита адреса соответствуют
младшим 24 битам IPv6-адреса назначения пакета. При назначении
индивидуального глобального адреса IPv6 автоматически формируется
групповой адрес запрошенного узла. Вероятность того, что в локальном
канале окажется другой узел с таким же групповым адресом запрашиваемого
узла – невелика и составляет 1/224. Режим многоадресной рассылки
запрашиваемого узла обычно используется для определения (разрешения)
МАС-адреса назначения по известному IPv6-адресу.
172
7.6. Протокол ICMPv6
Для передачи некоторых видов служебной информации в сетях IPv6
используется протокол ICMPv6, принцип работы которого аналогичен
протоколу ICMPv4. Наиболее известными сообщениями ICMPv6 являются:
- подтверждение доступности узла или сервиса (услуги),
- недоступность узла или сервиса,
- истечение времени,
- переадресация маршрута.
Для подтверждения доступности узла используется утилита ping,
когда по заданному IPv6-адресу посылается серия эхо-запросов, на которые,
в случае доступности узла, приходят эхо-ответы. Функционирование
команды ping протокола ICMPv6 аналогично протоколу ICMPv4.
Сообщение об истечении времени жизни пакета приходит в том случае,
если обнуляется значение поля TTL («Время жизни» сетевого протокола IPv4
или аналогичного поля «Ограничение переходов» IPv6). В этом случае пакет
отбрасывается и посылается сообщение ICMPv4 или ICMPv6 об истечении
времени жизни пакета. Это свойство используется при реализации утилиты
trace или traceroute. При первой трассировке в пакете запроса задается
значение TTL = 1 и пакет доходит только до первого маршрутизатора, где
значение TTL обнуляется и маршрутизатор формирует ответное сообщение
об истечении времени. При второй трассировке TTL = 2, ответ приходит от
второго маршрутизатора и т.д.
При возникновении новых маршрутов с лучшей метрикой к адресату
назначения протоколы ICMP посылают сообщение переадресации маршрута
источнику передаваемой информации.
Сетевой протокол IPv4 использовал в частных локальных сетях
частные адреса. Похожую возможность предоставляет протокол IPv6. Для
этого могут использоваться уникальные локальные адреса из диапазона
FC00::/7 – FDFF::/7, которые обеспечивают адресацию ограниченного
количества узлов или даже адресацию в пределах одного узла.
Помимо
вышеперечисленных
сообщений
предусматривает новые виды сообщений:
173
протокол
ICMPv6
«Запрос маршрутизатора»
«Объявление маршрутизатора»
«Запрос соседнего узла»
«Объявление соседнего узла»
Выше было показано, что на «Запрос маршрутизатораIPv6»,
рассылаемый устройством в многоадресном режиме всем маршрутизаторам
IPv6,в режиме SLAAC может быть получена адресная информация (значение
префикса, его длина и адрес шлюза по умолчанию), рассылаемая в
«Объявлениях маршрутизатора IPv6».
Сообщения «Запрос соседнего узла» и «Объявление соседнего узла»
используются для определения (разрешения) МАС-адреса назначения по
известному IPv6-адресу. Действие сообщений «Запрос соседнего узла» и
«Объявление соседнего узла» похоже на функционирование протокола ARP
в сети IPv4. Узел отправляет в локальную сеть запрос с групповым адресом
запрашиваемого узла, в котором объединяется префикс группового адреса
FF02:0:0:0:0:1:FF00::/104 и младшие 24 бита глобального индивидуального
адреса IPv6. В ответ на запрос получает от запрашиваемого узла
«Объявление соседнего узла» его МАС-адресом.
Пара сообщений «Запрос соседнего узла» и «Объявление соседнего
узла» используется также для обнаружения адресов дубликатов. Для этого
узел направляет в локальную сеть «Запрос соседнего узла» со своим IPv6адресом. Если в сети есть узел с таким же IPv6-адресом, то он отправляет
«Объявление соседнего узла», которое уведомляет, что запрошенный адрес
уже используется. Если ответ не приходит в течение заданного таймером
времени, то запрошенный IPv6-адрес может быть использован на
запрашивающем узле.
174
7.7. Методы сетевой миграции
В переходный период будут существовать оба сетевых протокола IPv4
иIPv6. В одних сетях будет использоваться IPv4, в других – IPv6. Поэтому
необходимы механизмы перехода из одной сети в другую. Можно отметить
три таких механизма (три метода сетевой миграции):
двойной стек;
туннелирование;
преобразование адресов.
На период перехода от IPv4 к IPv6 разработан механизм двойного
стека, когда маршрутизаторы, коммутаторы и конечные узлы
конфигурируются, чтобы поддерживать оба протокола, причем, IPv6,
является привилегированным. То есть, на интерфейсах устройств
конфигурируется два стека протоколов.
При туннелировании пакеты IPv6 инкапсулируются в пакеты IPv4,
при этом, пакеты IPv6 воспринимаются как обычные передаваемые данные.
Это позволяет передавать пакеты IPv6 через сети IPv4.
Преобразователи адресов NAT-64 преобразуют адреса пакетов IPv6 в
IPv4 и наоборот. Функционирование NAT-64 напоминает функционирование
транслятора адресов NAT, преобразующего частные адреса в публичные, и
наоборот, в сетях IPv4.
175
Краткие итоги главы 7
1. Логические адреса узлов в IP-сетях версии IPv4 содержат 32 двоичных
разряда, версии IPv6 – 128двоичных разряда.
2. IP-адреса являются иерархическими. Старшие разряды определяют номер
сети, а младшие разряды – номер узла в сети.
3. Существует адресация на основе классов и бесклассовая адресация.
4. Адрес 127.0.0.1 предназначен для самотестирования, когда проверяют,
установлен ли протокол TCP/IP на конечном узле.
5. В таблице маршрутизации задаются адреса сетей, а не узлов для
сокращения числа записей, которыми оперирует маршрутизатор.
6. Адрес сети маршрутизатор получает путем логического умножения
сетевого адреса узла назначения на маску.
7. Общая часть адреса называется префиксом.
8. IP-адреса узлов могут назначаться администратором вручную
(статическая адресация) или автоматически с помощью протокола
динамического конфигурирования узлов (DHCP).
9. Вручную назначаются адреса сетевым принтерам, серверам и
интерфейсам маршрутизаторов.
10. Настройки адресов компьютера можно посмотреть по команде ipconfig в
командной строке.
11. В IP-сетях используются следующие виды рассылки данных:
одноадресная (unicast), широковещательная (broadcast), многоадресная
(multicast). Адрес источника сообщения – всегда уникальный.
12. При прямой широковещательной рассылке сообщение передается всем
узлам в сети, причем, сообщение можно переслать даже из другой сети.
13. Ограниченная широковещательная рассылка действует только внутри
локальной сети, она использует адрес 255.255.255.255.
14. В маршрутизаторах используют как адресацию на основе стандартных
масок, так и адресацию с масками переменной длины.
15. Сети с частными адресами, не подключенные к Internet, могут иметь
любые адреса, лишь бы они были уникальны внутри частной сети.
16. Пакеты с частными адресами блокируются маршрутизатором.
17. Трансляторы сетевых адресов NAT, PAT переводят частные адреса в
публичные (общедоступные).
18. Один публичный адрес можно комбинировать с набором номеров порта
узла источника, т.е. формируется совокупность комплексных адресов,
называемых сокетами. При этом один IP-адрес могут использовать сразу
несколько узлов частной сети.
19. Кардинальным решением проблемы нехватки логических адресов
является разработка и внедрение адресации версии IPv6, которая
использует для адресации 128 двоичных разрядов.
20. Адреса версии IPv6 представлены в виде 8 блоков по четыре
шестнадцатеричных числа. Блоки разделяются двоеточием.
176
21. Формат адреса IPv6 можно представить в виде поля идентификатора
интерфейса (младшие 64 бита, которые задают адрес узла) и полей
префиксов подсети, сайта и провайдера (старшие 64 бита).
22. Идентификатор интерфейса может быть сконфигурирован вручную
администратором или задан динамически, например, с использованием
механизма расширенного уникального идентификатораEUI-64.
23. Протокол IPv6 предусматривает 3 типа адресов: индивидуальный
(unicast), групповой (multicast), произвольный (anycast).
24. Глобальные индивидуальные адреса IPv6 являются уникальными во всей
сети Интернет. Также как уникальные адреса IPv4 они либо назначаются
администратором статически, либо присваиваются динамически.
25. При автоматическом назначении глобальных индивидуальных адресов
IPv6 используются варианты: автоконфигурирование без сохранения
состояния адреса, когда адресная информация получается от
маршрутизатора; получение адресной информации от сервера DHCP.
26. Маршрутизатор IPv6 может функционировать, рассылая сообщения
«Объявления маршрутизатора IPv6». после формирования команды ipv6
unicast-routing в режиме глобального конфигурирования.
27. Локальные индивидуальные адреса канала из диапазона FE80::/10 –
FEBF::/10 могут быть назначены администратором вручную или
динамически.
28. Локальный МАС-адрес действителен только в пределах сетевого
сегмента канального уровня.
29. Присвоенный групповой адрес FF02::1 используется для передачи
сообщений всем узлам, имеющим такой адрес. Присвоенный групповой
адрес FF02::2 используется для передачи сообщений всем
маршрутизаторам.
30. Групповой адрес запрашиваемого узла (multicast) объединяет префикс
группового адреса FF02:0:0:0:0:1:FF00::/104 и младшие 24 бита
глобального индивидуального адреса IPv6. Используется для определения
(разрешения) МАС-адреса назначения по известному IPv6-адресу.
31. Для передачи некоторых видов служебной информации в сетях IPv4,
IPv6 используются протоколы ICMPv4, ICMPv6. Они проводят
подтверждение доступности или недоступности узла или сервиса (услуги),
истечения времени, переадресации маршрута.
32. Существуют механизмы перехода между сетями IPv4, IPv6 (три метода
сетевой миграции): двойной стек; туннелирование; преобразование
адресов.
177
Вопросы по главе 7
Кто назначает логические адреса интерфейсам маршрутизаторов и
конечным узлам сети?
2. Сколько двоичных разрядов содержат логические адреса узлов в IPсетях версии IPv4?
3. Что определяют старшие и младшие разряды сетевого адреса?
4. Какие классы уникальных адресов используются в сетях?
5. Какие размеры имеют стандартные маски адресов классов А, В, С?
6. Какое максимальное число узлов могут задавать адреса класса С?
7. Какой адрес используется для самотестирования?
8. Для чего нужны сетевые маски?
9. Как называется общая часть адреса нескольких устройств?
10. Какова длина префикса маски 255.255.240.0?
11. Какие устройства делят сеть на широковещательные домены?
12. В чем состоит различие прямой и ограниченной широковещательных
рассылок?
13. В чем состоит различие широковещательной и групповой рассылок?
14. Для чего используются частные адреса в локальных сетях? Каковы их
диапазоны?
15. Что переводит частные адреса в публичные и обратно?
16. Какой диапазон адресов используется в локальных сетях, когда
невозможно получить адрес от протокола DHCP?
17. Какой блок адресов, называемый TEST-NET, зарезервирован для
учебных целей и использования в документации?
18. Какие адреса называют сокетами?
19. Что позволит радикально решить проблему дефицита IP-адресов?
20. Сколько двоичных разрядов содержат логические адреса в IPv6-сетях?
21. Как представлены адреса версии IPv6?
22. Какие типы индивидуальных адресов используются в IPv6-сетях?
23. Каковы три составляющих индивидуального глобального адреса?
24. Из какого диапазона назначаются локальные индивидуальные адреса
канала? Для чего они нужны?
25. Какой используется адрес для передачи сообщения всем узлам в сети?
26. Какой используется адрес для передачи сообщения всем
маршрутизаторам в сети?
27. Какую команду необходимо использовать, чтобы маршрутизатор начал
функционировать в режиме IPv6?
28. Для чего используется многоадресная рассылка запрошенного узла?
29. Для чего необходим протокол ICMP? Какие сообщения он передает?
30. Как функционирует команда traceroute?
31. Какие методы сетевой миграции используются для совместной работы
сетей IPv6 и IPv4?
1.
178
Упражнения
1. Приведите примеры адресов конечных узлов классов А, В, С. Используя
стандартные маски, рассчитайте адреса соответствующих сетей.
2. Переведите адреса 10.169.77.19; 172.18.190.59; 192.168.55.112 в двоичную
систему.
3. Рассчитайте максимальное количество узлов в подсетях 10.169.77.16/28;
172.18.190/27; 192.168.55.112/29.
4. Проверьте, установлен ли протокол TCP/IP на Вашем компьютере.
5. Определите параметры настройки адресов компьютера.
6. Проведите тестирование по адресу 127.0.0.1. Объясните результат.
7. Приведите примеры адресов прямой и ограниченной широковещательной
рассылки.
8. Приведите примеры частных адресов из трех выделенных диапазонов.
9. Приведите пример адреса IPv6, зарезервированного для использования в
документации и в учебных целях. Объясните назначение каждого блока.
10.Приведите пример адресаIPv6, идентификатор интерфейса которого
создан с использованием механизма EUI-64.
11.В среде Packet Tracer смоделируйте нижеприведенную схему сети.
Создайте конфигурацию маршрутизаторов с заданными в таблице адресами
интерфейсов.
Марш- Интерфейс IPv6-адрес
затор
интерфейса
А
G0/0
2001:db8:a:1
::1/64
S0/3/0
2001:db8:a:3
::1/64
В
G0/0
2001:db8:a:
2::1/64
S0/3/1
2001:db8:a:
3::2/64
S0/3/0
S0/3/1
A
G0/0
DCE
Host1-1 Host1-n
Сеть1
B
G0/0
Host2-1 Host2-n
Сеть2
Необходимо:
1. Задать имена маршрутизаторов.
2. Сконфигурировать интерфейсы в соответствие с таблицей.
3. Установить пароль на консольную линию.
4. Установить пароль на виртуальные линии.
179
Установить пароль на вход в привилегированный режим.
Проверить и сохранить конфигурацию.
Сконфигурировать адресную информацию на конечных узлах.
Проверить конфигурацию маршрутизаторов. Прокомментировать
полученные результаты.
9. Провести «прозвонку» и «трассировку» устройств между собой с
использованием локальных и глобальных адресов. Прокомментировать
полученные результаты.
10.Изменить локальные адреса маршрутизаторов. Повторить пункты 8, 9.
5.
6.
7.
8.
180
Глава 8. ФОРМИРОВАНИЕ ПОДСЕТЕЙ
Рассмотрена бесклассовая адресация IPv4с масками переменной длины, приведены
примеры формирования подсетей разного размера, а также принципы суммирования
адресов, объединение сетей.
8.1. Формирование подсетей IPv4
В разделе 7.1 было показано, что при использовании адресации на
основе полного класса (classfull) в сетях класса А может быть адресовано до
(224 – 2) узлов, класса В – (216 – 2) узлов и класса С – 254 узла. Крупные сети
характеризуются сложностью идентификации большого количества узлов,
поэтому задачи динамического конфигурирования узлов возлагаются на
серверы DHCP. Однако широковещательные запросы в больших сетях,
например, при обращении к протоколам DHCP, ARP, требуют значительную
полосу пропускания. Они создают дополнительную нагрузку на сеть и
снижают ее производительность, поскольку широковещательные запросы
должны обрабатываться всеми узлами сети. Кроме того, крупные сети
характеризуются трудностями управления и обеспечения безопасности.
Поэтому большие сети делят на подсети, в которых указанные проблемы
проявляются в меньшей степени.
Серверам, маршрутизаторам, сетевым принтерам IP-адреса
назначают администраторы вручную (статическая адресация).
Деление крупной сети на подсети обычно реализует маршрутизатор,
каждый интерфейс которого подключен к своей непосредственно
присоединенной сети (подсети). Для каждой подсети необходимо задать IPадрес, причем, адресные пространства подсетей не должны
перекрываться. Интерфейс маршрутизатора является шлюзом по
умолчанию для всех конечных узлов непосредственно присоединенной
локальной сети. Таким образом, взаимодействие узлов разных подсетей
происходит через маршрутизатор.
Деление сети на подсети может реализовать и коммутатор, используя
технологию виртуальных локальных сетей VLAN. Эти вопросы рассмотрены
в главе 17 учебника.
181
При проектировании подсетей необходимо учитывать:
географическое расположение конечных узлов, которые будут
объединены в подсеть;
функциональная принадлежность узлов (учебный класс, деканат, и т.д.);
степень информационной безопасности.
Формирование подсетей внутри выделенного адресного пространства
проводит администратор, используя бесклассовую (classless) адресацию,
когда граница между сетевой и узловой частью проходит в произвольном
месте IP-адреса. Например, администратору выделен адрес 198.11.163.0/24
класса С, т.е. выделено адресное пространство в 256 адресов, и ему
необходимо создать 10 компьютерных подсетей по 12 узлов в каждой. Для
адресации 10 подсетей потребуется 4 двоичных разряда адреса, и для
адресации 12 узлов также потребуется 4 бита. Поэтому из узловой части
адреса длиной в 8 бит будет заимствовано 4 старших бита для адресации
подсетей. Оставшиеся 4 бита будут использоваться для адресации узлов.
Таким образом, маска сети должна иметь единицы в 28 = (24 + 4)
старших двоичных разрядах и 4 нуля в младших, т.е. маска в двоичном коде
будет – 11111111.11111111.11111111.11110000, а в десятичном коде –
255.255.255.240. В этом случае максимально может быть задано 16 подсетей
по 14 узлов в каждой (табл. 8.1). В данном примере из 16 подсетей
администратор использует 10, а оставшиеся 6 использоваться не будут.
Таблица 8.1
Адреса узлов и подсетей
№ подсети
Адрес подсети
Адреса узлов
1
198.11.163.0
2
198.11.163.16
3
198.11.163.32
…
10
…
198.11.163.144
…
16
…
198.11.163.240
198.11.163.1 198.11.163.14
198.11.163.17 198.11.163.30
198.11.163.33 198.11.163.46
…
198.11.163.145 198.11.163.158
…
198.11.163.241 198.11.163.254
182
Из 16 адресов, задаваемых узловой частью IP-адреса, самый первый
адрес, содержащий все нулевые биты, будет являться номером сети.
Последний адрес, содержащий в узловой части двоичные единицы, является
широковещательным адресом в этой подсети. Поэтому для идентификации
узлов остается 14 адресов. В их число входит и адрес шлюза по умолчанию.
Например, если задан адрес 198.11.163.83 с маской 255.255.255.240, то
после логического умножения адреса на маску будет получен адрес подсети:
11000110.00001011.10100011.01010011
11111111.11111111.11111111.11110000
11000110.00001011.10100011.01010000 .
В узловой части адреса подсети 11000110.00001011.10100011.01010000
– все нули. Старшие четыре бита последнего октета содержат значение 80 (в
двоичной форме – 11000110.00001011.10100011.01010000), т.е. номер
подсети 198.11.163.80/28, а номер узла – равен 3 (0011) в этой подсети. Если
в узловой части адреса все единицы (11000110.00001011.10100011.01011111),
то это будет широковещательный адрес 198.11.163.95 в сети 198.11.163.80/28.
В вышеприведенном примере адреса подсетей 198.11.163.0,
198.11.163.16, …, 198.11.163.80, …, 198.11.163.240 идут через 16 = 2 4
(значение младшего разряда сетевой части IP-адреса).
С помощью маски 255.255.255.224 (префикс /27) в адресном
пространстве 198.11.163.0/24 можно сформировать 8 подсетей по 30 узлов в
каждой, а с помощью маски 255.255.255.248 (префикс /29) можно задать 32
подсети по 6 узлов. Используя маски разной длины, администратор может
формировать подсети разного размера в пределах выделенного адресного
пространства. Таким образом, маски переменной длины (Variable-Length
Subnet Mask - VLSM) позволяют создавать подсети разного размера, гибко
задавая границы между полем адреса сети и полем адреса узла. Технология
VLSM позволяет использовать больше чем одну маску подсети в пределах
выделенного адресного пространства.
Например, для формирования сетей по 30 узлов в каждой требуется 27
разрядов маски, содержащих единицы, а для создания сети, соединяющей
пару маршрутизаторов (точка - точка), требуется всего два адреса. Однако в
сетях «точка – точка» еще один адрес необходим для номера сети, и один
адрес – для широковещательной рассылки. Таким образом, при маске в 30
183
двоичных разрядов (префикс /30) два младших разряда адреса позволяют
сформировать 4 адреса, из которых 1-й используется для адреса сети, 2-ой и
3-й – для адресации узлов, а 4-й – в качестве широковещательного адреса.
В примере (рис.8.1, табл. 8.2), адресное пространство 192.168.100.0/24
использовано для создания 4 подсетей по 32 адреса в каждой (30 узлов, адрес
подсети, широковещательный адрес), т.е. маска имеет единицы в 27 старших
двоичных разрядах (префикс /27).
Подсеть
192.168.100.192/30
A
Подсеть
192.168.100.0/27
Подсеть
192.168.100.196/30
Подсеть
192.168.100.200/30
B
C
D
Подсеть
192.168.100.32/27
Подсеть
192.168.100.64/27
Подсеть
192.168.100.96/27
Рис.8.1. Пример использования масок переменной длины
Таблица 8.2
Формирование подсетей и субподсетей
Номер подсети
Подсеть 0
Подсеть 1
Подсеть 2
Подсеть 3
Подсеть 4
Подсеть 5
Подсеть 6
Адрес подсети
192.168.100.0
192.168.100.32
192.168.100.64
192.168.100.96
192.168.100.128
192.168.100.160
192.168.100.192
Префикс
27
27
27
27
27
27
27
Субподсеть 0
Субподсеть 1
Субподсеть 2
Субподсеть 3
Субподсеть 4
Субподсеть 5
Субподсеть 6
Субподсеть 7
Подсеть 7
192.168.100.192
192.168.100.196
192.168.100.200
192.168.100.204
192.168.100.208
192.168.100.212
192.168.100.216
192.168.100.220
192.168.100.224
30
30
30
30
30
30
30
30
27
184
Число узлов подсети
30
30
30
30
30
30
Используется для
формирования субподсетей
2
2
2
2
2
2
2
2
30
Оставшиеся 4 блока адресов по 32 адреса в каждом могут быть
использованы администратором по его усмотрению. В приведенном примере
подсеть 6 разделена на субподсети для адресации соединений «точка –
точка». При этом используется маска, содержащая не 27 единиц, а – 30
единиц (префикс /30).
Таким образом, за счет использования VLSM может быть
сформировано 7 подсетей с числом узлов до 30 и восемь субподсетей с
числом узлов 2. Каждая из субподсетей имеет диапазон адресов,
используемых для связей «точка-точка». В схеме распределенной составной
сети (рис. 8.1) четыре локальных сети (192.168.100.0/27, 192.168.100.32/27,
192.168.100.64/27, 192.168.100.96/27)и три сети соединений «точка-точка».
Таким образом, маски переменной длины VLSM позволяют создавать
подсети разного размера. Например, сеть 198.11.163.0/24 может быть разбита
на десять подсетей: две подсети по 62 узла в каждой, две подсети по 30
узлов, 2 подсети по 14 узлов и 4 подсети по 6 узлов в каждой (табл. 8.3).
Таблица 8.3
Формирование подсетей с использованием масок переменной длины
№ подсети Маска
Адрес подсети Число узлов Адреса узлов
1
255.255.255.192 198.11.163.0
62
2
255.255.255.192 198.11.163.64
62
3
255.255.255.224 198.11.163.128 30
4
255.255.255.224 198.11.163.160 30
5
255.255.255.240 198.11.163.192 14
6
255.255.255.240 198.11.163.208 14
7
255.255.255.248 198.11.163.224 6
8
255.255.255.248 198.11.163.232 6
9
255.255.255.248 198.11.163.240 6
10
255.255.255.248 198.11.163.248 6
185
198.11.163.1 198.11.163.62
198.11.163.65 198.11.163.126
198.11.163.129 198.11.163.158
198.11.163.161 198.11.163.190
198.11.163.193 198.11.163.206
198.11.163.209 198.11.163.222
198.11.163.225 198.11.163.230
198.11.163.233 198.11.163.238
198.11.163.241 198.11.163.246
198.11.163.249 198.11.163.254
Соответственно маски будут иметь размер: /26 – для первых двух
подсетей, /27 – для третьей и четвертой подсети, /28 – для пятой и шестой,
/29 – для четырех последних подсетей. Естественно, что могут быть
реализованы и другие варианты деления сети на подсети и субподсети.
Важно помнить, что только неиспользованные подсети могут далее
делиться на субподсети. Если какой-то адрес подсети уже используется, то
подсеть на субподсети далее делиться не может.
На рис. 8.2 представлен еще один пример формирования подсетей с
префиксом /26 из адреса 172.16.32.0/23:
1)
2)
3)
4)
172.16.32.0/26;
172.16.32.64/26;
172.16.32.128/26;
172.16.32.192/26;
-
10101100.00010000.00100000.00000000
10101100.00010000.00100000.01000000
10101100.00010000.00100000.10000000
10101100.00010000.00100000.11000000
Субподсеть
172.16.33.0/30
Подсеть
172.16.32.0/26
A
Субподсеть
172.16.33.4/30
B
Е
Субподсеть
172.16.33.8/30
C
Субподсеть
172.16.33.12/30
Подсеть
172.16.32.64/26
Подсеть
172.16.32.128/26
Подсеть
172.16.32.192/26
D
Рис. 8.2. Использование подсетей и субподсетей
В приведенном примере одну из подсетей, например 172.16.33.0/26,
разделили на субподсети с маской в 30 единичных разрядов.
Не все протоколы маршрутизации поддерживают технологию VLSM,
например, первая версия протокола RIPv1 не поддерживает маски
переменной длины. Маскирование переменной длины VLSM поддерживают
протоколы Open Shortest Path First (OSPF), Integrated IS-IS, Enhanced Interior
Gateway Routing Protocol (EIGRP), протокол второй версии RIPv2, а также
статическая маршрутизация.
186
При проектировании подсетей особое внимание необходимо уделить
плану выделения адресов с тем, чтобы диапазоны адресов подсетей не
пересекались. На рис. 8.3 приведен пример сети, состоящей из 7 подсетей с
масками переменной длины. На схеме у всех локальных подсетей (Подсеть 4
– Подсеть 7) шлюзу по умолчанию назначен первый адрес в сети. Иногда
щлюзу по умолчанию назначают последний адрес в локальной сети. При
указании адресов интерфейсов и конечных узлов на схеме приведены только
значения последнего октета (в десятичной системе). Конечным узлам заданы
наименьший
и
наибольший
адреса.
Для
соединений
между
маршрутизаторами использована маска 255.255.255.252, т.е. префикс /30.
Подсеть 2
192.168.100.4/30
Подсеть 1
192.168.100.0/30
.1
.2
A
.6
.130
Подсеть 4
192.168.100.32/28
.10
D
.17
.129
.46
.9
C
B
.33
.34
.5
Подсеть 3
192.168.100.8/30
.190
.18
Подсеть 5
192.168.100.128/26
.22
Подсеть 6
192.168.100.16/29
.193
.194
.222
Подсеть 7
192.168.100.192/27
Рис. 8.3. Пример сети, состоящей из 7 подсетей
Если бы в приведенной схеме сети (рис. 8.3) для каждой подсети
использовался бы адрес полного класса, например С, то для 7 подсетей
потребовался бы объем адресного пространства 7×256 = 1792 номеров,
причем, большая часть адресов оставалась бы неиспользованной.
Следовательно, использование масок переменной длины VLSM
предоставляет эффективное средство экономии дефицитных IPv4-адресов.
187
8.2. Агрегирование адресов
При проектировании сетей может быть поставлена задача, когда
несколько отдельных адресов сетей необходимо объединить в общий
(агрегированный) адрес. В ряде случаев это сокращает число записей в
таблице маршрутизации. Например, две сети
172.16.14.0/24
10101100.00010000.00001110.00000000 и
172.16.15.0/24
10101100.00010000.00001111.00000000
могут быть агрегированы (объединены) так, чтобы маршрутизаторы
использовали только один маршрут для объединенной (агрегированной)
сети 172.16.14.0/23, поскольку 23 старших разряда адреса обеих сетей
(выделены цветом) одинаковы. Таким образом, префикс показывает, сколько
старших разрядов адреса одинаковы в обеих сетях
Тип маршрутизации, использующий агрегированные адреса и маски
переменной длиныVLSM, получил название бесклассовой междоменной
маршрутизации (Classless Inter Domain Routing - CIDR). Агрегирование
маршрутов уменьшает нагрузку на маршрутизаторы.
Ниже рассмотрен следующий пример агрегирования адресов. Группа
из четырех подсетей:
192.168.16.0/24
11000000.10101000.00010000.00000000
192.168.17.0/24
11000000.10101000.00010001.00000000
192.168.18.0/24
11000000.10101000.00010010.00000000
192.168.19.0/24
11000000.10101000.00010011.00000000
может быть представлена суммарным (агрегированным) адресом
192.168.16.0/22
11000000.10101000.00010000.00000000,
поскольку 22 разряда адреса у них одинаковы.
Аналогично группа из других четырех подсетей:
192.168.20.0/24
11000000.10101000.00010100.00000000
192.168.21.0/24
11000000.10101000.00010101.00000000
192.168.22.0/24
11000000.10101000.00010110.00000000
192.168.23.0/24
11000000.10101000.00010111.00000000
может быть представлена агрегированным адресом
192.168.20.0/22
11000000.10101000.00010100.00000000,
поскольку 22 разряда адреса у них также одинаковы.
188
Третья группа подсетей:
192.168.24.0/24
11000000.10101000.00011000.00000000
192.168.25.0/24
11000000.10101000.00011001.00000000
192.168.26.0/24
11000000.10101000.00011010.00000000
192.168.27.0/24
11000000.10101000.00011011.00000000
может быть представлена агрегированным адресом
192.168.24.0/22 - 11000000.10101000.00011000.00000000,
поскольку и у них одинаковы 22 разряда адреса.
Агрегирование приведенных выше адресов иллюстрирует рис. 8.4. При
обмене маршрутной информацией каждый из маршрутизаторов А, В, С
вместо адресов четырех подсетей передает адрес только одного
(агрегированного) маршрута с префиксом в 22 двоичных разряда. Адреса
четырех указанных подсетей имеют общую часть – префикс, который
используется как единый совокупный адрес. В маршрутизаторе D можно
сформировать агрегированный адрес всех трех групп подсетей. Он будет
иметь адрес 192.168.16.0/20, т.е. маска (префикс) содержит 20 единиц в
старших разрядах, поскольку все представленные на рис. 8.4 адреса имеют
двадцать одинаковых старших двоичных разрядов адреса.
Подсети
192.168.16.0/24
192.168.17.0/24
192.168.18.0/24
192.168.19.0/24
A
Подсети
192.168.20.0/24
192.168.21.0/24
192.168.22.0/24
192.168.23.0/24
Подсети
192.168.24.0/24
192.168.25.0/24
192.168.26.0/24
192.168.27.0/24
Агрегированный адрес
192.168.16.0/22
Агрегированный адрес
192.168.16.0/20
192.168.20.0/22
D
B
Агрегированный адрес
192.168.24.0/22
C
Рис. 8.4. Агрегирование адресов маршрутов
189
Таким образом, итоговый суммарный маршрут трех групп подсетей
(рис. 8.3) содержит префикс на 20 битов, общий для всех адресов в указанной
сети – 192.168.16.0/20 - 11000000.10101000.00010000.00000000. Двадцать
старших разрядов адреса (11000000.10101000.0001) используются как
единый адрес организации, которая подключается к сети Интернет через
маршрутизатор D.
Чтобы функционировала маршрутизация CIDR на основе префикса,
адреса должны быть назначены иерархическим способом. Маршрутизатор
должен знать номера всех присоединенных к нему подсетей и не должен
сообщать другим маршрутизаторам о каждой подсети, если он может послать
один совокупный маршрут (aggregate route). Маршрутизатор, который
использует совокупные маршруты, реже обращается к таблице
маршрутизации, что повышает его производительность.
Маршрутизация на основе CIDR и масок переменной длины возможна,
если маршрутизаторы сети используют бесклассовый (classless) протокол
маршрутизации, например, OSPF, RIP-2 или EIGRP. Бесклассовые
протоколы маршрутизации передают в обновлениях маршрутизации
(routing updates) 32-разрядные IP-адреса и соответствующие маски.
8.3. Особенности формирования подсетей IPv6
Основной задачей формирования подсетей в технологии IPv4 является
экономия дефицитных IPv4-адресов. В сетях IPv6 целью разбиения больших
сетей на подсети является создание иерархической системы адресации,
удобной при создании и обслуживании сетей. В иерархически
спроектированной сети легче обеспечить расширяемость, управляемость,
информационную безопасность.
Префикс сайта или глобальной маршрутизации содержит 48 двоичных
разряда (/48), что показано на рис. 8.5.
Префикс глобальной
маршрутизации
48 бит
Идентификатор
подсети
16 бит
Идентификатор интерфейса
Рис. 8.5. Три части адреса IPv6
190
64 бита
Администратор, получивший диапазон адресов с префиксом /48, имеет
возможность создания 216 = 65536 (64К) сетей, адреса которых задаются
идентификатором сети (подсети) IPv6. Старшие 64 двоичных разрядов адреса
IPv6 образуют префикс подсети 2001:db8:000a:0001/64(2001:db8:a:1/64).
Оставляя неизменным префикс сайта, администратор задает номера сетей
(2001:db8:a:1/64, 2001:db8:a:2/64, …, 2001:db8:a:9/64, …). При этом сеть
может выглядеть, например, следующим образом (рис. 8.6):
Подсеть 2
2001:db8:a:2/64
Подсеть 1
2001:db8:a:1/64
A
Подсеть 4
2001:db8:a:4/64
C
B
Подсеть 5
2001:db8:a:5/64
Подсеть 3
2001:db8:a:3/64
Подсеть 6
2001:db8:a:6/64
D
Подсеть 7
2001:db8:a:7/64
Рис. 8.6. Пример сети IPv6
Адресное пространство в этом случае используется неэффективно,
поскольку, например, соединение «точка-точка» адресуется полем
идентификатора интерфейса длиной 64 бита. Однако это не критично для
версии IPv6.
В сетях IPv6 можно создавать подсети (субподсети), заимствуя
адресные биты из поля идентификатора интерфейса, по аналогии с сетями
IPv4. Причем, заимствование рекомендуется делать кратным 4 битам, что
соответствует
одному шестнадцатеричному символу.
При
этом
рекомендуемые префиксы будут следующие: /68, /72. /76 и т.д.
191
Краткие итоги главы 8
1. Крупные сети характеризуются сложностью идентификации большого
количества узлов. Широковещательные запросы в больших сетях требуют
значительную полосу пропускания, что создает дополнительную нагрузку
на сеть и снижают ее производительность.
2. Крупные сети характеризуются трудностями управления и обеспечения
информационной безопасности.
3. Деление крупной сети на подсети обычно реализует маршрутизатор,
каждый интерфейс которого подключен к своей непосредственно
присоединенной сети (подсети).
4. Формирование подсетей внутри выделенного адресного пространства
проводит администратор, используя бесклассовую адресацию, когда
граница между сетевой и узловой частью проходит в произвольном месте
IP-адреса.
5. Маска сети должна иметь непрерывную последовательность единиц в
старших двоичных разрядах и нули в младших.
6. Самый первый адрес, содержащий все нулевые биты в узловой части
адреса, будет являться номером сети. Последний адрес, содержащий в
узловой части двоичные единицы, является широковещательным адресом
в этой подсети.
7. Адрес сети маршрутизатор получает путем логического умножения
сетевого адреса узла назначения на маску.
8. Маски переменной длины (VLSM) позволяют создавать подсети разного
размера, гибко задавая границы между полем адреса сети и полем адреса
узла.
9. Бесклассовую междоменную маршрутизацию CIDR и маскирование
переменной длины VLSM поддерживают протоколы OSPF, IS-IS, EIGRP,
RIPv2, а также статическая маршрутизация.
10.Бесклассовые протоколы маршрутизации передают в обновлениях
маршрутизации IP-адреса и соответствующие маски сетей.
11.Шлюзу по умолчанию обычно назначают первый адрес в сети.
12.Агрегированный адрес получается путем объединения адресов в один.
13.Радикально решить проблему дефицита IP-адресов может новая шестая
версия (IPv6) адресации в IP-сетях.
14.В сетях IPv6 целью разбиения больших сетей на подсети является
создание иерархической системы адресации, удобной при создании и
обслуживании сетей.
15.Администратор, получивший диапазон адресов с префиксом /48, имеет
возможность создания 216 = 65536 (64К) сетей, адреса которых задаются
идентификатором сети (подсети) IPv6.
16.В сетях IPv6 можно создавать подсети, заимствуя адресные биты из поля
идентификатора интерфейса, по аналогии с сетями IPv4. Причем,
заимствование рекомендуется делать кратным 4 битам, что соответствует
одной шестнадцатеричной цифре.
192
Вопросы по главе8
Для чего производится деление сети на подсети?
Какое устройство производит деление сети на подсети?
Может ли деление сети на подсети может реализовать коммутатор?
Каким маскам соответствуют префиксы /20, /23, /26, /28, /30?
Сколько максимально подсетей может быть сформировано при
использовании маски 255.255.255.224? Сколько максимально узлов в
каждой?
6. В какую сеть входит узел 172.20.171.25/18? Каков широковещательный
адрес в этой сети?
7. В какую сеть входит узел 172.20.171.25/20? Каков широковещательный
адрес в этой сети?
8. В чем состоит ошибка задания адреса сети 192.168.10.160/26
9. Какую маску следует использовать для формирования 8-ми
компьютерных классов по 10-12 компьютеров в каждом?
10.Каковы будут адреса шлюза по умолчанию, первого и последнего
компьютеров, широковещательной рассылки в сети 10.10.10.160/27?
11.Каковы будут адреса шлюза по умолчанию, первого и последнего
компьютеров, широковещательной рассылки в сети 172.20.10.128/26?
12.Каков будет суммарный адрес группы подсетей 172.16.51.16/24,
172.16.51.17/24, …, 172.16.51.23/24?
13.Что позволяет радикально решить проблему дефицита IP-адресов?
14.Сколько сетей может сформировать администратор, используя поле
идентификатора подсетиIPv6?
15.Какие префиксы рекомендуется использовать при формировании
субподсетей?
1.
2.
3.
4.
5.
Упражнения
1. Рассчитайте максимальное количество узлов в подсетях 10.169.77.16/28;
172.18.190/27; 192.168.55.112/29.
2. Для выделенного диапазона адресов 172.16.10.0/24 сформируйте 10
подсетей по 8 – 14 компьютеров в каждой. Какова будет сетевая маска?
3. Для выделенного адреса 10.1.5.0/24 сформируйте 2 подсети по 50 – 60
компьютеров, 2 подсети по 25 – 30 компьютеров, 2 подсети по 10 – 12
компьютеров, 2 подсети по 5 – 6 компьютеров, остальные адреса
использовать для адресации соединений «точка - точка».
4. Укажите агрегированный адрес группы из четырех подсетей:
172.16.16.0/24, 172.16.17.0/24, 172.16.18.0/24, 172.16.19.0/24.
5. Для нижеприведенной схемы с заданными адресами подсетей укажите
адрес первого и последнего узла, адрес шлюзов по умолчанию каждой
подсети, широковещательный адрес.
193
Подсеть 6
200.5.5.4/30
Подсеть 5
200.5.5.0/30
A
Подсеть 1
10.10.10.64/26
Подсеть 7
200.5.5.8/30
C
B
Подсеть 2
10.10.10.128/27
Подсеть 3
10.10.10.32/29
194
D
Подсеть 4
10.10.10.160/28
9. ТРАНСПОРТНЫЙ УРОВЕНЬ МОДЕЛЕЙ OSI, TCP/IP
Приведены основные функции протоколов транспортного уровня. Показаны
примеры функционирования протоколов транспортного уровня, форматы заголовков
сегментов. Проведен сравнительный анализ протоколов TCP и UDP.
9.1. Общие сведения о транспортном уровне
Основной функцией транспортного уровня является транспортировка
сообщений между приложениями узла источника и узла назначения.
Приложение узла источника формирует сообщение и передает его на
приложение узла назначения независимо от маршрута, т.е. независимо от
протоколов сетевого уровня, и независимо от среды передачи, т.е.
независимо от протоколов канального и физического уровней. Транспортный
уровень реализует управление потоком информации от источника до
устройства назначения.
В разделе 3.3 отмечено, что Транспортный уровень делит большое
сообщение узла источника информации на части, при этом добавляет
заголовок и формирует сегменты определенного объема, а короткие
сообщения может объединять в один сегмент. В узле назначения происходит
обратный процесс. В заголовке сегмента задаются номера порта источника и
назначения, которые адресуют службы верхнего уровня приложений для
обработки данного сегмента. Кроме того, транспортный уровень может
обеспечивать надежную доставку пакетов. При обнаружении потерь и
ошибок на этом уровне формируется запрос повторной передачи, при этом
используется протокол TCP. Когда необходимость предварительного
соединения и проверки правильности доставленного сообщения отсутствует,
то используется более простой и быстродействующий протокол дейтаграмм
пользователя (User Datagram Protocol – UDP).
Транспортный уровень моделей OSI и TCP/IP одинаков как по
функциям, так и по названию (см. рис.3.5). Термин TCP/IP – это комбинация
двух протоколов. Протокол IP функционирует на сетевом Уровне 3
моделиOSI, он является протоколом дейтаграммного типа без
предварительного соединения (connectionless), который обеспечивает
доставку сообщения через сеть по возможности, т.е. доставку с наибольшими
195
возможными усилиями (best-effort delivery), но без гарантий, т.е. доставка не
надежная.
Протокол управления передачей TCP работает на транспортном
Уровне 4 модели OSI и является протоколом, ориентированным на
предварительное соединение (connection-oriented), что обеспечивает контроль
потока и надежность доставки. Когда эти протоколы (TCP/IP) объединены,
они обеспечивают более широкий объем услуг: малую задержку и высокую
надежность. Всемирная сеть Интернет строится на основе набора (стека)
протоколов TCP/IP.
Контроль доставки сообщения из одного конца соединения до другого
и надежность обеспечены целым рядом параметров, передаваемых в
заголовках сегментов:
номерами последовательности передаваемых сегментов данных,
размером, так называемого, скользящего окна,
квитированием, т.е. подтверждением приема сообщения.
Транспортный уровень устанавливает логическое соединение между
двумя конечными точками сети. Протоколы транспортного уровня
сегментируют данные, посланные приложениями верхнего уровня на
передающей стороне, и повторно собирают (реассемблируют) из полученных
сегментов целое сообщение на приемной стороне.
Таким образом, протоколы транспортного уровня реализуют
сегментацию данных и повторную сборку целого сообщения из полученных
сегментов. Большинство сетей имеет ограничение на объем передаваемых
сообщений. Поэтому Транспортный уровень делит большое сообщение
прикладного уровня на сегменты данных, размер которых соответствует
требованиям протокола единиц данных (Protocol Data Unit – PDU) более
низких уровней сетевой модели. Кроме того, если в процессе контроля
обнаружится, что принятое сообщение содержит ошибку, то возникает
необходимость повторной передачи всего большого сообщения. При
обнаружении ошибки в одном из принятых сегментов только данный сегмент
будет передан повторно.
Мультиплексирование сегментов передаваемых данных позволяет
одновременно передавать различные потоки данных. При этом
высокоскоростной поток передаваемых сообщений, например видео-поток,
не заблокирует другие сообщения.
196
На каждом конечном узле сети может быть запущено много разных
приложений. Кроме того, сегменты могут быть направлены одному или
многим узлам назначения. Процесс обмена данными между приложениями
источника и назначения называется сеансом связи. Протоколы транспортного
уровня обеспечивают многочисленные одновременно протекающие
процессы обмена данными, т.е. отслеживают отдельные сеансы связи.
Множество одновременно протекающих процессов обмена данными
верхнего уровня (множество сеансов связи) может быть мультиплексировано
поверх одного логического транспортного соединения.
Чтобы передавать потоки данных соответствующим приложениям,
протокол транспортного уровня должен идентифицировать каждое
приложение. В протоколах TCP и UDP в качестве идентификатора
приложения используют номер порта. Номер порта в заголовке сегмента
транспортного уровня указывает, какое приложение создало передаваемое
сообщение, и какое должно обрабатывать полученные данные. При
множестве одновременно протекающих процессах обмена данными каждому
из приложений или услуг назначается свой адрес (номер порта) так, чтобы
транспортный уровень мог определить, с каким конкретно приложением или
службой должны взаимодействовать передаваемые данные.
Наиболее известными протоколами транспортного уровня являются
протокол контроля передачи (Transmission Control Protocol – TCP) и
протокол дейтаграмм пользователя (User Datagram Protocol – UDP).
Протокол контроля передачи TCP является ориентированным на
предварительное соединение (connection-oriented). Помимо деления
сообщения на сегменты и идентификации приложений (задание номеров
портов источника и назначения) TCP обеспечивает надежность и контроль
потока. Он взаимодействует с протоколами верхнего прикладного уровня
приложений: HTTP, SMTP, FTP, Telnet и другими. Протокол UDP является
протоколом дейтаграммного типа (connectionless), он взаимодействует с
такими протоколами прикладного уровня, как система доменных имен
(DNS), передачи потока видеоданных (Video Steaming), голос поверх IP
(Voice over IP) и рядом других. Следует отметить, что система DNS
взаимодействует как с TCP, так и с UDP.
Итак, протокол транспортного уровня TCP помимо деления сообщения
на сегменты и идентификации приложений обеспечивает:
197
1. Контроль потока.
2. Надежность доставки сообщения.
Для облегчения контроля и обеспечения надежности сообщения
передаются частями (порциями), т.е. сегментами. При этом протокол
транспортного уровня узла источника должен прослеживать каждый сегмент
данных при передаче и повторно передавать любую часть сообщения, прием
которой не был подтвержден устройством назначения. Транспортный
уровень конечного узла на приемной стороне должен отследить получение
данных и подтвердить это получение.
Контроль потока необходим, чтобы гарантировать, что источник,
передавая данные с некоторой скоростью, не переполняет буферные
устройства узла назначения. Если узел назначения не может обрабатывать
данные в темпе их поступления, то может произойти переполнение буферов
и потеря данных. Управление скоростью передачи данных обеспечивается
изменением размера окна (Window Size), который указывает, сколько байт
данных должно быть передано за одну порцию. При переполнении буферных
устройств узел назначения посылает источнику требование уменьшения
размера окна, т.е. снижения скорости передачи.
После получения каждой порции данных узел назначения посылает
источнику подтверждение принятых данных или подтверждение
доставки (acknowledgment).
Подтверждение (квитирование) обеспечивает надежность сети
передачи данных. Если подтверждение не получено, то неподтвержденная
часть данных передается узлом источником повторно.
В дейтаграммных IP-сетях пакеты одного сообщения между двумя
конечными устройствами могут проходить разными путями. Поэтому на узел
назначения сегменты могут прийти не в том порядке, в котором были
переданы. Надежный протокол транспортного уровня (ТСР) должен
восстановить правильный порядок сегментов и собрать переданное
сообщение, т.е. реассемблировать его.
Адресация приложений, надежность, контроль потока, сегментация
сообщений и их реассемблирование, реализуются путем задания ряда
параметров в заголовке сегмента TCP (рис. 9.1), размер которого 20 байт.
198
1
2
3
4
5
6
7
8
9
10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32
Номер порта источника
Номер порта назначения
Номер последовательности
Номер подтверждения
ДЗ
Резерв
Код
Размер окна
Контрольная сумма
Индикатор
Опции
Данные
Рис. 9.1. Формат заголовка сегмента TCP
Поля заголовка TCP сегмента определяют следующее:
- Номер порта источника (Source Port) – 16 бит номера порта,
который посылает данные;
- Номер порта назначения (Destination Port) – 16 бит номера порта,
который принимает данные;
- Номер последовательности (Sequence Number) – 32 бита номера
первого байта в сегменте, используемого, чтобы гарантировать объединение
частей (порций) данных в корректном порядке в устройстве назначения;
- Номер подтверждения (Acknowledgment Number) – 32 бита
последовательного номера подтверждения принятых данных, (начальный
номер байта следующей ожидаемой порции данных);
- ДЗ – длина заголовка (число 32-разрядных слов в заголовке, в
примере рис. 9.1 – пять слов);
- Резерв – разряды поля, установленные в ноль;
- Код – 6 разрядов, определяющих тип сегмента, например, сегмент
установки соединения (SYN) и завершения сеанса (FIN), сегмент
подтверждения принятых данных (ACK), срочного сообщения (URG), а
также PSH – протолкнуть данные и RST – оборвать соединение;
- Размер окна (Window Size) – число байтов, передаваемых за одну
порцию;
- Контрольная сумма (Checksum) – значение контрольной суммы
заголовка и поля данных;
- Индикатор (Urgent pointer) – индицирует конец срочных данных;
199
- Опции (Option) – поле не обязательное, каждая текущая опция
определяет максимальный размер TCP сегмента;
- Данные (Data) – сообщение протокола верхнего уровня.
Заголовок TCP (рис. 9.1) содержит номер последовательности
(Sequence Number), используемый, чтобы гарантировать объединение частей
(сегментов) сообщения в том порядке, в котором они были переданы. TCP
обеспечивает надежность передачи сообщений за счет передачи номера
подтверждения, и контроль потока, управляемого размером окна. Однако
TCP потребляет много ресурсов и вносит задержку в передачу данных. При
передаче некоторых видов трафика (аудио- и видеоинформация) задержка и
особенно ее вариация могут исказить передаваемые сообщения.
Когда требования высокой скорости передачи данных, минимизации
задержек и джиттера превалируют над надежностью и гарантией доставки
сообщения, то используется более простой и быстрый протокол дейтаграмм
пользователя (UDP). Протокол UDP не имеет механизма реассемблирования
принятых сегментов, поэтому возможны ошибки при объединении сегментов
данных при передаче по сложной сети. Однако скорость передачи данных с
использованием протокола UDP выше, чем TCP.
Поскольку UDP является протоколом дейтаграммного типа, то в
заголовке его сегмента (рис. 9.2) отсутствуют такие параметры, как Номер
последовательности, Номер подтверждения, Размер окна, характерные для
протокола TCP.
1
2
3
4
5
6
7
8
9
10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32
Номер порта источника
Номер порта назначения
Длина
Контрольная сумма
Данные
Рис. 9.2. Формат сегмента UDP
Поля UDP сегмента определяют следующее:
- Номер порта источника (Source Port) – 16 бит номера порта,
который посылает данные;
- Номер порта назначения (Destination Port) – 16 бит номера порта,
который принимает данные;
- Длина (Length) – число байтов в заголовке и в поле данных;
200
- Контрольная сумма (Checksum) – контрольная сумма заголовка и
поля данных;
- Данные (Data) – сообщение протокола верхнего уровня.
Поскольку протокол UDP не обладает механизмами надежности, то она
обеспечивается протоколами верхнего уровня приложений. Однако
небольшой размер заголовка UDP и отсутствие дополнительной обработки
номера последовательности, размера окна и пересылки подтверждения
получения данных повышают скорость обработки и передачи сообщений по
сравнению с протоколом ТСР. При пропадании какого-либо сегмента на
видеоизображении (или в голосовом сообщении) появится помеха, которую
пользователь может и не заметить. При надежной доставке (ТСР) повторная
передача пропавшего сегмента может занять много времени, что приведет к
значительному искажению изображения (звука). Поэтому протокол UDP
используется для передачи аудио- и видеоинформации.
Комбинация номера порта и IP-адреса образует комплексный адрес,
называемый сокет (socket address), который определяет не только уникальное
устройство, но и программное обеспечение, используемое для создания и
обработки сообщения, например, 192.168.10.17:1275; 10.1.10.6:53.
Номера портов делятся на несколько типов:
- известные номера (Well Known Ports), диапазон адресов которых
находится в пределах от 0 до 1023, назначаются серверам;
- зарегистрированные порты с номерами от 1024 до 49151
назначаются как серверам, так и пользователям;
- динамические порты с номерами от 49151 до 65535, которые
обычно динамически присваиваются пользователям.
Номера известных портов заданы организацией Internet Assigned
Numbers Authority (IANA), распределяющей адреса в Интернете. Номера
известных портов назначаются протоколам и службам сервиса уровня
приложений. Примеры номеров некоторых известных портов протокола TCP
приведены в табл. 9.1
Таблица 9.1
Номера известных портов
Протоколы
FTP
Telnet
SMTP
HTTP
HTTPS
POP3
Порты
20, 21
23
25
80
443
110
201
В приложении протокола передачи файлов FTP используются два
известных (стандартных) номера порта 20 и 21. Порт 20 используется для
передачи данных, а порт 21 – для управления соединением.
Среди номеров известных портов протокола UDP наиболее
распространенными являются: протокол TFTP – 69, RIP – 520.
Служба DNS с номером порта 53 и простой протокол управления сетью
(Simple Network Management Protocol – SNMP) с номером порта 161
взаимодействуют как с протоколом TCP, так и с UDP.
Зарегистрированные порты назначаются как пользователям, так и
приложениям. Когда зарегистрированные порты не используются для
ресурсов сервера, они могут быть использованы динамически клиентом как
номер порта источника. Приложения клиента выбирают номера порта
источника из этого диапазона. Из зарегистрированных номеров портов
можно отметить 8008 и 8080, которые часто используются Proxy-серверами.
Комплексные адреса (сокеты) широко используются при обращении
клиентов к серверам. Источник запроса идентифицируется сокетом,
образованным IP-адресом и номером порта, который генерируется
случайным образом. Например, сокет 10.0.118.52:1244 определяет клиента,
как источник запроса. Сокет 10.0.118.3:80 определяет IP-адрес устройства и
программное обеспечение, используемое для обработки запроса (сервер
HTTP). При ответе сервер формирует сообщение, где сокет 10.0.118.52:1244
используется в качестве адреса назначения. Разные номера портов с одним
IP-адресом источника позволяют клиенту формировать несколько разных
запросов.
Если необходимо узнать, какие TCP соединения активны на сетевом
конечном узле, то можно использовать команду netstat в режиме командной
строки. В распечатке команды (рис. 9.3) указаны: протокол (TCP), локальные
адреса (имена) узлов с динамически назначенными номерами портов,
внешние адреса (имена) узлов назначения с номером порта, а также
состояние связи. В данном примере (рис. 9.3) номер порта локального адреса
является динамически назначаемым зарегистрированным портом источника с
номером больше 1023. Для адреса www.cisco.com внешний порт задан
символически (http). Состояние связи может быть с установленным
202
соединением (ESTABLISHED) или с ожиданием окончания соединения
(TIME_WAIT), когда был послан запрос окончания соединения (FIN).
Рис. 9.3. Результат выполнения команды netstat
9.2. Установление соединения
Поскольку TCP является протоколом, ориентированным на
предварительное соединение (connection-oriented), то сначала необходимо
установить сессию между приложениями конечных устройств. Узел
отправитель инициализирует соединение, которое должно быть
подтверждено узлом получателем. Программное обеспечение протокола TCP
обменивается сообщениями через сеть, чтобы проверить, что передача
разрешена и что обе стороны готовы к ней.
Соединение между двумя устройствами производится за три этапа
(рис. 9.4).
A
1
B
2
3
203
Рис. 9.4.Установление соединения
Во-первых, узел отправитель инициализирует установление связи
путем посылки узлу получателю запроса синхронизации SYN (1).
Во-вторых, узел получатель подтверждает запрос синхронизации и
задает свои параметры синхронизации ACK (2).
В-третьих, узлу получателю посылается подтверждение, что обе
стороны готовы для передачи данных (3).
Такой механизм получил название трехэтапного установления связи
(Three-way handshake). Оба узла должны согласовать начальные номера
последовательности передаваемых частей информации, что происходит через
обмен сегментами синхронизации (SYN) и подтверждения (ACK).
Синхронизация требует, чтобы каждая сторона послала собственный
начальный номер последовательности и получила подтверждение от другой
стороны. Каждая сторона, получив начальный номер последовательности от
другой
стороны,
отвечает
подтверждением
ACK.
Например,
последовательность, соответствующая рис. 9.4, будет следующей:
1. Узел отправитель (A) инициализирует соединение, посылая сегмент с
флагом SYN узлу получателю (B), в котором указывает номер своей
последовательности Sequence Number длиной 32 бита, например, SECА
= 101. Флаг SYN установлен в поле Код (рис. 9.1). Начальное значение
номера последовательности SEC выбирается случайным образом и
инкрементируется (увеличивается на единицу) при передаче каждого
байта данных, что позволяет отслеживать поток данных.
2. Получив сегмент инициализации соединения, узел B делает запись
принятого номера последовательности 101 и формирует ответ с
флагами ACK и SYN. Подтверждение формируется в следующем виде
ACKВ = 101 + 1 = 102. Ответ ACKВ = 102 означает, что хост B получил
сегмент данных, включая байт с номером 101, и ожидает следующий
байт с номером 102. Одновременно хост B формирует начальный
номер своей последовательности данных, например, SECВ = 51.
3. Узел A, получив сегмент от B со значениями ACKВ = 102, SECВ = 51,
формирует ответ ACKА = 52, SECА = 102, который завершает процесс
соединения. При этом установлен флаг ACK.
204
9.3. Передача данных
При установлении соединения задается начальное значение номера
байта передаваемых данных. Этот номер увеличивается по мере передачи
байт. Поэтому на приемной стороне можно отследить потерянные сегменты.
Сегменты данных нужно предоставить пользователю получателю в том
же порядке, в котором они были переданы. Сбой происходит, если какие-то
сегменты данных потеряны, повреждены или получены в неверном порядке.
Поэтому получатель должен подтвердить получение каждого сегмента.
Однако если бы отправитель ждал ответ ACK после посылки каждого
сегмента, то производительность сети была бы низкой. Поэтому, надежный,
ориентированный на предварительное соединение протокол TCP, позволяет
послать несколько сегментов прежде, чем отправитель получит
подтверждение ACK.
Размер окна (Window Size) заголовка сегмента TCP определяет,
сколько байт передается в одной порции подтверждаемых данных.
Последовательность сегментов передаваемых данных представляет собой
последовательность байтов. Поэтому и размер окна в заголовке сегмента
задается в количестве передаваемых байтов. Узел-получатель передает
отправителю подтверждение ACK, когда примет указанное в окне
количество байтов данных.
На рис. 9.5 приведен пример, когда размер окна составляет 3000 байт.
Узел-отправитель
Передача пакета 1
Передача пакета 2
Размер окна = 3000
1500 байт
Получение пакета 1
с 1 по 1500 байт
1500 байт
Получение пакета 2
с 1501 по 3000 байт
Получение
подтверждения
Передача пакета 3
Передача пакета 4
Узел-получатель
1500 байт
1500 байт
Подтверждение
ACK = 3001
Получение пакета 3
с 3001 по 4500 байт
Получение пакета 4
с 4501 по 6000 байт
Подтверждение
ACK = 6001
Получение
подтверждения
Рис. 9.5. Процесс передачи байт данных
205
Каждый передаваемый сегмент содержит 1500 байт, что соответствует
размеру поля данных кадра Ethernet. Поэтому узел-отправитель передает два
сегмента подряд, на которые узел-получатель посылает подтверждение ACK
с номером следующего ожидаемого байта, т.е. ACK = 3001. После получения
узлом-отправителем подтверждения процесс передачи данных повторяется.
Если какой-то сегмент в процессе передачи был потерян, например, изза перегрузки сети, то узел-получатель в ответе укажет начальный номер
потерянного сегмента (рис. 9.6), чтобы этот сегмент был передан повторно.
При этом размер окна может быть уменьшен до 1500 байт, т.е. до размера
одного передаваемого сегмента.
Узел-отправитель
Передача пакета 1
Передача пакета 2
Размер окна = 3000
1500 байт
Получение пакета 1
с 1 по 1500 байт
1500 байт
Получение пакета 2
с 1501 по 3000 байт
Получение
подтверждения
Передача пакета 3
Передача пакета 4
Получение
подтверждения
Передача пакета 3
Узел-получатель
1500 байт
1500 байт
Подтверждение
ACK = 3001
Пакет 3 был
потерян
Получение пакета 4
с 4501 по 6000 байт
Подтверждение
ACK = 3001
Размер окна = 1500 Window = 1500
1500 байт
Получение
подтверждения
Получение пакета 3
с 3001 по 4500 байт
Подтверждение
ACK = 4501
Рис.9.6. Перегрузка в процессе передачи данных
Перегрузка буферов данных может произойти по следующим
причинам:
1. Высокоскоростной узел-отправитель генерирует трафик быстрее, чем
сеть может передать его, а узел-получатель принять.
2. Несколько узлов одновременно посылают сообщения одному узлуполучателю.
206
Когда данные прибывают на узел-получатель слишком быстро, то
буферные устройства адресата могут оказаться перегружены и приходящие
пакеты будут отбрасываться. Чтобы не потерять данные, процесс TCP на
узле-получателе может послать отправителю индикатор «не готов», чтобы
отправитель приостановил передачу данных.
Когда получатель вновь сможет обрабатывать дополнительные данные,
он посылает индикатор «готов». Когда этот индикатор получен, отправитель
может продолжить передачу.
При передаче срочных сообщений используется бит URG в поле кода
передаваемых сегментов. Такие сегменты передаются в первую очередь,
даже за счет впереди стоящих в очереди сегментов.
Завершение соединения
Завершение соединения в конце передачи данных происходит в 4
этапа:
1. Узел-отправитель, инициализировавший обмен данными, посылает
сегмент конца передачи с установленным флагом FIN, сигнализирующий,
что данных для передачи больше нет;
2. В ответ на это узел-получатель подтверждает (ACK) конец передачи;
3. Узел-получатель также посылает сигнал конца передачи FIN.
4. Узел-отправитель подтверждает получение информации (ACK).
На этом соединение заканчивается, т.е. завершение соединения происходит в
четыре этапа.
207
Краткие итоги главы 9
1. Основной функцией транспортного уровня является транспортировка
сообщений между приложениями узла источника и узла назначения.
2. Транспортный уровень делит большое сообщение узла источника
информации на части, при этом добавляет заголовок и формирует
сегменты.
3. Протоколы транспортного уровня сегментируют данные, посланные
приложениями верхнего уровня на передающей стороне, и повторно
собирают его на приемной стороне.
4. В заголовке сегмента задаются номера порта источника и назначения,
которые адресуют службы (приложения) верхнего прикладного уровня.
5. Высокую надежность обеспечивает протокол управления передачей TCP,
для чего используется контроль потока, нумерация последовательности и
подтверждение принятых данных.
6. Когда нет необходимости проверки правильности доставленного
сообщения, то используется более простой и быстрый протокол
дейтаграмм пользователя UDP.
7. В протоколах TCP и UDP в качестве идентификатора приложения
используется номер порта.
8. Номера известных портов назначаются протоколам и службам сервиса
прикладного уровня.
9. Контроль потока в протоколе ТСР необходим, чтобы гарантировать, что
источник, передавая данные с некоторой скоростью, не переполняет
буферные устройства узла назначения. Управление скоростью передачи
данных обеспечивается изменением размера окна.
10. После получения каждой порции данных узел назначения посылает
источнику подтверждение принятых данных или подтверждение доставки
(acknowledgment), что обеспечивает надежность.
11. Номер последовательности гарантирует объединение частей (сегментов)
сообщения в том порядке, в котором они были переданы.
12. Поскольку протокол UDP не обладает механизмами надежности, то она
обеспечивается протоколами верхнего прикладного уровня.
13. Известные номера из диапазона от 0 до 1023, назначаются серверам.
14. Зарегистрированные порты с номерами от 1024 до 49151 назначаются
как серверам, так и пользователям.
15. Динамические порты с номерами от 49151 до 65535 обычно
динамически присваиваются пользователям.
16. Установление и завершение соединения производится по определенным
правилам.
17. Если какой-то сегмент TCP в процессе передачи был потерян, например,
из-за перегрузки сети, то узел-получатель в ответе укажет начальный
номер потерянного сегмента, чтобы этот сегмент был передан повторно.
208
Вопросы по главе 9
1. В чем различие между протоколами TCP и UDP?
2. По какой команде можно узнать, какие TCP соединения активны на
сетевом конечном узле?
3. Какую функцию в заголовке сегмента TCP выполняет номер
последовательности?
4. Какую функцию в заголовке сегмента TCP выполняет подтверждение?
5. Что задает размер окна в заголовке сегмента TCP?
6. Какую функцию в заголовке сегмента TCP, UDP выполняют номера
порта?
7. За сколько этапов выполняется предварительное установление соединения
у протокола TCP? Какие флаги при этом используются?
8. Чем определяется размер поля данных сегмента?
9. Какой диапазон номеров имеют хорошо известные порты? Кому они
назначаются?
10.Какие диапазоны номеров имеют зарегистрированные и динамические
порты? Кому они назначаются?
11.С какими приложениями работает протокол TCP?
12.С какими приложениями работает протокол UDP? В чем его
преимущество по сравнению с TCP?
13.Если при запросе приложения TFTP не будет получен ответ, то будет ли
повторный запрос? Если будет, то кто его сформирует?
14.Какие приложения работают и с UDP и с TCP?
15.Каковы этапы установления соединения протокола TCP?
16.Как будет реагировать система при потере первого пакета TFTP?
17.Какой протокол транспортного уровня может переупорядочить сегменты?
Упражнения
1. Приведите номера хорошо известных портов.
2. Изобразите формат заголовка сегмента TCP. Объясните назначение полей
заголовка.
3. Сравните форматы заголовков сегментов TCP и UDP.
4. Изобразите процесс установления соединения протокола TCP.
5. Изобразите процесс передачи данных при использовании протокола TCP.
6. Объясните, за счет чего протокол TCP реализует надежность передачи
данных.
209
Глава 10. ПРИКЛАДНОЙ УРОВЕНЬ
Приведены основные функции программных средств верхнего прикладного уровня
моделей OSI и TCP/IP. Рассмотрены модели построения сети (одноранговые и «клиентсервер»). Приведены примеры протоколов прикладного уровня.
10.1. Верхние уровни сетевых моделей
Прикладной уровень модели OSI обеспечивает сопряжение абонента с
сетевыми технологиями, что позволяет пользователям общаться между собой
через сеть. Другими словами, прикладной уровень создает интерфейс между
приложениями конечных устройств при передаче сообщений по сети.
Уровень представления 6 изменяет форму передаваемых данных в вид
удобный для передачи по сети адресату. Например, передаваемые с верхнего
уровня 7 данные преобразуются в общепринятый формат ASCII; при
передаче изображений используются форматы обмена графическими
данными GIF, PNG. На уровне 6 также происходит шифрация и сжатие
данных (протоколы MPEG, JPEG).
Сеансовый уровень 5 устанавливает и поддерживает сеанс связи двух
приложений конечных узлов (компьютеров), определяет, какой узел является
ведущим, а какой ведомым, задает для передающей стороны время передачи.
Этот уровень определяет также сеанс связи с сетью Интернет.
Прикладной уровень модели TCP/IP охватывает три уровня модели OSI
(прикладной, представления, сеансовый). Широко используемые известные
приложения (HTTP, FTP, SMTP, DNS) включают функции всех трех верхних
уровней модели OSI.
Уровень приложений реализован в виде комплекса программных
средств, представленных в двух формах: в виде приложений (applications) и
в виде программ служб сервиса (services).
Сопряжение человека с сетью обеспечивают приложения. Широко
известно такое приложение этого уровня, как web-браузер всемирной
паутины – сервиса, предоставляющего доступ к гипертекстовой
информации (World Wide Web – WWW), что позволяет людям готовить
сообщения для передачи по сети и принимать такие сообщения. Наиболее
210
известными web-браузерами являются Google Chrome, Internet Explorer,
Mozilla Firefox.
Программы служб сервиса готовят данные для передачи по сети,
обеспечивая эффективное использование ресурсов сети. Разные типы
информации (аудио-, видео-, текстовая информация) требуют различных
услуг, поскольку разнотипную информацию необходимо передать через
общую сеть.
Протоколы прикладного уровня определяют правила обмена данными
между узлом источником информации и узлом назначения. Каждый вид
приложений и сервиса использует свои протоколы, которые определяют
стандарты и форматы передаваемых данных.
Протоколы и службы прикладного уровня обычно представлены
соответствующими серверами. Однако сервер, как отдельное устройство,
может объединять функции нескольких служб сервиса; или наоборот, служба
одного вида услуг может быть представлена многими серверами.
Наиболее распространенными протоколами и службами прикладного
уровня являются:
- протоколы электронной почты (Simple Mail Transfer Protocol – SMTP,
Post Office Protocol – POP, Internet Messaging Access Protocol – IMAP);
- протокол передачи гипертекстовой информации или web-сервер
(Hypertext Transfer Protocol – HTTP);
- протокол передачи файлов (File Transfer Protocol – FTP) и простой
протокол передачи файлов (Trivial FTP – TFTP);
- система доменных имен (Domain Name System – DNS);
- протокол удаленного доступа (Telnet), обеспечивающий виртуальное
соединение с удаленными сетевыми устройствами и протокол удаленного
доступа, обеспечивающий шифрование передаваемых данных (Secure Shell –
SSH);
- протокол динамического конфигурирования узлов (Dynamic Host
Configuration Protocol – DHCP).
Таким образом, приложения обеспечивают интерфейс (сопряжение)
человека с сетью. Службы сервиса – используют программные средства
протоколов, чтобы подготовить информацию для передачи по сети.
211
10.2. Модели построения сети
Существуют две модели построения сети:
1. Модель «клиент – сервер»;
2. Модель соединения равноправных узлов сети (peer-to-peer – Р2Р) или,
по-другому, модель одноранговой сети.
При соединении равноправных узлов связанные через сеть конечные
устройства разделяют общие ресурсы (например, принтеры, файлы) без
выделенного сервера. Модель соединения равноправных узлов сети (peer-topeer – Р2Р) представлена одноранговыми сетями и Р2Р приложениями.
Одноранговые сети обычно используются при ограниченном
количестве пользователей, они плохо масштабируются. Каждое конечное
устройство (peer) может функционировать либо как сервер, либо как клиент.
Компьютер может выполнять роль сервера для одного соединения, и роль
клиента для другого, т.е. роль клиента или сервера устанавливается в каждом
отдельном запросе. Например, компьютер с подключенным к нему
принтером может предоставлять услуги печати другим узлам сети. В то же
время, он может обращаться к другому компьютеру с большим объемом
памяти за услугой хранения своих файлов. Ресурсы сети и управление ей
являются децентрализованными. Поэтому трудно обеспечить безопасность.
Равноправные приложения Р2Р на конечных устройствах позволяют
одновременно функционировать им и как сервер, и как клиент в одном
сеансе связи. Некоторые приложения Р2Р используют гибридную систему,
когда ресурсы и доступ к ним децентрализованы, а информация о
нахождении
ресурсов
находится
в
централизованном
каталоге.
Равноправным приложениям требуется конкретный пользовательский
интерфейс и фоновый сервис. Среди приложений Р2Р можно отметить eMule,
Bitcoin и др. Приложения Р2Р используются как в одноранговых сетях, так и
в сетях модели «клиент – сервер», в том числе – в сети Интернет. Ряд
приложений Р2Р базируются на протоколе Gnutella, который дает
возможность поиска ресурсов нескольких узлов.
Согласно модели «клиент – сервер» обмен данными между клиентами
происходит через выделенный сервер. Клиент запрашивает информацию,
пересылая запрос выделенному серверу (upload), который в ответ на запрос
212
посылает файл данных (download), принимаемый клиентом. Следовательно,
клиент инициирует процесс обмена информацией в среде «клиент – сервер»
и получает от сервера требуемую информацию. Пересылка сообщения от
клиента на сервер получил название отправка, а с сервера клиенту –
загрузка. Для реализации такой модели программное обеспечение должно
состоять из двух частей: клиентского (клиент) и серверного (сервер)
приложений.
Главным достоинством модели «клиент – сервер» является
централизация управления сетью, что повышает безопасность сети.
10.3. Примеры протоколов прикладного уровня
Протоколы передачи электронной почты
При передаче электронной почты и взаимодействии почтовых серверов
между собой используется простой протокол передачи почты (Simple Mail
Transfer Protocol – SMTP), у которого номер порта 25. Для получения
клиентом сообщения с сервера используется протокол почтового отделения
(Post Office Protocol – POP) с номером порта 110 или протокол доступа к
сообщениям (Internet Messaging Access Protocol – IMAP).
На рис. 10.1 приведена модель клиент-сервер в службе электронной
почты. При пересылке почты от клиента на сервер используется протокол
SMTP. Получив сообщение клиента, сервер ставит его в очередь или
пересылает на другой сервер, используя протокол SMTP.
Сервер
Download
Upload
POP
SMTP
Клиент
Рис.10.1. Модель клиент-сервер в службе электронной почты
213
Когда почтовый сервер получает сообщение, предназначенное для его
клиента, он хранит это сообщение и ждет, когда адресат назначения заберет
свою почту. Почтовые клиенты забирают сообщения (процесс download),
используя один из сетевых протоколов. Самые популярные почтовые
протоколы клиента – POP3 и IMAP4, которые на транспортном уровне
используют протокол TCP для надежной доставки данных. Когда сообщение
доставляется клиенту по протоколу РОР, оно удаляется с сервера. Согласно
протокола IMAP в приложение клиента загружается копия сообщения,
которое остается на сервере, пока не будет удалено клиентом. В этом случае
сервер является удобным местом хранения архива сообщений.
Почтовые серверы общаются друг с другом, используя протокол SMTP,
который транспортирует почтовые сообщения в текстовом формате,
взаимодействуя с TCP. Протокол SMTP характеризуется низким уровнем
защиты информации, поэтому серверы предоставляют услуги только
пользователям своей сети. Если по пути передачи сообщения какой-либо
сервер окажется перегруженным, то протокол SMTP может временно
хранить сообщение и периодически пытаться отправить его. По истечении
определенного таймером времени сообщение возвращается клиенту с
соответствующим извещением.
В процессе подготовки электронной почты люди используют
клиентское приложение, называемое почтовый агент пользователя, почтовый
клиент (Mail User Agent – MUA). Приложение MUA позволяет посылать
сообщения и помещать полученные сообщения в почтовый ящик клиента
(рис. 10.2).
Клиент
получатель
Клиент
отправитель
SMTP
Mail User Agent
MUA
Сервер
SMTP
Mail Transfer Agent
MTA
Сервер
POP
Mail Delivery Agent
MDA
Mail Transfer Agent
MTA
Mail User Agent
MUA
Рис. 10.2. Передача электронной почты по сети
При передаче сообщений между серверами используется Агент
передачи почты (Mail Transfer Agent – MTA). Агент MTA получает
сообщения от MUA или от другого MTA и передает их по сети. Агенты MTA
214
используют протокол SMTP, для передачи электронной почты между
серверами. Если сообщение из сервера может быть отправлено сразу клиенту
локальной сети, то подключается Агент доставки почты (Mail Delivery Agent
– MDA). Агент MDA получает прибывающую почту от MTA и помещает ее в
соответствующие почтовые ящики пользователей, используя протокол РОР.
Протокол HTTP
Самым распространенным протоколом прикладного уровня в
настоящее время является протокол передачи гипертекстовой
информации (Hypertext Transfer Protocol – HTTP), который работает в сети
Интернет. Его основным приложением является Web-браузер, который
отображает данные на Web-страницах, используя текст, графику, звук и
видео. Web-страницы создаются с использованием языка разметки
гипертекста Hypertext Markup Language (HTML), который определяет
местоположения для размещения текста, файлов и объектов, которые
должны быть переданы от сервера по сети до Web-браузера. Протокол HTTP
имеет номер порта – 80, и функционирует совместно с протоколом
транспортного уровня TCP.
Для создания запроса в адресной строке вводится веб-адрес или, подругому, унифицированный указатель ресурса URL. Например, веб-адрес
https://www.netacad.com/group/landing/,состоит из названия протокола (https),
имени сервера (www.netacad.com) и названия конкретной страницы
(group/landing/). Веб-браузер клиента (Google Chrome, Internet Explorer,
Mozilla Firefox) устанавливает связь с веб-сервером. В ответ на запрос сервер
посылает клиенту сети текст, аудио-, видео- и графические файлы. Браузер
клиента собирает все файлы, чтобы создать изображение Web-страницы,
которая представляется пользователю.
При обмене данными между клиентом и сервером используются 3 типа
сообщений (GET, POST,PUT). Когда вводится веб-адрес, то формируется
запрос и передается сообщение GET. Сообщение POST используется для
передачи данных на сервер, когда эти данные вставлены в определенную
форму (таблицу), например, при формировании заказа на покупку. Запрос
PUT используется для передачи на сервер сообщения с вложенными
файлами.
215
Протокол HTTP характеризуется сравнительно невысоким уровнем
безопасности, поскольку передаваемые по сети сообщения не зашифрованы.
Для повышения уровня безопасности передачи сообщений через Интернет
разработан протокол HTTP-Secure (HTTPS). В этом протоколе используется
процесс шифрования (криптографирования) данных (encryption) и
аутентификации (authentication), что существенно повышает уровень
безопасности. Номер порта протокола HTTPS – 443.
Система доменных имен DNS
Система доменных имен (Domain Name System – DNS), используется
в Интернете для того, чтобы переводить имена сайтов или доменов в
числовые значения IP-адреса. При передаче сообщений по сети используются
IP-адреса. Однако людям легче запомнить доменное имя, например,
www.cisco.com, чем числовой адрес 198.133.219.25. Кроме того, числовые
адреса могут со временем меняться. Например, указанный выше числовой
адрес сайта www.cisco.com был изменен на 72.163.4.161, затем на
23.215.112.117.Поскольку для передачи по сети требуется числовой IP-адрес,
то конечный узел (хост) обращается к DNS-серверу и по имени сайта
получает соответствующий адрес. Служба DNS использует распределенный
набор серверов разного уровня иерархии, чтобы получить требуемое
соответствие между именем и числовым IP-адресом.
Операционные системы компьютеров содержат утилиту nslookup,
которая позволяет пользователю вручную запрашивать адрес сервера и
идентифицировать название хоста. На рис. 10.3 приведен пример выполнения
команды nslookup, которая позволяет пользователю вручную запросить
адрес DNS сервера. Команда выполняется в режиме командной строки (Пуск
→ Программы → Стандартные → Командная строка). В приведенном
ниже примере выполнено четыре команды:
1. По команде nslookup был получен адрес DNS сервера – 10.0.6.10.
2. Затем был произведен запрос адреса сайта www.cisco.com, IP-адрес
которого – 72.163.4.161.
3. Был запрошен адрес сайта cisco.netacad.net – 128.107.229.50.
4. Запрос сайта www.psuti.ru дал результат – 89.186.238.202.
216
Рис. 10.3. Пример выполнения команды nslookup
Служба прикладного уровня DNS характеризуется номером порта 53 и
взаимодействует как с протоколом транспортного уровня TCP, так и с
протоколом UDP.
DNS-серверы хранят различные типы записей:
А – адрес конечного узла;
NS – имя сервера, доверенный сервер имен;
CNAME – полное доменное имя;
MX – запись, связывающая имя домена со списком почтовых серверов.
Когда клиент делает запрос, локальный сервер сначала проверяет
собственные записи. Если соответствующих пар «имя – адрес» у него нет, то
он связывается с другими серверами DNS более высокого уровня иерархии.
При нахождении запрашиваемого адреса он передается запрашивающему
серверу и затем клиенту. Этот адрес определенное время хранится в кэшпамяти сервера, что при повторном запросе ускоряет процесс.
Сервер является доверенным (авторитетным) для записей,
соответствующих его уровню иерархии доменов. Например, сервер
netacad.com – доверенный сервер для всех записей с именами netacad.
217
Протокол динамического конфигурирования узлов DHCP
Всем устройствам, которые обмениваются сообщениями через сеть
Интернет, необходимы уникальные IP-адреса. Эти адреса могут назначаться
в статическом или динамическом режиме. В статическом режиме адреса
вручную назначает администратор при конфигурировании устройства.
Рекомендуется назначать статические IP-адреса на маршрутизаторы,
серверы, сетевые принтеры и другие устройства, адреса которых меняются
редко. В то же время, адреса рабочих станций могут изменяться достаточно
часто. Некоторые пользователи в Интернет выходят эпизодически, поэтому
им нужны IP-адреса не постоянно.
Протокол динамического конфигурирования узлов (Dynamic Host
Configuration Protocol – DHCP) позволяет автоматизировать процесс
назначения IP-адресов рабочим станциям из диапазона, предоставленного
администратору
провайдером.
Динамическое
назначение
адресов
протоколом DHCP производится по запросу клиента на определенный
промежуток времени, для продления которого пользователь должен
периодически обращаться к серверу. При освобождении IP-адресов они
возвращаются DHCP-серверу, который перераспределяет их. При повторном
запросе клиента, освободившего IP-адрес, сервер пытается назначить ранее
использовавшийся адрес. Помимо IP-адреса протокол DHCP предоставляет
пользователю еще целый ряд параметров (маску подсети, шлюз по
умолчанию, IP-адрес сервера DNS и др.).
В качестве DHCP-сервера могут работать различные устройства при
установке соответствующего программного обеспечения. В локальных сетях
сервер конфигурируется либо на выделенном персональном компьютере,
либо на локальном маршрутизаторе, который получает IP-адреса с DHCPсервера провайдера.
Получение адресной информации от DHCP-сервера (IP-адрес, маска
подсети, адрес шлюза по умолчанию, адрес DNS-сервера) происходит за 4
этапа (рис. 10.4):
1. Клиент, которому необходима адресная информация, посылает в сеть
кадр с МАС-адресом назначения FF-FF-FF-FF-FF-FF широковещательного
запроса DHCP DISCOVER для обнаружения серверов.
218
2. Сервер отвечает предложением арендовать IP-адрес (DHCP OFFER) с
использованием одноадресной рассылки.
3. В локальной сети может быть несколько DHCP-серверов. Поэтому
клиент выбирает сервер и посылает ему запрос DHCP REQUEST.
4. Сервер отвечает положительным подтверждением DHCP PACK или
дает отрицательный ответ DHCP NAK, если истекло время действия
предложения или предложенный адрес уже передан другому клиенту. В этом
случае процесс получения адресной информации нужно начать заново с
посылки широковещательного запроса DHCP DISCOVER.
DHCP DISCOVER
DHCP OFFER
DHCP REQUEST
Сервер
DHCP
Сервер
DHCP
DHCP PACK
Рис. 10.4. Получение адресной информации от DHCP-сервера
Продление срока аренды IP-адреса производится путем посылки запроса
DHCP REQUEST.
Некоторые сведения о функционировании протокола DHCP в сетях
IPv6 были представлены в разделе 7.5. Более подробная информация о DHCP
будет дана в главе 18.
Протоколы передачи файлов FTP и TFTP
Протокол передачи файлов (Fail Transfer Protocol – FTP) – служба,
ориентированная на предварительное соединение (connection-oriented),
которая взаимодействует с протоколом транспортного уровня TCP. Главная
цель протокола FTP состоит в том, чтобы передавать файлы от одного
компьютера другому, или копировать и перемещать файлы от серверов
клиентам и от клиентов серверам. Протокол FTP широко используется в
библиотечных системах для передачи клиенту требуемой литературы.
219
Протокол передачи файлов FTP сначала устанавливает соединение
между клиентом и сервером, используя команды запроса клиента и ответы
сервера. При этом используется номер порта 21. Затем производится обмен
данными, когда номер порта – 20. Передача данных может производиться с
использованием кода ASCII или в двоичном коде. Эти режимы определяют
кодирование, используемое для файла данных, которое в модели OSI
является задачей уровня представления (presentation). После завершения
передачи файла, соединение для передачи данных заканчивается
автоматически. Управление сеансом связи происходит на сеансовом
(Session)уровне.
Протокол должен постоянно отслеживать запросы клиентов, для чего в
фоновом режиме запускается программа «демон».
Простой протокол передачи файлов (Trivial Fail Transfer Protocol –
TFTP) – служба без установления соединения (connectionless), которая
работает совместно с протоколом транспортного уровня (User Datagram
Protocol – UDP). Протокол TFTP используется на маршрутизаторах, чтобы
загружать файлы конфигурации и операционную систему Cisco IOS, а также
для передачи файлов между системами, которые поддерживают TFTP.
Протокол TFTP характеризует простота и малый объем программного
обеспечения. Протокол TFTP может читать или записывать файлы при
соединении с сервером, но не ведет списки и каталоги. Поэтому протокол
TFTP работает быстрее, чем протокол FTP.
10.3.6. Протокол обмена блоками серверных сообщений
Протокол обмена блоками серверных сообщений (Server Message Block
– SMB) служит для обмена файлами между клиентом и сервером, также как
протоколы FTP, HTTP. Особенностью SMB является то, что клиенты
устанавливают долгосрочное соединение с сервером. Это эффективно при
загрузке большого количества файлов. Протокол SMB разработан фирмой
IBM. Он может выполнять аутентификацию сессий.
220
Протокол удаленного доступа Telnet
Протокол Telnet обеспечивает подключение к командной строке
удаленного узла, т.е. обеспечивает виртуальное соединение пользователя с
удаленными сетевыми устройствами: компьютерами, маршрутизаторами,
коммутаторами. Чтобы сделать подключение клиента по протоколу Telnet,
задают имя удаленного узла. В качестве имени узла используется IP-адрес
или имя доменной системы DNS удаленного устройства. Вся обработка
информации и использование памяти производится на процессоре
удаленного устройства, а отображение результатов конфигурирования
протокол Telnet транслирует на монитор пользователя. Telnet работает на
уровне приложений модели TCP/IP, поэтому охватывает все уровни модели
OSI. Номер порта протокола Telnet – 23.
Протокол Telnet поддерживает аутентификацию, поэтому на удаленном
устройстве задается пароль, который должен знать пользователь. Однако
Telnet не поддерживает криптографирование данных, которые передаются по
сети как простой текст. Это означает, что данные могут быть перехвачены.
Для защиты передаваемой информации разработан протокол удаленного
доступа, обеспечивающий шифрование передаваемых данных (Secure Shell –
SSH). Он обеспечивает криптографирование данных и более надежную
аутентификацию, номер порта – 22. В настоящее время протокол SSH
заменяет Telnet.
221
Краткие итоги главы 10
1. Прикладной уровень представляет собой комплекс программных средств,
представленных в двух формах: приложений и служб сервиса.
2. Сопряжение человека с сетью обеспечивают приложения.
3. Программы служб сервиса готовят данные для передачи по сети,
обеспечивая эффективное использование ресурсов сети.
4. В одноранговой сети peer-to-peer связанные через сеть конечные узлы
разделяют общие ресурсы (принтеры, файлы) без выделенного сервера.
5. Равноправные приложения Р2Р на конечных устройствах позволяют
одновременно функционировать им и как сервер, и как клиент в одном
сеансе связи. Равноправным приложениям требуется конкретный
пользовательский интерфейс и фоновый сервис.
6. В сети модели «клиент – сервер» клиент запрашивает информацию,
пересылая запрос выделенному серверу, который в ответ на запрос
посылает файл, принимаемый клиентом.
7. Наиболее распространенными протоколами и службами уровня
приложений являются: протоколы электронной почты SMTP, POP, IMAP;
протоколы передачи гипертекстовой информации HTTP, HTTPS;
протокол передачи файлов FTP; простой протокол передачи файлов TFTP;
система доменных имен DNS; протоколы удаленного доступа Telnet и
SSH; протокол динамического конфигурирования узлов DHCP.
8. Почтовые серверы общаются друг с другом, используя протокол SMTP,
который транспортирует почтовые сообщения в текстовом формате,
взаимодействуя с TCP.
9. Почтовые протоколы клиента – POP3 и IMAP4 на транспортном уровне
используют протокол TCP для надежной доставки данных. Когда
сообщение доставляется клиенту по протоколу РОР, оно удаляется с
сервера. Согласно протокола IMAP, в приложение клиента загружается
копия сообщения, которое остается на сервере, пока не будет удалено
клиентом. В этом случае сервер является для клиента удобным местом
хранения архива сообщений.
10.Протокол передачи гипертекстовой информации (HTTP) работает в сети
Интернет, номер порта – 80. Его основным приложением является Webбраузер. При обмене данными между клиентом и сервером используются
3 типа сообщений: GET, POST, PUT.
11.Для повышения уровня безопасности передачи сообщений через Интернет
разработан протокол HTTP Secure (HTTPS), в котором используется
шифрование (криптографирование) данных и аутентификация, что
повышает уровень безопасности. Номер порта протокола HTTPS – 443.
12.Система доменных имен (DNS), используется для того, чтобы переводить
имена сайтов или доменов в числовые значения IP-адреса.
13.Утилита nslookup позволяет пользователю вручную запрашивать адрес
сервера и идентифицировать название хоста.
222
14.Протокол динамического конфигурирования узлов(DHCP) позволяет
автоматизировать процесс назначения IP-адресов рабочим станциям из
диапазона (пула), предоставленного администратору провайдером.
15.Рекомендуется назначать статические IP-адреса на маршрутизаторы,
серверы, сетевые принтеры.
16.Протокол передачи файлов (FTP) ориентирован на передачу файлов от
одного компьютера другому, или на перемещение файлов от серверов
клиентам и от клиентов серверам.
17.Протокол обмена блоками серверных сообщений (SMB) служит для
обмена файлами между клиентом и сервером, также как протоколы FTP,
HTTP. Особенностью SMB является то, что клиенты устанавливают
долгосрочное соединение с сервером, что эффективно при загрузке
большого количества файлов.
18.Протокол Telnet обеспечивает подключение к командной строке
удаленного узла, т.е. обеспечивает виртуальное соединение пользователя
с удаленными сетевыми устройствами, номер порта – 23.
19.Протокол удаленного доступа (Secure Shell – SSH) обеспечивает
шифрование передаваемых данных и надежную аутентификацию, номер
порта – 22.
Вопросы по главе 10
1. Какие уровни модели OSI соответствуют прикладному уровню модели
TCP/IP?
2. Каковы две формы программных средств прикладного уровня?
3. Где находятся основные ресурсы сети модели «клиент – сервер»?
4. Где находятся основные ресурсы сети модели «peer-to-peer»?
5. В чем различие сетей моделей с выделенным сервером и одноранговых с
точки управления и безопасности?
6. Какие функции выполняет протокол HTTP?
7. В чем различие между протоколами HTTP и HTTPS?
8. Какую информацию передают сообщения GET, PUT, POST?
9. В чем различие между протоколом FTP и HTTP?
10.Какую функцию выполняет программа «демон»?
11.Для чего используется система доменных имен DNS?
12.По какой команде можно получить адрес DNS сервера?
13.Если удаленный сайт сменил IP-адрес, то может ли пользователь получить
доступ к нему?
14.Какой сервер является доверенным (авторитетным) для записей?
15.В чем различие протоколов POP и IMAP?
16.Какие протоколы обеспечивают удаленный доступ, т.е. подключение
пользователя к командной строке удаленного узла?
17.Какой протокол обеспечивает динамическое конфигурирование узлов?
223
18.Какой вид адресации используется для обращения к DHCP серверу?
19.Для чего используются сообщения DHCP DISCOVER, DHCP OFFER,
DHCP REQUEST, DHCP PACK?
20.В чем отличие и особенность протокола SMB по сравнению с FTP?
Упражнения
1. Перечислите номера портов протоколов HTTP, HTTPS, FTP, DNS, Telnet,
SMTP, РОР. Укажите, какие функции выполняют данные протоколы.
2. Назовите протоколы передачи электронной почты. Объясните различие
протоколов POP и IMAP.
3. С использованием командной строки выполните команды: ipconfig,
nslookup на своем компьютере. Прокомментируйте их.
4. Определите IP-адреса сайтов: www.cisco.com, cisco.netacad.net,
www.psuti.ru. Сравните их с рис. 10.3. Прокомментируйте результат
сравнения.
224
Часть 2. Маршрутизация и коммутация
Глава 11. ПРИНЦИПЫ И СРЕДСТВА МЕЖСЕТЕВОГО
ВЗАИМОДЕЙСТВИЯ
Приведены основные устройства и методы межсетевого взаимодействия,
принципы маршрутизации (статической и динамической), функционирование таблиц
маршрутизации в сетях IPv4 иIPv6. Рассмотрен процесс передачи данных по сети.
11.1. Функции маршрутизаторов
В первой части настоящего курса отмечалось, что соединение
локальных сетей LAN различных технологий (FastEthernet, GigabitEthernet,
Token Ring и др.) в глобальную (распределенную) WAN-сеть происходит с
помощью устройств (маршрутизаторов) и протоколов сетевого уровня 3
семиуровневой эталонной модели OSI или уровня межсетевого
взаимодействия модели TCP/IP. Поэтому маршрутизаторы имеют как LAN,
так и WAN интерфейсы (рис. 11.1).
Сеть 6
210.6.6.0/24
Интернет
D
192.168.10.1
...
S1/1
.25
Сервер
F0/0
S1/1 Сеть 5
210.5.5.0/24
.1
G0/0
.1
.2
G0/1
A
Сеть 2
S1/2 .1
192.168.20.0/24
F0/0
Sw1
.11
Сеть 7
210.7.7.0/24
Сеть 3
200.30.30.0/24
.1
.2
B
S1/1
.1 F0/1
S1/2
Сеть 4
200.40.40.0/24
Sw2
Сеть 1
192.168.10.0/24
Сеть 8
210.8.8.0/24
С
F0/0
Сервер
Сеть 9
192.168.9.0/24
Рис. 11.1. Пример распределенной сети
LAN-интерфейсы (G0/0, G0/1, F0/0, F0/1) используются для связи с
узлами (компьютерами, серверами), напрямую или через коммутаторы;
225
WAN-интерфейсы (S1/1, S1/2) необходимы, чтобы связываться с другими
маршрутизаторами и всемирной сетью Интернет. Интерфейсы могут
подключаться к разным видам передающей среды, в которых могут
использоваться различные технологии канального и физического уровней.
Когда адресат назначения находится в другой сети, то конечный узел
пересылает пакет на шлюз по умолчанию, роль которого выполняет
интерфейс маршрутизатора, через который все пакеты из локальной сети
пересылаются в удаленные сети. Например, для сети 192.168.10.0/24 (рис.
11.1) шлюзом по умолчанию является интерфейс F0/0 маршрутизатора А с
адресом 192.168.10.1, а интерфейс F0/1 маршрутизатора В выполняет роль
шлюза по умолчанию для сети 192.168.9.0/24. Через шлюз по умолчанию
пакеты из удаленных сетей поступают в локальную сеть назначения.
При пересылке пакетов адресату назначения маршрутизатор реализует
две основные функции:
- выбирает наилучший (оптимальный) путь к адресату назначения,
анализируя логический адрес назначения передаваемого пакета данных;
- производит коммутацию принятого пакета с входного интерфейса на
выходной для пересылки адресату.
Процесс выбора наилучшего пути получил название маршрутизация.
Маршрутизаторы принимают решения, базируясь на сетевых логических
адресах (IP-адресах), находящихся в заголовке пакета. Для определения
наилучшего пути передачи данных через связываемые сети, маршрутизаторы
строят таблицы маршрутизации и обмениваются сетевой маршрутной
информацией с другими сетевыми устройствами.
Ниже приведен пример конфигурирования основных параметров
интерфейсов маршрутизатора R-A (рис. 11.1). Интерфейсам маршрутизатора
нужно задать IP-адрес и включить их (активировать), т.к. все интерфейсы
маршрутизаторов Cisco в исходном состоянии выключены.
R-A(config)#int f0/0
R-A(config-if)#ip add 192.168.10.1 255.255.255.0
R-A(config-if)#no shutdown
R-A(config-if)# int g0/1
R-A(config-if)#ip add 192.168.20.1 255.255.255.0
R-A(config-if)#no shutdown
R-A(config-if)# int s1/1
R-A(config-if)#ip add 210.5.5.1 255.255.255.0
226
R-A(config-if)#clock rate 64000
R-A(config-if)#no shutdown
R-A(config-if)# int s1/2
R-A(config-if)#ip add 210.8.8.1 255.255.255.0
R-A(config-if)#clock rate 64000
R-A(config-if)#no shutdown
Команда clock rate переводит серийный интерфейс из исходного
режима терминального устройства DTE в режим канального управляющего
устройства DCE. При последовательном соединении маршрутизаторов один
из двух соединяемых интерфейсов должен быть управляющим, т.е. DCE.
Остальные маршрутизаторы
аналогичным образом.
сети
(рис.
11.1)
конфигурируются
После конфигурирования интерфейсов в таблице маршрутизации
отображаются прямо присоединенные сети, что позволяет направлять
пакеты, адресованные узлам в этих сетях. Кроме того, в рассматриваемом
примере на всех маршрутизаторах сконфигурирована динамическая
маршрутизация с использованием протокола RIP, о котором пойдет речь в
главе 13 настоящего курса. Результатом конфигурирования устройств сети
(рис. 11.1) является приведенная ниже таблица маршрутизации сетевого
элемента R-A:
R-A>show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
R 192.168.9.0/24 [120/1] via 192.168.20.2, 00:00:09, GigabitEthernet0/1
C 192.168.10.0/24 is directly connected, FastEthernet0/0
C 192.168.20.0/24 is directly connected, GigabitEthernet0/1
R 200.30.30.0/24 [120/1] via 192.168.20.2, 00:00:09, GigabitEthernet0/1
R 200.40.40.0/24 [120/2] via 192.168.20.2, 00:00:09, GigabitEthernet0/1
C 210.5.5.0/24 is directly connected, Serial1/1
R 210.6.6.0/24 [120/1] via 210.5.5.2, 00:00:18, Serial1/1
R 210.7.7.0/24 [120/1] via 210.5.5.2, 00:00:18, Serial1/1
C 210.8.8.0/24 is directly connected, Serial1/2
227
В таблице символом С помечены четыре сети непосредственно
присоединенные (connected) к определенным интерфейсам маршрутизатора.
Сеть 192.168.10.0/24 присоединена к интерфейсу FastEthernet 0/0 (или F0/0),
сеть 192.168.20.0/24 – к интерфейсу GigabitEthernet 0/1(или G0/1), сеть
210.5.5.0/24 – к интерфейсу Serial 1/1 (или S1/1), сеть 210.8.8.0/24 – к S1/2.
Когда узел направляет кадр другому узлу из той же прямо присоединенной
сети, то в такой пересылке шлюз по умолчанию (интерфейс маршрутизатора)
участие не принимает. Передача кадра сообщения производится
непосредственно адресату с использованием МАС-адресов источника и
назначения.
Маршруты могут создаваться вручную администратором (статическая
маршрутизация). Статические маршруты в таблице маршрутизации
помечаются символом S(такие маршруты в приведенном примере
отсутствуют). Таблица маршрутизации может также создаваться,
обновляться и поддерживаться динамически (автоматически) с помощью
протоколов маршрутизации.
В вышеприведенном примере маршруты к удаленным сетям помечены
символом R, который указывает, что источником создания маршрутов к
удаленным сетям является протокол RIP. Символом O помечаются
маршруты, созданные протоколом OSPF, а символомD– протоколомEIGRP.
Перечень поддерживаемых протоколов маршрутизации можно
посмотреть по команде Router(config)#router ?.
Вторая колонка (столбец) таблицы маршрутизации показывает адреса
сетей, к которым проложен путь. Например, в первой строке указан маршрут
к сети 192.168.9.0/24, который лежит через адрес следующего перехода (next
hop) 192.168.20.2 и свой выходной интерфейс GigabitEthernet 0/1. Таким
образом, поступивший на один из интерфейсов маршрутизатора пакет,
адресованный узлу в Сети 9, должен быть скоммутирован на выходной
интерфейс G0/1. При адресации узлов, находящихся в других сетях,
например в сети 210.6.6.0/24 или 210.7.7.0/24, в качестве выходного
используется интерфейс Serial1/1.
В строке таблицы также указано значение таймера, например 00:00:09.
Кроме того, в квадратных скобках строк таблицы маршрутизации
указаны, например: административное расстояние – 120 и метрика – 1.
228
Административное расстояние (AD) показывает степень достоверности
(доверия) источника маршрута. Чем меньше AD, тем выше достоверность.
Маршруты, созданные администратором вручную (статические маршруты),
характеризуются значением AD = 1.
Источники (протоколы) маршрутизации имеют различные заданные по
умолчанию административные расстояния (табл. 11.1).
Таблица 11.1
Административные расстояния по умолчанию
Источник
(Протокол)
Connected
Static
eBGP
EIGRP
Административное
Источник
Административное
расстояние
(Протокол)
расстояние
0
OSPF
110
1
IS-IS
115
20
RIP
120
90
EIGRP (External)
170
Если на маршрутизаторе функционирует несколько протоколов, то в
таблицу
маршрутизации
устанавливается
маршрут,
проложенный
протоколом с наименьшим значением административного расстояния. В
последней строке таблицы указано, что административное расстояниеEIGRP
увеличено до 170, когда маршрут получен от внешнего (стороннего)
маршрутизатора. Такой маршрут в таблице маршрутизации помечается
символом D*EX.
Определение наилучшего (оптимального) пути любым протоколом
маршрутизации производится на основе определенного критерия – метрики.
Значение метрики используется при оценке возможных путей к адресату
назначения. Метрика может включать разные параметры, например:
количество переходов (количество маршрутизаторов) на пути к адресату,
полосу пропускания канала, задержку, надежность, загрузку, обобщенную
стоимость и другие параметры сетевого соединения. В вышеприведенной
распечатке команды show ip route для маршрутов, созданных протоколом
RIP, значение метрики [120/1] равно 1. Это означает, что расстояние до
маршрутизатора, к которому присоединена сеть назначения, составляет один
переход. Наименьшая метрика означает наилучший маршрут. Метрика
статического маршрута всегда равна 0.
229
Каждый интерфейс маршрутизатора подключен к сети (подсети),
имеющей свой логический IP-адрес. Широковещательные сообщения
передаются только в пределах сети или, по-другому, в пределах
широковещательного домена. Поэтому говорят, что маршрутизаторы делят
сеть на широковещательные домены. Маршрутизаторы блокируют
широковещательные сообщения и не пропускают их в другие сети. Деление
сети на широковещательные домены повышает безопасность, поскольку
широковещательный шторм может распространяться только в пределах
домена (в пределах одной сети).
Когда на один из интерфейсов маршрутизатора (входной интерфейс)
поступает пакет, адресованный узлу из другой присоединенной сети, он
продвигается на выходной интерфейс, к которому присоединена сеть
назначения.
Получив кадр на входной интерфейс, маршрутизатор:
1. Декапсулирует пакет из кадра.
2. Из заголовка пакета считывает IP-адрес узла назначения.
3. С помощью маски вычисляет адрес сети назначения.
4. Обращается к таблице маршрутизации, чтобы определить, на
какой выходной интерфейс, ведущий к сети назначения, произвести
коммутацию пакета.
5. На выходном интерфейсе инкапсулирует пакет в новый кадр и
отправляет его в направлении адресата назначения.
Подобная последовательность действий, выполняемая центральным
процессором (ЦП) маршрутизатора, получила название программной
коммутации. Она выполняется с каждым пакетом, поступившим на входной
интерфейс, что замедляет процесс передачи данных. Особенно остро данная
проблема проявляется при передаче ауди- и видеоинформации, когда
требуется, чтобы все пакеты шли по одному маршруту для уменьшения
задержек и их вариации.
Для ускорения процесса коммутации пакетов с входного интерфейса на
выходной используется кэш быстрой коммутации, который хранит
информацию о выходном интерфейсе и следующем переходе для
определенного адресата назначения. При получении пакета маршрутизатор
230
ищет в кэше запись адреса назначения. Если такая запись имеется, то пакет
направляется на следующий переход без обработки в центральном
процессоре. Если записи нет, то выполняется программная коммутация и
делается запись в кэш, поэтому последующим пакетам для того же адресата
не требуется обработка в ЦП.
Технология Cisco Express Forwarding (CEF) для ускорения коммутации
пакетов с входного интерфейса на выходной формирует базу данных
переадресации (FIB) и таблицу смежности (adjacency), записи в которой
создаются при изменении сетевой топологии. Когда завершается процесс
сходимости сети, в базе данных FIB и таблице смежности будет полная
информация для пересылки пакетов. Технология CEF коммутации пакетов
является самым быстрым механизмом продвижения пакетов, поскольку все
возможные маршруты проложены заранее.
При начальной конфигурации маршрутизатора или коммутатора
обычно его консольный порт (console) подключается к последовательному
порту RS-232 компьютера (терминала) посредством консольного кабеля.
Поскольку современные компьютеры практически не комплектуются
последовательными портами, то используются адаптеры для перехода от
разъема DB9 последовательного порта к разъему USB. Для эмуляции
терминала используются программы Hyper Terminal, PuTTY, TeraTerm.
Конфигурирование сетевых устройств возможно также при
использовании удаленного доступа к коммутатору или маршрутизатору через
виртуальные линии vty с использованием протоколов Telnet или SSH. Для
этого на маршрутизаторе должны быть заданы адреса интерфейсов,
проведена их активация, а также установлены необходимые пароли (см.
раздел 2, Часть 1).
Для управления коммутатором используется интерфейс виртуальной
локальной сети VLAN. Ниже приведен пример конфигурирования
виртуального интерфейса vlan 1 коммутатора Catalist (Sw1 – рис. 1.1), когда
задается адрес интерфейса, производится его включение (активация) и
создается шлюз по умолчанию:
Sw1(config)#int vlan 1
Sw1(config-if)#ip add 192.168.10.2 255.255.255.0
Sw1(config-if)#no shut
231
Sw1(config-if)#exit
Sw1(config)#ip default-gateway 192.168.10.1
В тех случаях, когда виртуальные локальные сети не формируются,
коммутатору дополнительное конфигурирование не потребуется, т.е. он
может работать с конфигурацией, заданной по умолчанию, когда все
интерфейсы коммутатора включены. Коммутаторы обычно содержат
интерфейсы одного типа (FastEthernet, GigabitEthernet) в отличие от
маршрутизаторов, поддерживающих интерфейсы разных типов (Ethernet,
Serial, беспроводные).
232
11.2. Маршрутизаторы в сетях IPv6
Конфигурирование интерфейсов маршрутизаторов в сетях IPv6 очень
похоже на конфигурирование в сетях IPv4. Особенности приведены на
примере конфигурирования сети рис. 11.3.
2001:db8:a:1::1/64
2001:db8:a:3::1/64
S0/3/0
Sw1
...
2001:db8:a:3::2/64
2001:db8:a:5::1/64
S0/3/1
G0/1
B
DCE
2001:db8:a:2::1/64 G0/1
2001:db8:a:4::1/64 G0/0
G0/0
A
Sw2
Sw3
...
...
Sw4
...
Рис. 11.3. Пример сети IPv6
На маршрутизаторе R-A сконфигурированы 3 интерфейса:
Router(config)#hostname R-A
R-A(config)#intg0/0
R-A(config-if)#ipv6 address 2001:db8:a:1::1/64
R-A(config-if)#no shutdown
R-A(config-if)#int g0/1
R-A(config-if)#ipv6 add 2001:db8:a:2::1/64
R-A(config-if)#no shutdown
Последовательный интерфейс S0/3/0 является устройством DCE:
R-A(config-if)#int s0/3/0
R-A(config-if)#ipv6 add 2001:db8:a:3::1/64
R-A(config-if)#clock rate 64000
R-A(config-if)#no shutdown
В результате формируется таблица маршрутизации, содержащая 5 входов –
две непосредственно присоединенных сети и три локальных интерфейса:
233
R-A#show ipv6 route
IPv6 Routing Table - 5 entries
C
2001:DB8:A:1::/64 [0/0]
via ::, GigabitEthernet0/0
L
2001:DB8:A:1::1/128 [0/0]
via ::, GigabitEthernet0/0
C
2001:DB8:A:2::/64 [0/0]
via ::, GigabitEthernet0/1
L
2001:DB8:A:2::1/128 [0/0]
via ::, GigabitEthernet0/1
L
FF00::/8 [0/0]
via ::, Null0
R-A#
Маршруты к непосредственно присоединенным сетям обозначены
символом С (также как в сетях IPv4), а символом L обозначены локальные
маршруты, созданные при конфигурировании интерфейса. Причем, на
интерфейсах сконфигурированы не только глобальные адреса, но и
локальные индивидуальные адреса канала, которые используются для обмена
сообщениями внутри локального канала (подсети), где они должны быть
уникальными. Пакеты с локальными адресами канала не могут пересылаться
в другие подсети. Локальные индивидуальные адреса канала назначаются
динамически. Динамическое конфигурирование локальных индивидуальных
адресов IPv6 производится даже тогда, когда глобальный адрес IPv6 не
назначен. При этом шлюзу по умолчанию назначается локальный адрес
маршрутизатора. Это позволяет сетевым устройствам обмениваться
маршрутной информацией и пересылать сообщения внутри локального
канала без использования глобальных адресов.
Маршруты к удаленным сетям, созданные протоколом RIP,
помечаются символом R, протоколом EIGRP – символом D, протоколом
OSPF – символом О (также как в IPv4).
Локальные и глобальные индивидуальные адреса интерфейсов
маршрутизаторов можно посмотреть по команде show ipv6 interface brief,
которая также отображает состояние устройств (портов) уровня 1 и 2 (up/up,
down/down, up/down):
234
R-A#sh ipv6 int brief
GigabitEthernet0/0
[up/up]
FE80::205:5EFF:FE44:C801
2001:DB8:A:1::1
GigabitEthernet0/1
[up/up]
FE80::205:5EFF:FE44:C802
2001:DB8:A:2::1
GigabitEthernet0/2
[administratively down/down]
Serial0/3/0
[up/up]
FE80::20A:41FF:FE25:4101
2001:DB8:A:3::1
Serial0/3/1
[administratively down/down]
Vlan1
[administratively down/down]
Из распечатки следует, что на каждом интерфейсе сконфигурированы
как локальные, так и глобальные индивидуальные адреса IPv6. Например, на
интерфейсе GigabitEthernet 0/0 заданы локальный и глобальный адреса
(FE80::205:5EFF:FE44:C801 и 2001:DB8:A:1::1). Следует обратить внимание,
что устройство уровня 1 (порт) может быть включено (up), а программное
обеспечение интерфейса уровня 2 – выключено (down). Обратной ситуации
(down/up) быть не может.
Версия IPv6 позволяет использовать в качестве идентификатора
интерфейса его MAC-адрес, который автоматически конфигурируется,
например, по команде ipv6 add 2001:db8:a:1::1/64 eui-64, когда
устанавливается глобальный адрес интерфейсу GigabitEthernet 0/0:
R-A(config)#int g0/0
R-A(config-if)#ipv6 add 2001:db8:a:1::1/64 eui-64
Из нижеприведенной распечатки следует, что после ввода команды,
использующей механизм eui-64, на интерфейсе GigabitEthernet 0/0
установлен один локальный и два глобальных адреса (выделены цветом), что
возможно в версии IPv6, в отличие от IPv4:
R-A#sh ipv6 int brief
GigabitEthernet0/0
[up/up]
FE80::205:5EFF:FE44:C801
2001:DB8:A:1::1
2001:DB8:A:1:205:5EFF:FE44:C801
235
GigabitEthernet0/1
[up/up]
FE80::205:5EFF:FE44:C802
2001:DB8:A:2::1
GigabitEthernet0/2
[administratively down/down]
Serial0/3/0
[up/up]
FE80::20A:41FF:FE25:4101
2001:DB8:A:3::1
Локальные адреса могут быть заданы администратором вручную из
диапазона FE80::/64 с добавлением атрибута link-local, например:
R-А(config)#int g0/0
R-А(config-if)#ipv6 add fe80::1 link-local
Следует отметить, что индивидуальный глобальный адрес не является
обязательным. Локальный адрес канала обязателен и во многих случаях
его достаточно при конфигурировании соответствующего интерфейса IPv6.
Для полноценной работы сети (например, рис 1.2) на маршрутизаторе
необходимо сконфигурировать протокол динамической маршрутизации или
сконфигурировать статические маршруты. Маршрутизация IPv6включается
после ввода команды ipv6 unicast-routing. в режиме глобального
конфигурирования:
Router(config)#ipv6 unicast-routing
236
11.3. Передача данных в сетях с маршрутизаторами
Процесс передачи данных от Узла X до Узла Y рассмотрен на примере
сети (рис. 11.4). Предполагается, что маршрут проложен через
маршрутизаторы A, B, C. Логические и физические адреса конечных узлов и
интерфейсов маршрутизаторов, задействованных в этом процессе передачи,
приведены в табл. 11.1.Сетевая маска во всех сетях – 255.255.255.0.
Интерфейсы FastEthernet (F0/0, F0/1) характеризуются физическими МАСадресами и логическими IP-адресами; последовательные (serial) интерфейсы
(S1/1, S1/2) МАС-адресов не имеют.
ISP
Интернет
Узел Y
200.6.6.2
D
E
Сервер
S1/2
Sw2
Сеть 1
192.168.10.0/24
S1/1
S1/1
F0/1 F0/0
Sw1
...
F0/0
S1/2
A
Сеть 2
198.20.20.0/24
B
F0/1
F0/0
Сеть 4
200.40.40.0/24
S1/2
Сеть 3
210.30.30.0/24
С
S1/3
Узел X
D
B
S1/1
Рис. 11.4. Передача данных по сети
Таблица 11.1
Устройство
Узел X
R-A
R-B
R-C
Узел Y
Адреса узлов и интерфейсов маршрутизаторов
Интерфейс
IP-адрес
МАС-адрес
F0/0
192.168.10.11 011ABCF00000
F0/0
192.168.10.1 0001AAAAF000
F0/1
198.20.20.5
0002AAAAF111
F0/0
198.20.20.6
0001BBBBF000
S1/1
210.30.30.9
S1/1
200.6.6.1
S1/2
210.30.30.10
F0/0
200.40.40.1
0002CCCCF000
F0/0
200.40.40.8
088DEF012345
237
Усл. обозн.
01-F0
0A-F0
0A-F1
0B-F0
0C-F0
08-F0
Сообщение, сформированное протоколами верхних уровней
компьютера Узел X, поступает на сетевой Уровень 3, где IP-протокол
формирует пакет данных. Поскольку адрес назначения 200.40.40.8 не
относится к сети 192.168.10.0, в которой находится Узел X, то необходима
маршрутизация.
Пакет данных
Заголовок пакета
Первые поля IP-адрес узла
IP-адрес узла
заголовка
источника
назначения
пакета
192.168.10.11
200.40.40.8
Поле данных
Data
На канальном уровне Узел X инкапсулирует сформированный пакет в
кадр соответствующей технологии, в данном примере FastEthernet. В
заголовке кадра, наряду с другой информацией, указываются МАС-адреса
источника и назначения. Поскольку МАС-адреса довольно длинные (12
шестнадцатеричных разрядов), то при дальнейшем рассмотрении введены их
условные обозначения. МАС-адрес источника будет 011ABCF00000
(условное обозначение 01-F0).
Поскольку в данном примере МАС-адрес получателя (УзелY)
компьютеру УзелX неизвестен, то Узел X обращается к таблице ARPпротокола. Узел не находит соответствующей записи в таблице ARP,
поэтому он посылает в локальную сеть широковещательный ARP-запрос, в
котором задает сетевой логический IP-адрес устройства назначения –
200.40.40.8. Адресат назначения находится за пределами локальной сети
192.168.10.0.
Поскольку маршрутизаторы не транслируют широковещательные
запросы в другие сегменты сети, то в этом случае маршрутизатор R-A в ответ
на запрос посылает ARP-ответ с MAC-адресом своего входного интерфейса
F0/0, на который поступил запрос. Входной интерфейс играет роль шлюза по
умолчанию. ARP-протокол обращается к соответствующей строке таблицы
ARP и посылает Узлу X ответ с МАС-адресом 0A-F0. (Далее везде МАСадреса заменяются их условными обозначениями).
IP адрес
МАС адрес
192.168.10.1
0A-F0
238
В соответствие с полученным МАС-адресом 0A-F0 Узел X формирует
кадр, который по физической среде передается в маршрутизатор R-A:
Кадр данных
Заголовок кадра
Заголовок пакета
МАС-адрес узла МАС-адрес узла IP- адрес узла
назначения
источника
источника
0A-F0
01-F0
192.168.10.11
IP- адрес узла
назначения
200.40.40.8
Поле
данных
Data
Поступивший на входной интерфейс маршрутизатора R-A пакет
данных извлекается из кадра (декапсулируется), чтобы определить: на какой
выходной интерфейс (F0/1 илиS1/2) скоммутировать (продвинуть) принятый
пакет. Для этого производится логическое умножение (т.е. операция И, AND)
IP-адреса узла назначения на маску и определяется сеть назначения
(200.40.40.0). Затем производится обращение к таблице маршрутизации, в
соответствие с которой определяется адрес входного интерфейса следующего
маршрутизатора R-В (адрес следующего перехода) и выходной интерфейс
маршрутизатора R-A.
Согласно приведенной ниже таблицы маршрутизации путь к сети
200.40.40.0 лежит через адрес следующего перехода 198.20.20.6 и выходной
(исходящий) интерфейс F0/1 (соответствующая строка выделена желтым
цветом).
R-A>sh ip route
Gateway of last resort is not set
C
C
R
R
R
R
R
192.168.10.0/24 is directly connected, FastEthernet0/0
198.20.20.0/24 is directly connected, FastEthernet0/1
200.6.6.0/24 [120/2] via 198.20.20.6, 00:00:25, FastEthernet0/1
200.7.7.0/24 [120/2] via 198.20.20.6, 00:00:25, FastEthernet0/1
200.9.9.0/24 [120/1] via 198.20.20.6, 00:00:25, FastEthernet0/1
200.40.40.0/24 [120/2] via 198.20.20.6, 00:00:25, FastEthernet0/1
210.30.30.0/24 [120/1] via 198.20.20.6, 00:00:25, FastEthernet0/1
Затем формируется новый заголовок пакета, который продвигается к
выходному интерфейсу F0/1 маршрутизатора R-A. В новом пакете
239
изменяются некоторые поля заголовка (TTL, контрольная сумма заголовка),
но IP-адреса источника и узла назначения остаются неизменными:
Пакет данных
Заголовок пакета
Первые поля IP- адрес узла IP- адрес узла
заголовка
источника
назначения
пакета
192.168.10.11
200.40.40.8
Поле данных
Data
На интерфейсе F0/1 маршрутизатора R-A пакет инкапсулируется в
новый кадр, где в качестве МАС-адреса узла источника будет использоваться
физический адрес выходного интерфейса F0/1 – 0A-F1 маршрутизатора R-A.
МАС-адрес узла назначения определяется с помощью ARP-протокола, как
было описано выше. МАС-адресом узла назначения будет физический адрес
входного интерфейса F0/0 маршрутизатора R-В, т.е. – 0B-F0.
Сформированный кадр по сетевой среде передается на входной
интерфейс маршрутизатора R-В:
Кадр данных
Заголовок кадра
Заголовок пакета
МАС-адрес узла
МАС-адрес
IP- адрес узла IP- адрес узла
назначения
узла источника
источника
назначения
0B-F0
0A-F1
192.168.10.11
200.40.40.8
Данные
Data
Приняв кадр, маршрутизатор R-В извлекает из него пакет данных, с
использованием маски вычисляет адрес сети назначения, и по таблице
маршрутизации определяет выходной интерфейс:
R-B>sh ip route
...
R 200.40.40.0/24 [120/1] via 210.30.30.10, 00:00:04, Serial1/1
На выходном интерфейсе S1/1 пакет инкапсулируется в новый кадр, который
передается в маршрутизатор R-С.
Поскольку Сеть 3 (рис. 1.3) представляет собой соединение «точкаточка», то интерфейсы такого соединения не имеют МАС-адресов. Заголовок
кадра существенно упрощается, т.к. интерфейсы непосредственно связаны
240
между собой. Например, по протоколу PPP (Point-to-Point Protocol) в поле
адреса назначения используется широковещательный адрес – 11111111.
Заголовок кадра
Физический адрес
узла назначения
11111111
Кадр данных
Заголовок пакета
IP- адрес узла IP-адрес узла
источника
назначения
192.168.10.11
200.40.40.8
Данные
Data
В маршрутизаторе R-С, также как в R-А и R-В, формируются новый
пакет и кадр. Таблица маршрутизации R-С включает 4 непосредственно
присоединенных сети, одна из которых (200.40.40.0) является сетью
назначения, путь к этой сети лежит через интерфейс F0/0.
R-C>sh ip route
Gateway of last resort is not set
R
R
C
C
R
C
C
192.168.10.0/24 [120/2] via 210.30.30.9, 00:00:24, Serial1/2
198.20.20.0/24 [120/1] via 210.30.30.9, 00:00:24, Serial1/2
200.6.6.0/24 is directly connected, Serial1/1
200.7.7.0/24 is directly connected, Serial1/3
200.9.9.0/24 [120/1] via 200.7.7.1, 00:00:10, Serial1/3
[120/1] via 210.30.30.9, 00:00:24, Serial1/2
200.40.40.0/24 is directly connected, FastEthernet0/0
210.30.30.0/24 is directly connected, Serial1/2
Поскольку адресат назначения находится в сети, которая
непосредственно присоединена к интерфейсу F0/0 маршрутизатора R-С, то
кадр передается узлу назначения Узел Y:
Кадр данных
Заголовок кадра
Заголовок пакета
МАС-адрес узла
МАС-адрес
IP- адрес узла IP-адрес узла
назначения
узла источника
источника
назначения
08-F0
0C-F0
192.168.10.11
200.40.40.8
Данные
Data
На Узле Y пакет данных извлекается из кадра. Если пакет при передаче был
фрагментирован, то из фрагментов формируется целый пакет и через
соответствующий межуровневый интерфейс направляется на транспортный
241
уровень, где из пакетов извлекаются сегменты данных, а из сегментов
формируется сообщение.
На пути кадра к устройству назначения его заголовок и трейлер, в
котором размещается контрольная сумма кадра, изменяются при
прохождении через каждое устройство 3-го уровня составной сети,
например, через маршрутизатор. Это происходит вследствие того, что в
кадре используется локальная адресация 2-го уровня, а пакеты адресуются с
использованием логического адреса 3-го уровня, и в пакете задается
конечный IP-адрес узла назначения.
Таким образом, при передаче данных через составную сеть IP-адреса
узла назначения и узла источника остаются неизменными, МАС-адреса
назначения и источника изменяются при прохождении каждого
маршрутизатора.
Всякий раз при формировании кадра вычисляется контрольная сумма,
которая записывается в поле FCS трейлера кадра (см. раздел 5.2, Часть 1).
При приеме кадра на каждом входном интерфейсе всех устройств на пути к
адресату назначения вновь вычисляется контрольная сумма, которая
сравнивается с принятой в трейлере. Правильность принятых данных
проверяется с использованием циклического кода CRC. Если расчетный
результат и контрольная сумма не совпадают, то кадр отбрасывается. При
положительном результате сравнения из кадра извлекается пакет, который
проверяется, предназначен ли пакет сетям, прямо присоединенным к
данному маршрутизатору, или его надо передать другому устройству
составной сети, т.е. маршрутизировать.
В тех случаях, когда в маршрутизатор поступает пакет, чей адрес сети
назначения в таблице маршрутизации отсутствует, пакет отбрасывается.
Чтобы пакет не уничтожался, на маршрутизаторах формируют маршрут по
умолчанию. Например, на маршрутизаторе R-С сформированный маршрут
по умолчанию (S* 0.0.0.0/0 [1/0] via 200.6.6.2) позволяет все пакеты
с неизвестными адресами сетей назначения направлять в сторону Интернета,
через интерфейс S1/1, к которому присоединена сеть 200.6.6.0. В таблице
маршрутизации будет запись о том, что сформирован шлюз последней
надежды к любой неизвестной сети (Gateway of last resort is
200.6.6.2 to network 0.0.0.0).
242
R-C#show ip route
...
Gateway of last resort is 200.6.6.2 to network 0.0.0.0
R
R
C
C
R
192.168.10.0/24 [120/2] via 210.30.30.9, 00:00:09, Serial1/2
198.20.20.0/24 [120/1] via 210.30.30.9, 00:00:09, Serial1/2
200.6.6.0/24 is directly connected, Serial1/1
200.7.7.0/24 is directly connected, Serial1/3
200.9.9.0/24 [120/1] via 200.7.7.1, 00:00:13, Serial1/3
[120/1] via 210.30.30.9, 00:00:09, Serial1/2
C 200.40.40.0/24 is directly connected, FastEthernet0/0
C 210.30.30.0/24 is directly connected, Serial1/2
S*
0.0.0.0/0 [1/0] via 200.6.6.2
R-C#
243
Краткие итоги главы 11
1.
Главными функциями маршрутизаторов являются: выбор наилучшего
пути для пакетов к адресату назначения и коммутация принятого пакета с
входного интерфейса на соответствующий выходной интерфейс.
2.
Когда адресат назначения находится в другой сети, то конечный узел
пересылает пакет на шлюз по умолчанию, роль которого выполняет
интерфейс маршрутизатора, через который все пакеты из локальной сети
пересылаются в удаленные сети.
3.
Для определения наилучшего пути передачи данных через
связываемые сети, маршрутизаторы строят таблицы маршрутизации и
обмениваются сетевой маршрутной информацией с другими сетевыми
устройствами.
4.
Администратор может создавать статические маршруты и
поддерживать таблицы маршрутизации вручную. Однако большинство
таблиц маршрутизации создается и поддерживается динамически, за счет
использования протоколов маршрутизации, которые позволяют
маршрутизаторам автоматически обмениваться информацией о сетевой
топологии друг с другом.
5.
Маршрутизатор ретранслирует пакет, продвигая его с входного
интерфейса на выходной, для чего использует сетевую часть адреса
назначения и обращается к таблице маршрутизации.
6.
Основными параметрами таблицы маршрутизации являются адрес сети
назначения и сетевой адрес входного интерфейса следующего
маршрутизатора на пути к адресату назначения (следующий переход – next
hop), а также собственный выходной интерфейс маршрутизатора.
7.
Маршрутизатор оценивает доступные пути к адресату назначения и
выбирает наиболее рациональный маршрут на основе некоторого критерия –
метрики. Наименьшая метрика означает наилучший маршрут. Метрика
статического маршрута всегда равна 0.
8.
Административное расстояние (AD) показывает степень достоверности
(доверия) источника маршрута. Чем меньше AD, тем выше достоверность.
9.
Протокол разрешения адресов (ARP) реализует процесс нахождения
МАС-адреса по известному сетевому IP-адресу. Таблица ARP содержит MAC
и IP адреса устройств локальной сети.
10. Маршрутизаторы делят сеть на подсети или широковещательные
домены.
11. Маршрутизация может функционировать на основе программной
коммутации, использования кэш быстрой коммутации, технологии Cisco
Express Forwarding (CEF), которая является самым быстрым механизмом
продвижения пакетов.
12. Для включения в работу сети конечных узлов на них необходимо
установить: IP-адрес узла, маску, адрес шлюза по умолчанию.
13. Адресная информация конечным узлам, как правило, назначается
протоколом динамического конфигурирования узлов DHCP. Однако
244
статические адреса конечным узлам также могут назначаться
администратором вручную. Статические адреса рекомендуется назначать
интерфейсам маршрутизаторов, серверам, сетевым принтерам.
14. На интерфейсах IPv6 конфигурируются глобальные и локальные
индивидуальные адреса канала, используемые для обмена данными внутри
локального канала (подсети), где они должны быть уникальными.
15. Сконфигурированные локальные индивидуальные адреса канала
позволяют сетевым устройствам обмениваться маршрутной информацией и
пересылать сообщения внутри локального канала даже без использования
глобальных адресов.
16. Версия IPv6 позволяет использовать в качестве идентификатора
интерфейса его MAC-адрес, который автоматически конфигурируется.
17. Маршрутизация IPv6 включается после формирования команды ipv6
unicast-routing. в режиме глобального конфигурирования.
18. При передаче данных через составную сеть IP-адреса узла назначения и
узла источника остаются неизменными.
19. При передаче данных через составную сеть МАС-адреса назначения и
источника меняются при прохождении каждого маршрутизатора.
20. При формировании кадра вычисляется контрольная сумма, которая
записывается в поле FCS трейлера кадра. При приеме кадра на каждом
входном интерфейсе вновь вычисляется контрольная сумма, которая
сравнивается с принятой.
21. При передаче данных через соединения «точка-точка» заголовок кадра
может быть существенно упрощен.
245
Вопросы по главе11
1. Какие устройства объединяют локальные сети LAN в распределенную
составную сеть?
2. Каковы основные функции маршрутизатора?
3. Какого типа интерфейсы имеют маршрутизаторы ?
4. Что означают термины DTE, DCE?
5. Могут ли маршрутизаторы объединять локальные сети различных
технологий?
6. Какую функцию выполняет административное расстояние в процессе
маршрутизации?
7. На основании чего маршрутизатор ретранслирует пакет, продвигая его с
входного интерфейса на выходной?
8. Что служит оценкой наилучшего пути к адресату назначения?
9. Какой протокол позволяет находить МАС-адреса по известному сетевому
IP-адресу?
10. По какой команде может быть просмотрена ARP-таблица узла?
11. В каком случае маршрутизатор в ответ на запрос посылает ARP-ответ с
MAC-адресом своего входного интерфейса, на который поступил запрос?
12. Как формируются таблицы маршрутизации? Какие параметры она
содержит?
13.Что означает термин адрес следующего перехода (next hop)?
14. Что означает термин шлюз по умолчанию?
15. Какие параметры необходимо настроить на конечном узле?
16. Какие параметры необходимо настроить на интерфейсе маршрутизатора?
Какие команды для этого используются?
17.Какие типы интерфейсов используются в маршрутизаторах и
коммутаторах?
18.Какие параметры интерфейсов позволяет посмотреть команда show ip
interface brief?
19. Какие протоколы маршрутизации используются в IP-сетях?
20. В чем состоит различие статической и динамической маршрутизации?
21. По какой команде можно посмотреть поддерживаемые протоколы
маршрутизации?
22. Как в таблице маршрутизации идентифицируются протоколы
маршрутизации?
23. По какой команде в сетях IPv6 автоматически конфигурируется в
качестве идентификатора интерфейса его MAC-адрес?
24. Какова роль локальных адресов в сетях IPv6?
25. При передаче данных через составную сеть, какие адреса остаются
неизменными, а какие меняются при прохождении каждого
маршрутизатора?
26. Для чего на маршрутизаторах формируют маршрут по умолчанию?
246
Упражнения
1. В нижеприведенной схеме составной сети из четырех последовательно
соединенных маршрутизаторов назначьте МАС-адреса интерфейсов
FastEthernet.
Сеть 2
200.20.20.0/24
.1
.2
A
F0/1 F0/0
Сеть 4
200.40.40.0/24
Сеть 3
200.30.30.0/24
.11
.12
B
S1/1
S1/2
F0/0 .1
.1
С
F0/1
F0/0
.2
D
B
.1 F0/0
Сеть 1
192.168.10.0/24
Сеть 5
210.5.5.0/24
Узел X
192.168.10.11
Узел Y
210.5.5.21
2. Для вышеприведенной схемы рассмотрите процесс передачи данных от
Узла Yдо Узла X через маршрутизаторы A,B,C,D.
3. Укажите основные параметры таблиц маршрутизации всех
маршрутизаторов.
4. Укажите, какие интерфейсы будут использоваться при прохождении
кадров через каждый маршрутизатор.
5. Укажите, какие IP-адреса и МАС-адреса и каких интерфейсов будут
использоваться в качестве адресов источников и адресов назначения
передаваемых кадров и пакетов при их прохождении через каждый
маршрутизатор.
6. Поясните, какие параметры можно посмотреть на каждом конечном узле
по команде ipconfig /all. Выполните команду на своем компьютере,
прокомментируйте результат.
7. Поясните, почему из двух последовательно соединенных серийных
интерфейсов маршрутизаторов один должен выполнять роль устройства
DCE, а второй – устройства DTE.
247
Глава 12. СТАТИЧЕСКАЯ МАРШРУТИЗАЦИЯ
Рассмотрены основы функционирования и конфигурирования статической
маршрутизации сетей IPv4, IPv6, а также маршрутизации по умолчанию. Приведены
примеры конфигурирования маршрутизаторов. Проанализированы таблицы
маршрутизации, методы отладки сети.
12.1. Основы статической маршрутизации
Маршруты к удаленным сетям могут быть сконфигурированы для
каждого маршрутизатора вручную администратором (статическая
маршрутизация) или созданы с помощью маршрутизирующих протоколов
(динамическая маршрутизация).
Статические маршруты полностью определены администратором,
поэтому они более безопасны, требуют меньше вычислительных ресурсов
и более узкую полосу пропускания по сравнению с динамическими
маршрутами. Однако сети, использующие статическую маршрутизацию,
плохо масштабируемы, при изменении топологии требуется внесение
изменений администратором в конфигурацию, что может приводить к
ошибкам. Поэтому статическая маршрутизация используется либо в малых
сетях, либо в комбинации с протоколами динамической маршрутизации на
отдельных участках сети. Статические маршруты, по сравнению с
динамическими, характеризуются более высоким приоритетом, поскольку
административное расстояние AD = 1 (см. табл. 11.1).
Статическая маршрутизация часто используется в тупиковых сетях,
обмен данными с которыми реализуется через маршрутизатор, который
подключен к одному соседнему маршрутизатору. При рассмотрении
статической маршрутизации используется составная сеть, структурная схема
которой приведена на рис. 12.1. В приведенной схеме сети тупиковой
является Сеть 1, а тупиковым маршрутизатором – R-А, поскольку он
соединен только с маршрутизатором R-В. Все пакета из Сети 1 могут быть
отправлены только через маршрутизатор R-А по стандартному
статическому маршруту в маршрутизатор R-В.
Статическая маршрутизация используется также при создании
маршрута по умолчанию, который указывает путь к сетям, не имеющим
248
соответствующих входов в таблице маршрутизации. В схеме сети рис. 12.1
пакеты с неизвестными адресами сетей назначения из маршрутизатора R-С
можно направлять в Интернет, т.е. в сеть провайдера ISP. Адрес маршрута
по умолчанию 0.0.0.0/0 означает любые адреса сетей с любыми масками.
Сеть 5
200.5.5.0/24
Сеть 4
200.4.4.0/24
A
.11
.12
S1/1
S1/2
.11
.12
S1/1 S1/2
B
F0/0 .1
F0/0
Сеть 1
192.168.10.0/24
Сеть 2
192.168.20.0/24
Cеть 6
200.6.6.0/24
C
.11
.12
S1/1
S1/2
F0/0 .1
.1
D
ISP
Cеть 3
192.168.30.0/24
Рис. 12.1. Пример составной сети
Статическая маршрутизация также используется при формировании
суммарных(объединенных) маршрутов, что сокращает количество записей
в таблице маршрутизации (см. раздел 8.2, Часть 1).
Кроме того, для создания резервных путей конфигурируются
плавающие статические маршруты. Когда основной маршрут «падает»,
включается резервный, для чего администратор вручную задает резервному
пути более высокое значение административного расстояния AD. Так если
основной маршрут имеет административное расстояние 1, то резервному
статическому пути следует задать AD> 1,например, AD = 5.
249
12.2. Конфигурирование статической маршрутизации
Чтобы сконфигурировать статическую маршрутизацию администратор
должен задать маршруты ко всем возможным сетям назначения, которые не
присоединены непосредственно к данному маршрутизатору. Например, из
маршрутизатора R-A (рис. 12.1), к которому прямо присоединены две сети
(Сеть 1, Сеть 4), необходимо проложить маршруты к четырем оставшимся
сетям (из шести представленных на схеме). К маршрутизатору R-Bпрямо
присоединены 3 сети (Сеть 2, Сеть 4, Сеть 5), поэтому из него следует
проложить 3 маршрута к оставшимся сетям.
Для конфигурирования статической маршрутизации используется
команда ip route, которая содержит три параметра:
- адрес сети назначения,
- сетевую маску,
- адрес входного интерфейса следующего маршрутизатора на пути к
адресату (next hop) или идентификатор выходного интерфейса.
Адрес входного интерфейса следующего маршрутизатора (следующего
перехода) на пути к адресату иногда называют шлюзом. Например, для
пакетов, попавших в маршрутизатор R-В, шлюзами будут:
1. Интерфейс s1/1 маршрутизатора R-A с адресом 200.4.4.11,
2. Интерфейс s1/2 маршрутизатора R-С с адресом 200.5.5.12.
Ниже приведен пример конфигурирования статической маршрутизации
для Cisco-маршрутизатора R-В, когда используется адрес следующего
перехода. Маршрутизатор R-В непосредственно связан с сетями
192.168.20.0, 200.4.4.0 и 200.5.5.0, поэтому статические маршруты нужно
создать для остальных трех сетей, которые прямо не присоединены к R-В.
Router#config t
Router(config)#hostname R-B
R-B(config)#ip route 192.168.10.0 255.255.255.0 200.4.4.11
R-B(config)#ip route 192.168.30.0 255.255.255.0 200.5.5.12
R-B(config)#ip route 200.6.6.0 255.255.255.0 200.5.5.12
R-B(config)#exit
R-B#copy run start
Аналогично конфигурируются остальные маршрутизаторы.
250
Верификация статической конфигурации производится по командам
show ip route и show running-config. Например, по команде show ip
route отображается таблица маршрутизации:
R-B#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2,
* - candidate default, U - per-user static route, o – ODR
P – periodic downloaded static route
Gateway of last resort is not set
S
192.168.10.0/24 [1/0] via 200.4.4.11
C
192.168.20.0/24 is directly connected. FastEthernet0/0
S
192.168.30.0/24 [1/0] via 200.5.5.12
C
200.4.4.0/24 is directly connected. Serial1/2
C
200.5.5.0/24 is directly connected. Serial1/1
S
200.6.6.0/24 [1/0] via 200.5.5.12
R-B#
Символами С в таблице маршрутизации помечены непосредственно
присоединенные к маршрутизатору R-В сети, а символом S – созданные
администратором статические маршруты к удаленным сетям. Так
статический маршрут к сети 192.168.10.0 проложен через интерфейс s1/1
маршрутизатора R-A с адресом 200.4.4.11, маршруты к двум другим сетям
проложены через шлюз 200.5.5.12.Приведенные в распечатке значения [1/0]
представляют собой административное расстояние AD = 1 и метрику = 0.
При получении маршрутизатором R-В пакета, адресованного,
например, узлу в сети 192.168.30.0, производится обращение к таблице
маршрутизации, где есть строка S 192.168.30.0/24 [1/0] via 200.5.5.12,
в которой указано, что адресом следующего перехода будет 200.5.5.12.
Однако в этой строке таблицы не указан выходной интерфейс, на который
следует скоммутировать поступивший пакет. Поэтому определяется сеть
адреса следующего перехода (200.5.5.0) и производится второе обращение к
таблице маршрутизации, что называется рекурсией. Из таблицы следует, что
сеть 200.5.5.0 присоединена к интерфейсу Serial1/1. Таким образом, при
создании маршрутов следующего перехода производится рекурсивная
251
обработка маршрута, т.е. два обращения к таблице, что замедляет процесс
обработки маршрута.
Для ускорения процесса маршрутизации вместо адреса следующего
перехода (next hop) можно задать идентификатор выходного интерфейса
маршрутизатора и тем самым избежать рекурсивной обработки маршрута.
При этом формируется прямо присоединенный статический маршрут. В
процессе конфигурирования предварительно нужно удалить все ранее
созданные статические маршруты по команде no ip route:
R-B(config)#no ip route 200.6.6.0 255.255.255.0 200.5.5.12
Ниже приведен пример конфигурирования маршрутизатора R-B (рис. 12.1) с
использованием выходного интерфейса:
R-B(config)#ip route 192.168.10.0 255.255.255.0 S1/2
R-B(config)#ip route 192.168.30.0 255.255.255.0 S1/1
R-B(config)#ip route 200.6.6.0 255.255.255.0 S1/1
В этом случае таблица маршрутизации выглядит следующим образом:
R-B#show ip route
...
Gateway of last resort is not set
S 192.168.10.0/24
C 192.168.20.0/24
S 192.168.30.0/24
C 200.4.4.0/24 is
C 200.5.5.0/24 is
S 200.6.6.0/24 is
R-B#
is directly connected, Serial1/2
is directly connected, FastEthernet0/0
is directly connected, Serial1/1
directly connected, Serial1/2
directly connected, Serial1/1
directly connected, Serial1/1
Когда необходимо посмотреть только статические маршруты можно
использовать команду show ip route static.
В созданных маршрутах сразу указан выходной интерфейс, поэтому
нет необходимости в рекурсивной обработке. Записи маршрутов к
удаленным сетям изменились и по форме стали такими же, как записи прямо
присоединенных сетей.
Созданные статические маршруты можно посмотреть не только по
команде show ip route, когда в таблице маршрутизации отображаются адреса
сетей назначения, но также с помощью команды show running-config
(сокращенно sh run), часть распечатки которой приведена ниже:
252
R-B#show run
Building configuration...
...
interface FastEthernet0/0
ip address 192.168.20.1 255.255.255.0
duplex auto
speed auto
!
interface Serial1/1
ip address 200.5.5.11 255.255.255.0
clock rate 64000
!
interface Serial1/2
ip address 200.4.4.12 255.255.255.0
!
ip classless
ip route 192.168.30.0 255.255.255.0 Serial1/1
ip route 192.168.10.0 255.255.255.0 Serial1/2
ip route 200.6.6.0 255.255.255.0 Serial1/1
!
R-B#
Однако использование прямо присоединенных (подключенных)
статических маршрутов не всегда возможно. Например, если в сети рис. 12.2
задать прямо присоединенный маршрут из R-A в сеть 192.168.30.0
R-А(config)#ip route 192.168.30.0 255.255.255.0 g0/1
то он не будет определен, поскольку из коммутатора Sw2, соединяющего
интерфейс G0/1 маршрутизатора R-A и G0/0 маршрутизатора R-B, возможны
и другие пути.
G0/1
А
G0/0
Sw 1
.1
G0/0
Sw 2
.2
B
...
Сеть 2
192.168.20.0/24
...
G0/1
Sw 3
...
Сеть 1
192.168.10.0/24
Сеть 3
192.168.30.0/24
Рис. 12.2. Пример соединения GigabitEthernet
253
Поэтому в случае Ethernet-соединений необходимо задавать не только
выходной интерфейс, но и адрес следующего перехода:
R-А(config)#ip route 192.168.30.0 255.255.255.0 g0/1 192.168.20.2
В этом случае реализуется полностью заданный статический маршрут.
Верификация работоспособности сети и таблицы маршрутизации
производится с использованием команд ping и traceroute, которые
проверяют обеспечение IP-связи между маршрутизаторами. Команды ping и
traceroute являются утилитами протокола ICMP, который разработан в
дополнение к протоколу IP, не имеющему средств проверки достижимости
или недостижимости узлов и сетей. Эти команды позволяют с каждого
маршрутизатора и конечного узла производить тестирование (прозвонку)
интерфейсов других маршрутизаторов и узлов.
Маршруты удаляются из таблицы маршрутизации, если выходной
интерфейс маршрутизатора прекращает функционирование. Поэтому при
отладке сети необходимо проверять не только таблицу маршрутизации, но и
состояние интерфейсов. Совокупность команд ping, show ip route, show
running-config и show ip interface brief позволяет в большинстве случаев
отладить сеть и устранить неполадки.
254
12.3. Конфигурирование статической маршрутизации по умолчанию
Статическая маршрутизация по умолчанию означает, что, если
пакет предназначен для сети, которая не указана в таблице маршрутизации,
то маршрутизатор отправит пакет по заданному по умолчанию маршруту.
При этом маршрутизатор направляет пакеты к следующему маршрутизатору,
когда тот в таблице не задан явно.
Статическая маршрутизация по умолчанию широко используется на
пограничных маршрутизаторах при подключении к сети провайдера ISP.
Например, на маршрутизаторе R-C (рис. 12.1) может быть сконфигурирован
маршрут по умолчанию, когда все пакеты с неизвестными адресами сетей
назначения будут направляться в сеть ISP, т.е. в Интернет. Маршрут по
умолчанию будет уместным также на тупиковом маршрутизаторе R-А,
потому что через него лежит единственный путь в составную сеть и из нее.
Например, для всех пакетов, попавших в маршрутизатор A, маршрут по
умолчанию будет через его порт s1/1, т.е. шлюзом будет входной интерфейс
маршрутизатора R-В с адресом 200.4.4.12.
В процессе конфигурирования маршрутизации по умолчанию, также
как при статической маршрутизации, используют команду ip route, но в
адресе и маске сети (и подсети) используют все нули, которые означают все
сети со всеми масками:
R-A#config t
R-A(config)#ip route 0.0.0.0 0.0.0.0 200.4.4.12
После конфигурирования маршрута по умолчанию в таблице маршрутизации
появляется статический маршрут, помеченный звездочкой (S*) и запись, что
установлен шлюз последней надежды (Gateway of last resort is ...):
R-A#show ip route
...
Gateway of last resort is 200.4.4.12 to network 0.0.0.0
C
C
S*
192.168.10.0/24 is directly connected, FastEthernet0/0
200.4.4.0/24 is directly connected, Serial1/1
0.0.0.0/0 [1/0] via 200.4.4.12
255
При подключении к Интернету на маршрутизаторе подключаемой сети,
например R-С рис. 12.1, обычно конфигурируется маршрут по умолчанию,
а на граничном маршрутизаторе R-D провайдера конфигурируется
стандартный статический маршрут.
Иногда маршрутизатор получает пакеты, предназначенные для
неизвестной подсети, входящей в известную сеть, которая объединяет
подсети. При этом маршрутизатор может уничтожить такие пакеты. Для
предотвращения этого нужно использовать режим глобальной конфигурации
ip classless, чтобы программное обеспечение Cisco IOS не уничтожало
пакеты, а отправляло эти пакеты по маршруту умолчания.
Плавающий статический маршрут конфигурируется в тех случаях,
когда необходимо создать резервный маршрут. Например, в сети рис. 12.3
основной маршрут из Сети 1 в Сеть 5 проложен через Сеть 6.
R-A(config)#ip route 192.168.50.0 255.255.255.0 192.168.60.2
Тогда резервный маршрут (с метрикой 3) может пройти через Сеть 2 и Сеть 4
R-A(config)#ip route 192.168.50.0 255.255.255.0 192.168.20.12 3
В нормальном состоянии работает основной маршрут, метрика которого по
умолчанию равна 1 < 3. При обрушении основного будет работать резервный
маршрут с метрикой 3.
Cеть 6
.1
S1/0
A
F0/0
.1
S1/1
.11
192.168.60.0/24
.2
S1/3
.12
Сеть 2 S1/2
192.168.20.0/24
.11
S1/1
B
F0/0
.12
S1/2
C
F0/0
.1
Сеть 4
192.168.40.0/24
.1
Сеть 1
192.168.10.0/24
Cеть 5
192.168.50.0/24
Сеть 3
192.168.30.0/24
Рис. 12.3. К примеру конфигурирования плавающего маршрута
256
12.4. Маршрутизация в сетях с бесклассовой адресацией
Адресация на основе классов позволяла определять маску сети по
кодовой комбинации старших разрядов адреса
0ххххххх – класс А, маска 255.0.0.0
10хххххх – класс В, маска 255.255.0.0
110ххххх – класс С, маска 255.255.255.0
1110хххх – класс D, многоадресный (multicast).
Поэтому при обмене маршрутной информацией не было необходимости
передавать значение маски, которая определялась тремя старшими битами
адреса.
Кроме того, маску сети можно было определить по значению маски
интерфейса маршрутизатора, к которому прямо присоединена сеть.
Например, в схеме сети рис. 12.4 при передаче маршрутной информации от
маршрутизатора R-AвR-B нестандартная для адреса класса В маска (с
префиксом /24) определяется маской адреса входного интерфейса S1/2
маршрутизатора R-B. Поэтому R-B добавляет в свою таблицу
маршрутизации маршрут к сети 172.20.10.0/24.
Сеть 4
200.40.40.0/24
Сеть 2
172.20.20.0/24
A
.11
.12
S1/1
S1/2
.11
.12
S1/1 S1/2
B
F0/0 .1
F0/0
Сеть 1
172.20.10.0/24
Сеть 3
172.20.30.0/24
.1
C
F0/0 .1
Cеть 5
10.50.0.0/16
Рис. 12.4. Обмен маршрутной информацией в сети
257
В свою очередь, маршрутизатор R-B отправляет обновление в R-С. При
этом он суммирует адреса трех подсетей (172.20.10.0/24, 172.20.20.0/24 и
172.20.30.0/24). Адрес входного интерфейса маршрутизатора R-С
(200.40.40.12) не входит ни в одну подсеть сети 172.20.0.0, поэтому к
поступившему суммарному адресу обновления применяется стандартная
маска класса В (255.255.0.0), и в таблицу маршрутизации R-С добавляется
маршрут к сети 172.20.0.0/16.
Адресация и маршрутизация на основе классов неэффективно
используют выделенные адресные пространства. Поэтому организация IETFв
документе RFC 1517 представила концепцию бесклассовой междоменной
маршрутизации (Classless Inter Domain Routing – CIDR). Другим методом
экономии IP-адресов является использование масок переменной длины
VLSM (см. раздел 8.1 Часть 1).
Схема CIDR позволяет объединять маршруты (агрегировать
префиксы), что уменьшает размер таблиц маршрутизации и ускоряет процесс
обработки пакетов. Кроме того, CIDR позволяет формировать суперсети,
объединяющие несколько сетей со стандартными масками в сеть, маска
которой меньше стандартной. Агрегирование адресов маршрутов было
рассмотрено в разделе 8.2 Часть 1.
В схеме сети рис. 12.4 на маршрутизаторе R-С вместо трех статических
маршрутов к сетям 172.20.10.0/24, 172.20.20.0/24 и 172.20.30.0/24 можно
сформировать один суммарный
R-С(config)#ip route 172.20.0.0 255.255.0.0 200.40.40.11
Объединение нескольких статических маршрутов возможно, если
объединяемые сети являются смежными и маршруты проложены через один
выходной интерфейс маршрутизатора или единый адрес следующего
перехода.
258
12.5. Статическая маршрутизация в сетях IPv6
Статическая маршрутизация в сетях IPv6 позволяет сконфигурировать:
стандартный статический маршрут, суммарный и плавающий статические
маршруты, а также статический маршрут по умолчанию. Конфигурирование
статической маршрутизации IPv6 рассмотрено на примере распределенной
сети рис. 12.5.
Сеть 5
2001:db8:a:5::/64
Сеть 4
2001:db8:a:4::/64
.10
A
.11
.10
S0/3/0 S0/3/1
G0/0 .1
Сеть 1
2001:db8:a:1::/64
B
Cеть 6
2001:db8:a:6::/64
.10
.11
S0/3/0
S0/3/1
G0/0 .1
Сеть 2
2001:db8:a:2::/64
C
S0/3/0
G0/0 .1
.11
S0/3/1
D
ISP
Cеть 3
2001:db8:a:3::/64
Рис. 12.5. Распределенная сеть
Как отмечалось в разделе 11.2, маршрутизация IPv6включается после
формирования команды ipv6 unicast-routing. в режиме глобального
конфигурирования:
Router(config)#ipv6 unicast-routing
Статические маршруты конфигурируются по команде ipv6 route,
например, стандартные статические маршруты на маршрутизаторе R-Aв сети
рис. 12.5 формируются следующим образом:
R-A(config)#ipv6
R-A(config)#ipv6
R-A(config)#ipv6
R-A(config)#ipv6
R-A(config)#
route
route
route
route
2001:db8:a:2::/64
2001:db8:a:3::/64
2001:db8:a:5::/64
2001:db8:a:6::/64
259
2001:db8:a:4::11
2001:db8:a:4::11
2001:db8:a:4::11
2001:db8:a:4::11
Посмотреть созданные маршруты можно по следующей команде:
R-A#show ipv6 route
IPv6 Routing Table - 9 entries
Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP
U - Per-user Static route, M - MIPv6
I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary
O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
D - EIGRP, EX - EIGRP external
C
L
S
S
C
L
S
S
L
2001:DB8:A:1::/64 [0/0]
via ::, GigabitEthernet0/0
2001:DB8:A:1::1/128 [0/0]
via ::, GigabitEthernet0/0
2001:DB8:A:2::/64 [1/0]
via 2001:DB8:A:4::11
2001:DB8:A:3::/64 [1/0]
via 2001:DB8:A:4::11
2001:DB8:A:4::/64 [0/0]
via ::, Serial0/3/0
2001:DB8:A:4::10/128 [0/0]
via ::, Serial0/3/0
2001:DB8:A:5::/64 [1/0]
via 2001:DB8:A:4::11
2001:DB8:A:6::/64 [1/0]
via 2001:DB8:A:4::11
FF00::/8 [0/0]
via ::, Null0
R-A#
Из распечатки следует, что две сети (2001:DB8:A:1::/64 и 2001:DB8:A:4::/64)
являются прямо присоединенными. К четырем сетям (2001:DB8:A:2::/64,
2001:DB8:A:3::/64, 2001:DB8:A:5::/64 и 2001:DB8:A:6::/64) проложены
статические маршруты.
В рассмотренном примере, также как в сетях IPv4, при коммутации
поступившего пакета с входного интерфейса на выходной требуется
рекурсивный алгоритм обработки маршрута. Для ускорения процесса
коммутации можно сконфигурировать прямо подключенный статический
маршрут с указанием выходного интерфейса, например:
R-A(config)#ipv6 route 2001:db8:a:2::/64 s0/3/0
Новые технологии предусматривают использование механизма CEF,
что существенно ускоряет процесс коммутации пакетов (см. раздел 11.1).
260
В сетях IPv6 на интерфейсах маршрутизаторов автоматически задаются
локальные адреса (link-local), которые отображаются по команде:
R-B>show ipv6 int brief
GigabitEthernet0/0
[up/up]
FE80::20D:BDFF:FEE6:7701
2001:DB8:A:2::1
GigabitEthernet0/1
[administratively down/down]
GigabitEthernet0/2
[administratively down/down]
Serial0/3/0
[up/up]
FE80::209:7CFF:FEE1:5001
2001:DB8:A:5::10
Serial0/3/1
[up/up]
FE80::209:7CFF:FEE1:5002
2001:DB8:A:4::11
Vlan1
[administratively down/down]
Локальные адреса могут быть изменены администратором, например:
R-В(config)#int g0/0
R-В(config-if)#ipv6 add fe80::1 link-local
R-В(config-if)#int s0/3/1
R-В(config-if)#ipv6 add fe80::11 link-local
R-В(config-if)#int s0/3/0
R-В(config-if)#ipv6 add fe80::10 link-local
При конфигурировании статической маршрутизации локальные адреса
можно использовать в качестве адресов следующего перехода, например:
R-B(config)#ipv6 route 2001:db8:a:1::/64 fe80::10
R-B(config)#ipv6 route 2001:db8:a:3::/64 fe80::11
R-B(config)#ipv6 route 2001:db8:a:6::/64 fe80::11
Следует помнить, что локальные адреса являются уникальными только
в одном локальном канале, т.е. адрес fe80::10 может быть использован как
в сети 4, так и в сети 5 (рис. 12.5). Для устранения этой неоднозначности
следует формировать полностью заданные статические маршруты:
R-B(config)#ipv6 route 2001:db8:a:1::/64 s0/3/1 fe80::10
R-B(config)#ipv6 route 2001:db8:a:3::/64 s0/3/0 fe80::11
R-B(config)#ipv6 route 2001:db8:a:6::/64 s0/3/0 fe80::11
261
R-B#sh ipv6 route
IPv6 Routing Table - 10 entries
S
2001:DB8:A:1::/64 [1/0]
via FE80::10, Serial0/3/1
C
2001:DB8:A:2::/64 [0/0]
via ::, GigabitEthernet0/0
L
2001:DB8:A:2::1/128 [0/0]
via ::, GigabitEthernet0/0
S
2001:DB8:A:3::/64 [1/0]
via FE80::11, Serial0/3/0
C
2001:DB8:A:4::/64 [0/0]
via ::, Serial0/3/1
L
2001:DB8:A:4::11/128 [0/0]
via ::, Serial0/3/1
C
2001:DB8:A:5::/64 [0/0]
via ::, Serial0/3/0
L
2001:DB8:A:5::10/128 [0/0]
via ::, Serial0/3/0
S
2001:DB8:A:6::/64 [1/0]
via FE80::11, Serial0/3/0
LFF00::/8 [0/0]
via ::, Null0
Статическая маршрутизацияIPv6 по умолчанию широко используется
на пограничных маршрутизаторах при подключении к сети провайдера ISP, а
также на тупиковых маршрутизаторах. Например, для всех пакетов,
попавших в маршрутизатор R-A (рис. 12.5) маршрут по умолчанию будет
через его выходной порт s0/3/0, а шлюзом следующего перехода будет
входной интерфейс маршрутизатора R-В с адресом 2001:db8:a:4::11.
Конфигурирование маршрута по умолчанию показано в следующем примере:
R-A(config)#ipv6 route ::/0 2001:db8:a:4::11 или
R-A(config)#ipv6 route ::/0 s0/3/0
Статическая маршрутизацияIPv6, также как IPv4, может использовать
суммирование адресов. Например, в распределенной сети рис. 12.5 на
маршрутизаторе R-С можно сформировать суммарный адрес к сетям
2001:db8:a:1::/64, 2001:db8:a:2::/64, 2001:db8:a:4::/64
R-С(config)#ipv6 route 2001:db8:a::/61 2001:db8:a:5::10
Префикс /61 получился, поскольку три последних бита сетевой части
адреса Сети 1 будут 001, Сети 2 – 010, Сети 4 – 100, т.е. различие в трех
последних двоичных разрядах. Поэтому префикс на 3 меньше, чем /64.
262
Краткие итоги главы 12
1. Статическая маршрутизация создается администратором вручную,
поэтому она более безопасна, требует меньше вычислительных ресурсов и
более узкую полосу пропускания по сравнению с динамической
маршрутизацией.
2. Статические маршруты характеризуются высоким приоритетом,
поскольку административное расстояние AD = 1.
3. Сети, использующие статическую маршрутизацию, плохо
масштабируемы, при изменении топологии требуется внесение изменений
администратором, что может приводить к ошибкам.
4. В сети можно сконфигурировать стандартные статические маршруты,
маршруты по умолчанию, суммарные (объединенные) маршруты,
плавающие статические маршруты.
5. Для конфигурирования статической маршрутизации используется
команда ip route, которая содержит параметры: адрес сети назначения,
сетевую маску и адрес входного интерфейса следующего маршрутизатора
на пути к адресату (next hop) или идентификатор выходного интерфейса.
6. Формат команды конфигурирования стандартной статической
маршрутизации следующий:
Router(config)#ip route <адрес> <маска> <next hop>
7. Рекурсивный алгоритм замедляет процесс обработки маршрута.
8. Формат команды конфигурирования статической маршрутизации с
использованием выходного интерфейса (присоединенного маршрута)
следующий:
Router(config)#ip route <адрес> <маска> <выходной интерфейс>
9. В случае использования Ethernet-соединений необходимо формировать
полностью заданный статический маршрут.
10. Статическая маршрутизация по умолчанию используется для отправки
пакетов, когда сеть назначения отсутствует в таблице маршрутизации.
11. Формат команды конфигурирования статической маршрутизации по
умолчанию следующий:
Router(config)#ip route 0.0.0.0 0.0.0.0 <next hop>
12.Плавающий статический маршрут конфигурируется в тех случаях, когда
необходимо создать резервный маршрут.
13. В таблице маршрутизации созданные администратором статические
маршруты к удаленным сетям помечены символом S, а маршруты по
умолчанию – символом S*.
14.При подключении к Интернету на маршрутизаторе подключаемой сети
обычно конфигурируется маршрут по умолчанию, а на граничном
маршрутизаторе провайдера – стандартный статический маршрут.
263
15.Для ускорения процесса маршрутизации программная коммутация
заменяется технологией CEF.
16.Статическая маршрутизация в сетях IPv6, также как IPv4, позволяет
сконфигурировать стандартный статический маршрут, суммарный и
плавающий статические маршруты, статический маршрут по умолчанию.
17. Маршрутизация IPv6включается после выполнения команды ipv6
unicast-routing в режиме глобального конфигурирования.
18. В сетях IPv6 на интерфейсах маршрутизаторов автоматически задаются
локальные адреса (link-local), которые можно использовать в качестве
адреса следующего перехода.
19. Верификация таблицы маршрутизации производится с использованием
команды show ip route, show ipv6 route.
Вопросы по главе 12
1. Кто создает статическую маршрутизацию?
2. Каковы преимущества и недостатки статической маршрутизации по
сравнению с динамической?
3. Какие команды используются для создания статической маршрутизации?
4. Каков формат команды конфигурирования стандартной статической
маршрутизации?
5. Каков формат команды конфигурирования статической маршрутизации с
использованием выходного интерфейса?
6. Для чего необходим маршрут по умолчанию?
7. Каков формат команды конфигурирования статической маршрутизации по
умолчанию в сетях IPv4, IPv6?
8. Какие маршруты обычно конфигурируется при подключении к Интернету
на маршрутизаторе подключаемой сети и на граничном маршрутизаторе
провайдера?
9. Для чего конфигурируется плавающий статический маршрут?
10. Что собой представляет технология CEF?
11.Какими символами помечаются маршруты, созданные администратором?
12.Какие изменения происходят в таблице маршрутизации, если выходной
интерфейс перестает функционировать?
13. По какой команде можно посмотреть таблицу маршрутизацииIPv4, IPv6?
14. Какие команды используются для проверки и отладки конфигурации?
15. Почему в сетях с адресацией на основе классов в обновлениях не
передается значение маски?
16. Почему при использовании масок переменной длины (VLSM) происходит
экономия IP-адресов?
17. Что означает термин CIDR? Какие преимущества обеспечивает
суммирование маршрутов?
264
Упражнения
1.
В среде Packet Tracer сконфигурируйте стандартную статическую
маршрутизацию нижеприведенной схемы с заданными в таблице
адресами. Проведите проверку и отладку с использованием команд show
running-config, show ip route, ping, traceroute и tracert.
Сеть 4
S1/1
A
B
F0/0
F0/0
S1/2
C
F0/0
DCE
Host 2-1 Host 2-n
Host 3-1 Host 3-n
Сеть 2
Сеть 3
Сеть 1
Наименование
Сеть 1
f0/0
Host 1-1
Host 1-n
Сеть 3
f0/0
Host 3-1
Host 3-n
Сеть 5
s1/1
s1/2
S1/1
S1/2
DCE
Host 1-1 Host 1-n
Сеть 5
Адрес
10.1.10.0/24
10.1.10.1
10.1.10.2
10.1.10.n
192.168.30.0/24
192.168.30.1
192.168.30.2
192.168.30.n
205.5.5.0/24
200.5.5.1
200.5.5.2
Наименование
Сеть 2
f0/0
Host 2-1
Host 2-n
Сеть 4
s1/1
s1/2
Адрес
172.16.20.0/24
172.16.20.1
172.16.20.2
172.16.20.n
204.4.4.0/24
204.4.4.1
204.4.4.2
2. Для вышеприведенной схемы сети сконфигурируйте непосредственно
присоединенные статические маршруты. Проведите сравнительный анализ
таблиц маршрутизации по п.1 и п.2.
3. Для вышеприведенной схемы сети самостоятельно задайте адреса IPv6.
Сконфигурируйте статическую маршрутизацию. Проведите проверку и
отладку сети.
265
13. ДИНАМИЧЕСКАЯ МАРШРУТИЗАЦИЯ
Рассмотрены принципы функционирования протоколов маршрутизации. Проведен
сравнительный анализ протоколов вектора расстояния и состояния канала. Приведены
основные характеристики протоколов RIP, RIP2, EIGRP, OSPF. Рассмотрены основы
конфигурирования динамической маршрутизации. Проанализированы таблицы
маршрутизации.
13.1. Общие сведения о протоколах динамической маршрутизации
Маршрутизаторы функционируют в сетях с коммутацией пакетов, где
все возможные маршруты уже существуют. Процесс прокладывания пути
производится либо вручную администратором (статическая маршрутизация),
либо автоматически маршрутизирующим протоколом (динамическая
маршрутизация).
Маршрутизаторы, зная информацию о пути к некоторым сетям,
обмениваются этой информацией с другими устройствами. После таких
обновлений все маршрутизаторы будут иметь согласованную информацию о
маршрутах к доступным сетям. Процесс обмена обновлениями реализуют
протоколы маршрутизации. Таким образом, протоколы маршрутизации
разделяют сетевую информацию между маршрутизаторами.
При изменениях в топологии требуется некоторое время (время
сходимости или конвергенции) для согласования информации в таблицах
маршрутизации всех маршрутизаторов сети. Время сходимости является
важным фактором при выборе протокола маршрутизации.
Маршрутная информация собирается по определенным правилам в
ходе реализации алгоритма динамического обмена обновлениями (update,
модификациями) между маршрутизаторами. Протокол маршрутизации
должен создавать и поддерживать таблицы маршрутизации, где хранятся
пути ко всем доступным сетям назначения, а также извещать другие
маршрутизаторы о всех известных ему изменениях в топологии сети, т.е.
решать задачу обнаружения сетей.
Совокупность сетей, представленных маршрутизаторами под общим
административным управлением, образует автономную систему (рис. 13.1).
Примерами автономных систем являются сети отдельных провайдеров ISP.
Автономные системы нумеруются (AS1, AS2, …AS107, …) и в некоторых
протоколах (IGRP, EIGRP) эти номера используются при конфигурировании.
266
AS1
AS107
BGP
Автономная система 1
Автономная система 107
Рис. 13.1. Взаимодействие автономных систем
В настоящем курсе рассматривается маршрутизация только внутри
автономной системы, где работают протоколы внутренней маршрутизации
(Interior Gateway Protocols - IGP), к которым относятся RIP, RIPv2, EIGRP,
OSPF, IS-IS. Маршрутизацию между автономными системами производят
протоколы внешней маршрутизации (Exterior Gateway Protocols - EGP).
Примером протокола внешней маршрутизации является протокол BGP,
который работает на пограничных маршрутизаторах автономных систем
(рис. 13.1).
Совокупность протоколов маршрутизации приведена в табл. 13.1, из
которой следует, что протоколы динамической маршрутизации, работающие
внутри автономных систем, в свою очередь, подразделяются на протоколы
вектора расстояния (distance-vector) и протоколы состояния канала
(link-state).
Таблица 13.1
Протоколы динамической маршрутизации
Протоколы внутренней маршрутизации
Вектора расстояния
Состояния канала
RIP-2
OSPF
EIGRP
IS-IS
Протоколы внешней
маршрутизации
Вектора пути
BGP
Протоколы вектора расстояния определяют расстояние и
направление, т.е. вектор соединения в составной сети на пути к адресату. При
использовании протокола вектора расстояния маршрутизаторы посылают
всю или часть таблицы маршрутизации соседним (смежным)
267
маршрутизаторам. В таких протоколах как RIP и RIP-2 расстояние
выражается в количестве переходов (hop count) в соединении на пути от
узла источника к адресату назначения. Обмен обновлениями (update) или
модификациями происходит периодически, даже если в сети нет никаких
изменений, на что тратится значительная часть полосы пропускания.
Получив обновление маршрутной информации, маршрутизатор может заново
вычислить все известные пути и модернизировать таблицу маршрутизации.
Протоколы состояния канала создают полную картину топологии
сети и вычисляют кратчайшие пути ко всем сетям назначения. Если путей с
одинаковой метрикой несколько, то выбирается первый из вычисленных.
Рассылка обновлений маршрутной информации производится только при
изменениях топологии сети. Протоколы состояния канала (или соединения)
быстрее реагируют на изменения в сети по сравнению с протоколами вектора
расстояния, но при этом требуют больших вычислительных ресурсов.
Когда инкапсулированный в кадр пакет прибывает на входной
интерфейс, маршрутизатор декапсулирует его, затем использует таблицу
маршрутизации, чтобы определить, по какому маршруту направить пакет,
т.е. на какой свой выходной интерфейс передать поступивший пакет.
Выходной интерфейс связан с наиболее рациональным маршрутом к
адресату назначения. Этот процесс называется коммутацией или
продвижением пакета. На выходном интерфейсе пакет инкапсулируется в
новый кадр, при этом маршрутизатор добавляет информацию для
формирования кадра (см. материалы раздела 11.3).
Маршрутизаторы способны одновременно поддерживать несколько
независимых протоколов с разными административными расстояниями
(AD), которые показывают степень достоверности источника маршрута. Чем
меньше AD, тем выше достоверность (см. таблицу 11.1). В таблицу
маршрутизации устанавливаются маршруты, созданные протоколами с
наименьшим административным расстоянием.
Определение протоколом маршрутизации наиболее рационального
(оптимального) пути производится на основе определенного критерия –
метрики. Значение метрики используется при оценке возможных путей к
адресату назначения. В настоящем курсе рассматриваются следующие
протоколы маршрутизации:
268
RIP (Routing Information Protocol) – протокол маршрутизации на
основе вектора расстояния (первая и вторая версии),
EIGRP (Enhanced Interior Gateway Routing Protocol) – расширенный
протокол внутренней маршрутизации,
OSPF (Open Shortest Path First) –открытый протокол маршрутизации
по состоянию канала.
Перечисленные протоколы используют разные параметры метрики.
Различные протоколы маршрутизации используют разные алгоритмы
при выборе маршрута, т.е. выходного интерфейса и (или) адреса следующего
перехода, на который должен быть передан пакет. Алгоритм и метрика
определяются целым рядом решаемых задач, таких как простота,
устойчивость, гибкость, быстрая сходимость или конвергенция. Сходимость
– это процесс согласования между маршрутизаторами сети информации о
доступных маршрутах. При изменениях состояния сети необходимо, чтобы
обмен модификациями восстановил согласованную сетевую информацию.
Каждый алгоритм по своему интерпретирует выбор наиболее
рационального пути на основе метрики. Обычно меньшее значение
метрики соответствует лучшему маршруту. Метрика может базироваться
на одном или на нескольких параметрах пути. В протоколах маршрутизации
наиболее часто используются следующие параметры метрики:
- Полоса пропускания (Bandwidth) – способность соединения
передавать данные с некоторой скоростью. Например, соединения сети
FastEthernet передающие данные со скоростью 100 Мбит/c,
предпочтительней каналов Е1 со скоростью 2,048 Мбит/c.
- Задержка (Delay) – это длительность времени прохождения пакета от
источника до адресата назначения. Задержка зависит от количества
промежуточных соединений и их типов, объема буферных устройств
маршрутизаторов, сходимости сети и расстояния между узлами.
Загрузка (Load) – определяется количеством информации,
загружающей сетевые ресурсы (маршрутизаторы и каналы). Чем
больше загрузка, тем больше очереди на обслуживание, тем дольше
пакет будет в пути.
- Надежность (Reliability) –определяется интенсивностью ошибок на
каждом сетевом соединении.
269
- Количество переходов (Hop count) – это количество маршрутизаторов,
через которые пакет должен пройти на пути к адресату назначения
(число переходов от маршрутизатора к маршрутизатору).
- Стоимость (Cost) – обобщенный параметр затрат на передачу пакета к
адресату назначения. Иногда стоимость имеет произвольное значение,
назначенное администратором.
Наиболее известным в сети Internet протоколом вектора расстояния
(distance-vector) является Routing Information Protocol (RIP), который
использует в качестве метрики число переходов (hop count) на пути к
адресату назначения.
Другим простым протоколом вектора расстояния является Interior
Gateway Routing Protocol (IGRP), который был разработан в корпорации
Cisco. Для работы в больших сетях на смену ему пришел протокол Enhanced
IGRP (EIGRP), который включает много особенностей протоколов как типа
link-state, так и distance-vector. Поэтому он, по сути, является гибридным
протоколом. Однако разработчики фирмы Cisco относят его к протоколам
distance-vector.
Протоколы вектора расстояния (RIP, IGRP) периодически
рассылают обновления маршрутной информации. У протокола RIP этот
период равен 30 сек. При этом обновляются таблицы маршрутизации,
которые хранят всю информацию о маршрутах в сети. При изменении в сети
маршрутизатор, обнаруживший такое изменение, сразу начинает обмен
маршрутной информацией с соседними маршрутизаторами. Этот обмен идет
последовательно от маршрутизатора к маршрутизатору с некоторой
задержкой, определяемой временем модификации таблиц в каждом
маршрутизаторе, а также специальным таймером. Поэтому сходимость
(конвергенция) сети, когда все маршрутизаторы будут иметь согласованную
информацию о сетевых соединениях, происходит медленно, что является
недостатком протоколов вектора расстояния.
Таким образом, протоколы вектора расстоянияRIP характеризуются
медленной сходимостью, т.е. длительным временем согласования
информации в таблицах маршрутизации при изменениях топологии сети,
Протокол вектора расстояния RIP использует счетчик переходов (hop
count) в качестве метрики, чтобы определить расстояние до определенного
270
соединения в составной сети. Если существует несколько путей, то RIP
выберет путь с наименьшим числом маршрутизаторов или переходов к
адресату назначения. Однако выбранный маршрут не всегда является
лучшим путем к адресату, поскольку выбранный маршрут с наименьшим
числом устройств может характеризоваться меньшей скоростью передачи
(более узкой полосой пропускания, меньшей пропускной способностью) по
сравнению с альтернативными маршрутами, созданными другими
протоколами. Кроме того, RIP не может направлять пакеты далее 15
переходов, поэтому он рекомендован для работы в малых и средних сетях.
Рассылка обновлений протоколом первой версии RIPv1 производится в
широковещательном режиме (адрес 255.255.255.255).
Протокол первой версии RIPv1 требует, чтобы все устройства в
подсети использовали одинаковую маску подсети, т.к. RIP не включает
информацию о маске подсети в обновления маршрутизации. Такой метод
получил название маршрутизации на основе классов (classful routing), что
ограничивает применение протокола RIPv1 в современных сетях.
Протокол вектора расстояния второй версии RIPVersion 2 (RIPv2)
обеспечивает бесклассовую маршрутизацию CIDR (Classless Interdomain
Routing), поскольку в обновления маршрутизации включена информация
о маске подсети (о префиксе). При этом внутри одной сети могут
существовать подсети с масками переменной длины (Variable-Length Subnet
Mask – VLSM). В обновления также включена адресная информация о
шлюзах по умолчанию. Рассылка обновлений протоколом версии RIPv2
производится в многоадресном режиме (адрес 224.0.0.9).
Протокол вектора расстояния EIGRP обеспечивает быструю
сходимость и малое количество служебной информации, передаваемой в
обновлениях (только об изменениях в сети), что экономит полосу
пропускания. EIGRP использует ряд функций, применяемые в протоколах
состояния канала (link-state). Протоколы EIGRP работают с оборудованием
CISCO и не всегда поддерживаются программным обеспечением аппаратуры
других фирм. Рассылка обновлений протоколом EIGRP производится в
многоадресном режиме (адрес 224.0.0.10).
Наиболее известными протоколами состояния канала (соединения)
271
являются протокол Open Shortest Path First (OSPF) и протокол Intermediate
System-to-Intermediate System (IS-IS). Протокол маршрутизации OSPF
разработан организацией Engineering Task Force (IETF). Он предназначен для
работы в больших гибких составных сетях, может работать с оборудованием
разных фирм производителей, поэтому получил широкое распространение.
Протокол состояния канала OSPF использует алгоритм Дийкстры
(Dijkstra), согласно которому устанавливаются отношения смежности с
соседними устройствами, путем обмена с ними короткими Hello-пакетами,
создаются таблицы соседних устройств, оцениваются стоимости соединений,
которые хранятся в специальной базе данных (link-state database). На основе
таблиц соседних устройств и информации базы данных формируются
таблицы маршрутизации. В базе данных хранится один или несколько путей
к адресату назначения, из которых выбирается первый кратчайший путь
(Shortest Path First – SPF), который и помещается в таблицу маршрутизации.
Если первый путь становится недоступным, то протокол может оперативно
выбрать из базы данных другой без дополнительных вычислений.
Рассылка обновлений о состоянии канала производится при запуске
протокола маршрутизации и при изменениях топологии сети. При этом
маршрутизатор создает извещение о состоянии этого соединения (LinkState Advertisement - LSA). Сообщение LSA затем передается всем смежным
маршрутизаторам, которые, получив LSA, транслируют копию LSA всем
соседям и затем модифицируют базу данных. При таком волновом
распространении пакетов все маршрутизаторы создадут базы данных и
таблицы маршрутизации, которые будут согласованно отражать топологию
перед модификацией. Такой алгоритм обеспечивает быструю сходимость.
Протокол граничного шлюза (Border Gateway Protocol - BGP)
относится к внешним протоколам External Gateway Protocol (EGP). Протокол
обеспечивает обмен маршрутизирующей информацией между автономными
системами, гарантирует выбор пути, свободный от маршрутных петель (loopfree). Протокол BGP используется основными сетевыми компаниями, в том
числе провайдерами Интернет. Протокол BGP принимает решение о выборе
маршрута на основе сетевой политики.
272
13.2. Протокол RIP
Протокол RIP для своей работы использует алгоритм Беллмана-Форда.
Функционирование алгоритма рассмотрено на примере сети из четырех
последовательно соединенных маршрутизаторов (рис. 13.2), где Сеть 1
непосредственно присоединена к маршрутизатору А, поэтому метрика пути к
Сети 1 из А равна 0. Протокол RIP каждые 30 сек. рассылает обновления.
Сеть 6
200.6.6.0/24
Сеть 5
200.5.5.0/24
A
.11
.12
S1/1
S1/2
.11
Сеть 7
200.7.7.0/24
.12
S1/1 S1/2
B
F0/0 .1
F0/0
Сеть 1
192.168.10.0/24
Сеть 2
192.168.20.0/24
C
.11
.12
S1/1
S1/2
F0/0 .1
.1
Cеть 3
192.168.30.0/24
D
F0/0 .1
Cеть 4
192.168.40.0/24
Рис. 13.2. Сеть последовательно соединенных маршрутизаторов
В исходном состоянии у маршрутизаторов нет никакой информации о
доступных маршрутах к сетям. После конфигурирования адресной
информации и активации интерфейсов в таблице маршрутизации
объявляются прямо присоединенные сети. Например, таблица
маршрутизации R-А (рис. 13.2) содержит маршруты к двум прямо
присоединенным сетям, а R-B – к трем присоединенным сетям:
R-А>show ip route
...
Gateway of last resort is not set
C
C
192.168.10.0/24 is directly connected, FastEthernet0/0
200.5.5.0/24 is directly connected, Serial1/1
273
R-B>show ip route
...
Gateway of last resort is not set
C 192.168.20.0/24 is directly connected, FastEthernet0/0
C
200.5.5.0/24 is directly connected, Serial1/2
C
200.6.6.0/24 is directly connected, Serial1/1
Метрика прямо присоединенных маршрутов равна 0 (количество
переходов = 0).
Конфигурирование протокола RIP
Конфигурирование протокола RIP производится путем использования
команды router rip и сообщения протоколу адресов непосредственно
присоединенных сетей. При обмене маршрутной информацией между
маршрутизаторами обновления передаются через интерфейсы прямо
присоединенных сетей и адреса этих сетей объявляются соседям. Поэтому
маршрутизаторы последовательно получают от соседей информацию о всех
доступных сетях автономной системы.
Обмен маршрутной информацией протокол RIP производит
периодически каждые 30 секунд. Таким образом, спустя некоторое время
таблица маршрутизации каждого маршрутизатора будет содержать не только
информацию о непосредственно присоединенных сетях, но и о путях к
удаленным сетям. Ниже приведен пример конфигурирования протокола
RIPv1 на маршрутизаторе R-В сети рис. 13.2.:
R-В(config)#router rip
R-В(config-router)#network 200.5.5.0
R-В(config-router)#network 200.6.6.0
R-В(config-router)#network 192.168.20.0
В приведенном примере по командам networkперечислены три сети,
непосредственно присоединенные к маршрутизатору. Их адреса передаются
через все интерфейсы соседним маршрутизаторам. Другие маршрутизаторы
конфигурируется аналогично.
Для отключения протокола RIP используется команда:
R-В(config)#no router rip
274
Согласно алгоритма Беллмана-Форда маршрутизатор А посылает
маршрутизатору В информацию о пути в Сеть 1, при этом добавляется 1 к
значению вектора расстояния, т.е. метрика увеличивается до единицы. Таким
образом, в таблице маршрутизации В будет информация, что расстояние до
Сети 1 равно одному переходу [120/1]:
R-B#show ip route
...
Gateway of last resort is not set
R 192.168.10.0/24 [120/1] via 200.5.5.11, 00:00:02, Serial1/2
C 192.168.20.0/24 is directly connected, FastEthernet0/0
C 200.5.5.0/24 is directly connected, Serial1/2
C 200.6.6.0/24 is directly connected, Serial1/1
Первый вход (первая строка) таблицы маршрутизации задает путь к
удаленной сети назначения. В квадратных скобках таблицы кроме значения
метрики отображается административное расстояние протокола (AD = 120).
В строке также показан адрес следующего перехода (200.5.5.11), выходной
интерфейс (S1/2) и значение таймера, настроенного на период в 30 сек., т.е.
следующее обновление маршрутной информации будет через 28 сек.
Если на маршрутизаторах R-CиR-Dтакже сконфигурирован протокол
RIP, то R-В посылает копию таблицы маршрутизации маршрутизатору С, где
метрика расстояния до Сети 1 увеличивается до 2:
R-С#show ip route
...
Gateway of last resort is not set
R
R
C
R
C
C
192.168.10.0/24 [120/2] via 200.6.6.11, 00:00:04, Serial1/2
192.168.20.0/24 [120/1] via 200.6.6.11, 00:00:04, Serial1/2
192.168.30.0/24 is directly connected, FastEthernet0/0
200.5.5.0/24 [120/1] via 200.6.6.11, 00:00:04, Serial1/2
200.6.6.0/24 is directly connected, Serial1/2
200.7.7.0/24 is directly connected, Serial1/1
Кроме того, в результате обмена маршрутной информацией между R-B
и R-Cв таблице последнего появились маршруты к Сети 2 и Сети 5, метрика
которых составляет 1.
В свою очередь, маршрутизатор С обменивается маршрутной
информацией с маршрутизатором D, при этом метрика пути в Сеть 1
275
повышается до 3, а в Сеть 2 и Сеть 5 – до 2. То есть, результирующий вектор
или расстояние поэтапно увеличивается.
R-D#show ip route
...
Gateway of last resort is not set
R
R
R
C
R
R
C
192.168.10.0/24 [120/3] via 200.7.7.11, 00:00:03, Serial1/2
192.168.20.0/24 [120/2] via 200.7.7.11, 00:00:03, Serial1/2
192.168.30.0/24 [120/1] via 200.7.7.11, 00:00:03, Serial1/2
192.168.40.0/24 is directly connected, FastEthernet0/0
200.5.5.0/24 [120/2] via 200.7.7.11, 00:00:03, Serial1/2
200.6.6.0/24 [120/1] via 200.7.7.11, 00:00:03, Serial1/2
200.7.7.0/24 is directly connected, Serial1/2
Эта особенность алгоритма может приводить к появлению
маршрутных петель в случае медленной конвергенции после изменений в
сети. Движение пакетов по маршрутной петле теоретически может быть
бесконечным. Однако в существующих протоколах имеется ряд средств,
чтобы предотвратить бесконечную циркуляцию пакетов по петле
маршрутизации.
1. В протоколе вектора расстояния RIP максимальное значение
метрики не может превышать 15. Поэтому, как только при обмене
маршрутной информацией возрастающая на каждом шаге движения по
петле метрика достигает значения 16, сеть будет считаться
недостижимой и пакет отбрасывается.
2. В заголовке сетевого протокола IP (см. рис. 6.1 Часть 1) имеется поле
времени жизни TTL, которое декрементируется при прохождении
каждого маршрутизатора. Таким образом, число устройств, через
которые может пройти пакет, ограничено. При обнулении значения
TTL маршрутизатор отбрасывает пакет и отправителю с помощью
протокола ICMP посылается сообщение о недостижимости сети.
3. Принцип расщепления горизонта (split horizon) указывает, что
нельзя посылать информацию маршрутизатору о недостижимости
сети в обратном направлении, т.е. запрещается пересылать
обновления на тот же интерфейс, откуда первоначально была получена
информация о состоянии соединения.
276
4. Пометка недоступного маршрута запрещенной метрикой (route
poisoning). В этом случае маршрутизатор сразу же после получения
сообщения о недостижимости какой-то сети, включает в
соответствующую строку таблицы маршрутизации запрещенное
значение метрики, равное 16. Обычно этот метод используется
совместно с принципом расщепления горизонта и механизмом
мгновенной рассылки объявлений об изменении топологии сети.
5. Согласно метода мгновенных обновлений (triggered update) их
рассылка производится сразу, как только маршрутизатор обнаружит
какие-либо изменения в сети, не дожидаясь окончания периода
обновления. Последующие маршрутизаторы также мгновенно
рассылают информацию об изменении в сети. Это приводит к
ускорению конвергенции сети.
6. Таймер удержания информации (holddown timer) запускается на
маршрутизаторе, когда от соседнего устройства приходит информация
о том, что ранее доступная сеть становится недоступной. Это дает
больше времени для распространения информации об изменениях по
всей сети. При этом возможны разные варианты действия протокола
вектора расстояния:
а) если до истечения времени таймера удержания информации от того
же устройства приходит обновление, что сеть снова стала достижимой, то
протокол помечает сеть как доступную и выключает таймер;
б) если до истечения времени таймера приходит обновление от другого
маршрутизатора с лучшей метрикой, чем была ранее, то протокол
помечает сеть как доступную и выключает таймер;
в) если до истечения времени таймера приходит обновление от другого
маршрутизатора с худшей метрикой, то это обновление игнорируется.
277
Таким образом, указанные меры борьбы с маршрутными петлями
позволяют маршрутизаторам избегать их. Однако время конвергенции
протокола RIP велико, по сравнению с протоколами состояния канала linkstate. Поэтому протокол RIP используется только в малых сетях. Однако у
названного протокола есть важное достоинство. Для его функционирования
требуется существенно меньше объем оперативной памяти и меньшее
быстродействие центрального процессора. Поэтому данный протокол
остается востребованным, он разработан и для IPv6.
Протокол вектора расстояния RIP не включает в обновления
маршрутизации информацию о маске подсети (о префиксе), поэтому является
протоколом маршрутизации на основе адресов полного класса (classfull),
что является главным недостатком протокола.
В случае не корректно спроектированной сети, содержащей
разделенные подсети одной сети полного класса, применение протокола
RIPможет привести к проблемам маршрутизации. Примером не корректно
спроектированной сети является схема рис. 13.3.
Сеть 6
200.5.5.4/30
Сеть 5
200.5.5.0/30
.1
.2
S1/1
S1/2
F0/0
.17
A
F0/1 .33
.18
.30
Cеть 1
192.168.10.16/28
.34
.62
Сеть 2
192.168.10.32/27
.5
B
.6
S1/1 S1/2
F0/0 .129
F0/0 .65
.66
.70
Сеть 3
192.168.20.64/29
C
.130
.190
Cеть 4
192.168.10.128/26
Рис. 13.3. Пример составной сети
Из рис. 13.3 следует, что Сеть 1 (192.168.10.16/28), Сеть 2
(192.168.10.32/27) и Сеть 4 (192.168.10.128/26) являются подсетями сети
192.168.10.0/24. Причем, Сети 1, 2 и Сеть 4 разделены Сетью 5 и Сетью 6.
278
Конфигурирование адресов интерфейсов и протокола RIP приведено на
примере маршрутизатора R-A:
R_А(config)#router rip
R_А(config-router)#network 192.168.10.16
R_А(config-router)#network 192.168.10.32
R_А(config-router)#network 200.5.5.0
R-А#show run
...
interface FastEthernet0/0
ip address 192.168.10.17 255.255.255.240
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.10.33 255.255.255.224
duplex auto
speed auto
!
interface Serial1/1
ip address 200.5.5.1 255.255.255.252
clock rate 64000
!
router rip
network 192.168.10.0
network 200.5.5.0
Поскольку RIP относится к протоколам типа classfull, то он объединяет
отдельные подсети в рамках сети полного класса, в данном случае сети
класса С, что можно увидеть из распечатки команды show running-config
(выделено цветом). Две подсети (192.168.10.16 и 192.168.10.32), которые
были заданы при конфигурировании, протокол RIP объединил в сеть класса
С (network 192.168.10.0).
R-А#show ip route
...
Gateway of last resort is not set
192.168.10.0/24 is variably subnetted, 2 subnets, 2 masks
C192.168.10.16/28 is directly connected, FastEthernet0/0
C
192.168.10.32/27 is directly connected, FastEthernet0/1
R
192.168.20.0/24 [120/1] via 200.5.5.2, 00:00:05, Serial1/1
200.5.5.0/30 is subnetted, 2 subnets
279
C
R
200.5.5.0 is directly connected, Serial1/1
200.5.5.4 [120/1] via 200.5.5.2, 00:00:05, Serial1/1
Из распечатки команды sh ip route следует, что сеть 192.168.10.0/24
разделена на две непосредственно присоединенных подсети с масками
разной длины: 192.168.10.16/28 и 192.168.10.32/27. При этом сеть полного
класса 192.168.10.0/24 называется родительской, а подсети 192.168.10.16/28
и 192.168.10.32/27 – дочерними.
Кроме того, в таблице маршрутизации R-А(рис. 13.3) отсутствует
маршрут к сети 192.168.10.128/26.Поскольку протокол RIPв своих
обновлениях
не
передает
маску
подсети,
то
подсеть
192.168.10.128/26объединена в рамках сети 192.168.10.0/24. Из-за отсутствия
в таблице маршрутизации R-А маршрута к сети 192.168.10.128/26
«пингование» интерфейса 192.168.10.129 – неудачное:
R-А>ping 192.168.10.129
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.129, timeout is 2
seconds:
.....
Success rate is 0 percent (0/5)
Конфигурирование маршрутизатора В дало следующий результат:
R-В#show ip route
...
Gateway of last resort is not set
R
192.168.10.0/24 [120/1] via 200.5.5.1, 00:00:15, Serial1/2
[120/1] via 200.5.5.6, 00:00:02, Serial1/1
192.168.20.0/29 is subnetted, 1 subnets
C
192.168.20.64 is directly connected, FastEthernet0/0
200.5.5.0/30 is subnetted, 2 subnets
C
200.5.5.0 is directly connected, Serial1/2
C
200.5.5.4 is directly connected, Serial1/1
Протокол RIP объединил две подсети 200.5.5.0/30 и 200.5.5.4/30 в сеть
network 200.5.5.0, поэтому в таблице маршрутизации R-В имеется два
маршрута к сети 192.168.10.0/24, причем, один путь направлен влево через
интерфейс 200.5.5.1, а другой вправо через 200.5.5.6. Поскольку оба пути
характеризуются одинаковой метрикой, равной 1, то протокол RIPиспользует
280
баланс маршрутов и поочередно посылает пакеты через два разных
интерфейса одному адресату назначения, например – 192.168.10.17. Поэтому
один пакет доходит до адресата, а второй – нет:
R-В#ping 192.168.10.17
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.17, timeout is 2 seconds:
!U!.!
Success rate is 60 percent (3/5), round-trip min/avg/max = 34/59/59 ms
Пакеты эхо запроса поочередно попадают, то к адресату назначения (ответ !),
то направляются в другую сторону, где устройство назначения недоступно
(U) или время ожидания превышает допустимое (.).
В таблице маршрутизации R-С отсутствует маршрут к подсетям
192.168.10.16/28 и 192.168.10.32/27, поскольку они объединены с подсетью
192.168.10.128/26 в рамках одной родительской сети 192.168.10.0:
R_С#show ip route
...
192.168.10.0/26 is subnetted, 1 subnets
C
192.168.10.128 is directly connected, FastEthernet0/0
R
192.168.20.0/24 [120/1] via 200.5.5.5, 00:00:03, Serial1/2
200.5.5.0/30 is subnetted, 2 subnets
R
200.5.5.0 [120/1] via 200.5.5.5, 00:00:03, Serial1/2
C
200.5.5.4 is directly connected, Serial1/2
Таким образом, в некорректно спроектированной сети (рис. 13.3)
подсети 192.168.10.16/28, 192.168.10.32/27 и 192.168.10.128/26 разделены
(или, по-другому, разобщены) сетями 200.5.5.0/30 и 200.5.5.4/30. При
использовании протокола RIP в такой сети ее работоспособность нарушена.
Это происходит из-за того, что протокол RIP в своих обновлениях
маршрутной информацией не передает значения маски подсетей и суммирует
адреса подсетей в рамках сети полного класса.
281
13.3. ПротоколыRIP-2 и RIPng
Для обеспечения бесклассовой междоменной маршрутизации CIDR и
возможности использования сетевых масок переменной длиныVLSM
разработан и эксплуатируется протокол вектора расстояния RIPv2, который
в обновлениях передает не только адрес сети назначения, но и значение
маски подсети, а также адрес следующего перехода.
При этом используется значение маски интерфейса, к которому
присоединена сеть, поэтому маска при конфигурировании не задается, также
как в RIPv1. Обмен маршрутной информацией происходит с использованием
сегментов UDP (адрес порта 250). Кроме того, протокол RIPv2 поддерживает
механизм аутентификации для обеспечения безопасности модификации
таблиц. Остальные параметры RIPv2 такие же, как у протокола RIPv1.
При конфигурировании RIPv2 на маршрутизаторах А, В, С (рис. 13.3)
необходимо дополнительно указать, что используется протокол версии 2.
Например, при конфигурировании маршрутизатора А:
R_А(config)#router rip
R_А(config-router)#version
R_А(config-router)#network
R_А(config-router)#network
R_А(config-router)#network
2
192.168.10.16
192.168.10.32
200.5.5.0
Кроме того, чтобы не корректно спроектированная сеть (рис. 13.3)
функционировала, необходимо отменить автоматическое суммирование
маршрутов. Автоматическое суммирование дает возможность сократить
число входов (строк) таблицы маршрутизации, что ускоряет процесс
обработки адресов назначения маршрутизатором. При этом вместо адресов
нескольких подсетей будет задан один агрегированный (объединенный)
адрес. Однако в случае не корректно спроектированной сети (рис. 13.3)
подсети 192.168.10.16/28, 192.168.10.32/27 и 192.168.10.128/26 будут
объединены в рамках адреса 192.168.10.0/24 сети полного класса, поэтому
работоспособность сети будет нарушена, также как в случае
функционирования протокола RIPv1.
Для нормального функционирования RIPv2 в сети (рис. 13.3)
достаточно отменить режим автосуммирования на всех маршрутизаторах:
282
R_А(config)#router rip
R_А(config-router)#version 2
R_А(config-router)#no auto-summary
Работоспособность сети проверяется по командам show run, show ip
route, ping, tracert, traceroute. Ниже приведена распечатка таблицы
маршрутизации R-B:
R-В#show ip route
...
Gateway of last resort is not set
192.168.10.0/24 is variably subnetted, 3 subnets, 3 masks
R 192.168.10.16/28 [120/1] via 200.5.5.1, 00:00:21, Serial1/2
R 192.168.10.32/27 [120/1] via 200.5.5.1, 00:00:21, Serial1/2
R 192.168.10.128/26 [120/1] via 200.5.5.6, 00:00:24, Serial1/1
192.168.20.0/29 is subnetted, 1 subnets
C 192.168.20.64 is directly connected, FastEthernet0/0
200.5.5.0/30 is subnetted, 2 subnets
C 200.5.5.0 is directly connected, Serial1/2
C 200.5.5.4 is directly connected, Serial1/1
R-В#
Поскольку на R-Bи на соседних маршрутизаторах сконфигурирован
протокол RIPv2 и отменен режим автоматического суммирования
маршрутов, то в таблицах существуют маршруты к адресам подсетей с
масками переменной длины.
Распечатка показывает, что родительская сеть 192.168.10.0/24
включает три дочерние подсети (192.168.10.16/28, 192.168.10.32/27,
192.168.10.128/26) с масками переменной длины. Родительская сеть
200.5.5.0/30 включает две дочерние подсети (200.5.5.0, 200.5.5.4) с масками
одинаковой длины, поэтому префикс (/30) задан для родительской сети.
Пути к сетям, маска которых равна или меньше маски сети полного
класса, называются маршрутами уровня 1. Примером маршрута уровня 1 из
приведенной распечатки является маршрут к прямо присоединенной сети
(C 192.168.20.64 is directly connected, FastEthernet0/0).
Путь к родительской сети 192.168.10.0/24 тоже является маршрутом
уровня 1. К маршрутам уровня 1 также относятся маршруты по умолчанию и
маршруты к объединенным сетям (supernet).
Пути к дочерним сетям являются маршрутами уровня 2.
283
Выбор
маршрута
осуществляется
на
принципе
максимально
длинного совпадения сетевой части адреса назначения пакета и строки
таблицы маршрутизации.
Если в маршруте указан адрес следующего перехода или выходной
интерфейс, то такой маршрут называет окончательным (ultimate).
Например, маршрут R 192.168.10.16/28 [120/1] via 200.5.5.1,
00:00:21, Serial1/2 является окончательным.
Важную информацию об используемом протоколе дает распечатка
команды show ip protocols:
R-B>show ip protocols
Routing Protocol is "rip"
Sending updates every 30 seconds, next due in 21 seconds
Invalid after 180 seconds, hold down 180, flushed after 240
Outgoing update filter list for all interfaces is not set
Incoming update filter list for all interfaces is not set
Redistributing: rip
Default version control: send version 2, receive 2
Interface
Send Recv Triggered RIP Key-chain
FastEthernet0/0
2
2
Serial1/1
2
2
Serial1/2
2
2
Automatic network summarization is not in effect
Maximum path: 4
Routing for Networks:
192.168.20.0
200.5.5.0
Passive Interface(s):
Routing Information Sources:
Gateway
Distance
Last Update
200.5.5.1
120
00:00:16
200.5.5.6
120
00:00:03
Distance: (default is 120)
Из распечатки следует, что используется протокол RIP с административным
расстоянием 120. Выделенная цветом часть строки распечатки показывает,
что это протокол RIPv2, который посылает и принимает обновления версии 2
(send version 2, receive 2) через все свои интерфейсы. Автоматическое
суммирование выключено. Маршрутизация реализована для присоединенных
сетей 192.168.20.0 и 200.5.5.0, пассивные интерфейсы отсутствуют.
Шлюзами для пересылки пакетов являются 200.5.5.1 и 200.5.5.6 .
284
Через пассивный интерфейс маршрутизатор может получать
обновления, но отправлять обновления не может. В остальном – это обычный
интерфейс, через который передаются пакеты данных. Например, в схеме
рис. 13.3 через интерфейс F0/0 нет смысла передавать обновления из
маршрутизатора R-B, поскольку в локальной сети 3 (192.168.20.64/29) нет
маршрутизаторовRIP. Поэтому интерфейс F0/0 можно сконфигурировать как
пассивный:
R-B(config)#router rip
R-B(config-router)#passive-interface f0/0
Команда passive-interface default делает все интерфейсы
пассивными. Отмена пассивного режима интерфейса производится по
команде no passive-interface.
Следует отметить, что команда passive-interface используется и
в других протоколах маршрутизации.
При рассмотрении статической маршрутизации отмечалось, что на
граничных с сетью ISP маршрутизаторах (R-C на рис. 13.4) обычно
конфигурируется статический маршрут по умолчанию.
200.5.5.0/30
.1
.2
S1/1
S1/2
F0/0
.17
A
F0/1 .33
.18
.30
Cеть 1
192.168.10.16/28
.34
.62
Сеть 2
192.168.10.32/27
.5
B
.70
Сеть 3
192.168.20.64/29
200.7.7.0/24
.6
S1/1 S1/2
C
.11
.12
S1/1
S1/2
F0/0 .129
F0/0 .65
.66
Сеть 7
Сеть 6
200.5.5.4/30
Сеть 5
.130
ISP
.190
Cеть 4
192.168.10.128/26
Рис. 13.4. Пример распределенной сети
Например, в сети рис. 13.4 такой маршрут о умолчанию формируется
на маршрутизаторе R-C:
R-С(config)#ip route 0.0.0.0 0.0.0.0 200.7.7.12
285
При этом таблица маршрутизации R-C будет включать маршрут по
умолчанию, который помечен символом S*:
R-С#>sh ip route
...
Gateway of last resort is 200.7.7.12 to network 0.0.0.0
192.168.10.0/24 is variably subnetted, 3 subnets, 3 masks
R
192.168.10.16/28 [120/2] via 200.5.5.5, 00:00:19, Serial1/2
R
192.168.10.32/27 [120/2] via 200.5.5.5, 00:00:19, Serial1/2
C
192.168.10.128/26 is directly connected, FastEthernet0/0
192.168.20.0/29 is subnetted, 1 subnets
R
192.168.20.64 [120/1] via 200.5.5.5, 00:00:19, Serial1/2
200.5.5.0/30 is subnetted, 2 subnets
R
200.5.5.0 [120/1] via 200.5.5.5, 00:00:19, Serial1/2
C
200.5.5.4 is directly connected, Serial1/2
C
200.7.7.0/24 is directly connected, Serial1/1
S* 0.0.0.0/0 [1/0] via 200.7.7.12
После создания маршрута по умолчанию в таблице маршрутизации
формируется шлюз последней надежды (Gateway of last resort is
200.7.7.12 to network 0.0.0.0).
Чтобы не конфигурировать маршруты по умолчанию на R-А и R-В, на
них можно распространить уже созданный маршрут по следующей команде:
R-С(config)#router rip
R-С(config-router)#default-information originate
При этом в таблицах маршрутизации R-А и R-В будет сформирован маршрут
по умолчанию, помеченный символом R*:
R-В>sh ip route
...
Gateway of last resort is 200.5.5.6 to network 0.0.0.0
192.168.10.0/24 is variably subnetted, 3 subnets, 3 masks
R 192.168.10.16/28 [120/1] via 200.5.5.1, 00:00:22, Serial1/2
R 192.168.10.32/27 [120/1] via 200.5.5.1, 00:00:22, Serial1/2
R 192.168.10.128/26 [120/1] via 200.5.5.6, 00:00:06, Serial1/1
192.168.20.0/29 is subnetted, 1 subnets
C 192.168.20.64 is directly connected, FastEthernet0/0
200.5.5.0/30 is subnetted, 2 subnets
C 200.5.5.0 is directly connected, Serial1/2
C 200.5.5.4 is directly connected, Serial1/1
R* 0.0.0.0/0 [120/1] via 200.5.5.6, 00:00:06, Serial1/1
286
R-А>sh ip route
...
Gateway of last resort is 200.5.5.2 to network 0.0.0.0
192.168.10.0/24 is variably subnetted, 3 subnets, 3 masks
C 192.168.10.16/28 is directly connected, FastEthernet0/0
C 192.168.10.32/27 is directly connected, FastEthernet0/1
R 192.168.10.128/26 [120/2] via 200.5.5.2, 00:00:07, Serial1/1
192.168.20.0/29 is subnetted, 1 subnets
R 192.168.20.64 [120/1] via 200.5.5.2, 00:00:07, Serial1/1
200.5.5.0/30 is subnetted, 2 subnets
C 200.5.5.0 is directly connected, Serial1/1
R 200.5.5.4 [120/1] via 200.5.5.2, 00:00:07, Serial1/1
R* 0.0.0.0/0 [120/2] via 200.5.5.2, 00:00:07, Serial1/1
То есть, маршрут R*распространен протоколом RIP. Аналогичные
механизмы есть и в других протоколах.
Протокол RIPng
Для работы в сетях IPv6 на базе RIPv2 разработан протокол RIPng с
административным расстоянием AD = 120 и допустимым количеством
переходов – 15. Конфигурирование протокола RIPng приведено на примере
сети рис. 13.5, где сформировано пять подсетей (2001:db8:a:1::/64,
2001:db8:a:2::/64, 2001:db8:a:3::/64, 2001:db8:a:4::/64, 2001:db8:a:5::/64).
2001:db8:a:1::1/64
2001:db8:a:3::1/64
S0/3/0
Sw1
...
2001:db8:a:3::2/64
2001:db8:a:5::1/64
S0/3/1
G0/1
B
DCE
2001:db8:a:2::1/64 G0/1
2001:db8:a:4::1/64 G0/0
G0/0
A
Sw2
Sw3
...
...
Рис. 13.5. Пример сети IPv6
287
Sw4
...
Для работы любого маршрутизирующего протокола в сети IPv6
необходимо разрешить маршрутизаторам передачу пакетов сетевого
протокола IPv6, для чего используется команда:
R-A(config)#ipv6 unicast-routing
Формирование маршрутизирующего протокола RIPng производится в
режиме конфигурирования интерфейса, что является главным отличием
RIPng от RIP-2. При этом используется следующая последовательность
команд:
R-A(config)#int1g0/0
R-A(config-if)#ipv6 rip RIP6 enable
где RIP6 – доменное имя протокола.
Аналогично настраиваются все другие интерфейсы маршрутизаторов
сети. Таким образом, при конфигурировании RIPng прямо присоединенные
сети по команде network не задаются. Протокол конфигурируется на
каждом интерфейсе.
Сетевой протокол IPv6 является бесклассовым, поэтому все пути в
таблице маршрутизации являются окончательными маршрутами уровня 1.
288
13.4. Протокол EIGRP
В настоящее время на аппаратуре Cisco рекомендовано использовать
расширенный дистанционно-векторный маршрутизирующий протокол
(Enhanced Interior Gateway Routing Protocol – EIGRP). Административное
расстояние EIGRP равно 90 (см. табл. 11.1). Протокол EIGRP используется
внутри автономных систем (АS), в которых группы маршрутизаторов
разделяют маршрутную информацию (см. рис. 13.1). Протокол обеспечивает
до 255 переходов, в отличие от протокола RIP, который обеспечивает 15
переходов.
Автономные системы объединяют сети под общим административным
управлением. Поскольку все маршрутизаторы в АS должны совместно
использовать маршрутную информацию, то у них конфигурируется
одинаковый номер автономной системы.
При формировании маршрутов протокол EIGRP использует специально
разработанный для этих целей алгоритм (Diffusing Update Algorithm –
DUAL). Согласно алгоритма DUAL протокол EIGRP не проводит
периодический обмен объемными обновлениями (update) маршрутной
информации, а использует небольшие пакеты Hello для контроля связи с
соседними маршрутизаторами (механизм keepalive).
Обмен маршрутной информацией производится только при
возникновении изменений в сети (появление новых связей, недоступных
узлов и сетей, изменение метрики). При обмене используется групповой
адрес 224.0.0.10, в отличие от протокола RIP, который использует
широковещательный адрес 255.255.255.255. Причем, производится обмен
неполной (partial) маршрутной информацией, касающейся только изменений
в сети, и с ограниченным (bounded) числом тех маршрутизаторов, которых
затрагивают эти изменения. Кроме того, алгоритм DUAL не использует
таймеры удержания информации holddown (см. раздел 13.2), как это делает
алгоритм Беллмана-Форда протокола RIP. Поэтому сходимость
(convergence) сетей EIGRP более быстрая.
При обмене маршрутной информацией алгоритма DUAL создает
топологическую таблицу, в которой хранятся не только наилучшие
маршруты, но и альтернативные. При выходе из строя основного маршрута
алгоритм DUAL использует резервный из топологической таблицы без
289
дополнительных вычислений и обмена с другими маршрутизаторами. Это
также ускоряет сходимость.
Протоколы маршрутизации используют метрику, чтобы определить
кратчайший маршрут к устройству назначения. Метрика протоколаEIGRP
учитывает
совокупность
параметров.
Алгоритм
DUALпротокола
рассчитывает значение метрики для каждого пути через сеть. Меньшее число
указывает лучший маршрут. Полоса пропускания и задержка являются
статическими параметрами метрики, они остаются неизменными для каждого
интерфейса, пока не будет перестроена сеть или реконфигурирован
маршрутизатор. Параметры загрузка (load) и надежность (reliability)
являются динамическими, они могут рассчитываться маршрутизатором для
каждого интерфейса в реальном времени.
Чем больше факторов, которые составляют метрику, тем больше
гибкость протокола, чтобы учитывать особенности сети. По умолчанию,
протокол EIGRP использует статические параметры (полосу
пропускания и задержки), чтобы вычислить значение метрики. Но при
вычислении метрики могут также использоваться динамические факторы
загрузки и надежности, т.е. маршрутизатор может принять решение,
основанное на текущем состоянии сети. Если соединение становится сильно
загруженным или ненадежным, метрика увеличится. При этом может
использоваться запасной маршрут.
Для вычисления метрики М протоколов IGRP, EIGRP используется
следующая обобщенная формула:
M = [k1 * Bandwidth + (k2 * Bandwidth)/(256-load) + k3*Delay] * [k5/(reliability + k4)] ,
где * – обобщенный оператор,
k – коэффициенты, которые могут принимать значения 0 или 1.
По умолчанию коэффициенты k1 = k3 = 1 и k2 = k4 = k5 = 0, при этом
метрика EIGRP вычисляется следующим образом:
Метрика = (10 000 000/Bandwidth + Σdelay/10)×256
При вычислении значения метрики полоса пропускания (Bandwidth)
задается в кбит/с, а суммарная задержка – в мкс. Задержка определяется
типом выходного интерфейса маршрутизатора и технологией среды
передачи данных. Задержка интерфейсов FastEthernet равна 100 мкс, Ethernet
290
– 1000 мкс, интерфейсов первичных потоков Е1, Т1 – 20 000 мкс. Задержка
интерфейсов ОЦК (64 кбит/с) также составляет 20 000 мкс.
Метрика маршрута, состоящего из нескольких соединений,
определяется полосой пропускания самого «медленного» соединения и
суммарной задержкой всех выходных интерфейсов маршрутизаторов.
Например, если сообщение передается с узла локальной сети через
интерфейс FastEthernet маршрутизатора и далее через последовательный
интерфейс, предназначенный для передачи первичного цифрового потока с
полосой пропускания 2048 кбит/с, то метрика будет равна:
107 ×∙256 /2048 + (20 000 +100) ×∙256/10 = 125∙104 + 514560 = 1 764 560.
Метрика соединения со скоростью передачи 64 кбит/с будет равна 40 ∙ 106, а
при скорости 128 кбит/с метрика – 20∙ 106.По умолчанию на соединениях
задана либо скорость 128 кбит/с, либо скорость Е1 или Т1.
Значения коэффициентов k1, k2, k3, k4, k5можно изменить по команде:
Router(config-router)#metric weights tosk1 k2 k3 k4 k5
Значения k1, k2, k3, k4, k5 передается в пакете протокола EIGRP.
Заголовок пакета EIGRP располагается следом за заголовком IPпакета и содержит код типа пакета, номер автономной системы. В самом
EIGRP-пакете содержится информация о значениях коэффициентов k1, k2,
k3, k4, k5,задержки, ширины полосы пропускания, надежности, загрузки,
префиксе, т.е. о маске переменной длины и другая информация.
Особенностью протокола EIGRP является использование собственного
протокола надежной доставки (Reliable Transport Protocol – RTP),
поскольку EIGRP взаимодействует не только с IP-протоколом, но и с
протоколами IPX, Apple-Talk, которые не поддерживают TCP и UDP.
Протокол надежной доставки RTP может работать с подтверждением
доставки (reliable) и без подтверждения (unreliable).
Для обмена информацией между маршрутизаторами протокол EIGRP
использует пять типов пакетов:
1. Hello
2. Update
3. Acknowledgment
291
4. Query
5. Replay
Hello-пакеты используются, чтобы поддерживать отношения
смежности (adjacency) между соседними устройствами. Они передаются
периодически с использованием многоадресного режима(адрес 224.0.0.10) и
без подтверждения доставки. В большинстве случаев период рассылки Helloпакетов составляет 5 сек. Если в течение утроенного периода времени
рассылки Hello-пакет не будут получены, то это будет означать, что связь с
устройством потеряна. Результатом обмена Hello-пакетами является
построение таблицы соседних устройств (Neighbor Table). Таблицу соседних
устройств, например, маршрутизатора R-B (рис. 13.6) можно посмотреть по
команде:
R_В#show ip eigrp neighbors
IP-EIGRP neighbors for process 1
H
Address
Interface
Hold Uptime
SRTT
(sec)
(ms)
Cnt Num
0
200.5.5.1
Ser1/2
10 00:01:09 40
1
200.5.5.6
Ser1/1
11 00:01:09 40
200.5.5.0/30
.1
.2
S1/1
S1/2
F0/0
.17
A
F0/1 .33
.18
.30
Cеть 1
192.168.10.16/28
.34
.62
Сеть 2
192.168.10.32/27
.5
B
.70
Сеть 3
192.168.20.64/29
.130
0
0
Seq
12
17
200.7.7.0/24
C
.11
.12
S1/1
S1/2
F0/0 .129
F0/0 .65
.66
500
500
.6
S1/1 S1/2
Q
Сеть 7
Сеть 6
200.5.5.4/30
Сеть 5
RTO
ISP
.190
Cеть 4
192.168.10.128/26
Рис. 13.6. Сеть с протоколом EIGRP
В таблице указаны адреса входных интерфейсов соседних маршрутизаторов
(Address), типы собственных выходных интерфейсов (Interface), значение
текущего времени (Holdtime) и другая информация.
292
Второй тип пакетовUpdate рассылается не периодически, а только по
мере возникновения изменений в сети. Пакеты могут рассылаться в
одноадресном (unicast) или многоадресном (multiicast) режиме. Рассылка
пакетов Update проводится с подтверждением доставки (Acknowledgment),
сами пакеты подтверждения Acknowledgment рассылаются в одноадресном
режиме без подтверждения доставки.
Пакеты Query и Replay используются алгоритмом DUAL для
начального создания топологии сети и при ее изменениях. При этом всегда
применяется надежная доставка. Пакеты Query могут рассылаться в
одноадресном или многоадресном режимах, Replay – всегда в одноадресном.
Для эффективного функционирования помимо таблицы соседних
устройств (Neighbor Table) протокол EIGRP строит и поддерживает таблицу
топологии сети (Topology Table) и таблицу маршрутизации (Routing
Table). При любых изменениях топологии, которые фиксируются в таблицах
соседних устройств и топологии сети, алгоритм DUAL либо включает в
таблицу маршрутизации запасные маршруты из таблицы топологии, либо
вычисляет новые маршруты и затем включает их в таблицу маршрутизации.
Алгоритм DUAL обеспечивает вычисление маршрутов свободных от
маршрутных петель (loop-free).
Конфигурирование протокола EIGRP
Составная сеть (рис. 13.6) может быть интерпретирована, как
автономная система, например, номер 30. Адреса сетей, интерфейсов и узлов
составной сети приведены на схеме. При адресации типа classless в сетях
EIGRP можно адресовать подсети с использованием масок переменной
длины, поскольку протокол EIGRP передает значение масок в своих пакетах
Update. Причем используется маска переменной длины типа wildcardmask. Подобная маска получается путем инвертирования обычной маски
подсети. Если при конфигурировании ввести обычную маску, то
операционная система IOS исправит маску на инвертированную, например,
маску 255.255.255.240операционная система исправит на 0.0.0.15, что будет
отображено по команде show running-config.
293
Ниже приведен пример конфигурирования на маршрутизаторах А, В, С
протокола EIGRP. Активизация протокола EIGRP производится командой
router eigrp 30 в режиме глобального конфигурирования с указанием номера
автономной системы (в данном примере 30). После перехода маршрутизатора
в режим детального конфигурирования вводятся адреса непосредственно
присоединенных сетей с указанием инвертированной маски.
Маршрутизатор R_А:
R_A(config)#router eigrp 30
R_A(config-router)#network 192.168.10.16 0.0.0.15
R_A(config-router)#network 192.168.10.32 0.0.0.31
R_A(config-router)#network 200.5.5.0 0.0.0.3
МаршрутизаторR_B:
R_В(config)#router eigrp 30
R_В(config-router)#network 192.168.20.64 0.0.0.7
R_В(config-router)#network 200.5.5.0 0.0.0.3
R_В(config-router)#network 200.5.5.4 0.0.0.3
Маршрутизатор R_С:
R_С(config)#router eigrp 30
R_С(config-router)#network 192.168.10.128 0.0.0.63
R_С(config-router)#network 200.5.5.4 0.0.0.3
Результат конфигурирования можно посмотреть по команде show ip
route. Ниже приведены распечатки таблиц маршрутизации всех
маршрутизаторов. Маршруты, созданные протоколом EIGRP, помечены
символом D.
Таблица маршрутизации R_А:
R_А#sh ip route
...
Gateway of last resort is not set
D
C
C
D
192.168.10.0/24 is variably subnetted, 3 subnets, 3 masks
192.168.10.0/24 is a summary, 00:02:05, Null0
192.168.10.16/28 is directly connected, FastEthernet0/0
192.168.10.32/27 is directly connected, FastEthernet0/1
192.168.20.0/24 [90/20514560] via 200.5.5.2, 00:01:05, Serial1/1
200.5.5.0/24 is variably subnetted, 3 subnets, 2 masks
294
D
C
D
R_А#
200.5.5.0/24 is a summary, 00:01:27, Null0
200.5.5.0/30 is directly connected, Serial1/1
200.5.5.4/30 [90/21024000] via 200.5.5.2, 00:01:27, Serial1/1
Из таблицы следует, что путь в сеть 192.168.10.128/26 отсутствует,
поскольку он входит в суммарный маршрут 192.168.10.0/24. Протокол EIGRP
автоматически формирует суммарные маршруты, которые в таблицах
отмечены интерфейсом Null0, что показывает вторая строка таблицы
маршрутизации.
Пакеты,
поступающие
на
интерфейс
Null0,
уничтожаются. То есть, пакет адресованный подсети 192.168.10.128/26 при
поступлении в маршрутизатор R_А будет уничтожен.
То, что в протоколе RIP называлось адресом следующего перехода
(next hop) или шлюзом, в терминах протокола EIGRP называется
преемником (successor). Например, для маршрута к сети 192.168.20.0/24
(строка 5 таблицы) преемником будет интерфейс 200.5.5.2 маршрутизатора
R_В. Административное расстояние EIGRP равно 90, а метрика составляет
20514560, выходным интерфейсом маршрутизатора R_А является Serial1/1.
Таблица маршрутизации R_B:
R_В#sh ip route
...
Gateway of last resort is not set
D
192.168.10.0/24 [90/20514560] via 200.5.5.1, 00:01:45, Serial1/2
[90/20514560] via 200.5.5.6, 00:00:23, Serial1/1
192.168.20.0/24 is variably subnetted, 2 subnets, 2 masks
D
192.168.20.0/24 is a summary, 00:01:18, Null0
C
192.168.20.64/29 is directly connected, FastEthernet0/0
200.5.5.0/24 is variably subnetted, 3 subnets, 2 masks
D
200.5.5.0/24 is a summary, 00:00:43, Null0
C
200.5.5.0/30 is directly connected, Serial1/2
C
200.5.5.4/30 is directly connected, Serial1/1
Из анализа таблицы маршрутизации R_В следует, что путь в объединенную
сеть192.168.10.0/24 может быть как влево через 200.5.5.1, так и вправо через
200.5.5.6, т.е. ситуация аналогична протоколу RIP.
295
Таблица маршрутизации Router_С:
R_С#sh ip route
...
Gateway of last resort is not set
D
C
D
D
D
C
192.168.10.0/24 is variably subnetted, 2 subnets, 2 masks
192.168.10.0/24 is a summary, 00:00:11, Null0
192.168.10.128/26 is directly connected, FastEthernet0/0
192.168.20.0/24 [90/20514560] via 200.5.5.5, 00:00:07, Serial1/2
200.5.5.0/24 is variably subnetted, 3 subnets, 2 masks
200.5.5.0/24 is a summary, 00:00:07, Null0
200.5.5.0/30 [90/21024000] via 200.5.5.5, 00:00:07, Serial1/2
200.5.5.4/30 is directly connected, Serial1/2
Из таблицы маршрутизации R_С следует, что маршрут к сетям
192.168.10.16/28 и 192.168.10.32/27 отсутствует, вследствие того что
протокол EIGRP автоматически суммировал маршруты и использовал
выходной интерфейс Null0. Функцию автоматического суммирования
маршрутов (auto-summary) можно видеть по команде show running-config.
Например, для маршрутизатора R_B:
R_В#sh run
Building configuration...
...
!
router eigrp 30
network 192.168.20.64 0.0.0.7
network 200.5.5.0 0.0.0.3
network 200.5.5.4 0.0.0.3
auto-summary
!
...
Чтобы протокол EIGRP мог обеспечить маршрутизацию в сети
(рис.13.6), необходимо отменить авто-суммирование маршрутов на всех
маршрутизаторах, как в протоколе RIPv2. Например, на маршрутизаторе R_B
отмена авто-суммирования производится по следующей команде:
R_B(config)#router eigrp 30
R_B(config-router)#no auto-summary
Проверка подтверждает отмену авто-суммирования:
296
R_В#sh run
Building configuration...
...
router eigrp 30
network 192.168.20.64 0.0.0.7
network 200.5.5.0 0.0.0.3
network 200.5.5.4 0.0.0.3
no auto-summary
...
Отмена авто-суммирования приводит к увеличению количества строк в
таблице маршрутизации, что повышает нагрузку на процессор при обработке
маршрутов. Однако пятая строка таблицы R_А (выделена цветом) теперь
содержит маршрут к подсети 192.168.10.128/26, которого ранее не было, что
можно видеть из распечатки команд sh ip route:
R_А#sh ip route
...
Gateway of last resort is not set
192.168.10.0/24 is variably subnetted, 4 subnets, 4 masks
D 192.168.10.0/24 is a summary, 00:05:09, Null0
C 192.168.10.16/28 is directly connected, FastEthernet0/0
C 192.168.10.32/27 is directly connected, FastEthernet0/1
D 192.168.10.128/26 [90/21026560] via 200.5.5.2, 00:00:14, Serial1/1
192.168.20.0/24 is variably subnetted, 2 subnets, 2 masks
D 192.168.20.0/24 [90/20514560] via 200.5.5.2, 00:00:32, Serial1/1
D 192.168.20.64/29 [90/20514560] via 200.5.5.2, 00:00:32, Serial1/1
...
В остальном, таблица маршрутизации не изменилась.
Аналогичная ситуация и в маршрутизаторе R_В. Если раньше путь в
объединенную сеть 192.168.10.0/24 мог быть как влево через 200.5.5.1, так и
вправо через 200.5.5.6, то после отмены авто-суммирования, путь к подсетям
192.168.10.16/28 и 192.168.10.32/27 лежит влево через интерфейс 200.5.5.1, а
к подсети 192.168.10.128/26 – вправо, через 200.5.5.6. Указанные маршруты в
таблице маршрутизации выделены цветом:
297
R_В#sh ip route
...
Gateway of last resort is not set
192.168.10.0/24 is variably subnetted, 4 subnets, 4 masks
D 192.168.10.0/24 is a summary, 00:01:44, Null0
D 192.168.10.16/28 [90/20514560] via 200.5.5.1, 00:01:30, Serial1/2
D 192.168.10.32/27 [90/20514560] via 200.5.5.1, 00:01:30, Serial1/2
D192.168.10.128/26 [90/20514560] via 200.5.5.6, 00:01:13, Serial1/1
...
В остальном, таблица маршрутизации не изменилась.
В маршрутизаторе R_С появились пути к подсетям 192.168.10.16/28 и
192.168.10.32/27 (выделены цветом):
R_С#sh ip route
...
D
D
D
C
D
D
D
D
C
192.168.10.0/24 is variably subnetted, 4 subnets, 4 masks
192.168.10.0/24 is a summary, 00:02:18, Null0
192.168.10.16/28 [90/21026560] via 200.5.5.5, 00:02:02, Serial1/2
192.168.10.32/27 [90/21026560] via 200.5.5.5, 00:02:02, Serial1/2
192.168.10.128/26 is directly connected, FastEthernet0/0
192.168.20.0/24 is variably subnetted, 2 subnets, 2 masks
192.168.20.0/24 is a summary, 00:02:18, Null0
192.168.20.64/29 [90/20514560] via 200.5.5.5, 00:02:02, Serial1/2
200.5.5.0/24 is variably subnetted, 3 subnets, 2 masks
200.5.5.0/24 is a summary, 00:02:18, Null0
200.5.5.0/30 [90/21024000] via 200.5.5.5, 00:02:02, Serial1/2
200.5.5.4/30 is directly connected, Serial1/2
Таким образом, протокол EIGRP обеспечивает бесклассовую
междоменную маршрутизацию CIDR и возможность использования сетевых
масок переменной длины VLSM. Протокол EIGRP в обновлениях передает
адрес сети назначения, значение сетевой маски подсети, а также адрес
следующего перехода (шлюза).
298
Краткие итоги главы13
1. Протоколы динамической маршрутизации разделяют сетевую
информацию путем обмена данными между маршрутизаторами.
2. Протоколы маршрутизации обнаруживают сети и прокладывают
маршруты к удаленным сетям, создавая и поддерживая таблицы
маршрутизации, на основе которых маршрутизатор коммутирует
поступивший пакет с входного интерфейса на выходной.
3. Протоколы маршрутизации характеризуются административным
расстоянием (AD), которое показывает степень достоверности источника
маршрута, т.е. протокола, создавшего маршрут. Определение наиболее
рационального (оптимального) пути производится на основе метрики.
4. В качестве метрики может использоваться: количество переходов между
маршрутизаторами на пути до сети назначения; полоса пропускания
соединений; задержка на пути от источника до адресата назначения;
загрузка канала; надежность передачи; обобщенная стоимость.
5. При изменениях в топологии требуется некоторое время (время
сходимости или конвергенции) для согласования информации в таблицах
маршрутизации всех маршрутизаторов сети. Время сходимости должно
быть минимальным.
6. Совокупность сетей, представленных набором маршрутизаторов под
общим административным управлением, образует автономную систему.
7. Протоколы динамической маршрутизации, работающие внутри
автономных систем, подразделяются на протоколы вектора расстояния
(distance-vector) и протоколы состояния канала (link-state).
8. Метрика протоколов вектора расстоянияRIP и RIP-2 выражается в
количестве переходов (hop count) на пути от узла источника к адресату
назначения. Обмен обновлениями или модификациями происходит
периодически каждые 30 сек., даже если в сети нет никаких изменений.
Сходимость медленная.
9. Протокол RIPv1 использует маршрутизацию на основе классов, когда все
устройства в подсети имеют одинаковую маску, т.к. RIP не включает
информацию о маске подсети в обновления маршрутизации.
10.Протоколы вектора расстояния RIP и RIP-2 используют алгоритм
Беллмана-Форда, когда существует возможность возникновения
маршрутных петель, для борьбы с которыми разработан ряд методов.
11.Протоколы RIPv2, EIGRP, OSPF обеспечивают бесклассовую
маршрутизацию, поскольку в обновления включена информация о маске
подсети (о префиксе). При этом внутри одной сети могут существовать
подсети с масками разной длины (VLSM).
12.Протокол состояния канала OSPF использует алгоритм Дийкстры
(Dijkstra), когда создается полная картина топологии сети, формируются
таблицы соседних устройств, базы данных, таблицы маршрутизации, и
вычисляются кратчайшие пути ко всем сетям назначения. Обмен
299
маршрутной информацией проводится только при изменениях топологии.
Характеризуются быстрой сходимостью.
13.Когда происходят изменения в маршрутах или каналах, маршрутизатор,
первым заметивший изменение в сети, создает извещение о состоянии
этого соединения (LSA) и передает его всем соседним маршрутизаторам.
14.При обмене маршрутной информацией между маршрутизаторами
обновления передаются через интерфейсы прямо присоединенных сетей и
адреса этих сетей объявляются соседям.
15.Конфигурирование протокола RIP производится путем использования
команды router rip и сообщения протоколу адресов непосредственно
присоединенных сетей.
16.Бесклассовый протокол RIPv2 поддерживает механизм аутентификации
для обеспечения безопасности модификации таблиц.
17.В таблицах маршрутизации пути к сетям, маска которых равна или
меньше маски сети полного класса, называются маршрутами уровня
1.Если в маршруте указан адрес следующего перехода или выходной
интерфейс, то такой маршрут называет окончательным.
18.Маршруты также классифицируются на родительские уровня 1 и
дочерние уровня 2.
19.Через пассивный интерфейс маршрутизатора передаются пакеты данных,
можно получать обновления, но отправлять обновления нельзя.
20.Для распространения созданного маршрута по умолчанию используется
команда default-information originate. Маршрут помечается
«звездочкой».
21.Для работы в сетях IPv6 на базе RIPv2 разработан протокол RIPng.
22.Сетевой протокол IPv6 является бесклассовым, поэтому все маршруты в
таблице маршрутизации являются окончательными уровня 1.
23.Для работы любого маршрутизирующего протокола в сети IPv6
необходимо разрешение ipv6 unicast-routing.
24.Расширенный дистанционно-векторный маршрутизирующий
протоколEIGRPиспользуется внутри автономных систем, имеет
административное расстояние 90. Протокол обеспечивает бесклассовую
междоменную маршрутизацию и использование сетевых масок
переменной длины.
25.EIGRP характеризуется быстрой сходимостью. Реализует обмен неполной
маршрутной информацией, касающейся только изменений в сети, и с
ограниченным числом маршрутизаторов, которых затрагивают изменения.
26.Метрика маршрута, состоящего из нескольких соединений, определяется
полосой пропускания самого «медленного» соединения и суммарной
задержкой всех выходных интерфейсов маршрутизаторов.
27.ПротоколEIGRP формирует таблицы соседних устройств, таблицы
топологии сети и таблицы маршрутизации.
300
Вопросы по главе13
1. Что означает динамическая маршрутизация?
2. Какие функции выполняют маршрутизирующие (routing) протоколы?
3. Какие протоколы функционируют внутри автономных систем и между
автономными система?
4. Что такое административное расстояние, как оно используется?
5. Какое административное расстояние протоколов RIP, EIGRP, OSPF?
6. На основании чего производится определение оптимального пути к сети
назначения?
7. Какие параметры метрики используют маршрутизирующие протоколы?
8. Что означает термин сходимость?
9. Как маршрутизаторы обмениваются таблицами маршрутизации с
соседями при использовании алгоритма вектора расстояния?
10. Когда маршрутизаторы обмениваются маршрутной информацией при
использовании протокола состояния канала?
11. Какие адреса используют протоколы RIPv1, RIPv2, EIGRP, OSPF при
рассылке обновлений?
12. Какие алгоритмы маршрутизации используют протоколы RIP, EIGRP,
OSPF?
13. Где храниться полная информация о топологии сети при использовании
протокола состояния канала?
14. Когда создается извещение о состоянии соединения LSA?
15. В каких типах маршрутизации информация о маске подсети включается
в обновления?
16. Какие методы разработаны для борьбы с маршрутными петлями в
протоколах вектора расстояния?
17. Каковы функции пассивного интерфейса? Каков формат команды
создания пассивного интерфейса?
18. Какая команда распространяет уже созданный маршрут по умолчанию?
19. В чем заключаются особенности конфигурирования протокола RIPng?
20. Какая команда разрешает маршрутизаторам передачу пакетов сетевого
протокола IPv6?
21. Какие типы пакетов использует протокол EIGRP для обмена
маршрутной информацией? Каковы их функции?
22. Какие таблицы формирует протокол EIGRP?
23. Каков формат команд конфигурирования протоколовRIP, EIGRP?
24. В каких случаях рекомендуется отменять автосуммирование?
25. Какой маршрут считается окончательным?
26. Почему в сетях IPv6 все маршруты в таблице маршрутизации являются
окончательными уровня 1?
301
Упражнения
2.
3.
4.
В среде Packet Tracer сконфигурируйте динамическую маршрутизацию
нижеприведенной схемы с использованием протокола RIPv2.
Проведите проверку и отладку сети с использованием команд show
running-config, show ip route, ping, traceroute и tracert.
Прокомментируйте таблицу маршрутизации. Объясните, как
формируется метрика пути к Сети 3 на маршрутизаторах A, B.
A
Сеть 4
200.4.4.12/30
DCE
.14
S0/3/0
S0/3/1
G0/0 .129
.130
Сеть 1
192.168.10.128/26
6.
7.
8.
B
S0/3/0
S0/3/1
G0/0 .161
.162
...
5.
Сеть 5
200.4.4.16/30
DCE
.18
C
.17 G0/0
.18
...
Сеть 2
10.10.20.160/27
...
Сеть 3
192.168.10.16/29
Удалите протокол RIP, сконфигурируйте динамическую маршрутизацию
с использованием протокола EIGRP.
Проведите проверку с использованием команд show running-config,
show ip route, ping, traceroute и tracert.
Прокомментируйте таблицу маршрутизации. Объясните, как
формируется метрика пути к Сети 3 на маршрутизаторах A, B.
Измените значение полосы пропускания соединений Сеть 4, Сеть 5 и
объясните изменение метрики.
302
Глава 14. ПРОТОКОЛ OSPF
Рассмотрены принципы функционирования протокола динамической
маршрутизации по состоянию канала. Приведены основные характеристики протокола
OSPF. Рассмотрены основы конфигурирования динамической маршрутизации на базе
протоколов маршрутизации OSPF2 в сетях IPv4 и OSPF3в сетях IPv6. Проанализированы
таблицы маршрутизации.
14.1. Общие сведения о протоколе OSPF
Протокол состояния канала (Link-state) Open Shortest Path First
(OSPF) предназначен для работы в больших гибких составных сетях, где
обмен маршрутной информацией между множеством маршрутпзаторов
потребовал бы значительных вычислительных ресурсов и пропускной
способности сети. Поэтому большая сеть делится на области или зоны
(area), внутри которых и происходит рассылка обновлений (модификаций)
при изменениях в сетевой топологии. Использование OSPF внутри
определенной области, в которой маршрутизаторы разделяют маршрутную
информацию между собой (рис. 14.1), снижает нагрузку на сеть.
Область 1
14.1.
ABR Область 0 ABR Область 21
Области функционирования протокола OSPF
Областей (зон) может быть несколько, среди которых нулевая область
(area 0) является главной или единственной. Остальные зоны
взаимодействуют с нулевой областью, а напрямую между собой не
взаимодействуют. Взаимодействие периферийных областей с магистральной
(area 0) производится через пограничные маршрутизаторы ABR (рис. 14.1).
Далее рассматривается случай единственной области area 0.
303
Протокол OSPF оперативно реагируют на изменения в сети,
обеспечивая быструю сходимость. Он может работать с оборудованием
разных фирм производителей, и потому получил широкое распространение.
Административное расстояние протокола OSPF равно 110 (см. табл. 11.1).
Протокол OSPF формирует три базы данных, на основе которых
создает соответствующие таблицы:
1. База данных смежности (adjacency database) позволяет сформировать
таблицу соседних устройств(neighbor table), содержимое которой можно
посмотреть по команде show ip ospf neighbor.
2. На основе базы данных о состоянии каналов (Link-State Data Base LSDB) формируется таблица топологии сети (topology table), проверяемая
по команде show ip ospf database. После схождения сети базы
данных о состоянии каналов LSDB должны быть одинаковы у всех
маршрутизаторов области.
3. На основе базы LSDB и базы данных смежности формируется база
пересылки и создается таблица маршрутизации, которую можно
посмотреть по команде show ip route.
В основе протокола OSPF лежит алгоритм Дийкстра (Dijkstra),
обеспечивающий выбор кратчайшего пути (shortest path) к адресату
назначения. Протокол OSPF не проводит периодический обмен
объемными обновлениями (update) маршрутной информации для снижения
нагрузки на сеть, и характеризуется быстрой сходимостью.
Сходимость или конвергенция (convergence) сети достигается, когда
базы данных о состоянии каналов LSDB одинаковы у всех маршрутизаторов
области.
Для обмена маршрутной информацией между устройствами протокол
OSPF использует пять типов пакетов:
1. Пакет приветствия Hello.
2. Пакет описания базы данных Data Base Description – DBD.
3. Пакет запроса Link-State Request – LSR.
4. Пакет обновлений Link-State Update – LSU.
5. Пакет подтверждения Link-State Acknowledgment – LSAck.
304
Пакеты Hello маршрутизатор отправляет со всех своих интерфейсов,
чтобы обнаружить соседние устройства. В отличие от других, Hello-пакеты
рассылаются периодически и довольно часто, чтобы непрерывно
отслеживать работоспособность соседних устройств. После обмена Helloпакетами
между
соседними
устройствами
устанавливаются
и
поддерживаются отношения смежности (adjacency) и формируются таблицы
соседних устройств.
Различают три типа сетей:
1. Широковещательные с множественным доступом (Broadcast multi-access),
например Ethernet.
2. Сети типа точка-точка (Point-to-point).
3. Нешироковещательные с множественным доступом (Non broadcast multiaccess – NBMA), например, сети Frame Relay, ATM.
В сетях первых двух типов период рассылки Hello-пакетов – 10
секунд, а в сетях NBMA – 30 сек. Период простоя (Dead Interval) – в четыре
раза больше. Если в течение периода простоя от соседнего устройства не
пришло ни одного Hello-пакета, то считается, что устройство прекратило
функционирование. Протокол OSPF удалит не отвечающего соседа из базы
данных LSDB. При рассылке Hello-пакетов в сетях IPv4 используется адрес
224.0.0.5 многоадресного режима без подтверждения доставки. В сетях IPv6
для рассылки используется адрес FF02::5.
Пакет DBD содержит сокращенный список базы данных передающего
маршрутизатора и используется принимающим маршрутизатором для
синхронизации (проверки) своей базы данных. Базы данных должны быть
идентичными. Принимающий маршрутизатор может запросить полную
информацию о входах базы данных передатчика, используя пакет запроса
Link-State Request – LSR .
Для обмена объявлениями о состоянии канала используется пакет
обновлений Link-State Update – LSU. Пакет LSU может содержать
различные типы извещений или объявлений (Link-State Advertisements –
LSA). Обмен пакетами объявлений LSA производится на начальном этапе
формирования сети после установления отношения смежности, а также при
возникновении изменений в топологии сети.
Когда происходят изменения в каком-либо соединении сети, то
маршрутизатор, первым заметивший это изменение, создает извещение о
305
состоянии этого соединения LSA, которое передается соседним устройствам.
Каждое устройство, получив обновление LSA, транслирует копии LSA всем
соседним маршрутизаторам в пределах области и затем модифицирует свою
топологическую базу данных. Такая лавинообразная рассылка объявлений о
состоянии каналов ускоряет процесс сходимости.
Для подтверждения принятого пакета обновлений LSU используется
пакет подтверждения (Link-Stat Acknowledgment – LSAck), который
рассылается в одноадресном режиме.
Состояние канала (соединения) – это описание интерфейса, которое
включает IP адрес интерфейса, маску подсети, тип сети и другие параметры.
Полученные пакеты LSA позволяют протоколу OSPFсформировать на
маршрутизаторе базу данных о состоянии каналов LSDB. Зная базу данных,
алгоритм Dijkstra (shortest path first algorithm – SPF) вычисляет кратчайшие
пути к сетям назначения. При этом строится древовидная топология
кратчайших путей SPF ко всем доступным сетям, свободная от маршрутных
петель. Корнем в дереве является сам маршрутизатор. Первый вычисленный
кратчайший путь записывается в таблицу маршрутизации.
Пакет OSPF размещается внутри IP-пакета сразу за IP-заголовком
(рис.14.2).
Заголовок кадра
01-00-5Е-00-00-05
Заголовок IP-пакета
Пакет OSPF
Заголовок OSPF
База данных
Идентификаторы
224.0.0.5
Данные пакета
Рис. 14.2. Заголовок OSPF
При передаче сообщения OSPF заголовок кадра включает групповой
МАС-адрес назначения (01-00-5Е-00-00-05 или 01-00-5Е-00-00-06) и
одноадресный МАС-адрес источника.
Заголовок IP-пакета содержит групповой адрес назначения (224.0.0.5
или 224.0.0.6) и IP-адрес источника. В поле протокола пакета задается
значение 89, что говорит об использовании OSPF.
Заголовок OSPF содержит:
- тип пакета;
- идентификатор маршрутизатора (Router ID);
306
- идентификатор области (area 0);
- другие параметры.
Идентификатор устройства (Router ID), по сути, является IP-адресом
одного из интерфейсов маршрутизатора.
Данные пакета OSPF зависят от типа пакета. Так пакет приветствия
Hello включает:
- маску сети или подсети;
- интервалы времени рассылки пакетов (Hello Interval), интервал простоя
(Dead Interval);
- приоритет маршрутизатора;
идентификаторы
назначенного
(главного,
определяющего)
маршрутизатора (Designated Router - DR) и запасного назначенного
маршрутизатора (Backup Designated Router - BDR) данной области;
- список соседних устройств, содержащий идентификаторы соседей.
Для формирования смежности необходимо, чтобы маршрутизаторы
работали в сети одного типа, и у соседних устройств должны быть
одинаковы:
1. Период времени обмена Hello-пакетами (Hello Interval).
2. Период времени простоя (Dead Interval), по истечению которого связь
считается потерянной, если за это время не было получено ни одного
Hello-пакета.
Выбор назначенного (главного) маршрутизатора области сети
(Designated – DR) и запасного назначенного маршрутизатора сети (BDR),
производится в сетях с множественным доступом. В сетях «точка-точка» этот
механизм не используется. В сегменте сети с множественным доступом,
несколько маршрутизаторов связаны между собой. Поскольку каждый
маршрутизатор должен установить полное отношение смежности со всеми
соседними маршрутизаторами и обменяться информацией о состоянии связи
всех соединений, то, например, при 5 маршрутизаторах необходим обмен
десятью состояниями связи. В общем случае для n маршрутизаторов должно
быть n∙(n-1)/2 обменов, на что должны быть выделены дополнительные
ресурсы, прежде всего, полоса пропускания.
307
Если в сети выбран назначенный маршрутизатор области (DR), то
маршрутизатор, первым обнаруживший изменение в сети, посылает
информацию об изменениях только маршрутизатору DR, а тот в свою
очередь, рассылает LSAs всем другим OSPF маршрутизаторам области, по
адресу 224.0.0.5. Это сокращает количество обменов модификациями в сети.
Если маршрутизатор DRвыходит из строя, то его функции начинает
выполнять запасной назначенный маршрутизатор области сети BDR.
Выбор DRи BDR происходит на основе сравнения приоритетов
маршрутизаторов. По умолчанию приоритет всех маршрутизаторов равен 1.
Значение приоритета может быть любым от 0 до 255. Маршрутизатор с
приоритетом 0 не может быть избранным DRили BDR. Маршрутизатор с
самым высоким OSPF приоритетом будет отобран как DR маршрутизатор.
Маршрутизатор со вторым приоритетом будет BDR.
Когда не задано никаких дополнительных параметров и приоритет
одинаков, выбор DRи BDR происходит на основе идентификаторов (ID)
маршрутизаторов.
Идентификатор маршрутизатора (ID) может быть задан
администратором по команде:
Router(config)#router ospf № процесса
Router(config-router)#router-id ip-адрес
У данной команды наивысший приоритет назначения идентификатора
маршрутизатора.
Если идентификатор не задан администратором, то протокол OSPF
автоматически выбирает в качестве ID адрес одного из интерфейсов с
наибольшим
значением.
Маршрутизатор
с
высшим
значением
идентификатора ID становится DR. Маршрутизатор со вторым наибольшим
значением идентификатора ID становится BDR.
Поскольку на интерфейсах используются разъемы, то они являются
ненадежными элементами сети. Для повышения надежности работы DR на
маршрутизаторах формируют виртуальные логические интерфейсы
loopback. OSPF использует адрес интерфейса loopback как ID
маршрутизатора, независимо от значения адресов других интерфейсов.
Маршрутизатор, на котором сформировано несколько интерфейсов loopback,
использует самое большое значение адреса интерфейса loopback в качестве
308
ID маршрутизатора. Таким образом, выбор DR и BDR происходит на основе
сравнения адресов интерфейсов loopback.
После выбора, DR и BDR сохраняют свои роли, даже если к сети
добавляются маршрутизаторы с более высоким приоритетом до тех пор, пока
маршрутизаторы не будут переконфигурированы.
Создание интерфейса loopback производится по команде interface
loopback, например:
Router(config)#interface loopback 0
Router(config-if)#ip address10.1.1.1 255.255.255.255
Интерфейс loopback должен формироваться с маской подсети на 32 бита –
255.255.255.255. Такая маска называется маской узла, потому что маска
определяет сеть одного узла.
Изменение приоритета OSPF может производиться администратором
по команде ip ospf priority в режиме конфигурирования интерфейса:
Router(config-if)#ip ospf priority №
Значение приоритета (№) интерфейса может изменяться в пределах от 0
до 255. Приоритет можно посмотреть по команде:
Router#show ip ospf interface тип интерфейса
При подключении маршрутизатора, например В к сети (рис. 14.3),
протокол OSPF проходит последовательно несколько стадий, чтобы достичь
сходимости. На этапе установления отношения смежности происходит
переход интерфейса G0/1 маршрутизатора В из выключенного состояния
Down в состояние Init, когда интерфейс начинает передавать Hello-пакеты.
Маршрутизатор В отправляет Hello-пакеты с идентификатором,
например 192.168.10.2, из всех своих интерфейсов по групповому адресу
224.0.0.5. Получив Hello-пакет, соседний маршрутизатор А устанавливает
отношение смежности с В, добавив полученный идентификатор в свою базу
данных смежности и модифицировав таблицу соседних устройств. При этом
маршрутизатор А в режиме одноадресной рассылки отправляет Hello-пакет
маршрутизатору В. Пакет содержит идентификатор самого устройства А,
например 192.168.10.1, и список соседей, подключенных к этому интерфейсу,
т.е. идентификатор 192.168.10.2.
309
Сеть
192.168.10.0/24
A
G0/0
.1
G0/1
.2
B
...
Рис. 14.3. Подключение маршрутизатора к сети
Получив Hello-пакет со своим собственным идентификатором,
маршрутизатор В добавляет устройство А в свою базу данных смежности и
формирует таблицу соседних устройств. Протокол OSPF переводит
маршрутизатор в состояние Two-Way.
После этого в сетях Ethernet проводятся выборы назначенного (DR) и
запасного (BDR). Если маршрутизаторы А и В (рис. 14.3) имеют одинаковый
приоритет, например 1, то в Ethernet-соединении между устройствами
наибольшее значение IP-адреса (192.168.10.2) имеет интерфейс G0/1.
Поэтому назначенным (DR) будет маршрутизатор В, резервным (BDR) –
станет маршрутизатор А.
На следующем этапе синхронизации баз данных в состоянии ExStart
устройство с боле высоким значением идентификатора (маршрутизатор В)
становится ведущим, которое начинает процесс обмена пакетами DBD с
ведомым (состояние Exchange). Получение пакетов DBD подтверждается
пакетами LSAck. Если информация в пакетах DBD показывает, что
требуются дополнительные данные, то используются пакты LSR и LSU
(состояние Loading, работает алгоритм SPF). Достижение маршрутизаторами
сходимости характеризуется состоянием Full.
После синхронизации баз данных пакеты LSU рассылаются только при
изменениях топологии сети или каждые 30 минут работы.
При отладке сети команда show ip protocols отображает номер
процесса OSPF, идентификатор маршрутизатора, адреса присоединенных
310
сетей, наличие пассивных интерфейсов, адреса источников, из которых
передаются обновления, значение административного расстояния.
Метрика протокола OSPF
Протокол маршрутизации OSPF в качестве метрики использует
стоимость (cost). Метрика протокола OSPF базируются на пропускной
способности соединения bandwidth. Алгоритм протокола рассчитывает
суммарное значение стоимости всех соединений через сеть. Меньшее
значение указывает лучший маршрут. Для вычисления метрики
OSPFиспользуется следующая формула:
Метрика (Cost)= 108 /Bandwidth,
где пропускная способность bandwidth задается в бит/c.
По умолчанию протокол OSPF автоматически устанавливает
максимальное значение пропускной способности в 100 Мбит/с. При этом
минимальную стоимость 1 будут иметь соединения FastEthernet,
GigabitEthernet и 10 GigabitEthernet (табл. 14.1). Соединение Ethernet
характеризуется стоимостью 10 единиц, канал ОЦК со скоростью 64 кбит/с –
1562,5 ≈ 1562, канал со скоростью 128 кбит/с – 781, канал Т1 – 64, канал Е1 –
48 единиц.
Таблица 14.1
Стоимость соединений(cost)
Усл. обозначен.
ОЦК
Bandwidth,Мбит/с 0,064
-
T1
E1
Fast
Giga
0,128
1,544
2,048
100
1000
10G
10000
100
1562
781
64
48
1
1
1
1000
15625
7812
647
488
10
1
1
10000
156250
78125
6477
4882
100
10
1
Поскольку минимальную стоимость в одну единицу имеют соединения
FastEthernet, GigabitEthernet и 10 GigabitEthernet, то при выборе между
такими соединениями протокол OSPF не сможет корректно прокладывать
маршрут. Поэтому появилась необходимость изменения значений метрики,
что реализуется по команде:
311
R1(config-router)#auto-cost reference-bandwidth 1000
В этом случае стоимость в 1 единицу будут иметь соединения GigabitEthernet
и 10GigabitEthernet, стоимость соединения FastEthernet будет равна – 10
единицам, другие типы соединений также повысят стоимость в 10 раз. Если
ввести
команду
auto-cost
reference-bandwidth
10000,
то
стоимость в 1 единицу будет иметь соединение 10 GigabitEthernet.
Команду
auto-cost
reference-bandwidth
необходимо
выполнить на всех маршрутизаторах домена, чтобы протокол OSPF мог
правильно выбирать кратчайшие пути к сетям назначения.
Стоимости по умолчанию можно восстановить по команде autocost reference-bandwidth 100, когда минимальную стоимость 1
будут иметь соединения со скоростью 100 Мбит/с и выше, т.е. соединения
FastEthernet, GigabitEthernet, 10 GigabitEthernet.
Если маршрут состоит из нескольких соединений, то значения метрик
cost складываются. Например, для сети (рис. 14.4) стоимость маршрута из
маршрутизатора А в локальную Сеть 2 будет складываться из метрики
соединения между маршрутизаторами А и В (48), метрики соединения между
В и С (1562) и метрики сети назначения Ethernet (10).
2048 кбит/с
A
F0/ 1
64 кбит/с
B
Сеть 1
C
Сеть 2
E0/ 1
Рис. 14.4. Метрика сети OSPF
Суммарное значение метрики будет равно МΣ = 48+1562+10 = 1620.
Значение пропускной способности, которое учитывается при
вычислении метрики маршрута, может быть изменено по команде
bandwidth, где полоса пропускания задается в кбит/c. например:
Router(config)#interface serial 0/0
Router(config-if)#bandwidth 64
312
Значение пропускной способности должно соответствовать реальным
линиям связи, что не всегда выполняется. Причем, пропускная способность
должна быть задана одинаковой на обеих сторонах соединения.
Операционная система Cisco IOS позволяет задавать не только
пропускную способность bandwidth, но и непосредственно значение cost по
команде:
Router(config-if)#ip ospf cost значение
14.2. Конфигурирование протокола OSPF
Ниже приведен пример конфигурирования протокола OSPF на
маршрутизаторах сети IPv4 (рис. 14.5).
Сеть 5
Сеть 6
200.5.5.12/30
200.5.5.16/30
DCE
DCE
.14
.18
S0/3/0
S0/3/1
A
S0/3/0
S0/3/1
C
B
G0/0
.193
G0/0 .161
.129 G0/1
.17 G0/0
.130
.194
...
Сеть 1
192.168.10.128/26
.162
...
.18
...
Сеть 2
192.168.10.192/28
Сеть 3
10.10.20.160/27
...
Сеть 4
192.168.10.16/29
Рис. 14.5. Сеть IPv4 с протоколом OSPF
Из рис. 14.5 следует, что Сеть 1 (192.168.10.128/26), Сеть 2
(192.168.10.192/28) и Сеть 4 (192.168.10.16/29) являются подсетями сети
192.168.10.0/24. Причем, Сети 1, 2 и Сеть 4 разделены Сетями 5 и 6.
При конфигурировании протокола OSPF необходимо задать номер
процесса (по умолчанию 1) и адреса непосредственно присоединенных сетей
с их шаблонными масками переменной длины (wildcard-mask). При этом для
каждой сети указывается номер области (area 0):
313
МаршрутизаторR-А:
R-A(config)#router ospf 1
R-A(config-router)#network 192.168.10.128 0.0.0.63 area 0
R-A(config-router)#network 192.168.10.192 0.0.0.15 area 0
R-A(config-router)#network 200.5.5.12 0.0.0.3 area 0
МаршрутизаторR-B:
R-B(config)#router ospf 1
R-B(config-router)#network 10.10.20.160 0.0.0.31 area 0
R-B(config-router)#network 200.5.5.12 0.0.0.3 area 0
R-B(config-router)#network 200.5.5.16 0.0.0.3 area 0
МаршрутизаторR-С:
R-C(config)#router ospf 1
R-C(config-router)#network 192.168.10.16 0.0.0.7 area 0
R-C(config-router)#network 200.5.5.16 0.0.0.3 area 0
Ниже приведена таблица маршрутизации R-А:
R-A#sh ip route
...
Gateway of last resort is not set
10.0.0.0/27 is subnetted, 1 subnets
O 10.10.20.160/27 [110/65] via 200.5.5.14, 00:01:09, Serial0/3/0
192.168.10.0/24 is variably subnetted, 5 subnets, 4 masks
O 192.168.10.16/29 [110/129] via 200.5.5.14, 00:01:09, Serial0/3/0
C 192.168.10.128/26 is directly connected, GigabitEthernet0/0
L 192.168.10.129/32 is directly connected, GigabitEthernet0/0
C 192.168.10.192/28 is directly connected, GigabitEthernet0/1
L 192.168.10.193/32 is directly connected, GigabitEthernet0/1
200.5.5.0/24 is variably subnetted, 3 subnets, 2 masks
C 200.5.5.12/30 is directly connected, Serial0/3/0
L 200.5.5.13/32 is directly connected, Serial0/3/0
O 200.5.5.16/30 [110/128] via 200.5.5.14, 00:01:09, Serial0/3/0
R-A#
314
Маршруты, созданные протоколом OSPF помечены символом О,
административное расстояние – 110. Метрика пути к сети 10.10.20.160/27
составляет 65 единиц (64 единицы последовательное соединение «точкаточка» со скоростью 1544 кбит/с и соединение GigabitEthernet с метрикой в 1
единицу). В распечатке таблицы маршрутизации R-А следует обратить
внимание на то, что метрика к сети 200.5.5.16/30 составляет 128 единиц (два
последовательных соединения «точка-точка»), а к сети 192.168.10.16/29 – на
1 больше (129 единиц), поскольку дополнительно имеется соединение
GigabitEthernet с метрикой в 1 единицу (такой же как у соединений
FastEthernet).
Таблица соседних устройств, например маршрутизатора В, отображает
следующие параметры:
R-B>show ip ospf neighbor
Neighbor ID
200.5.5.18
200.5.5.13
Pri State
Dead Time Address
Interface
0 FULL/ - 00:00:39 200.5.5.18 Serial0/3/0
0 FULL/ - 00:00:39 200.5.5.13 Serial0/3/1
- идентификаторы соседних устройств (А – 200.5.5.13, В – 200.5.5.18);
- приоритет Pri = 0, т.к. в соединениях «точка - точка» не используется;
- состояние Full, т.е. базы данных соседей одинаковы, сеть характеризуется
сходимостью; тире после (Full/ –) означает, что DR в соединении не
выбирается;
- значение интервала простоя (00:00:39);
- адреса входных интерфейсов соседних устройств (совпадают с ID);
- тип интерфейсов (Serial0/3/1, Serial0/3/0).
Таблица соседних устройств маршрутизатора А аналогична:
R-A>show ip ospf neighbor
Neighbor ID
200.5.5.17
Pri State
Dead Time
0
FULL/ - 00:00:35
315
Address
Interface
200.5.5.14 Serial0/3/0
При изменении идентификатора маршрутизатора, например А, система
требует перезагрузки маршрутизатора или ввода команды clear ip ospf
process в привилегированном режиме
R-A(config)#router ospf 1
R-A(config-router)#router-id 10.10.10.10
R-A(config-router)#Reload or use "clear ip ospf process"
command, for this to take effect
R-A#clear ip ospf process
Reset ALL OSPF processes? [no]: y
После этой команды идентификатор маршрутизатора изменяется:
R-A#show ip protocols
00:23:58: %OSPF-5-ADJCHG: Process 1, Nbr 200.5.5.17 on
Serial0/3/0 from LOADING to FULL, Loading Done
Routing Protocol is "ospf 1"
Outgoing update filter list for all interfaces is not set
Incoming update filter list for all interfaces is not set
Router ID 10.10.10.10
...
Изменяется также таблица соседних устройств (изменяются идентификаторы
соседних устройств: А – 10.10.10.10, В – 200.5.5.18)
R-B>show ip ospf neighbor
Neighbor ID
200.5.5.18
10.10.10.10
Pri State
0
FULL/ 0
FULL/ -
Dead Time Address
Interface
00:00:34
200.5.5.18
Serial0/3/0
00:00:35
200.5.5.13
Serial0/3/1
При этом адрес входного интерфейса соседнего маршрутизатора А не
совпадает с его ID.
316
Конфигурирование пассивного интерфейса
Маршрутизаторы рассылают объявления OSPF из всех интерфейсов,
что перегружает сеть и снижает информационную безопасность. Однако,
например, в сети рис. 14.5, маршрутизатору А нет смысла рассылать
извещения OSPF из интерфейсов G0/0 и1G0/1, поскольку они не подключены
к другим маршрутизаторам. Поэтому указанные интерфейсы можно
перевести в пассивный режим, когда они будут передавать и принимать
данные, но не будут рассылать объявления OSPF. Ниже приведен пример
конфигурирования пассивного интерфейса G0/0 по следующей команде:
R-A(config)#router ospf 1
R-A(config-router)#passive-interface g0/0
Верификация по команде show ip protocols показывает, что интерфейс
G0/0 переведен в пассивный режим:
R-A#show ip protocols
Routing Protocol is "ospf 1"
...
Passive Interface(s):
GigabitEthernet0/0
Повторное активирование интерфейса производится по команде
R-A(config-router)#no passive-interface g0/0
Значение стоимости соединений каждого из интерфейсов R-A можно
проверить по команде:
R-A>show ip ospf interface
GigabitEthernet0/0 is up, line protocol is up
Internet address is 192.168.10.129/26, Area 0
Process ID 1, Router ID 10.10.10.10, Network Type BROADCAST,
Cost: 1
Transmit Delay is 1 sec, State DR, Priority 1
...
No Hellos (Passive interface)
...
GigabitEthernet0/1 is up, line protocol is up
317
Internet address is 192.168.10.193/28, Area 0
Process ID 1, Router ID 10.10.10.10, Network Type BROADCAST,
Cost: 1
...
Timer intervals configured, Hello 10, Dead 40, Wait 40,
Retransmit 5
Hello due in 00:00:09
...
Serial0/3/0 is up, line protocol is up
Internet address is 200.5.5.13/30, Area 0
Process ID 1, Router ID 10.10.10.10, Network Type POINT-TOPOINT, Cost: 64
...
Hello due in 00:00:09
...
Значение bandwidth для последовательного интерфейса можно
посмотреть по команде show interfaces 0/3/0, которое в
нижеприведенном примере составляет 1544 кбит/с:
R-A#show int s0/3/0
Serial0/3/0 is up, line protocol is up (connected)
Hardware is HD64570
Internet address is 200.5.5.13/30
MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
...
Распечатка команды show ip protocols отображает идентификатор
маршрутизатора, адреса присоединенных сетей, административное
расстояние и другие параметры:
R-A>show ip protocols
Routing Protocol is "ospf 1"
...
Router ID 10.10.10.10
Number of areas in this router is 1. 1 normal 0 stub 0 nssa
Maximum path: 4
Routing for Networks:
192.168.10.128 0.0.0.63 area 0
192.168.10.192 0.0.0.15 area 0
200.5.5.12 0.0.0.3 area 0
Passive Interface(s):
GigabitEthernet0/0
318
Routing Information Sources:
Gateway
Distance
Last Update
10.20.10.20
110
00:15:41
200.5.5.17
110
00:15:41
200.5.5.18
110
00:00:35
Distance: (default is 110)
Конфигурирование динамической маршрутизации по умолчанию
Конфигурирование динамической маршрутизации по умолчанию
рассмотрено на примере сети рис. 14.6. Для маршрутизатора желательно
поддерживать маршруты к каждому возможному адресу назначения.
Поэтому на маршрутизаторах формируют маршрут по умолчанию или шлюз
последней надежды (Gateway of last resort). Это позволяет маршрутизаторам
отправлять пакеты, предназначенные любому узлу Интернета, без
необходимости поддерживать в таблице записи (входы) для каждой сети.
Сеть 5
Сеть 6
200.7.7.0/30
200.5.5.12/30
200.5.5.16/30
.1
.2
DCE
DCE
.14
.18
S0/3/0
S0/3/1
A
Lo1
S0/3/0
S0/3/1
C
B
G0/0
.193
G0/0 .161
.129 G0/1
.17 G0/0
.130
.194
...
Сеть 1
192.168.10.128/26
.162
...
Сеть 2
192.168.10.192/28
ISP
.18
...
Сеть 3
10.10.20.160/27
...
Сеть 4
192.168.10.16/29
Рис. 14.6. Пример сети IPv4
Например, в сети рис. 14.6 маршруты по умолчанию могут быть
сконфигурированы, чтобы передавать пакеты с не заданными в таблицах
маршрутизации адресами сетей назначения в сеть провайдера ISP.
Для имитации сети провайдера ISP на маршрутизаторе С
сконфигурирован виртуальный интерфейс Loopback1 с адресом 200.7.7.1/30
R-С(config)#interface loopback 1
R-С(config-if)#ip address 200.7.7.1 255.255.255.252
319
Формирование маршрута по умолчанию производится по команде:
R-С(config)#ip route 0.0.0.0 0.0.0.0loopback 1
После чего в таблице маршрутизации появляется запись о создании шлюза
последней надежды (Gateway of last resort is 0.0.0.0 to network
0.0.0.0) и маршрута по умолчанию S* 0.0.0.0/0 is directly connected,
Loopback1
R-C#show ip route
...
Gateway of last resort is 0.0.0.0 to network 0.0.0.0
O
C
L
O
O
O
C
L
C
L
S*
10.0.0.0/27 is subnetted, 1 subnets
10.10.20.160/27 [110/65] via 200.5.5.17, 01:08:37, Serial0/3/1
192.168.10.0/24 is variably subnetted, 4 subnets, 4 masks
192.168.10.16/29 is directly connected, GigabitEthernet0/0
192.168.10.17/32 is directly connected, GigabitEthernet0/0
192.168.10.128/26 [110/129] via 200.5.5.17, 01:08:27, Serial0/3/1
192.168.10.192/28 [110/129] via 200.5.5.17, 01:08:27, Serial0/3/1
00.5.5.0/24 is variably subnetted, 3 subnets, 2 masks
200.5.5.12/30 [110/128] via 200.5.5.17, 01:08:37, Serial0/3/1
200.5.5.16/30 is directly connected, Serial0/3/1
200.5.5.18/32 is directly connected, Serial0/3/1
200.7.7.0/24 is variably subnetted, 2 subnets, 2 masks
200.7.7.0/30 is directly connected, Loopback1
200.7.7.1/32 is directly connected, Loopback1
0.0.0.0/0 is directly connected, Loopback1
Однако в таблицах маршрутизации других маршрутизаторов (А и В)
подобной информации нет. Для распространения информации о маршруте по
умолчанию на другие маршрутизаторы используется следующая команда:
R-C(config)#router ospf 1
R-C(config-router)#default-information originate
Это дает возможность протоколу OSPF распространить информацию о
маршруте по умолчанию на другие маршрутизаторы, что можно видеть,
например, по таблице маршрутизации маршрутизатора В, где появилась
320
строка маршрута O*E2
0.0.0.0/0 [110/1] via 200.5.5.18, 00:00:28,
Serial0/3/0, помеченная символом O*:
R-B>show ip route
...
Gateway of last resort is 200.5.5.18 to network 0.0.0.0
10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 10.10.20.160/27 is directly connected, GigabitEthernet0/0
L 10.10.20.161/32 is directly connected, GigabitEthernet0/0
192.168.10.0/24 is variably subnetted, 3 subnets, 3 masks
O 192.168.10.16/29 [110/65] via 200.5.5.18, 01:27:55, Serial0/3/0
O 192.168.10.128/26 [110/65] via 200.5.5.13, 01:27:55, Serial0/3/1
O 192.168.10.192/28 [110/65] via 200.5.5.13, 01:27:55, Serial0/3/1
200.5.5.0/24 is variably subnetted, 4 subnets, 2 masks
C 200.5.5.12/30 is directly connected, Serial0/3/1
L 200.5.5.14/32 is directly connected, Serial0/3/1
C 200.5.5.16/30 is directly connected, Serial0/3/0
L 200.5.5.17/32 is directly connected, Serial0/3/0
O*E2 0.0.0.0/0 [110/1] via 200.5.5.18, 00:00:28, Serial0/3/0
В таблице маршрутизатора А сформирована аналогичная строка:
R-A>show ip route
...
Gateway of last resort is 200.5.5.14 to network 0.0.0.0
O
O
C
L
C
L
C
10.0.0.0/27 is subnetted, 1 subnets
10.10.20.160/27 [110/65] via 200.5.5.14, 01:28:31, Serial0/3/0
192.168.10.0/24 is variably subnetted, 5 subnets, 4 masks
192.168.10.16/29 [110/129] via 200.5.5.14, 01:28:31, Serial0/3/0
192.168.10.128/26 is directly connected, GigabitEthernet0/0
192.168.10.129/32 is directly connected, GigabitEthernet0/0
192.168.10.192/28 is directly connected, GigabitEthernet0/1
192.168.10.193/32 is directly connected, GigabitEthernet0/1
200.5.5.0/24 is variably subnetted, 3 subnets, 2 masks
200.5.5.12/30 is directly connected, Serial0/3/0
321
L 200.5.5.13/32 is directly connected, Serial0/3/0
O 200.5.5.16/30 [110/128] via 200.5.5.14, 01:28:31, Serial0/3/0
O*E2 0.0.0.0/0 [110/1] via 200.5.5.14, 00:01:04, Serial0/3/0
14.3. Особенности конфигурирования протокола OSPF3
Для работы в сетях IPv6разработан бесклассовый протокол
маршрутизации по состоянию канала OSPF3, большинство параметров
которого аналогичны протоколу OSPF2, работающему в сетях IPv4. Оба
протокола работают на основе алгоритма SPF. Метрикой обоих протоколов
является стоимость (cost= 108 /Bandwidth), где пропускания способность
bandwidth задается в бит/c. При обмене маршрутной информацией
рассылаются те же типы пакетов, что рассмотрены в разделе 14.1. Рассылка
маршрутной информации в OSPF3 производится с использованием
группового адреса FF02::5 илиFF02::6 и маршрутизаторовDRиBDR. Кроме
того, для рассылки внутри локального канала используются индивидуальные
локальные адреса источника и назначения. OSPF3 использует
аутентификацию IPv6 по протоколу IPSec.
В отличие от OSPF2, у которого маршрутизация включается
автоматически при конфигурировании протокола, включение маршрутизации
OSPF3 производится по специальной команде:
Router(config)#ipv6 unicast-routing
Особенности конфигурирования OSPF3 рассмотрены на примере сети
рис. 14.7. Конфигурирование интерфейсов:
Router(config)#hostname R-A
R-A(config)#int g0/0
R-A(config-if)#ipv6 add 2001:DB8:A:1::1/64
R-A(config-if)#no shutdown
R-A(config-if)#int g0/1
R-A(config-if)#ipv6 add 2001:DB8:A:2::1/64
R-A(config-if)#no shutdown
322
R-A(config-if)#int s0/3/0
R-A(config-if)#ipv6 add 2001:DB8:A:5::1/64
R-A(config-if)#clock rate 64000
R-A(config-if)#no shutdown
R-A(config)#ipv6 unicast-routing
G0/0
.51
A
.1
G0/1
Сеть 5
2001:db8:a:5::/64
DCE
.2
S0/3/0
S0/3/1
.1
.51
...
Сеть 1
2001:db8:a:1::/64
Сеть 6
2001:db8:a:6::/64
DCE
.2
B
G0/0
S0/3/0
...
Сеть 2
2001:db8:a:2::/64
.1 G0/0
.1
.51
C
S0/3/1
.51
...
Сеть 3
2001:db8:a:3::/64
...
Сеть 4
2001:db8:a:4::/64
Рис. 14.7. Сеть с протоколом OSPF3
Аналогично конфигурируются интерфейсы других маршрутизаторов.
Проверку сконфигурированных параметров можно произвести по команде:
R-A#show ipv6 int brief
GigabitEthernet0/0
[up/up]
FE80::260:70FF:FEAA:A401
2001:DB8:A:1::1
GigabitEthernet0/1
[up/up]
FE80::260:70FF:FEAA:A402
2001:DB8:A:2::1
GigabitEthernet0/2
[administratively down/down]
Serial0/3/0
[up/up]
FE80::203:E4FF:FE88:3101
2001:DB8:A:5::1
...
R-A#
Команда отображает локальные (например, FE80::260:70FF:FEAA:A401) и
глобальные адреса (например, 2001:DB8:A:1::1).
323
Для работы OSPF3 в сетях IPv6 на маршрутизаторах автоматически
или вручную задаются идентификаторы (ID), которые представлены
адресами IPv4. Администратор может сконфигурировать идентификаторы
следующей последовательностью команд:
R-A(config)#ipv6 router ospf 1
R-A(config-rtr)#router-id 1.1.1.1
R-B(config)#ipv6 router ospf 1
R-B(config-rtr)#router-id 2.2.2.2
R-C(config)#ipv6 router ospf 1
R-C(config-rtr)#router-id 3.3.3.3
Комплексную проверку проделанной работы реализует команда:
R-A#show run
...
hostname R-A
!
ipv6 unicast-routing
!
interface GigabitEthernet0/0
ipv6 address 2001:DB8:A:1::1/64
!
interface GigabitEthernet0/1
ipv6 address 2001:DB8:A:2::1/64
...
interface Serial0/3/0
ipv6 address 2001:DB8:A:5::1/64
clock rate 64000
!
ipv6 router ospf 1
router-id 1.1.1.1
log-adjacency-changes
!
ip classless
...
line con 0
line aux 0
line vty 0 4
login
end
324
Из распечатки следует, что на маршрутизаторе А включена маршрутизация
(ipv6 unicast-routing), на интерфейсах заданы адреса IPv6, и создан
идентификатор (router-id 1.1.1.1).
При конфигурировании протокола OSPF3 он устанавливается на
каждом активном интерфейсе маршрутизатора в отличие от OSPF2, где
проводилось описание адресов прямо присоединенных сетей (network) и
областей (area). Ниже приведена последовательность команд, которая
устанавливает OSPF3 на каждый функционирующий интерфейс
R-A#conf t
Enter configuration commands, one per line.
CNTL/Z.
R-A(config)#int g0/0
R-A(config-if)#ipv6 ospf 1 area 0
R-A(config-if)#int g0/1
R-A(config-if)#ipv6 ospf 1 area 0
R-A(config-if)#int s0/3/0
R-A(config-if)#ipv6 ospf 1 area 0
End with
Изменения отображает команда проверки текущей конфигурации:
R-A#show run
interface GigabitEthernet0/0
ipv6 address 2001:DB8:A:1::1/64
ipv6 ospf 1 area 0
!
interface GigabitEthernet0/1
ipv6 address 2001:DB8:A:2::1/64
ipv6 ospf 1 area 0
!
interface Serial0/3/0
ipv6 address 2001:DB8:A:5::1/64
ipv6 ospf 1 area 0
clock rate 64000
!
ipv6 router ospf 1
router-id 1.1.1.1
log-adjacency-changes
!
Ip classless
...
R-A#
325
После соответствующего конфигурирования всех маршрутизаторов
сети (рис. 14.7) протокол OSPF3 создает таблицу соседних устройств,
таблицу данных о состоянии каналов и таблицу маршрутизации.
Таблица маршрутизации А содержит три маршрута к удаленным сетям,
путь к которым проходит через выходной интерфейс Serial 0/3/0:
R-A>show ipv6 route
IPv6 Routing Table - 10 entries
...
C
2001:DB8:A:1::/64 [0/0]
via ::, GigabitEthernet0/0
L
2001:DB8:A:1::1/128 [0/0]
via ::, GigabitEthernet0/0
C
2001:DB8:A:2::/64 [0/0]
via ::, GigabitEthernet0/1
L
2001:DB8:A:2::1/128 [0/0]
via ::, GigabitEthernet0/1
O
2001:DB8:A:3::/64 [110/65]
via FE80::20C:85FF:FE10:D402, Serial0/3/0
O
2001:DB8:A:4::/64 [110/129]
via FE80::20C:85FF:FE10:D402, Serial0/3/0
C
2001:DB8:A:5::/64 [0/0]
via ::, Serial0/3/0
L
2001:DB8:A:5::1/128 [0/0]
via ::, Serial0/3/0
O
2001:DB8:A:6::/64 [110/128]
via FE80::20C:85FF:FE10:D402, Serial0/3/0
L
FF00::/8 [0/0]
via ::, Null0
R-A>
Когда необходима специфическая информация только о маршрутах,
созданных протоколом OSPF3, используют команду:
R-A>show ipv6 route ospf
...
O
2001:DB8:A:3::/64 [110/65]
via FE80::20C:85FF:FE10:D402, Serial0/3/0
O
2001:DB8:A:4::/64 [110/129]
via FE80::20C:85FF:FE10:D402, Serial0/3/0
O
2001:DB8:A:6::/64 [110/128]
via FE80::20C:85FF:FE10:D402, Serial0/3/0
R-A>
326
Таблицу соседних устройств можно посмотреть по команде show
ipv6 ospf neighbor. Например, таблица соседних устройств
маршрутизатора А отображает только одно устройство – маршрутизатор В:
R-A>show ipv6 ospf neighbor
Neighbor ID Pri State
Dead Time Interface ID Interface
2.2.2.2
0
FULL/ - 00:00:36
5
Serial0/3/0
Таблица соседних устройств маршрутизатора В отображает два устройства
(А и В) с идентификаторами 1.1.1.1 и 3.3.3.3:
R-B#show ipv6 ospf neighbor
Neighbor ID Pri State
Dead Time Interface ID Interface
3.3.3.3
0
FULL/ - 00:00:35
5
Serial0/3/0
1.1.1.1
0
FULL/ - 00:00:38
4
Serial0/3/1
R-B#
Краткие итоги главы 14
1.
Протокол состояния канала Open Shortest Path First – OSPF
предназначен для работы в больших гибких составных сетях и может
работать с оборудованием разных фирм производителей.
2.
Административное расстояние протокола OSPF равно 110. Протокол
используется внутри определенной области. Нулевая область (area 0)
является главной или единственной.
3.
Протокол OSPF формирует три базы данных: базу данных смежности;
базу данных о состоянии каналов (LSDB); базу пересылки.
4.
На основе баз данных формируются: таблица соседних устройств;
таблица топологии сети; таблица маршрутизации.
5.
Для обмена маршрутной информацией используется 5 типов пакетов:
приветствия Hello, описания базы данных DBD, запроса LSR, обновлений
LSU (LSА), подтверждения LSAck.
6.
Обмен маршрутной информацией производится с использованием
адресов 224.0.0.5 или 224.0.0.6 многоадресного режима, чему соответствует
групповой МАС-адрес назначения (01-00-5Е-00-00-05 и 01-00-5Е-00-00-06), а
также в одноадресном режиме.
7.
Протокол OSPF не проводит периодический обмен объемными
обновлениями маршрутной информации, характеризуется быстрой
327
сходимостью. Обмен маршрутной информацией (LSU) производится только
при возникновении изменений в топологии сети.
8.
Hello-пакеты используются, чтобы обнаруживать соседние устройства,
устанавливать и поддерживать с ними отношения смежности.
9.
В сетях Ethernet период рассылки Hello-пакетов протокола OSPF
составляет 10 секунд. Период простоя – в четыре раза больше. Если в
течение периода простоя от соседнего устройства не пришло ни одного
Hello-пакета, то OSPF удалит не отвечающего соседа из базы данных LSDB.
10. В сошедшейся сети базы данных маршрутизаторов должны быть
идентичными.
11. Каждое устройство, получив обновление LSA, транслирует копии LSA
всем соседним маршрутизаторам в пределах области и затем модифицирует
свою топологическую базу данных. Лавинообразная рассылка объявлений о
состоянии каналов ускоряет процесс сходимости.
12. Для формирования путей свободных от маршрутных петель строится
топологическое дерево с использованием алгоритма Dijkstra выбора первого
кратчайшего пути.
13. В сетях с множественным доступом (Ethernet, Frame Relay) выбирается
главный назначенный маршрутизатор (DR) и запасной (BDR), что сокращает
объем информации обновлений. Выбор DR и BDR происходит на основе
идентификаторов маршрутизаторов.
14. Метрика протокола OSPF (стоимость) базируются на пропускной
способности. Алгоритм протокола рассчитывает суммарное значение
стоимости всех соединений из маршрутизатора до узла назначения.
15. Протокол OSPF поддерживает маски переменной длины, бесклассовую
адресацию на основе префикса, обеспечивает маршрутизацию в топологии с
разделенными сетями.
16. При конфигурировании протокола OSPF необходимо задать номер
процесса (по умолчанию 1) и адреса непосредственно присоединенных сетей
с их шаблонными масками переменной длины (wildcard-mask). При этом для
каждой сети указывается номер области (area 0).
17. Интерфейсы маршрутизатора можно перевести в пассивный режим,
когда они будут передавать и принимать данные, но не будут рассылать
объявления OSPF.
18. Распространение информации о маршруте по умолчанию на другие
маршрутизаторы реализует команда default-information
originate.
19. В сетях IPv6 при конфигурировании протокола OSPF3 включение
маршрутизации производится по команде ipv6 unicast-routing в
режиме глобального конфигурирования. Маршрутизатору назначают
идентификатор, например 1.1.1.1, по командам:
R-A(config)#ipv6 router ospf 1
R-A(config-rtr)#router-id 1.1.1.1
328
20. Включение протокола OSPF3 на интерфейсах производится по команде
Router(config-if)#ipv6 ospf 1 area 0.
21. Проверка созданных протоколом OSPF3 маршрутов реализуется
командой show ipv6 route.
Вопросы по главе 14
1. Почему протокол OSPF используется внутри определенной области (area)?
2. Какие базы данных формирует протокол OSPF? Какие требования
предъявляются к базам данных разных маршрутизаторов области?
3. Какие таблицы строятся на основе баз данных топологии?
4. Какие команды используются для просмотра таблиц протокола OSPF?
5. Какие типы пакетов используется для обмена маршрутной информацией?
6. Какие IP-адреса и MAC-адреса использует протокол OSPF для обмена
маршрутной информацией?
7. Для чего нужны и какую информацию содержат Hello-пакеты OSPF? По
какой команде можно посмотреть таблицу соседних устройств?
8. Каков период передачи Hello-пакетов протокола OSPF в сетях Ethernet?
9. Что произойдет, если в течение периода простоя от соседнего устройства
не пришло ни одного Hello-пакета?
10. Какую информацию содержит заголовок Hello-пакета?
11. Какую информацию содержит поле данных Hello-пакета?
12. В каких случаях производится обмен пакетами LSU? Что такое LSA?
13. Какие параметры учитывает метрика протокола OSPF?
14. В каких сетях и для чего выбираются назначенный DR и запасной BDR
маршрутизатор?
15. Для чего назначается идентификатор маршрутизатора?
16. Какие команды использует администратор при назначении
идентификатора маршрутизатора? По какой команде можно проверить
идентификатор?
17. Как формируются и используются виртуальные логические интерфейсы
loopback при выборе DR иBDR маршрутизаторов?
18. Каков формат команд конфигурирования протокола OSPF?
19. Какие параметры отображает команда show ip protocols?
20. В чем состоит различие технологий аутентификации OSPF2 и OSPF3?
21. Что используется в качестве идентификаторов протокола OSPF3?
22. Какие команды формируют номер процесса OSPF3 и задают
идентификатор?
23. Какая команда используется для просмотра таблиц маршрутизации
OSPF3?
24. По какой команде протокол OSPF3 устанавливают на интерфейс?
25. В чем особенность команды show ipv6 route ospf?
329
Упражнения
В нижеприведенной схеме сети сконфигурируйте динамическую
маршрутизацию OSPF3. Проведите проверку и отладку с использованием
команд show running-config, show ipv6 int brief, show
ipv6 route, show ipv6 route ospf, show ipv6 ospf
neighbor, ping, traceroute и tracert.
G0/0
.51
A
.1
G0/1
Сеть 5
2001:db8:a:5::/64
DCE
.2
S0/3/0
S0/3/1
.1
.51
...
Сеть 1
2001:db8:a:1::/64
Сеть 6
2001:db8:a:6::/64
DCE
.2
B
G0/0
S0/3/0
.51
...
Сеть 2
2001:db8:a:2::/64
S0/3/1
C
.1 G0/0
.1
.51
...
Сеть 3
2001:db8:a:3::/64
...
Сеть 4
2001:db8:a:4::/64
Проанализируйте таблицы маршрутизации, таблицы соседних устройств
маршрутизаторов. Посчитайте метрики маршрутов, сравните с табличными
значениями.
330
Глава 15. СПИСКИ КОНТРОЛЯ ДОСТУПА
Рассмотрены принципы функционирования сетевых фильтров. Приведены
примеры конфигурирования стандартных, расширенных, именованных списков доступа.
Даны команды верификации и отладки сетевых фильтров.
Информационная
безопасность
телекоммуникационных
сетей
обеспечивается комплексом мер по их защите. Для защиты информации
широко
используются
пароли,
криптографирование
передаваемой
информации, устройства физической безопасности и другие аппаратные и
программные средства. В настоящем разделе рассматриваются списки
контроля доступа – сетевые фильтры, которые устанавливаются на
интерфейсах маршрутизаторов. Списки доступа обеспечивают базовый
уровень безопасности и определяют, к каким доменам сети открыт доступ, а
к каким закрыт. Списки доступа широко применяются на практике.
15.1. Функционирование списков доступа
Сетевой администратор должен иметь возможность управления
трафиком, обеспечивая доступ к требуемым ресурсам зарегистрированным
легальным пользователям и запрещая несанкционированный доступ к сети.
Эффективным средством фильтрации трафика являются списки контроля
доступа (Access Control Lists – ACL) или просто списки доступа, которые
являются сетевыми фильтрами. Списки доступа представляют собой
последовательность команд, разрешающих (permit) или запрещающих
(deny) продвижение пакетов через маршрутизатор, т.е. разрешающих или
запрещающих доступ из других локальных сетей или из Интернета в
защищаемую сеть, а также удаленный доступ по протоколам Telnet, SSH.
При конфигурировании списков доступа маршрутизатор не только создает
пути передачи пакетов, но и фильтрует проходящий через него трафик.
Списки доступа ACL могут быть созданы для всех сетевых протоколов,
функционирующих на маршрутизаторе, например, IPv4, IPv6 или IPX, и
устанавливаются на интерфейсах маршрутизаторов. Запрет или разрешение
сетевого трафика через интерфейс маршрутизатора реализуется на основании
331
анализа совпадения определенных условий (правил). Для этого списки
доступа представляются в виде последовательных записей, в которых
анализируются используемые адреса и протоколы.
Списки доступа (сетевые фильтры)создаются как для входящих, так и
для исходящих пакетов на основании анализируемых параметров (адреса
источника, адреса назначения, используемого протокола и номера порта
верхнего уровня), указанных в списке доступа ACL (рис. 15.1).
Заголовок
кадра
Заголовок
сегмента
Заголовок
пакета
Поле
данных
Номер порта
Протокол
Адрес назначения
Адрес источника
Принятие
Permit
решения при
тестировании Deny
пакета
Рис. 15.1. Принятие решения при тестировании пакета
Отдельные списки доступа могут быть созданы на каждом интерфейсе
маршрутизатора для каждого направления сетевого трафика (исходящего и
входящего) и для каждого сетевого протокола, установленного на
интерфейсе. Например, на трех интерфейсах маршрутизатора (рис. 15.2),
сконфигурированных для двух сетевых протоколов (IPv4, IPv6), может быть
создано 12 отдельных списков доступа: шесть для IPv4 и шесть для IPv6. То
есть, на каждом интерфейсе по 4 списка: 2 для входящего и 2 для исходящего
трафика.
ACL 1
ACL 3
ACL 2
ACL 4
ACL 5
ACL 6
Рис. 15.2. Списки доступа для одного сетевого протокола (IPv4)
332
Списки доступа, установленные для фильтрации входящего трафика,
обрабатывают пакеты до продвижения пакета на выходной интерфейс. Таким
образом, пакет, который по условиям списка доступа отбрасывается, не будет
маршрутизироваться, что экономит ресурсы маршрутизатора.
Исходящие списки доступа удобно использовать для защиты
локальной сети от нежелательного трафика, поступающего на разные входы
маршрутизатора.
Списки доступа повышают гибкость сети. Например, списки,
ограничивающие видео трафик, могут уменьшить нагрузку на сеть и поэтому
повысить ее пропускную способность для передачи данных или аудио
сигналов. Списки позволяют определить, какие типы трафика могут быть
отправлены, а какие заблокированы в интерфейсах маршрутизатора,
например, можно разрешить маршрутизацию электронной почте, но
блокировать трафик Telnet. Можно использовать разрешение или запрет
доступа различным типам файлов, таким как FTP или HTTP.
Если списки доступа не формируются на маршрутизаторе, то все
проходящие через маршрутизатор пакеты, будут иметь доступ к сети.
Список доступа ACL составляется из утверждений (условий), которые
определяют, следует ли пакеты принимать или отклонять во входных или
выходных интерфейсах маршрутизатора. Программное обеспечение IOS
Cisco проверяет пакет последовательно по каждому условию. Если условие,
разрешающее продвижение пакета, расположено наверху списка, никакие
условия, добавленные ниже, не будут запрещать продвижение пакета.
Список доступа можно редактировать только в определенных
условиях, которые специально конфигурируются. В большинстве случаев
при необходимости редактирования рекомендуется список доступа
целиком удалить и создать новый список с новыми условиями.
Созданные маршрутизатором пакеты списками доступа не
фильтруются.
Функционирование маршрутизатора по проверке соответствия
принятого пакета требованиям списка доступа производится следующим
образом. Когда кадр поступает на интерфейс, маршрутизатор извлекает
(декапсулирует) из кадра пакет и проверяет его на соответствие условиям
списка ACL входного интерфейса. При отсутствии запрета или отсутствии
списка доступа пакет маршрутизируется и продвигается на выходной
333
интерфейс, где вновь проверяется, затем инкапсулируется в новый кадр и
отправляется интерфейсу следующего устройства.
Проверка условий (утверждений) списка доступа производится
последовательно. Если текущее утверждение верно, пакет обрабатывается в
соответствие с командами permit или deny списка доступа. В конце
каждого списка присутствует неявно заданная по умолчанию команда
deny any (запретить все остальное). Поэтому если в списке доступа нет ни
одного разрешающего условия, то весь трафик будет заблокирован.
Существуют разные типы списков доступа: стандартные (standard
ACLs), расширенные (extended ACLs), именованные (named ACLs). Когда
список доступа конфигурируются на маршрутизаторе, каждый список
должен иметь уникальный идентификационный номер или имя.
Идентификационный номер созданного списка доступа должен находиться в
пределах определенного диапазона, заданного для этого типа списка
(табл.15.1).
Таблица 15.1
Диапазоны идентификационных номеров списков доступа
Диапазон номеров
1-99
100-199
1300-1999
2000-2699
600-699
800-899
900-999
Название списка доступа
IP standard access-list
IP extended access-list
IP standard access-list (extended range)
IP extended access-list (extended range)
Appletalk access-list
IPX standard access-list
IPX extended access-list
Стандартные списки доступа (Standard access lists) – для принятия
решения (permit или deny) в IP пакете анализируется только адрес
источника сообщения.
Расширенные списки доступа (Extended access lists) проверяют как
IP-адрес источника, так и IP-адрес назначения, поле протокола в заголовке
пакета сетевого уровня и номер порта в заголовке транспортного уровня.
Таким образом, для каждого протокола, для каждого направления
трафика и для каждого интерфейса может быть создан свой список доступа.
334
Исходящие фильтры не затрагивают трафик, который идет из местного
маршрутизатора.
Стандартные списки доступа рекомендуется устанавливать по
возможности ближе к адресату назначения, а расширенные – ближе к
источнику. То есть стандартные списки доступа должны блокировать
устройство или сеть назначения и располагаться поближе к защищаемой
сети, а расширенные списки устанавливаются ближе к возможному
источнику нежелательного трафика.
Список доступа производит фильтрацию пакетов по порядку, поэтому
в строках списков следует задавать условия фильтрации, начиная от
специфических условий – до общих. Условия списка доступа
обрабатываются последовательно от вершины списка к основанию, пока не
будет найдено соответствующее условие. Если никакое условие не найдено,
то тогда пакет отклоняется и уничтожается, поскольку неявное условие
deny any (запретить все остальное) есть неявно в конце любого списка
доступа. Не удовлетворяющий списку доступа пакет протокола IP будет
отклонен и уничтожен, при этом отправителю будет послано сообщение
протокола ICMP. Новые записи (линии) всегда добавляются в конце списка
доступа.
15.2. Конфигурирование стандартных списков доступа
Конфигурирование списков доступа производится в два этапа:
1. Создание списка доступа в режиме глобального
конфигурирования.
2. Привязка списка доступа к интерфейсу в режиме детального
конфигурирования интерфейса.
Формат команды создания стандартного списка доступа следующий:
Router(config)#access-list {номер} {permit или deny} {адрес источника}
Списки доступа могут фильтровать как трафик, входящий в
маршрутизатор (in), так и трафик, исходящий из маршрутизатора (out).
Направление трафика указывается при привязке списка доступа к
интерфейсу. Формат команды привязки списка к интерфейсу следующий:
335
Router(config-if)#{протокол} access-group {номер} {in или out}
После привязки списка доступа его содержимое не может быть
изменено. Не удовлетворяющий администратора список доступа должен
быть удален командой no access-list и затем создан заново.
Ниже приведены примеры конфигурирования стандартных списков
доступа по защите Сети 1 (рис.15.3).
Сеть 4
200.4.4.0/24
DCE
.2
A
S0/3/0
B
S0/3/1
G0/0 .1
.11
Сеть 5
200.5.5.0/24
DCE
.2
G0/0
.34
Сеть 1
192.168.10.0/24
.11
S0/3/0
.1
.34
Сеть 2
192.168.20.0/24
S0/3/1
C
G0/0 .1
.11
.34
Сеть 3
192.168.30.0/24
Рис. 15.3. Схема сети
Пример 1. Необходимо, чтобы узлы Сети 1 были доступны только узлу
Сети 2 с адресом 192.168.20.11, а все остальные узлы Сети 2 и Сети 3 не
имели бы доступа в Сеть1. Список доступа следует установить на интерфейс
G0/0 маршрутизатора Router_A. Номер списка доступа (10) выбирается из
диапазона табл. 15.1.
Создание и установка списка доступа производится по командам:
Router_A(config)#access-list 10 permit 192.168.20.11
Router_A(config)#int g0/0
Router_A(config-if)#ip access-group 10 out
Согласно созданной конфигурации ко всем исходящим из маршрутизатора
через интерфейс G0/0 пакетам будет применяться список доступа:
permit 192.168.20.11 – присутствует в списке в явном виде,
deny any– присутствует неявно в конце каждого списка доступа.
336
Некоторые версии операционных систем IOS маршрутизаторов
требуют в обязательном порядке использование инверсных масок Wild Card
при задании адресов узлов и сетей, либо расширения host при задании
адресов узлов. Подобные дополнения рассмотрены в следующих примерах.
Пример 2. Серверы Сети 1 должны быть доступны всем узлам Сети 2 и
узлу Сети 3 с адресом 192.168.30.11, остальные узлы Сети 3 не должны
иметь доступа. Список доступа установить на интерфейс G0/0 Router_A. В
списке доступа анализируются адреса сети и отдельного узла, поэтому
необходимо использовать маску Wild Card. Нулевые значения шаблонной
маски Wild Card означают требование обработки соответствующих разрядов
адреса, а единичные значения – игнорирование соответствующих разрядов
адреса при функционировании списка доступа. Таким образом, маска
0.0.0.0 предписывает анализ и обработку всех разрядов адреса, т.е. в этом
случае будет обрабатываться адрес узла. Маска 0.0.0.255 показывает, что
обрабатываться будет только сетевая часть адреса класса С.
Следовательно, список доступа будет следующим:
Router_A(config)#access-list 11 permit 192.168.30.11 0.0.0.0
Router_A(config)#access-list 11 permit 192.168.20.0 0.0.0.255
Router_A(config)#int g0/0
Router_A(config-if)#ip access-group 11 out
Согласно созданной конфигурации ко всем исходящим из маршрутизатора
пакетам через интерфейс f0/0 будет применяться список доступа:
permit 192.168.30.11 0.0.0.0– разрешение доступа узлу в Сеть 1,
permit 192.168.20.0 0.0.0.255– разрешение доступа всем узлам
Сети 2 в Сеть 1,
deny any– присутствует неявно в конце списка доступа.
Записи 192.168.30.11 0.0.0.0 полностью соответствует другой
вариант – host 192.168.30.11, который также предписывает
обрабатывать адрес только одного узла.
337
Пример 3. В Сети рис. 15.3 необходимо установить список доступа,
который:
1. блокирует рабочей станции 192.168.20.11 Сети 2 доступ в Сеть1;
2. блокирует рабочей станции 192.168.30.24 Сети 3 доступ в Сеть1;
Для этого создается список доступа:
Router_А(config)#access-list12 deny host 192.168.20.11
Router_А(config)#access-list12 deny host 192.168.30.24
Router_А(config)#access-list12 permit any
Router_А(config)#int g0/0
Router_А(config-if)#ip access-group 12 out
Данный список блокирует доступ в Сеть 1 только двум рабочим
станциям 192.168.20.11 и 192.168.30.24, а всем остальным – доступ разрешен.
Если бы отсутствовала третья строка списка доступа, то ни одна станция из
других сетей не могла бы попасть в Сеть 1.
Поскольку созданные маршрутизатором пакеты списками доступа не
фильтруются, то это дает возможность открывать несанкционированные
Telnet- и SSH-сессии. Поэтому для повышения безопасности удаленного
доступа через виртуальные линии vty могут использоваться списки контроля
доступа c командой access-class. Списки доступа, созданные этой
командой, управляют процессом создания исходящих
соединений маршрутизатора. Формат команды следующий:
и
входящих
Router(config)#access-class {номер} {in [vrf-also] | out}
Пример конфигурирования списка ограничения удаленного доступа
рассмотрен для сети рис. 15.4. Например, в сети ограничивается удаленный
доступ, например по Telnet, с одного из узлов сети 192.168.10.0 или
192.168.20.0:
R-A(config)#enable password cis-1
R-A(config)#line vty 0 4
R-A(config-line)#password cis-2
R-A(config-line)#login
338
G0/0
...
Сеть 1
192.168.10.0/24
A
.1
Сеть 4
200.4.4.0/24
DCE
.2
S0/3/0
S0/3/1
G0/1 .1
B
G0/0 .1
...
Сеть 2
192.168.20.0/24
...
Сеть 3
192.168.30.0/24
Рис. 15.4. Сеть со списком ограничения удаленного доступа
Для ограничения доступа только узлу 192.168.10.11 из сети 1 создается
следующий список:
R-A(config-line)#access-class 11 in
R-A(config-line)#exit
R-A(config)#access-list 11 permit 192.168.20.11 0.0.0.0
R-A(config)#access-list 11 deny any
Параметр in ограничивает доступ входящим соединениям между адресами
списка и маршрутизатором, out – блокирует исходящие соединения.
15.3. Конфигурирование расширенных списков доступа
В отличие от стандартных списков доступа, где в качестве критерия
фильтрации используется только один параметр – адрес источника,
расширенные списки используют несколько параметров:
- адрес источника,
- адрес назначения,
- протокол,
- порт.
339
Формат команды создания расширенного списка доступа следующий:
Router(config)#access-list {номер} {permit или deny}
{протокол} {адрес источника} {адрес назначения} {порт}
В поле протокола задается имя или номер (0 – 255) протокола сети
Интернет. Наиболее часто используются протоколы IP, TCP, UDP, OSPF, RIP
и др. Поле порта используется либо для задания номера (0 – 65535), либо –
имени портов, например, FTP или Telnet.
Формат команды привязки списка доступа к интерфейсу аналогичен
команде стандартного списка:
Router(config-if)#{протокол} access-group {номер} {in или out}
Пример 4. В сети (рис. 15.3) необходимо:
1. разрешить одной рабочей станции 192.168.30.11 Сети 3 доступ к
серверу Сети1 с IP-адресом 192.168.10.25 и адресом порта 8080;
2. разрешить всем рабочим станциям Сети2 с адресом 192.168.20.0 доступ
к тому же серверу;
3. разрешить всем рабочим станциям доступ ко всем Web-серверам Сети
Для этого создается список доступа:
Router_А(config)#access-list 110 permit tcp host
192.168.30.11 host 192.168.10.25 eq 8080
Router_А(config)#access-list 110 permit tcp
192.168.20.0 0.0.0.255 host 192.168.10.25 eq 8080
Router_А(config)#access-list 110 permit tcp any any eq WWW
Router_А(config)#int g0/0
Router_А(config-if)#ip access-group 110 out
Запись any (все) эквивалентна записи 0.0.0.0 255.255.255.255, т.е.
ни один бит адреса не должен анализироваться. Следовательно, в третьем
условии Примера 4 записано требование, исключить фильтрацию по адресу
источника и адресу назначения, т.е. запись permit tcp any any означает
«разрешить доступ всем сегментам tcp ко всем узлам сети». Единственный
критерий фильтрации – это порт eq WWW.
340
Запись eq означает требование анализа пакетов только с данным
номером порта назначения. Вместо нее могла быть другая запись, например,
neq, означающая требование анализа пакетов с другими номерами, за
исключением данного. Запись range означает требование анализа пакетов с
номерами портов в указанном диапазоне.
Пример 5. Необходимо в сети (рис. 15.3) создать список доступа, чтобы:
1. блокировать рабочей станции 192.168.20.11 Сети 2 доступ по telnet в
Сеть 1, но оставить доступ для другого сервиса;
2. блокировать рабочей станции 192.168.30.24 Сети 3 доступ по telnet в
Сеть 1, но оставить доступ для другого сервиса;
Для этого создается список доступа:
Router_А(config)#access-list 115 deny tcp host
192.168.20.11 192.168.10.0 0.0.0.255 eq telnet
Router_А(config)#access-list 115 deny tcp host
192.168.30.24 192.168.10.0 0.0.0.255 eq telnet
Router_А(config)#access-list 115 permit ip any any
Router_А(config)#int g0/0
Router_А(config-if)#ip access-group 115 out
Третье условие Примера 4 предписывает исключить фильтрацию по
адресу источника и адресу назначения всех IP-пакетов, т.е. всех сегментов
TCPи UDP.
Удаление списков доступа производится с использованием отрицания
no. Например, удаление списка доступа из предыдущего примера
производится по команде:
RouterА(config)#no access-list 115
341
Именованные списки доступа
Именованные списки доступа позволяют за счет введения имени
списка сократить затем объем записей при конфигурировании. Кроме того,
снимаются ограничения в 99 стандартных и 100 номеров расширенных
списков, поскольку имен можно придумать много. Именованный список
доступа с именем spisok для вышеприведенного примера 4 будет
выглядеть следующим образом:
Router_А(config)#access-list extended spisok
Router_А(config-ext-nac1)#permit tcp host 192.168.30.11
host 192.168.10.25 eq 8080
Router_А(config-ext-nac1)#permit tcp 192.168.20.0
0.0.0.255 host 192.168.10.25 eq 8080
Router_А(config-ext-nac1)#permit tcp any any eq WWW
Router_А(config-ext-nac1)#exit
Router_А(config)#int g0/0
Router_А(config-if)#ip access-group spisok out
Контроль списков доступа
Контроль списков доступа производится по командам show. Например,
контроль любых списков доступа производится по команде:
RouterА#show access-list
Extended IP access list 110
permit tcp host 192.168.30.11 host 192.168.10.25 eq 8080
(34 matches)
permit tcp 192.168.20.11 0.0.0.255 host 192.168.10.25 eq
8080 (11 matches)
permit tcp any any eq WWW (29 matches)
Контроль IP-списков доступа производится по команде:
RouterА#show ip access-list
Списки доступа, установленные на интерфейсы, можно посмотреть по
команде show ip interface, а также show running-config.
342
Редактирование списков доступа
В разделе 15.1 отмечалось, что при необходимости редактирования
рекомендуется список доступа целиком удалить и создать новый список с
новыми условиями. Чтобы облегчить этот процесс, требующий
редактирования список можно скопировать, например, из распечатки
команды
show
run,
затем
вставить
его
в
текстовый
редактор,
отредактировать, удалить старый список из конфигурации маршрутизации и
создать новый отредактированный список.
Второй способ редактирования предусматривает использование
свойства нумерации строк именованного списка доступа. Например, создан
именованный список доступа:
R-A(config)#ip access-list standard ACL
R-A(config-std-nacl)#permit host 192.168.20.11
R-A(config-std-nacl)#permit host 192.168.30.11
R-A(config-std-nacl)#int g0/0
R-A(config-if)#ip access-group ACL out
Команда show access-lists отображает строки списка, причем
нумерация идет через 10
R-A#show access-lists
Standard IP access list ACL
10 permit host 192.168.20.11 (4 match(es))
20 permit host 192.168.30.11 (4 match(es))
R-A#
Если в списке необходимо произвести изменения, например, запретить узлу
host 192.168.20.11 доступ в сеть 1 и разрешить доступ всем
остальным узлам сети 192.168.20.0 , то это может реализовать
следующая последовательность команд:
R-A(config)#ip access-list standard ACL
R-A(config-std-nacl)#no 10
R-A(config-std-nacl)#10 deny host 192.168.20.11
R-A(config-std-nacl)#15 permit 192.168.20.0 0.0.0.255
343
В этом примере новая строка списка (15) вставлена между 10-ой и 20-ой
строками:
R-A#sh access-list
Standard IP access list ACL
10 deny host 192.168.20.11
15 permit 192.168.20.0 0.0.0.255
20 permit host 192.168.30.11 (4 match(es))
R-A#
15.4. Списки доступа IPv6
Ниже рассмотрены особенности
доступаIPv6на примере сети рис. 15.5.
A
G0/0
Сеть 4
2001:db8:a:5::/64
DCE
.2
S0/3/0
S0/3/1
.1
.11
конфигурирования
Сеть 5
2001:db8:a:6::/64
DCE
.2
B
G0/0
S0/3/0
C
S0/3/1
G0/0
.1
.21
.1
.31
...
Сеть 1
2001:db8:a:1::/64
списков
...
Сеть 2
2001:db8:a:2::/64
...
Сеть 3
2001:db8:a:3::/64
Рис. 15.5. Пример сети IPv6
Протокол IPv6 поддерживает только именованные расширенные
списки доступа. Имена списков IPv6 и IPv4 должны быть разными. Вместо
команды IPv4назначения списка доступа на интерфейс (ip access-group), в
сетях IPv6 используется команда ipv6 traffic-filter.
344
В конце списка доступа IPv6 неявно присутствует команда deny
ipv6 any any. Кроме того, список доступа IPv6 включает еще два
неявных условия:
permit icmp any any nd-ns,
permit icmp any any nd-na.
Эти условия необходимы для разрешения передачи пакетов
обнаружения соседних устройств и их МАС-адресов (Neighbor Discovery–nd)
средствами протокола ICMP (вместо протокола ARP в сетях IPV4). Для
получения МАС-адреса соседнего устройства (конечного узла или
интерфейса сетевого элемента) маршрутизатор посылает запрос (Neighbor
Solicitation – ns), и в ответ получает сообщение объявления соседнего
устройства (Neighbor Advertisement – na). Первое условие разрешает
передачу запроса обнаружения соседей (nd-ns), второе (nd-na) –
объявления соседних устройств.
Конфигурирование списков доступа IPv6 сводится к заданию имени
списка, формированию условий списка и назначению списка на интерфейс.
Например, в сети рис.15.5 необходимо создать список доступа, запрещающий
доступ в Сеть 1 всем узлам Сети 3 и разрешающий доступ всем узлам Сети 2:
R-A(config)#ipv6 access-list ACL
R-A(config-ipv6-acl)#deny ipv6 2001:DB8:A:3::/64 any
R-A(config-ipv6-acl)#permit ipv6 any any
Назначение списка ACL
производится по команде:
на
интерфейс
S0/3/0
маршрутизатора
А
R-A(config)#int s0/3/0
R-A(config-if)#ipv6 traffic-filter ACL in
Верификацию списка доступа можно провести по командам show run,
show access-list. Например:
R-A#show run
Building configuration...
...
ipv6 unicast-routing
...
345
interface GigabitEthernet0/0
ipv6 address 2001:DB8:A:1::1/64
ipv6 ospf 1 area 0
!
interface Serial0/3/0
ipv6 traffic-filter ACL in
ipv6 address 2001:DB8:B:1::1/64
ipv6 ospf 1 area 0
clock rate 64000
!
ipv6 router ospf 1
router-id 1.1.1.1
log-adjacency-changes
!
ip classless
!
ipv6 access-list ACL
deny ipv6 2001:DB8:A:3::/64 any
permit ipv6 any any
...
R-A#
Для удаления списка доступа необходимо отменить назначение на
интерфейс в режиме конфигурирования интерфейса (no ipv6 trafficfilter имя in|out) затем удалить сам список (no ipv6 access-list
имя).
346
Краткие итоги главы 15
1. Для защиты информации на интерфейсах маршрутизаторов
конфигурируются списки доступа (ACL), которые обеспечивают базовый
уровень безопасности.
2. Списки доступа могут использоваться, чтобы разрешать (permit) или
запрещать (deny) продвижение пакетов через маршрутизатор.
3. Запрет или разрешение сетевого трафика через интерфейс
маршрутизатора реализуется на основании анализа совпадения
определенных условий (правил).
4. В списке доступа ACL могут анализироваться адреса источника, адреса
назначения, протоколы и номера портов.
5. Списки доступа могут быть определены для каждого установленного на
интерфейсе протокола и для каждого направления сетевого трафика
(исходящего и входящего).
6. Каждый список должен иметь уникальный идентификационный номер
или имя.
7. Стандартные списки доступа для принятия решения анализируют в пакете
только IP-адрес источника сообщения.
8. Расширенные списки доступа проверяют IP-адрес источника, IP-адрес
назначения, поле протокола в заголовке пакета и номер порта в заголовке
сегмента.
9. Стандартные списки доступа должны располагаться поближе к адресату
назначения.
10.Расширенные списки доступа должны быть установлены по возможности
близко к источнику сообщений.
11.Условие deny any (запретить все остальное) есть неявно в конце любого
списка доступа.
12.Создание списка доступа производится в режиме глобального
конфигурирования. Формат команды создания стандартного списка
доступа следующий:
Router(config)#access-list {номер} {permit или deny} {адрес источника}.
13.Привязка списка доступа к интерфейсу производится в режиме детального
конфигурирования интерфейса. Формат команды привязки списка к
интерфейсу следующий:
Router(config-if)#{протокол} access-group {номер} {in или out}
14.Формат команды создания расширенного списка доступа следующий:
Router(config)#access-list {номер} {permit или deny}
{протокол} {адрес источника}{адрес назначения} {порт}
15.Именованные списки доступа позволяют за счет введения имени списка
сократить затем объем записей при конфигурировании.
347
16.Контроль списков доступа производится по командам show run, show
access-list, show ip interface.
17.Нумерация строк именованного списка доступа позволяет корректировать
его.
18.Протокол IPv6 поддерживает именованные расширенные списки доступа.
Вместо команды назначения списка доступа на интерфейс (ip accessgroup) протокола IPv4, в сетях IPv6 используется команда ipv6
traffic-filter.
19.В конце списка доступа IPv6 неявно присутствует команда deny ipv6
any any.
20.Список доступа IPv6 включает также два неявных условия:
permit icmp any any nd-ns,
permit icmp any any nd-na,
необходимых для разрешения передачи пакетов обнаружения соседних
устройств и их МАС-адресов (Neighbor Discovery–nd) средствами протокола
ICMP (вместо протокола ARP в сетях IPV4).
Вопросы по главе 15
1. Для чего используются списки доступа?
2. На основании чего формируется запрет или разрешение сетевого трафика
через интерфейс маршрутизатора?
3. Какие параметры пакета могут анализироваться в стандартном и
расширенном списке доступа?
4. Где устанавливаются списки доступа и для какого трафика?
5. Какое условие имеется неявно в конце любого списка доступа?
6. Для чего нужны идентификационные номера списков доступа?
7. Каков формат команды создания стандартного списка доступа?
8. Каков формат команды создания расширенного списка доступа?
9. Каков формат команды привязки списка к интерфейсу?
10.Чем различается функционирование входящих и исходящих списков
доступа?
11.Какие достоинства имеют именованные списки доступа?
12.Какая команда используется для ограничения удаленного доступа через
виртуальные линии vty?
13.Какие команды производят контроль списков доступа?
14.Возможно ли редактирование списков доступа?
15.В чем особенности конфигурирования списков доступа в сетях IPv6?
16.Какие команды используются для удаления списков доступаIPv6?
348
Упражнения
1. Сконфигурируйте список доступа для защиты узла 192.168.10.11 Сети 1
нижеприведенной схемы от несанкционированного доступа со всех узлов
Сети 2 и одного узла Сети 3 по командам протокола ICMP. Кроме того
разрешить доступ по Telnet с узлов Сети 2 на узел Сети 1.
Сеть 4
200.4.4.0/24
DCE
.2
A
S0/3/0
G0/0
.34
Сеть 1
192.168.10.0/24
2.
B
S0/3/1
G0/0 .1
.11
Сеть 5
200.5.5.0/24
DCE
.2
.11
S0/3/0
.1
.34
Сеть 2
192.168.20.0/24
S0/3/1
C
G0/0 .1
.11
.34
Сеть 3
192.168.30.0/24
Проведите проверку и отладку сети с использованием команд show
running-config, show access-list, show ip access-list,
show ip interface, ping, traceroute , tracert и telnet.
349
Глава 16. КОММУТИРУЕМЫЕ СЕТИ
Рассмотрены принципы построения сетей на коммутаторах, приведены
особенности конфигурирования коммутаторов, управления таблицей коммутации,
некоторые вопросы конфигурирования безопасности на коммутаторах.
16.1. Иерархическая модель построения локальных сетей
Современные сети пакетной коммутации обычно строятся на базе
коммутаторов (коммутируемые сети), которые имеют 12 – 48 портов
(интерфейсов), а некоторые коммутаторы и больше. Если такого количества
портов хватает для всех пользователей, то структура сети будет представлена
простейшей одноуровневой схемой (рис. 16.1а).
Современные сети развивающихся предприятий должны быть легко
масштабируемыми (расширяемыми), управляемыми и надежными. Подобные
задачи наиболее просто решаются в случае использования иерархической
топологии сети, модель которой включает несколько уровней иерархии. Сеть
среднего предприятия может быть построена по двухуровневой схеме (рис.
16.1б), которую называют моделью со свернутым ядром. Сети крупных
корпораций строятся по трехуровневой схеме (рис. 16.1в), включающей
нижний уровень доступа (Access), средний уровень распределения
(Distribution) и верхний уровень ядра (Core).
На уровне ядра и уровне распределения коммутируемых сетей (рис.
16.1в) обычно функционируют многоуровневые коммутаторы (по-другому,
коммутаторы 3-го уровня или коммутаторы-маршрутизаторы), которые
характеризуются большим количеством портов и высоким быстродействием,
как коммутаторы, а также широкими функциональными возможностями, как
маршрутизаторы.
На разных уровнях модели сети (рис. 16.1в) решаются разные задачи,
исходя из предъявляемых требований. Иерархическая схема сети легко
масштабируется; коммутаторы уровня распределения и ядра, а также их
соединения дублируются, что обеспечивает избыточность (резервирование)
и повышает надежность сети. Коммутаторы разных уровней могут иметь
разное быстродействие, сравнительно низкое на уровне доступа и самое
высокое на уровне ядра.
350
а)
б)
Уровень ядра
ISP
C1
R-A
D1
A1
R-B
C2
D2
Уровень распределения
A2
A3
Уровень доступа
A4
Сервер
Сервер
в)
Рис. 16.1. Схемы локальных сетей на базе коммутаторов
Уровень ядра (Core layer) представляет собой быстродействующую
магистраль (backbone) сети и дает возможность соединения с сетью
Интернет через маршрутизатор. Требование высокого быстродействия
обусловлено тем, что на этом уровне передается суммарный поток данных
всех пользователей. В настоящее время на уровне ядра используются
технологии GigabitEthernet, 10 GigabitEthernet, 40 GigabitEthernet и 100
GigabitEthernet. Важным свойством ядра является его избыточность.
351
Резервирование оборудования позволяет обеспечить высокую надежность.
Поэтому коммутаторы уровня ядра обычно дублируются (коммутаторы С1,
С2 – рис. 16.1в).
Уровень распределения (Distribution layer) также характеризуется
введением избыточных устройств и соединений для повышения
надежности. На этом уровне формируются широковещательные домены, т.е.
реализуется управление потоками, что характерно для функций сетевого
уровня модели OSI, обеспечивается маршрутизация между виртуальными
локальными сетями (VLAN). Для повышения безопасности сети на этом
уровне реализуется политика безопасности, формируются списки доступа,
(см. раздел 15). В настоящее время на уровне распределения широко
используется технология GigabitEthernet и 10 GigabitEthernet. На рис. 16.1в
уровень распределения представлен коммутаторами 3-го уровня D1,D2.
Уровень доступа (Access layer) обеспечивает доступ конечным узлам к
сети. Именно на этом уровне часто бывают попытки несанкционированного
доступа, поэтому вопросы безопасности портов коммутаторов наиболее
актуальны на данном уровне. То есть, на этом уровне модели (рис. 16.1в)
необходимо обеспечить безопасность портов, чтобы не допустить
несанкционированное проникновение в сеть. Поскольку пользователей и
портов коммутаторов на этом уровне очень много, то коммутаторы обычно
не дублируются. Для разграничения потоков и создания широковещательных
доменов порты коммутатора приписываются к виртуальным локальным
сетям (VLAN). Основными технологиями уровня доступа является
FastEthernet и GigabitEthernet. На рис. 16.1в уровень доступа представлен
коммутаторами А1 – А4.
Безопасность и управляемость сетей, построенных по иерархической
топологии, сравнительно легко реализуются, поскольку на каждом уровне
могут решаться свои специфические задачи. Политика информационной
безопасности предусматривает обеспечение защиты на всех уровнях модели.
Управление на уровне доступа задает, к каким портам коммутатора
может подключаться тот или иной конечный узел, идентификация каждого
узла производится по его МАС-адресу. Если конечные узлы
неавторизованных пользователей не будут иметь доступа к коммутаторам, то
повышается безопасность всей сети.
352
Кроме того, на уровне доступа могут формироваться виртуальные
локальные сети (VLAN), позволяющие сегментировать сеть на отдельные
широковещательные домены (подсети). Это также повышает безопасность
сети, поскольку широковещательные сообщения передаются только в
пределах домена и не могут «затопить» всю сеть.
На уровне распределения политика безопасности может предусмотреть
использование сетевых фильтров. Следовательно, коммутаторы уровня
распределения должны выполнять функции устройств 3-го уровня модели
OSI. Поэтому такие коммутаторы и получили название коммутаторов
третьего уровня или многоуровневых. Специальное программное
обеспечение по защите информации может использоваться на уровне ядра.
Вопросы гарантии качества обслуживания решаются на всех уровнях
модели рис. 16.1в. Качество услуг (Quality of Service– QoS) очень важно
обеспечить в мультисервисных сетях, поскольку в них передаются как
цифровые данные, так и потоки аудио- и видеоинформации (Рекомендации
МСЭ-Т Y.1541). Как правило, на уровне доступа в определенный момент
времени коммутатор имеет дело с каким-то одним видом информации
(аудио-, видео-, данными). Однако на уровне распределения и ядра
коммутируются агрегированные потоки информации, поэтому средства этих
уровней должны обеспечивать заданное качество QoS для каждого из
передаваемых видов информации. Это реализуется за счет задания разных
приоритетов передаваемых сообщений.
Важным вопросом при проектировании сети иерархической модели
является место размещения серверов, банков и баз данных, сетевых
принтеров. Необходимо минимизировать количество промежуточных
устройств (коммутаторов) между пользователем и общесетевым
оборудованием, а также оптимизировать пропускную способность
соединений, поскольку к серверам и банкам данных может одновременно
обращаться множество конечных устройств.
К коммутаторам сетей разной сложности и уровня иерархической
структуры предъявляются различные требования, поэтому выпускаются
несколько типов коммутаторов:
- с фиксированной конфигурацией;
- с модульной конфигурацией;
- стекируемые (stackable).
353
Примером современных устройств с фиксированной конфигурацией
являются коммутаторы серии Catalyst 2960, которые имеют достаточно
много (24 – 48) портов FastEthernet и 2 – 4 порта GigabitEthernet.
Материнская плата (шасси) коммутатора модульной конфигурации
позволяет монтировать разное количество линейных плат, содержащих
порты, по требованию заказчика. Обычно коммутаторы модульной
конфигурации являются наиболее дорогостоящими.
Стекируемые коммутаторы с помощью специального кабеля (special
backplane cable) и разъема на задней панели коммутатора объединяются в
единый высокопроизводительный стек. Технология Cisco Stack Wise
позволяет объединять до 9 коммутаторов. Стекируемые коммутаторы
обычно дешевле модульных при одинаковой производительности.
Форм-факторы отражают характеристики коммутаторов, среди
которых
наиболее
важными
являются
плотность
портов
и
производительность.
Плотность портов характеризует способность коммутатора
поддерживать требуемое количество устройств в сети (компьютеров,
серверов, IP-телефонов, сетевых принтеров), для чего требуется
определенное количество доступных портов.
Производительность
коммутатора
определяет
количество
передаваемых данных в единицу времени через все его порты. Это значение
обычно несколько меньше суммы производительностей каждого порта.
Порты коммутатора характеризуются определенной скоростью передачи
данных, например, широко распространенный коммутатор уровня доступа
Catalyst 2960 может иметь 24 порта со скоростью 100 Мбит/си 2 или 4 порта
со скоростью 1000 Мбит/с.
Для повышения производительности (пропускной способности) какого
либо участка сети в ряде случаев проводят объединение (агрегирование)
соединений, а также создают транковые соединения, что характерно для всех
уровней модели рис. 16.1в. Принцип агрегирования нескольких портов
коммутатора для обеспечения требуемой производительности наглядно
отображает схема рис. 16.2, когда доступ к серверу может одновременно
потребоваться нескольким конечным узлам. Для обеспечения требуемой
повышенной производительности соединения сервера с коммутатором
объединяются (агрегируются) несколько портов коммутатора.
354
Сервер
Коммутатор
Рис. 16.2. Агрегирование портов коммутатора
Скорость передачи данных порта коммутатора определяется двумя
техническими характеристиками: скоростью фильтрации и скоростью
продвижения. Фильтрация кадров происходит в том случае, когда адресат
назначения находится в том же сегменте, что и источник передаваемых
данных. При этом нет необходимости передавать кадр через коммутатор,
поэтому после приема кадра в буфер и определения адресата назначения
коммутатор уничтожает находящийся в буфере кадр, копия которого уже
поступила адресату. Сегменты образуются устройствами физического уровня
(повторителями, концентраторами). Двухточечное соединение компьютера с
интерфейсом коммутатора образует микросегмент.
Продвижение кадров происходит в том случае, когда адресат
назначения находится в другом сегменте. Поэтому после приема кадра в
буфер и определения адресата назначения коммутатор передает кадр в
выходной порт, согласно таблице коммутации. Скорости фильтрации и
продвижения задаются в количестве кадров в секунду, при этом
используются кадры минимального размера, например, длиной 64 байта.
Скорость фильтрации выше скорости продвижения и не ограничивает (не
блокирует) производительность коммутатора.
Время с момента прихода первого байта кадра на входной порт и до его
появления на выходном порте характеризует задержку передачи. Значение
задержки во многом определяется режимом коммутации.
355
Коммутаторы могут работать в нескольких режимах, при изменении
которых меняются задержка и надежность. Для обеспечения максимального
быстродействия (минимальной задержки) коммутатор может начинать
передачу кадра сразу, как только получит МАС-адрес узла назначения. Такой
режим получил название сквозной коммутации или коммутации «на лету»
(cut-through switching), он обеспечивает наименьшую задержку при
прохождении кадров через коммутатор. Однако в этом режиме невозможен
контроль ошибок, поскольку поле контрольной суммы находится в конце
кадра. Следовательно, этот режим характеризуется низкой надежностью. В
данном режиме сеть «засоряется» поврежденными кадрами, что снижает ее
производительность.
Во втором режиме коммутатор получает кадр целиком, помещает его в
буфер, проверяет поле контрольной суммы (FCS) и затем пересылает
адресату. Если получен кадр с ошибками, то он отбрасывается (discarded)
коммутатором. Поскольку кадр перед отправкой адресату назначения
запоминается в буферной памяти, то такой режим коммутации получил
название коммутации с промежуточным хранением или буферизацией
(store-and-forward switching). Таким образом, в этом режиме обеспечивается
высокая надежность, но сравнительно низкая скорость коммутации.
Коммутация с буферизацией является
основным режимом современных коммутаторов.
Промежуточное положение между режимами сквозной коммутацией на
лету и буферизацией занимает режим коммутации свободного фрагмента.
В этом режиме в буфер помещается 64 байта кадра, читаются заголовок
кадра, поле данных минимальной длины и контрольная сумма, после этого
передается кадр. Проверка контрольной суммы производится только у
коротких кадров, в больших кадрах контрольная сумма не проверяется.
Когда используется режим сквозной коммутации на лету, порты
устройств источника и назначения должны иметь одинаковую скорость
передачи. Такой режим называется симметричной коммутацией. Если
скорости не одинаковы, то кадр должен запоминаться (буферизироваться)
перед тем, как будет передаваться с другой скоростью. Такой режим
называется асимметричной коммутацией, при этом должен использоваться
режим с буферизацией. Например, для реализации асимметричного режима
356
коммутации сервер может подключаться к порту GigabitEthernet, а рабочие
станции пользователей – к портам FastEthernet (рис. 16.3).
G 0/1
F 0/1
G 0/2
...
Сервер
F 0/24
Сервер
Рис. 16.3. Асимметричная коммутация
Для буферизации кадров при асимметричном режиме коммутатор
может использовать буферную память портов или общую память
коммутатора. Во втором случае требуемый каждому порту объем памяти
выделяется динамически, что и позволяет успешно реализовать
асимметричную коммутацию.
Современные коммутаторы позволяют передавать напряжение питания
на некоторые конечные узлы, например, на видеокамеры, IP-телефоны и др.
Такая технология получила название «мощность поверх Ethernet» (Power over
Ethernet – PoE), что добавляет гибкости при построении сетей.
Для создания локальных сетей выпускается широкий спектр
коммутаторов, например, Catalyst 2960, 3560, 3750, 4500, 6500 и другие. Они
различаются количеством портов, производительностью, функциональными
возможностями, ценой. Информацию о них можно найти в Интернете.
357
16.2. Конфигурирование коммутаторов
При включении коммутатора начинается процесс начальной загрузки в
следующей последовательности:
- выполнение программы проверки аппаратных средств POST;
- загрузка из ПЗУ (ROM) программы начального загрузчика;
- инициализация регистров центрального процессора;
- инициализация файловой системы во флеш-памяти;
- загрузка операционной системы IOS в оперативную память;
- передача операционной системе IOS управления коммутатором.
После того, как коммутатор загрузился, он может конфигурироваться.
Конфигурирование коммутатора проводится при начальной настройке,
изменении топологии сети, коррекции сбоев. При первоначальном
конфигурировании консольный порт коммутатора соединяется с
компьютером консольным кабелем. Если процедура проверки POST и
загрузка операционной системы IOS выполнены успешно, то появляется
приглашение пользовательского режима:
Switch>
Коммутатор может работать по умолчанию без изменения базовой IPконфигурации. Достаточно включить устройство и оно должно начать
работать, точно так же, как при использовании концентратора. Однако при
создании виртуальных локальных сетей (VLAN) и для обеспечения
требуемого уровня безопасности коммутатором необходимо управлять.
Вопросы начального конфигурирования коммутаторов и маршрутизаторов
рассмотрены в разделе 2.2 Части 1 настоящего курса, где показано, что
помимо пользовательского режима используется привилегированный режим,
а также режимы глобального и специфического (детального)
конфигурирования.
В разделе 5.5 Части 1 отмечалось, что современные коммутаторы
работают в полнодуплексном режиме, когда отсутствуют коллизии и их не
нужно обрабатывать, передача данных между двумя узлами происходит
одновременно в обе стороны, при этом за счет двунаправленной передачи
данных повышается производительность коммутатора.
358
Также же в разделах 2.3 и 6.5 Части 1 приведены особенности
удаленного доступа к коммутаторам Catalist, для чего введен виртуальный
интерфейс (SVI) виртуальной локальной сети vlan 1, на котором
устанавливается
конфигурация
для
управления
коммутатором.
Поскольку интерфейс SVI сети vlan 1по умолчанию является управляющим
и это общеизвестно, то рекомендуется для повышения безопасности в
качестве SVI и сети управления использовать сеть с другим номером,
например, vlan 101. На указанный интерфейс задается IP-адрес, маска сети
или подсети, интерфейс активируется, задается шлюз по умолчанию,
например:
Switch(config)#interface VLAN 101
Switch(config-if)#ip address 192.168.1.11 255.255.255.0
Switch(config-if)#no shutdown
Switch(config-if)#exit
Switch(config)#ip default-gateway 192.168.1.1
Однако
распечатка
показывает, что vlan
команды
show
interface
vlan
101
101 и протокол находятся в состоянии down
(выделено цветом), несмотря на то, что интерфейс SVI был активирован:
Switch#show interface vlan 101
Vlan101 is down, line protocol is down
Hardware is CPU Interface, address is 000c.8565.26db (bia 000c.8565.26db)
Internet address is 192.168.10.11/24
...
Для перевода vlan 101 и протокола в состояние upна коммутаторе
необходимо создать виртуальную локальную сеть vlan 101 и приписать к
ней порт с конечным устройством, например F0/19 (рис. 16.4):
Catalyst 2960
G0/0
G1/1
F0/19
Рис. 16.4. Сеть на коммутаторе
359
Switch(config)#vlan 101
Switch(config-vlan)#exit
Switch(config)#int f0/19
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 101
Конфигурация коммутатора хранится в NVRAM, также как у
маршрутизатора. Посмотреть конфигурацию можно по команде:
Switch#show run
...
!
Interface FastEthernet0/19
Switchport access vlan 101
switchport mode access
!
interface Vlan1
no ip address
shutdown
!
interface Vlan101
ip address 192.168.10.11 255.255.255.0
!
Ip default-gateway 192.168.10.1
...
Switch#
Чтобы изменить IP-адрес управления и заданный по умолчанию шлюз
на коммутаторе, можно либо ввести новый адрес, либо удалить информацию
командами глобальной конфигурации no
ip
address или no
ip
default-gateway.
На интерфейсах современных коммутаторов встроена функция
автоматического определения типа кабеля (Auto-MDIX), поэтому отпала
необходимость в двух типах кабеля (прямого и кроссового). Включение
функции Auto-MDIX производится по команде mdix auto в режиме
конфигурирования интерфейса. Информацию о настройке функции AutoMDIX, например, на интерфейсе F0/1, можно получить по команде:
Show controllers ethernet-controller f0/1 pfy.
360
Конфигурирование протокола SSH на коммутаторе
Протокол удаленного доступа Telnet передает данные в открытой
незашифрованной форме, что снижает информационную безопасность.
Поэтому рекомендуется Telnet заменять протоколом SSH, который шифрует
передаваемые данные. Номер порта Telnet – 23, SSH – 22. Оба протокола на
транспортном уровне взаимодействуют с TCP.
Для того чтобы сконфигурировать SSH на коммутаторе (рис. 16.4)
необходимо выполнить ряд команд.
Предварительно нужно задать имя коммутатора, например:
Switch(config)#hostname S-A
В режиме глобального конфигурирования требуется задать имя домену, где
функционирует SSH, например class:
S-A(config)#ip domain-name class
Протокол SSH автоматически включается при создании пары ключей RSA,
при этом требуется указать длину модуля в диапазоне от 360 до 2048. В
приведенном примере задана длина 1024:
S-A(config)#crypto key generate rsa
The name for the keys will be: S-A.class
Choose the size of the key modulus in the range of 360 to 2048 for
your General Purpose Keys. Choosing a key modulus greater than 512
may take a few minutes.
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Для аутентификации пользователя задают его имя (например, vas) и пароль
(например, cis1):
S-A(config)#username vas secret cis1
*??? 1 0:4:3.608: %SSH-5-ENABLED: SSH 1.99 has been enabled
Сообщение говорит о том, что используется версия 1.99. В настоящее время
предпочтительной является версия 2, которую необходимо задать.
Настройку SSH на виртуальных линиях реализует следующая
последовательность команд:
361
S-A(config)#line vty 0 4
S-A(config-line)#transport input ssh
S-A(config-line)#login local
S-A(config-line)#exit
S-A(config)#ip ssh version 2
Если ранее на виртуальном интерфейсе (SVI) не была установлена
конфигурация для управления коммутатором, то это необходимо сделать,
например:
S-A(config)#int vlan 101
S-A(config-if)#ip add 192.168.10.11 255.255.255.0
S-A(config-if)#no shut
S-A(config-if)#exit
S-A(config)#ip default-gateway 192.168.10.1
Кроме того, необходимо сформировать виртуальную локальную сеть
vlan 101 и к ней приписать физический интерфейс, например interface f0/19,
к которому подключен персональный компьютер:
S-A(config)#vlan 101
S-A(config-vlan)#
%LINK-5-CHANGED: Interface Vlan101, changed state to up
S-A(config-vlan)#int f0/19
S-A(config-if)#switchport access vlan 101
S-A(config-if)#
Проверка возможности удаленного доступа по SSH с персонального
компьютера (рис. 16.4) производится по команде:
PC>ssh –l vas 192.168.10.11
Open
Password:
S-А>
При этом протокол Telnet не работает.
Ввод команды transport input all
функционирование как SSH, так и Telnet.
362
на линиях vty разрешает
16.3. Безопасность сетей на коммутаторах
Для получения неправомочного доступа к коммутируемой локальной
сети и передаваемой по ней информации злоумышленники используют
уязвимость в защите сети. Успешная борьба с хакерами возможна, когда
известны их методы проникновения в сеть.
Один из методов получения неправомочного доступа к передаваемым
по сети данным использует широковещательные рассылки протокола CDP,
который обнаруживает прямо подключенные устройства Cisco и облегчает
создание сети. Протокол CDP по умолчанию настроен на всех портах
устройств Cisco (коммутаторах и маршрутизаторах). Рассылки протокола
CDP реализуются на 2-ом уровне модели OSI и производятся только внутри
локальной сети. Подключившись к локальной сети, хакер может получить
информацию об адресах устройств, версии IOS и другую информацию,
необходимую для организации атак. Поэтому, несмотря на удобства,
предоставляемые протоколом CDP, его рекомендуется отключать (no cdp
run
– в режиме глобальной конфигурации), если в нем нет острой
необходимости.
Для неправомочного получения передаваемой по локальной сети
информации хакеры часто организуют атаки на DHCP-серверы. При этом
используются атаки истощения ресурсов DHCP-сервера, т.е. доступных для
пользователей IP-адресов, и атаки подмены легального DHCP-сервера
ложным. Для истощения ресурсов хакер организует рассылку множества
ложных запросов на DHCP-сервер, который выдает адреса виртуальным
ложным пользователям, а легальным – адресов не достается. Таким образом,
организуется отказ в обслуживании легальных пользователей.
Подмена легального DHCP-сервера ложным (DHCP-спуфинг) обычно
реализуется после атаки истощения. Ложный DHCP-сервер начинает
раздавать клиентам ложные адреса, в том числе ложный адрес службы
доменных имен DNS. Тем самым злоумышленник получает доступ к
передаваемой по сети информации.
Для борьбы с атаками на DHCP-серверы проводят отслеживание
DHCP-сообщений. Данная функция классифицирует порты коммутатора на
надежные (доверенные) и ненадежные. Надежные порты могут получать
363
все виды сообщений (см. раздел 10.3 Часть 1): запросы (DHCP Discover,
DHCP Request); предложения (DHCP Offer); подтверждения (DHCP Pack);
ненадежные могут только получать запросы и не могут отправлять
сообщения сервера DHCP. На рис. 16.5 приведен пример сети, в которой
порты F0/1 коммутаторов Sw-A и Sw-B являются надежными, остальные –
ненадежные. Следует подчеркнуть, что надежные порты F0/1 коммутаторов
лежат на пути к серверу DHCP.
F0/1
Sw-A
Sw-B
F0/1
Сервер
DHCP
Узел 1
Узел 2
Хакер
Рис. 16.5. Надежные и ненадежные порты коммутатора
Если устройство хакера, подключенное к ненадежному порту и
имитирующее ложный DHCP-сервер, отправит пакет с предложением (DHCP
Offer), то порт выключается. Для ненадежных портов формируют таблицу
привязок устройств, которая задает МАС-адрес и IP-адрес клиента, номер
VLAN, идентификатор порта, что разрешает подключаться к коммутатору
только авторизованным пользователям, т.е. фильтровать трафик.
Надежные порты формируются специальным образом. Например, для
создания надежного порта F0/1 на коммутаторе Sw-A (рис. 16.5) необходимо
запустить функцию отслеживания DHCP:
Sw-A(config)#ip dhcp snooping
Затем указать виртуальные локальные сети, например vlan 10, vlan 20, vlan 30
Sw-A(config)#ip dhcp snooping vlan 10,20,30
Затем задать надежные порты, например:
Sw-A(config)#int f0/1
Sw-A(config-if)#ip dhcp snooping trust
364
Распространенным методом неправомочного доступа к передаваемой
по сети информации является атака лавинного переполнения таблицы
коммутации. Когда таблица МАС-адресов не заполнена, коммутатор,
получив кадр, передает его из всех своих портов, за исключением того, на
который кадр был получен (см. раздел 5.5 часть 1). Этим свойством
пользуются хакеры, которые «наводняют» сеть сообщениями с ложными
адресами источника, адресная таблица коммутации переполняется, и
коммутатор начинает работать в режиме концентратора. При этом
подключившийся к коммутатору злоумышленник получает возможность
анализировать всю информацию, передаваемую по локальной сети.
Конфигурирование функции безопасности порта снижает возможность
атаки переполнения таблицы коммутации.
Комплекс указанных мер, наряду с функцией безопасности порта,
позволяют снизить уязвимость сети.
Функция безопасности портов коммутаторов
Безопасность локальной сети определяется функцией безопасности
портов коммутаторов (Port Security), которая включает ряд аспектов. В
разделе 5.5 часть 1 отмечалось, что таблица коммутации (таблица МАСадресов) создается динамически. Кадры, которые имеют MAC-адрес
назначения, зарегистрированный в таблице, могут переключаться только на
соответствующий интерфейс без использования широковещательной
передачи на все порты. Если в течение определенного времени (300 секунд
по умолчанию) с какого либо узла нет передачи кадров, то адрес такого узла
удаляется из таблицы. Кадры на этот узел передаются в широковещательном
режиме, что снижает безопасность.
Для повышения безопасности администратор может:
- создать запись таблицы коммутации вручную, указав МАС-адрес
узла, которому разрешено подключение, остальным узлам доступ запрещен;
статические записи может удалить только администратор;
- динамические записи таблицы коммутации перевести в режим
статических, когда они не будут удаляться по истечению заданного
365
таймером времени; записи удаляются только после перезагрузки
коммутатора;
- создать записи на основе привязки (sticky), которые не удаляются
даже после перезагрузки коммутатора;
- ограничить количество МАС-адресов, которым разрешено
подключение к порту коммутатора.
Методы реализации функцией безопасности портов коммутатора
рассмотрены на примере сети рис. 16.6.
РС3
РС4
F0/14
Sw-A
Hub
F0/10
F0/11
РС5
РС0
РС1
F0/12
РС2
Рис. 16.6. Реализация функцией безопасности портов
В исходном состоянии таблица очищена:
Sw-А>sh mac-address-table
Mac Address Table
------------------------------------------Vlan
Mac Address
Type
Ports
------------------------Sw-А>
«Прозвонка» с узла РС3 на узел РС1 формирует две динамические
записи в таблице коммутации, которые и удаляются динамически через 5
минут. Таблица коммутации отображается по следующей команде:
Sw-A#show mac-address-table
Mac Address Table
------------------------------------------Vlan
Mac Address
Type
Ports
------------------------1
0007.ec37.978b
DYNAMIC
Fa0/11
1
00e0.f935.2720
DYNAMIC
Fa0/14
366
Не дожидаясь истечения заданного таймером времени, администратор
может вручную произвести очистку динамически созданных адресов по
команде clear mac-address-table в привилегированном режиме.
Формирование статической записи таблицы коммутации (таблицы
MAC-адресов) производится по следующей команде:
Switch(config)#mac-address-table static <МАС-адрес узла>
vlan <имя vlan> interface FastEthernet <номер>
Для интерфейса F0/10 сети рис. 16.6 с подключенным узлом РС0
с МАС-адресом 0090.2131.14DE статическая запись будет следующей:
Sw-A(config)#mac-address-table static
0090.2131.14de vlan 1 interface f0/10
Значение физического адреса можно получить по команде
РС0>ip config /all
В результате таблица коммутации приобретает следующий вид:
Sw-A#show mac-address-table
Mac Address Table
------------------------------------------Vlan
Mac Address
Type
Ports
------------------------1
0007.ec37.978b
DYNAMIC
Fa0/11
1
00e0.f935.2720
DYNAMIC
Fa0/14
1
0090.2131.14de
STATIC
Fa0/10
Распечатка команды show run содержит информацию о статической
записи:
Switch_A#sh run
...
mac-address-table static 0090.2131.14de vlan 1
interface FastEthernet0/10
Чтобы удалить созданные статически записи МАС-адресов, нужно
использовать следующую команду:
Switch(config)#no mac-address-table static <МАС-адрес узла>
interface FastEthernet <номер> vlan <номер>
367
Перевод динамических записей таблицы коммутации в режим
статических реализуется по команде switchport port-security в
режиме конфигурирования интерфейса.
безопасности порта F0/11 (рис. 16.6)
Например,
после
настройки
Sw-A(config-if)#int f0/11
Sw-A(config-if)#switchport mode access
Sw-A(config-if)#switchport port-security
и «прозвонки» с узла РС1 на узел РС3 таблица МАС-адресов приобретает
следующий вид:
Sw-A#show mac-address-table
Mac Address Table
------------------------------------------Vlan
Mac Address
Type
Ports
------------------------1
0007.ec37.978b
STATIC
Fa0/11
1
0090.2131.14de
STATIC
Fa0/10
1
00e0.f935.2720
DYNAMIC
Fa0/14
Записи, преобразованные из динамических в статические по команде
switchport
удаляются
port-security,
после
перезагрузки
коммутатора. Чтобы этого не происходило, создают записи на основе
привязки (sticky):
Sw-A(config)#int f0/12
Sw-A(config-if)#switchport mode access
Sw-A(config-if)#switchport port-security
Sw-A(config-if)#switchport port-security mac-address sticky
Эти записи добавляются в текущую конфигурацию, их можно посмотреть по
команде show run.
В схеме рис. 16.6 три компьютера РС3, РС4, РС5 подключены к
коммутатору через концентратор. Если известно, что лишь два узла являются
легальными, и значит третий – нелегальный, то можно настроить порт, так
чтобы МАС-адреса двух узлов, первыми передающих данные, были
разрешенными, а попытки передачи данных другими узлами приводили бы к
368
блокировке порта или отбрасыванию кадра. Максимальное количество
разрешенных (защищенных) МАС-адресов, например 2, задается по команде:
Sw-A(config-if)#switchport port-security max 2
Существуют разные режимы реагирования на нарушение безопасности.
По умолчанию на коммутаторах установлен режим shutdown, который при
необходимости можно установить по команде:
Sw-A(config-if)#switchport port-security violation shutdown
Нарушение безопасности происходит, когда нелегитимная станция
попытается получить доступ к интерфейсу. В этом режиме при нарушении
безопасности порт принудительно выключается. Включение порта
производится путем последовательного административного выключения
(shutdown)и затем включения (no shutdown) интерфейса.
Существуют еще два режима реагирования на нарушения
безопасности: режим защиты (Protect) и режим ограничения (Restrict). В
этих режимах пакеты с неизвестными исходящими МАС-адресами
отбрасываются (уничтожаются). При этом в режиме ограничения
формируется уведомление, а в режиме защиты – не формируется.
Для того чтобы злоумышленнику был затруднен доступ в локальную
сеть, необходимо все неиспользуемые порты коммутатора отключить по
команде shutdown.
Установку функции безопасности на интерфейсе можно проверить по
командам
show
run,
show
mac-address-table,
showport-
security int <тип номер>. Например, проверка порта F0/12 (рис. 16.6)
дает следующий результат:
Sw-A#show port-security int f0/12
PortSecurity
: Enabled
Port Status
: Secure-up
Violation Mode
: Shutdown
Aging Time
: 0 mins
Aging Type
: Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses
: 1
Total MAC Addresses
: 1
369
Configured MAC Addresses
Sticky MAC Addresses
Last Source Address:Vlan
Security Violation Count
:
:
:
:
0
1
0010.1123.2AE5:1
0
Из распечатки следует, что функция безопасности порта F0/12 коммутатора
(Port Security) включена (Enabled), режим реагирования – Shutdown,
максимальное число разрешенных MAC-адресов – 1, запись функции
безопасности создана на основе привязки (Sticky).
Аналогичную информацию дает распечатка текущей конфигурации:
Sw-A#sh run
...
interface FastEthernet0/10
switchport mode access
!
interface FastEthernet0/11
switchport mode access
switchport port-security
!
interface FastEthernet0/12
switchport mode access
switchport port-security
switchport port-security mac-address sticky
switchport port-security mac-address sticky 0010.1123.2AE5
!
interface FastEthernet0/13
!
interface FastEthernet0/14
switchport mode access
switchport port-security
switchport port-security maximum 2
...
mac-address-table static 0090.2131.14de vlan 1 interface
FastEthernet0/10
Среди базовых функций безопасности сети следует отметить оценку
уязвимости, которую дает аудит сети и моделирование атак (пробное
проникновение в сеть). Аудит определяет тип данных, которые может
получить злоумышленник с помощью анализатора сетевого трафика.
Моделирование атак позволяет оценить текущую уязвимость сети.
370
16.4. Протокол охватывающего дерева STP
Многоуровневая схема сети (рис.16.1в) характеризуется избыточными
устройствами и соединениями, что обеспечивает высокую надежность.
Однако избыточные соединения могут приводить к образованию
маршрутных петель, что, в свою очередь, может привести к зацикливанию
передаваемых пакетов, широковещательному шторму и падению сети.
Из рис. 16.7 следует, что от узла Hosti до Hostj существует 5 различных
путей (1, 2, 3, 4, 5).
3,4,5
2,5
1,2,3,4
4,5
5
3,5
1,5
1,2,3,4
5
1,3,5
2,4,5
Host j
Host i
Рис. 16.7. Избыточные пути в многоуровневой модели сети
Множество путей могут образовывать маршрутные петли (рис. 16.8),
приводящие к зацикливанию кадров в какой-либо петле.
Рис. 16.8. Образование маршрутной петли
371
Поэтому к топологии сети предъявляются два противоположных
требования:
- с одной стороны, для повышения надежности необходимы
избыточные устройства и маршруты (соединения);
- с другой стороны, топология сети должна быть древовидной, т.е. не
должна иметь маршрутных петель.
Для разрешения этих противоречивых требований был разработан
протокол охватывающего (покрывающего) дерева (Spanning-Tree Protocol
– STP), который при наличии избыточных физических соединений
прокладывает логические маршруты так, чтобы топология сети была
древовидной. Алгоритм STA, реализующий протокол STP, автоматически
выключает избыточные маршруты, образую