Вопрос №54
advertisement
Вопрос №54
Статические и динамические маршрутизаторы.
Основная задача маршрутизатора обработать каждый полученный пакет из подключенной
сети и передать его либо в другую, непосредственно подключенную сеть, либо другому
маршрутизатору, который может знать сеть назначения. Для того, чтобы выбрать сеть, которая
обеспечит наилучший маршрут к сети назначения, в маршрутизаторах ведется список сетей,
называемый таблицей маршрутизации (routing table).
Есть два метода внесения записей в таблицу. Статическая маршрутизация основана на
внесении записей вручную администратором. Мы раздаем IP адрес, маску подсети и шлюз по
умолчанию, внося записи либо вручную либо автоматически с помощью DHCP, а таблица
маршрутизации заполняется системой. Шлюз по умолчанию, это адрес маршрутизатора, на который
будут отсылаться пакеты для сети, которой нет в таблице маршрутизации.
Если сеть большая – записывать статические маршруты совершенно неудобно из-за
огромного количества записей. А если сеть меняется – то и таблицы маршрутизации тоже нужно
менять. Поэтому применяется динамическая маршрутизация, когда специальные протоколы
обмениваются информацией с другими маршрутизаторами в сети и меняют таблицы маршрутизации.
При этом, сконфигурировав протоколы динамической маршрутизации уже редко приходится
вмешиваться в таблицы вручную. При динамической маршрутизации все возможные маршруты к
заданной сети будут занесены в таблицу маршрутизации. Конкретный путь определяется на основе
метрики. Если маршрутизатор направляет пакет сети, до которой есть несколько путей в таблице
маршрутизации, он выбирает пакет с наименьшим значением метрики.
Вопрос №55
Протоколы динамической маршрутизации, примеяемые на разных уровнях сетевой иерархии.
Протокол маршрутизации позволяет маршрутизаторам обмениваться информацией с
другими маршрутизаторами с целью актуализации и ведения таблиц. Примерами протоколов
маршрутизации являются:
протокол маршрутной информации (Routing Information Protocol — RIP). Применяется в
небольших компьютерных сетях, позволяет маршрутизаторам динамически обновлять
маршрутную информацию, получая ее от соседних маршрутизаторов.
протокол маршрутизации внутреннего шлюза (Interior Gateway Routing Protocol — IGRP).
Используется в маршрутизаторах, которые имеют связи с несколькими сетями и выполняют
функции переключателей пакетов. Когда какой-то объект в одной сети хочет послать пакет в
другую сеть, он должен послать его соответствующему маршрутизатору. Если адресат
находится в одной из сетей, непосредственно связанной с маршрутизатором, он отправляет
этот пакет по месту назначения. Если же адресат находится в более отдаленной сети,
маршрутизатор перешлет пакет другому маршрутизатору, расположенному ближе к
адресату. Для хранения маршрутных данных используются специализированные базы
данных. Протокол IGRP формирует эту базу данных на основе информации, которую он
получит от
соседних маршрутизаторов.
усовершенствованный протокол маршрутизации внутреннего шлюза (Enhanced Interior
Gateway Routing Protocol — EIGRP). Рассылка маршрутной информации здесь производится
лишь при измении маршрутной ситуации. Протокол периодически рассылает соседним
маршрутизаторам короткие сообщения Hello. Получение отклика означает, что сосед
функционален и можно осуществлять обмен маршрутной информацией. Протокол EIGRP
использует таблицы соседей (адрес и интерфейс), топологические таблицы (адрес места
назначения и список соседей, объявляющих о доступности этого адреса), состояния и метки
маршрутов. Для каждого протокольного модуля создается своя таблица соседей. Протоколом
используется сообщения типа hello (мультикастная адресация), подтверждени
(acknowledgent), актуализация (update), запрос (query; всегда мультикастный) и отклик (reply;
посылается отправителю запроса).
протокол первоочередного обнаружения кратчайших маршрутов (Open Shortest Path First
OSPF). Является протоколом маршрутизации с объявлением состояния о канале (link-state).
Он требует отправки объявлений о состоянии канала (link-state advertisement - LSA) во все
роутеры, которые находятся в пределах одной и той же иерархической области. В
oбъявления LSA протокола OSPF включается информация о подключенных интерфейсах, об
использованных показателях и о других переменных. По мере накопления роутерами OSPF
информации о состоянии канала, они используют алгоритм SPF для расчета наикратчайшего
пути к каждому узлу. Являясь алгоритмом с объявлением состояния канала, OSPF отличается
от RIP и IGRP, которые являются протоколами маршрутизации с вектором расстояния.
Роутеры, использующие алгоритм вектора расстояния, отправляют всю или часть своей
таблицы маршрутизации в сообщения о корректировке маршрутизации, но только своим
соседям.
Вопрос №56
Таблицы маршрутизации. Типы маршрутный записей. Примеры.
Таблица маршрутизации — электронная таблица, которая хранится на маршрутизаторе или
сетевом компьютере, которая описывает соответствие между адресами назначения и интерфейсами,
через которые следует отправить пакет данных до следующего маршрутизатора.
Записи в таблице маршрутизации называются маршрутами. При этом существует три типа
маршрутов.
Маршрут к хосту, или узловой маршрут (Host Route). Этот тип маршрута определяет путь
доставки пакета, адресованного хосту с конкретным сетевым адресом.
Маршрут к сети, или сетевой маршрут (Network Route). Данный тип маршрута используется
для определения способа доставки пакета в подсеть с определенным адресом.
Маршрут по умолчанию (Default Route). Маршрут по умолчанию используется, когда не
найдены никакие другие маршруты в таблице маршрутизации. Маршрут по умолчанию
используется в ситуации, когда в таблице маршрутизации отсутствует соответствующий
маршрут по идентификатору сети или маршрут к хосту по адресу получателя.
Структура таблицы маршрутизации на примере:
Сеть назначения Маска подсети
Шлюз
Интерфейс Метрика
10.0.0.0
255.255.255.0
10.0.0.1 10.0.0.1
30
10.0.0.1
255.255.255.255 127.0.0.1 127.0.0.1
30
10.255.255.255
255.255.255.255 10.0.0.1 10.0.0.1
30
127.0.0.0
255.0.0.0
127.0.0.1 127.0.0.1
1
224.0.0.0
240.0.0.0
10.0.0.1 10.0.0.1
30
255.255.255.255 255.255.255.255 10.0.0.1 10.0.0.1
1
Сеть назначения (Network Destination). Данное поле содержит сведения об адресе хостаполучателя пакета или сети, в которой этот хост располагается.
Маска подсети (Netmask). Это поле в сочетании с предыдущим полем используется для
вычисления идентификатора IP-сети.
Шлюз (Gateway). В этом поле указывается адрес, по которому будет должен быть передан
согласно данному маршруту.
Интерфейс (Interface). В этом поле указывается сетевой интерфейс, с которого будет
осуществляться передача сообщения согласно данному маршруту.
Метрика (Metric). Стоимость маршрута, характеризующая меру его предпочтения.
Вопрос №57
Транслирующий NAT. Диапазон частных адресов.
Технология трансляции сетевых адресов (NAT) была разработана для упрощения IP-адресации
и экономного использования IP-адресов. Технология позволяет подключить к Интернету частные сети,
в которых используются незарегистрированные IP-адреса. NAT работает на маршрутизаторе, обычно
соединяющем две сети, и транслирует частные (не являющиеся уникальными в глобальном
масштабе) адреса внутренней сети в легальные адреса, а затем перенаправляет пакеты в другую
сеть.
NAT может быть настроена таким образом, что во внешней сети будет объявляться только
один IP-адрес для всей внутренней сети. Таким образом за одним адресом может быть спрятана
целая сеть, что обеспечивает дополнительную безопасность. NAT выполняет две функции –
обеспечения безопасности и экономии IP-адресов – и, как правило, используется в сетях удаленного
доступа.
Список определений и терминов, используемых функциями NAT:
- Внутренний локальный адрес (Inside local address). Это адреса IP, присвоенные узлам внутренней сети. Как правило, эти адреса не являются зарегистрированными NIC (Network Information
Center) или поставщиком услуг.
- Внутренний глобальный адрес (Inside global address). Этот адрес выдается организации
центром NIC или поставщиком услуг Интернет. Он представляет один или более внутренних узлов во внешней сети.
- Внешний локальный адрес (Outside local address). Это адрес IP, присвоенный внешнему
узлу и означающий, что внешний узел принадлежит внутренней сети. Этот адрес не нуждается в регистрации. Этот адрес должен принадлежать такому адресному пространству, которое имеет возможность маршрутизироваться во внутреннюю сеть.
- Внешний глобальный адрес (Outside global address). Это адрес IP, присвоенный узлу внешней сети владельцем данного узла. Этот адрес принадлежит глобальному адресному или сетевому пространству.
Частные адреса, т.е. адреса, размещаемые только для внутреннего пользования и поэтому не
используемые в сети Интернет.
1. Адреса класса А в диапазоне от 10.0.0.0 до 10.255.255.255 (эта группа адресов формально
называется 10/8). Это пространство адресов фактически представляет собой одно сетевое число
класса А.
2. Адреса класса В в диапазоне от 172.16.0.0 до 172.31.255.255 (эта группа адресов формально
называется 172.16/12). Это пространство адресов определяет 16 смежных сетевых номеров класса В.
3. Адреса класса С в диапазоне от 192.168.0.0 до 192.168.255.255 (эта группа адресов формально
называется 192.168/16). Это пространство адресов определяет 256 смежных сетевых номеров класса
С.
Вопрос №58
Кофигурироваие статического NAT.
Под статической трансляцией понимается ручное конфигурирование адресов в просмотровой
таблице. Для каждого внутреннего локального адреса при использовании статической NAT требуется
внутренний глобальный адрес. Для того, чтобы сконфигурировать статическую трансляцию
внутреннего адреса, требуется выполнить действия, описанные ниже.
1. Задать статическую трансляцию внутреннего локального адреса во внутренний глобальный адрес.
Router (config)#ip nat inside source static local-ip global-ip
2. Задать внутренний интерфейс и указать его, как принадлежащий к внутренней сети
Router (config)#interface type number
Router (config-if)#ip nat inside
3. Задать выходной интерфейс и указать его, как подсоединенный извне
Router (config)#interface tуре number
Router(config-if)#ip nat outside
Вопрос №59
Кофигурироваие динамического NAT.
При использовании динамической трансляции адресов преобразования адресов не
существуют в NAT-таблице до тех пор, пока маршрутизатор не получит данные, для которых такая
трансляция требуется. Динамические преобразования адресов являются временными и в конечном
итоге устаревают и удаляются. Для того, чтобы сконфигурировать трансляцию внутренних адресов,
следует выполнить действия, описанные ниже.
1. Задать пул глобальных адресов, которые будут использоваться по мере необходимости.
Router (config)#ip nat pool имя нач-ip конеч-ip {netmask маска | prefix-length длина-префикса}
2. Создать стандартный список доступа для идентификации тех адресов, которые нужно будет
транслировать.
Router (config)#access-list номер-списка permit источник [шаблон-источник]
3. Сконфигурировать динамический NAT на основе адресов источника
Router (config)#ip nat inside source list номер-списка-дост pool имя
4.Указать внутренний интерфейс
Router (config)#interface type number
Router (config-if)#ip nat inside
5. Указать внешний интерфейс
Router (config)#interface tуре number
Router(config-if)#ip nat outside
Список доступа должен определять только те адреса, которые следует транслировать. Следует
помнить о том, что неявная команда deny all присутствует в каждом списке доступа. Недостаточно
строгий список доступа может привести к непредсказуемым результатам. Рекомендуется не
конфигурировать списки доступа, на которые ссылаются команды NAT с permit any (т.е. разрешить
трансляцию для всех). Использование permit any может привести к тому, что NAT будет потреблять
слишком много ресурсов маршрутизатора, что может вызвать проблемы в сети.
Приведенные ниже команды конфигурируют соответствующие интерфейсы для выполнения
внутренних и внешних функций.
Вопрос №60
NAT/PAT, таблицы TCP/UDP портов. Перегрузка NAT.
Одной из версий NAT является PAT (Port Address Translation) или NATP (Network Address Port
Translation). Каждому соединению со стороны клиента ставится в соответствие комбинация IP-адреса
и порта. Так можно для одного и того же IP-адреса осуществить десятки, и даже сотни соединений,
распределив их между соответствующим числом клиентов локальной сети. Сервер NAT
поддерживает таблицу, где каждому соединению с Интернет ставится в соответствие IP-адрес и
номер порта.
В протоколе РАТ один общий IP-адрес транслируется с собственным номером порта UDP/TCP
для группы ЭВМ. При настройке NAT маршрутизатор конфигурируется по выходным и входным
интерфейсам. Выходной интерфейс подключается к внешней сети Интернет через легальный IPадрес. Внутренний интерфейс подключается к локальной сети, которая пользуется нелегальными
адресами. Ниже в таблице приведен пример трансляции адресов для случая обращения к внешнему
удаленному почтовому серверу с IP=193.125.31.3. Адреса 10.10.10.1 и 10.10.10.2 являются
внутренними, адрес 194.85.31.1 - IP внешнего порта сервера NAT. Из этого примера видно, что одному
легальному глобальному адресу 194.85.31.1 может соответствовать практически любое число
внутренних адресов.
Протокол
ТСР
ТСР
Внутренний локальный IPадрес:порт
10.10.10.1:2500
10.10.10.2:3010
Внутренний глобальный IPадрес:порт
194.85.31.1:2500
194.85.31.1:3010
Внешний глобальный IPадрес:порт
193.125.31.3:25
193.125.31.3:25
Описание основных портов:
20/TCP
21/TCP
протокол FTP (передача данных)
протокол FTP (передача команд)
протокол Telnet- применяется для передачи текстовых сообщений в незашифрованном
23/TCP,UDP
виде, то же, что и консоль терминала.
протокол SMTP (Simple Mail Transfer Protocol) - используется для отправки почтовых
25/TCP,UDP
сообщений между серверами. Используется большинством почтовых программ
53/TCP,UDP
Domain Name System(DNS)
79/TCP
Finger
Hypertext Transfer Protocol (HTTP) по умолчанию на этом порту работают браузеры и
80/TCP,UDP
большое количество программ
110/TCP Post Office Protocol(POP3) Используется почтовыми программами для отправки сообщений
111/TCP,UDP
Используется службой Open Network Computing Remote Procedure Call компании Sun
119/TCP NNTP протокол применяется для почучения-отправки новосных лент
139/TCP,UDP NetBIOS Session Service
443/TCP Порт необходим для защищенного серфинга HTML (SHTML)
513/TCP Login
Перегрузка NAT использует функцию пакета протоколов TCP/IP, мультиплексирование,
позволяющую компьютеру создавать с одним или несколькими удаленными компьютерами
несколько одновременных соединений с применением различных портов TCP или UDP. Пакет IP
содержит заголовок, в котором имеется следующая информация:
Адрес источника – IP-адрес компьютера-отправителя
Порт отправителя – номер порта TCP или UDP, назначенный компьютером-отправителем для
данного пакета
Адрес получателя – IP-адрес компьютера-получателя
Порт назначения – номер порта TCP или UDP, который компьютер-отправитель требует
открыть у компьютера-получателя
Вопрос №61
Редакторы NAT.
Обычно преобразование сетевых адресов заключается в преобразовании следующих данных:
IP-адресов в заголовке IP;
Номеров портов TCP в заголовке TCP;
Номеров портов UDP в заголовке UDP.
Для преобразования любых других данных требуется дополнительная обработка,
выполняемая дополнительными программными компонентами, называемыми редакторами NAT.
Редактор NAT вносит в IP-пакет все остальные изменения, не связанные с преобразованием IP-адреса
в заголовке IP, порта TCP в заголовке TCP и порта UDP в заголовке UDP.
Например, трафик протокола HTTP не требует редактора NAT, так как для этого протокола
требуется лишь преобразование IP-адреса в заголовке IP и порта TCP в заголовке TCP.
Ниже показаны две ситуации, в которых редактор NAT необходим.
Ситуация
Описание
IP-адрес, порт TCP или
порт UDP хранятся в
полезных данных
Например, протокол FTP хранит точечно-десятичные представления IPадресов в заголовке FTP для команды FTP PORT. Если NAT не сможет
правильно преобразовать IP-адрес из заголовка FTP и откорректировать
поток данных, то передача данных по протоколу будет невозможна
TCP или UDP не
используются для
идентификации потока
данных
Например, данные, передаваемые по туннелю PPTP, не используют
заголовки TCP или UDP. Вместо этого используется заголовок общей
маршрутизирующей инкапсуляции (GRE), а код туннеля, хранящийся в
заголовке GRE, идентифицирует поток данных. Если NAT не сможет
правильно преобразовать код туннеля из заголовка GRE, то связь по
туннелю не будет установлена
Windows Server 2003 имеет встроенные редакторы NAT для следующих протоколов:
FTP;
ICMP;
PPTP;
