Э. Сивер, С. Спейнауэр, С. Фиггинс, Дж. П. Хекман - Linux cправочник - 3-е издание, страница 7

2.1. Уровни архитектуры протокола TCP/IPОбзор TCP/IP37IP-адресацияIP-адрес (интернет-адрес) является 32-битным двоичным числом, котороеотличает вашу машину от всех остальных в сети. У каждой машины долженбыть уникальный IP-адрес, состоящий из двух частей — сетевой и машинной. Количество бит адреса, используемых для определения сети и узла,варьируется в зависимости от класса адреса. Существуют адреса трех основных классов: А, В и С (рис.

2.2). Крайние слева биты определяют, к какомуклассу относится адрес.Класс А20101ii-'^. -^'^.24 бита адреса узла8 бит адреса сети[Тй'--WКласс В12 --.V :V $ "^...1, ь.^1Ь.'-.16 бит адреса сети16 бит адреса узлаКлассе" 19 •'•"'••.

-:•17 ""•' !,-11Ib24 бита адреса сети' 8 бит адреса узлаРис. 2.2. Структура IP-адресаБолее современный стандарт под названием Бесклассовая междоменнаямаршрутизация (Classless Inter-Domain Routing, CIDR) развивает идею системы классов, состоящую в использовании первых битов (а именно, первыйбайт адреса) для идентификации адресата пакетов.

В стандарте CIDR новыйдомен может иметь любое количество (не обязательно кратное 8) закрепленных, крайних слева бит.Еще один новый стандарт, IPv6, изменяет метод адресации и увеличиваетколичество полей IP-адреса, однако должно пройти какое-то время, чтобыстандарт получил широкое распространение.38Глава 2. Обзор системного и сетевого администрированияПри желании подключиться к сети Интернет следует связаться с Информационным центром Сети (Network Information Center) с целью выделения вамадреса.

Если вы не подключены к какой-либо внешней сети, можно выбратьлюбой сетевой адрес, соответствующий стандарту задания адресов. Следуетиспользовать специальные зарезервированные адреса, описанные вRFC 1597. В этом документе перечислены сетевые IP-адреса частных сетей,которые не нужно регистрировать в организации IANA (Internet AssignedNumbers Authority).

IP-адрес отличается от Ethernet-адреса, который назначается производителем сетевого адаптера.Шлюзы и маршрутизацияШлюзы являются узлами, отвечающими за обмен информацией о маршрутах и передачу данных из одной сети в другую. Каждая подсеть, имеющаясобственное независимое управление, называется автономной системой(АС). Автономные системы соединяются с другими посредством внешнихшлюзов.

АС также может состоять из более мелких частей, соединяемыхпосредством внутренних шлюзов.Протоколы шлюзовСуществуют следующие протоколы шлюзов:EGP (Exterior Gateway Protocol) - протокол внешнего шлюзаBGP (Border Gateway Protocol) - протокол пограничного шлюзаПротоколы обмена данными для внешних шлюзов.RIP (Routing Information Protocol) - протокол данных маршрутизацииПротокол внутреннего шлюза; особенно распространен в локальных сетях.Hello protocolOSPF (Open Shortest Path First) - протокол выбора кратчайшего путиПротоколы внутренних шлюзов.Демоны маршрутизацииДемоны маршрутизации - gated и routed - могут быть запущены на произвольном узле в целях установки шлюза. Их использование взаимоисключающе, gated является демоном шлюзовой маршрутизации и позволяет узлуфункционировать в качестве как внешнего, так и внутреннего шлюза.

Онупрощает настройку маршрутизации, объединяя протоколы RIP, Hello,BGP, EGP и OSPF в один пакет.routed - демон сетевой маршрутизации, использующий протокол RIP. Этотдемон управляет таблицами маршрутизации и позволяет узлу работатьтолько в качестве внутреннего шлюза. Более подробно gated и routed описаны в главе 3.Обзор TCP/IP39Таблицы маршрутизацииТаблицы маршрутизации хранят информацию, необходимую для отправкипакетов адресатам.

Эта информация включает данные о сети адресата, задействованном шлюзе, состоянии маршрутов и количестве отправленныхпакетов. Таблицы маршрутизации можно просмотреть при помощи команды netstat.Служба именКаждый узел в сети имеет имя, по которому можно найти информацию обузле. Имя узла можно присвоить любому устройству, имеющему IP-адрес.Служба имен преобразует легкие для запоминания имена в IP-адреса (числа,с которыми работают машины).DNSnBINDСистема доменных имен (Domain Name System, DNS) - это распределеннаябаза данных, в которой хранится информация об узлах сети.

Структура базыданных схожа со структурой файловой системы Unix, т. е. напоминает дерево, растущее ветвями вниз. Ветви дерева называются доменами (или поддоменами) и соответствуют IP-адресам. Самой распространенной программнойреализацией DNS является BIND (Berkeley Internet Name Domain).DNS работает по модели клиент-сервер. Resolver- это программа-клиент,запрашивающая информацию об узле. Сервер имен (name server) представляет собой процесс, реагирующий на запросы.

Сервером BIND является демон named. Вы можете в диалоговом режиме запрашивать у серверов именинформацию об узлах с помощью команды nslookup. Более подробно namedи nslookup описаны в главе 3.В качестве сервера доменных имен ваша машина будет ответственна за хранение (и предоставление по запросу) данных по именам машин в вашем домене. Именно сюда будут передавать запросы по этим именам все остальныесерверы имен в сети.Доменные именаПолное имя домена представляет собой последовательность имен, начиная симени текущего домена и заканчивая корнем, при этом имена разделяютсяточками.

Например, oreilly.com содержит имя домена orellly (от O'Reilly &Associates), который расположен в домене сот (коммерческий). Одна из машин в этом домене имеет имя www.oreilly.com. Перечислим домены верхнегоуровня:сот - коммерческие организацииedu - образовательные организацииgov — правительственные организацииmil - военные службы40Глава 2. Обзор системного и сетевого администрированияnet - коммерческие организации, деятельность которых связана с Интернетом (как правило, поставщики интернет-услуг)org - различные организацииКаждая страна также имеет домен верхнего уровня.Настройка TCP/IPifconfigСетевой интерфейс представляет собой способ, которым сетевое программное обеспечение использует аппаратное обеспечение, а именно: драйвер, IPадрес и т.

п. Для настройки сетевого интерфейса воспользуйтесь командойifconfig. С ее помощью во время загрузки можно присвоить адрес сетевомуинтерфейсу, а также установить маску сети, широковещательный адрес иIP-адрес. Кроме того, можно установить параметры сетевого интерфейса,включая применение ARP, использование привязанного к драйверу отладочного кода, работу в монопакетном режиме, а также адрес сетевого интерфейса на другом конце соединения точка-точка. Более подробно применениеifconfig описано в главе 3.Связь через последовательное соединениеСуществует два протокола для связи по последовательным линиям: межсетевой протокол для последовательного канала (SLIP) и протокол точка-точка (РРР). Эти протоколы позволяют передавать информацию через последовательный порт вместо сетевого адаптера и по последовательному кабелювместо кабеля Ethernet.В Linux драйвер протокола SLIP входит в состав ядра.

Для перевода последовательной линии в SLIP-режим используют команду slattach (подробнее оslattach смотрите в главе 3). Следует помнить, что после перевода линии вSLIP-режим по-прежнему необходимо выполнить команду ifconfig для настройки сетевого интерфейса. Например, если ваша машина с именем tanuki соединяется с ruby:# ifconfig s10 tanuki pointopoint rubyit route add rubyв route add default gw rubyТеперь интерфейс настроен на связь с ruby по протоколу точка-точка, добавлен маршрут к ruby и этот маршрут сделан маршрутом по умолчанию, определяя тем самым узел ruby в качестве шлюза.Создатели протокола РРР намеревались избежать некоторых недостатковSLIP.

Посредством РРР возможна передача пакетов по не-интернет протоколам, в РРР реализована авторизация клиента и обнаружение/исправлениеошибок, РРР динамически конфигурирует задействованные сетевые интерфейсы. В Linux РРР существует и в качестве драйвера ядра, и в качестве демона pppd.

Подробно pppcl описан в главе 3.Брандмауэры и сокрытие адресов41Диагностирование TCP/IPДля диагностирования протоколов TCP/IP можно использовать следующиекоманды. Подробнее эти команды рассмотрены в главе 3.ifconfigПредоставляет информацию об основных настройках сетевого интерфейса.netstatПоказать состояние сетевых соединений.pingПроверить, доступен ли удаленный узел.nslookupОпрос службы имен DNS.tracerouteОтследить маршрут пакетов, отправленных определенному адресату.Брандмауэры и сокрытие адресовКомпьютер-брандмауэр - это система безопасности, расположенная междувнутренней и внешней (т.

е. Интернетом) сетями. Ее настройка осуществляется при помощи набора правил, определяющих, что можно пропустить, ачто необходимо отсечь. Несмотря на то что брандмауэр обычно используетсякак средство защиты сети от умышленной или случайной атаки извне, егоможно применять и для фильтрации пакетов, покидающих внутреннююсеть. Являясь единственной точкой входа во внутреннюю сеть, брандмауэрзначительно упрощает обеспечение безопасности и наблюдение за сетью.Брандмауэр можно настроить таким образом, чтобы для внешнего мира онпредставлял собой единственный IP-адрес, хотя для внутреннего пользования может использоваться произвольное количество IP-адресов. Эта возможность известна как сокрытие адресов (masquerading). Сокрытие адресовдает несколько преимуществ, включая и то, что оно дополнительно защищает сеть, скрывая самый факт ее существования.

Кроме того, это избавляет отиздержек на получение многочисленных IP-адресов.Все, сказанное про iptables, применимо к ядрам Linux ветви 2.4. Вовремя написания этой книги как iptables, так и ветвь ядра 2.4 всееще были в процессе разработки. Конечная реализация может немного отличаться от описанной здесь. Более подробно вопросрассмотрен в книге издательства O'Reilly «Руководство сетевогоадминистратора Linux» («Linux Network Administrator's Guide»)Олафа Кирха (Olaf Kirch) и Терри Доусона (Terry Dawson), а такжев документе «Linux IPTABLES-HOWTO». Этот НО WTO-документ,как и многие другие, можно получить с любого веб-сайта Проектадокументирования Linux (см. предисловие).42Глава 2. Обзор системного и сетевого администрированияКак брандмауэры, так и сокрытие адресов реализуются в ядре Linux ветви2.2 при помощи утилиты ipchains, а в ядре ветви 2.4 - при помощи iptables.В ядре ветви 2.0 использовалась команда ipfwadm, которая описана в разделе, посвященном командам для старых систем, но здесь она опущена.