Лекции 2010-го года (1130544), страница 67
Текст из файла (страница 67)
Сборка фрагментов происходит только вузле назначения. Однако при таком подходе каждый хост должен уметь собирать пакетыиз фрагментов.На рисунке 5-41 показана фрагментация в случае, если размер элементарного фрагментаданных равен 1 байту.Рисунок 5-41. Фрагментация: (а) Исходный пакет, содержащий 10 байтов данных; (b)Фрагменты после прохождения сети с максимальным размером пакета, равным 8 байтам;(с) Фрагменты после прохождения через шлюз с размером 5465.4.7. FirewallСпособность любого компьютера соединяться, где бы он ни был, с любым другимкомпьютером - благо для пользователя, но сущее наказание для службы безопасностилюбой организации.
Здесь, кроме угрозы потери информации, есть угроза притока всякойгадости типа вирусов, червей и прочих цифровых паразитов. Позднее мы о них поговоримподробнее. Надо заметить, что, согласно результатам исследований, 50% опасности таитсявне сети, а 50% - внутри, среди сотрудников.Итак, нужен механизм, который бы различал «чистые» биты от «нечистых». Один способ- шифровать данные. Так поступают при передаче данных. Со способами шифрования мыпознакомимся позднее. Но шифрование бессильно против вирусов, хакеров и прочейнечисти.
Одним из средств борьбы с ними служат брандмауеры (firewall).Барьер - современная форма крепостного рва. Компания может иметь сколь угодносложную сеть, объединяющую много локальных сетей. Однако весь трафик в сеть и изэтой сети направляется только через один шлюз, где происходит проверка пакета насоответствие определенным требованиям. Если пакет не удовлетворяет этим требованиям,то он не допускается в сеть или из нее. На рисунке 5-42 показана организациябрандмауера.Рисунок 5-42.
Устройство брандмауера47Барьер состоит из двух маршрутизаторов, фильтрующих пакеты, и шлюза приложений.Фильтры содержат таблицы сайтов, от которых можно принимать и которым можнопередавать пакеты. Шлюз приложений ориентирован на конкретные приложения. Пример- шлюз для электронной почты. Этот шлюз анализирует поле данных и принимаетрешение, сбросить пакет или нет.
Набор таких шлюзов полностью зависит от политикиинформационной безопасности конкретной организации. Чаще всего это шлюзэлектронной почты и WWW.Раздел 5.5. Сетевой уровень в ИнтернетеИнтернет представляет собой объединение подсетей, которые называются автономнымисистемами. Автономные системы – это подсеть, охватывающая единую территорию,находящаяся под единым административным управлением и имеющая единую политикумаршрутизации по отношению ко всем остальным сетям. В Интернете нет какой-либорегулярной, специально предусмотренной структуры подсетей. Он образован изсоединения большого числа подсетей, среди которых можно выделить несколько остовых(backbone).
К этим остовым сетям подключены региональные сети, к которымподключены локальные сети организаций. На рисунке 5-43 показана схема соединениятаких остовых сетей.Рисунок 5-43. Интернет как сеть множества сетей48Соединяет все автономные системы вместе IP-протокол.
В отличие от других протоколовсетевого уровня, этот протокол с самого начала создавался для объединения сетей. Егоцелью было наилучшим образом передавать дейтаграммы от одной машины к другой, гдебы эти машины ни находились.Как мы уже отмечали, подсеть в Интернете реализует сервис без соединений и работаетследующим образом. Транспортный уровень получает поток данных и делит их надейтаграммы. Дейтаграммы могут быть от 64К до 1500 байт. Они передаются черезподсети в Интернет и, если необходимо, делятся на более короткие. Когда вседейтаграммы достигают места назначения, они собираются в исходные дейтаграммы насетевом уровне и передаются на транспортный уровень, где и восстанавливаетсяисходный поток данных.5.5.1. IP-протоколНа рисунке 5-44 показан заголовок IP-пакета (дейтаграммы). Он имеет обязательнуючасть размером 20 байт и может быть расширен до 60.
Дейтаграмму передают, начиная споля Version.Рисунок 5-44. Заголовок IP49• Version - указывает версию протокола.• IHL - длина заголовка в 32-разрядных словах (минимум 5, максимум 15, что••••••••••••соответствует 60 байтам).Type of service - вид необходимого сервиса. Здесь возможны различныекомбинации скорости и надежности: например, передача голоса, аккуратнаядоставка строки битов, файла и т.п.Identification - позволяет отличать фрагменты одной и той же дейтаграммы.DF – признак управления фрагментацией.
Если он равен 1, то фрагментацияневозможна.Total length - указывает общую длину дейтаграммы, включая заголовок и поледанных. Максимальная длина 65535 байт.Identification – указывает, какой дейтаграмме принадлежит очереднойпоступивший фрагмент. Все фрагменты одной дейтаграммы имеют в этом полеодно и то же значение.MF – содержит единицу только у последнего фрагмента дейтаграммы. Это полепозволяет отличить последний фрагмент от всех остальных.Fragment offset – указывает, где в дейтаграмме располагается данный фрагмент.Длина всех фрагментов, кроме последнего, должна быть кратна 8 байтам.Поскольку поле имеет 13 разрядов, то на одну дейтаграмму максимально можетбыть 8192 фрагментов.Time to live – время жизни пакета.
Максимальное значение этого поля - 255,измеряется в секундах. Очень часто здесь используется счетчик скачков.Protocol - показывает, какому процессу на транспортном уровне передатьсобранную дейтаграмму (TCP, UDP и т.д.).Header checksum - контрольная сумма, которая охватывает только заголовок.Source address, Destination address – идентифицируют машину отправителя иполучателя в сети.Options - предусмотрено для расширения возможностей протокола. Оно делится, всвою очередь, на следующие поля:oSecurity – указывает уровень секретности передаваемой информации.Маршрутизатор может на основании значения этого поля запретитьопределенные маршруты, например, если они пролегают через ненадежныерегионы.oStrict source routing – здесь указан полный маршрут в виде списка IPадресов. Это поле используется в алгоритме маршрутизации от источника, атакже в критических ситуациях, например, когда таблица маршрутизации покакой-то причине оказалась испорченной.oLoose source routing – список маршрутизаторов, через которые фрагментобязан пройти.
Он может пройти и через другие маршрутизаторы, но данныеобязательно должны принадлежать его маршруту.oRecord route – указывает маршрутизаторам на необходимость заносить вполе свои адреса. Это позволяет проследить, как шел фрагмент.oTime stamp – вместе с предыдущим полем указывает маршрутизаторам нанеобходимость записывать не только свои адреса, но и время, когда фрагментпроходил через них. Это поле очень полезно при отладке алгоритмовмаршрутизации.5.5.2. IP-адресацияКаждая машина в Интернете имеет уникальный IP-адрес.
Он состоит из адреса сети иадреса машины в этой сети. Все IP-адреса имеют длину 32 разряда. На рисунке 5-4550показаны форматы IP-адресов. Если машина подключена к нескольким сетям, то в каждойсети у нее будет свой IP-адрес.Рисунок 5-45. Форматы IP-адресовВсе адреса разделяются на классы.
Всего есть пять классов адресов: А, B, C, D, E. КлассыA позволяет адресовать до 126 сетей по 16 миллионов машин в каждой, B - 16382 сетей по64К машин, C - 2 миллиона сетей по 256 машин, D - предназначены для групповойпередачи, Е - зарезервированы для развития. Адреса выделяет только организация NIC Network Information Center. Несколько адресов, показанных на рисунке 5-46, имеютспециальное назначение. Адрес из одних нулей используется при загрузке машины.Рисунок 5-46.
Специальные IP-адреса5.5.3. ПодсетиВсе машины одной сети должны иметь одинаковый номер сети в своем адресе. Этоприводит к целому ряду проблем. По мере роста сети приходиться менять класс адреса.Появление новых адресов приводит к проблеме модификации таблиц маршрутизации ираспространению информации о новых адресах повсюду. Перенос машины из одной сетив другую требует изменения маршрутизации. Эти изменения происходят не сразу, и покаони не будут выполнены, все сообщения пойдут по старому адресу.Решением этих проблем является разделение сети на части, которые извне видны какединое целое, но внутри каждая часть имеет свой адрес. Эти части называются подсети.Мы уже отмечали в главе 1, что термин подсеть в Интернете имеет особый смысл.
Итак,подсеть - это часть сети, невидимая извне. Изменение адреса подсети или введение новой51подсети не требует обращения в NIC или изменений какой-либо глобальной базы данных.На рисунке 5-47 показано разбиение сети класса В на подсети.Рисунок 5-47. Разбиение подсети класса ВЧтобы понять, как используется адрес подсети, надо проследить, как маршрутизаториспользует IP-адрес. Есть две таблицы: некоторое количество IP-адресов вида «сеть, 0» инекоторое количество IP-адресов вида «эта_сеть, адрес машины». Первая показывает, какдостичь интересующей сети.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
