Олифер В.Г., Олифер Н.А. - Компьютерные сети. Принципы, технологии, протоколы (4-ое изд.) - 2010 - обработка (953099), страница 150
Текст из файла (страница 150)
При наличии фильтра маршрутизатор сначала проверяет совпадение условия, описанного этими фильтром, с признаками пакета, и при положительной проверке выполняет нах пакетом ряд нестандартных действий. Например, пакет может быть отброшен (г1гор); направлен к следующему маршрутизатору, отличающемуся от того, который указан в таблице маршрутизации; помечен, как вероятный кандидат на отбрасывание при возникновении перегрузки. Одним из таких действий может быть и обычная передача пакета в соответствии с записями таблицы маршрутизации. Рассмотрим примеры фильтров, написанных на командном языке маршрутизаторов С1зсо. Эти фильтры, называемые списками доступа, сегодня в 1Р-маршрутизаторах являются очень распространенным средством ограничения пользовательского графика.
Наиболее простым является стандартный список доступа; в нем в качестве условия фильтрации учитывается только 1Р-адрес источника. Фильтрация ВО7 Общая форма такого условия выглядит следующим образом: ассевв-1!в! конев списка доступа ! Пепу ! реги!1 ! адрес нстачнкка Г нетаскквола ксточкнка ] ! впу ! Стандартный список доступа определяет два действия с пакетом, который удовлетворяет описанному в фильтре условию: отбросить (се ну) или передать для стандартной обработки в соответствии с таблицей маршрутизации (реги! 1). Условием выбора того или иного действия в стандартном списке доступа является совпадение 1Р-адреса источника пакета с адресом источника, заданным в списке.
Совпадение проверяется в том же стиле, чтп н при проверке таблицы маршрутизации, при этом метасимволы являются аналогом каски, но в несколько модифицированном виде. Двоичный нуль в поле метасимволов источника означает, что требуется совпадение значения этого разряда в адресе пришедшего пакета и в адресе, заданном в списке доступа.
Двоичная единица означает, что совпадения в этом разряде не требуется. Практически, если вы хотите задать условие для всех адресов некоторой подсети, то должны использовать инвертированное значение маски этой подсети. Параметр з пу означает любое значение адреса — это просто более понятная и краткая форма записи значения 255.255.255.255 в поле метасимволов источника. Пример стандартного списка доступа; вссевв-1!вг 1 Пену 192.78.46.0 0.0.0.255 Здесь: !З 1 — номер списка доступа; П йепу — действие с пакетом, который удовлетворяет условию данного списка доступа; !] !92.78.46.0 — адрес источника; П 0.0.0.255 — метасимволы источника.
Зтпт фильтр запрещает передачу пакетов, у которых в старших трех байтах адреса источника имеется значение 192.78.46.0. Список доступа может включать более одного условия. В этом случае он состоит из нескольких строк с ключевым словом а с се в в -1 ! в Г и одним и тем же номером списка доступа. Так, если мы хотим разрешить прохождение через маршрутизатор пакетов хоста !92.78.46.12, запрещая передачу пакетов одному из хостов сети 192.78.46.0/24, то список иктупа будет выглядеть следующим образом: ассе!в-1!вс 1 реги!Г 192.78.46.12 0.0.0.0 вссевв-1141 1 пену 192.78.46.0 0.0.0.255 вссевв-1!вв 1 реги!Г апу Условия списка доступа проверяются по очерели, если какое-либо из них дает совпадение, го выполняется действие реги! 1 или 0епу, определенное в этом условии.
После этого итвльные условия списка уже не проверяются. Считается по умолчанию, что в конце акдого списка имеется неявное условие вида: !ассе!в-1!вв 1 Пепу апу] Олнако, если вам все же требуется пропускать все пакеты, не определенные явно в условиях, необходимо добавить в последней строке условие: псе!в-1!вт 1 реги!1 апу Список доступа можно применять к любому интерфейсу маршрутизатора и в любом нан!явлении: если список применяется с ключевым словом ! п, то он действует на входящие интерфейс пакеты, а если с ключевым словом опт — на выходящие. Например, написан- вой Глава 18. Дополнительные функции маршрутизаторов 1Р-сетей ный нами список доступа 1 можно применить к некоторому интерфейсу для обработки входящего графика, используя следующую команду: ассеаа-дгоор 1 1п Существуют также и более мощные типы списков доступа для маршрутизаторов С!зсо, например, расширенные списки доступа.
Общий формат этих списков следующий: ассеаа-11ат нонер списка лоступа 1 Оепу ) регат! 1 ргогосо1 ! ключевое слово протокола ! ( аарес источника [ нетасинаоли источника 3 3 [ порт источнииа 3 / а ну ) [ аврес приенника [ иетасинаолн приенника 3 3 [ порт приенника 3 Пользуясь расширенными списками доступа, можно запретить прохождение во внутрен- нюю сеть предприятия РТР-пакетов. Как известно, служба РТР использует для приема запросов от клиентов протокол ТСР с хорошо известным портом 21. Для этого в список доступа нужно включить условие: ассеаа-1!зт 102 Оепу 7СР апу 21 апу Затем можно применить его к интерфейсу маршрутизатора, к которому подключена вну- тренняя сеть, с ключевым словом о от.
Администраторы корпоративных сетей из соображений безопасности' часто запрещают возможность трассировки извне внутренних хостов утилитой р!пй. Это делается с помо- щью условия: ассеаа-1111 101 Оепу 1СНР апу 192.78.46.8 0.0.0.0 еО 8 Как видно из условия, его синтаксис для протокола 1СМР несколько отличается от обще- го синтаксиса расширенных списков доступа.
Параметр ец 8 означает, что запрещается передача 1СМР-сообщений типа 8, соответствующего эхо-запросам, с помощью которых функционируетутилита р!пя. Еще более гибким является язык фильтров программного маршрутизатора, работающего во многих версиях [3п!х. Синтаксис этого языка близок к синтаксису языка С, что позво- ляет строить весьма сложные логические конструкции с помощью условных инструкций 11, Спел, е1ае, Необходимо отметить, что фильтрация пользовательского графика может существенно замедлять работу маршрутизатора, так как обработка каждого пакета требует проверки дополнительных условий.
Для того чтобы не создавать слишком большую нагрузку на маршрутизатор и чне от- влекать» его от выполнения основных обязанностей, в фильтрах маршрутизаторов не используется информация о предыстории сеансов. Сколько бы ни было сложным условие фильтрации маршрутизатора, в нем учитываются только параметры текущего пакета н не могу'т учитываться параметры предыдущих пакетов, уже обработанных маршрутизатором. Это ограничение является главным отличием маршрутизаторов от брандмауэров, специ- альных программных систем, которые, используя информацию о предыстории сеансов, выполняют более качественную фильтрацию. ~ См. об этом в главе 24. воз Стандарты Оо8 е 1Р-сетях Фильтрация маршрутных обьявлений Днн контроля достижимости узлов и сетей можно, наряду с фильтрацией пользовательскою графика, ограничить распространение обьлвлений протоколов маршрутизации.
Такая нера предотвращает автоматическое появление в таблице маршрутизации записей о неноторых сетях. Этот способ требует гораздо меньших затрат вычислительной мощности наршрутизатора, так как маршрутные объявления поступают на маршрутизатор гораздо )гже, чем пользовательские пакеты. Пусть, например, маршрутизаторы С!зсо должны ограничить распространение маршрутных обьявлений о какой-нибудь сети. Для этого нужно включить описание данной сети н стандартный список доступа, а затем применить к интерфейсу специальную команду схлючевым словом 41згг1Ьиге-\! нх (вместо нссенн-9гонр, как в случае фильтрации пользовательского трафика). Нннример, если администратор не хочет, чтобы информация о внутренних сетях— 194.)2.34.0/24 и 132.7.0.0/16 предприятия распространялась по внешним сетям, ему допнгочно написать следующий стандартный список доступа: ассенх-11нг 2 Вену 194.12.34.0 0.0.0.255 ассенп-11зг 2 сену 132.).0.0 0.0.255.255 ассехн-11нх 2 реги! С апу После этого достаточно применить его к интерфейсу с помощью команды 41пгг1Ьнхе-11нс 2 онг зег1а1 1 Стандарты Яов в! Р-сетях 7гхнологии стека ТСР/(Р были разработаны для эластичного трафика, который достагочно терпим к задержкам и вариациям задержек пакетов.
Поэтому основное внимание рвработчи коз протоколов ТСР/1 Р было сосредоточено на обеспечении надежной передачи х)нфнка с помощью ТСР Тем не менее для борьбы с перегрузками на медленных линиях летуна в (Р-маршрутизаторы со временем были встроены многие механизмы ОоБ, в том !псле механизмы приоритетных и взвешенных очередей, профилирования трафика и об!луной связи. Однако эти механизмы использовались каждым сетевым администратором посвоему усмотрению, без какой-либо стройной системы.
И только в середине 00-х годов ннчнлнсь работы по созданию стандартов Оо3 для (Р-сетей, на основе которых можно 5нпо бы создать систему поддержки параметров Оо$ в масштабах составной сети и даже Интернета. Внезультвтв бьвт разработаны две системы стандартов Ооб для! Р-сетей: б система инт)п(вибвввнннвга обвлуимввния бл(вбт1ва бепнсев, )лхбепг) ориентирована яа лредостввйвнив гарантий Ооб для потоков канвчиьи лвльнаввтвивй (имвнно поэтому . тенологня Ьибеч применяется в основном на периферии сети); В системз дифбнврвнцироввнного обслуживания (Оп(вгвлбе1ва беге)сез, Оптбвч) делает го же самое для классов графика, и следовательно, ее предпочтительнее использовать на магистрали. Глава 18.
Дополнительные функции маршрутизаторов! Р-сетей Обе системы опираются на все базовые элементы основанной на резервировании схемы поддержания параметров ЯоЯ, к которым относятся: (З кондиционирование графика; П сигнализация, обеспечивающая координацию маршрутизаторов; ьз резервирование пропускной способности интерфейсов маршрутизаторов для потоков и классов; 0 приоритетные и взвешенные очереди. Ни одна из этих технологий не решает проблемы инжиниринга графика, так как пакеты по-прежнему направляются вдоль пути с наилучшей метрикой, выбираемому стандартным протоколом маршрутизации без учета реальной загрузки каналов передачи данных.
Модели качества обслуживания!л18е1'11 и О!ттвегч Направление 1п1$егу начало разрабатываться в 1ЕТР еше в начале 90-х годов и было первым направлением, в рамках которого проблема обеспечения параметров ОоЯ в сетях ТСРг 1Р начала решаться систематически. Базовая модель 1птЯегу предполагает интегрированное взаимодействие маршрутизаторов сети по обеспечению требуемого качества обслуживания вдоль всего пути лшкронотока между конечными компьютерами. Ресурсы маршрутизаторов (пропускная способность интерфейсов, размеры буферов) распределяются в соответствии с Яоб-запросами приложений в пределах, разрешенных политикой ОоЯ для данной сети.
Эти запросы распространяются по сети сигнальным протоколом резервирования ресурсов (Кезоцгсе геЯегЧаг(оп Ргососо), КЯЧР), который позволяет выполнять резервирование ресурсов для потоков данных. Однако система 1пгЯегу обеспечения параметров ОоЯ нашла довольно много противников, преимущественно среди поставщиков услуг Интернета (1ЯР).
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
