Лекции (989962), страница 9
Текст из файла (страница 9)
Сетевой номер содержится в первом октете (1-127), чтопредусматривает 126 сетей по 1.6 миллионов компьютеров в каждой. Стандартная маска подсети для адресакласса имеет вид 255.0.0.0.Класс BВключает сети с адресами от 128.0.0.0 до 191.255.0.0. Сетевой номер находится в первых двух октетах(128.0 – 191.255), что предусматривает 16320 сетей с 65024 компьютерами в каждой. Стандартная маскаподсети для адреса класса имеет вид 255.255.0.0.Класс CВключает сети с адресами от 192.0.0.0 до 223.255.255.0.
Сетевой номер содержится в первых трех октетах(192.0.0 - 223.255.255). Это предполагает почти 2 миллиона сетей по 254 компьютеров в каждой.Стандартная маска подсети для адреса класса имеет вид 255.255.255.0.Классы DВключает адреса от 224.0.0.0 до 239.255.255.0. Эти адреса являются групповыми (multicast). Если нескольким компьютерам в сети назначен один и тот же групповой адрес, то пакет, адресованный на этот адрес,получат все компьютеры.
Такие адреса в локальных сетях используются редко и зарезервированы для тоговремени, когда технические возможности сети Internet позволят организовывать теле- и радиовещание нагруппы компьютеров.Классы E и FАдреса попадающие в диапазон от 240.0.0.0 до 254.0.0.0 являются или экспериментальным, или сохраненыдля будущего использования и не определяют какую-либо сеть.В примерах выше упоминалась "стандартная" маска подсети. Такая маска полностью соответствуетклассу адреса и может определяться автоматически, на основании анализа диапазона, в котором находитсяадрес. Казалось бы нет никакого смысла определять маску подсети вручную и вообще вводить такое понятие. Однако существуют ситуации, когда маска подсети будет отличаться от "стандартной". Допустим, у васимеется сеть класса B (65024 компьютера) с IP-адресом 172.16.0.0 и вы хотите разбить ее на несколькоподсетей, для разных филиалов предприятия. Стандартная маска подсети для адреса класса B равна255.255.0.0 и адрес 172.16.1.0 интерпретируется, как компьютер с адресом 1.0 в сети с адресом 172.16.Однако если задать маску подсети равную 255.255.255.0, то этот IP-адрес прочитается как подсеть 172.16.1,содержащая 254 компьютера с адресами от 1 до 254.
Таким образом, перед тем как решить является ли IPадрес адресом конкретного компьютера или адресом сети, необходимо взглянуть на маску подсети, котораяможет отличаться от стандартной. Более того, маска подсети может не обязательно заканчиваться награнице байта. Маска всегда рассматривается в двоичном выражении, где единицы в октетах соответствуютполю адреса сети, а нули – полю адреса компьютера (см.
табл.).ДесятичноеДвоичное представлениепредставлениеIP-адрес172 . 16 . 96 . 010101100 . 00010000 . 01100000 . 00000000Маска подсети255 . 255. 192 . 011111111 . 11111111 . 11000000 . 00000000Интерпретация адреса:- адрес подсети172 . 16 . 110101100 . 00010000 . 01- адрес компьютера32 . 0100000 . 00000000Составитель: Ляхевич А.Г., 2000 - 2002 годПомимо адресов из классов A,B,C,D, E, F, cсуществует также несколько зарезервированных адресов. IP-адрес в котором все биты октеты адреса компьютера равны 0 относится ко всей сети, а где все битыоктеты адреса компьютера равны 1 назван широковещательным (broadcast) адресом. Он относится ккаждому компьютеру сети.
Таким образом, 149.76.255.255 - не существующий адрес компьютера,который относится ко всем компьютерам из сети 149.76.0.0.Имеются еще два зарезервированных IP-адреса, 0.0.0.0 и 127.0.0.0. Первый назван путь пакетовпо умолчанию (default route), второй - кольцевым (loopback) адресом или ссылкой на самого себя.
Внесуществующей сети 127.0.0.0, адрес 127.0.0.1 будет назначен специальному интерфейсу, которыйдействует подобно закрытому кругообороту. Любой IP пакет переданный на этот адрес будет возвращенна этот же компьютер так, как если бы пакет пришел откуда-то из сети. Это позволяет тестировать сетевоепрограммное обеспечение без использования "реальной" сети.Также имеется ряд "серых" IP-адресов, которые зарезервированы для использования только влокальных сетях. Пакеты с "серыми" адресами не передаются маршрутизаторами Internet.
К таким адресамотносятся:Сеть класса А 10.0.0.0Сеть класса B от 172.16.0.0 до 172.31.0.0Сеть класса С от 192.168.0.0 до 192.168.255.0По соображениям безопасности, рекомендуется использовать в локальных сетях только "серые" адреса. Втаком случае прямой доступ из Internet к компьютерам ЛВС, в обход прокси-сервера организации, будетневозможен. При доставке, пакет от компьютера злоумышленника к компьютеру жертвы пройдет не одинмаршрутизатор Internet (алгоритмы маршрутизации см. ниже). Если адрес компьютера жертвы "серый", топервый же маршрутизатор Internet заблокирует пакет и не станет передавать его дальше.
Таким образом,злоумышленнику придется сначала соединиться с прокси-сервером организации (на котором установленысредства аутентификации (проверки личности) пользователя, межсетевой экран и т.п.), и только проксисервер сможет обеспечивать контролируемое и протоколируемое взаимодействие между компьютером ЛВСи Internet, благодаря технологии NAT. Network Adress Translation (NAT) – это подмена в отправляемых ипринимаемых пакетах данных "серых" IP-адресов компьютеров локальной сети на "реальный" IP-адреспрокси-сервера в сети Internet (более подробно см. далее в лекциях). Использование "серых" адресов такжегарантирует, что даже если сообщение от одного компьютера ЛВС, к другом компьютеру ЛВС случайнопопадет в каналы связи с Internet, то оно не будет передано дальше и не будет получено другой машиной, сослучайно совпадающим IP-адресом.Кроме адресации компьютеров в сети, протокол IP также отвечает за маршрутизацию (выбормаршрута доставки) пакетов данных в сетях с произвольной топологией.
Маршрутизация происходит наосновании специальных таблиц маршрутизации либо программно (сетевой операционной системой), либопри помощи специальных сетевых устройств – маршрутизаторов (подробнее маршрутизаторы будут рассмотрены далее в лекциях). Рассмотрим, как происходит доставка пакета по протоколу IP. В процессерассмотрения будет частично затронут и протокол ARP (Address Resolution Protocol), позволяющийпреобразовывать IP-адреса (сетевой уровень) в 6 байтные MAC-адреса сетевых карт Ethernet (канальныйуровень):1.
Сеть состоит из отдельных сегментов (подсетей), которые соединены между собой либо маршрутизаторами, либо обычными компьютерами, на которых функции маршрутизации выполняются операционнойсистемой. Такие компьютеры имеют несколько сетевых карт, каждая из которых имеет свой адрес в соответствующей подсети и являются шлюзами (gateway) из одной подсети в другую. Шлюзом называетсялюбое сетевое оборудование с несколькими сетевыми интерфейсами и осуществляющее продвижениепакетов между сетями на уровне протоколов сетевого уровня.2. Адресация в сетях идет по протоколу IP, поэтому компьютер-отправитель знает IP-адрес получателя.
Нодля доставки пакета на аппаратном уровне необходимо знать Ethernet-адрес сетевой карты получателя.Для этого по протоколу ARP посылается широковещательное сообщение всем компьютерам в данномсегменте сети. Все компьютеры получают его, но только компьютер с указанным IP-адресом "отзывается"и сообщает Ethernet-адрес своей сетевой карты.
Компьютер отправитель кэширует ответ в своей памяти ив дальнейшем (пока кэш не будет очищен) будет направлять пакеты по этому Etehrnet-адресу. Такимобразом, доставка в рамках одного сегмента сети происходит напрямую.3. Однако компьютер-получатель может и не находится в одном сегменте с отправителем (что видно помаске подсети).
В таком случае, сообщение будет послано на маршрутизатор (IP-адрес маршрутизатора(шлюза) устанавливается вручную при настройке сети), который, получив широковещательный ARPзапрос, сообщит компьютеру-адресату свой Ethernet-адрес и дальнейшая связь будет идти через маршрутизатор. Маршрутизатор анализирует свои таблицы маршрутизации, и на основании их принимаетрешение о маршруте доставки пакета.
Таблицы маршрутизации частично составляются вручную администратором сети, а частично динамически обновляются, на основании данных соседних маршрутизаторов,по протоколам RIP, OSPF, NLSP, BGP и др. Таблица маршрутизации упрощенно выглядит следующимобразом (в различных операционных системах и моделях маршрутизаторов возможны различныеварианты):Составитель: Ляхевич А.Г., 2000 - 2002 годТаблицаПример таблицы маршрутизации.123456789Адрес назначения(сеть иликомпьютер)Маска подсети127.0.0.1210.1.1.0130.30.0.0190.55.0.0170.10.0.013.1.10.17200.15.1.0200.15.1.00.0.0.0255.255.255.255255.255.255.0255.255.0.0255.255.0.0255.255.0.0255.255.255.255255.255.255.0255.255.255.00.0.0.0Адресследующегомаршрутизатора(шлюза)****130.30.10.5130.30.10.5130.30.10.7190.55.15.1231.1.1.5Метрика(расстояние доадресата)Сетевойинтерфейс111111131loeth0eth1eth2eth1eth1eth1eth2ppp0Данный пример составлен для компьютера (выполняющего функции шлюза и маршрутизатора), которыйподключен к сети 210.1.1.0 через сетевую карту eth0, имеет связь с Internet через модем (интерфейс ppp0),а также подключен к сети 130.30.0.0 1 через сетевую карту eth1, и к сети 190.55.0.0 через сетевую картуeth2 (см.
рис ).Internet13.1.10.17170.10.0.0Сеть210.1.1.0Ppp0ШлюзEth0 (маршру- Eth1тизатор).10.5Сеть130.30.0.0.10.7Eth2Сеть190.55.0.0 .15.1200.15.1.0BAрис. Условная сеть для пояснения таблицы маршрутизацииТаблицаПояснения к таблице маршрутизации№ стр.12-456ПоясненияОписан loopback-адрес 127.0.0.1, т.е. ссылка на самого себя (фиктивный сетевой интерфейс lo).Описываются сети, к которым непосредственно подключенные сетевые карты шлюза. Сеть210.1.1.0 – к интерфейсу eth0, 130.30.0.0 – к интерфейсу eth1, 190.55.0.0 – к интерфейсу eth2.Доставка пакетов в эти сети происходит напрямую, поэтому в таблице адрес следующегомаршрутизатора (шлюза) для них не указан.Описан маршрут до сети 170.10.0.0. Все пакеты для компьютеров с адресами от 170.10.0.1 до170.10.255.254 будут доставлены на маршрутизатор, описанный в таблице маршрутизатор садресом 130.30.10.5 на интерфейсе Eth1.Описан путь до единственного компьютера с адресом 13.1.10.17.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
