Файл: Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под.pdf

220
Приложение А. Основы IP-адресации и маршрутизации
IP-адрес
MAC-адрес
192.168.1.1 00:00:39:00:2F:C3
192.168.1.2 00:01:28:A7:5A:17
192.168.1.3 00:00:10:99:AC:54
На Рис. А.6 приведена блок-схема алгоритма работы ARP-протокола. Принцип работы протокола ARP основан на возможности отправки Ethernet-кадров сразу всем станциям локальной сети – т.н. широковещательных broadcast-кадров.
Рис. А.6 Блок-схема алгоритма работы ARP-протокола
После запуска любого физического интерфейса изделия, работающего с каналом локальной Ethernet-сети,
ARP-таблица маршрутизатора изделия обычно пуста. Первый же IP-пакет, отправляемый сетевым интерфейсом, активизирует работу ARP-протокола. Широковещательный Ethernet-кадр, содержащий ARP-запрос, включающий IP-адрес получателя IP-пакета, отправляется всем рабочим станциям broadcast-домена сети.
Примечание. Обычно L2-коммутатор со всеми подключёнными к нему сетевыми устройствами представляет собой единый широковещательный домен (broadcast-домен). Если одно из этих сетевых устройств посылает Ethernet-кадр в сеть на специальный широковещательный адрес (это MAC-адрес, все позиции которого имеют значение единица, т.е:
ff:ff:ff:ff:ff:ff
), коммутатор передает его во все свои порты (за исключением того порта, по которому Ethernet-кадр был коммутатором получен), и этот Ethernet-кадр получают все остальные сетевые устройства broadcast-домена.
Если одна из станций опознает указанный IP-адрес в качестве собственного, то она обязана прислать
ARP-ответ, в котором будет указан ее MAC-адрес. На основе ответа станции будет сформирована строка в ARP-таблице, что обеспечит дальнейшую работу ARP-протокола для данного IP-адреса без выдачи повторных запросов в сеть.
Станции локальной сети в любой момент могут отключаться от сети, поэтому записи в ARP-таблице не могут храниться вечно. Их необходимо периодически удалять и заменять новыми. С этой целью каждой записи
ARP-таблицы назначается время жизни (обычно от 5 до 15 минут), по истечении которого запись удаляется из таблицы.
Адресация в локальных сетях
В локальных сетях, как и во всех многоточечных каналах связи, возможны две формы адресации – прямая и косвенная.
Прямая адресация. Используется для передачи IP-пакетов между станциями одного сегмента
(broadcast-домена) локальной сети.
Рассмотрим механизм прямой адресации на следующем примере. Пусть станции A, B и C подключены к одному сегменту локальной сети, и станции A необходимо отправить IP-пакет станции B. IP-уровень сетевого ПО станции A формирует IP-пакет, указывая в его заголовке следующие IP-адреса: отправителя – IP(A) и получателя – IP(B). Передавая этот IP-пакет интерфейсу, IP-уровень должен указать, что интерфейсу предписывается отправлять пакет с использованием прямой адресации. В этом случае интерфейс выполнит
упаковку IP-пакета в транспортный кадр Ethernet_II и его отправку по следующему алгоритму.
1. MAC-адрес отправителя будет получен интерфейсом от его собственной платы локальной сети – MAC(A).

Приложение А. Основы IP-адресации и маршрутизации 221
2. Для получения MAC-адреса получателя интерфейс воспользуется ARP-протоколом, который по IP-адресу станции B определит ее MAC-адрес – MAC(B).
3. Транспортный кадр будет отправлен в сеть непосредственно для станции B; интерфейс станции B его получит, извлечет IP-пакет и передаст на обработку.
Схему работы механизма прямой адресации поясняют приведенные ниже на Рис. А.7 рисунок и таблица.
Отличительной чертой прямой адресации является формирование MAC-адреса получателя транспортного кадра
непосредственно по IP-адресу станции назначения.
Адрес
Отправитель
Получатель
IP-заголовок
IP(A)
IP(B)
MAC-заголовок
MAC(A)
MAC(B)
Рис. А.7 Схема работы механизма прямой адресации
Косвенная адресация. Должна использоваться в тех случаях, когда необходима передача IP-пакетов между станциями, расположенными в разных сегментах локальной сети, или в разных локальных сетях.
Рассмотрим механизм косвенной адресации на следующем примере. Пусть станции A, B и C подключены к одному сегменту локальной сети, а станции E, F и G – к другому. Взаимосвязь сегментов сети выполняет специальная станция D, называемая шлюзом. Пусть станции A необходимо отправить IP-пакет станции E.
IP-уровень сетевого ПО станции A формирует IP-пакет, указывая в его заголовке следующие IP-адреса: отправителя – IP(A) и получателя – IP(E). Поскольку станция E непосредственно со станции A недоступна, то применение прямой адресации в данном случае невозможно. Следовательно, передавая этот IP-пакет интерфейсу, IP-уровень должен указать, что интерфейс должен отправлять пакет с использованием косвенной адресации, причем, в качестве шлюза необходимо использовать станцию D. В этом случае интерфейс выполнит упаковку IP-пакета в транспортный кадр Ethernet_II и его отправку по следующему алгоритму.
1. MAC-адрес отправителя будет получен интерфейсом от его собственной платы локальной сети – MAC(A).
2. Для получения
MAC-адреса получателя интерфейс воспользуется
ARP-протоколом, который по IP-адресу шлюза (станции D) определит его MAC-адрес – MAC(D).
3. Транспортный кадр будет отправлен станцией A в свой сегмент сети для станции D, интерфейс которой его получит, извлечет IP-пакет и будет принимать решение по вопросу его дальнейшей обработки.
4. По IP-адресу назначения шлюз D определит, что IP-пакет на самом деле предназначен не для него, а для станции с адресом IP(E). Поскольку станция E находится в одном сегменте сети со шлюзом D, то шлюз отправит этот транзитный IP-пакет станции E с использованием прямой адресации.
Схему работы механизма косвенной адресации поясняют приведенные ниже на Рис. А.8 рисунок и таблицы.
Отличительной чертой косвенной адресации является то, что в исходной точке отправки формирование
MAC-адреса получателя транспортного кадра выполняется не по IP-адресу станции назначения, а по IP-адресу шлюза.
Адрес
Отправитель Получатель
Отправитель Получатель
IP-заголовок
IP(A)
IP(E)

IP(A)
IP(E)
MAC-заголовок
MAC(A)
MAC(D)
MAC(D)
MAC(E)
Рис. А.8 Схема работы механизма косвенной адресации

222
Приложение А. Основы IP-адресации и маршрутизации
Устройство таблицы маршрутизации
Как было сказано выше, каждому узлу сети приходится решать задачу маршрутизации – определения сетевого интерфейса дальнейшей доставки IP-пакета по содержащемуся в его заголовке IP-адресу назначения.
Никакой функциональной связи между IP-адресами и интерфейсами конкретного маршрутизатора нет, поэтому единственной формой описания соответствия между множеством IP-адресов и множеством сетевых интерфейсов является таблица, называемая таблицей маршрутизации.
Устройство таблицы маршрутизации рассмотрим на примере приведенной ниже схемы на Рис. А.9.
Пусть имеется некоторый маршрутизатор с двумя сетевыми интерфейсами: Lan1 и Lan2. Интерфейс Lan1 включен в сеть с адресом 192.168.1.0 и маской сети 255.255.255.0. Интерфейс Lan2 включен в сеть с адресом 192.168.2.0 и маской 255.255.255.0. К этой же сети подключен внешний маршрутизатор, имеющий адрес 192.168.2.254 и обеспечивающий доступ по каналу связи в сеть Internet.
Рис. А.9 Пример схемы, поясняющей устройство традиционной рабочей таблицы маршрутизации
Для нормальной работы рассматриваемого маршрутизатора в него должна быть загружена следующая таблица маршрутизации.
Адрес
Маска
Шлюз
Интерфейс
Метрика
192.168.1.0
255.255.255.0
0.0.0.0
Lan1
0
192.168.2.0
255.255.255.0
0.0.0.0
Lan2
0
0.0.0.0
0.0.0.0
192.168.2.254
Lan2
0
Каждая строка таблицы содержит описание одного правила маршрутизации. Каждое правило состоит из следующих полей:
-
Адрес/Маска – пара полей описывает множество IP-адресов, подпадающих под действие данного правила;
-
Шлюз – указывает IP-адрес шлюза, используемый для указания режима косвенной маршрутизации
(доставки) IP-пакетов, подпадающих под действие данного правила; если в качестве адреса шлюза задано значение 0.0.0.0, то данное правило используется только для режима прямой маршрутизации;
-
Интерфейс – указывает имя интерфейса, который будет выполнять отправку IP-пакетов, подпадающих под действие данного правила;
-
Метрика – задает приоритет использования данной записи таблицы в операциях маршрутизации; значение метрики измеряется предполагаемым количеством транзитных узлов сети, которые должен пройти IP-пакет для достижения своей конечной цели; чем короче маршрут движения IP-пакета, тем лучше; следовательно, чем меньше значение поля Метрика, тем больший приоритет имеет данная запись маршрутной таблицы.
Используется таблица маршрутизации следующим образом.
1. Из заголовка каждого IP-пакета извлекается IP-адрес назначения.
2. С помощью полей
Адрес и
Маска отыскивается строка таблицы маршрутизации, соответствующая IP-адресу назначения. Поиск строк производится по наиболее точному совпадению IP-адреса назначения. То есть сначала ищутся записи, совпадающие с IP-адресом назначения по всем 32 битам (по маске 255.255.255.255), затем – по 31 биту (по маске 255.255.255.254) и так далее.
3. Если найдено несколько подходящих записей маршрутной таблицы, то берется запись с наименьшим значением поля Метрика.

Приложение А. Основы IP-адресации и маршрутизации 223
4. Из найденной записи извлекается имя интерфейса, которому IP-пакет передается на отправку. В зависимости от значения поля шлюз интерфейс выполняет отправку по алгоритму прямой или косвенной маршрутизации.
5. Если подходящей записи в маршрутной таблице нет, то IP-пакет снимается с дальнейшей доставки
(сбрасывается).
В маршрутной таблице каждого маршрутизатора может присутствовать запись с нулевым значением полей
Адрес и Маска. Такая запись имеет специальное название – маршрут по умолчанию (default-маршрут). В соответствии с default-маршрутом отправляются те IP-пакеты, для которых нет подходящей обычной маршрутной записи. При наличии default-маршрута ситуация, когда «подходящей записи в маршрутной таблице нет
», исключается. В маршрутной таблице может быть несколько default-маршрутов, имеющих разные значения параметра Маска.
Таблица маршрутизации изделия
Представление информации в таблицах маршрутизации, используемых маршрутизаторами изделий защиты, несколько отличается от традиционного: вместо громоздкого в представлении понятия Маска используется аналогичное по смыслу, но компактное в представлении понятие Количество значащих бит, которое означает, какое количество старших бит IP-адреса используется для указания номера сети. При настройке изделий количество значащих бит записывается непосредственно в поле Адрес через косую черту вслед за IP-адресом. С учетом этого отличия приведенная выше таблица маршрутизации, не изменяя смыслового содержания, будет выглядеть следующим образом.
Адрес
Шлюз
Интерфейс
Метрика
192.168.1.0/24
0.0.0.0
Lan1
0
192.168.2.0/24
0.0.0.0
Lan2
0
0.0.0.0/00
192.168.2.254
Lan2
0
Рабочая таблица маршрутизации в изделии автоматически создается в момент запуска изделия при инициализации работы сетевых интерфейсов и формируется как простая совокупность (суперпозиция) маршрутных таблиц, заданных в конфигурации каждого из сетевых интерфейсов соответствующего блока маршрутизации. Это обстоятельство приводит к необходимости еще одной трансформации традиционной таблицы маршрутизации. В блоках маршрутизации вместо единой таблицы, содержащей столбец

224
Приложение А. Основы IP-адресации и маршрутизации
Приведенные в составе рисунка Рис. А.10 таблицы маршрутизации изделий защиты в смысловом содержании адекватны традиционным таблицам маршрутизации, приведенным под схемой на Рис. А.9, и отличаются только компактностью и удобством формы представления.
Примеры формирования маршрутных таблиц интерфейсов изделия
Ниже приведен ряд примеров формирования маршрутных таблиц интерфейсов блоков маршрутизации изделий для различных схем включения изделия в состав ЗСПД. При формировании маршрутных таблиц использованы следующие правила.
1. Для сетевых Ethernet-интерфейсов первым обязательно должен быть указан прямой маршрут, содержащий адрес локальной сети, к которой непосредственно подключен интерфейс. В качестве значения поля Шлюз такого маршрута должно быть задано значение 0.0.0.0.
2. При указании косвенных маршрутов адреса шлюзов должны быть выбраны только из множества
IP-адресов, имеющих прямую маршрутизацию через данный интерфейс.
3. Для двухточечных интерфейсов (PPP, SLIP, CSLIP) косвенная маршрутизация не используется, поэтому поле Шлюз для всех маршрутов таких интерфейсов должно иметь значение 0.0.0.0.
Прямая маршрутизация
Адрес
Шлюз
Метрика
Lan1 192.168.1.0/24 0.0.0.0 0
Рис. А.11 Пример настройки схемы обмена с прямой маршрутизацией IP-датаграмм
Косвенная маршрутизация
Адрес
Шлюз
Метрика
Lan1 192.168.1.0/24 0.0.0.0 0
192.168.2.0/24 192.168.1.254 0
Рис. А.12 Пример настройки схемы обмена с косвенной маршрутизацией IP-датаграмм

Приложение А. Основы IP-адресации и маршрутизации 225
Работа с внешним маршрутизатором
Адрес
Шлюз
Метрика
Lan1 192.168.1.0/24 0.0.0.0 0
0.0.0.0 192.168.1.254 0
Рис. А.13 Пример настройки схемы обмена с внешним маршрутизатором
Работа с двумя сетями и внешним маршрутизатором
Адрес
Шлюз
Метрика
Lan1 192.168.1.0/24 0.0.0.0 0
Адрес
Шлюз
Метрика
Lan2 192.168.2.0/24 0.0.0.0 0
0.0.0.0 192.168.2.254 0
Рис. А.14 Пример настройки схемы обмена с двумя сетями и внешним маршрутизатором