Файл: Системное администрирование.pdf

Структура сети
77
ции, когда вся инфраструктура находится под контролем и управлением, нужно учитывать все нюансы (например, система разрешения имен в DirectAccess по- строена через сервер корпорации Microsoft).
Параметры TCP/IP-протокола
Здесь и далее мы будем рассматривать характеристики протокола IРv4.
IP-
адрес
Каждый компьютер, работающий по протоколу TCP/IP, обязательно имеет IP-
адрес — 32-битное число, используемое для идентификации узла (компьютера) в сети. Адрес принято записывать десятичными значениями каждого октета этого числа с разделением полученных значений точками. Например: 192.168.101.36.
IP-адреса уникальны. Это значит, что каждый компьютер имеет свое сочетание цифр, и в сети не может быть двух компьютеров с одинаковыми адресами. IP- адреса распределяются централизованно. Интернет-провайдеры делают заявки в национальные центры в соответствии со своими потребностями. Полученные про- вайдерами диапазоны адресов распределяются далее между клиентами. Клиенты сами могут выступать в роли интернет-провайдера и распределять полученные IP- адреса между субклиентами и т. д. При таком способе распределения IP-адресов компьютерная система точно знает "расположение" компьютера, имеющего уни- кальный IP-адрес; ей достаточно переслать данные в сеть "владельца". Провайдер в свою очередь проанализирует пункт назначения и, зная, кому отдана эта часть адресов, отправит информацию следующему владельцу поддиапазона IP-адресов, пока данные не поступят на компьютер назначения.
Для построения локальных сетей организаций выделены специальные диапазоны адресов. Это адреса 10.х.х.х, 192.168.х.х, 10.х.х.х, с 172.16.х.х по 172.31.х.х,
169.254.х.х (под "х" подразумевается любое число от 0 до 254). Пакеты, передавае- мые с указанных адресов, не маршрутизируются (иными словами, не пересылают- ся) через Интернет, поэтому в различных локальных сетях компьютеры могут иметь совпадающие адреса из указанных диапазонов. Такие адреса часто называют
серыми адресами.
Для пересылки информации с таких компьютеров в Интернет и обратно использу- ются специальные программы, "на лету" заменяющие локальные адреса реальными при работе с Интернетом. Иными словами, данные в Сеть пересылаются от реаль- ного IP-адреса. Этот процесс происходит "незаметно" для пользователя. Такая тех- нология называется трансляцией адресов и более подробно описана в главе 5.
Групповые адреса
Если данные должны быть переданы на несколько устройств (например, просмотр видео с одной веб-камеры на различных компьютерах или одновременное развора- чивание образа операционной системы на несколько систем), то уменьшить нагруз- ку на сеть может использование групповых рассылок (IP Multicast Addressing).

78
Глава 3
Для этого компьютеру присваивается еще один IP-адрес из специального диапазо- на: с 224.0.0.0 по 239.255.255.255 1
, причем диапазоны 224.0.0.0—224.0.0.255 и
239.0.0.0—239.255.255.255 не могут быть использованы в приложениях и предна- значены для протоколов маршрутизации (например, адрес 224.0.0.1 принадлежит всем системам сегмента сети; адрес 224.0.0.2 — всем маршрутизаторам сегмента и т. д) и т. п. Назначение адресов групповой рассылки производится соответствую- щим программным обеспечением.
Групповая рассылка поступает одновременно на все подключенные устройства.
В результате сетевой трафик может быть существенно снижен по сравнению с ва- риантом передачи таких данных каждому устройству сети независимо.
По умолчанию рассылки передаются на все порты, даже если к ним не подключены устройства, подписавшиеся на эту рассылку. Чтобы исключить такой паразитный трафик, используются специальные возможности коммутаторов — поддержка
IGMP snoophing (прослушивание протокола IGMP), PIM DM/PIM SM (PIM-DM —
Protocol Independent Multicast Dense Mode и PIM-SM — Protocol Independent
Multicast Sparse Mode — протоколы маршрутизации многоадресных сообщений).
При включении и настройке этого функционала (поддерживается не всеми моделя- ми оборудования) данные будут передаваться только на нужные порты.

Структура сети
79
Для упрощения администрирования сети рекомендуется выработать план распре- деления диапазона адресов, предусмотрев в нем некоторый запас для будущего развития информационной системы.
Маска адреса
Понятие подсети введено, чтобы можно было выделить часть IP-адресов одной организации, часть другой и т. д. Подсеть представляет собой диапазон IP-адресов, которые считаются принадлежащими одной локальной сети. При работе в локаль- ной сети информация пересылается непосредственно получателю. Если данные предназначены компьютеру с IP-адресом, не принадлежащим локальной сети, то к ним применяются специальные правила для вычисления маршрута пересылки из одной сети в другую. Поэтому при использовании протокола TCP/IP важно знать, к какой сети принадлежит получатель информации: к локальной или удаленной.
Маска адреса — это параметр, который "сообщает" программному обеспечению о том, сколько компьютеров объединено в данную группу ("подсеть"). Маска адре- са имеет такую же структуру, как и сам IP-адрес: это набор из четырех групп чисел, каждое из которых может быть в диапазоне от 0 до 255. При этом чем меньше зна- чение маски, тем больше компьютеров объединено в данную подсеть. Для сетей небольших предприятий маска обычно имеет вид 255.255.255.х (например,
255.255.255.224). Маска сети присваивается компьютеру одновременно с IP-ад- ресом.
Так, сеть 192.168.0.0 с маской 255.255.255.0 (иначе можно записать 192.168.0.0/24 1
) может содержать хосты с адресами от 192.168.0.1 до 192.168.0.254. Адрес
192.168.0.255 — это адрес широковещательной рассылки для данной сети. А сеть
192.168.0.0 с маской 255.255.255.128 (192.168.0.0/25) допускает адреса от
192.168.0.1 до 192.168.0.127 (адрес 192.168.0.128 используется при этом в качестве широковещательного).
На практике сети с небольшим возможным числом хостов используются интернет- провайдерами (с целью экономии IP-адресов). Например, клиенту может быть на- значен адрес с маской 255.255.255.252. Такая подсеть содержит только два хоста.
При разбиении сети организации используют диапазоны локальных адресов сетей класса С. Сеть класса С имеет маску адреса 255.255.255.0 и может содержать до 254 хостов. Применение сетей класса С при разбиении на подсети VLAN в условиях предприятия связано с тем, что протоколы автоматической маршрутизации исполь- зуют именно такие подсети.
При создании подсетей в организации рекомендуется придерживаться следующего правила: подсети, относящиеся к определенному узлу распределения, должны вхо- дить в одну сеть. Это упрощает таблицы маршрутизации и экономит ресурсы ком-
1 24 соответствует длине маски, используемой для адресации подсетей. Если записать маску
255.255.255.0 в двоичном виде, то получится последовательность из 24 единиц и 8 нулей. Маска
255.255.255.128 будет представлять собой последовательность из 25 единиц и 7 нулей. Поэтому ее записывают также в виде /25 и т. д.

80
Глава 3
мутаторов. Например, если к данному коммутатору подключены подсети
192.168.0.0/255.255.255.0, 192.168.1.0/255.255.255.0, 192.168.3.0/255.255.255.0, то другому коммутатору достаточно знать, что в этом направлении следует пересылать пакеты для сети 192.168.0.0/255.255.252.0.
Эта рекомендация несущественна для сетей малых и средних организаций, по- скольку ресурсов современных коммутаторов достаточно для хранения настроек такого объема.
П
РИМЕЧАНИЕ
Хотя многие сертификационные экзамены содержат вопросы, так или иначе связан- ные с разбиением на подсети (правильный подсчет маски сети, числа адресов и т. п.), на практике проводить ручной подсчет вряд ли придется. Существует много онлайно- вых ресурсов, которые предлагают различные варианты калькуляторов сетевых адре- сов (Network Calculator), например
http://www.globalstrata.com/services/network/bscnetcalc.asp.
После того как компьютер получил IP-адрес и ему стало "известно" значение маски подсети, программа может начать работу в данной локальной подсети. Чтобы об- мениваться информацией с другими компьютерами в глобальной сети, необходимо знать правила, куда пересылать информацию для внешней сети. Для этого служит такая характеристика IP-протокола, как адрес шлюза.
Шлюз (Gateway, default gateway)
Шлюз (gateway) — это устройство (компьютер), которое обеспечивает пересылку информации между различными IP-подсетями. Если программа определяет (по
IP-адресу и маске), что адрес назначения не входит в состав локальной подсети, то она отправляет эти данные на устройство, выполняющее функции шлюза. В на- стройках протокола указывают IP-адрес такого устройства.
Для работы только в локальной сети шлюз может не назначаться. Если для доступа в Интернет используется прокси-сервер, то компьютерам локальной сети адрес шлюза также может не назначаться.
Для индивидуальных пользователей, подключающихся к Интернету, или для не- больших предприятий, имеющих единственный канал подключения, в системе должен быть только один адрес шлюза — это адрес того устройства, которое имеет подключение к Сети. При наличии нескольких маршрутов (путей пересылки дан- ных в другие сети) будет существовать несколько шлюзов. В этом случае для опре- деления пути передачи данных используется таблица маршрутизации.
Таблицы маршрутизации
Организация может иметь несколько точек подключения к Интернету (например, в целях резервирования каналов передачи данных или использования более деше- вых каналов и т. п.) или содержать в своей структуре несколько IP-сетей. В этом случае, чтобы система "знала", каким путем (через какой шлюз) посылать ту или иную информацию, используются таблицы маршрутизации (routing table). В таб- лицах маршрутизации для каждого шлюза указывают те подсети Интернета, для которых через них должна передаваться информация. При этом для нескольких

Структура сети
81
шлюзов можно задать одинаковые диапазоны назначения, но с разной стоимостью передачи данных: информация будет отсылаться по каналу, имеющему самую низ- кую стоимость, а в случае его выхода из строя по тем или иным причинам автома- тически будет использоваться следующее наиболее "дешевое" подсоединение.
Таблицы маршрутизации имеются на каждом устройстве, использующем протокол
IP. Администраторы в основном работают с таблицами маршрутизации коммути- рующего оборудования. Настройка таблиц маршрутизации компьютеров имеет смысл только в случае наличия нескольких сетевых адаптеров, подключенных к различным сегментам сети. Если у компьютера есть только одна сетевая карта
(одно подключение к Интернету), таблица маршрутизации имеет наиболее простой вид: в ней записано, что все сигналы должны отправляться на шлюз, назначенный
по умолчанию (default gateway).
Просмотреть таблицу маршрутизации протокола TCP/IP можно при помощи ко- манды route print для Windows или route
— в Linux. С помощью команды route можно также добавить новый статический маршрут (
route add
) или постоянный маршрут — route add
-p
(маршрут сохраняется в настройках после перезагрузки системы).
Покажем на примере, как можно использовать модификации таблицы маршрутиза- ции. Предположим, что на Windows-компьютере имеются две сетевые карты, одна из которых непосредственно подключена к Интернету (имеет реальный адрес), а вторая используется для работы во внутренней сети (локальный адрес). Доступ в Интернет осуществляется по умолчанию через шлюз в локальной сети. В этом случае таблица маршрутизации, отображаемая по команде route print
, выглядит примерно так:
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.4 192.168.0.29 1 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 192.168.0.0 255.255.255.0 192.168.0.29 192.168.0.29 1 192.168.0.29 255.255.255.255 127.0.0.1 127.0.0.1 1 192.168.0.255 255.255.255.255 192.168.0.29 192.168.0.29 1 195.161.192.0 255.255.255.224 195.161.192.2 195.161.192.2 1 195.161.192.2 255.255.255.255 127.0.0.1 127.0.0.1 1 195.161.192.255 255.255.255.255 195.161.192.2 195.161.192.2 1 224.0.0.0 240.0.0.0 192.168.0.29 192.168.0.29 1 224.0.0.0 240.0.0.0 195.161.192.2 195.161.192.2 1 255.255.255.255 255.255.255.255 192.168.0.29 192.168.0.29 1 255.255.255.255 255.255.255.255 195.161.192.2 195.161.192.2 1
Основной шлюз: 192.168.0.4
==================================
Постоянные маршруты: Отсутствует
Проверим путь прохождения пакетов на адрес Интернета, например 109.84.231.210, с помощью команды tracert
: tracert 109.84.231.210 -d

82
Глава 3
Ключ
-d в команде использован для ускорения операции, чтобы отключить запросы
DNS-имен тех хостов, через которые передается пакет данных.
В итоге получаем примерно такую картину (листинг ограничен первыми четырьмя узлами):
Трассировка маршрута к 109.84.231.210 с максимальным числом прыжков 30 1 <1 мс <1 мс <1 мс 192.168.0.4 2 <1 мс <1 мс 1 ms 195.12.72.145 3 15 ms 1 ms 1 ms 195.12.75.245 4 40 ms 57 ms 41 ms 195.12.75.241
Предположим, что мы хотим изменить путь прохождения пакетов к выбранному нами хосту, направив информацию через вторую сетевую карту (а не через шлюз по умолчанию). Для этого с помощью команды route add нужно добавить желае- мый нами маршрут: route add 109.84.231.210 mask 255.255.255.255 195.161.192.2
В команде мы указали, что хотим назначить новый маршрут не для диапа- зона адресов, а только для конкретного значения (поэтому маска —
255.255.255.255). Кроме того, явно указали адрес сетевого интерфейса, через кото- рый нужно пересылать пакеты.
После выполнения данной команды (на экран система не выводит никаких итогов операции) можно просмотреть новую таблицу маршрутизации:
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
109.84.231.210 255.255.255.255 195.161.192.2 195.161.192.2 1
Основной шлюз: 192.168.0.4
==================================
Постоянные маршруты: Отсутствует
По сравнению с исходным вариантом таблица маршрутизации дополнилась одной строкой, которая приведена в данном примере (остальные строки не изменились и опущены для наглядности).
Проверяем новый путь прохождения сигналов:
Трассировка маршрута к 109.84.231.210 с максимальным числом прыжков 30 1 1 ms 1 ms 1 ms 195.161.192.1 2 23 ms 22 ms 23 ms 195.161.94.137 3 23 ms 23 ms 23 ms 195.161.94.5
Видно, что пакеты пересылаются уже через другой интерфейс.
Эти изменения маршрутизации действуют до перезагрузки системы или до подачи обратной команды: удаления записей маршрутизации. Для восстановления пара-